close

Вход

Забыли?

вход по аккаунту

Пресс - релиз;pdf

код для вставкиСкачать
Инструкция Cisco UVPN-ZAS. Построение отказоустойчивого решения c применением
технологии RRI
Комплекс программный криптографической защиты информации Cisco
UVPN-ZAS
Инструкция. Построение отказоустойчивого решения c применением
технологии RRI. Аутентификация на сертификатах.
1
© 2013 СКЗ <Криптософт>
Инструкция Cisco UVPN-ZAS. Построение отказоустойчивого решения c применением
технологии RRI
Термины и сокращения
Комплекс
Клиент
Шлюз
Система управления
ЦГК
УЦ
LSP
- Комплекс программный криптографической защиты информации
Cisco UVPN-ZAS
- программный модуль, который входит в состав Комплекса, а
именно:
модуль шифрования «Cisco UVPN-ZAS» (клиент для Windows
7. XP / x32, x64)
- программный модуль, который входит в состав Комплекса, а
именно:
модуль шифрования «Cisco UVPN-ZAS» (шлюз Cisco UCS СSeries, UCS B-Series и Cisco UCS-E);
модуль шифрования «Cisco UVPN-ZAS» (шлюз для модулей
SRE в маршрутизаторы Cisco);
модуль шифрования «Cisco UVPN-ZAS» (шлюз для модулей
NMEв маршрутизаторы Cisco);
- программный модуль, который входит в состав Комплекса, а
именно:
Система управления «Cisco UVPN-ZAS»
- программный модуль «Центр генерации ключей»
- удостоверяющий центр (в нашем случае – это ЦГК)
- файл настройки криптографических тунелей
2
© 2013 СКЗ <Криптософт>
Инструкция Cisco UVPN-ZAS. Построение отказоустойчивого решения c применением
технологии RRI
1.
Описание стенда
Сценарий иллюстрирует построение защищённого соединения между подсетью SN1 192.168.1.0/24, защищаемой парой шлюзов безопасности GW1 и GW2 и мобильным
клиентом Client1. Устройство Client1 сможет общаться по защищенному каналу (VPN) с
устройствами из подсети SN1 (в частности с IPHost1). Схема стенда представлена на рис. 1.
Параметры защищенного соединения:

Аутентификация на сертификатах

IKE parameters:
 Encryption algorithm – GOST 28147-89
 Hash algorithm – GOST R 34.11-94 Hash
 DH-group – VKO GOST R 34.10-2001

IPsec parameters:
 ESP encryption algorithm – GOST 28147-89
 ESP integrity – GOST R 34.11-94 HMAC
Рис. 1
2.
Логика работы отказоустойчивого решения
Клиент Client1 может присоединяться как к шлюзу GW1, так и к шлюзу GW2. При
построении защищенного туннеля шлюз добавляет маршрут до Client1 в свою таблицу
маршрутизации и передает этот маршрут при помощи протокола RIP маршрутизатору
Router1. В случае если один из шлюзов выходит из строя, туннель от Client1 устанавливается
до другого шлюза, который в свою очередь добавляет маршрут и обновляет о нём
информацию на Router1 так же посредством RIP.
3.
Настройка устройства GW1
Сначала необходимо настроить шлюз безопасности GW1. Все настройки производятся
через локальную консоль или удаленно (SSH с правами суперпользователя) по доверенному
каналу связи.
3
© 2013 СКЗ <Криптософт>
Инструкция Cisco UVPN-ZAS. Построение отказоустойчивого решения c применением
технологии RRI
Для начала требуется зарегистрировать сертификаты: сертификат УЦ, локальный
сертификат, а также, при необходимости, CRL (список отозванных сертификатов).
4.
Регистрация СА сертификата (сертификата УЦ)
Для регистрации CA сертификата необходимо выполнить следующие действия:
1)
Установите правильное системное время.
Например:
date 070414282012
Что соответствует 4 июля 2012 года 14:28.
2)
Доставьте файл СА сертификата на шлюз безопасности в предварительно
созданный на нем каталог /certs. Для доставки можно воспользоваться утилитой pscp.exe из
пакета Putty, применив команду:
pscp <CA file path><CA file name> [email protected]<gate address>:/certs
Например:
pscp D:\ca.cer
[email protected]:/certs
Или бесплатной утилитой WinSCP ( http://winscp.net):
Предупреждение: среда передача для всех вариантов доставки сертификатов должна
быть доверенной.
3)
C помощью утилиты cert_mgr, входящей в состав продукта, зарегистрируйте
корневой сертификат в базе продукта:
[[email protected] /]# cert_mgr import -f /certs/ ca.00000001.crt –t
Параметр –t в данной команде указывает на то, что импортируемый сертификат –
корневой.
