Логическая схема взаимодействия компонентов С-Терра TLS Шлюз представлена на рисунке (Рисунок 1). В доверенной зоне (защищенной сети) находится модуль веб-интерфейса и защищаемые ресурсы. Во внешней сети расположен Удостоверяющий центр, пользователи ресурсов, для которых необходимо предоставить доступ к защищаемым ресурсам.
Рисунок 1
Функционально ПК «С-Терра TLS Шлюз ST. Версия 4.3» состоит из следующих основных частей:
• HTTP-сервер;
• Криптомодуль (криптографический модуль);
• Модуль контроля целостности;
• Утилиты (tls_cert_mgr, tls_perf_mgr, lic_mgr, integrity_checker, cont_mgr);
• Сервис обновления CRL (tls_trusted_ca_service).
Рассмотрим основные части.
Веб-сервер (Nginx)- состоит из HTTP-сервера и Прокси-сервера.
HTTP-сервер - сервер, на котором размещены файлы веб-интерфейса. Принимает HTTP-запросы от браузера пользователя веб-интерфейса С-Терра TLS Шлюз и выдает HTTP-ответы.
Прокси-сервер обеспечивает ретрансляцию запросов пользователей ресурсов из внешней сети на один или несколько серверов (ресурсов), расположенных во внутренней защищенной сети. Обмен данными между пользователем ресурса и HTTP-сервером осуществляется по протоколу TLS 1.2 с использованием российских криптографических алгоритмов шифрования. Для шифрования и расшифрования данных заголовка HTTP/HTTPS Прокси-сервер вызывает соответствующие функции библиотеки криптомодуля.
Основные функции веб-сервера:
• поддержка протокола HTTPS. Веб-сервер выполняет роль посредника между пользователем ресурса и криптомодулем. Он занимается обслуживанием соединений для пользователей ресурсов и администраторов веб-интерфейса С-Терра TLS Шлюз;
• обратный прокси-сервер. Обеспечивает проксирование защищаемых ресурсов к пользователям ресурсов;
• аутентификация пользователя ресурса. Позволяет ограничивать доступ к защищаемым ресурсам для отдельных пользователей ресурсов;
• перенаправление данных с веб-интерфейса. Предоставляет доступ администратору к веб-интерфейсу с поддержкой российских криптографических алгоритмов;
• вызов функций шифрования через модифицированный OpenSSL. Позволяет использовать как международные, так и российские алгоритмы шифрования.
Веб-интерфейс - представляет собой приложение для управления С-Терра TLS Шлюз, загружаемое с HTTP-сервера, которое позволяет администратору задавать управляющие команды средствами графического интерфейса.
Веб-интерфейс позволяет:
• настраивать параметры С-Терра TLS Шлюз: криптонабор для защиты трафика, уровень логирования, синхронизацию времени;
• организовывать и настраивать доступ к защищаемым ресурсам;
• создавать и редактировать ролевую модель доступа к веб-интерфейсу администрирования и защищаемым ресурсам;
• просматривать информацию о сертификатах, установленных в системе;
• просматривать журналы аудита.
Сервер управления обеспечивает функционирование команд, задаваемых администратором с помощью Веб-интерфейса, посредством программного интерфейса API:
• команд управления базой данных настроек Продукта;
• команд конфигурации настроек веб-сервера и криптомодуля.
Использование программного интерфейса доступно только пользователям С-Терра TLS Шлюз с правами администраторов и суперадминистратора.
Утилиты используются для управления Продуктом. Они могут быть вызваны из консоли разграничения доступа с использованием специальной команды run:
• tls_cert_mgr - утилита для создания запросов на сертификаты;
• tls_perf_mgr - утилита корректировки параметров, отвечающих за производительность;
• lic_mgr - менеджер лицензий;
• integrity_checker - утилита проверки целостности;
• cont_mgr - утилита для работы с контейнерами.
Более подробное описание утилит см. в разделе «Специализированные команды С-Терра TLS Шлюз».
Модуль аудита обеспечивает журналирование событий по протоколу syslog.
База данных содержит данные о настройках, учетных записях пользователей ресурсов и группах учетных записей пользователей, информацию о защищаемых ресурсах, каталогах ресурсов, информацию о сертификатах и др.
Модуль контроля целостности обеспечивает контроль целостности ПО С-Терра TLS Шлюз перед установкой, при старте, а также регламентную проверку целостности. Утилита integrity_checker позволяет создавать файлы с контрольными суммами проверяемых файлов в указанных директориях и сверять контрольные суммы с эталонными.
Криптомодуль (криптографический модуль) включает в свой состав:
Криптографическую библиотеку (OpenSSL), реализующую создание соединения и передачу данных по протоколу SSL/TLS:
• для ГОСТ алгоритмов - транслирует вызовы от веб-сервера и командной строки в вызовы функций криптоплагина;
• для международных алгоритмов - обеспечивает шифрование, аутентификацию и целостность передаваемых данных.
Модуль шифрования (криптоплагин), реализующий российские криптоалгоритмы с использованием криптобиблиотеки «С-Терра». Поддерживает следующие функции:
• использование алгоритмов симметричного шифрования - ГОСТ Р 34.12-2015 (“Магма” и “Кузнечик”);
• локализацию ключевого материала внутри модуля;
• протоколирование всех событий модуля.
Криптобиблиотека, разработанная компанией «С-Терра СиЭсПи», реализует российские криптографические алгоритмы и функции:
• ГОСТ Р 34.12-2015, ГОСТ Р 34.13—2015 - алгоритмы имитозащиты/шифрования/расшифрования «Магма» и «Кузнечик»;
• ГОСТ 34.11-12 - алгоритмы хэширования;
• ГОСТ Р 34.10-2012 - алгоритмы формирования и проверки электронной подписи;
• поддержку схемы открытого распределения ключей Диффи-Хеллмана - ГОСТ Р 34.10-2012.