Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline rav_70  
#1 Оставлено : 19 февраля 2016 г. 11:45:35(UTC)
rav_70

Статус: Участник

Группы: Участники
Зарегистрирован: 23.04.2015(UTC)
Сообщений: 13
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 2 раз
Доброго времени суток!

Подскажите, есть ли возможность подключаться к StoneGate (5.3.11 build 9127.fwr.4-KC1_GOST (Update Package: 440) c КриптоПро 3.6
с помощью стандартного клиента VPN Windows 10 (L2TP/IPsec) + КриптоПро 3.9 + IPsec 1.0.1329 и пользовательского сертификата УЦ

После ввода pin-кода RuToken с сертификатом на StoneGate прилетает:
Цитата:
SA proposal: SA([0] protocol = IKE (1), GOST CFB B key len = 256, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [1] protocol = IKE (1), GOST CFB B key len = 128, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [2] protocol = IKE (1), GOST CFB B key len = 256, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [3] protocol = IKE (1), GOST CFB B, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [4] protocol = IKE (1), GOST CFB B, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; ) GOST draft psk

и в результате:
Цитата:
IKE state Start sa negotiation R: outgoing IKE SA values processing failed: No proposal chosen
Sending error notify: No proposal chosen (Could not find acceptable proposal)
IKEv1 SA error: No proposal chosen: Proposal did not match policy (10800f)

Если использовать VPN клиента Stonesoft на Windows 7, запрос приходит следующий:
Цитата:
IKEv1 SA proposal SA([0] protocol = IKE (1), GOST CBC, HMAC-GR3411-94, 2048 bit MODP, HMAC-GR3411 PRF; ) GOST signatures

И далее все отрабатывает нормально:
Цитата:
IKEv1 SA responder done, Local 10.10.15.17 (ipv4), Remote MAILTO=a.rud@local.ru, C=RU, L=Moscow, O=RAC, OU=DIT, CN=A.Rud (dn), Mobile session: 200003b
IKE Phase-2 IDs sent: ipv4(any:0,[0..3]=172.17.x.y) ipv4_subnet(any:0,[0..7]=172.30.z.0/24)


Дело в том, что StoneSoft продался McAfee, последний VPN-клиент которого (3.9.0.2906) под Windows 10 не работает с КриптоПро 3.9

Offline Дмитрий Пичулин  
#2 Оставлено : 19 февраля 2016 г. 12:12:39(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Судя по логу, в случае VPN клиента Windows вы используете "GOST draft psk", а в случае VPN клиента Stonesoft "GOST signatures". Если на сервере не настроена аутентификация по PSK, то "No proposal chosen" -- корректная реакция.

Встречные испытания с StoneSoft не проводились в полном объёме, поэтому нет гарантий на успех соединения, но нам неизвестны принципиальные тупики в этом направлении.

Если вы хотите воспользоваться сертификатом в качестве аутентификации в IPsec, то лучше всего ознакомиться с руководством администратора безопасности нашего продукта. Все критерии сертификата легко проверить утилитой cp_ipsec_info.exe, например, сейчас уже очевидно, что вы не установили сертификат в локальное хранилище компьютера.



Знания в базе знаний, поддержка в техподдержке
Offline rav_70  
#3 Оставлено : 19 февраля 2016 г. 13:43:55(UTC)
rav_70

Статус: Участник

Группы: Участники
Зарегистрирован: 23.04.2015(UTC)
Сообщений: 13
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 2 раз
А что означает самое первое сообщение от VPN-клиента Win10

No rule found for IKE peers 10.10.15.17 and 192.168.254.223: Proposal did not match policy

перед "SA proposal"

Политику IP-безопасности я поправил в соответствии с "Руководством администратора безопасности".
Сертификат установил в личные компьютера, cp_ipsec_info.exe в "сертификатах IKE" его находит
Offline Дмитрий Пичулин  
#4 Оставлено : 19 февраля 2016 г. 13:50:20(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: rav_70 Перейти к цитате
Политику IP-безопасности я поправил в соответствии с "Руководством администратора безопасности".
Сертификат установил в личные компьютера, cp_ipsec_info.exe в "сертификатах IKE" его находит

Если после этого в логе сервера то, что вы прислали выше, вряд ли удастся продвинуться.

