Настройка vpn-клиента Континент АП

Настройка vpn-клиента Континент АП (Ztn Client).

1 Общая информация

• Сайт: https://www.securitycode.ru/products/skzi-kontinent-ap/
• ZTN Client есть клиентское приложение, разработанное компанией «Код Безопасности» (https://www.securitycode.ru/).
• Предназначенно для обеспечения безопасности и конфиденциальности корпоративных данных.
• Основано на технологии нулевого доверия (Zero Trust Network).
• ZTN Client доступен для различных платформ: Windows, Linux, macOS, ОС Аврора, Android и iOS.

2 Особенности ZTN Client

• Многофакторная аутентификация (MFA)
  • Использование нескольких методов проверки подлинности для пользователей и устройств, что значительно повышает уровень безопасности доступа к корпоративным ресурсам.
• Гибкие политики доступа
  • Возможность создания и управления политиками доступа, которые определяют, кто и какие ресурсы может использовать, обеспечивая детализированный контроль над доступом к корпоративной информации.
• Мониторинг и аналитика
  • Встроенные инструменты для отслеживания сетевой активности в режиме реального времени и оперативного реагирования на подозрительные действия.

3 Классы защиты

• ZTN Client поддерживает классы защиты: КС1, КС2 и КС3
  • КС1 : Базовая защита от обычных угроз.
  • КС2 : Усиленная защита, включающая защиту от криптоаналитических атак и контроль целостности данных.
  • КС3 : Максимальная защита с использованием замкнутой программной среды и специализированного ПО.

3.1 ZTN Client КС1

• Уровень защиты
  • Обеспечивает защиту информации, требующей обычной степени конфиденциальности и целостности.
• Функции
  • Защита от типичных методов атак, используемых большинством злоумышленников.
  • Подходит для защиты обычных данных, не содержащих государственной или коммерческой тайны, а также персональных данных.

3.2 ZTN Client КС2

• Уровень защиты
  • Обеспечивает защиту информации с повышенной степенью конфиденциальности и целостности.
• Функции
  • Эффективное противодействие техническим возможностям широкого круга потенциальных атакующих, включая криптоаналитические атаки и скрытые каналы передачи информации.
  • Встроенная система контроля целостности данных, позволяющая обнаруживать любые изменения или несанкционированный доступ.
  • Используется для защиты банковской и коммерческой информации, а также государственных и военных секретов.

3.3 ZTN Client КС3

• Уровень защиты
  • Предназначен для защиты информации с высокой степенью важности и уровнем угрозы утечки.
• Функции
  • Надёжная аутентификация пользователей.
  • Конфиденциальность информации при её передаче и обработке.
  • Противодействие несанкционированному доступу к информации.
  • Создание и контроль замкнутой программной среды с использованием специализированного ПО.

4 Установка ZTN Client (Linux)

4.1 Установка

• Распакуйте программу в корень файловой системы:

  sudo tar --zstd -C / -xpvf ztn-4.5.0-1269.ks1.el.x86_64.tar.zst
  

4.2 Дополнительные файлы

• Скрипт сервиса требует наличие функций в /lib/lsb/init-functions.
• Вариант скрипта можно найти на странице: https://www.linuxfromscratch.org/lfs/view/development/scripts/apds02.html.
• Я взял скрипт из пакета sysvinit-utils debian: http://ftp.de.debian.org/debian/pool/main/s/sysvinit/sysvinit-utils_3.14-4_amd64.deb
• Скачайте его: https://disk.yandex.ru/d/VJl93JTNo-LR2w
• Установите:

  sudo mkdir -p /lib/lsb
  sudo cp init-functions /lib/lsb
  

4.3 Подготовка

• Запустите Continent Terminal Station:

  sudo systemctl enable --now cts.service
  

• Запустите генератор энтропии:

  /usr/share/cts/bin/cts generate-entropy
  

  • Вводите запрашиваемые символы для генерации случайных чисел.

4.4 Контрольные суммы

• Это не обязательно.
• Проверьте контрольные суммы:

  sudo -i /usr/share/cts/bin/ctsic -c -p
  

• Если возникли проблемы, можно сделать следующее.
• Повторное создание списка файлов, подлежащих контролю (содержится в файле /etc/cts/filelist):

  sudo /usr/share/cts/bin/autoctsic
  

• Пересчитайте контрольные суммы:

  sudo /usr/share/cts/bin/ctsic compute
  

4.5 Регистрация

• Запустите для регистрации (графическая программа):

  /usr/share/cts/bin/ctsregg
  

• Выберите Онлайн-регистрация -> Физическое лицо.
• Заполните все поля, отмеченные звёздочками.
• В поле Электронная почта следует указать свою корпоративную почту в формате family-ab@rudn.ru.

