Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

6 Страницы«<3456>
Опции
К последнему сообщению К первому непрочитанному
Offline rozhkov  
#81 Оставлено : 14 ноября 2011 г. 14:21:32(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про

Да.
Offline Дмитрий Пичулин  
#82 Оставлено : 20 сентября 2012 г. 21:35:34(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Для тестирования VPN на основе КриптоПро IPsec рекомендуется:
1) Установить текущую версию КриптоПро IPsec ( http://cryptopro.ru/products/ipsec/downloads/ ) (1.0.0791)
2) Попробовать подключиться к нашему эталону http://193.37.157.89/ (см. readme там же)
3) Задать вопросы

Знания в базе знаний, поддержка в техподдержке
Offline Oleg68  
#83 Оставлено : 24 мая 2013 г. 13:15:15(UTC)
Oleg68

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.05.2013(UTC)
Сообщений: 3
Российская Федерация

А можно пошаговую инструкцию, для совсем далеких? Начиная с установки КриптоПро. )
Задача такая - Windows Server 2003, клиент Windows XP. Соединяем Client-to-Site.
По руководству прошелся, тут всё прочитал предварительно, но понял не всё.
Результат как у предыдущих ораторов - 789.
Спасибо.
Offline Oleg68  
#84 Оставлено : 30 мая 2013 г. 14:21:04(UTC)
Oleg68

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.05.2013(UTC)
Сообщений: 3
Российская Федерация

Давайте тогда я сам отвечу.

Задача такова – поднять защищённый канал связи между филиалом и головным офисом при помощи VPN, теперь уже СЕРТИФИЦИРОВАННОГО ФСБ КриптоПро IPsec.

1. Берём Windows Server 20xx и поднимаем на нём Сервер удалённого доступа / VPN (Маршрутизация и удалённый доступ). Как это делается можно посмотреть тут http://support.microsoft.com/kb/323441 или воспользоваться ссылками, приведёнными в "ЖТЯИ.00074-01 90 02. Руководство администратора безопасности" от КриптоПро IPsec.
Не забываем создать на сервере пользователя (User) с паролем, и в свойствах учётной проставить ему "Разрешение на удалённый доступ (VPN или модем)".

2. Для чистоты эксперимента подключаемся к этому серверу с любой рабочей станции по PPTP. При успехе этого мероприятия, подключаемся по L2TP/IPSec, "Для проверки подлинности используем предварительный ключ", допустим 123456789.
Если всё работает, то подверимся ещё раз – на сервере откроем "Управление компьютером" - "Маршрутизация и удалённый доступ" - "Порты" - Свойства.
Отключаем всё кроме L2TP. Ok. Подключаемся ещё раз, если работает переходим к КриптоПро.
Offline Oleg68  
#85 Оставлено : 30 мая 2013 г. 14:22:05(UTC)
Oleg68

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.05.2013(UTC)
Сообщений: 3
Российская Федерация

3. На сервер и клиент устанавливаем КриптоПро CSP 3.6 R3 и КриптоПро IPsec согласно всё тому же "ЖТЯИ.00074-01 90 02. Руководство администратора безопасности". Перезагружаем машинки по потребности.

4. На сервере, как описано в руководстве, запускаем –

genpsk -D TestNet -n 02.06.11 -v 2 -m 6 -f GenPSK -P CMAK -S -N ForOffice ForClient

но, конечно, меняем дату… и в конце строки дописываем, допустим " > text.txt ".

genpsk -D TestNet -n 30.05.13 -v 2 -m 6 -f GenPSK -P CMAK -S -N ForOffice ForClient > text.txt

В итоге, в этом файле мы получим две строчки, например:

30.05.13,ForOffice,FPH90HEKY2WDWPR1W2VLAZD603C1
30.05.13,ForClient,UKUX0QYGM52EPPEPG5HZ09URUU41

Первую строчку ЦЕЛИКОМ прописываем в качестве предварительного ключа на стороне сервера, вторую на стороне клиента.
Всё. Пробуем подключение.