5.
Регистрация локального сертификата
Для регистрации локального сертификата в базе продукта примените следующие
команду:
:
сert_mgr import -f /root/cert/1001.00000002.crt -kc /root/cert/1001.00000002.cnt
4
© 2013 СКЗ <Криптософт>
Инструкция Cisco UVPN-ZAS. Построение отказоустойчивого решения c применением
технологии RRI
-kcp q68fhD
где: 1001.00000002.crt – локальный сертификат этого шлюза;
1001.00000002.cnt – контейнер нашего локального сертификата;
q68fhD – пароль к контейнеру нашего локального сертификата; (находится в текстовом
файле с названием, например: 1001.00000002.txt).
/root/cert/. – это путь размещения локального сертификата и его контейнера.
Для проверки, что все сертификаты введены и установлены правильно, вводим следующею
команду:
cert_mgr show и cert_mgr check:
6.
Создание политики безопасности
После регистрации сертификатов необходимо создать политику безопасности для GW1.
Создавать политику рекомендуется в интерфейсе командной строки. Для входа в консоль
перейдите в директорию /opt/VPNagent/bin/ и запустим cs_console.
[[email protected] /]# cs_console
GW1>en
Password:
Пароль по умолчанию: csp.
ВАЖНО: пароль по умолчанию нужно сменить
Перейдите в режим настройки:
GW1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
GW1(config)#
Смена пароля по умолчанию осуществляется при помощи команды:
GW1(config)#username cscons password <пароль>
В настройках интерфейсов задайте ip-адреса, если этого не было сделано раньше:
GW1
GW1
GW1
GW1
GW1
GW1
GW1
GW1
(config)#interface FastEthernet0/0
(config-if)#ip address 10.1.2.2 255.255.255.0
(config-if)#no shutdown
(config-if)#exit
(config)#interface FastEthernet0/1
(config-if)#ip address 10.1.1.2 255.255.255.0
(config-if)#no shutdown
(config-if)#exit
Задайте правила маршрутизации:
GW1 (config)# ip route 192.168.1.0 255.255.255.0 10.1.1.1
GW1 (config)# ip route 0.0.0.0 0.0.0.0 10.1.2.1
Задайте тип идентификации и параметры DPD:
GW1 (config)#crypto isakmp identity dn
5
© 2013 СКЗ <Криптософт>
Инструкция Cisco UVPN-ZAS. Построение отказоустойчивого решения c применением
технологии RRI
GW1 (config)#crypto isakmp keepalive 10 2
Задайте параметры для IKE:
GW1
GW1
GW1
GW1
GW1
GW1
(config)#crypto isakmp policy 1
(config-isakmp)# hash gost
(config-isakmp)# encryption gost
(config-isakmp)# authentication gost-sig
(config-isakmp)# group 5
(config-isakmp)#exit
Создайте набор преобразований для IPsec:
GW1(config)#crypto ipsec transform-set TSET esp-gost28147 esp-gost3411-hmac
GW1(cfg-crypto-trans)#mode tunnel
GW1(cfg-crypto-trans)#exit
Опишите трафик, который планируется защищать. Для этого создайте расширенный список
доступа:
GW1(config)#ip access-list extended LIST
GW1(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
GW1(config-ext-nacl)#exit
Создайте крипто-карту:
GW1(config)#crypto map CMAP 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
GW1(config-crypto-map)#match address LIST
GW1(config-crypto-map)#set transform-set TSET
GW1(config-crypto-map)#set peer 192.168.2.100
GW1(config-crypto-map)#reverse-route
GW1(config-crypto-map)#set pfs group5
GW1(config-crypto-map)#exit
Привяжите крипто-карту к интерфейсу, на котором будет терминироваться туннель:
GW1 (config)#interface FastEthernet0/0
GW1 (config-if)#crypto map CMAP
GW1 (config-if)#exit
Отключим обработку списка отозванных сертификатов (CRL):
GW1(config)#crypto pki trustpoint s-terra_technological_trustpoint
GW1(ca-trustpoint)#revocation-check none
GW1(ca-trustpoint)#exit
Настройка устройства GW1 в cisco-like консоли завершена.
конфигурационного режима происходит загрузка конфигурации.
7.
При
выходе
из
Настройка пакета динамической маршрутизации quagga
Пакет динамической маршрутизации Quagga настраивается из консоли ОС. Создайте
файл /etc/quagga/zebra.conf со следующим содержимым:
hostname localhost.localdomain
Создайте файл /etc/quagga/ripd.conf со следующим содержимым:
!
hostname ripd
password zebra
!
debug rip events
debug rip packet
!
router rip
version 2
redistribute kernel
network eth1
distribute-list acl-in in
distribute-list acl-out out
!
access-list acl-in deny any
access-list acl-out permit 192.168.2.0/24
access-list acl-out deny any
!
