close

Вход

Забыли?

вход по аккаунту

Р оссийская наука;pdf

код для вставкиСкачать
Руководство по внедрению
Построение VPN туннеля между двумя
подсетями при наличии NAT. Аутентификация
на сертификатах, СКЗИ «AvCrypt ver.5.1»
Описание стенда
Сценарий описывает методику построения защищенного соединения при наличии устройств,
транслирующих сетевые адреса шлюзов безопасности. На устройствах Router1 и Router2 будет
осуществляться трансляция адресов. Устройства GW1 и GW2 будут терминировать туннель между
защищаемыми подсетями (192.168.1.0 и 192.168.2.0).
Настройка политики безопасности на шлюзах производится с учетом положений инструкции
администратора категорированной сети (см. «Программно-аппаратный комплекс «Шлюз
безопасности Bel VPN Gate 3.0.1.» Инструкция администратора категорированной сети»).
Рисунок 1
Параметры защищенного соединения:
•
Аутентификация на сертификатах.
•
IKE parameters:
•
•
Encryption algorithm – ГОСТ 28147-89
•
Hash algorithm – СТБ 1176.1-99
•
DH-group – group5 (1536)
IPSec parameters:
•
ESP encryption algorithm – ГОСТ 28147-89
© 2008 – 2014 S-Terra Bel
1
Руководство по внедрению
•
ESP integrity algorithm – ГОСТ 28147-89
•
PFS – group5 (1536)
Настроим два шлюза безопасности GW1, GW2 и остальные устройства стенда.
Настройка шлюза безопасности GW1
Так как используется аутентификация на сертификатах необходимо создать ключевую пару и
сформировать запрос на локальный сертификат для шлюза безопасности GW1.
Создание ключевой пары и формирование запроса на сертификат
Создание ключевой пары и формирование запроса для шлюза безопасности GW1 выполняется
администратором безопасности на программно-аппаратном комплексе Bel VPN Gate с помощью
утилиты cryptocont, которая входит в состав дистрибутива. Утилита размещается в директории
/opt/Avest/bin.
Опишем все эти действия подробно.
ШАГ 0. Убедитесь, что ключевой носитель AvPass 11-E-02 подключен к шлюзу.
ШАГ 1. Создайте контейнер, содержащий личный ключ, используя утилиту cryptocont:
gw1:/opt/Avest/bin#./cryptocont n –n=avpass:container1 –p=12345678
где avpass:container1 – имя контейнера, «avpass:» означает, что контейнер
размещается на ключевом носителе; p=12345678 – пароль доступа к контейнеру
ШАГ 2. Создайте запрос на сертификат, содержащий открытый ключ ЭЦП СТБ 1176.2-99 и
экспортируйте запрос в файл используя утилиту cryptocont. Открытый ключ вычисляется на основе
личного ключа, хранящегося в указанном контейнере:
gw1:/opt/Avest/bin#./cryptocont r –f=/opt/requestgate2.req –s=gate1 –c=BY –
n=avpass:container1 –p=12345678
где /opt/requestgate2.req – имя файла запроса; avpass:container1 – имя контейнера, для
которого создаем запрос
ШАГ 3. Отправьте созданный запрос доступным вам способом на сервер доверенного
Удостоверяющего Центра, где по данному запросу будет создан локальный сертификат.
ШАГ 4. Получите из УЦ локальный сертификат, цепочку сертификатов издателя и списки
отозванных сертификатов в виде файлов и доставьте их на шлюз безопасности. Для доставки
можно воспользоваться утилитой pscp.exe из пакета Putty. : В данном примере,
вышеперечисленные сертификаты и СОСы содержатся в файле container1.p7b, который был
получен от УЦ. Данный файл container1.p7b доставим в каталог /opt:
pscp container1.7pb [email protected]:/opt
© 2008 – 2014 S-Terra Bel
2
Руководство по внедрению
Регистрация сертификатов и СОСов
ШАГ 5. Зарегистрируйте в базе Продукта Bel VPN Gate сертификаты УЦ и локальный сертификат,
а также списки отозванных сертификатов, используя утилиту cert_mgr из состава Продукта, следуя
инструкциям:
1. Посмотрите индексы сертификатов и СОСов в файле. Для этого вызовите утилиту cert_mgr
с параметром show –f имя_файла:
Пример:
gw1:/opt# cert_mgr show –f container1.p7b
Certificates/CRLs from file container1.p7b
Found 2 certificates. Found 1 CRL.
