Дружим С Check Point И Шифрованием Гост

Здравствуйте, хабровчане!



В этой статье мы расскажем вам о процессе настройки IPSec VPN на шлюзах Check Point R75.40VS с использованием российских криптографических алгоритмов.

Эта статья будет интересна в первую очередь инженерам, занимающимся настройкой и поддержкой продуктов Check Point. Когда передо мной стояла задача настроить IPSec VPN на шлюзах Check Point с использованием российской криптографии, я столкнулся с проблемой отсутствия информации, описывающей этот процесс.

По этой теме можно найти официальные руководства, описывающие процесс в общих чертах, а также некоторую разрозненную информацию в Интернете.

Лично у меня после их изучения осталось много вопросов, которые мы постарались осветить в этой статье.

Использование шифрования ГОСТ позволяет организациям выполнить требования по криптозащите каналов связи в случаях, когда это продиктовано требованиями российского законодательства.

Стоит отметить, что пока шлюзы Check Point еще проходят сертификацию ФСБ как СКЗИ (средство криптозащиты), но производитель обещает, что получит сертификат в обозримом будущем.

Хотя сами криптобиблиотеки имеют сертификат ФСБ, остается вопрос контроля за их внедрением.

Тема контроля за внедрением криптофондов очень спорная и окончательный ответ на некоторые вопросы может дать только ФСБ.

Интересный пост на эту тему можно прочитать здесь: www.cryptopro.ru/forum2/default.aspxЭg=posts&t=1534 Вкратце об этой теме вы можете прочитать в конце статьи.

Поддержка ГОСТ-шифрования на шлюзах Check Point существует уже достаточно давно для сертифицированных и готовящихся к сертификации в ФТСЭК версий межсетевых экранов этого производителя.

Возможность использовать ГОСТ-шифрование на шлюзах Check Point появляется благодаря установке специального патча (исправления в терминологии Check Point) и криптобиблиотек производства КриптоПро.

Для всех версий, кроме R65.50, доступна только VPN на основе домена типа «сеть-сеть» IPSec; для версии R65.50 также доступна возможность создания VPN на основе маршрутизации «сеть-сеть» IPSec. На данный момент исправления шифрования ГОСТ IPSec существуют для следующих версий Check Point: • R65.50 (используются криптобиблиотеки КриптоПро CSP 3.6); • R71.20 (используются криптобиблиотеки КриптоПро CSP 3.6 R2); • R75.30 (используются криптобиблиотеки КриптоПро CSP 3.6 R3); • R75.40VS (используются криптобиблиотеки КриптоПро CSP 3.6 R3).

Версии Р65.50 и Р71.20 имеют сертификаты ФСТ России на межсетевой экран третьего класса безопасности, а версия Р71.20 дополнительно имеет сертификацию системы обнаружения вторжений и сертификат на отсутствие недекларированных возможностей в четвертый уровень.

Также следует отметить, что версии пакета ГОСТ для R75.30 и R75.40VS поддерживают многопоточность, что должно хорошо сказаться на производительности.

В данной статье будет описан процесс настройки шифрования ГОСТ на последней доступной версии (R75.40VS).

Описание настройки шифрования ГОСТ для версии R71.20 достаточно хорошо описано в этой статье: www.masterlab.ru/CheckPoint/Knowledgebase/GOST-VPN-on-Check-Point Для того, чтобы сделать описание более информативным, был выбран не такой простой вариант развертывания.

В описание входит настройка Site-to-Site Domain Based VPN с партнерской аутентификацией с использованием сертификатов ГОСТ и пароля (PSK).

Для настройки аутентификации партнеров по сертификатам ГОСТ необходим удостоверяющий центр, обеспечивающий их выдачу; в этом описании используется Центр сертификации Microsoft с установленным КриптоПро CSP. Описание интеграции КриптоПро CSP с Центром сертификации Microsoft заслуживает отдельного обсуждения и не будет приведено в данной статье.

В целях тестирования, если вы не хотите разворачивать удостоверяющий центр для выдачи сертификатов ГОСТ, вы можете воспользоваться тестовым центром сертификации компании КриптоПро, он находится по этому адресу: www.cryptopro.ru/certsrv Процесс настройки Центра сертификации Microsoft с помощью КриптоПро, например, хорошо описан ребятами из S-Terra в руководствах администратора CSP VPN Gate и CSP VPN Client, которые можно найти здесь: www.s-terra.com/documents/R31/Gate/CSP_VPN_Appendix.pdf www.s-terra.com/documents/R311/Client/CSP_VPN_Client_Admin_Guide_cp.pdf В целом весь процесс можно разделить на следующие этапы: 1. Предварительные действия, связанные с установкой и первоначальной настройкой Check Point и удостоверяющего центра; 2. Формирование внешнего гамма-файла для датчиков псевдослучайных чисел, используемых на шлюзах; 3. Установка исправлений и криптобиблиотек; 4. Создание и настройка датчика псевдослучайных чисел; 5. Настройка VPN: 5.1. Настройка VPN с использованием сертификатов; 5.2. Настройка VPN с использованием пароля.

Все вышеперечисленные этапы будут рассмотрены по пунктам ниже.

Планировка стенда:

запросите его у дистрибьюторов или производителя): ngfw.ru/2013/gost-ipsec-v4-r75-40vs В отличие от версий R65.50 и R71.20, настройка шифрования ГОСТ для версий R75.30 и R75.40VS не требует дополнительной лицензии от Check Point (бесплатная лицензия на функцию шифрования ГОСТ), а тестовую настройку можно полностью выполнить с использованием пробных лицензий.

.

1. Предварительные действия

2. Генерация внешнего гамма-файла

Для создания сертифицированного решения в реальных условиях необходимо создать файл внешнего масштаба на машине, соответствующей требованиям документа «АРМ для разработки внешнего масштаба» (ЖТЯИ.

00050-03 90 05), который можно скачать здесь.

(требуется регистрация): www.cryptopro.ru/sites/default/files/private/csp/36R3/7491/doc.zip Этот файл содержит гамму для инициализации программного датчика псевдослучайных чисел, используемого для генерации частных ключей шифрования.

Для генерации гаммы выполните следующую последовательность действий: 1) Создать директории для файлов исходного материала (В описанном случае это отдельная директория для каждого шлюза, так как использование одного и того же файла на разных шлюзах НЕ РАЗРЕШАЕТСЯ, хотя это технически возможно); 2) Из командной строки машины с установленным КриптоПро CSP 3.6 перейдите в каталог C:\Program Files\CryptoPro\CSP и выполните следующую команду:

   

 genkpim.exe y n <p>
 

   

• Статьи: Легко Читать

  19 Oct, 24

• Что Нужно Знать О Переносе Инфраструктуры С Западного Хостинга На Российский

  19 Oct, 24

• Пять Типов Систем Крафта В Играх

  19 Oct, 24

• Оптимизация Пути Зарубежного Патентования

  19 Oct, 24

• Hp Предлагает Виртуализацию «Под Ключ»

  19 Oct, 24

• Мобильность На Рабочем Месте. Обзор Snom M325

  19 Oct, 24

• Целочисленная Арифметика. Делим И Округляем Результат. Часть 1

  19 Oct, 24

• Падайте И Получайте Уважение!

  19 Oct, 24

• Мир Дата-Центров: Стоит Ли Идти?

  19 Oct, 24

• Китайский Интернет-Зависимый Убил Свою Мать, Которая Не Дала Ему Денег На «Дозу»

  19 Oct, 24