Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Gulnara  
#1 Оставлено : 2 июля 2012 г. 20:54:00(UTC)
Gulnara

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.07.2012(UTC)
Сообщений: 2
Откуда: RT

Доброго времени суток!
Проблема: Отладчик cp_ipsec_info выдает ошибку:
ERROR: 'cp_oakley_info' not found (wait and restart app, or try to reinstall)

ОС: Windows 7 и Windows XP SP3. Переустановка не помогла. В папке Program Files/Cripto Pro/IPsec 13 файлов, на Server 2003 с таким же составом файлов отладчик работает.
Притом, КриптоПро IPsec между Windows XP SP3 и Server 2003 заработал (в консоли IP-монитор отображаются оба режима: основной и быстрый (алгоритм пишет DES, хотя в GPO указано «шифрование и обеспечение целостности ESP (SHA1, 2DES)). Network Monitor фиксирует трафик между Windows XP SP3 и Server 2003 по протоколу ESP.

Настройки следующие.
4 машины: контроллер Windows Server 2008 R2 (64), Windows Server 2003(32), Windows 7(32) и Windows XP SP3 (32).
на всех установлены КриптоПро CSP 3.6.6497 и КриптоПро IPsec
Сертификаты были сгенерированы отдельно в виде контейнеров с 6 файлами формата .key для каждой машины, корневой сертификат root.cer и список отзыва.

Настройки IPsec в групповых политиках:
1) правило: весь трафик для входящих и исходящих подключений для 192.168.2.1 (контроллер домена) разрешить
2) правило: входящий и исходящий трафик от любого узла шифровать: шифрование и обеспечение целостности ESP (SHA1, 2DES).
3) Правило отклик по умолчанию включено.
4) Применение параметров:
+ Принимать небезопасную связь, но отвечать с помощью IPsec.
- Разрешить возврат к небезопасной связи, если невозможно установить небезопасное подключение.
+ Использовать PFS.
5) Метод проверки подлинности Kerberos и Цент сертификации (в домен внедрен корневой сертификат root.cer)

Вопросы:
1) необходимо заставить заработать отладчик cp_ipsec_info :)
2) верно ли отражение в консоли IP-монитора алгоритма DES вместо ГОСТ?
3) верно ли настройка в GPO методов шифрования ESP (SHA1, 2DES)? Выбора ГОСТ там нет
4) нет связи после применения политики с Windows 7 (пинги не проходят) - в какую сторону копать?

Заранее спасибо!
Offline Gulnara  
#2 Оставлено : 12 июля 2012 г. 14:46:38(UTC)
Gulnara

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.07.2012(UTC)
Сообщений: 2
Откуда: RT

Появились ответы)))
1) Для работы отладчика cp_ipsec_info необходимо запустить его с правами администратора.
2) Отражение в консоли IP-монитора алгоритма DES вместо ГОСТ - верно.
3) Настройка в GPO методов шифрования ESP (SHA1, 2DES) верно.

Вопрос 4 еще актуален.
В журнале событий Win7 6 событий Аудита отказа «Ошибка при согласовании основного режима IPsec» Код события 4653.
Offline Дмитрий Пичулин  
#3 Оставлено : 20 сентября 2012 г. 21:33:04(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
1) Для начала хорошо бы уметь настраивать политики IPsec совсем без использования ГОСТ, например на PSK "123", добиться необходимого пинга, убедиться в мониторе IP-безопасности (или снифером), что соединение IPsec устанавливается.
2) Установить текущую версию КриптоПро IPsec ( http://cryptopro.ru/products/ipsec/downloads/ ) (1.0.0791)
3) Попробовать подключиться к нашему эталону http://193.37.157.89/ (см. readme там же)
4) Применить опыт к рабочей схеме шага 1)
5) Задать вопросы

Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.