1) CN=container1,C=BY
2) CN=\d0\9a\d0\be\d1\80\d0\bd\d0\b5\d0\b2\d0\be\d0\b9\d1\83\d0\b4\d0\be\d1\8
1\d1\82\d0\be\d0\b2\d0\b5\d1\80\d1\8f\d1\8e\d1\89\d0\b8\d0\b9\d1\86\d0\b5\d0\bd\d1\82\
d1\80,O=STerraBel,C=BY,ST=\d0\9c\d0\b8\d0\bd\d1\81\d0\ba\d0\b0\d1\8f,L=\d0\9c\d0\b8\d0\bd\d1\81
\d0\ba,STREET=\d1\83\d0\bb.\d0\a7\d0\b5\d1\80\d0\bd\d1\8b\d1\88\d0\b5\d0\b2\d1\81\d0\b
a\d0\be\d0\b3\d0\be10\d0\b0\,702,[email protected]
3) CRL:CN=\d0\9a\d0\be\d1\80\d0\bd\d0\b5\d0\b2\d0\be\d0\b9\d1\83\d0\b4\d0\be\
d1\81\d1\82\d0\be\d0\b2\d0\b5\d1\80\d1\8f\d1\8e\d1\89\d0\b8\d0\b9\d1\86\d0\b5\d0\bd\d1
\82\d1\80,O=STerraBel,C=BY,ST=\d0\9c\d0\b8\d0\bd\d1\81\d0\ba\d0\b0\d1\8f,L=\d0\9c\d0\b8\d0\bd\d1\81
\d0\ba,STREET=\d1\83\d0\bb.\d0\a7\d0\b5\d1\80\d0\bd\d1\8b\d1\88\d0\b5\d0\b2\d1\81\d0\b
a\d0\be\d0\b3\d0\be10\d0\b0\,702,[email protected]
Под индексом 1 – локальный сертификат шлюза, под индексом 2 – сертификат УЦ, под
индексом 3 – СОС.
2. Зарегистрируйте локальный сертификат. Для этого вызовите утилиту cert_mgr с
параметром import –f имя_файла –i индекс_объекта_в_файле –kc
имя_контейнера_с_секретным_ключом –kcp пароль_к_контейнеру:
Пример:
gw1:/opt# cert_mgr import –f container1.p7b –i 1 –kc avpass:container1 –kcp
12345678
3. Зарегистрируйте сертификат УЦ. Для этого вызовите утилиту cert_mgr с параметром import
–f имя_файла –i индекс_объекта_в_файле –t для CA сертификата:
Пример:
gate1:/opt# cert_mgr import –f avpass:container1.p7b –i 2 -t
4. Зарегистрируйте СОС. Для этого вызовите утилиту cert_mgr с параметром import –f
имя_файла –i индекс_объекта_в_файле
Пример:
gw1:/opt# cert_mgr import –f avpass:container1.p7b –i 3
5. Убедитесь, что сертификаты импортированы успешно. Для этого вызовите утилиту
cert_mgr с параметром check
Пример:
© 2008 – 2014 S-Terra Bel
3
Руководство по внедрению
gw1:/opt# cert_mgr check
1 State: Active CN=container1,C=BY
2 State: Active CN=\d0\9a\d0\be\d1\80\d0\bd\d0\b5\d0\b2\d0\be\d0\b9
\d1\83\d0\b4\d0\be\d1\81\d1\82\d0\be\d0\b2\d0\b5\d1\80\d1\8f\d1\8e\d1\89\d0\b8\d0\b9
\d1\86\d0\b5\d0\bd\d1\82\d1\80,O=S-Terra
Bel,C=BY,ST=\d0\9c\d0\b8\d0\bd\d1\81\d0\ba\d0\b0\d1\8f,L=\d0\9c\d0\b8\d0\bd\d1\81\d0\b
a,STREET=\d1\83\d0\bb.\d0\a7\d0\b5\d1\80\d0\bd\d1\8b\d1\88\d0\b5\d0\b2\d1\81\d0\ba\d0\
be\d0\b3\d0\be 10\d0\b0\, 702,[email protected]
© 2008 – 2014 S-Terra Bel
4
Руководство по внедрению
Cоздание политики безопасности
После регистрации сертификатов перейдем к созданию политики безопасности для шлюза GW1.
Конфигурирование шлюза безопасности будем производить в интерфейсе командной строки. Для
входа в консоль перейдите в директорию /opt/VPNagent/bin/ и запустите cs_console. Создайте
конфигурацию.
