Добрый день %username%! Все знают что Федеральный Закон РФ № 152 диктует нам что мы должны использовать сертифицированные средства для защиты ПДн. Была задача обеспечить безопасность канала по ФЗ-152 для удаленного подключения клиентов. Для этого было использовано сервер VPN с КриптоПро IPsec и сертификаты ГОСТ.
Инструкция внутри.
Перед настройкой служб и соединений на сервере и клиентских машин необходимо установить на них КриптоПро CSP и КриптоПро IPSec!
Настраиваем VPN сервер на Windows Server 2012 R2
Открываем оснастку Server Manager и через мастер добавления ролей выбираем тип установки на основе ролей — Role-based or feature-based installation.
Далее выбираем сервер из пула серверов.
На шаге выбора ролей выбираем роль Remote Access.
Шаг Features пропускаем без внесения изменений. На шаге выбора служб включаемой роли выберем службу DirectAccess and VPN (RAS).
После выбора службы откроется окно добавления дополнительных компонент связанных с выбранной службой. Согласимся с их установкой нажав Add Features.
Роль Web Server Role (IIS) будет при этом добавлена в мастер добавления ролей. Соответствующий появившийся шаг мастера Web Server Role (IIS) и зависимые опции Role Services пропускаем с предложенными по умолчанию настройками и запускаем процесс установки, по окончании которого будет доступна ссылка на мастер первоначальной настройки служб Remote Access – Open the Getting Started Wizard.
Мастер настройки RAS можно вызвать щёлкнув по соответствующей ссылке здесь, либо позже из оснастки Server Manager:
Так как настройка DirectAccess в контексте нашей задачи не нужна, в окне мастера выбираем вариант только VPN – Deploy VPN only.
Настройка службы Routing and Remote Access
Из Панели управления открываем оснастку Administrative Tools Routing and Remote Access, выбираем имя сервера и открываем контекстное меню. Выбираем пункт Configure and Enable Routing and Remote Access.
Так как нам нужен только VPN выбираем.
Выбираем VPN.
Дальше указываем внешний интерфейс, имеющий выход в Интернет, к которому будут подключаться удаленные клиенты.
Настраиваем диапазон адресов для клиентов.
Укажем что не используем RADIUS сервер.
Соглашаемся с запуском службы. После запуска необходимо настроить методы аутентификации пользователей.
Выпускаем ГОСТовые сертификаты в КриптоПро УЦ 2.0 для VPN.
Для того чтобы IPSec у нас работал нам нужно:
- Корневой сертификат УЦ
- Серверный сертификат
- Клиентский сертификат
И так, создадим два шаблона IPSec client IPSec server в Диспетчере УЦ.
В настройка шаблона IPSec client добавим параметр Client Authentication (1.3.6.1.5.5.7.3.2). IP security IKE intermediate (1.3.6.1.5.5.8.2.2).
Шаблон IPSec server такой же но с параметром Server Authentication (1.3.6.1.5.5.7.3.1).
После проделанной работы в Консоли управления ЦР создаем пользователей для запроса и формирования сертификата.
Далее запрашиваем сертификат для созданных пользователей. При запросе необходимо указать шаблон который мы создавали.
Выберем место хранения (контейнер) для закрытого ключа.
После нервного дерганья мышкой (это необходимо для СПЧ) задаем пароль для контейнера.
Теперь нам необходимо экспортировать сертификат в закрытый контейнер.
После копирования сертификата необходимо скопировать весь контейнер в файл для переноса на АРМ удаленного клиента. Экспортируем с помощью КриптоПро CSP в формате pfx.
По такому же алгоритму создаем сертификат для сервера только по другому шаблону и устанавливаем их с помощью оснастки Сертификаты КриптоПро CSP. Не забываем про корневой сертификат который должен быть в Доверенных корневых центры сертификации.
Настройка политики IP-безопасности на сервере
Шаг раз.
Шаг два.
Шаг три.
На вкладке «Методы проверки подлинности» добавляем Корневой сертификат.
По такому же алгоритму настраиваем политику IP-безопасности на каждой удаленном АРМ.
Корректность установки сертификата и проверка работоспособности IPSec, а так же логирование ошибок можно проверить с помощью утилиты КриптоПро IPSec cp_ipsec_info.exe. После нажатия меню Обновить список, Вы увидите список установленных сертификатов. На против установленного сертификата должна стоять галочка для подтверждений что все хорошо с ним.
Настройка подключения VPN к серверу
Подключение настраивается стандартно но с небольшими изменениями.
Вроде рассказал все нюансы, если есть замечания или предложения выслушаю с радостью!
Автор: kid565
