Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы<123>
Опции
К последнему сообщению К первому непрочитанному
Offline Максим Коллегин  
#11 Оставлено : 6 мая 2020 г. 16:44:19(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
С Palo Alto проблемы кажется были, да.
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Максим Коллегин за этот пост.
SnakeFizer оставлено 06.05.2020(UTC)
Offline Hisoka  
#12 Оставлено : 8 мая 2020 г. 9:03:25(UTC)
Hisoka

Статус: Участник

Группы: Участники
Зарегистрирован: 07.09.2018(UTC)
Сообщений: 16
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
У моих пользователей проблема решилась так:
поставил эту версию: https://www.cryptopro.ru...csp/40/9974/CSPSetup.exe - ребутнулся
запустил КриптоПро CSP от администратора, затем поставил галку напротив "отключить КриптоПро Winlogon" на вкладке "Winlogon" и снова ребут

после этого впн заработал на всех проблемных машинах
Offline кент666111  
#13 Оставлено : 8 мая 2020 г. 23:48:10(UTC)
кент666111

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.05.2020(UTC)
Сообщений: 6
Российская Федерация
Откуда: Москва

Автор: SnakeFizer Перейти к цитате
Автор: Максим Коллегин Перейти к цитате
Попробуйте запустить dbgview и, включив логинг для всех пользователей, прислать лог.
Несовсем ясно как это сделать.
Включал вот это:
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Debug
cpcsp=0x01000000
Но нигде не нашел в журнале каких-либо сообщений.


У нас есть предварительное подтверждение, что причина - антивирусное ПО ("Palo Alto "Cortex XDR"). После его удаления, VPN работает. Даже без перезагрузки машины.
Ранее были проблемы совместимости по TLS.


А какие именно? Та же проблема с Forti client.
Offline Максим Коллегин  
#14 Оставлено : 9 мая 2020 г. 6:16:51(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Для VPN используется Смарт-карта?
Знания в базе знаний, поддержка в техподдержке
Offline SnakeFizer  
#15 Оставлено : 13 мая 2020 г. 1:54:37(UTC)
SnakeFizer

Статус: Участник

Группы: Участники
Зарегистрирован: 31.10.2018(UTC)
Сообщений: 14
Мужчина
Российская Федерация
Откуда: Челябинск

Сказал «Спасибо»: 3 раз
Автор: Hisoka Перейти к цитате
У моих пользователей проблема решилась так:
поставил эту версию: https://www.cryptopro.ru...csp/40/9974/CSPSetup.exe - ребутнулся
запустил КриптоПро CSP от администратора, затем поставил галку напротив "отключить КриптоПро Winlogon" на вкладке "Winlogon" и снова ребут

после этого впн заработал на всех проблемных машинах
Может кому-то и поможет.
У нас КриптоПро CSP запакетирована и развертывается через SCCM. При установке используются доп.аргументы msi: "REGREGISTRY=0 NOWL=1 REGRUTOKEN=1 REGETOKEN=1 REGGTOKEN=1 INSTALLCPCERT=1", так что Winlogon у нас отключен "из коробки". :(


Автор: кент666111 Перейти к цитате
Автор: SnakeFizer Перейти к цитате
У нас есть предварительное подтверждение, что причина - антивирусное ПО ("Palo Alto "Cortex XDR"). После его удаления, VPN работает. Даже без перезагрузки машины.
Ранее были проблемы совместимости по TLS.
А какие именно? Та же проблема с Forti client.
Не открывались сайты, использующие ГОСТ :)
UserPostedImage
Например:
Для того, чтобы всё заработало, потребовалась тонкая настройка модулей антивируса: 'Browser Exploits Protection' and 'Operating System Exploit Protection'


Автор: Максим Коллегин Перейти к цитате
Для VPN используется Смарт-карта?
Если посмотреть через rasphone.exe, то тип подключения SSTP.
Тип авторизации: Microsoft Protected EAP (PEAP) (encryption enabled)
Метод авторизации: Smart-card or other certificate (указаны доверенные корневые УЦ).
UserPostedImage


Общаемся с разработчиком ПО Palo Alto Cortex XDR. Причину до сих пор не установили. В логах, как в системных, так и в клиенте антивируса - ничего конкретного. На стороне VPN-сервера такое ощущение, что клиенты вовсе не подключались, хотя в Событиях четко указывается что соединение устанавливается успешно и сбрасывается.

