Добрый день %username%! Все знают что Федеральный Закон РФ № 152 диктует нам что мы должны использовать сертифицированные средства для защиты ПДн. Была задача обеспечить безопасность канала по ФЗ-152 для удаленного подключения клиентов. Для этого было использовано сервер VPN с КриптоПро IPsec и сертификаты ГОСТ.

Инструкция внутри.

Перед настройкой служб и соединений на сервере и клиентских машин необходимо установить на них КриптоПро CSP и КриптоПро IPSec!

Настраиваем VPN сервер на Windows Server 2012 R2

Открываем оснастку Server Manager и через мастер добавления ролей выбираем тип установки на основе ролей — Role-based or feature-based installation.

image

Далее выбираем сервер из пула серверов.

image

На шаге выбора ролей выбираем роль Remote Access.

image

Шаг Features пропускаем без внесения изменений. На шаге выбора служб включаемой роли выберем службу DirectAccess and VPN (RAS).

image

После выбора службы откроется окно добавления дополнительных компонент связанных с выбранной службой. Согласимся с их установкой нажав Add Features.

image

Роль Web Server Role (IIS) будет при этом добавлена в мастер добавления ролей. Соответствующий появившийся шаг мастера Web Server Role (IIS) и зависимые опции Role Services пропускаем с предложенными по умолчанию настройками и запускаем процесс установки, по окончании которого будет доступна ссылка на мастер первоначальной настройки служб Remote Access – Open the Getting Started Wizard.

image

Мастер настройки RAS можно вызвать щёлкнув по соответствующей ссылке здесь, либо позже из оснастки Server Manager:

image

Так как настройка DirectAccess в контексте нашей задачи не нужна, в окне мастера выбираем вариант только VPN – Deploy VPN only.

image

Настройка службы Routing and Remote Access

Из Панели управления открываем оснастку Administrative Tools \ Routing and Remote Access, выбираем имя сервера и открываем контекстное меню. Выбираем пункт Configure and Enable Routing and Remote Access.

image

Так как нам нужен только VPN выбираем.

image

Выбираем VPN.

image

Дальше указываем внешний интерфейс, имеющий выход в Интернет, к которому будут подключаться удаленные клиенты.

image

Настраиваем диапазон адресов для клиентов.

image
image

Укажем что не используем RADIUS сервер.

image

Соглашаемся с запуском службы. После запуска необходимо настроить методы аутентификации пользователей.

image

Выпускаем ГОСТовые сертификаты в КриптоПро УЦ 2.0 для VPN.

Для того чтобы IPSec у нас работал нам нужно:

  • Корневой сертификат УЦ
  • Серверный сертификат
  • Клиентский сертификат

И так, создадим два шаблона IPSec client IPSec server в Диспетчере УЦ.

image

В настройка шаблона IPSec client добавим параметр Client Authentication (1.3.6.1.5.5.7.3.2). IP security IKE intermediate (1.3.6.1.5.5.8.2.2).

image

Шаблон IPSec server такой же но с параметром Server Authentication (1.3.6.1.5.5.7.3.1).

image

После проделанной работы в Консоли управления ЦР создаем пользователей для запроса и формирования сертификата.

image

Далее запрашиваем сертификат для созданных пользователей. При запросе необходимо указать шаблон который мы создавали.

image

Выберем место хранения (контейнер) для закрытого ключа.

image

После нервного дерганья мышкой (это необходимо для СПЧ) задаем пароль для контейнера.
Теперь нам необходимо экспортировать сертификат в закрытый контейнер.

image

После копирования сертификата необходимо скопировать весь контейнер в файл для переноса на АРМ удаленного клиента. Экспортируем с помощью КриптоПро CSP в формате pfx.

image

По такому же алгоритму создаем сертификат для сервера только по другому шаблону и устанавливаем их с помощью оснастки Сертификаты КриптоПро CSP. Не забываем про корневой сертификат который должен быть в Доверенных корневых центры сертификации.

Настройка политики IP-безопасности на сервере

Шаг раз.

image

Шаг два.

image

Шаг три.

image

На вкладке «Методы проверки подлинности» добавляем Корневой сертификат.

image

По такому же алгоритму настраиваем политику IP-безопасности на каждой удаленном АРМ.
Корректность установки сертификата и проверка работоспособности IPSec, а так же логирование ошибок можно проверить с помощью утилиты КриптоПро IPSec cp_ipsec_info.exe. После нажатия меню Обновить список, Вы увидите список установленных сертификатов. На против установленного сертификата должна стоять галочка для подтверждений что все хорошо с ним.

image

Настройка подключения VPN к серверу

Подключение настраивается стандартно но с небольшими изменениями.

image

Вроде рассказал все нюансы, если есть замечания или предложения выслушаю с радостью!
Поделиться с друзьями
-->

Комментарии (10)


  1. AlexeevEugene
    16.05.2017 21:04
    +2

    а вроде ГОСТ не обязательно совсем. Но MS ipsec это конечно лютая дичь)


    1. kid565
      16.05.2017 21:34

      Согласен но, соответствовать нужно ))))


  1. ksg222
    17.05.2017 10:18
    +1

    Добрый день! В итоге не совсем понятно, какое шифрование используется в вашем решении. В заголовке указано, что гостовое. Но в настройках я увидел только установку сертификатов на базе госта для аутентификации. Как задаётся гостовый алгоритм шифрования непосредственно для IPSec соединения?


  1. kid565
    17.05.2017 10:51
    +1

    Добрый день! Так как мы установили ПО КриптоПро IPsec, в состав которого входит библиотеки КриптоПро IKE, ESP, AH, используя в качестве СКЗИ КриптоПро CSP, оно обеспечивает защиту пакетов в канале на базе ГОСТ 28147-89, включая шифрование и имитозащиту. Аутентификация участников осуществляется на ключах подписи, в соответствии с ГОСТ.


    1. gotch
      17.05.2017 13:18

      Как это можно проверить?


      1. kid565
        17.05.2017 13:25

        В состав КриптоПро IPsec входит консольная утилита cp_ipsec_info с помощью которой можно в онлайне просматривать лог соединения.


  1. astalv
    17.05.2017 12:16
    +1

    Я не мега специалист по этой области, НО, мне помнится что для соответствия законам требуется чтобы решение имело сертификат СКЗИ от ФСБ. И насколько я понимаю у такого решения его не будет так как вы сами устанавливаете крипто драйвера на VPN шлюз.

    Поправьте пожалуйста, кто в вопросе разбирается.


  1. kid565
    17.05.2017 12:33

    Сертификат есть -https://www.cryptopro.ru/sites/default/files/docs/certificates/ipsec_1.0_isp3_sf_124_2896_till_2018_03_01.jpg.


  1. cooper051
    17.05.2017 19:06

    А почему не взять специализированное решение (типа s-terra)? Это экономия или что? Windows Server тоже не бесплатен.


    1. kid565
      18.05.2017 08:40

      Решали задачу инструментами что были под рукой.