6
© 2013 СКЗ <Криптософт>
Инструкция Cisco UVPN-ZAS. Построение отказоустойчивого решения c применением
технологии RRI
log file /etc/quagga/ripd.log
!
log stdout
Параметр network определяет в какой сегмент сети будут отправляться RIP-пакеты,
distribute-list acl-in in и distribute-list acl-out out определяют фильтрацию на входящие и
исходящие RIP-оповещения.
ВАЖНО: шлюз не должен получать маршруты от других устройств, единственной
задачей RIP является передача маршрутов об удаленной подсети маршрутизатору Router1.
Запустить демон командами:
/etc/init.d/zebra start
/etc/init.d/ripd start
Для того чтобы они запускались автоматически при старте системы:
chkconfig zebra on
chkconfig ripd on
В Приложении представлен текст cisco-like конфигурации и текст LSP для GW1.
8.
Настройка шлюза GW2
Настройка шлюза безопасности GW2 происходит аналогично настройке устройства
GW1, с учетом того, что требуется замена IP-адресов и сертификатов безопасности в
соответствующих разделах конфигурации.
В Приложении представлен текст cisco-like конфигурации и текст LSP для GW2.
9.
Настройка мобильного клиента Client1
Настройка мобильного клиента состоит из нескольких этапов: получение сертификата
и секретных ключей, формирование установочного пакета для целевого клиентского
компьютера и установка этого пакета. В случае если ключи были сгенерированы вне
целевого компьютера, их требуется туда доставить защищенным образом.
Создайте установочный пакет для Client1. Создавать установочный пакет можно как на
клиентском компьютере, так и на компьютере администратора. На вкладке “Auth” укажите
путь к CA и пользовательскому сертификату, а также контейнер с секретными ключами
(“User container name” можно скопировать из пункта “Container name”, поставив галочку
“Check consistency now” и выбрав соответствующее имя контейнера). Выберете
“DistinguishedName” в пункте “User identity type” (рис. 2).
7
© 2013 СКЗ <Криптософт>
Инструкция Cisco UVPN-ZAS. Построение отказоустойчивого решения c применением
технологии RRI
Рис. 2
На вкладке “Rules” (рис.3) укажите трафик, подлежащий шифрованию, а также
IP-адрес шлюза, с которым будет построено защищенное соединение (рис.4). Правило о IPадресе шлюза поднимите вверх.
8
© 2013 СКЗ <Криптософт>
Инструкция Cisco UVPN-ZAS. Построение отказоустойчивого решения c применением
технологии RRI
Рис. 3
На вкладке “IPSec Rules” (рис.3) укажите трафик, подлежащий шифрованию, а также
IP-адрес шлюза, с которым будет построено защищенное соединение (рис.4). Установите
галочку Use random IP Address order.
Рис. 4
На вкладке “IPSec” поднимите вверх правило, соответствующее настроенному на
шлюзе IPSec Transform Set и выберете Group – VKO_1B (рис.5)
9
© 2013 СКЗ <Криптософт>
Инструкция Cisco UVPN-ZAS. Построение отказоустойчивого решения c применением
технологии RRI
Рис. 5
На вкладке License введите код активации (предоставляется при поставке продукта на
оптическом носителе) на Клиент.
Сохраните файл созданного проекта, на тот случай, если захотите в будущем сделать
похожий клиентский пакет. Для этого нажмите File->Save Project.
Далее сгенерируйте клиентский exe-файл с помощью кнопки “Make package…”.
Вставьте в клиентский компьютер носитель с секретными ключами и сертификатами.
Установите на клиентском компьютере полученный exe-файл и перезагрузите компьютер.
В Приложении представлен текст LSP для Client1.
10.
Настройка устройства Router1
Настройте IP-адреса согласно рисунку 1.
Настройте динамическую маршрутизацию по протоколу RIP(показан синтаксис
маршрутизатора Cisco):
router rip
version 2
network 10.1.1.0
11.
Настройка устройства ISP
Настроить IP-адреса согласно рисунку 1.
12.
Настройка устройства IPHost1
На устройстве IPHost1 нужно задать IP-address 192.168.1.100, а в качестве шлюза по
умолчанию нужно указать адрес 192.168.1.1
13.
Проверка работоспособности стенда
После того, как настройка всех устройств завершена, инициируйте создание
защищенного соединения.
