Главная / Единый шлюз доступа к Интернету (ЕШДИ) и Единый шлюз электронной почты (ЕШЭП)

Единый шлюз доступа к Интернету (ЕШДИ) и Единый шлюз электронной почты (ЕШЭП)

 

АО «Государственная техническая служба» осуществляет сопровождение Единого шлюза доступа к Интернету и Единого шлюза электронной почты «электронного правительства» в соответствии с пп. 6) п. 1 статьи 14 Закона Республики Казахстан «Об информатизации» (далее – Закон).

Единый шлюз доступа к Интернету – аппаратно-программный комплекс, предназначенный для защиты сетей телекоммуникаций при доступе к Интернету и (или) сетям связи, имеющим выход в Интернет.

Единый шлюз электронной почты «электронного правительства» – аппаратно-программный комплекс, обеспечивающий защиту электронной почты «электронного правительства» в соответствии с требованиями информационной безопасности. В соответствии со статьей 30 Закона:

  1. Подключение локальных, ведомственных и корпоративных сетей телекоммуникаций государственных органов, органов местного самоуправления, государственных юридических лиц, субъектов квазигосударственного сектора, а также собственников или владельцев критически важных объектов информационно-коммуникационной инфраструктуры к Интернету осуществляется операторами связи через единый шлюз доступа к Интернету. (субъекты квазигосударственного сектора — государственные предприятия, товарищества с ограниченной ответственностью, акционерные общества, в том числе национальные управляющие холдинги, национальные холдинги, национальные компании, участником или акционером которых является государство, а также дочерние, зависимые и иные юридические лица, являющиеся аффилированными с ними в соответствии с законодательными актами Республики Казахстан в соответствии с пп. 31) пункта 1 статьи 3 Бюджетного кодекса Республики Казахстан от 4 декабря 2008 года № 95-IV.
  2. Подключение локальных, ведомственных и корпоративных сетей телекоммуникаций государственных органов и органов местного самоуправления к Интернету осуществляется в соответствии с едиными требованиями в области информационно-коммуникационных технологий и обеспечения информационной безопасности.
  3. Специальными государственными и правоохранительными органами в оперативных целях, Национальным Банком Республики Казахстан могут быть организованы подключения к Интернету без использования единого шлюза доступа к Интернету.
  4. Электронное взаимодействие электронной почты государственного органа с внешней электронной почтой осуществляется перенаправлением электронных сообщений через единый шлюз электронной почты «электронного правительства».В соответствии с пп. 5) п. 1 постановления Правительства Республики Казахстан № 965 от 14 сентября 2004 г. «О некоторых мерах по обеспечению информационной безопасности в Республике Казахстан» (далее – Постановление) в целях поддержания защищенности государственных электронных информационных ресурсов и информационных систем, функционирование государственных электронных информационных ресурсов, информационных систем, обеспечивающих предоставление государственных услуг посредством сети Интернет, осуществляется через единый шлюз доступа к Интернету.
    Согласно пп. 6) п. 1 постановления Перечень категорий интернет-ресурсов, к которым ограничен доступ средствами единого шлюза доступа к Интернету (далее – Перечень), определяется самим государственным органом.
    Указанный Перечень и списки сетевых адресов информационно-коммуникационных сетей государственных органов и их территориальных подразделений, получающих доступ к Интернету, направляются для исполнения в государственную техническую службу.


Корневой сертификат Единого шлюза доступа к Интернету

Скачать корневой сертификат

Инструкция по установке корневого сертификата для ЕШДИ

Скачать категории сетевых приложений

Скачать перечень_категорий_интернет_ресурсов

Тикетная система для подачи заявки в техническую поддержку support.sts.kz

Скачать инструкцию по подаче заявки support.sts.kz

Telegram-канал для консультаций и оперативного решения вопросов-USIAGPublic в рамках ЕШДИ https://t.me/usiag

Проверка подключения IP-адреса организаций к ЕШДИ на текущий момент https://checkip.sts.kz и @usiag_bot-(telegram-бот).

Часто задаваемые вопросы по ЕШДИ

Что такое ЕШДИ?