Ниже приведена конфигурация для шлюза GW1:
GW1#show run
crypto ipsec df-bit clear
crypto isakmp identity dn
username cscons privilege 15 password 0 csp
hostname GW1
enable password csp
logging trap debugging
crypto isakmp policy 1
hash md5
encr des
group 5
crypto ipsec transform-set TS1 esp-des esp-md5-hmac
ip access-list extended LAN1toLAN2
permit
ip
192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
crypto dynamic-map DMAP 1
match address LAN1toLAN2
set transform-set TS1
set pfs group5
!
crypto map CMAP 1 ipsec-isakmp dynamic DMAP
interface FastEthernet0/0
ip address 192.168.4.1 255.255.255.0
crypto map CMAP
interface FastEthernet0/1
ip address 192.168.1.254 255.255.255.0
(*следующие команды появляются в конфигурации после регистрации СА
сертификата*)
crypto ca trustpoint s-terra_technological_trustpoint
revocation-check none
crypto CA certificate chain s-terra_technological_trustpoint
certificate 33AE6C6B85536F834A8D8E5358333F4F
© 2008 – 2014 S-Terra Bel
5
Руководство по внедрению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quit
exit
end
В Приложении представлена политика безопасности (LSP) в текстовом формате, которую можно
получить, использовав утилиту lsp_mgr show из каталога продукта /opt/VPNagent/bin/.
Настройка маршрутизации
После создания конфигурации и выхода из консоли настроим маршрутизацию шлюза GW1.
В качестве шлюза по умолчанию выберем адрес устройства Router1 – 192.168.4.254
На этом конфигурирование шлюза безопасности GW1 закончено.
Настройка шлюза безопасности GW2
Зарегистрируйте в продукте Bel VPN Gate на шлюзе безопасности GW2 СА и локальный
сертификаты, как было описано для шлюза безопасности GW1.
Создание политики безопасности
Создание политики безопасности для шлюза безопасности GW2 также будем производить в
интерфейсе командной строки.
Ниже приведена конфигурация для шлюза GW2:
GW2#show run
crypto ipsec df-bit copy
crypto isakmp identity dn
username cscons privilege 15 password 0 csp
hostname GW2
enable password csp
logging trap debugging
© 2008 – 2014 S-Terra Bel
6
Руководство по внедрению
crypto isakmp policy 1
hash md5
encr des
authentication rsa-sig
group 5
crypto ipsec transform-set TS1 esp-des esp-md5-hmac
ip access-list extended LAN2toLAN1
permit
ip
192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
!
crypto map CMAP 1
match address LAN2toLAN1
set transform-set TS1
set peer 82.1.2.3
set pfs group5
!
interface FastEthernet0/0
ip address 192.168.3.1 255.255.255.0
crypto map CMAP
interface FastEthernet0/1
ip address 192.168.2.254 255.255.255.0
!
crypto ca trustpoint s-terra_technological_trustpoint
revocation-check none
crypto CA certificate chain s-terra_technological_trustpoint
certificate 33AE6C6B85536F834A8D8E5358333F4F
30820337308202E4A003020102021033AE6C6B85536F834A8D8E5358333F4F300A06062A8503
02020405003038310B3009060355040613025255310D300B060355040A130447494E53310B30
09060355040B13025141310D300B060355040313044D534341301E170D303330383135313231
3432365A170D3133303831353132323331315A3038310B3009060355040613025255310D300B
060355040A130447494E53310B3009060355040B13025141310D300B060355040313044D5343
413081A5301C06062A8503020214301206072A85030202200206072A850302021E0103818400
0481807856C3E39A3871868AB1A95406857899963E5FB1368EFDD4EE00B9ABC63CF37FF06943
58C90137E9FE22E333EBE6F5C67BA2ED497C4951CA724101BCB552C99CF357C22E3962E772BF
CE681E324B318E25CA222F7AD15E3DEB182BB8CD5C1499F9B7AEE9630982B6F20217CE73B9FA
DAD25DF85E41F72C3CC9EAD30A1761233FA38201813082017D301306092B0601040182371402
04061E0400430041300B0603551D0F040403020146300F0603551D130101FF040530030101FF
301D0603551D0E04160414AF466A089157E764B3560AC6DAAA99D655E1455230820115060355
1D1F0482010C308201083081C3A081C0A081BD8681BA6C6461703A2F2F2F434E3D4D5343412C
434E3D76772D77326B6164762C434E3D4344502C434E3D5075626C69632532304B6579253230
53657276696365732C434E3D53657276696365732C434E3D436F6E66696775726174696F6E2C
44433D71616D7363612C44433D67696E736F6674776172652C44433D72753F63657274696669
636174655265766F636174696F6E4C6973743F626173653F6F626A656374636C6173733D6352
4C446973747269627574696F6E506F696E743040A03EA03C863A687474703A2F2F76772D7732
6B6164762E71616D7363612E67696E736F6674776172652E72752F43657274456E726F6C6C2F
4D5343412E63726C301006092B06010401823715010403020100300A06062A85030202040500
0341003F58DCDD86C752B99C4BF09FE1CA9E5B567B19904B0B2BC6BE654A29E05550033B7F94
B498C5E6BBF6440FCB9624390F48E3A97835867E8C4346EA84952361F3
quit
exit
end
В Приложении представлена политика безопасности (LSP) в текстовом формате для шлюза
безопасности GW2.
