код безопасности континент tls
Опыт внедрения «Континент TLS VPN» в кластерной конфигурации
Введение
TLS – криптографический протокол, обеспечивающий защищенную передачу данных между узлами в сети интернет. С ним вы можете ознакомиться здесь или здесь.
Ключевые задачи TLS:
Задача
В нашем случае необходимо было обеспечить защищенный с помощью ГОСТ-шифрования доступ к веб-ресурсу.
Решение
Ниже представлена схема и описание компонентов.
Для решения данной задачи был выбран продукт компании «Код Безопасности» «Континент TLS VPN», соответствующий всем вышеперечисленным условиям.
Стоит отметить, что на момент проектирования это был единственный сертифицированный ПАК, осуществляющий шифрование по ГОСТ с использованием протокола TLS. В дальнейшем ожидается получение сертификата ПАК ViPNet TLS от «ИнфоТеКС».
Основные элементы системы:
Описание элементов
СКЗИ «Континент TLS VPN Клиент» — TLS-клиент представляет собой устанавливаемое на компьютере удаленного пользователя программное обеспечение, функционирующее совместно с TLS-сервером. TLS-клиент предназначен для реализации защищенного доступа удаленных пользователей к веб-ресурсам корпоративной сети по каналам связи общих сетей передачи данных.
NetScaler — это контроллер доставки приложений, обеспечивающий гибкую доставку сервисов для традиционных, контейнерных и микросервисных приложений из центра обработки данных или любого облака. Балансировщик на основе Citrix Netscaler раскидывает сессии HTTPS между кластерами серверов TLS. Ответы от WEB сервера также собирает балансировщик.
СКЗИ «Континент TLS VPN Сервер» — сервер предназначен для обеспечения защищенного доступа удаленных пользователей к защищаемым ресурсам.
Порядок настройки
Инициализация
Первая сложность возникла при запуске TLS-серверов. Появилось сообщение «No controller found». Совместно со специалистами компании «Код Безопасности» была выявлена довольно нестандартная проблема. Оказалось, ПАК отказался работать в ЦОДе с мониторами фирмы BenQ, а с любыми другими работал без проблем.
Первоначальная настройка несложная и состоит в основном из определения ip-адреса и шлюза, а также имени устройства. Плюс создание, экспорт/импорт мастер-ключа.
Заказчик в проекте использовал два сервера TLS. Оба сервера TLS должны работать в состоянии active-active.
На одном сервере создается мастер-ключ, на другие серверы он импортируется. Мастер-ключ (ключ кластера) предназначен для решения следующих задач:
Импорт сертификатов
Далее необходимо подключиться к серверу TLS по веб-морде, определить защищаемый ресурс и установить сертификаты для работы серверов (корневой сертификат УЦ, сертификат сервера, сертификат для удаленного управления сервером, сертификат администратора и CRL). Все эти сертификаты должны быть выданы одним УЦ. Для первого подключения по веб-морде нужно использовать КриптоПро CSP, а не «Код Безопасности CSP. При последующих сменах сертификатов, лучше сначала удалить корневой сертификат УЦ, а после менять другие сертификаты.
Из-за невозможности сразу сделать боевые сертификаты было принято решение проверить работоспособность кластера TLS серверов на сертификатах, сделанных на тестовом УЦ Криптопро.
На TLS-серверах есть возможность отключить аутентификацию пользователя. При этом защищенный канал будет создаваться при наличии клиента TLS и установленных сертификатов (корневого, сертификата сервера и CRL), т.е. личного сертификата для работы не требуется.
Проверка подключения
Изначально возникли проблемы с подключением по защищенному каналу к защищаемому ресурсу с помощью сертифицированной версии TLS-клиента от «Кода Безопасности». Получилось подключиться к защищаемому ресурсу с использованием TLS-клиента 2.0 от «Кода Безопасности», но данная версия пока находится на этапе сертификации. Проблема заключалась в неправильном редиректе на защищаемом ресурсе, который не проходил, потому что TLS-серверы не совсем корректно отрабатывали данное правило в релизной версии прошивки. Для решения проблемы необходимо было перепрошивать оба сервера TLS и поднимать сделанные бекапы.
Порядок перепрошивки следующий:
После проделанных операций заработал сертифицированный TLS-клиент от «Кода Безопасности», на работе которого в системе настаивал заказчик. Но вот в чем фокус, он не заработал в браузере Chrome, работа в котором была просто необходима заказчику, можно даже сказать, что все затачивалось под него. Был проведен еще ряд тестирований совместно с поддержкой «Кода Безопасности», и, как результат, заработало все на версии чуть более новой (1.2.1073), чем сертифицированная (1.2.1068).