Пришлите дамп трафика установки соединения Windows и StoneSoft VPN, скажем точно.

Знания в базе знаний, поддержка в техподдержке
Offline rav_70  
#5 Оставлено : 19 февраля 2016 г. 14:58:53(UTC)
rav_70

Статус: Участник

Группы: Участники
Зарегистрирован: 23.04.2015(UTC)
Сообщений: 13
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 2 раз
Dumps.rar (811kb) загружен 5 раз(а).
Вот
Offline Дмитрий Пичулин  
#6 Оставлено : 19 февраля 2016 г. 15:06:19(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: rav_70 Перейти к цитате
cp_ipsec_info.exe в "сертификатах IKE" его находит

"Находит" не значит "будет использоваться", в присланном архиве есть изображение, где напротив KP_CERTIFICATE (KeyParam) не стоит галочка.

Вот так выглядит успешно прошедший проверку сертификат, на него ставится галочка:

2016-02-19 15-02-38 ipsec-x64-w81 on esx-alpha.cp.ru.png (92kb) загружен 273 раз(а).

Знания в базе знаний, поддержка в техподдержке
Offline rav_70  
#7 Оставлено : 19 февраля 2016 г. 16:41:08(UTC)
rav_70

Статус: Участник

Группы: Участники
Зарегистрирован: 23.04.2015(UTC)
Сообщений: 13
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 2 раз
Подскажите, а что не так с сертификатом? Там лишнего ничего не должно быть?
cert-keys.rar (56kb) загружен 7 раз(а).
crl обязательно должен видеть?
Offline Дмитрий Пичулин  
#8 Оставлено : 19 февраля 2016 г. 21:55:44(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: rav_70 Перейти к цитате
Подскажите, а что не так с сертификатом?

Уже подсказано, что "напротив KP_CERTIFICATE (KeyParam) не стоит галочка", в переводе с технического, это означает, что в контейнере закрытого ключа отсутствует сертификат.

В этом легко убедиться в оснастке КриптоПро CSP > Сервис > Просмотреть сертификаты в контейнере...

Знания в базе знаний, поддержка в техподдержке
Offline rav_70  
#9 Оставлено : 20 февраля 2016 г. 10:32:17(UTC)
rav_70

Статус: Участник

Группы: Участники
Зарегистрирован: 23.04.2015(UTC)
Сообщений: 13
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 2 раз
Спасибо за перевод с Вашего технического наречия )).
Установил сертификат правильно. Пароль на контейнер сохранен.

Теперь запрос выглядит так...
Цитата:
SA proposal: SA([0] protocol = IKE (1), GOST CFB B key len = 256, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [1] protocol = IKE (1), GOST CFB B key len = 128, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [2] protocol = IKE (1), GOST CFB B key len = 256, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [3] protocol = IKE (1), GOST CFB B, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [4] protocol = IKE (1), GOST CFB B, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; ) GOST draft signatures


Меня смущает первое сообщение от клиента:
Цитата:
No rule found for IKE peers 10.10.15.17 and 192.168.254.223: Proposal did not match policy


Это он про политику IP-безопасности? Я там прописал конечную точку туннеля...

Во вложении дампы Dumps.rar (8kb) загружен 2 раз(а).
Offline Дмитрий Пичулин  
#10 Оставлено : 20 февраля 2016 г. 10:47:46(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: rav_70 Перейти к цитате
Это он про политику IP-безопасности? Я там прописал конечную точку туннеля...

Если совершаете VPN звонок (L2TP/IPsec), нет необходимости настраивать политику IP-безопасности, даже лучше отключить на время тестирования.

С помощью утилиты cp_ipsec_info.exe выполните: Настройка параметров > Восстановить значения по умолчанию

Если после этого не продвинетесь -- пришлите дамп успешного соединения StoneSoft со StoneSoft.