© 2008 – 2014 S-Terra Bel
7
Руководство по внедрению
Настройка маршрутизации
После создания конфигурации и выхода из консоли настроим маршрутизацию шлюза GW2.
В качестве шлюза по умолчанию выберем адрес устройства Router2 - 192.168.3.254.
На этом конфигурирование шлюза безопасности GW2 закончено.
Настройка устройства Router1
На устройстве Router1 в качестве шлюза по умолчанию нужно указать адрес Router2 – 192.168.5.2.
Также на этом устройстве необходимо сконфигурировать NAT таким образом, чтобы адрес
192.168.4.1 статически транслировался в адрес 82.1.2.3.
Настройка устройства Router2
На устройстве Router2 в качестве шлюза по умолчанию нужно установить адрес Router1 –
192.168.5.1
Также на этом устройстве необходимо сконфигурировать NAT таким образом, чтобы адрес
192.168.3.1 динамически транслировался в диапазон адресов 82.1.2.4 – 82.1.2.16.
Настройка устройства Host1
На этом устройстве в качестве шлюза по умолчанию нужно указать адрес внутреннего интерфейса
шлюза безопасности GW1 - 192.168.1.254.
Настройка устройства Host2
На устройстве Host2 в качестве шлюза по умолчанию нужно указать адрес внутреннего
интерфейса шлюза безопасности GW2 - 192.168.2.254.
Приложение
Текст LSP устройства GW1
#
This is automatically generated LSP
#
Conversion Date/Time:
Thu Aug
3 13:25:17 2009
GlobalParameters(
Title
CSP Converter at Thu Aug
= "This LSP was automatically generated by
3 13:25:17 2009"
Version
= "2.1"
CRLHandlingMode
= OPTIONAL
LDAPLogMessageLevel
= DEBUG
SystemLogMessageLevel
= DEBUG
PolicyLogMessageLevel
= DEBUG
CertificatesLogMessageLevel = DEBUG
)
SyslogSettings(
© 2008 – 2014 S-Terra Bel
8
Руководство по внедрению
Server = 127.0.0.1
Facility = LOG_LOCAL7
)
IKETransform IKETransform_1(
CipherAlg
*= "G2814789CPRO1-K256-CBC-65530"
HashAlg
*= "STB1176199-65530"
GroupID
*= MODP_1536
LifetimeSeconds = 86400
)
ESPProposal ESP_TS1(
Transform* = ESPTransform(
CipherAlg*
= "G2814789CPRO1-K256-CBC-250"
LifetimeSeconds
= 3600
LifetimeKilobytes
= 4608011
)
)
CertDescription ca(
Issuer
*= "C=RU,O=GINS,OU=QA,CN=MSCA"
SerialNumber
=
Subject
*= "C=RU,O=GINS,OU=QA,CN=MSCA"
"33ae6c6b85536f834a8d8e5358333f4f"
)
AuthMethodGOSTSign auth_ca(
LocalID
=
IdentityEntry( DistinguishedName* = USER_SPECIFIC_DATA
)
DoNotMapRemoteIDToCert = TRUE
AcceptCredentialFrom
*= ca
SendRequestMode
=
ALWAYS
SendCertMode
=
ALWAYS
)
IKERule IKE_DMAP_1(
Transform* = IKETransform_1
AggrModeAuthMethod
*= auth_ca
MainModeAuthMethod
*= auth_ca
DoAutopass
= TRUE
DPDIdleDuration
= 10
DPDResponseDuration = 3
DPDRetries
= 5
)
IPsecAction DMAP_1(
TunnelingParameters *= TunnelEntry(
DFHandling=CLEAR
)
ContainedProposals *= ( ESP_TS1 )
GroupID *= MODP_1536
IKERule = IKE_Dmap_1
© 2008 – 2014 S-Terra Bel
9
Руководство по внедрению
)
FilteringRule Filter_nil_acl_DMAP_1(
LocalIPFilter *= FilterEntry( IPAddress *= 192.168.1.0/24 )
