Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

6 Страницы«<23456>
Опции
К последнему сообщению К первому непрочитанному
Offline Mishel  
#61 Оставлено : 3 ноября 2010 г. 17:01:52(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

шлюз - Windows2003 R2, обновление windows update настроено (все апдейты установлены), ISA 2006 SP1 тоже со всеми последними обновлениями, черный экран на шлюзе...помогает только аппаратные ресет..
Offline Mishel  
#62 Оставлено : 11 ноября 2010 г. 14:37:27(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

Добрый день, хотелось бы узнать ситуацию по моему последнему вопросу, возникали на ваших стендах подобные проблемы?...глюк плавающий, последнее время сервер у нас работает нормально, но опять на рабочих станциях несколько раз выпал дамп при работе по RDP по защищенному каналу..

STOP: 0x000000D1 (0x42424242, 0x00000002, 0x00000000, 0xF73E6FEC)
*** CPDRVLIB.SYS - address F73E6FEC
base address F73CD000
datastamp 4C5A410F

Отредактировано пользователем 11 ноября 2010 г. 16:11:41(UTC)  | Причина: Не указана

Offline SEA  
#63 Оставлено : 12 ноября 2010 г. 13:37:57(UTC)
SEA

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.10.2010(UTC)
Сообщений: 3

дополню Mishel

к этому есть дамп памяти ядра с сервера (31 метр в архиве, могу выслать на почту или положить на обменник какой-нить)
по софту:
сервер: вин2003 ентерпрайз r2 sp2 со всеми апдейтами, иса2006 sp1 аналогично, поднят центр сертификации, установлен каспер 6.0 FS с сертифицированного дистриба, криптопро 3.6r2 с вашего сайта, ипсек последний, что мы обсуждали (от 19 октября где-то, в нём ещё detoured.dll постоянно в логи ошибки пишет)
рабочие станции: винХР сп3, каспер 6.0 с серт.дистриба, криптопро и ипсек аналогично серверу, МСЭ Блок-Пост
рабочие станции подключаются по RDP к внутреннему серверу терминалов, падения происходят где-то минут через 40 и более (ошибку Mishel описал)
Offline Anton  
#64 Оставлено : 22 декабря 2010 г. 11:03:03(UTC)
Anton

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.01.2008(UTC)
Сообщений: 87
Мужчина
Откуда: г. Рыбинск Яр. обл.

Сказал «Спасибо»: 2 раз
Поделитесь пожалуйста инструкцией на ipsec, а то на сайте нет.
Offline Дмитрий Пичулин  
#65 Оставлено : 28 января 2011 г. 16:32:36(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Свежая версия КриптоПро IPsec доступна здесь: http://cryptopro.ru/products/ipsec/downloads
• Не совместима с ранними версиями нашего продукта
• Основной внешний функционал не изменился
• Содержит свежий genpsk, умеющий генерировать PSK в удобном для windows формате.
• Обновленный «ikespah.chm».
• Добавлена предварительная поддержка Service Pack 1 для Windows 7 (x86-x64), 2008R2 систем.

Данная версия предлагается к тестированию. Пробуйте на стендах, надеемся на отсутствие прежних проблем.
Знания в базе знаний, поддержка в техподдержке
Offline Anton  
#66 Оставлено : 4 марта 2011 г. 11:02:58(UTC)
Anton

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.01.2008(UTC)
Сообщений: 87
Мужчина
Откуда: г. Рыбинск Яр. обл.

Сказал «Спасибо»: 2 раз
Добрый день!
Дайте пожалуйста желательно пошаговую инструкцию по настройке сервера со сторонним УЦ.
Требование к сертификату.
Если можно стенд.
Поделитесь пожалуйста ссылками на документацию.
В общем сталкиваюсь с подобной задачей впервые, очень бы хотелось побольше информации по развертыванию VPN с нуля.
Заранее большое спасибо.
anton@krista.ru
Offline Дмитрий Пичулин  
#67 Оставлено : 4 марта 2011 г. 16:33:13(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Anton написал:
Добрый день!
Дайте пожалуйста желательно пошаговую инструкцию по настройке сервера со сторонним УЦ.
Требование к сертификату.
Если можно стенд.
Поделитесь пожалуйста ссылками на документацию.
В общем сталкиваюсь с подобной задачей впервые, очень бы хотелось побольше информации по развертыванию VPN с нуля.
Заранее большое спасибо.
anton@krista.ru

ответили вам на почту
Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#68 Оставлено : 12 мая 2011 г. 0:07:39(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Обновлена версия КриптоПро IPsec: http://cryptopro.ru/products/ipsec/downloads
• улучшена поддержка серверных приложений (ISA, TMG)
• добавлена подсистема пакетной фильтрации
• скорректирована обработка PFS DH-групп, при различных значениях на фазе 1 и 2
• исправлены ошибки при интерпретации NotifyData пакетов и другие
Знания в базе знаний, поддержка в техподдержке
Offline bumblebee  
#69 Оставлено : 6 ноября 2011 г. 23:25:40(UTC)
bumblebee