Поправьте меня, если я где-то не прав.
А я могу ошибаться.
Спасибо.
Offline Дмитрий Пичулин  
#86 Оставлено : 13 июня 2013 г. 14:09:40(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Шаги по настройке в порядке. Если, что-то при использовании PSK не работает то:
1) воспользоваться аудитом и просмотром событий штатных журналов ОС (если до установки КриптоПро IPsec оригинальный L2TP/IPsec работал нормально, то с большой вероятностью этот шаг можно пропустить)
2) убедиться, что PSK корректен с помощью утилиты genpsk (genpsk -D Glb -n N73 -v 23 -f chkpsk -K U8FH6TYUAGRE9MVAU0XKYHBQ7THR -N S1)
3) запустить cp_ipsec_info и посмотреть консоль, возможно ошибка будет очевидна по логу
4) отправить нам лог работы программы cp_ipsec_info (cp_ipsec_info имя_лог_файла.log) с описанием вашей конфигурации, проверим - ответим
Знания в базе знаний, поддержка в техподдержке
Offline hasm  
#87 Оставлено : 8 июля 2013 г. 10:26:38(UTC)
hasm

Статус: Участник

Группы: Участники
Зарегистрирован: 04.08.2011(UTC)
Сообщений: 11

Добрый день! Помогите настроить указанное выше, только не по PSK а по сертификатам.
Шаги 1, 2 и 3 выполнил все работает. Также поставил вместо предварительного ключа проверку по сертификату. Таким образом осуществляется проверка по сертификатам компьютера по протоколу IKE и если использовать стандартную аутентификацию пользователя по логину и паролю то все работает.
Никак не могу настроить, чтобы пользователь также проходил аутентификацию по сертификату. У нас изолированный УЦ, на нем был выпущен пользовательский сертификат установил я его на клиентскую машину. В настройках подключения клиента поставил PEAP метод проверки подлинности "Смарт-карта или иной сертификат", во время подключения выбираю нужный сертификат но аутентификация не проходит. Сервер не имеет доступа к ЦС, может с этим связано? Подскажите, может нужно на сервере где-то прописать пользовательский сертификат?
Спасибо!
Offline Дмитрий Пичулин  
#88 Оставлено : 8 июля 2013 г. 12:34:56(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: hasm Перейти к цитате
Шаги 1, 2 и 3 выполнил все работает. Также поставил вместо предварительного ключа проверку по сертификату. Таким образом осуществляется проверка по сертификатам компьютера по протоколу IKE и если использовать стандартную аутентификацию пользователя по логину и паролю то все работает.

Это означает что IPsec работает корректно.

Автор: hasm Перейти к цитате
Никак не могу настроить, чтобы пользователь также проходил аутентификацию по сертификату. У нас изолированный УЦ, на нем был выпущен пользовательский сертификат установил я его на клиентскую машину. В настройках подключения клиента поставил PEAP метод проверки подлинности "Смарт-карта или иной сертификат", во время подключения выбираю нужный сертификат но аутентификация не проходит. Сервер не имеет доступа к ЦС, может с этим связано? Подскажите, может нужно на сервере где-то прописать пользовательский сертификат?

Этот вопрос, с большой вероятностью, не входит в проблематику IPsec. Предлагается исключить влияние IPsec, переключившись на PPTP соединение. При возникновении проблем, обратиться в нашу техподдержку (support@cryptopro.ru) по вопросу настройки аутентификации по клиентскому сертификату в рамках PEAP.
Знания в базе знаний, поддержка в техподдержке
Offline hasm  
#89 Оставлено : 8 июля 2013 г. 13:14:05(UTC)
hasm

Статус: Участник

Группы: Участники
Зарегистрирован: 04.08.2011(UTC)
Сообщений: 11

Хорошо, спасибо. Еще один вопрос. Как удостовериться в том, что установленное соединение использует ГОСТ шифрование?
Спасибо!
Offline Дмитрий Пичулин  
#90 Оставлено : 8 июля 2013 г. 13:42:03(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: hasm Перейти к цитате
Как удостовериться в том, что установленное соединение использует ГОСТ шифрование?

