Работа с КриптоПро NGate
Кластер NGate - это объединение нескольких шлюзов NGate под управлением NGate ЦУС. Кластер NGate предназначен для синхронизации конфигурации и активных сессий пользователей, что позволяет осуществлять бесшовный переход пользователей в случае падения одного из шлюзов NGate.
Центр управления сетью (ЦУС) — система управления NGate — это отдельная машина,
предназначенная для осуществления централизованной конфигурации и синхронизации настроек
кластера, а также централизованной работы с ключами NGate. Все взаимодействия между
компонентами кластера NGate происходят с использованием инфраструктуры открытых ключей с двусторонней
аутентификацией и по протоколу ГОСТ TLS.
https://cpdn.cryptopro.ru/content/ngate/admin-guide-next-version/source/04-ngate-installation-consol-setting/pki-infrasrtucture/task-pki-creation-internal-ca.html?hl=pki
ЦУС необходим для кластера, без ЦУС кластер не построится и не будет осуществлена
синхронизация. https://cpdn.cryptopro.ru/content/ngate/admin-guide/source/glossary/glossentry-management-center.html
https://cpdn.cryptopro.ru/content/ngate/admin-guide-next-version/source/01-configuration-type/topic-configuration-cluster-balancer-router.html
WEB TLS — TLS-Шлюз доступа к веб-сайтам. — Доступ пользователей к веб-ресурсам с защитой трафика (шифрованием трафика) и без дополнительного ПО VPN-клиента (TLS-клиента);
WEB Portal TLS — Шлюз портального доступа. — Доступ пользователей к веб-ресурсам через портал (доступ осуществляется с помощью браузера) с защитой трафика (шифрованием трафика) и без дополнительного ПО VPN-клиента (TLS-клиента);
Point-to-Site TLS VPN — VPN-Шлюз удаленного доступа. — Доступ пользователей к защищаемым информационным ресурсам с применением ПО VPN-клиента (TLS-клиента) на пользовательских устройствах (рабочих местах пользователей), с защитой трафика (шифрованием трафика);
Site-to-Site IPsec VPN — Обеспечение функциональности защиты передаваемых данных по открытым каналам связи между распределёнными сегментами сети (площадками) посредством реализации набора протоколов IPsec.
NGate может функционировать в:
‒ VMWare Workstation (11 — 16);
‒ VMWare ESXi (5.5 — 7.0), Hyper V (8 / 8.1 / 10/ 2008 / 2008R2 / 2012 /
2012R2 / 2016 / 2019 );
‒ Oracle VirtualBox 6.0/6.1;
‒ KVM из состава поддерживаемых ОС (x64) совместно с Libvirt 6/7/8, QEMU
4.2/5.2/6.2/7 (x64);
‒ Yandex KVM YC 5.10 (x64);
‒ Yandex QEMU YC 5.0.1 (x64);
‒ Xen (7.1 — 7.6);
‒ Virtual Box (3.2 — 5.2);
‒ Citrix Hypervisor (8.0/8.1/8.2);
‒ Proxmox VE 7 (x64) в режиме администрирования ВМ).
ПО NGate Client совместим со следующими программными средами:
‒ Windows 7 / 8 / 8.1 / 10 / Server 2003 / 2008 (x86, x64);
‒ Windows Server 2008 R2 / 2012 / 2012R2 / 2016 / 2019 (x64);
‒ Windows Server 2019 (x64) (только Исполнения 5 и 6);
‒ Android версии 9 / 10 / 11 / 12 (только Исполнение 5);
‒ iOS версии 9 / 10 / 11 /12 /13 /14 / 15 (только Исполнение 5);
‒ ОС «Аврора» 4.0.2/4.1 (ARM) Исполнения 5 и 6 (для Исполнения 6 необходимо
использовать версию ОС «Аврора», сертифицированную ФСБ России);
‒ ОС семейства Linux (только Исполнения 5 и 6):
‒ CentOS 7 / 8 (x86, x64, ARM);
‒ Red OS (x86, x64, ARM);
‒ Fedora (x86, x64, ARM, MIPS);
‒ Oracle Linux 7 / 8 (x86, x64, ARM);
‒ SUSE Linux Enterprise Server 12 / 15, Desktop 12 / 15 (x86, x64, ARM);
‒ ОpenSUSE Leap 15 (x86, x64, ARM);
‒ Red Hat Enterprise Linux 7 / 8 (x86, x64, ARM);
‒ Ubuntu 14.04/16.04/18.04/20.04/22.04 (x86, x64, ARM);
‒ Linux Mint 18/19/20 (x86, x64, ARM);
‒ Debian 9/10/11 (x86, x64, ARM, MIPS);
‒ ОС Эльбрус (Эльбрус);
‒ Astra Linux Special Edition, Common Edition (MIPS, x86, x64, ARM).
‒ ALT Linux 7 (x86, x64, ARM);
‒ Альт Образование 8 / 9, Альт 8 СП Сервер, Альт 8 СП Рабочая станция, Альт
‒ Сервер 9, Альт Рабочая станция 9 (x86, x64, ARM)
‒ ThinLinux 1/2 (x86, x64, ARM);
‒ Astra Linux Special Edition (x64) (только Исполнение 7) (Необходимо использовать версию,
сертифицированную ФСБ России);
‒ MacOS X 10.9/10.10/10.11/10.12/10.13/10.14/12.0/12.1/12.2/12.3/12.4/12.5 (x64).
Для реализации режима VPN: на клиентских машинах необходимо установить ПО Криптопровайдер
Крипто-Про CSP с введенной лицензией и ПО Крипто-Про NGate.