Аппаратно-программный комплекс, предназначенный для защиты пользователей (государственных органов, квазигосударственных органов, органов местного самоуправления, государственных юридических лиц, собственников КВОИКИ) от угроз при их доступе к Интернет, сетям связи, имеющим выход в Интернет, а также из Интернет в сторону пользователей ЕШДИ. ЕШДИ включает в себя следующий функционал: Защита от DOS/DDoS, потоковый антивирус, IPS (защита от атак на сетевое прикладное программное обеспечение, эксплуатации уязвимостей), контроль за Botnet, веб-фильтрация (более 70 категорий), DNS-фильтр, WAF для web-ресурсов, находящихся внутри периметра ЕШДИ. Для обеспечения полноценного функционала антивируса, IPS, веб-фильтрации и т.п применяется технология инспектирования шифрованного трафика.

Согласно каким нормативно-правовым актам функционирует ЕШДИ?

ЕШДИ функционирует согласно статьи 14, 30 Закона Республики Казахстан «Об информатизации», Единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности Постановления Правительства Республики Казахстан от 20 декабря 2016 года № 832, Правил функционирования единого шлюза доступа к Интернету и единого шлюза электронной почты «электронного правительства» приказа Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 13 октября 2020 года № 386/НҚ.

Что блокируется на ЕШДИ по умолчанию?

  • VPN-приложения (Freegate, OpenVPN, Betternet, Ultrasurf, L2TP, OperaVPN и т.д.), средства удаленного доступа (RDP, Teamviewer, Anydesk, VNC,AeroAdmin и т.п), P2P (Torrent, SopCast и т.п), игровые ресурсы (Steam, Garena, PUBG, Fortnite и т.п.), вредоносные ИР и ПО, неизвестные приложения, не входящие по умолчанию в перечень категорий ИР и ПО.
  • Остальные сервисы на ЕШДИ (в том числе, IPSec VPN-ы, сетевые порты) не блокируются, а их блокировки определяются самой организацией, подключенной к ЕШДИ посредством отправки официального письма в АО «ГТС». (На текущий момент по инициативе АО «ГТС» ведется работа по изменению НПА в целях упрощения взаимодействия с пользователями для уменьшения официальной переписки и большего использования тикетной системы support.sts.kz. После внесения изменений в НПА данная информация будет доведена до пользователей ЕШДИ.)

Действия пользователя при подключении к ЕШДИ:

  • Ознакомиться с НПА, регламентирующими деятельность ЕШДИ;
  • Изучить ЕТ, а также узнать, что согласно ЕТ на ЕШДИ блокируется следующие сервисы: VPN-приложения (Fregate, OpenVPN, Betternet, Ultrasurf, L2TP, OperaVPN и т.д.), средства удаленного доступа (RDP, Teamviewer, Anydesk, VNC,AeroAdmin и т.п), P2P (Torrent, SopCast и т.п), игровые ресурсы (Steam, Garena, PUBG, Fortnite и т.п.), вредоносные ИР и ПО, неизвестные приложения, не входящие по умолчанию в перечень категорий ИР и ПО;
  • Изучить список категорий ИР и ПО на ЕШДИ. Согласно данным спискам оформить официальный запрос в АО «ГТС» для открытия/закрытия доступов к тем или иным ресурсам. Обновлять данное письмо следует на ежегодной основе. Список категорий ИР и ПО можно загрузить с sts.kz/eshdi;
  • Принять во внимание тот факт, что на ЕШДИ используется технология инспектирования шифрованного трафика. В целях корректной работоспособности Интернет-сервисов пользователям ЕШДИ необходимо установить соответствующий сертификат ЕШДИ на каждый хост, имеющий выход в Интернет, согласно инструкции (sts.kz/eshdi). В случае отсутствия установленных сертификатов Интернет-сервисы будут функционировать некорректно;
  • В случае появления технических проблем вести взаимодействие посредством тикетной системы ЕШДИ support.sts.kz. Инструкцию по подаче заявок можно загрузить с sts.kz/eshdi.

После подключения к ЕШДИ не работает TeamViewer/Anydesk/RDP?

Согласно ЕТ средства удаленного доступа в ЕШДИ запрещены. Рекомендуем использовать IPsec VPN туннели.

Не работает Zoom?