Статус: Участник

Группы: Участники
Зарегистрирован: 06.11.2011(UTC)
Сообщений: 10

Добрый день! Помогите пожалуйста --- бьюсь уже 3 дня.
Значит задача стандартная --- есть Windows server 2003 с установленной RRAS и клиент WinXP SP3. Надо установить IPSec соединение с алгоритмами ГОСТ. На сервере установил корневой ЦС (MS CA) с использованием КриптоПро CSP. Далее по документации -- сделал шаблон GOST_IPSEC из стандартного IPSEC-шаблона. Далее отправляю этот шаблон на ЦС. Потом в настройках КриптоПро CSP ставлю считыватель "Реестр" и ДСЧ "КриптоПро исходный материал" (предварительно с помощью АРМ выработки внешней гаммы сгенерировал 8 ключей). Потом иду в оснастку сертификаты(локальный компьютер)---личные---реестр---сертификаты, по вкладке сертификаты правой кнопкой, потом "Все задачи --- Запросить новый сертификат". Открывается мастер, выбираю созданный ранее шаблон GOST_IPSEC, в поле понятное имя ввожу имя компьютера, и автоматически выпускается сертификат. В этом же хранилище лежит сертификат аутентификации сервера.
Я так понимаю, на этом настройка сервера закончена и он готов к принятию L2TP\IPSec подключений и правильна ли эта настройка?
И главный вопрос: как выпустить сертификат по шаблону GOST_IPSEC на клиентской машине? строка cryptcp.exe -creatcert -provtype 75 -silent -dn "E=name@server.ru, CN=name" -cont \\.\REGISTRY\name -certusage 1.3.6.1.5.5.8.2.2 -km -du -both -ca http://ca/certsrv не срабатывает(вместо http://ca/certsrv указываю адрес своего ЦС), через оснастку сертификаты не получается даже после добавления ПК в домен.
Помогите, очень надо! Заранее спасибо
Offline rozhkov  
#70 Оставлено : 7 ноября 2011 г. 13:41:40(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про

Через веб-интерфейс ЦС пробовали? http://имя_Вашего_ЦС/certsrv
При соответствующих правах для пользователя шаблон с IPSec будет предложен.
Offline bumblebee  
#71 Оставлено : 8 ноября 2011 г. 1:13:40(UTC)
bumblebee

Статус: Участник

Группы: Участники
Зарегистрирован: 06.11.2011(UTC)
Сообщений: 10

пробовал --- не выходит(шаблон GOST_IPSEC не отображается, права на шаблон настроил --- "всем" поставил полный доступ). НО если создать копию шаблона IPSEC(Автономный запрос), то она (IPSEC_GOST-AVTONOM) отображается. Можно ли вместо копии шаблона IPSEC использовать копию шаблона IPSEC(автономный запрос)??ведь настройки в шаблонах идентичные..
Offline rozhkov  
#72 Оставлено : 8 ноября 2011 г. 13:33:36(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про

Да, можете.
Offline bumblebee  
#73 Оставлено : 9 ноября 2011 г. 0:22:59(UTC)
bumblebee

Статус: Участник

Группы: Участники
Зарегистрирован: 06.11.2011(UTC)
Сообщений: 10

Хорошо, с сертификатами разобрались..Теперь проблема с установлением соединения. Ситуация следующая -- на сервере в хранилище компьютера лежит сертификат, выпущенный по шаблону IPSEC_GOST_AVTONOM и сертификат проверки подлинности сервера. Поле CN в обоих совпадает с именем ПК.
На клиентской машине в хранилище ПК лежит сертификат, выпущенный по тому же шаблону IPSEC_GOST_AVTONOM. CN = имя ПК. В хранилище пользователя лежит сертификат проверки подлинности клиента с CN = доменное имя пользователя (вход в систему выполнен НЕ с этой учетной записи). На это имя пользователя на сервере зарегистрирована учетная запись с правами дозвона. На сервере поднят RRAS.
На клиенте создал подключение, поставил там L2TP IPSec VPN, проверку подлинности оставил только MS_CHAPv2, как на картинке в документации и при запуске получаю сообщение "Ошибка 786: Попытка L2TP-подключения не удалась, поскольку отсутствует допустимый сертификат на вашем компьютере для проверки подлинности".
Если ставить PPTP, то соединение устанавливается и все норм.
потом я выпустил сертификат с CN = имя пользов@шмя домена и при соединении получаю уже следующее: "Ошибка 789 Попытка подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласования с удаленным компьютером"
и опять же с ППТП все проходит! я так понимаю что-то с сертификатами не так?
что можно сделать?? как все таки уже поднять L2TP\IPSec соединение?
Offline rozhkov  
#74 Оставлено : 9 ноября 2011 г. 14:24:59(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про

