Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

9 Страницы«<56789>
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#61 Оставлено : 9 апреля 2019 г. 18:52:28(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,441
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Обновление stunnel-msspi: https://github.com/deemr...stunnel-5.52-msspi-0.137

Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#62 Оставлено : 11 апреля 2019 г. 11:53:06(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,441
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Обновление stunnel-msspi: https://github.com/deemr...stunnel-5.53-msspi-0.138

Знания в базе знаний, поддержка в техподдержке
Offline dalnet  
#63 Оставлено : 13 мая 2019 г. 13:46:42(UTC)
dalnet

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.04.2019(UTC)
Сообщений: 3
Российская Федерация
Откуда: Серпухов

Добрый день.

Мне нужно организовать защищенный FTP канал под средством КриптоПро с шифрованием по ГОСТ 28147-89 криптоконтейнера, с обязательной валидацией и верификацией с использованием квалифицировнной усиленной ЭП.
Клиент должен заходить туда из интернета и скачивать/закачивать файлы.

Имеется Windows Server 2012.
На нём поднят IIS FTP, проверял, с внешки захожу в указанную папку.

Поставил Крипто CSP 4.ххх
Поставил stunnel той же версии что и КриптоПро.
Сделал сертификат через УЦ КриптоПро.
Конфиг:
output=c:\stunnel\stun.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7

[ftps]
accept=192.168.20.132:21
connect = 192.168.20.132:21
cert=с:\stunnel\BBS.cer
verify=2

С данным конфигом выдаёт ошибку:
Не удалось запустить службу Stunnel Service на Локальный компьютер.
Ошибка 1067: Процесс был неожиданно завершен.

Если добавляю строчку client = yes после [ftps] то служба запускается без проблем.

Без данной строчки лог:
2019.05.13 13:49:11 LOG5[11348:15632]: stunnel 4.18 on x86-pc-unknown
2019.05.13 13:49:11 LOG5[11348:15632]: Threading:WIN32 Sockets:SELECT,IPv6
2019.05.13 13:49:11 LOG5[11348:15632]: No limit detected for the number of clients
2019.05.13 13:49:11 LOG7[11348:15632]: FD 528 in non-blocking mode
2019.05.13 13:49:11 LOG7[11348:15632]: SO_REUSEADDR option set on accept socket
2019.05.13 13:49:11 LOG7[11348:15632]: ftps bound to 192.168.20.132:21
2019.05.13 13:49:11 LOG7[11348:15632]: open file с:\stunnel\BBS.cer with certificate
2019.05.13 13:49:11 LOG3[11348:15632]: GetFileInformationByHandle failed: 6
2019.05.13 13:49:11 LOG3[11348:15632]: CertCreateCertificateContext failed: 6d
2019.05.13 13:49:11 LOG3[11348:15632]: Error creating credentials

Со строчкой client = yes:
2019.05.13 13:50:50 LOG5[16864:17644]: stunnel 4.18 on x86-pc-unknown
2019.05.13 13:50:50 LOG5[16864:17644]: Threading:WIN32 Sockets:SELECT,IPv6
2019.05.13 13:50:50 LOG5[16864:17644]: No limit detected for the number of clients
2019.05.13 13:50:50 LOG7[16864:17644]: FD 532 in non-blocking mode
2019.05.13 13:50:50 LOG7[16864:17644]: SO_REUSEADDR option set on accept socket
2019.05.13 13:50:50 LOG7[16864:17644]: ftps bound to 192.168.20.132:21


Подскажите что делаю не так??

Отредактировано пользователем 13 мая 2019 г. 13:54:29(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#64 Оставлено : 13 мая 2019 г. 14:07:18(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,441
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: dalnet Перейти к цитате
accept=192.168.20.132:21
connect = 192.168.20.132:21

У вас один и тот же порт и ip-адрес используются для разных целей, это ошибка.

В случае stunnel сервера, сервер принимает защищённое соединение на порту, обычно 443, затем устанавливает соединение с целевой службой, в вашем случае похоже это ip_адрес_сервера_ftp:21.

