Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

12 Страницы<12345>»
Опции
К последнему сообщению К первому непрочитанному
Offline Mishel  
#21 Оставлено : 17 сентября 2010 г. 13:48:25(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

Спасибо, попробую...
Только странный у вас форум, почему-то на конкретные вопросы никто не отвечает...
Давайте чтобы у меня была полная уверенность уточним слдеующие моменты:
1) если я хочу реализовать режим аутентификации по сертификатам на каждой машине должно быть 2 сертификата, один сертифкат IPSEc и второй сертификат проверки подлинности клиента (для шлюза - сервера), так?
2) таки надо или нет в общем случае для установления защищенного канала с удаленным пользователем лезть в политики IPSec Windows, чтобы отдельно там прописывать использование алгоритмов КриптоПро?
Offline Дмитрий Пичулин  
#22 Оставлено : 17 сентября 2010 г. 17:35:28(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
> 1) если я хочу реализовать режим аутентификации по сертификатам на каждой машине должно быть 2 сертификата, один сертифкат IPSEc и второй сертификат проверки подлинности клиента (для шлюза - сервера), так?

- в случае использования L2TP IPsec, на сервере и клиенте должны быть установлены сертификаты IPsec, как минимум по 1. Наличие хотя бы одного подходящего сертификата, гарантирует аутентификацию L2TP IPsec части, после этого этапа логика работы зависит от аутентификации пользователя на сервере, это может быть как пароль, так и более сложные схемы с использованием сертификатов, radius-серверов. Но этот этап не входит в компетенцию IPsec-а, который предоставляет защищенный канал (или просто транспорт) для дальнейших действий.

> 2) таки надо или нет в общем случае для установления защищенного канала с удаленным пользователем лезть в политики IPSec Windows, чтобы отдельно там прописывать использование алгоритмов КриптоПро?

- для организации VPN сервера L2TP IPsec, не требуется никаких дополнительных самостоятельные настроек в "Политики IP-безопасности" (gpedit.msc), более того, они крайне не рекомендуются, так как могут перекрываться с политиками, которые VPN сервер добавляет самостоятельно (они считаются внутренними, добавляются динамически и невидимы в оснастке gpedit.msc).
Знания в базе знаний, поддержка в техподдержке
Offline Mishel  
#23 Оставлено : 22 сентября 2010 г. 21:03:00(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

а можно взглянуть как это работает у вас?
Offline Дмитрий Пичулин  
#24 Оставлено : 23 сентября 2010 г. 19:17:38(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
> а можно взглянуть как это работает у вас?

У нас была идея выложить виртуальные машины. Вас интересует стенд L2TP VPN сервер на базе 2003 с клиентом xp на сертификатах?
Знания в базе знаний, поддержка в техподдержке
Offline Mishel  
#25 Оставлено : 24 сентября 2010 г. 14:04:16(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

совершенно верно, очень интересует..
Offline Дмитрий Пичулин  
#26 Оставлено : 25 сентября 2010 г. 0:35:19(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Работающий стенд с реализацией КриптоПро IPsec L2TP VPN с аутентификацией на сертификатах и на PSK в виде 2-х виртуальных машины VMware с подробными snapshot-ами можно получить здесь: http://narod.ru/disk/252...48000/Easy_IPsec.7z.html

(пароль к архиву отправляю через PM)
Знания в базе знаний, поддержка в техподдержке
Offline Mishel  
#27 Оставлено : 27 сентября 2010 г. 15:45:19(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

Посмотрел ваш стенд, многие вопросы отпали...и кажется я нашел одно различие, по которому возможно почему у меня выдавалось сообщение о том что сертификат не найден когда я пытался установить канал не через PSK...
в вашем стенде сертификаты установлены в хранилище Локальный компьютер\Личные\Реестр\Сертификаты
а у меня они устанавливались в хранилище Локальный компьютер\Личные\Сертификаты
может в этом быть причина или нет? и если да, то как мне тогда совершать процедуру генерации сертификатов с указанием корректного пути хранилища сертификатов..
Offline Дмитрий Пичулин  
#28 Оставлено : 27 сентября 2010 г. 16:06:55(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
IPsec работает только с сертификатами локальной машины, это означает, что контекст сертификата должен иметь возможность быть полученным с флагами CRYPT_SILENT, CRYPT_MACHINE_KEYSET. Вы можете проверить свой сертификат, вызвав CryptAcquireContext( &hProv, pwszContainerName, pwszProvName, dwProvType, CRYPT_SILENT | CRYPT_MACHINE_KEYSET ).

То есть, секретный ключ сертификата должен быть доступен для локального компьютера без дополнительного взаимодействия с пользователем (без ввода пароля-pin и каких-либо дополнительных окон).

Ранее я писал, как можно получить требуемый сертификат в автоматическом режиме:
Цитата:
cryptcp.exe -creatcert -provtype 75 -silent -dn "E=name@server.ru, CN=name" -cont \\.\REGISTRY\name -certusage 1.3.6.1.5.5.8.2.2 -km -du -both -ca http://ca/certsrv


Для предоставленных виртуальных машин сертификаты получались через веб-интерфейс http://cryptopro.ru/certsrv/. Выбиралось произвольное имя, устанавливался тип сертификата — "сертификат IPsec", проверялось CSP — Crypto-Pro GOST R... , отмечалось — "использовать локальное хранилище компьютера для сертификата". Случайное число генерировалось с помощью "биологического датчика случайных чисел", пароль не устанавливался.

Отредактировано пользователем 27 сентября 2010 г. 16:09:05(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline Mishel  
#29 Оставлено : 5 октября 2010 г. 21:03:46(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

Скажите а в режиме VPN site-to-site КриптоПро IPSEC работает? И если да, то можно также посмотреть виртуальные машины для стенда?

Отредактировано пользователем 5 октября 2010 г. 21:06:01(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#30 Оставлено : 5 октября 2010 г. 21:16:24(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
>Скажите а в режиме VPN site-to-site КриптоПро IPSEC работает?

Работает. Мы проверяли работоспособность на стендах с серверами 2003 и 2008 R2, в частности: ISA<->ISA, ISA<->TMG, TMG<->TMG.

>И если да, то можно также посмотреть виртуальные машины для стенда?

Виртуальные машины данного стенда занимают около 50 ГБ, передавать такое количество информации через интернет проблематично. Наверное, было бы удобнее забрать их у нас в офисе, по договоренности. В любом случае, настройка site-to-site не намного сложнее настройки двух VPN серверов, и если у вас есть конкретные вопросы или затруднения, мы готовы ответить.
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
12 Страницы<12345>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.