Кстати, еще один из подводных камней при настройке любого клиента TLS от «Кода Безопасности» (кроме версии 2.0) – они не работают на виртуальных машинах. При тестировании часто использовались виртуальные машины, это еще немного усложнило процесс диагностики.
Выводы
В конце хотелось бы подытожить. Продукт несложный в настройке и разворачивании. Есть еще над чем работать разработчикам, это касается и сервера, и клиента. Но в целом продукт рабочий и работает в кластерной конфигурации. Система на текущий момент работает без сбоев и держит нагрузку. Надеемся, что наши набитые шишки помогут вам быстрее и эффективнее разворачивать «Континент TLS».
Код безопасности континент tls
Континент TLS VPN клиент 2.0.1440 необходим для работы с сертификатом электронной подписи ГОСТ Р 34.10-2012. Континент TLS VPN клиент 1.0.920.0 не работает с сертификами ГОСТ 2012.
Данный дистрибутив скачан с сайта производителя и имеет ограничение в работе 14 дней. При регистрации Континента через интернет это ограничение снимается. Приобретать лицензию на СКЗИ «Континент TLS VPN Клиент» не надо. Клиенты казначейства также могут получить данное СКЗИ в местном казначействе.
Сертификаты сервера «Континент TLS VPN» (lk2012.budget.gov.ru и lk.budget.gov.ru)
Инструкция по установке Континент TLS VPN клиент 2.0.1440
Перед установкой Континента ТЛС версии 2 необходимо удалить предыдущую версию Континента (если конечно она была установлена) через Пуск > Панель управления > Программы > Программы и компоненты. Потом перезагрузить компьютер.
Скачанный дистрибутив необходимо разархивировать и запустить файл «Континент TLS-клиент.exe»
Далее в появившемся окне отмечаем чекбокс «Я принимаю условия лицензионного соглашения» и нажимаем кнопку «Установить».
После успешной установки предлагается перезагрузить компьютер — соглашаемся.
Далее необходимо зарегистрировать СКЗИ «Континент TLS VPN Клиент». При запуске незарегистрированной программы появится следующее окно.
Если в течение 14 дней не зарегистрировать программу, то по окончании демонстрационного периода работа программы будет приостановлена.
Если не зарегистрировались сразу, то форму регистрации ищите в Континент TLS Клиент на вкладке «Настройки» > раздел «Регистрация» > кнопка «Начать» под полем «Онлайн-регистрация».
В открывшемся окне заполняем поля: Фамилия, Отчество, Электронная почта, в поле Адрес сервера регистрации (если не было указано) пишем «registration.securitycode.ru», нажимаем «Готово».
После успешной регистрации всплывает окно. Ограничение демонстрационного периода (14 дней) снято.
Для регистрации Континент TLS Клиент работникам казначейства (компьютер находится в локальной сети казначейства) необходимо внести изменения (выделены красным) в файл PublicConfig.json.
<
«loggingConfig»: <
«fileLogMaxSize»: 3145728,
«fileLoggingDirectory»: «C:\\Users\\Public\\ContinentTLSClient\\»,
«fileLoggingEnabled»: true,
«sessionLogsEnabled»: false
>,
«serialNumber»: « test-50000 »
>
Настройка СКЗИ «Континент TLS VPN Клиент» для работы в Электронном бюджете
Запускаем Континент TLS VPN Клиент (через меню пуск или иконку на рабочем столе). В открывшемся окне нажимаем «Главная» > «Добавить» > «Ресурс».
В окне добавления ресурса прописываем следующее:
Нажимаем «Сохранить». В соединениях отобразиться «lk2012.budget.gov.ru» или/и «lk.budget.gov.ru».
Далее идем в раздел «Настройки» > «Основные». Ставим галочки в следующих чекбоксах:
Получаем страницу с такими настройками. Нажимаем «Сохранить».
Следующий этап — настройка прокси. Раздел «Настройки» > «Внешний прокси» ставим галку «Настраивать автоматически» и сохраняем.
Следующий этап — настройка сертификатов. Идем на вкладку «Управление сертификатами» > раздел «Серверные сертификаты» > «Импортировать».
Если у вас нет серверных сертификатов, то качаем…
Сертификат сервера «Континент TLS VPN» ГОСТ Р 34.10-2012
Сертификат сервера «Континент TLS VPN» ГОСТ Р 34.10-2001
В результате добавления сертификатов видим следующее. 