С устройства Client1 отправьте icmp пакет на IPHost1.
ping 192.168.1.100
PING 192.168.1.100 (192.168.1.100): 100 data bytes
108 bytes from 192.168.1.100: icmp_seq=0. time=7.80
108 bytes from 192.168.1.100: icmp_seq=1. time=4.37
108 bytes from 192.168.1.100: icmp_seq=2. time=4.90
108 bytes from 192.168.1.100: icmp_seq=3. time=7.29
108 bytes from 192.168.1.100: icmp_seq=4. time=4.81
ms
ms
ms
ms
ms
Пустите бесконечный пинг и сделайте обрыв связи.
64
64
64
64
64
bytes
bytes
bytes
bytes
bytes
from
from
from
from
from
192.168.1.100:
192.168.1.100:
192.168.1.100:
192.168.1.100:
192.168.1.100:
icmp_seq=14 ttl=253 time=6.49 ms
icmp_seq=15 ttl=253 time=4.82 ms
icmp_seq=16 ttl=253 time=7.42 ms
icmp_seq=118 ttl=253 time=7.04 ms
icmp_seq=119 ttl=253 time=7.02 ms
Через некоторое время связь должна восстановиться. За это время переустановился
туннель уже с другим шлюзом. Убедитесь в этом с помощью команды sa_mgr show на GW1 и
GW2.
То, что маршрут по RIP был передан на маршрутизатор можно посмотреть командой:
ROUTER1#sh ip ro
10
© 2013 СКЗ <Криптософт>
Инструкция Cisco UVPN-ZAS. Построение отказоустойчивого решения c применением
технологии RRI
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
10.0.0.0/24 is subnetted, 1 subnets
C 10.1.1.0 is directly connected, FastEthernet0/0
C 192.168.1.0/24 is directly connected, FastEthernet0/1
192.168.2.0/32 is subnetted, 1 subnets
R 192.168.2.100 [120/1] via 10.1.1.2, 00:00:29, FastEthernet0/0
14.
Приложение
Текст cisco-like конфигурации для устройства GW1
!
version 12.4
no service password-encryption
!
crypto ipsec df-bit copy
crypto isakmp identity dn
username cscons privilege 15 password 0 csp
hostname cspgate
enable password csp
!
!
!
logging trap debugging
!
!
crypto isakmp policy 1
encr gost
hash gost
authentication gost-sig
group 5
!
crypto ipsec transform-set TSET esp-gost28147 esp-gost3411-hmac
!
ip access-list extended LIST
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
!
!
crypto map CMAP 1 ipsec-isakmp
match address LIST
set transform-set TSET
set pfs group5
set peer 192.168.2.100
reverse-route
!
!
!
interface FastEthernet0/0
ip address 10.1.2.2 255.255.255.0
crypto map CMAP
!
interface FastEthernet0/1
ip address 10.1.1.2 255.255.255.0
!
!
ip route 192.168.1.0 255.255.255.0 10.1.1.1
ip route 0.0.0.0 0.0.0.0 10.1.2.1
!
crypto pki trustpoint s-terra_technological_trustpoint
revocation-check none
crypto pki certificate chain s-terra_technological_trustpoint
certificate 01
30820307308202AFA003020102020101300D060B2A8624020101010103010130
3B3120301E06035504030C1750656E73696F6E2046756E64206F6620556B7261
696E65310A300806035504050C0131310B300906035504060C025541301E170D
3132313231313133303434305A170D3137313231313133303434305A303B3120
301E06035504030C1750656E73696F6E2046756E64206F6620556B7261696E65
310A300806035504050C0131310B300906035504060C0255413081F13081C906
0B2A862402010101010301013081B9307530070202010102010C020100042110
11
© 2013 СКЗ <Криптософт>
Инструкция Cisco UVPN-ZAS. Построение отказоустойчивого решения c применением
технологии RRI
BEE3DB6AEA9E1F86578C45C12594FF942394A7D738F9187E6515017294F4CE01
022100800000000000000000000000000000006759213AF182E987D3E1771490
7D470D0421B60FD2D8DCE8A93423C6101BCA91C47A007E6C300B26CD556C9B0E
7D20EF292A000440E3CD1FA9B6275084D904713B6C2AFE588BA71D5C6390FE24
D7C9F058A2B6431EB4650F1C9ED837A2DF942C5A60387E1BFE95B21860D347CA
A3E20146B8C7D5F903230004200E737D803C1706B50A6588099BA299C4B365ED
7EABB6643CCA23EFFBF2883761A38201063082010230290603551D0E04220420
D70F1ED2EA5F7068F01C02E8FEB9E5E363CA993C893A03564BE125E5F541CBF6
302B0603551D23042430228020D70F1ED2EA5F7068F01C02E8FEB9E5E363CA99
3C893A03564BE125E5F541CBF6300E0603551D0F0101FF0404030200C6306C06
03551D250465306306092A862402010101030906082B0601050507030906082B
0601050507030806082B0601050507030106082B0601050507030206082B0601
050507030306082B0601050507030406092A862402010101030906092A862402
010101030A0604551D250030160603551D20040F300D300B06092A8624020101
01020230120603551D130101FF040830060101FF020100300D060B2A86240201
01010103010103430004400327EBD1FDED51277342BF875B2C723E393A92EF7E
FC54766EAF60A1CF8A1C75CA7776F43B73AE329573667AAE637AB999A5D9909C
D90615E2043E2EE0DBF764
!