ГТС не осуществляет блокировку Zoom на ЕШДИ. Вместе с тем, на ЕШДИ применяется технология инспектирования шифрованного трафика для выявления широкого спектра угроз. В свою очередь приложение Zoom использует технологию SSL-pinning, что позволяет приложению Zoom не «доверять» сертификату ЕШДИ, вследствие чего приложение Zoom в ЕШДИ не работает. АО «ГТС» рекомендует использовать браузеру версию Zoom. В случае необходимости использования необходимо оформить официальный запрос в КНБ РК с копией в АО «ГТС».

Для чего нужна установка сертификата в ЕШДИ?

Сертификат ЕШДИ используется для инспектирования шифрованного трафика с целью выявления вредоносного программного обеспечения, различных Botnet, осуществления корректной веб-фильтрации и т.п. ведь около 80 процентов трафика на сегодняшний день является шифрованным и стандартные средства защиты просто не смогут определить то или иное вредоносное ПО в случае если трафик является шифрованным. В случае если пользователь не установит сертификат ЕШДИ, то, большинство Интернет-ресурсов будут недоступны для пользователя.

 

Каким образом осуществляется применение правил по отношению к той или иной организации на ЕШДИ?

  • Применение правил по отношению к той или иной организации на ЕШДИ осуществляется посредством использования публичного IP-адреса, который использует организация, подключенная к ЕШДИ.;
  • Публичный IP-адрес – это IP-адрес, используемый для выхода в Интернет. Такой адрес является уникальным во всей сети Интернет. В локальной сети организаций используются так называемые приватные IP-адреса. При подаче заявок/официальных писем в АО «ГТС» необходимо указывать только публичные IP-адреса организации.

Как узнать свой публичный IP-адрес?

  • Вы можете узнать его у своего провайдера, предоставляющего доступ к Интернет.;
  • Вы можете использовать соответствующие сервисы в Интернет как: checkip.sts.kz, 2ip.kz и т.д.

Не открывается тот или иной сайт. Что делать?

В случае наличия проблем с доступ к определенным ресурсам организации, подключенной к ЕШДИ необходимо создать заявку на сайте support.sts.kz. При создании заявки в обязательном порядке необходимо указать публичные IP-адреса организации, а также сервисы с которыми наблюдаются доступы. Лишним не будет оставить актуальные контактные данные для оперативной обратной связи. С инструкцией по подаче заявки можно ознакомиться по адресу sts.kz/eshdi.

 

Что означает данный баннер?

 

 

 

 

 

Данный баннер означает, что пользователь обращается к Интернет-ресурсу, заблокированному на ЕШДИ по умолчанию (согласно ЕТ) либо согласно официальному запросу организации в АО ГТС.

В случае если вы открываете легитимный, не запрещенный для вашей организации Интернет-ресурс и появляется соответствующий баннер существует вероятность:

  • что данный Интернет-ресурс заражен вредоносным ПО;
  • у данного ресурса отсутствует соответствующая категория;
  • пользователь использует различные VPN-приложения, в том числе как встроенные расширения в браузер.

Для того чтобы проверить действительно ли является данный ресурс вредоносным вы можете проверить это самостоятельно на сайте virustotal.com вставив адрес сайта в поле URL. Данный сервис проверяет различные файлы и ссылки на множестве имеющихся на рынке антивирусных средств.

В случае использования различных VPN-приложений для обхода ограничений вы должны их отключить и осуществить повторную попытку открыть сайт.

Необходимо создать заявку на support.sts.kz. в случае если:

  • у сайта отсутствует категория;
  • данный сайт не является вредоносным;
  • данный сайт не относится к запрещенным по умолчанию на ЕШДИ категориям;
  • данный сайт не относится к категории, которая организация самостоятельно подала на блокировку средствами ЕШДИ;

Что означает данный баннер?

 

 

 

 

 

Данный баннер означает, что сработал функционал по защите Интернет-ресурсов, находящихся внутри периметра ЕШДИ. Существует высокая вероятность, что устройство с которого была выполнена попытка подключения к Интернет-ресурсу заражена вредоносным программным обеспечением. В случае ложноположительного срабатывания пользователю необходимо создать заявку на support.sts.kz приложив скриншот с указанием IP-адреса и даты/времени события.