Знания в базе знаний, поддержка в техподдержке
Offline rav_70  
#11 Оставлено : 20 февраля 2016 г. 13:53:46(UTC)
rav_70

Статус: Участник

Группы: Участники
Зарегистрирован: 23.04.2015(UTC)
Сообщений: 13
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 2 раз
Вот что получает SG от клиента при первом подключении:
Цитата:
2016-02-20 13:04:52 IKEv1 SA proposal SA([0] protocol = IKE (1), GOST CFB B, HMAC-GR3411-94, GOST XchA, HMAC-GR3411 PRF; [1] protocol = IKE (1), GOST CFB B, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [2] protocol = IKE (1), GOST CFB A, HMAC-GR3411-94, GOST XchA, HMAC-GR3411 PRF; [3] protocol = IKE (1), GOST CFB A, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [4] protocol = IKE (1), GOST CFB C, HMAC-GR3411-94, GOST XchA, HMAC-GR3411 PRF; [5] protocol = IKE (1), GOST CFB C, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [6] protoc

при удачном подключении клиент показывает Fingerprint сервера и добавляет в список.

При последующих подключениях запрос такой:
Цитата:
IKEv1 SA proposal SA([0] protocol = IKE (1), GOST CBC, HMAC-GR3411-94, 2048 bit MODP, HMAC-GR3411 PRF; ) GOST signatures


Дампы сброшу позже (wireshark не работает на машине с клиентом SG).
Offline Дмитрий Пичулин  
#12 Оставлено : 24 февраля 2016 г. 13:31:04(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Во-первых, клиент StoneSoft VPN посылает два набора идентификаторов. Первый набор в целом соответствует принятым в ТК26, они входят в область IKE/GOST 1.1 (в Wireshark определяется как Vendor ID: CryptoPro/GOST 1.1). Второй набор тоже из Private диапазона, но мы не смогли его идентифицировать, плюс из ряда вон выходящие значения, например Group-Description: 2048 bit MODP group, которые соответствуют использованию зарубежных алгоритмов. Сервер, который заявляет, что поддерживает IKE/GOST 1.1, выбирает однако transform из второго набора, что сложно объяснить.

Во-вторых, сразу после завершения Main Mode следует Transaction Exchanges, что, с большой вероятностью, говорит о проведении дополнительной, так называемой "гибридной", аутентификации.

Вывод неутешительный: даже если победить идентификаторы и пройти Main Mode, пройти "гибридную аутентификацию" VPN клиент в Windows никак не сможет.








,,..,,

Отредактировано пользователем 24 февраля 2016 г. 13:33:09(UTC)  | Причина: typo

Знания в базе знаний, поддержка в техподдержке
Offline rav_70  
#13 Оставлено : 24 февраля 2016 г. 14:14:32(UTC)
rav_70

Статус: Участник

Группы: Участники
Зарегистрирован: 23.04.2015(UTC)
Сообщений: 13
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 2 раз
Посмотрите варианты настройки сертификатов на сервере...
SG-GOST.rar (30kb) загружен 5 раз(а).
Offline Дмитрий Пичулин  
#14 Оставлено : 24 февраля 2016 г. 14:28:15(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: rav_70 Перейти к цитате
Посмотрите варианты настройки сертификатов на сервере...

Как уже было сказано, так как Windows не поддерживает Transaction Exchanges, которые присутствуют во всех дампах соединений StoneSoft между собой, пространство для манёвров отсутствует.

Также замечено отсутствие алгоритмов ГОСТ в выборе групп Диффи-Хеллмана в настройках сервера:

nogroup.png (3kb) загружен 633 раз(а).
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
rav_70 оставлено 24.02.2016(UTC)
Offline rav_70  
#15 Оставлено : 24 февраля 2016 г. 15:53:45(UTC)
rav_70

Статус: Участник

Группы: Участники
Зарегистрирован: 23.04.2015(UTC)
Сообщений: 13
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 2 раз
Ясно... (

Спасибо за помощь.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.