Для реализации режима WEB-TLS и аутентификации пользователей
по сертификату: на клиентских машинах необходимо установить ПО Криптопровайдер
Крипто-Про CSP с введенной лицензией.
Для реализации режима WEB-TLS и аутентификации пользователей без использования
сертификата: на клиентских машинах необходимо установить ПО Криптопровайдер
Крипто-Про CSP.
Для реализации криптографической защиты взаимодействия компонентов шлюза
NGate (Узлов NGate, СУ и АРМ Администратора) между собой внутри шлюза должна быть развёрнута Инфраструктура открытых ключей (PKI).
Подробнее: https://cpdn.cryptopro.ru/content/ngate/admin-guide-next-version/source/04-ngate-installation-consol-setting/pki-infrasrtucture/concept-pki-info.html?hl=pki
Раз в год и 3 месяца необходимо перевыпускать все сервисные сертификаты PKI
инфраструктуры на всех компонентах кластера NGate.
Работа с КриптоПро NGate
Обратная маршрутизация — механизм передачи информации о маршруте
до VPN пользователя во внутреннюю инфраструктуру для того, чтобы пользователь получил
ответ от внутренних ресурсов. Ниже приведены режимы обратной маршрутизации:
a) OSPF — при подключении пользователя и присвоении IP-адреса VPN-клиента
шлюз NGate рассылает маршрут до пользователя с маской 32 по протоколу OSPF;
b) BGP — при подключении пользователя и присвоении IP-адреса VPN-клиента
шлюз NGate рассылает маршрут до пользователя с маской 32 по протоколу BGP;
c) RroxyARP (рекомендуется, если количество пользователей превышает 2000) —
при подключении пользователя и присвоении IP-адреса VPN-клиента шлюз NGate рассылает
GARP-пакеты во внутреннем L2-сегменте, сообщая L2 маршрут до пользователя
(соответствие IP-адреса пользователя MAC-адресу шлюза NGate).
Под георезервированием подразумевается схема инфраструктуры, включающая
несколько самостоятельных кластеров без синхронизации между собой, разнесенных на несколько
удаленных площадок. Георезервирование может быть реализовано без дополнительных требований.
Под геокластеризацией подразумевается схема инфраструктуры, в которой несколько шлюзов NGate из одного
кластера разнесены на удаленные друг от друга площадки. Реализация геокластеризации
требует выполнения ряда требований, которые определяются на этапе проектирования. Для выявления
данных требований обратитесь на ngate@cryptopro.ru
https://cpdn.cryptopro.ru/content/ngate/admin-guide/source/09-api-service/concept-chapter-api.html
На данный момент по API доступен следующий функционал:
Работа с черными и белыми списками:
1. Создание и удаление списков;
2. Добавление и удаление атрибутов пользователей в списки;
3. Присвоение списков к порталам;
4. Получение состава списков;
5. Синхронизация списков между ЦУС и Шлюзами.
Принудительное завершение сессии пользователя по атрибуту
Обновление сессии (изменение доступа пользователя в соответствии новым, присвоенным пользователю, группам)
<img class="op-uc-image op-uc-image_inline" src="/api/v3/attachments/1630/content">
В качестве многофакторной аутентификации поддерживаются следующие методы:
‒ Certificate (OIDs) + username/password (LDAP);
‒ Certificate (OIDs) + username/password (LDAP) + RADIUS ACL (VSA);
‒ Certificate (OIDs) + username/password (LDAP) + OTP;
‒ Certificate (OIDs) + username/password (LDAP) + OTP + RADIUS ACL (VSA);
‒ Certificate (OIDs) + username/password (LDAP) + OTP + OTP PIN;
‒ Certificate (OIDs) + username/password (LDAP) + OTP + OTP PIN + RADIUS ACL (VSA);
‒ Certificate (OIDs) + username/password (LDAP) + OTP PIN;
‒ Certificate (OIDs) + username/password (LDAP) + OTP PIN + RADIUS ACL (VSA);
‒ username/password (LDAP) + OTP;
‒ username/password (LDAP) + OTP + RADIUS ACL (VSA);
‒ username/password (LDAP) + OTP + OTP PIN,
‒ username/password (LDAP) + OTP + OTP PIN + RADIUS ACL (VSA);
‒ username/password (LDAP) + OTP PIN;
‒ username/password (LDAP) + OTP PIN + RADIUS ACL (VSA).
Есть 2 режима публикации:
Портальная публикация - публикация изменений сущностей, привязанных к порталу, таких как списков ограничения доступа и ресурсов, при этом существующие сессии не завершаются.
Для обновления доступа пользователей в существующих сессиях необходимо либо обновить сессию, вызовом API, либо пересоздать сессию вручную.
Полная публикация - публикация всей конфигурации на кластер, при этом существующие сессии завершаются.
Нет, нельзя изменять состав ПО. Если есть необходимость в части доработки функционала NGate, обратитесь в ngate@cryptopro.ru
Осуществить интеграцию NGate с системами Compliance можно следующими способами:
-
При подключении по VPN пользователю предоставляется доступ только к серверам системы Compliance в соответствии с его группами LDAP/AD. После прохождения проверок агентом Compliance, система Compliance включает пользователя LDAP/AD в определенную группу доступа и вызовом API обновляют сессию пользователя на NGate для предоставления к ресурсам.
-
При подключении по VPN, шлюз NGate может обращаться к системе Compliance по протоколу RADIUS и получать VSA-атрибут, для осуществления фильтрации доступа пользователя.
Работа с КриптоПро NGate
Можно статически настроить таймер автоматического скачивания CRL из
заранее заданных точек CDP.
Дополнительно, при истечении срока действия уже скачанного CRL, NGate скачивает CRL по ссылке из
сертификата.
Страница для печати