В сертификате IPSec на сервере в поле дополнительное имя укажите IP-адрес, т.к. заметил такое, что если в нем указано DNS-имя, то соединение не устанавливается, такая же проблема при моделелировании и на RSA оказалась, или для начала просто поставьте галочку "Не проверять сертификат сервера"
Если соединение не установится, то включите "Аудит входа в систему" - Успех/Отказ на сервере и анализируйте на нем журнал "Безопасность".
Offline bumblebee  
#75 Оставлено : 10 ноября 2011 г. 3:17:05(UTC)
bumblebee

Статус: Участник

Группы: Участники
Зарегистрирован: 06.11.2011(UTC)
Сообщений: 10

Так, поставил на клиента метод проверки подлинности EAP по сертификату и убрал там галку проверка подлинности сервера --- в итоге на клиенте ошибка "Локальный компьютер не поддерживает требуемый тип шифрования данных", а на сервере в журнале системы "Произошла ошибка в модуле протокола точка-точка (PPP), Порт: VPN3-127, Имя пользователя: "Igor@company.local" Удаленный компьютер не поддерживает требуемый тип шифрования данных.". Поставил обратно MS_CHAPv2 --- ошибки аналогичные
Кстати, нужно ли в ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\Services\RasMan\Parameters создавать параметр ProhibitIpSec равный 1??
щас перевыпущу сертификат и попробую с новым...
Offline bumblebee  
#76 Оставлено : 10 ноября 2011 г. 4:31:53(UTC)
bumblebee

Статус: Участник

Группы: Участники
Зарегистрирован: 06.11.2011(UTC)
Сообщений: 10

перевыпустил сертификат с IP-адресом вместо DNS-имени --- ничего не изменилось --- те же ощибки про неподдерживаемый тип шифрования данных.
Тут на форуме как то выкладывался стенд в виде 2-х виртуальных машин VMware --- может можно еще разок выложить??
или на почту прислать medicopter117a@mail.ru??может тогда ясно станет в чем беда..
Offline rozhkov  
#77 Оставлено : 10 ноября 2011 г. 14:10:36(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про

1. PPTP работает?
2. Если работает то попробуйте L2TP по PSK, работать будет или нет?
3. Сертификат проверки подлинности сервера на RRAS имеется или нет?
4. Для пользователя разрешен дозвон что бы он мог по IPSec подключаться?
5. На сервере аудит включен?
6. Какие записи на сервере в журнале безопасность при включенном аудите?
7. Какие версии CSP и IPSec на сервере и клиенте?
Offline bumblebee  
#78 Оставлено : 10 ноября 2011 г. 22:06:32(UTC)
bumblebee

Статус: Участник

Группы: Участники
Зарегистрирован: 06.11.2011(UTC)
Сообщений: 10

1) PPTP работает
2) Щас попробую
3) Если Вы имеете ввиду наличие сертификата в политике удаленного доступа (методы EAP), то имеется.
4) Разрешение на удаленный доступ у пользователя есть
5) Включен
6) Касательно RRAS никаких, записи идут в журнал система
7) сервер и клиент : CSP 3.6.64.97, ipsec 1.0.0560

Все таки хотелось бы услышать ответ по поводу параметра реестра ProhibitIpSec --- gпросто если с ним, то ошибка "локал ПК не поддерживает данный тип шифрования", если без него то ошибка "Отсутствует допустимый сертификат проверки подлинности клиента"
Offline rozhkov  
#79 Оставлено : 10 ноября 2011 г. 22:23:34(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про

bumblebee написал:
6) Касательно RRAS никаких, записи идут в журнал система

Там будут попытки подключения пользователя, если не получилось то будет написано, например, не прошел проверку подлинности.

bumblebee написал:
Все таки хотелось бы услышать ответ по поводу параметра реестра ProhibitIpSec --- gпросто если с ним, то ошибка "локал ПК не поддерживает данный тип шифрования", если без него то ошибка "Отсутствует допустимый сертификат проверки подлинности клиента"

Нет.
Offline bumblebee  
#80 Оставлено : 12 ноября 2011 г. 23:30:15(UTC)
bumblebee

Статус: Участник

Группы: Участники
Зарегистрирован: 06.11.2011(UTC)
Сообщений: 10

Поубирал лишние сертификаты из хранилища и убрал параметр ProhibitIpSec и заработало!!и MS_CHAPv2 и EAP!
Только в параметрах подключения пишет что шифрование - ESP-DES-56..тут вроде говорилось что так и должно быть --- это до сих пор справедливо?

Отредактировано пользователем 12 ноября 2011 г. 23:31:18(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
6 Страницы«<23456>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.