Далее проверяем вкладку пользовательские сертификаты. Если вашего сертификата там нет, то его необходимо установить через КриптоПро. Инструкция по установке личного сертификата в КриптоПро тут. Если сертификат установлен, то видим следующее.
Идем на вкладку «Управление сертификатами» > раздел «CDP» > кнопка «Скачать CRL». 
На панели задач внизу справа нажать правой кнопкой мыши на значок «Континент TLS Клиента» и выбрать пункт «Сброс соединений».
Код безопасности континент tls
Модельный ряд Континент TLS представлен линейкой от базовых до высокопроизводительных аппаратных платформ, позволяющих подобрать решение для организации защищенного удалённого доступа к корпоративным веб-приложениям как для крупных, так и небольших компаний.
| Режим работы | Производительность |
|---|---|
| Пропускная способность в режиме HTTPS-прокси | до 1 300 Мбит/с |
| Максимальное количество соединений в режиме HTTPS-прокси | до 15 000 |
Доступен в модификациях:
| Режим работы | Производительность |
|---|---|
| Пропускная способность в режиме HTTPS-прокси | до 800 Мбит/с |
| Максимальное количество соединений в режиме HTTPS-прокси | до 9 000 |
Доступен в модификациях:
| Режим работы | Производительность |
|---|---|
| Пропускная способность в режиме HTTPS-прокси | до 4 000 Мбит/с |
| Максимальное количество соединений в режиме HTTPS-прокси | до 45 000 |
Доступен в модификациях:
115230, Россия, Москва,
1-й Нагатинский проезд, д. 10, стр. 1.
2008-2021 © «Код Безопасности». Российский разработчик программных и аппаратных средств защиты информации. Наша продукция охватывает все уровни инфраструктурной безопасности.
Новости
Сертификат ФСТЭК России № 4259, действующий до 15 июня 2025 года, подтверждает, что средство криптографической защиты информации «Континент TLS-Сервер». Версия 2» соответствует требованиям по безопасности информации по 4 уровню контроля отсутствия недекларированных возможностей.
Наличие сертификата ФСТЭК России позволяет использовать Континент TLS-Сервер для защиты государственных информационных систем (ГИС) до 1 класса включительно и информационных систем персональных данных (ИСПДн) до первого уровня защищенности (УЗ1). Реализованы следующие основные функции, соответствующие мерам защиты приказов ФСТЭК России № 17 и 21:
ИАФ.1 – идентификация и аутентификация пользователей, являющихся работниками оператора;
УПД.10 – блокировка сеанса доступа в информационную систему после установленного времени бездействия пользователя или по его запросу;
ИАФ.5 – защита обратной связи при вводе аутентификационной информации;
УПД.6 – ограничение неуспешных попыток входа в информационную систему;
РСБ.2 – определение состава и содержания информации о событиях безопасности, подлежащих регистрации;
РСБ.6 – генерирование временных меток и (или) синхронизация системного времени в ИС;
РСБ.7 – защита информации о событиях безопасности посредством предоставления доступа к журналам аудита только администраторам и создания резервных копий журналов аудита;
ОДТ.6 – кластеризация ИС и (или) её сегментов;
ЗИС.3 – обеспечение конфиденциальности и целостности информации, передаваемой вне пределов контролируемой зоны.
Другими нововведениями второй версии Континент TLS являются: поддержка ГОСТ Р 34.10-2012, возможность мониторинга по протоколу SNMP, реализация технологии единого входа на портал (Single Sign-On), переработанный пользовательский интерфейс, а также обновление модельного ряда и увеличенная производительность аппаратных платформ.
По вопросам тестирования, обновления и приобретения продуктов «Кода Безопасности» обращайтесь в коммерческую дирекцию по телефону: 8 (495) 982-30-20 или по электронной почте buy@securitycode.ru.
Континент TLS – аппаратно-программный комплекс, обеспечивающий с помощью туннелирования любого типа трафика через TLS туннель защищенный удаленный доступ к корпоративным приложениям с использованием алгоритмов шифрования ГОСТ.
Код безопасности Континент TLS VPN (лицензия на подключение к TLS VPN серверу в режиме прокси), на 100 одновременных подключений в Ульяновске
Код производителя: TLS2-PROXY-100-lic
Код безопасности Континент TLS VPN (лицензия на подключение к TLS VPN серверу в режиме прокси), на 100 одновременных подключений
Краткие сведения
Скачать прайс-лист Adobe Systems
Срок доставки по Москве: от 5 раб.дн. с момента поступления оплаты. по России: от 10 раб.дн. с момента поступления оплаты. По вопросам приобретения предыдущих коробочных версий обращайтесь к менеджерам Softline.