  1. Лог cp_ipsec_info содержит информацию о текущих ESP сессиях с направлением и последнем порядковом номере обработанного пакета, это выглядит приблизительно так:
    Цитата:
    (05:45:35.646) CPInfoThread: <-> stats:
    (05:45:35.646) CPInfoThread: SPI: 'D1A94AE3' <- (686)
    (05:45:35.646) CPInfoThread: SPI: '84CD5D70' -> (801)
    (05:45:35.646) CPInfoThread: SPI: '4104F129' <- (68)
    (05:45:35.646) CPInfoThread: SPI: '8C2AD8FC' -> (68)

  2. Оснастка "Монитор IP-безопасности" в консоле (mmc) является мониторингом статистики и текущих IPsec соединений в ОС Windows (при активном КриптоПро IPsec, см. пункт 3, не обращать внимание на слова 3DES, SHA1 и т.д.)
  3. В меню cp_ipsec_info содержится информация о текущем состояния IPsec драйвера и фильтр драйвера. Если отображаются состояния "работает" и "работает (только проверка)", соответственно, гарантируется шифрование исходящего ESP трафика по ГОСТ. При наличии более высоких требований к исходящему трафику, фильтр может быть переключен в активный режим ("работает"), в этом случае можно заблокировать весь не IPsec трафик. Подробности настройки фильтра в полном объеме изложены документации.

    cp_ipsec_info_menu

  4. Запустить анализатор трафика, проанализировать трафик на наличие IPsec пакетов.

Отредактировано пользователем 8 июля 2013 г. 13:58:26(UTC)  | Причина: добавлено изображение.

Знания в базе знаний, поддержка в техподдержке
Offline LeXa4894  
#91 Оставлено : 8 октября 2013 г. 13:53:35(UTC)
LeXa4894

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.10.2013(UTC)
Сообщений: 3
Мужчина
Российская Федерация
Откуда: Zelenograd

Сказал «Спасибо»: 1 раз
Добрый день. Какие сертификаты необходимы для работы продукта и в каком хранилище они должны лежать?

Пробовались сертификаты тестового центра для соединения 2-х клиентов и клиента с тестовым сайтом.
Сертификаты запрашивались через веб-интерфейс с типами "Сертификат проверки подлинности клиента" и "Сертификат IPSec".
CSP "Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider" с алгоритмом хеширования "GOST R 34.11-94"
На клиентах установлено КриптоПро CSP 3.6.7491
Получившиеся сертификаты были установлены в "Текущий пользователь - Личные - Реестр" и сертификат тестового центра КриптоПро в "Локальный компьютер - Доверенные корневые центры сертификации - Реестр"
IPSec на PSK работает корректно в случает соединения двух клиентов. На сертификатах останавливается обмен IKE после прихода 4-го пакета первой фазы, по логу функция p1_SetMyCertProv не вызывается.
Версия CryptoPro IPSec 1.0.1006

Отредактировано пользователем 8 октября 2013 г. 14:03:15(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#92 Оставлено : 8 октября 2013 г. 14:23:43(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: LeXa4894 Перейти к цитате
Какие сертификаты необходимы для работы продукта и в каком хранилище они должны лежать?

Ответ уже есть в этой теме.

Памятка о сертификатах IPsec в Windows:
  • Сертификаты идентифицируют компьютер, но не пользователя;
  • Поиск только в локальном хранилище сертификатов компьютера;
  • Должны обладать свойством 1.3.6.1.5.5.8.2.2 (в веб-интерфейсе это "Сертификат IPSec").

Также напоминаем, что аутентификация пользователя проходит после установки канала IPsec и не входит в компетенцию протокола IPsec. Поэтому способ аутентификации канала (PSK vs. сертификаты) не влияет на способ аутентификации пользователя, это разные по смыслу вещи.
Знания в базе знаний, поддержка в техподдержке
Offline LeXa4894  
#93 Оставлено : 8 октября 2013 г. 15:12:19(UTC)
LeXa4894

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.10.2013(UTC)
Сообщений: 3
Мужчина
Российская Федерация
Откуда: Zelenograd

