Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline res  
#1 Оставлено : 2 апреля 2015 г. 17:04:55(UTC)
res

Статус: Новичок

Группы: Участники
Зарегистрирован: 18.03.2015(UTC)
Сообщений: 8
Российская Федерация
Откуда: Мурманск

Добрый день!

1.В руководстве администратора безопасности версии 1.1 в п.1.Назначение есть фраза в конце:
"Соединения, построенные с использованием режимов и алгоритмов IPSec, отличных от описанных в настоящей документации, должны рассматриваться как незащищенные соединения."
Значит ли это, что любая конфигурация с использованием cryptopro ipsec отличная от приведенных в данном руководстве должна рассматриваться как незащищенная, соответственно на нее не будет распространятся сертификация ФСБ?

2.В лицензии на CryptoPro IpSec сказано:
"3.2. Вознаграждение Лицензиара за предоставленное право на использование программы для ЭВМ СКЗИ «КриптоПро IPsec» на рабочем месте входит в сумму вознаграждения за предоставленное право на использование программы для ЭВМ СКЗИ «КриптоПро CSP» версии 3.6.1 на условиях простой (неисключительной) лицензии."
В то же время в прайсе видим:
"Лицензия на право использования СКЗИ КриптоПро IPSec версии 1.0 на одном сервере - 20000"
Поясните, плз.
Получается надо купить лицензию за 20 тыс.руб. на CryptoPro CSP на сервер и CryptoPro IPsec на сервер то же за 20. Итого 40 тыс.руб. Как это вяжется с лицензией?
Offline Дмитрий Пичулин  
#2 Оставлено : 2 апреля 2015 г. 17:18:37(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
По первому пункту, имеется ввиду, что можно так плохо настроить IPsec, что соединия на самом деле будут не защищены, всё пойдёт в открытом виде. Поэтому мы себя защищаем от подобных конфигураций.

Если вам кажется, что ваша конфигурация не подходит под предложенные в документации, возможно мы что-то упустили. Можете раскрыть подробности вашей конфигурации, которая не подходит под приведенные в руководстве?

По второму пункту:

Коммерческий отдел написал:
на рабочем месте бесплатно, купи только CSP
на сервере за деньги, но CSP все равно купить нужно

Отредактировано пользователем 2 апреля 2015 г. 17:23:47(UTC)  | Причина: добавлен ответ на второй вопрос

Знания в базе знаний, поддержка в техподдержке
Offline res  
#3 Оставлено : 2 апреля 2015 г. 19:40:28(UTC)
res

Статус: Новичок

Группы: Участники
Зарегистрирован: 18.03.2015(UTC)
Сообщений: 8
Российская Федерация
Откуда: Мурманск

Хотим связать удаленные офисы с головным. Сейчас на шлюзе (он же фаервол) в головном офисе настроен ipsec, на стандартной западной криптографии.
В удаленных офисах в качестве шлюза обычные рабочие станции на Windows XP, там то же поднят ipsec. Хочется сертифицированной защиты :)
Предполагаем за существующим шлюзом в головном офисе поставить сервер с CryptoPro CSP + ipsec, такая же конфигурация на шлюзах в удаленных офисах. Маршрутизация в голове для доступа в удаленные офисы настраивается через этот сервер. Использовать PSK или сертификаты - пока не решили, протестируем потом определимся.
Вопрос вызван тем, что в Руководстве администратора безопасности описывавются варианты с использованием ISA, TMG, CheckPoint совместно с КриптоПро ipsec на одном сервере - у нас ничего из этих продуктов не используется и фаервол/шлюз планируется внешний по отношению к серверу с КриптоПро ipsec.
Offline Дмитрий Пичулин  
#4 Оставлено : 3 апреля 2015 г. 11:39:06(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: res Перейти к цитате
в Руководстве администратора безопасности описывавются варианты с использованием ISA, TMG, CheckPoint совместно с КриптоПро ipsec на одном сервере - у нас ничего из этих продуктов не используется и фаервол/шлюз планируется внешний по отношению к серверу с КриптоПро ipsec.

Судя по всему, вы используете схему client-to-site: 1 сервер (головной офис) и клиенты (windows xp).