4.6 Настройка

• Отключаем проверку сертификатов по CRL:

  sudo -i /usr/share/cts/bin/cts edit settings general -cert-check-on-crl no
  

4.7 Профиль

• Если у вас остался старый профиль, удалите его:

  /usr/share/cts/bin/cts delete profile -name Cluster-KFW-1
  

• Импортируйте профиль:

  /usr/share/cts/bin/cts import profile -path profile.ts4 -file-pass WWzpc_1QcQ
  

  • На запрос Введите имя профиля введите Cluster-KFW-1.
  • Параметр -path должен указывать на файл профиля.

4.8 Вход по имени и паролю (не работает)

• На данный момент это не работает.
• Используйте сертификат.
• Переключите профиль на режим входа по имени и паролю:

  /usr/share/cts/bin/cts edit profile -name Cluster-KFW-1 -auth login -login family-ab@rudn.ru -default yes
  

4.9 Вход по сертификату

4.9.1 Запрос сертификата

• Запросите сертификат:
  • консольный вариант:

    /usr/share/cts/bin/cts request
    

  • графический вариант:

    /usr/share/cts/bin/ctsg
    

• Заполните поля для типа Физическое лицо.
• Почту укажите свою рабочую.
• ИНН: введите 12 единиц.
• СНИЛС: введите 11 единиц.
• DNS имя: не надо.
• URI ссылка: не надо.
• IP адрес: не надо.
• Имя файла как в почте: family-ab
• Файл family-ab.req будет в домашнем каталоге.

4.9.2 Отправка запроса

• Созданный файл необходимо направить:
  • Вариант 1. Вложением с Вашей корпоративной почты по адресу support@rudn.ru, указав тему письма: «Запрос на сертификат VPN Континент АП»
  • Вариант 2. Оставив обращение через раздел «Техническая поддержка» в Личном кабинете РУДН. Категория обращения «Не работает интернет, сетевые ресурсы» (IT-инфраструктура), суть проблемы «Запрос на сертификат VPN Континент АП» к обращению необходимо приложить файл запроса, добавить краткое описание и отправить обращение.
• Вы получите по почте сертификат Фамилия Имя Отчество.cer.

4.9.3 Импорт сертификата

• Импортируйте полученный сертификат:

  /usr/share/cts/bin/cts add cert -type user -path 'Фамилия Имя Отчество.cer'
  

• То же самое можно сделать из графического интерфейса:

  /usr/share/cts/bin/ctsg
  

4.9.4 Активация входа по сертификату

• На данный момент это не работает.
• Переключите профиль на режим входа по имени и паролю:

  /usr/share/cts/bin/cts edit profile -name Cluster-KFW-1 -auth cert -select-cert -default yes
  

4.10 Просмотр конфигурации

• Посмотрите параметры профиля:

  /usr/share/cts/bin/cts show profile
  

• Посмотреть настройки соединения:

  /usr/share/cts/bin/cts show config
  

• Посмотреть параметры конфигурации:

  /usr/share/cts/bin/cts show settings
  

4.11 Подключение

• Подключитесь к vpn:

  cts connect auto
  

• Можно подключиться с указанием конкретного профиля:

  cts connect -profile Cluster-KFW-1 -store-password
  

5 Установка ZTN Client (Windows)

5.1 Пререквизиты

• Возможно, следует установить Visual C++ Redistributable Packages for Visual Studio 2013:

  choco install vcredist2013 -y
  

• Делайте это только в том случае, когда возникнут проблемы при установке самой программы.

5.2 Установка

• Установите приложение.
• Перегрузите машину.

5.3 После установки

• Наберите энтропию.
• Зарегистрируйтесь.
• Импортируйте профиль.
  • Пароль: WWzpc_1QcQ

5.4 Отключение проверки CRL

• Остановите запущенную версию программы.
• Запустите с правами администратора.
• Отключите проверку CRL в настройках (Параметры → Основные).
• Остановите запущенную версию программы.
• Запустите под пользователем.

5.5 Сертификат

• Получите сертификат.
• Импортируйте сертификат.