Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

12 Страницы«<7891011>»
Опции
К последнему сообщению К первому непрочитанному
Offline rozhkov  
#81 Оставлено : 14 ноября 2011 г. 14:21:32(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про

Да.
Offline Дмитрий Пичулин  
#82 Оставлено : 20 сентября 2012 г. 21:35:34(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Для тестирования VPN на основе КриптоПро IPsec рекомендуется:
1) Установить текущую версию КриптоПро IPsec ( http://cryptopro.ru/products/ipsec/downloads/ ) (1.0.0791)
2) Попробовать подключиться к нашему эталону http://193.37.157.89/ (см. readme там же)
3) Задать вопросы

Знания в базе знаний, поддержка в техподдержке
Offline Oleg68  
#83 Оставлено : 24 мая 2013 г. 13:15:15(UTC)
Oleg68

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.05.2013(UTC)
Сообщений: 3
Российская Федерация

А можно пошаговую инструкцию, для совсем далеких? Начиная с установки КриптоПро. )
Задача такая - Windows Server 2003, клиент Windows XP. Соединяем Client-to-Site.
По руководству прошелся, тут всё прочитал предварительно, но понял не всё.
Результат как у предыдущих ораторов - 789.
Спасибо.
Offline Oleg68  
#84 Оставлено : 30 мая 2013 г. 14:21:04(UTC)
Oleg68

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.05.2013(UTC)
Сообщений: 3
Российская Федерация

Давайте тогда я сам отвечу.

Задача такова – поднять защищённый канал связи между филиалом и головным офисом при помощи VPN, теперь уже СЕРТИФИЦИРОВАННОГО ФСБ КриптоПро IPsec.

1. Берём Windows Server 20xx и поднимаем на нём Сервер удалённого доступа / VPN (Маршрутизация и удалённый доступ). Как это делается можно посмотреть тут http://support.microsoft.com/kb/323441 или воспользоваться ссылками, приведёнными в "ЖТЯИ.00074-01 90 02. Руководство администратора безопасности" от КриптоПро IPsec.
Не забываем создать на сервере пользователя (User) с паролем, и в свойствах учётной проставить ему "Разрешение на удалённый доступ (VPN или модем)".

2. Для чистоты эксперимента подключаемся к этому серверу с любой рабочей станции по PPTP. При успехе этого мероприятия, подключаемся по L2TP/IPSec, "Для проверки подлинности используем предварительный ключ", допустим 123456789.
Если всё работает, то подверимся ещё раз – на сервере откроем "Управление компьютером" - "Маршрутизация и удалённый доступ" - "Порты" - Свойства.
Отключаем всё кроме L2TP. Ok. Подключаемся ещё раз, если работает переходим к КриптоПро.
Offline Oleg68  
#85 Оставлено : 30 мая 2013 г. 14:22:05(UTC)
Oleg68

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.05.2013(UTC)
Сообщений: 3
Российская Федерация

3. На сервер и клиент устанавливаем КриптоПро CSP 3.6 R3 и КриптоПро IPsec согласно всё тому же "ЖТЯИ.00074-01 90 02. Руководство администратора безопасности". Перезагружаем машинки по потребности.

4. На сервере, как описано в руководстве, запускаем –

genpsk -D TestNet -n 02.06.11 -v 2 -m 6 -f GenPSK -P CMAK -S -N ForOffice ForClient

но, конечно, меняем дату… и в конце строки дописываем, допустим " > text.txt ".

genpsk -D TestNet -n 30.05.13 -v 2 -m 6 -f GenPSK -P CMAK -S -N ForOffice ForClient > text.txt

В итоге, в этом файле мы получим две строчки, например:

30.05.13,ForOffice,FPH90HEKY2WDWPR1W2VLAZD603C1
30.05.13,ForClient,UKUX0QYGM52EPPEPG5HZ09URUU41

Первую строчку ЦЕЛИКОМ прописываем в качестве предварительного ключа на стороне сервера, вторую на стороне клиента.
Всё. Пробуем подключение.

Поправьте меня, если я где-то не прав.
А я могу ошибаться.
Спасибо.
Offline Дмитрий Пичулин  
#86 Оставлено : 13 июня 2013 г. 14:09:40(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Шаги по настройке в порядке. Если, что-то при использовании PSK не работает то:
1) воспользоваться аудитом и просмотром событий штатных журналов ОС (если до установки КриптоПро IPsec оригинальный L2TP/IPsec работал нормально, то с большой вероятностью этот шаг можно пропустить)
2) убедиться, что PSK корректен с помощью утилиты genpsk (genpsk -D Glb -n N73 -v 23 -f chkpsk -K U8FH6TYUAGRE9MVAU0XKYHBQ7THR -N S1)
3) запустить cp_ipsec_info и посмотреть консоль, возможно ошибка будет очевидна по логу
4) отправить нам лог работы программы cp_ipsec_info (cp_ipsec_info имя_лог_файла.log) с описанием вашей конфигурации, проверим - ответим
Знания в базе знаний, поддержка в техподдержке
Offline hasm  
#87 Оставлено : 8 июля 2013 г. 10:26:38(UTC)
hasm