end
Текст LSP для устройства GW1
#
#
#
This is automatically generated LSP
Conversion Date/Time:
Wed Jan 20 01:52:22 2013
GlobalParameters(
Title
20 01:52:22 201"
Version
CRLHandlingMode
PreserveIPsecSA
)
= "This LSP was automatically generated by CSP Converter at Wed Jan
= LSP_4_0
= OPTIONAL
= FALSE
RoutingTable(
Routes =
Route(
Destination = 192.168.1.0/24
Gateway = 10.1.1.1
Metric = 1
),
Route(
Destination = 0.0.0.0/0
Gateway = 10.1.2.1
Metric = 1
)
FirewallParameters(
TCPSynSentTimeout = 30
TCPFinTimeout = 5
TCPClosedTimeout = 30
TCPSynRcvdTimeout = 30
TCPEstablishedTimeout = 3600
TCPHalfOpenLow = 400
TCPHalfOpenMax = 500
TCPSessionRateLow = 400
TCPSessionRateMax = 500
)
IKETransform crypto:isakmp:policy:1
(
CipherAlg
= "GOST28147_89-K256-CFB-65531"
HashAlg
= "GOST34311_95-65531"
GroupID
= MODP_1536
RestrictAuthenticationTo = GOST_SIGN
LifetimeSeconds = 86400
)
ESPProposal TSET:ESP
(
Transform* = ESPTransform
(
IntegrityAlg*
= "GOST34311_95-H96-HMAC-65531"
CipherAlg*
= "GOST28147_89-K256-CFB-251"
LifetimeSeconds
= 3600
12
© 2013 СКЗ <Криптософт>
Инструкция Cisco UVPN-ZAS. Построение отказоустойчивого решения c применением
технологии RRI
LifetimeKilobytes
= 4608000
)
)
AuthMethodGOSTSign GOST:Sign
(
LocalID
= IdentityEntry( DistinguishedName* = USER_SPECIFIC_DATA )
DoNotMapRemoteIDToCert = TRUE
SendRequestMode
= ALWAYS
SendCertMode
= ALWAYS
)
IKERule IKERule:CMAP:1
(
IKEPeerIPFilter = 192.168.2.100
Transform = crypto:isakmp:policy:1
AggrModeAuthMethod = GOST:Sign
MainModeAuthMethod = GOST:Sign
DoNotUseDPD
= TRUE
Priority
= 10
)
IPsecAction IPsecAction:CMAP:1
(
TunnelingParameters = TunnelEntry(
PeerIPAddress = 192.168.2.100
DFHandling=COPY
Assemble=TRUE
)
ContainedProposals = ( TSET:ESP )
GroupID = MODP_1536
IKERule = IKERule:CMAP:1
)
FilterChain IPsecPolicy:CMAP (
Filters = Filter (
ProtocolID = 17
SourcePort = 500, 4500
Action = PASS
PacketType = LOCAL_UNICAST, LOCAL_MISDIRECTED
),
Filter (
Action = PASS
ExtendedAction = ipsec< sa = IPsecAction:CMAP:1 >
LogEventID = "IPsec:Protect:CMAP:1:LIST"
),
Filter (
SourceIP = 192.168.1.0/24
DestinationIP = 192.168.2.0/24
Action = PASS
ExtendedAction = ipsec< sa = IPsecAction:CMAP:1 >
LogEventID = "IPsec:Protect:CMAP:1:LIST"
)
)
NetworkInterface (
LogicalName = "FastEthernet0/0"
IPsecPolicy = IPsecPolicy:CMAP
)
Текст cisco-like конфигурации для устройства GW2
!
version 12.4
no service password-encryption
!
crypto ipsec df-bit copy
crypto isakmp identity dn
username cscons privilege 15 password 0 csp
hostname cspgate
enable password csp
!
!
!
logging trap debugging
!
13
© 2013 СКЗ <Криптософт>
Инструкция Cisco UVPN-ZAS. Построение отказоустойчивого решения c применением
технологии RRI
!
crypto isakmp policy 1
encr gost
hash gost
authentication gost-sig
group 5
!
crypto ipsec transform-set TSET esp-gost28147 esp-gost3411-hmac
!
ip access-list extended LIST
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
!
