18 мая 2021

Континент 4 Getting Started

06. Виртуальные частные сети

Содержание статьи

Приветствую Вас в шестой статье цикла Континент Getting Started. В данной статье поговорим о криптографической составляющей комплекса – VPN. Разберем принцип организации VPN в комплексе, организуем L3VPN и удаленный доступ к внутренним ресурсам.

В комплексе Континент при создании VPN-сетей используется алгоритм шифрования ГОСТ 28147-89.

Континент 4.1 поддерживает три режима функционирования VPN:

1) L3VPN – создание защищенного канала связи между двумя узлами безопасности. При передаче трафика из одной защищаемой сети в другую в узлах безопасности выполняется зашифрование данных до того, как они попадут в туннель, и расшифрование этих данных после того, как они туннель покинут.

В составе оборудования Континент имеются платформы со специализированной платой – криптоускорителем. Криптоускоритель обеспечивает повышенную производительность при шифровании трафика.

Для функционирования данного компонента необходимо:
  • Активировать компонент в свойствах УБ
  • Создать правила фильтрации, разрешающие прохождение трафика между защищаемыми сетями
  • Создать виртуальную частную сеть в Менеджере конфигураций

Настроим в комплексе L3VPN. Т.к. компонент уже активирован и созданы правила фильтрации, разрешающие прохождение трафика между центральным офисом и филиалом, то перейдем к созданию VPN.

В навигационном меню выбираем «Виртуальные частные сети» – «L3VPN» – Создать. Добавляем узлы безопасности и привязываем к ним защищаемые сети.
L3VPN
VPN-сети могут быть построены по двум топология: «звезда» и «полносвязная цепь».
В полносвязной сети VPN-туннели создаются между каждой парой узлов безопасности.
В топологии "звезда" один из узлов безопасности является центральным. Все остальные узлы могут создавать туннель только с центральным узлом.

Сохраняем и устанавливаем политику на УБ.

Шифрованный трафик будет передаваться по udp-протоколу с портами из диапазона 10000-10255. Локальные ip-адреса отправителя и получателя не отображаются и размер пакета составляет 126 байт.

Протестируем L3VPN. Запустим ping с хоста администратора до хоста пользователя в филиале и проверим дамп шифрованного трафика:
Dump
2) L2VPN – представляет собой виртуальный коммутатор, объединяющий сетевые интерфейсы узлов безопасности в распределенный сетевой мост. При добавлении портов разных узлов безопасности в один виртуальный коммутатор между такими узлами безопасности автоматически создаются VPN-туннели, обеспечивающие безопасную передачу Ethernet-кадров. Для функционирования данного компонента необходимо:

  • Активировать компонент в свойствах УБ
  • Настройка на УБ интерфейсов в порт коммутатора
  • Создание виртуального коммутатор

3) Удаленный доступ – позволяет организовать удаленный доступ к ресурсам сети из сетей, не входящих в состав защищаемых сегментов.

Для организации доступа удаленных пользователей к ресурсам защищаемой сети используется сервер доступа, входящий в состав комплекса Континент, а также средство криптографической защиты информации «Континент-АП», устанавливаемое на рабочую станцию удаленного пользователя.

Для организации удаленного доступа необходимо произвести следующие настройки:

  • Установить Континент-АП. В рамках Континент Getting Started установим Континент-АП на ВМ во внешней сети (Remote User).
Схема
  • В Менеджере конфигураций создать корневой сертификат и персональный сертификат сервера доступа и привязать их к узлу безопасности. Активировать компонент «Сервер доступа» и задать пул адресов для удаленного подключения. Активируем компонент «Сервер доступа» на подчиненном узле безопасности.
Настройка сервера доступа
Сервер доступа – обеспечивает защищенное соединение между удаленным пользователем (Континент-АП) и защищаемой сетью. Защищенное соединение устанавливается посредством аутентификации удаленного пользователя на сервере доступа. В этой процедуре участвуют три сертификата: корневой сертификат, сертификат СД и пользовательский сертификат.

Со стороны пользователя необходимо запросить пользовательский сертификат. На «Континент-АП»: «Сертификаты» – «Пользовательские сертификаты» – «Создать запрос»
Запрос сертификата
При формировании запроса, также сформируется ключевой контейнер, содержащий закрытый ключ пользователя. Сформированный запрос передается администратору сети. В менеджере конфигураций выпускается пользовательский сертификат на основании запроса.
Сертификат пользователя
  • Далее создается профиль пользователя. Профиль будет необходим при формировании правил доступа и для импорта конфигурации в «Континент-АП».
«Список объектов ЦУС» – «Пользователи» – «Создать». Во вкладке аутентификация задать пароль и привязать пользовательский сертификат.
Пользователь
  • Доступ пользователей абонентского пункта к защищаемым корпоративным ресурсам регламентируется правилами на сервере доступа. Для создания правила доступа: «Виртуальные частные сети» – «Удаленный доступ» – «Создать». Создадим правило, которое весь трафик от АП направляет на СД.
Удаленный доступ
«Контроль доступа» – «Межсетевой экран» – «Создать». Разрешим удаленному пользователю доступ к DMZ по протоколам HTTP, HTTPS и ICMP.
Правило
  • Экспортируем профиль пользователя и профиль конфигурации для передачи на удаленный хост. Данные профили содержат все необходимые сертификаты и настройки для удаленного подключения. ПКМ по пользователю – «Экспортировать – поочередно экспортировать «Профиль пользователя АП» и «Профиль АП».
  • Со стороны удаленного пользователя в программе «Континент АП»: «Профили» – «Импортировать». После импорта профиля пользователя необходимо будет ввести пароль для доступа к ключевому контейнеру, сформированному при запросе сертификата.

В информационном окне на предложение произвести подключение нажмем «Нет». Импортированный профиль отобразится с красной отметкой. Это означает, что профиль настроен неверно или неполно. При этом в колонке «Статус» выводится «Для сертификаты требуется загрузить CRL». Так как сертификат пользователя был выпущен в МК, то проверку сертификата по CRL необходимо отключить: «Настройки» – «Основные» – «Настройки CRL» – выключим все настройки CRL. После этого ошибка в профиле пропадет.
Локальные пользователи
  • Изменим имя профиля с «sgw» на «as.edu.local» и добавим адрес СД в hosts:10.10.1.244 as.edu.local

  • В области трея Windows: «Континент-АП» – «Установить соединение» – «as.edu.local». Всплывет информационное окно о том, что подключение выполнено. Хосту задастся IP-адрес из установленного пула. Проверим доступ к ресурсам сети:
Ping
IIS Windows Server

Заключение

В рамках данной статьи рассмотрели возможности VPN в комплексе Континент. Реализовали L3VPN и успешно настроили подключение удаленного пользователя к ресурсам защищаемой сети, используя «Континент-АП».