Программный комплекс «МагПро Защита RDP»
Программный комплекс «МагПро Защита RDP» – это программное решение, которое позволяет обеспечить защиту соединений по протоколу RDP сертифицированным криптографическим средством с использованием российской криптографии (ГОСТ).
Данный программный комплекс реализует протокол SSL/TLS для RDP-соединений, что позволяет шифровать трафик между клиентом и сервером. Кроме этого, использование данного программного комплекса позволяет производить аутентификацию клиента и сервера по сертификату X.509.
Программный комплекс «МагПро Защита RDP» распространяется в виде одной установочной программы, которая включает в себя:
- серверный комплект,
- пользовательский комплект,
- автоматическую систему создания и управления сертификатами X.509.
Внедрение и эксплуатация ПК «МагПро Защита RDP» не требуют:
- специальных знаний в области криптографии,
- дополнительной покупки сертификатов у Удостоверяющих центров,
- установки какого-либо программного обеспечения на компьютерах пользователей.
Архитектура программного комплекса отражена на рисунке:
Сертификат ФСБ
ПК "МагПро ЗащитаRDP" является надстройкой над сертифицированным СКЗИ "МагПро КриптоПакет" и не требует отдельной сертификации.
СКЗИ <МагПро КриптоПакет> версии 2.1 успешно прошло сертификационные испытания в ФСБ.
сертификат ФСБ N СФ/124-2767
от 05 февраля 2016г. выдан на СКЗИ «МагПро КриптоПакет»
версии 2.1 по классам КС1 и КС2.
сертификат ФСБ N СФ/121-2838
от 20 марта 2016г. выдан на СКЗИ «МагПро КриптоПакет»
версии 2.1 по требованиям к средствам электронной подписи по классам КС1 и КС2.
Законодательство
Программный комплекс «МагПро Защита RDP» удовлетворяет требованиям российского законодательства к техническим
средствам защиты персональных данных.
Применение
- Защита терминального доступа по протоколу RDP (Remote Desktop - Удаленный рабочий стол).
Список платформ, под которые сертифицировано СКЗИ "МагПро КриптоПакет":
Техническое описание
Принцип действия
МагПро Защита RDP распространяется в виде установочного пакета. Этот пакет содержит серверную часть и клиентскую часть.
Пакет должен быть установлен на том же компьютере, на котором находится сервер RDP. В процессе установки будет установлена служба защиты
RDP-сервера, созданы все необходимые ключи и цифровые сертификаты, а так же сформирован клиентский комплект.
Клиентский комплект будет сконфигурирован для установки защищенных RDP-соединений именно с Вашим сервером.
Клиентский комплект не требует установки на пользовательских машинах; представляет собой набор файлов, которые требуется
передать пользователю, например, скопировав на обычную флешку. Для начала работы пользователь может запускать
программу непосредственно с флешки. Конечно, флешку использовать необязательно.
Клиентский комплект (КриптоТуннель) работает по принципу прокси. При старте программа начинает
"слушать" заданный в конфигурационном файле порт на 127.0.0.1. Кроме порта в конфигурационном
файле задается, на какой удаленный сервер будет переадресовано соединение, принятое на данном порту.
Если после этого пойти, например, RDP-клиентом из состава Microsoft Windows на данный порт, то программа произведет
следующие действия в рамках выполнения протокола TLS:
- аутентификацию удаленного сервера по сертификату X.509 сервера, обеспечивая таким образом защиту от атаки "человек посередине";
- аутентификацию клиента на сервере по сертификату X.509 клиента, обеспечивая таким образом защиту от несанкционированного
доступа к ресурсам сервера;
- шифрование сетевого трафика между клиентом и сервером, обеспечивая таким образом конфиденциальность обмена данными.
Автоматичекий запуск RDP-клиента на правильный порт встроен в клиентский комплект.
Серверный комплект (КриптоСервер) представляет собой "криптографический прокси". Данный прокси устанавливается перед
защищаемым сервисом и принимает соединения, защищенные по протоколу SSL/TLS. При этом защищаемый сервис
настраивается таким образом, что начинает принимать соединения только от КриптоСервера.
КриптоСервер по защищенному соединению получает данные от клиента, расшифровывает их и затем передает
сервису. В рамках выполнения протокола SSL/TLS КриптоСервер выполняет
- аутентификацию клиента на сервере по сертификату X.509 клиента, обеспечивая таким образом защиту от несанкционированного
доступа к ресурсам сервера;
- шифрование сетевого трафика между клиентом и сервером, обеспечивая таким образом конфиденциальность обмена данными.
Протоколы
Протокол SSL/TLS, реализуемый КриптоТуннелем, обеспечивает защиту соединения на транспортном уровне модели OSI.
Вследствие этого возможна защита практически любого прикладного протокола, работающего через TCP-соединение без динамического
открытия портов, в частности HTTP, RDP, SMTP, POP3, IMAP, WebDAV, FTP (passive mode), NFS, SQL и т.д.
Соответствие стандартам
Для обеспечения совместимости с СКЗИ других производителей КриптоТуннель соответствует открытым стандартам в области защиты
информации, в частности поддерживаются:
- международные стандарты и рекомендации (Х.509, PKIX, PKCS, CMS, RFC);
- стандарт на электронную подпись ГОСТ Р 34.10-2001;
- выработка значения хэш-функции в соответствии с ГОСТ Р 34.11-94;
- шифрование данных в соответствии с ГОСТ 28147-89.
Ключевые носители
|
|