Максим Коллегин Offline , не подскажете, как включить полное логирование\дебаг у КриптоПро CSP 4.0R4? И куда потом именно смотреть? Или ссылку на информацию. Был бы очень признателен. Может так удастся отловить что происходит в момент попытки подключения VPN.

Отредактировано пользователем 13 мая 2020 г. 2:17:12(UTC)  | Причина: дополнение

Offline Максим Коллегин  
#16 Оставлено : 13 мая 2020 г. 7:43:40(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Автор: SnakeFizer Перейти к цитате
как включить полное логирование\дебаг у КриптоПро CSP 4.0R4

В CSP 4 возможности аудита ограничены.
Рекомендую установить последний CSP5R2 и включить аудит TLS:
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Debug]
"cpssp"=dword:0000003f


Логи смотреть в DbgView, включив Global.
Поскольку основные модули TLS в lsass - потребуется перезагрузка.
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Максим Коллегин за этот пост.
SnakeFizer оставлено 13.05.2020(UTC)
Offline SnakeFizer  
#17 Оставлено : 13 мая 2020 г. 18:30:46(UTC)
SnakeFizer

Статус: Участник

Группы: Участники
Зарегистрирован: 31.10.2018(UTC)
Сообщений: 14
Мужчина
Российская Федерация
Откуда: Челябинск

Сказал «Спасибо»: 3 раз
Что-то получилось. Весь лог выложить? Понимать бы что там...но вот это блок повторяется, при попытках подключения (вырезано примерно). В конце идут какие-то ошибки.

Сделал вариант записи с проблемой и без неё, и при сравнении через Notepad++ (Compare), именно этот блок (выше) попадается на глаза. Видимые отличия от рабочего лога идут после строки
Код:
00000613	2.89067411	[840] <cpssp>0x348:0x3b8:GetCertFromAuthData  credential version SCHANNEL_CRED_VERSION (:122)	


Еще там есть вот это, но оно повторяется и в рабочем сценарии, и при ошибке VPN:
Код:
00000078	0.20499110	[840] <cpssp>0x348:0x3f8:CPInitializeSecurityContextW (c11c) (:2230)	
00000079	0.20504279	[840] <cpssp>0x348:0x3f8:ssl3_get_server_hello  server sent cipher suite: c02f! (:910)	
00000080	0.20507801	[840] <cpssp>0x348:0x3f8:ssl3_get_server_hello  client doesn't match cipher suite! 

Отредактировано пользователем 13 мая 2020 г. 18:31:56(UTC)  | Причина: спойлер

Offline Максим Коллегин  
#18 Оставлено : 13 мая 2020 г. 21:17:44(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
А рабочий вариант и нерабочий - это с антивирусом и без? От наличия КриптоПро CSP не зависит?
Знания в базе знаний, поддержка в техподдержке
Offline SnakeFizer  
#19 Оставлено : 14 мая 2020 г. 2:01:39(UTC)
SnakeFizer

Статус: Участник

Группы: Участники
Зарегистрирован: 31.10.2018(UTC)
Сообщений: 14
Мужчина
Российская Федерация
Откуда: Челябинск

Сказал «Спасибо»: 3 раз
Ну почему же...можно удалить КриптоПро CSP и VPN будет работать, после перезагрузки ПК. просто тогда не получится записать Debug =)
А вот от установленной версии КриптоПро CSP - ничего не зависит. От 4.0R4 до 5.0R2 - результат один. Так же, пробовал отключать и включать Winlogon, cipher-suit'ы и прочее.

Отредактировано пользователем 14 мая 2020 г. 2:19:48(UTC)  | Причина: Не указана

Offline Максим Коллегин  
#20 Оставлено : 14 мая 2020 г. 6:59:09(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
А как тогда получаете лог без проблемы для сравнения? И да, выложите логи целиком пожалуйста.
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы<123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.