На главную страницу  
+7 (499) 124-62-26
О компании Продукты Демо-версии Купить Цены Контакты Решения

Миграция с OpenVPN на "МагПро OpenVPN-ГОСТ"

Довольно часто встречается ситуация, когда в организации уже настроена и функционирует виртуальная сеть OpenVPN с шифрованием по алгоритму RSA, причем клиенты рассредоточены в лучшем случае в пределах одного города. Рано или поздно возникает необходимость шифровать канал по ГОСТу.

В этой статье Вы сможете узнать о том, как осуществить полный переход на криптоалгоритмы ГОСТ в рамках OpenVPN не выходя из офиса. Все примеры берутся на основе операционной системы Debian, однако алгоритм и нюансы одинаковы для всех поддерживаемых нами ОС, отличаются только команды.

Миграция серверной части.

  1. Установить криптографическое ядро "МагПро КриптоПакет".

         dpkg -i {libssl-r0.9.8_0.9.8e-9.1_i386.deb,openssl-r_0.9.8e-9.1_i386.deb,libengine-gost-openssl_1.0-4.2_i386.deb}

  2. Установить "МагПро OpenVPN-ГОСТ". Возможно потребуется разрешение зависимостей, произвести которое наиболее удобно с помощью официальных репозиториев.

         dpkg -i openvpn_2.1~rc19-2_i386.deb

    После выполнения первых двух пунктов будет установлен полный набор ПО, необходимого для работы OpenVPN с алгоритмами ГОСТ. При этом уже настроенный канал с шифрованием по RSA продолжит работать.

  3. В каталоге /etc/openvpn/ создать новый конфигурационный файл, в котором будет описано создание дополнительного канала с шифрованием по ГОСТ. Примерный конфигурационный файл будет выглядеть следующим образом:
    	dev		tap      
    	port		50000
    	proto           tcp
    	status          /var/log/status.log
    	#log            /var/log/openvpn.log
    	log-append      /var/log/openvpn.log
    	verb            3
    	keepalive       10 120
    	max-clients     50
    	persist-key
    	persist-tun
    	
    	server  	10.9.1.0 255.255.255.0
    
    	ca              /etc/openvpn/ca.crt
    	cert            /etc/openvpn/server.crt
    	key             /etc/openvpn/server.key
    
    	# Секция ниже отвечает за используемый engine 
    	# шифрования и алгоритмы. Для лицензионной 
    	# версии в качестве engine должен быть указан
    	# cryptocom, для демо-версии - gost.
    	
    	engine          cryptocom
    	auth            gost-mac
    	cipher          gost89
    	tls-cipher      GOST2001-GOST89-GOST89
    	
  4. Сгенерировать необходимые ключи и сертификаты для запуска сервера (сделать это можно с помощью набора скриптов easy-gost , который входит в состав поставки как коммерческой, так и демонстрационной версий, и указать к ним правильный путь в конфигурационном файле.
  5. Перезагрузить OpenVPN-сервер.

Миграция клиентов

Следующим важным пунктом является замена клиентских дистрибутивов "МагПро OpenVPN-ГОСТ". Удобного для всех способа замены комплекта пользователя не существует. Однако в общем случае этот процесс может выглядеть так:
        
  1. Подготовка дистрибутива пользователя (например, написание корректного конфигурационного файла, который обеспечит требуемую функциональность)     
  2. Размещение данного дистрибутива на внутреннем файловом сервере организации     
  3. Оповещение пользователей о том, что необходимо скачать и установить новую версию ПО

В идеальном случае закрытые ключи клиентов и запросы на сертификаты должны генерироваться на стороне пользователя при помощи предоставленного СКЗИ, после чего запрос на сертификат должен передаваться в УЦ (в роли УЦ может выступать серверный комплект СКЗИ "МагПро КриптоПакет" или "МагПро OpenVPN-ГОСТ").
Однако при использовании ПО внутри организации зачастую практикуется централизованная генерация клиентского комплекта (включающего в себя в том числе закрытые ключи). Стоит понимать, что при передаче закрытых ключей следует удовлетворить требованиям Правил эксплуатации СКЗИ и ПКЗ-2005, в частности передавая ключи по защищенному каналу связи.

Также пользователей полезно снабдить инструкцией. Для ОС Windows в общем виде она будет следующей:

  1. Скачать дистрибутив "МагПро OpenVPN-ГОСТ" по ссылке <ссылка>
  2. Удалить старую версию OpenVPN с помощью стандартных средств системы
  3. Установить новую версию, используя загруженный с файл-сервера дистрибутив
  4. Поместить <следующие файлы> (например, ключи и сертификаты) в каталог <каталог>
  5. Запустить "МагПро OpenVPN-ГОСТ", используя иконку на рабочем столе

Разумеется, миграция клиентов займет некоторое время, в зависимости от скорости реагирования пользователей.

В целом же, данный способ наиболее удобен и позволяет произвести перевод пользователей на новую версию OpenVPN-ГОСТ не выходя из офиса.

 
Copyright © ООО "Криптоком". 2001-2016. All Rights Reserved.