!
crypto map CMAP 1 ipsec-isakmp
match address LIST
set transform-set TSET
set pfs group5
set peer 192.168.2.100
reverse-route
!
!
!
interface FastEthernet0/0
ip address 10.1.2.3 255.255.255.0
crypto map CMAP
!
interface FastEthernet0/1
ip address 10.1.1.3 255.255.255.0
!
!
ip route 192.168.1.0 255.255.255.0 10.1.1.1
ip route 0.0.0.0 0.0.0.0 10.1.2.1
!
crypto pki trustpoint s-terra_technological_trustpoint
revocation-check none
crypto pki certificate chain s-terra_technological_trustpoint
certificate 01
30820307308202AFA003020102020101300D060B2A8624020101010103010130
3B3120301E06035504030C1750656E73696F6E2046756E64206F6620556B7261
696E65310A300806035504050C0131310B300906035504060C025541301E170D
3132313231313133303434305A170D3137313231313133303434305A303B3120
301E06035504030C1750656E73696F6E2046756E64206F6620556B7261696E65
310A300806035504050C0131310B300906035504060C0255413081F13081C906
0B2A862402010101010301013081B9307530070202010102010C020100042110
BEE3DB6AEA9E1F86578C45C12594FF942394A7D738F9187E6515017294F4CE01
022100800000000000000000000000000000006759213AF182E987D3E1771490
7D470D0421B60FD2D8DCE8A93423C6101BCA91C47A007E6C300B26CD556C9B0E
7D20EF292A000440E3CD1FA9B6275084D904713B6C2AFE588BA71D5C6390FE24
D7C9F058A2B6431EB4650F1C9ED837A2DF942C5A60387E1BFE95B21860D347CA
A3E20146B8C7D5F903230004200E737D803C1706B50A6588099BA299C4B365ED
7EABB6643CCA23EFFBF2883761A38201063082010230290603551D0E04220420
D70F1ED2EA5F7068F01C02E8FEB9E5E363CA993C893A03564BE125E5F541CBF6
302B0603551D23042430228020D70F1ED2EA5F7068F01C02E8FEB9E5E363CA99
3C893A03564BE125E5F541CBF6300E0603551D0F0101FF0404030200C6306C06
03551D250465306306092A862402010101030906082B0601050507030906082B
0601050507030806082B0601050507030106082B0601050507030206082B0601
050507030306082B0601050507030406092A862402010101030906092A862402
010101030A0604551D250030160603551D20040F300D300B06092A8624020101
01020230120603551D130101FF040830060101FF020100300D060B2A86240201
01010103010103430004400327EBD1FDED51277342BF875B2C723E393A92EF7E
FC54766EAF60A1CF8A1C75CA7776F43B73AE329573667AAE637AB999A5D9909C
D90615E2043E2EE0DBF764
!
end
Текст LSP для устройства GW2
#
#
#
This is automatically generated LSP
Conversion Date/Time:
GlobalParameters(
Title
20 01:52:22 201"
Version
CRLHandlingMode
PreserveIPsecSA
)
Wed Jan 20 01:52:22 2013
= "This LSP was automatically generated by CSP Converter at Wed Jan
= LSP_4_0
= OPTIONAL
= FALSE
14
© 2013 СКЗ <Криптософт>
Инструкция Cisco UVPN-ZAS. Построение отказоустойчивого решения c применением
технологии RRI
RoutingTable(
Routes =
Route(
Destination = 192.168.1.0/24
Gateway = 10.1.1.1
Metric = 1
),
Route(
Destination = 0.0.0.0/0
Gateway = 10.1.2.1
Metric = 1
)
FirewallParameters(
TCPSynSentTimeout = 30
TCPFinTimeout = 5
TCPClosedTimeout = 30
TCPSynRcvdTimeout = 30
TCPEstablishedTimeout = 3600
TCPHalfOpenLow = 400
TCPHalfOpenMax = 500
TCPSessionRateLow = 400
TCPSessionRateMax = 500
)
IKETransform crypto:isakmp:policy:1
(
CipherAlg
= "GOST28147_89-K256-CFB-65531"
HashAlg
= "GOST34311_95-65531"
GroupID
= MODP_1536
RestrictAuthenticationTo = GOST_SIGN
LifetimeSeconds = 86400
)
ESPProposal TSET:ESP
(
Transform* = ESPTransform
(
IntegrityAlg*
=
CipherAlg*
=
LifetimeSeconds
=
LifetimeKilobytes
=
)
)
"GOST34311_95-H96-HMAC-65531"
"GOST28147_89-K256-CFB-251"
3600
4608000
AuthMethodGOSTSign GOST:Sign
