NGFW «Континент 4» уже давно используется российскими компаниями как стандартное решение для защищённого VPN между площадками.

Но с релизом версии 4.2 продукт получил серьёзное обновление — полностью переработанный механизм построения Site-to-Site VPN на базе IPsec, улучшенную совместимость с устройствами других вендоров, поддержку актуальных алгоритмов шифрования и более предсказуемую логику работы.

В этой статье мы сделаем обзор реального сценария, с которым сталкиваются инженеры в процессе работы: построить защищённый канал между двумя организациями (или филиалами), где по одну сторону — Континент 4.2, а по другую — также Континент или иной межсетевой экран.

Компонент L3-VPN обеспечивает защищенную передачу IP-пакетов между сегментами защищаемых сетей посредством VPN-туннелей через сети общего пользования. Также предусмотрена (и рекомендована!) возможность создавать L3-VPN в соответствии с существующими стандартами IPSec (RFC2401-RFC2412) и шифрованием RSA/ГОСТ.

В свою очередь, IPsec (сокращение от IP Security) — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP. Позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет.

В него входят:

• Authentication Header (АН) обеспечивает целостность передаваемых данных, аутентификацию источника информации и функцию по предотвращению повторной передачи пакетов
• Encapsulating Security Payload (ESP) обеспечивает шифрование передаваемой информации.
• Internet Security Association and Key Management Protocol (ISAKMP) — протокол, используемый для первичной настройки соединения, взаимной аутентификации конечными узлами друг друга и обмена секретными ключами.

Новая версия 4.2.1 поддерживает стандарт IPSec (подробно), прошла сертификацию:
ФСТЭК — МЭ класса А, Б, Д;
ФСБ — КС2.

Задача — построить защищенную сеть между 2 организациями, либо между 2 крупными филиалами организации. Либо 2 сети с собственными ЦУС, либо Континент + другой МЭ.

Общая схема сети приведена на рисунке.

Нами будет использоваться Policy-based VPN на основе VPN-политики.
Для аутентификации сторон будут использоваться сертификаты, выпущенные УЦ каждого ЦУС.

В первую очередь на узле должен быть активирован компонент «L3VPN».

Далее перейдите в раздел «Интерфейсы». Для работы шифратора должны быть настроены внешний и внутренний интерфейсы.

Далее перейдите на вкладку «IPsec VPN». В разделе «Защищаемые ресурсы» укажите подсети, которые будут маршрутизироваться в VPN-туннель.

В разделе «Статические маршруты» в маршруте до удаленной сети укажите в качестве следующего узла IP-адрес внешнего интерфейса другого узла, либо маршрутизатора на пути к нему.

В данном случае между нашим и партнерским МЭ находится маршрутизатор с адресом 192.168.4.254, который и указан в качестве следующего узла

Для проверки доступности при настройке можно разрешить ICMP-сообщения из локальных сетей.

В первую очередь необходимо создать сертификаты.

В разделе «Администрирование/Сертификаты» создайте корневой сертификат ГОСТ/RSA. (примечание: для шифрования по ГОСТ Вы можете использовать существующий корневой сертификат, созданный при инициализации ЦУС).

Для создания ГОСТ-IPSec сертификата прейдите в свойства УБ в раздел «Сертификаты», нажмите «Создать», заполните обязательные поля сертификата, такие как организация и подразделение.

Для создания RSA-IPSec сертификата прейдите в раздел «Персональные сертификаты», нажмите «Создать», выберите тип сертификата «IPSec», заполните обязательные поля сертификата, указанные выше.

После создания сертификата в разделе «Администрирование/Персональные сертификаты» экспортируйте данный сертификат, и передайте его другой стороне. Он будет использоваться для аутентификации нашего МЭ.

Полученный от другой стороны сертификат нужно импортировать в МК. Далее он будет привязан к совместимому устройству и будет использоваться для аутентификации второй стороны.

Далее в разделе «Список объектов ЦУС» нужно создать совместимое устройство, даже если это другой Континент 4. Необходимо ввести внешний адрес устройства, его сертификат (был получен от другой стороны и импортирован в МК) и защищаемые подсети.

Затем в разделе «Виртуальные частные сети», подразделе «IPsec VPN» создайте сеть с необходимой топологией. В данном примере будет создана полносвязная сеть.

Введите следующие параметры: тип VPN (Policy-based), тип туннеля.

На вкладке «Состав сети» укажите список узлов VPN-сети.

В графе «Адрес» укажите адреса внешних интерфейсов узлов, в графе «Защищаемые ресурсы» - локальные сети.

Обратите внимание: следующие настройки должны совпадать на обоих узлах, иначе связь между ними установить не получится.

На вкладке «Шифрование» укажите тип алгоритма (ГОСТ), версию (IKEv2), а также алгоритмы шифрования и целостности для 1 и 2 фазы VPN-соединения.

На вкладке «Дополнительно» укажите время жизни ключей для 1 и 2 фазы, а также при необходимости, замену ключа после шифрования определенного объема данных, использование протокола сжатия, использование NAT-Traversal.

Для работоспособности сети разрешите в правилах межсетевого экрана пользовательский трафик между локальной и удаленной сетями.

В примере был разрешен любой трафик между подсетями

В правилах трансляции для указанных подсетей выберите «Не транслировать», так как данный трафик будет направляться в VPN-туннель.