Статус: Участник

Группы: Участники
Зарегистрирован: 04.08.2011(UTC)
Сообщений: 11

Добрый день! Помогите настроить указанное выше, только не по PSK а по сертификатам.
Шаги 1, 2 и 3 выполнил все работает. Также поставил вместо предварительного ключа проверку по сертификату. Таким образом осуществляется проверка по сертификатам компьютера по протоколу IKE и если использовать стандартную аутентификацию пользователя по логину и паролю то все работает.
Никак не могу настроить, чтобы пользователь также проходил аутентификацию по сертификату. У нас изолированный УЦ, на нем был выпущен пользовательский сертификат установил я его на клиентскую машину. В настройках подключения клиента поставил PEAP метод проверки подлинности "Смарт-карта или иной сертификат", во время подключения выбираю нужный сертификат но аутентификация не проходит. Сервер не имеет доступа к ЦС, может с этим связано? Подскажите, может нужно на сервере где-то прописать пользовательский сертификат?
Спасибо!
Offline Дмитрий Пичулин  
#88 Оставлено : 8 июля 2013 г. 12:34:56(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: hasm Перейти к цитате
Шаги 1, 2 и 3 выполнил все работает. Также поставил вместо предварительного ключа проверку по сертификату. Таким образом осуществляется проверка по сертификатам компьютера по протоколу IKE и если использовать стандартную аутентификацию пользователя по логину и паролю то все работает.

Это означает что IPsec работает корректно.

Автор: hasm Перейти к цитате
Никак не могу настроить, чтобы пользователь также проходил аутентификацию по сертификату. У нас изолированный УЦ, на нем был выпущен пользовательский сертификат установил я его на клиентскую машину. В настройках подключения клиента поставил PEAP метод проверки подлинности "Смарт-карта или иной сертификат", во время подключения выбираю нужный сертификат но аутентификация не проходит. Сервер не имеет доступа к ЦС, может с этим связано? Подскажите, может нужно на сервере где-то прописать пользовательский сертификат?

Этот вопрос, с большой вероятностью, не входит в проблематику IPsec. Предлагается исключить влияние IPsec, переключившись на PPTP соединение. При возникновении проблем, обратиться в нашу техподдержку (support@cryptopro.ru) по вопросу настройки аутентификации по клиентскому сертификату в рамках PEAP.
Знания в базе знаний, поддержка в техподдержке
Offline hasm  
#89 Оставлено : 8 июля 2013 г. 13:14:05(UTC)
hasm

Статус: Участник

Группы: Участники
Зарегистрирован: 04.08.2011(UTC)
Сообщений: 11

Хорошо, спасибо. Еще один вопрос. Как удостовериться в том, что установленное соединение использует ГОСТ шифрование?
Спасибо!
Offline Дмитрий Пичулин  
#90 Оставлено : 8 июля 2013 г. 13:42:03(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: hasm Перейти к цитате
Как удостовериться в том, что установленное соединение использует ГОСТ шифрование?

  1. Лог cp_ipsec_info содержит информацию о текущих ESP сессиях с направлением и последнем порядковом номере обработанного пакета, это выглядит приблизительно так:
    Цитата:
    (05:45:35.646) CPInfoThread: <-> stats:
    (05:45:35.646) CPInfoThread: SPI: 'D1A94AE3' <- (686)
    (05:45:35.646) CPInfoThread: SPI: '84CD5D70' -> (801)
    (05:45:35.646) CPInfoThread: SPI: '4104F129' <- (68)
    (05:45:35.646) CPInfoThread: SPI: '8C2AD8FC' -> (68)

  2. Оснастка "Монитор IP-безопасности" в консоле (mmc) является мониторингом статистики и текущих IPsec соединений в ОС Windows (при активном КриптоПро IPsec, см. пункт 3, не обращать внимание на слова 3DES, SHA1 и т.д.)
  3. В меню cp_ipsec_info содержится информация о текущем состояния IPsec драйвера и фильтр драйвера. Если отображаются состояния "работает" и "работает (только проверка)", соответственно, гарантируется шифрование исходящего ESP трафика по ГОСТ. При наличии более высоких требований к исходящему трафику, фильтр может быть переключен в активный режим ("работает"), в этом случае можно заблокировать весь не IPsec трафик. Подробности настройки фильтра в полном объеме изложены документации.

    cp_ipsec_info_menu

  4. Запустить анализатор трафика, проанализировать трафик на наличие IPsec пакетов.

Отредактировано пользователем 8 июля 2013 г. 13:58:26(UTC)  | Причина: добавлено изображение.

Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
12 Страницы«<7891011>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.