(
LocalID
= IdentityEntry( DistinguishedName* = USER_SPECIFIC_DATA )
DoNotMapRemoteIDToCert = TRUE
SendRequestMode
= ALWAYS
SendCertMode
= ALWAYS
)
IKERule IKERule:CMAP:1
(
IKEPeerIPFilter = 192.168.2.100
Transform = crypto:isakmp:policy:1
AggrModeAuthMethod = GOST:Sign
MainModeAuthMethod = GOST:Sign
DoNotUseDPD
= TRUE
Priority
= 10
)
IPsecAction IPsecAction:CMAP:1
(
TunnelingParameters = TunnelEntry(
PeerIPAddress = 192.168.2.100
DFHandling=COPY
Assemble=TRUE
)
ContainedProposals = ( TSET:ESP )
GroupID = MODP_1536
IKERule = IKERule:CMAP:1
)
FilterChain IPsecPolicy:CMAP (
Filters = Filter (
ProtocolID = 17
15
© 2013 СКЗ <Криптософт>
Инструкция Cisco UVPN-ZAS. Построение отказоустойчивого решения c применением
технологии RRI
SourcePort = 500, 4500
Action = PASS
PacketType = LOCAL_UNICAST, LOCAL_MISDIRECTED
),
Filter (
Action = PASS
ExtendedAction = ipsec< sa = IPsecAction:CMAP:1 >
LogEventID = "IPsec:Protect:CMAP:1:LIST"
),
Filter (
SourceIP = 192.168.1.0/24
DestinationIP = 192.168.2.0/24
Action = PASS
ExtendedAction = ipsec< sa = IPsecAction:CMAP:1 >
LogEventID = "IPsec:Protect:CMAP:1:LIST"
)
)
NetworkInterface (
LogicalName = "FastEthernet0/0"
IPsecPolicy = IPsecPolicy:CMAP
)
)
Текст LSP для устройства Client1
GlobalParameters (
Title = "This LSP was automatically generated by UVPN Client AdminTool (cr) at
2014.05.19 16:56:56"
Version = LSP_4_0
CRLHandlingMode = BEST_EFFORT
)
LDAPSettings (
ResponseTimeout = 200
HoldConnectTimeout = 60
DropConnectTimeout = 5
)
IdentityEntry auth_identity_01(
DistinguishedName *= CertDescription(
Subject *= COMPLETE,"CN=gate203,2.5.4.5=1002,O=cryptosoft,C=UA"
)
)
CertDescription local_cert_dsc_01(
Subject *= COMPLETE,"CN=gate203,2.5.4.5=1002,O=cryptosoft,C=UA"
Issuer *= COMPLETE,"CN=gate,2.5.4.5=1,O=cryptosoft,C=UA"
SerialNumber = "04"
FingerprintMD5 = "2671DA6D259B165F9B2626A5F227D3E7"
)
CertDescription partner_cert_dsc_01(
)
AuthMethodGOSTSign auth_method_01(
LocalID = auth_identity_01
LocalCredential = local_cert_dsc_01
RemoteCredential = partner_cert_dsc_01
SendRequestMode = AUTO
SendCertMode = AUTO
)
IKEParameters (
DefaultPort = 500
SendRetries = 5
RetryTimeBase = 1
RetryTimeMax = 30
SessionTimeMax = 60
InitiatorSessionsMax = 30
ResponderSessionsMax = 20
BlacklogSessionsMax = 16
BlacklogSessionsMin = 0
BlacklogSilentSessions = 4
BlacklogRelaxTime = 120
IKECFGPreferDefaultAddress = FALSE
)
16
© 2013 СКЗ <Криптософт>
Инструкция Cisco UVPN-ZAS. Построение отказоустойчивого решения c применением
технологии RRI
IKETransform ike_trf_02(
LifetimeSeconds = 28800
CipherAlg *= "GOST28147_89-K256-CFB-65531"
HashAlg *= "GOST34311_95-65531"
GroupID *= MODP_1536
)
IKETransform ike_trf_03(
LifetimeSeconds = 28800
CipherAlg *= "GOST28147_89-K256-CFB-65531"
HashAlg *= "GOST34311_95-65531"
GroupID *= MODP_1024
)
IKETransform ike_trf_04(
LifetimeSeconds = 28800
CipherAlg *= "GOST28147_89-K256-CFB-65531"
HashAlg *= "GOST34311_95-65531"
GroupID *= MODP_768
)
ESPTransform esp_trf_01(
IntegrityAlg *= "GOST34311_95-H96-HMAC-65531"
CipherAlg *= "GOST28147_89-K256-CFB-251"
LifetimeSeconds = 3600
LifetimeKilobytes = 4608000
)
ESPProposal esp_proposal_01(
Transform *=esp_trf_01
)
ESPTransform esp_trf_02(
IntegrityAlg *= "GOST34311_95-H96-HMAC-65531"
CipherAlg *= "NULL"
LifetimeSeconds = 3600
LifetimeKilobytes = 4608000
)
