Статус: Новичок
Группы: Участники
Зарегистрирован: 18.03.2015(UTC) Сообщений: 8 Откуда: Мурманск
|
Добрый день!
1.В руководстве администратора безопасности версии 1.1 в п.1.Назначение есть фраза в конце: "Соединения, построенные с использованием режимов и алгоритмов IPSec, отличных от описанных в настоящей документации, должны рассматриваться как незащищенные соединения." Значит ли это, что любая конфигурация с использованием cryptopro ipsec отличная от приведенных в данном руководстве должна рассматриваться как незащищенная, соответственно на нее не будет распространятся сертификация ФСБ?
2.В лицензии на CryptoPro IpSec сказано: "3.2. Вознаграждение Лицензиара за предоставленное право на использование программы для ЭВМ СКЗИ «КриптоПро IPsec» на рабочем месте входит в сумму вознаграждения за предоставленное право на использование программы для ЭВМ СКЗИ «КриптоПро CSP» версии 3.6.1 на условиях простой (неисключительной) лицензии." В то же время в прайсе видим: "Лицензия на право использования СКЗИ КриптоПро IPSec версии 1.0 на одном сервере - 20000" Поясните, плз. Получается надо купить лицензию за 20 тыс.руб. на CryptoPro CSP на сервер и CryptoPro IPsec на сервер то же за 20. Итого 40 тыс.руб. Как это вяжется с лицензией?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах
|
По первому пункту, имеется ввиду, что можно так плохо настроить IPsec, что соединия на самом деле будут не защищены, всё пойдёт в открытом виде. Поэтому мы себя защищаем от подобных конфигураций. Если вам кажется, что ваша конфигурация не подходит под предложенные в документации, возможно мы что-то упустили. Можете раскрыть подробности вашей конфигурации, которая не подходит под приведенные в руководстве? По второму пункту: Коммерческий отдел написал:на рабочем месте бесплатно, купи только CSP на сервере за деньги, но CSP все равно купить нужно
Отредактировано пользователем 2 апреля 2015 г. 17:23:47(UTC)
| Причина: добавлен ответ на второй вопрос |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 18.03.2015(UTC) Сообщений: 8 Откуда: Мурманск
|
Хотим связать удаленные офисы с головным. Сейчас на шлюзе (он же фаервол) в головном офисе настроен ipsec, на стандартной западной криптографии. В удаленных офисах в качестве шлюза обычные рабочие станции на Windows XP, там то же поднят ipsec. Хочется сертифицированной защиты :) Предполагаем за существующим шлюзом в головном офисе поставить сервер с CryptoPro CSP + ipsec, такая же конфигурация на шлюзах в удаленных офисах. Маршрутизация в голове для доступа в удаленные офисы настраивается через этот сервер. Использовать PSK или сертификаты - пока не решили, протестируем потом определимся. Вопрос вызван тем, что в Руководстве администратора безопасности описывавются варианты с использованием ISA, TMG, CheckPoint совместно с КриптоПро ipsec на одном сервере - у нас ничего из этих продуктов не используется и фаервол/шлюз планируется внешний по отношению к серверу с КриптоПро ipsec.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах
|
Автор: res в Руководстве администратора безопасности описывавются варианты с использованием ISA, TMG, CheckPoint совместно с КриптоПро ipsec на одном сервере - у нас ничего из этих продуктов не используется и фаервол/шлюз планируется внешний по отношению к серверу с КриптоПро ipsec. Судя по всему, вы используете схему client-to-site: 1 сервер (головной офис) и клиенты (windows xp). Это реализуется с использованием RRAS на L2TP/IPsec, см. "10.1. Настройка VPN для безопасного подключения клиента к сети офиса", где есть ссылки на инструкции как с использование TMG, так и без, только средствами самих Windows Server. |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 18.03.2015(UTC) Сообщений: 8 Откуда: Мурманск
|
Автор: pd Судя по всему, вы используете схему client-to-site: 1 сервер (головной офис) и клиенты (windows xp).
Нет. site-to-site. Даже там где 2 компа. Один из компов - шлюз. Как ни странно, Windows Xp и Windows 7 нормально справляются с ролью шлюза. Авторизация клиентов не нужна, шлюз в удаленном офисе должен быть всегда на связи, даже если пользователь не работает в данный момент.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах
|
Автор: res Нет. site-to-site. Даже там где 2 компа. Один из компов - шлюз. Как ни странно, Windows Xp и Windows 7 нормально справляются с ролью шлюза. Расскажите подробнее про то как вы это настроили, а то непонятно о какой технолигии речь, туннельный IPsec с прописыванием подсетей на каждом шлюзе? |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 18.03.2015(UTC) Сообщений: 8 Откуда: Мурманск
|
Да, совершенно верно, туннельный ipsec с подсетями в фильтрах и дополнительное правило непосредственно для внешнего интерфейса шлюза. Аналогичную конфигурацию хочется и с КрпитоПро осуществить, чтоб обошлось с наименьшими трудозатратами. Поэтому и возник вопрос о том будет ли сеть все еще защищенной и не аннулируются ли сертификаты из-за "неправильного использования", т.к. предполагаемая схема не очень-то вписывается в описанные в Руководстве схемы.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах
|
Автор: res Да, совершенно верно, туннельный ipsec с подсетями в фильтрах и дополнительное правило непосредственно для внешнего интерфейса шлюза. Аналогичную конфигурацию хочется и с КрпитоПро осуществить, чтоб обошлось с наименьшими трудозатратами. Поэтому и возник вопрос о том будет ли сеть все еще защищенной и не аннулируются ли сертификаты из-за "неправильного использования", т.к. предполагаемая схема не очень-то вписывается в описанные в Руководстве схемы. Почему, это site-to-site но без L2TP/IPsec, вот цитата из руководства: 10.2. Настройка Site-to-Site написал:... Допускается VPN-соединений сетей по схеме site-to-site с применением двух типов прото-колов: IPsec-tunnel и L2TP\IPsec ... Просто настройка туннелей более одного через политики, довольно кропотливая ручная работа, есть где ошибиться. |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 18.03.2015(UTC) Сообщений: 8 Откуда: Мурманск
|
Ясно. Спасибо за наводку! Видимо пропустил когда читал руководство. Да, ошибиться есть где. Как-то у микрософта это слишком сложно сделано, в том же линуксе или freebsd настройка ipsec гораздо проще происходит. Но спасает то, что если не правильно настроишь, то, как правило, связи нет, поэтому ошибки диагностируются легко, но, бывает, тяжело исправляются :)
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах
|
Автор: res Но спасает то, что если не правильно настроишь, то, как правило, связи нет, поэтому ошибки диагностируются легко, но, бывает, тяжело исправляются :) Тут страшнее другое, что связь вроде бы есть и всё правильно — но всё идет в открытом виде. |
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close