Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline rav_70  
#11 Оставлено : 20 февраля 2016 г. 13:53:46(UTC)
rav_70

Статус: Участник

Группы: Участники
Зарегистрирован: 23.04.2015(UTC)
Сообщений: 13
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 2 раз
Вот что получает SG от клиента при первом подключении:
Цитата:
2016-02-20 13:04:52 IKEv1 SA proposal SA([0] protocol = IKE (1), GOST CFB B, HMAC-GR3411-94, GOST XchA, HMAC-GR3411 PRF; [1] protocol = IKE (1), GOST CFB B, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [2] protocol = IKE (1), GOST CFB A, HMAC-GR3411-94, GOST XchA, HMAC-GR3411 PRF; [3] protocol = IKE (1), GOST CFB A, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [4] protocol = IKE (1), GOST CFB C, HMAC-GR3411-94, GOST XchA, HMAC-GR3411 PRF; [5] protocol = IKE (1), GOST CFB C, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [6] protoc

при удачном подключении клиент показывает Fingerprint сервера и добавляет в список.

При последующих подключениях запрос такой:
Цитата:
IKEv1 SA proposal SA([0] protocol = IKE (1), GOST CBC, HMAC-GR3411-94, 2048 bit MODP, HMAC-GR3411 PRF; ) GOST signatures


Дампы сброшу позже (wireshark не работает на машине с клиентом SG).
Offline Дмитрий Пичулин  
#12 Оставлено : 24 февраля 2016 г. 13:31:04(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Во-первых, клиент StoneSoft VPN посылает два набора идентификаторов. Первый набор в целом соответствует принятым в ТК26, они входят в область IKE/GOST 1.1 (в Wireshark определяется как Vendor ID: CryptoPro/GOST 1.1). Второй набор тоже из Private диапазона, но мы не смогли его идентифицировать, плюс из ряда вон выходящие значения, например Group-Description: 2048 bit MODP group, которые соответствуют использованию зарубежных алгоритмов. Сервер, который заявляет, что поддерживает IKE/GOST 1.1, выбирает однако transform из второго набора, что сложно объяснить.

Во-вторых, сразу после завершения Main Mode следует Transaction Exchanges, что, с большой вероятностью, говорит о проведении дополнительной, так называемой "гибридной", аутентификации.

Вывод неутешительный: даже если победить идентификаторы и пройти Main Mode, пройти "гибридную аутентификацию" VPN клиент в Windows никак не сможет.








,,..,,

Отредактировано пользователем 24 февраля 2016 г. 13:33:09(UTC)  | Причина: typo

Знания в базе знаний, поддержка в техподдержке
Offline rav_70  
#13 Оставлено : 24 февраля 2016 г. 14:14:32(UTC)
rav_70

Статус: Участник

Группы: Участники
Зарегистрирован: 23.04.2015(UTC)
Сообщений: 13
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 2 раз
Посмотрите варианты настройки сертификатов на сервере...
SG-GOST.rar (30kb) загружен 5 раз(а).
Offline Дмитрий Пичулин  
#14 Оставлено : 24 февраля 2016 г. 14:28:15(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: rav_70 Перейти к цитате
Посмотрите варианты настройки сертификатов на сервере...

Как уже было сказано, так как Windows не поддерживает Transaction Exchanges, которые присутствуют во всех дампах соединений StoneSoft между собой, пространство для манёвров отсутствует.

Также замечено отсутствие алгоритмов ГОСТ в выборе групп Диффи-Хеллмана в настройках сервера:

nogroup.png (3kb) загружен 633 раз(а).
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
rav_70 оставлено 24.02.2016(UTC)
Offline rav_70  
#15 Оставлено : 24 февраля 2016 г. 15:53:45(UTC)
rav_70

Статус: Участник

Группы: Участники
Зарегистрирован: 23.04.2015(UTC)
Сообщений: 13
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 2 раз
Ясно... (

Спасибо за помощь.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.