Сказал «Спасибо»: 1 раз
Создал сертификат на тестовом центре, поместил его в "Локальный компьютер - Личные - Реестр"
Свойством "IKE-посредник IP-безопасности (1.3.6.1.5.5.8.2.2)" данный сертификат обладает.
Сертификат Test Center CRYPTO-PRO добавлен в "Локальный компьютер - Доверенные корневые центры сертификации - Реестр"
Процесс подключения к 193.37.157.89 останавливается после приема 4-го пакета:
(16:02:19.526) logger_func: IKE.API - p1_CreateSK sid=01226620.
(16:02:19.526) CPAgreeSkeyid: /SUCCESS/
(16:02:19.526) Detour_GenerateSKEYIDs - ok
(16:02:23.104) CPInfoThread: SA statistic:
(16:02:23.104) CPInfoThread: 1 (RCs) 1 (MMs), 0 (QMs), 0 (SPIs)


При попытке соединения двух клиентов(без дополнительной аутентификации)
(16:08:49.874) logger_func: IKE.API - p1_CreateSK sid=01226620.
(16:08:49.874) CPAgreeSkeyid: /SUCCESS/
(16:08:49.874) Detour_GenerateSKEYIDs - ok
(16:08:53.108) CPInfoThread: SA statistic:
(16:08:53.108) CPInfoThread: 1 (RCs) 1 (MMs), 0 (QMs), 0 (SPIs)

Из-за чего может происходить такая остановка на инициаторе по приему 4-го пакета?
Offline Дмитрий Пичулин  
#94 Оставлено : 8 октября 2013 г. 16:07:05(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: LeXa4894 Перейти к цитате
Из-за чего может происходить такая остановка на инициаторе по приему 4-го пакета?

Похоже, что у вас не проходит этап проверки сертификата по CRL.

Если на ваших тестовых машинах недоступен CRL-сервер, указанный в сертификате, то поведение после 4-ого пакета может сильно зависеть от параметра StrongCRLCheck (подробнее: http://housecomputer.ru/..._and_certificates.html).
Знания в базе знаний, поддержка в техподдержке
Offline LeXa4894  
#95 Оставлено : 8 октября 2013 г. 17:35:49(UTC)
LeXa4894

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.10.2013(UTC)
Сообщений: 3
Мужчина
Российская Федерация
Откуда: Zelenograd

Сказал «Спасибо»: 1 раз
Win XP.
Такого параметра в реестре нет, по-умолчанию действие эквивалентно 1 в этом параметре, т.е. при недоступности CRL ответ зависит от самого сертификата.
В сертификате тестового центра нет точек распространения CRL.

Попробую поднять свой CA, посмотрю, останется ли проблема.

UPD:
Поднял CA. Продвинулось дальше.
(18:45:31.389) Detour_GenerateSKEYIDs - ok
(18:45:33.295) CPInfoThread: SA statistic:
(18:45:33.295) CPInfoThread: 1 (RCs) 1 (MMs), 0 (QMs), 0 (SPIs)
(18:45:33.639) Detour_ConstructCertSig - cp
(18:45:33.639) CPSetMyCertProv: in
(18:45:33.639) logger_func: IKE.API - p1_SetMyCertProvFn sid=01225488.
(18:45:33.639) CPSetMyCertProv: /SUCCESS/
(18:45:33.639) CPCreateHashMM: in
(18:45:33.639) CPCreateHashMM: --------------------------- p1_AuthIRFn
(18:45:33.639) CPCreateHashMM: P1 = 01225488
(18:45:33.639) CPCreateHashMM: DT_EXTDATA (ID) (35) = 09000000301D311B301906035504030C12746573745F732D74657272615F6970736563
(18:45:33.639) CPCreateHashMM: ---------------------------
(18:45:33.639) logger_func: IKE.API - p1_AuthIRFn:1916 sid=01225488. Err: 0x1.
(18:45:33.639) CPCreateHashMM: /ERROR/
(18:45:33.639) Detour_ConstructCertSig - line: 378
(18:45:33.639) Detour_ConstructCertSig - error

Забыл, что указал пароль ключам. Все работает. Спасибо.

Отредактировано пользователем 8 октября 2013 г. 18:38:04(UTC)  | Причина: обновление поста

Offline Дмитрий Пичулин  
#96 Оставлено : 8 октября 2013 г. 18:37:53(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: LeXa4894 Перейти к цитате
(18:45:33.639) logger_func: IKE.API - p1_AuthIRFn:1916 sid=01225488. Err: 0x1.