В случае stunnel клиента, клиент эмулирует целевую службу, в вашем случае похоже 127.0.0.1:21, при этом устанавливает защищённое соединение к серверу stunnel, например ip_адрес_сервера_stunnel:443.
Знания в базе знаний, поддержка в техподдержке
Offline Максим Коллегин  
#65 Оставлено : 13 мая 2019 г. 14:08:05(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Файл присутствует и доступен по этому пути с:\stunnel\BBS.cer?
Знания в базе знаний, поддержка в техподдержке
Offline dalnet  
#66 Оставлено : 13 мая 2019 г. 16:19:54(UTC)
dalnet

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.04.2019(UTC)
Сообщений: 3
Российская Федерация
Откуда: Серпухов

Автор: Дмитрий Пичулин Перейти к цитате
Автор: dalnet Перейти к цитате
accept=192.168.20.132:21
connect = 192.168.20.132:21

У вас один и тот же порт и ip-адрес используются для разных целей, это ошибка.

В случае stunnel сервера, сервер принимает защищённое соединение на порту, обычно 443, затем устанавливает соединение с целевой службой, в вашем случае похоже это ip_адрес_сервера_ftp:21.

В случае stunnel клиента, клиент эмулирует целевую службу, в вашем случае похоже 127.0.0.1:21, при этом устанавливает защищённое соединение к серверу stunnel, например ip_адрес_сервера_stunnel:443.


Переделал конфиг:
output=c:\stunnel\stun.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7

[ftps]
accept=192.168.20.132:443
connect = 192.168.20.140:21
cert=с:\stunnel\BBS.cer
verify=2

Ошибка при запуске 1067 осталась.

В лог файле:
2019.05.13 16:15:07 LOG5[20760:10428]: stunnel 4.18 on x86-pc-unknown
2019.05.13 16:15:07 LOG5[20760:10428]: Threading:WIN32 Sockets:SELECT,IPv6
2019.05.13 16:15:07 LOG5[20760:10428]: No limit detected for the number of clients
2019.05.13 16:15:07 LOG7[20760:10428]: FD 528 in non-blocking mode
2019.05.13 16:15:07 LOG7[20760:10428]: SO_REUSEADDR option set on accept socket
2019.05.13 16:15:07 LOG7[20760:10428]: ftps bound to 192.168.20.132:443
2019.05.13 16:15:07 LOG7[20760:10428]: open file с:\stunnel\BBS.cer with certificate
2019.05.13 16:15:07 LOG3[20760:10428]: GetFileInformationByHandle failed: 6
2019.05.13 16:15:07 LOG3[20760:10428]: CertCreateCertificateContext failed: 6d
2019.05.13 16:15:07 LOG3[20760:10428]: Error creating credentials


Offline dalnet  
#67 Оставлено : 13 мая 2019 г. 16:22:39(UTC)
dalnet

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.04.2019(UTC)
Сообщений: 3
Российская Федерация
Откуда: Серпухов

Автор: Максим Коллегин Перейти к цитате
Файл присутствует и доступен по этому пути с:\stunnel\BBS.cer?


Файл в данном каталоге лежит.

Вот файл сертификата BBS.rar (1kb) загружен 4 раз(а).
Offline Максим Коллегин  
#68 Оставлено : 13 мая 2019 г. 16:45:18(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Мне кажется, у вас первая буква в пути русская "С"
Знания в базе знаний, поддержка в техподдержке
Offline two_oceans  
#69 Оставлено : 15 мая 2019 г. 7:42:07(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Кстати, а не может при этом случайно срабатывать трактовка c: как признака, что далее идет имя контейнера?

Если это msspi версия stunnel, то можно вообще от путей отказаться и после cert= указать хэш сертификата.
Offline Санчир Момолдаев  
#70 Оставлено : 17 мая 2019 г. 19:54:21(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,038
Российская Федерация

Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 223 раз в 211 постах
Автор: dalnet Перейти к цитате
Добрый день.
Мне нужно организовать защищенный FTP канал под средством КриптоПро с шифрованием по ГОСТ 28147-89 криптоконтейнера, с обязательной валидацией и верификацией с использованием квалифицировнной усиленной ЭП.
Клиент должен заходить туда из интернета и скачивать/закачивать файлы.

дополнительно не забудьте, что по 21 порту идет канал управления, сами данные идут по каналу данных, это либо 20, либо порты указанные в пассивном режиме. как и для NAT так и для stunnel думаю лучше использовать пассивный режим работы ftp
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
9 Страницы«<56789>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.