Настройка VPN для безопасного подключения клиента к сети офиса
Опубликовано on 2013-10-02 12:07
|
|
VPN соединение с сервером удаленного доступа (RRAS) по протоколу L2TP/IPSEC
Настройка VPN для безопасного подключения клиента к сети офиса. Устанавливаем Windows Server 20xx и поднимаем на нём Сервер удалённого доступа / VPN (Маршрутизация и удалённый доступ). Как это делается можно посмотреть тут http://support.microsoft.com/kb/323441 или воспользоваться ссылками, приведёнными в "ЖТЯИ.00074-01 90 02. Руководство администратора безопасности" от КриптоПро IPsec. Сервер: На сервер устанавливаем КриптоПро CSP 3.6 R3 и КриптоПро IPsec. Перезагружаем машину по потребности. КриптоПро IPsec - http://www.cryptopro.ru/products/ipsec/downloads КриптоПро CSP 3.6 R3 - http://www.cryptopro.ru/products/csp/downloads Выпуск сертификатов в КриптоПро УЦ: Для выпуска сертификатов IPsec необходимо произвести настройку КриптоПро ЦР и КриптоПро ЦС (документация на КриптоПро УЦ доступна по ссылке: http://cryptopro.ru/products/ca/downloads) : • создать шаблон сертификата согласно «КриптоПро УЦ ЦР Руководство по эксплуата- ции» (ЖТЯИ.00067 01 90 05) с OID «IKE-посредник IP-безопасности» (1.3.6.1.5.5.8.2.2); • добавить в Политики ЦР разрешение на обработку запроса и отзыв сертификата, со- держащего OID «IKE-посредник IP-безопасности» (1.3.6.1.5.5.8.2.2), согласно «КриптоПро УЦ ЦР Руководство по эксплуатации» (ЖТЯИ.00067 01 90 05) глава 4.2 «Политики обработки запросов»; • добавить в Модуль политики КриптоПро ЦС Использование ключа «IKE-посредник IP-безопасности» (1.3.6.1.5.5.8.2.2) согласно «КриптоПро УЦ ЦС Руководство по эксплуатации Windows 2003/2008» (ЖТЯИ.00067 01 90 03/ЖТЯИ.00067 01 90 04) глава 3.1 «Настройка областей использования ключа, политик выдачи и политик применения в сертификатах открытого ключа»; • добавить в Модуль политики КриптоПро ЦС Расширения X.509 «Дополнительное имя субъекта» (2.5.29.17).
Сертификаты IPsec (аутентификация компьютера в IKE) должны удовлетворять следующим требованиям: • находиться в личном хранилище компьютера с привязкой к закрытому ключу; • быть действительными • содержать назначение «IKE-посредник IP-безопасности» (1.3.6.1.5.5.8.2.2) • содержать назначение ключа («Key Usage» OID 2.5.29.15) «Цифровая подпись» • содержать открытый ключ ГОСТ Р 34.10-2001, для которого имеется соответствующий контейнер закрытого ключа компьютера с кэшированным паролем или без пароля • содержать «Дополнительное имя субъекта» (2.5.29.17) -> DNS со значениемFQDN (Fully Qualified Domain Name) компьютера. В сертификате должен быть корректный адрес, для получения CRL (доступный через интернет): Создаём на сервере "пользователя", например IPSEC, с паролем (без пароля), и в свойствах учётной записи проставим ему «Права доступ к сети» - «Разрешить доступ». Настройка политики IP-безопасности на «Локальном компьютере»: Настройка правил фильтрации: Тип подключения - все сетевые подключения. На вкладке "Методы проверки подлинности" добавляем Корневой сертификат. Клиентская машина: Настройка VPN подключения на Windows XР. Создание подключения к VPN проводим согласно инструкции Microsoft «Настройка подключения к виртуальной частной сети (VPN) в Windows XP» (http://support.microsoft.com/kb/314076). В Лог cp_ipsec_info можно удостовериться в том, что установленное соединение использует ГОСТ шифрование. | |
|