Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline BadBatCat  
#1 Оставлено : 28 августа 2019 г. 11:40:28(UTC)
BadBatCat

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.08.2019(UTC)
Сообщений: 6
Беларусь
Откуда: Гомель

Сказал(а) «Спасибо»: 1 раз
Доброго дня,

Имеется следующая схемка и её реализация:
GOST-proxy-tunnel.png (79kb) загружен 38 раз(а).

В сети 1 расположено веб-приложение с nginx и КриптоПРО собранный по инструкции на сайте, между сетями создан аппаратный тоннель IPSec, в сети 2 находится приложение-клиент, которое не умеет в ГОСТ, поэтому там же расположен реверс-прокси на кастомной сборке nginx 1.16.1 + openssl 1.1.0k + референс gost (https://github.com/gost-engine/), предполагается работа с односторонней аутентификацией TLS (Одно из требований - шифрование данных при передаче через протокол ГОСТ).
Конфигурация реверс прокси:


При обращении от клиента к серверу в сети 2 через реверс прокси - регулярно проскакивает 502 ошибка:

В это время в логах nginx (реверс прокси):

В логах целевого сервера:


Неудачно обвинив в данной проблемы HTTPS-inspection на внутрисетевых файрволах пришлость заняться снятием дампов пакетов, где и обнаружилось что на пакет клиента с ClientHello
целевой сервер не отвечает, а разрывает соединение:


Вариант с реверс прокси рабочий, по крайней мере при запросах на сайт https://www.cryptopro.ru по ГОСТ2012 проблем не возникает


Собственно вопросы:
Что делать?
Кто нибудь сталкивался с подобным поведением/проблемой?
Как-нибудь можно отдебажить проблему со стороны КриптоПРО CSP ?

Буду признателен за любую помощь с этой проблемой


UPD:
Проблема появилась после перехода на ГОСТ2012 в сети 1,
на ГОСТ2001 проблемы не наблюдалось.

Отредактировано пользователем 28 августа 2019 г. 12:35:51(UTC)  | Причина: Не указана

Offline Максим Коллегин  
#2 Оставлено : 28 августа 2019 г. 12:05:42(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,067
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 606 раз в 541 постах
А если использовать stunnel (https://github.com/deemru/stunnel) вместо nginx ошибка тоже будет?
Знания в базе знаний, поддержка в техподдержке
Offline BadBatCat  
#3 Оставлено : 28 августа 2019 г. 12:29:24(UTC)
BadBatCat

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.08.2019(UTC)
Сообщений: 6
Беларусь
Откуда: Гомель

Сказал(а) «Спасибо»: 1 раз
Автор: Максим Коллегин Перейти к цитате
А если использовать stunnel (https://github.com/deemru/stunnel) вместо nginx ошибка тоже будет?

с референсным ГОСТ не проверял, с КриптоПРО+stunnel реализация у меня работает на подобной интеграции, но надо ставить станелл с двух сторон (я владею только сеть2 ), ну и расходы на серверную лицензию CSP.
Offline Максим Коллегин  
#4 Оставлено : 28 августа 2019 г. 12:32:08(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,067
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 606 раз в 541 постах
Попробуйте оставить только TLS 1.0
Знания в базе знаний, поддержка в техподдержке
Offline BadBatCat  
#5 Оставлено : 28 августа 2019 г. 14:37:23(UTC)
BadBatCat

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.08.2019(UTC)
Сообщений: 6
Беларусь
Откуда: Гомель

Сказал(а) «Спасибо»: 1 раз
Автор: Максим Коллегин Перейти к цитате
Попробуйте оставить только TLS 1.0


Попробовали,
СЕТЬ 1
{
##ssl_protocols TLSv1.2;
ssl_protocols TLSv1;
ssl_ciphers GOST2012-GOST8912-GOST8912:HIGH;
}

СЕТЬ2
{
proxy_ssl_ciphers GOST2012-GOST8912-GOST8912:HIGH;
proxy_ssl_protocols TLSv1;
}

[root@document-service-4264930791-25g64 /]# for i in {1..5}; do echo $(curl http://nginx-gost-service.ahml:8088 -sI | grep HTTP); sleep 1; done
HTTP/1.1 502 Bad Gateway
HTTP/1.1 502 Bad Gateway
HTTP/1.1 502 Bad Gateway
HTTP/1.1 502 Bad Gateway
HTTP/1.1 200 OK



дамп пакетов:
Capture2.PNG (77kb) загружен 6 раз(а).

Ситуация не изменилась(
Offline Максим Коллегин  
#6 Оставлено : 28 августа 2019 г. 14:42:28(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,067
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 606 раз в 541 постах
Ошибок в логе от CSP нет?
Знания в базе знаний, поддержка в техподдержке
Offline BadBatCat  
#7 Оставлено : 28 августа 2019 г. 15:23:36(UTC)
BadBatCat

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.08.2019(UTC)
Сообщений: 6
Беларусь
Откуда: Гомель

Сказал(а) «Спасибо»: 1 раз
Автор: Максим Коллегин Перейти к цитате
Ошибок в логе от CSP нет?


Не подскажете какие маски нужно выставить и на каких модулях?
По-умолчанию вроде выключено логирование.
Offline Максим Коллегин  
#8 Оставлено : 28 августа 2019 г. 15:26:12(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,067
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 606 раз в 541 постах
По умолчанию только ошибки.
Знания в базе знаний, поддержка в техподдержке
Offline BadBatCat  
#9 Оставлено : 28 августа 2019 г. 18:06:00(UTC)
BadBatCat

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.08.2019(UTC)
Сообщений: 6
Беларусь
Откуда: Гомель

Сказал(а) «Спасибо»: 1 раз
Автор: Максим Коллегин Перейти к цитате
Ошибок в логе от CSP нет?


Есть такое:

crmuser@crm2:~$ grep cpcsp /var/log/syslog

crmuser@crm2:~$ grep libssp /var/log/syslog

crmuser@crm2:~$ grep cryptsrv /var/log/syslog

Offline Максим Коллегин  
#10 Оставлено : 28 августа 2019 г. 18:10:04(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,067
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 606 раз в 541 постах
Эти скорее всего ни при чем, пока больше идей нет. Ближайшую неделю специалист по интеграции nginx в отпуске.
Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#11 Оставлено : 28 августа 2019 г. 18:44:37(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,173
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 199 раз в 171 постах
Автор: BadBatCat Перейти к цитате
[root@document-service-4264930791-25g64 /]# for i in {1..5}; do echo $(curl http://nginx-gost-service.ahml:8088 -sI | grep HTTP); sleep 1; done
HTTP/1.1 502 Bad Gateway
HTTP/1.1 502 Bad Gateway
HTTP/1.1 502 Bad Gateway
HTTP/1.1 502 Bad Gateway
HTTP/1.1 200 OK



Какие-то глюки сессионного кэша, попробуйте:

Код:
proxy_ssl_session_reuse off;
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
BadBatCat оставлено 28.08.2019(UTC)
Offline BadBatCat  
#12 Оставлено : 28 августа 2019 г. 19:00:53(UTC)
BadBatCat

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.08.2019(UTC)
Сообщений: 6
Беларусь
Откуда: Гомель

Сказал(а) «Спасибо»: 1 раз
Автор: Дмитрий Пичулин Перейти к цитате

Какие-то глюки сессионного кэша, попробуйте:
Код:
proxy_ssl_session_reuse off;

Pray
ОНО! Спасибо. Applause
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.