Контакты
Подписка
МЕНЮ
Контакты
Подписка

СКЗИ "LirSSL" - основа построения VPN и создания защищенных туннелей

СКЗИ "LirSSL" - основа построения VPN и создания защищенных туннелей

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

СКЗИ "LirSSL" - основа построения VPN и cоздания защищенных туннелей

Владимир Орлов, Юрий Орлов, Владимир Кобылянский, Кирилл Грязнов, ООО "ЛИССИ"

СКЗИ "LirSSL" [1], разрабо танный в соответствии с согласованным с ЦБС ФСБ России ТЗ и успешно прошедший сертификационные испытания, предназначен для поддержки протоколов SSLv3/TLSv1 с российской криптографией в клиент-серверных приложениях. Одними из таких клиент-серверных систем, которые используют СКЗИ "LirSSL" для аутентификации и шифрования трафика, являются разработанные ООО "ЛИССИ" программные комплексы (ПК) "LirVPN" и "LirTunnel".

ПК "LirVPN" предназначен для создания защищенных виртуальных корпоративных сетей (VPN/ЗВКС) путем объединения территориально удаленных локальных вычислительных сетей/автоматизированных систем (далее сегментов ЗВКС) с использованием в качестве транспортной среды публичных сетей (включая сеть Интернет, ведомственные сети и т.п.), поддерживающих IP-протокол, в том числе для автоматизированных систем органов государственного управления и организаций Российской Федерации, и обеспечения защиты сегментов ЗВКС посредством фильтрации информации в соответствии с требованиями Руководящего документа "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации". ПК "LirVPN" - полнофункциональное решение для построения VPN/ЗВКС на основе протоколов SSLv3/TLSv1 и российской криптографии, с помощью которого можно решить широкий круг задач по обеспечению безопасного обмена информцией между сегментами ЗВКС, включая подключение удаленных пользователей к ЗВКС, с поддержкой балансировки нагрузки, отказоустойчивости и четко разграниченным контролем доступа.

В качестве протокола транспортного уровня LirVPN может использовать как TCP (proto tcp), так и UDP (proto udp).

Основным режимом работы узлов, на которых установлены ПК "LirVPN", является авторизация на цифровых сертификатах X509 и шифрование трафика по протоколам SSLv3/TLSv1.

ПК "LirVPN" может работать в режимах сервера и/или клиента, а также в режиме "клиент -клиент".

Сервер LirVPN поддерживает режим VPN-концентратора, то есть узла, который может принимать множество VPN-соединений от пользователей. При этом сервер может быть настроен для работы в двух режимах - маршрутизатора или моста. Есть еще две особенности - возможность применения компрессии LZO (comp-lzo) и способность передавать маршруты клиентам. Компрессия позволяет ускорить передачу информации, а передача маршрутов позволяет передать клиенту список сетей, которые доступны через это VPN-соединение.

ПК "LirVPN" функционирует на большинстве операционных систем, включая Linux, QNX, SUN Solaris, FreeBSD, HP/UX, AIX, MS Windows, в том числе и Vista.
Использование LirVPN практически ничем не отличается от использования OpenVPN (http://www.openvpn.net).

Для того чтобы LirVPN работал на российской криптографии, достаточно в файлах конфигурации указать используемые алгоритмы шифрования (cipher tls-cipher) и хэш-алгоритм:

#Алгоритм для шифрования канала
#данных сipherGOST-CBC #по умолчанию
#хэш-алгоритм для HMAC-
#аутентификации
auth GOSTHASH # по умолчанию
#Набор алгоритмов используемых
#протоколами TLSv1/SSLv3 для
#защиты канала данных tls-cipher GOST3410-GOST28147-GOSTIMITO # по умолчанию

В LirVPN эти параметры выставляются по умолчанию, как указано выше, и в конфигурационном файле их можно не указывать.

При работе в режиме SSLv3/TLSv1 с российской криптографией необходимо также получить сертификаты и закрытые ключи (ГОСТ Р 34.10-2001) и указать пути к ним в соответствующих конфигурационных файлах.

Сертификат удостоверяющего центра (CA), сертификат пользователя и его закрытый ключ могут задаваться тремя способами.

В первом случае указываются явные пути к файлам с сертификатами и ключу:

#Путь к сертификату УЦ са gost_ss.pem
#Путь к пользовательскому
#сертификату cert gost_cert_2.pem
#Путь к закрытому ключу key gost_pr_2.pem

Более удобным является способ, когда сертификаты и закрытый ключ пользователя передаются через контейнер PKCS12 (параметр pkcs12):

#Путь к контейнеру pkcs1 2 pkcs12 lirvpn_client.p12

Доступ к закрытому ключу и контейнеру pkcs12 защищен паролем, который необходимо будет ввести при запуске.

Третий способ используется только в среде MS Windows и предполагает получение доступа к сертификатам и закрытому ключу через стандартное хранилище сертификатов. Для этого достаточно задать следующий параметр:

#Для доступа к сертификатам
#использовать хранилище
#сертификатов MS Windows cryptoapicert

Для работы в этом режиме (cryptoapicert) необходимо, чтобы на рабочем месте пользователя был установлен крипто-провайдер LISSI-CSP, который входит в комплект поставки.

Работа в этом режиме позволяет использовать в качестве хранилища закрытых ключей и сертификатов электронные ключи "Шипка", eToken, ruToken, доступ к которым соответственно защищен PIN-кодом.

При работе в этом режиме пользователю в графическом интерфейсе будет предложено выбрать требуемый сертификат из хранилища:

Затем будет предложено ввести PIN-код для доступа к закрытому ключу:

В качестве удостоверяющего центра может использоваться любой УЦ, поддерживающий российскую криптографию: LISSI-CA [2], "КриптоПроУЦ", ЦС LirXCA и др. Однако следует учитывать, что для экспорта ключевой информации в формате PKCS#12 необходимо использовать средства, поддерживающие этот формат, например LISSI-CSP, УЦ LISSI-CA или ЦС LirXCA.

Для формирования конфигурационных файлов (профилей) и управления программным комплексом LirVPN разработана кросс-платформенная графическая утилита LirVPNGui.

Утилита LirVPNGui позволяет создавать и хранить в базе данных (БД) различные профили (конфигурации) для LirVPN. Доступ к БД защищен паролем, а сама БД хранится в зашифрованном виде:

В LirVPNGui пользователь может создавать новые базы данных, создавать новые или редактировать существующие профили LirVPN:

После того как профиль готов, пользователь может установить соединение (кнопка Connect главного окна) или остановить уже установленное соединение (Disconnect):

Пользователь также может просмотреть протокол работы для соответствующего профиля (кнопка Logging):

Утилита LirVPNGUI позволяет также создавать файлы с правилами межсетевого экранирования:

ПК "LirTunnel" предназначен для организации защищенных (шифрованных) туннелей с использованием российских криптографических алгоритмов в клиент-серверных системах, работающих по протоколу TCP (например, сервер СУБД Oracle и клиенты СУБД Oracle):

Отличительной особенностью ПК "LirTunnel" является то, что он поддерживает шифрованный туннель и для FTP-протокола. Задание сертификатов в LirTunnel аналогично заданию сертификатов в LirVPN. Как и LirVPN, LirTunnel имеет графический пользовательский интерфейс LirTunnelGUI.

Литература.

  1. А. Трещенков, В. Кобылянский // Информационная безопасность. 2007. № 2. С. 47
  2. Ю. Орлов, А. Степанов, А. Тараканов. Масштабируемый удостоверяющий центр LISSICA// Информационная безопасность. № 4. С. 54

Статьи про теме