ESPProposal esp_proposal_02(
Transform *=esp_trf_02
)
ESPTransform esp_trf_03(
CipherAlg *= "GOST28147_89-K256-CFB-251"
LifetimeSeconds = 3600
LifetimeKilobytes = 4608000
)
ESPProposal esp_proposal_03(
Transform *=esp_trf_03
)
IKERule ike_rule(
DoNotUseDPD = FALSE
DPDIdleDuration = 60
DPDResponseDuration = 5
DPDRetries = 3
MainModeAuthMethod *= auth_method_01
Transform *= ike_trf_02,ike_trf_03,ike_trf_04
)
IPsecAction ipsec_action_01(
TunnelingParameters *=
TunnelEntry(
PeerIPAddress = 10.1.2.2
Assemble = TRUE
ReRoute = FALSE
),
TunnelEntry(
PeerIPAddress = 10.1.2.3
Assemble = TRUE
ReRoute = FALSE
)
ShuffleTunnelEntries = TRUE
ContainedProposals *= (esp_proposal_01),(esp_proposal_02),(esp_proposal_03)
GroupID *= MODP_768,MODP_1536,MODP_1024
IKERule = ike_rule
)
17
© 2013 СКЗ <Криптософт>
Инструкция Cisco UVPN-ZAS. Построение отказоустойчивого решения c применением
технологии RRI
FilterChain filter_chain_input(
Filters *= Filter(
ProtocolID *= 17
DestinationPort *= 500
Action = PASS
LogEventID = "pass_action_02_01"
),Filter(
ProtocolID *= 17
DestinationPort *= 4500
Action = PASS
LogEventID = "pass_action_02_02"
),Filter(
SourceIP *= 10.1.2.3
ProtocolID *= 50
Action = PASS
LogEventID = "pass_action_03_01"
),Filter(
SourceIP *= 10.1.2.3
ProtocolID *= 51
Action = PASS
LogEventID = "pass_action_03_02"
),Filter(
SourceIP *= 10.1.2.2
ProtocolID *= 50
Action = PASS
LogEventID = "pass_action_04_01"
),Filter(
SourceIP *= 10.1.2.2
ProtocolID *= 51
Action = PASS
LogEventID = "pass_action_04_02"
),Filter(
Action = PASS
LogEventID = "pass_action_05"
)
)
FilterChain filter_chain_output(
Filters *= Filter(
ProtocolID *= 17
SourcePort *= 500
Action = PASS
LogEventID = "pass_action_06_01"
),Filter(
ProtocolID *= 17
SourcePort *= 4500
Action = PASS
LogEventID = "pass_action_06_02"
),Filter(
DestinationIP *= 10.1.2.3
ProtocolID *= 50
Action = PASS
LogEventID = "pass_action_07_01"
),Filter(
DestinationIP *= 10.1.2.3
ProtocolID *= 51
Action = PASS
LogEventID = "pass_action_07_02"
),Filter(
DestinationIP *= 10.1.2.2
ProtocolID *= 50
Action = PASS
LogEventID = "pass_action_08_01"
),Filter(
DestinationIP *= 10.1.2.2
ProtocolID *= 51
Action = PASS
LogEventID = "pass_action_08_02"
),Filter(
Action = PASS
18
© 2013 СКЗ <Криптософт>
Инструкция Cisco UVPN-ZAS. Построение отказоустойчивого решения c применением
технологии RRI
LogEventID = "pass_action_09"
)
)
FilterChain filter_chain_classification_input(
Filters *= Filter(
Action = PASS
LogEventID = "pass_action_10"
)
)
FilterChain filter_chain_classification_output(
Filters *= Filter(
Action = PASS
LogEventID = "pass_action_11"
)
)
FilterChain filter_chain_ipsec(
Filters *= Filter(
ProtocolID *= 17
SourcePort *= 500
Action = PASS
LogEventID = "pass_action_12_01"
),Filter(
ProtocolID *= 17
SourcePort *= 4500
Action = PASS
LogEventID = "pass_action_12_02"
),Filter(
DestinationIP *= 192.168.1.0/24
Action = PASS
ExtendedAction *= ipsec<sa=ipsec_action_01>
LogEventID = "ipsec_action_01"
),Filter(
Action = PASS
LogEventID = "pass_action_13"
)
)
NetworkInterface(
InputFilter = filter_chain_input
OutputFilter = filter_chain_output
InputClassification = filter_chain_classification_input
OutputClassification = filter_chain_classification_output
IPsecPolicy = filter_chain_ipsec
)
19
© 2013 СКЗ <Криптософт>
1/--страниц
Пожаловаться на содержимое документа