Это реализуется с использованием RRAS на L2TP/IPsec, см. "10.1. Настройка VPN для безопасного подключения клиента к сети офиса", где есть ссылки на инструкции как с использование TMG, так и без, только средствами самих Windows Server.
Знания в базе знаний, поддержка в техподдержке
Offline res  
#5 Оставлено : 3 апреля 2015 г. 12:02:00(UTC)
res

Статус: Новичок

Группы: Участники
Зарегистрирован: 18.03.2015(UTC)
Сообщений: 8
Российская Федерация
Откуда: Мурманск

Автор: pd Перейти к цитате

Судя по всему, вы используете схему client-to-site: 1 сервер (головной офис) и клиенты (windows xp).

Нет. site-to-site. Даже там где 2 компа. Один из компов - шлюз. Как ни странно, Windows Xp и Windows 7 нормально справляются с ролью шлюза.
Авторизация клиентов не нужна, шлюз в удаленном офисе должен быть всегда на связи, даже если пользователь не работает в данный момент.
Offline Дмитрий Пичулин  
#6 Оставлено : 3 апреля 2015 г. 12:04:35(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: res Перейти к цитате
Нет. site-to-site. Даже там где 2 компа. Один из компов - шлюз. Как ни странно, Windows Xp и Windows 7 нормально справляются с ролью шлюза.

Расскажите подробнее про то как вы это настроили, а то непонятно о какой технолигии речь, туннельный IPsec с прописыванием подсетей на каждом шлюзе?
Знания в базе знаний, поддержка в техподдержке
Offline res  
#7 Оставлено : 3 апреля 2015 г. 12:28:27(UTC)
res

Статус: Новичок

Группы: Участники
Зарегистрирован: 18.03.2015(UTC)
Сообщений: 8
Российская Федерация
Откуда: Мурманск

Да, совершенно верно, туннельный ipsec с подсетями в фильтрах и дополнительное правило непосредственно для внешнего интерфейса шлюза.
Аналогичную конфигурацию хочется и с КрпитоПро осуществить, чтоб обошлось с наименьшими трудозатратами.
Поэтому и возник вопрос о том будет ли сеть все еще защищенной и не аннулируются ли сертификаты из-за "неправильного использования", т.к. предполагаемая схема не очень-то вписывается в описанные в Руководстве схемы.
Offline Дмитрий Пичулин  
#8 Оставлено : 3 апреля 2015 г. 12:42:12(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: res Перейти к цитате
Да, совершенно верно, туннельный ipsec с подсетями в фильтрах и дополнительное правило непосредственно для внешнего интерфейса шлюза.
Аналогичную конфигурацию хочется и с КрпитоПро осуществить, чтоб обошлось с наименьшими трудозатратами.
Поэтому и возник вопрос о том будет ли сеть все еще защищенной и не аннулируются ли сертификаты из-за "неправильного использования", т.к. предполагаемая схема не очень-то вписывается в описанные в Руководстве схемы.

Почему, это site-to-site но без L2TP/IPsec, вот цитата из руководства:

10.2. Настройка Site-to-Site написал:
... Допускается VPN-соединений сетей по схеме site-to-site с применением двух типов прото-колов: IPsec-tunnel и L2TP\IPsec ...


Просто настройка туннелей более одного через политики, довольно кропотливая ручная работа, есть где ошибиться.
Знания в базе знаний, поддержка в техподдержке
Offline res  
#9 Оставлено : 3 апреля 2015 г. 14:52:22(UTC)
res

Статус: Новичок

Группы: Участники
Зарегистрирован: 18.03.2015(UTC)
Сообщений: 8
Российская Федерация
Откуда: Мурманск

Ясно.
Спасибо за наводку! Видимо пропустил когда читал руководство.
Да, ошибиться есть где. Как-то у микрософта это слишком сложно сделано, в том же линуксе или freebsd настройка ipsec гораздо проще происходит.
Но спасает то, что если не правильно настроишь, то, как правило, связи нет, поэтому ошибки диагностируются легко, но, бывает, тяжело исправляются :)
Offline Дмитрий Пичулин  
#10 Оставлено : 3 апреля 2015 г. 14:55:06(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: res Перейти к цитате
Но спасает то, что если не правильно настроишь, то, как правило, связи нет, поэтому ошибки диагностируются легко, но, бывает, тяжело исправляются :)

Тут страшнее другое, что связь вроде бы есть и всё правильно — но всё идет в открытом виде.
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.