PeerIPFilter
*= FilterEntry( IPAddress *= 192.168.2.0/24 )
NetworkInterfaces *= "eth0"
Action *= ( DMAP_1 )
)
FilteringRule Filter_nil_acl(
LocalIPFilter *= FilterEntry( IPAddress *= 0.0.0.0..255.255.255.255 )
PeerIPFilter
*= FilterEntry( IPAddress *= 0.0.0.0..255.255.255.255 )
NetworkInterfaces *= "eth0"
Action *= ( PASS )
)
FilteringRule Filter_nil_acl_1(
LocalIPFilter *= FilterEntry( IPAddress *= 0.0.0.0..255.255.255.255 )
PeerIPFilter
*= FilterEntry( IPAddress *= 0.0.0.0..255.255.255.255 )
NetworkInterfaces *= "eth1"
Action *= ( PASS )
)
Текст LSP устройства GW2
#
This is automatically generated LSP
#
Conversion Date/Time:
Thu Aug
3 12:30:47 2009
GlobalParameters(
Title
CSP Converter at Thu Aug
= "This LSP was automatically generated by
3 12:30:47 2009"
Version
= "2.1"
CRLHandlingMode
= OPTIONAL
LDAPLogMessageLevel
= DEBUG
SystemLogMessageLevel
= DEBUG
PolicyLogMessageLevel
= DEBUG
CertificatesLogMessageLevel = DEBUG
)
SyslogSettings(
Server = 127.0.0.1
Facility = LOG_LOCAL7
)
IKETransform IKETransform_1(
CipherAlg
*= "G2814789CPRO1-K256-CBC-65530"
HashAlg
*= "STB1176199-65530"
GroupID
*= MODP_1536
LifetimeSeconds = 86400
)
© 2008 – 2014 S-Terra Bel
10
Руководство по внедрению
ESPProposal ESP_TS1(
Transform* = ESPTransform(
CipherAlg*
= "G2814789CPRO1-K256-CBC-250"
LifetimeSeconds
= 3600
LifetimeKilobytes
= 4608000
)
)
CertDescription ca(
Issuer
*= "C=RU,O=GINS,OU=QA,CN=MSCA"
SerialNumber
=
Subject
*= "C=RU,O=GINS,OU=QA,CN=MSCA"
"33ae6c6b85536f834a8d8e5358333f4f"
)
AuthMethodGOSTSign auth_ca(
LocalID = IdentityEntry( DistinguishedName* = USER_SPECIFIC_DATA )
DoNotMapRemoteIDToCert = TRUE
AcceptCredentialFrom
*= ca
SendRequestMode
=
ALWAYS
SendCertMode
=
ALWAYS
)
IKERule IKE_CMAP_1(
Transform* = IKETransform_1
AggrModeAuthMethod
*= auth_ca
MainModeAuthMethod
*= auth_ca
DoAutopass
= TRUE
DoNotUseDPD
= TRUE
)
IPsecAction CMAP_1(
TunnelingParameters *= TunnelEntry(
PeerIPAddress = 82.1.2.3
DFHandling=CLEAR
)
ContainedProposals *= ( ESP_TS1 )
GroupID *= MODP_1536
IKERule = IKE_CMAP_1
)
FilteringRule Filter_nil_acl_CMAP_1(
LocalIPFilter *= FilterEntry( IPAddress *= 192.168.2.0/24 )
PeerIPFilter
*= FilterEntry( IPAddress *= 192.168.1.0/24 )
NetworkInterfaces *= "eth0"
Action *= ( CMAP_1 )
)
FilteringRule Filter_nil_acl(
LocalIPFilter *= FilterEntry( IPAddress *= 0.0.0.0..255.255.255.255 )
PeerIPFilter
*= FilterEntry( IPAddress *= 0.0.0.0..255.255.255.255 )
© 2008 – 2014 S-Terra Bel
11
Руководство по внедрению
NetworkInterfaces *= "eth0"
Action *= ( PASS )
)
FilteringRule Filter_nil_acl_1(
LocalIPFilter *= FilterEntry( IPAddress *= 0.0.0.0..255.255.255.255 )
PeerIPFilter
*= FilterEntry( IPAddress *= 0.0.0.0..255.255.255.255 )
NetworkInterfaces *= "eth1"
Action *= ( PASS )
)
© 2008 – 2014 S-Terra Bel
12
1/--страниц
Пожаловаться на содержимое документа