Ошибка на этапе подписи. В данном месте впервые происходит обращение к закрытому ключу. Распространенные варианты ошибок:
  • Отсутствует ключевой носитель;
  • На контейнере установлен пароль.

Пояснение: так как служба IPsec работает на уровне сервиса, никаких взаимодействий с пользователем на этапе установки соединения быть не может. Поэтому нужно убедиться, что носитель присутствует, а пароль находится в кэше (предварительно сохранен) или отсутствует (пустой пароль).
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
LeXa4894 оставлено 08.10.2013(UTC)
Offline Dim  
#97 Оставлено : 6 августа 2014 г. 11:19:13(UTC)
Dim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.04.2008(UTC)
Сообщений: 157
Откуда: Новороссийск

Поблагодарили: 14 раз в 8 постах
Бьюсь уже третий день, помогите.
Ситуация такова надо сделать VPN на базе Крипто Про IPSec. Есть две виртуальные машины, одна Windows 2003 другая Windows XP. На обоих установлено CSP 3.6 R3 и КриптоПро IPSec. Вместо PSK для L2TP хочу использовать сертификат. Создал сертификат на тестовом УЦ КриптоПро, установил его на своих тестовых машинах, работает. Создаю с такими же параметрами сертификат на своем тестовом УЦ, на моем сертификате не работает. Необходимые корневики установлены. Эти машины Интернета не видят, поэтому пришел к выводу что отсутствие CRL не влияет. Но на всякий случай подсовывал CRL своего тестового УЦ, все равно не работает. Уже не знаю куда смотреть.
Offline Дмитрий Пичулин  
#98 Оставлено : 6 августа 2014 г. 11:32:02(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: Dim Перейти к цитате
Бьюсь уже третий день, помогите.
Ситуация такова надо сделать VPN на базе Крипто Про IPSec. Есть две виртуальные машины, одна Windows 2003 другая Windows XP. На обоих установлено CSP 3.6 R3 и КриптоПро IPSec. Вместо PSK для L2TP хочу использовать сертификат. Создал сертификат на тестовом УЦ КриптоПро, установил его на своих тестовых машинах, работает. Создаю с такими же параметрами сертификат на своем тестовом УЦ, на моем сертификате не работает. Необходимые корневики установлены. Эти машины Интернета не видят, поэтому пришел к выводу что отсутствие CRL не влияет. Но на всякий случай подсовывал CRL своего тестового УЦ, все равно не работает. Уже не знаю куда смотреть.

1) Какая версия КриптоПро IPsec установлена?
2) Что говорит утилита cp_ipsec_info в части "Сертификаты IKE" (опция доступна в версии 1.0.1224)?
3) Утилита cp_ipsec_info последней версии отдельно во вложении (на всякий случай)
Вложение(я):
cp_ipsec_info.zip (54kb) загружен 4 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Знания в базе знаний, поддержка в техподдержке
Offline Dim  
#99 Оставлено : 6 августа 2014 г. 11:37:03(UTC)
Dim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.04.2008(UTC)
Сообщений: 157
Откуда: Новороссийск

Поблагодарили: 14 раз в 8 постах
1. Пробовал версии 1.0.1006 и 1.0.1224. Сейчас на сервере 1.0.1006. На одном клиенте 1.0.1006 а на другом 1.0.1224
2. После обновления списка, появляется мой сертификат.
Offline Дмитрий Пичулин  
#100 Оставлено : 6 августа 2014 г. 11:43:33(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: Dim Перейти к цитате
1. Пробовал версии 1.0.1006 и 1.0.1224. Сейчас на сервере 1.0.1006. На одном клиенте 1.0.1006 а на другом 1.0.1224
2. После обновления списка, появляется мой сертификат.

1) Сертификат с галочкой?
2) Вот пример со списком всех сертификатов IKE, однако в нем доступен для реального использования только один (отмечен галочкой).
Пользователь pd прикрепил следующие файлы:
2014-08-06 11-41-02 IKE Certificates.png (9kb) загружен 70 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
6 Страницы«<3456>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.