Описание
Программное обеспечение Континент TLS VPN – система обеспечения защищенного удаленного доступа к веб-приложениям с использованием алгоритмов шифрования ГОСТ. Континент TLS VPN осуществляет криптографическую защиту HTTP-трафика на сеансовом уровне. Шифрование информации производится по алгоритму ГОСТ 28147–89.
Идентификация и аутентификация удаленных пользователей
Идентификация и аутентификация пользователей выполняются по сертификатам открытых ключей стандарта x.509v3 (ГОСТ Р 31.11–94, 34.10–2001). Континент TLS VPN производит проверку сертификатов ключей по спискам отозванных сертификатов (CRL). Выпуск сертификатов осуществляется внешним удостоверяющим центром.
В случае успешного прохождения процедур аутентификации запрос пользователя перенаправляется по протоколу HTTP в защищенную сеть к соответствующему веб-серверу. При этом к каждой HTTP-сессии пользователя добавляются специальные идентификаторы (идентификатор клиента и идентификатор IP).
Криптографическая защита передаваемой информации
Континент TLS VPN осуществляет криптографическую защиту HTTP-трафика на сеансовом уровне. Шифрование информации производится по алгоритму ГОСТ 28147–89. Расчет хэш-функции выполняется по алгоритму ГОСТ Р 34.11–94, ГОСТ Р 34.11–2012. Формирование и проверка электронной подписи осуществляются в соответствии с алгоритмом ГОСТ Р 34.10–2001, ГОСТ Р 34.10–2012.
Сокрытие защищаемых серверов и трансляция адресов
Континент TLS VPN производит фильтрацию запросов и транслирует адреса запросов к веб-серверам корпоративной сети. Трансляция адресов осуществляются в соответствии с правилами, которые устанавливает администратор «Континент TLS VPN».
Отказоустойчивость и масштабируемость
Континент TLS VPN поддерживает работу в схеме высокопроизводительного кластера с балансировкой нагрузки (внешним балансировщиком). Повышение отказоустойчивости достигается добавлением в кластер избыточной ноды. При этом наращивания элементов балансирующего кластера может осуществляться неограниченно. Выход из строя элемента кластера не приводит к разрыву соединений, поскольку нагрузка равномерно распределяется между остальными элементами.
Мониторинг и регистрация событий
В Континент TLS VPN администратор всегда может получить оперативную информацию о текущем состоянии установленных соединений и статистику его работы. На сервере осуществляется журналирование событий информационной безопасности. Все события могут пересылаться на указанный сервер в формате syslog для дальнейшего анализа, что делает интеграцию с SIEM-системами максимально простой.
Удобные инструменты управления
Сочетание локальных и удаленных средств с веб-интерфейсом и удобной графической консолью управления обеспечивает гибкую настройку Континент TLS VPN в соответствии с требованиями политик безопасности.
Континент TLS VPN поддерживает протоколы TLS v.1, TLS v.2.
Работа пользователя через любой веб-браузер
Используя приложение Континент TLS VPN Клиент, пользователи могут получить доступ к защищенным ресурсам из любого веб-браузера. Континент TLS VPN Клиент является локальным прокси, перехватывает трафик браузера к защищаемым веб-серверам и упаковывает его в http-туннель. Благодаря этому пользователь может работать с любым веб-браузером, установленным на его устройстве.
Использование удобного для пользователей программного клиента
Использование удобного для пользователей программного клиента В качестве клиента на устройстве пользователя может быть использован Континент TLS VPN Клиент или КриптоПро CSP версии 3.6.1.
✅ Купите Код безопасности Континент TLS VPN (лицензия на подключение к TLS VPN серверу в режиме прокси), на 100 одновременных подключений на официальном сайте
✅ Лицензия Код безопасности Континент TLS VPN (лицензия на подключение к TLS VPN серверу в режиме прокси), на 100 одновременных подключений по выгодной цене
✅ Код безопасности Континент TLS VPN (лицензия на подключение к TLS VPN серверу в режиме прокси), на 100 одновременных подключений, лицензионное программное обеспечение купите в Ульяновске и других городах России
Доставка в Ульяновске
Осуществляется транспортной компанией, курьером или в пункты самовывоза от 4 до 9 рабочих дней после оплаты или подтверждения заказа.
Электронные лицензии отправляются на электронную почту заказчика.
Точная стоимость и срок доставки в Ульяновске рассчитываются при оформлении заказа.