Комментарии 19
Отличная статья. Даже не смотря на то, что вы работаете в компании, которая делает USB токены.
+4
>> Tunnel из «коробки» не умеет работать с ГОСТами, поэтому я его пропатчил и пересобрал. Патч размером примерно в 2 строчки.
Как под виндой не знаю, а под *nix надо сказать скрипту configure ключ --disable-rsa. Что примечательно, алгоритмы RSA от этого не пропадут, напротив, отсутствие этой опции отрубает все, кроме RSA. Вероятно, патч прибивает это гвоздями? Может под винду тоже есть штатный способ?
Самому как-то надо было ГОСТовый stunnel для http, собирал. Удобно :) Действительно радует то, что под nix-ы патч не нужен. Правда, я юзал сертифицированную крипту на основе того же openssl, но сути это не меняет.
Как под виндой не знаю, а под *nix надо сказать скрипту configure ключ --disable-rsa. Что примечательно, алгоритмы RSA от этого не пропадут, напротив, отсутствие этой опции отрубает все, кроме RSA. Вероятно, патч прибивает это гвоздями? Может под винду тоже есть штатный способ?
Самому как-то надо было ГОСТовый stunnel для http, собирал. Удобно :) Действительно радует то, что под nix-ы патч не нужен. Правда, я юзал сертифицированную крипту на основе того же openssl, но сути это не меняет.
0
Дело в том, что sTunnel сначала инициализирует OpenSSL, а потом подгружает engine, которая релизует ГОСТы, поэтому ГОСТы не попадают в список шифрсьютов.
Поэтому так не работало. Когда я поменял последовательность вызовов (сначал подгружаем engine, потом инициализируем OpenSSL) все заработало.
Какую версию sTunnel вы собирали?
Поэтому так не работало. Когда я поменял последовательность вызовов (сначал подгружаем engine, потом инициализируем OpenSSL) все заработало.
Какую версию sTunnel вы собирали?
0
stunnel 4.36 on i686-redhat-linux-gnu with OpenSSL 0.9.8e
Брал актуальную на тот момент. Никаких проблем, ГОСТы есть.
Собственно, способ взял тут cryptocom.ru/opensource/stunnel.html.
А способ придумал, видимо, Витус Вагнер vitus-wagner.livejournal.com/104283.html?thread=19701339#t19701339
Говорит, и под виндой оно работает.
Брал актуальную на тот момент. Никаких проблем, ГОСТы есть.
Собственно, способ взял тут cryptocom.ru/opensource/stunnel.html.
А способ придумал, видимо, Витус Вагнер vitus-wagner.livejournal.com/104283.html?thread=19701339#t19701339
Говорит, и под виндой оно работает.
0
Я собирал с OpenSSL 1.0.
А откуда вы в OpenSSL 0.9.8e получили ГОСТы?
Предполагаю, что вы использовали патченный OpenSSL 0.9.8e, в котором механизм подгрузки engine работает по другому. Вы случайно не МагПро КриптоПакет использовали?
А откуда вы в OpenSSL 0.9.8e получили ГОСТы?
Предполагаю, что вы использовали патченный OpenSSL 0.9.8e, в котором механизм подгрузки engine работает по другому. Вы случайно не МагПро КриптоПакет использовали?
0
Понравилось: «В случае TLS-аутентификации пользователей об Active Directory»
0
Речь идет о том, что по результатам TLS-аутентификации на конкретном сервисе (например, RDP) у AD запрашивается учетная информация пользователя.
0
Например, в случае доступа через ISA (TMG), которая работает в режиме «делегирование аутентификации»
пользователь аутентифицируется в рамках TLS по сертификату на ISA. А она уже, конвертирует эту аутентификацию в билет kerberos об AD.
пользователь аутентифицируется в рамках TLS по сертификату на ISA. А она уже, конвертирует эту аутентификацию в билет kerberos об AD.
0
Что мешает просто использовать криптопровайдер ГОСТ?
http://ru.wikipedia.org/wiki/%D0%9A%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%BF%D1%80%D0%BE%D0%B2%D0%B0%D0%B9%D0%B4%D0%B5%D1%80
http://ru.wikipedia.org/wiki/%D0%9A%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%BF%D1%80%D0%BE%D0%B2%D0%B0%D0%B9%D0%B4%D0%B5%D1%80
0
1. Как криптопровайдер будет работать на Linux, Mac, Android? (openssl и stunnel работают на всех этих платформах)
2. Все ли провайдеры поддерживают аппаратную аутентификацию с неизвлекаемыми ключами?
3. Не все версии RDP-клиента под виндой умеют TLS.
4. Удобнее. Как я уже писал, можно сделать конструкцию, которая не требует установки с правами сисадмина (для современных систем). Можно войти на RDP из интернет-кафе.
А так ничего не машает:)
2. Все ли провайдеры поддерживают аппаратную аутентификацию с неизвлекаемыми ключами?
3. Не все версии RDP-клиента под виндой умеют TLS.
4. Удобнее. Как я уже писал, можно сделать конструкцию, которая не требует установки с правами сисадмина (для современных систем). Можно войти на RDP из интернет-кафе.
А так ничего не машает:)
0
1. Я думаю, что связка когда с одной стороны сервер с криптопровайдером, а с другой стороны OpenSSL с ГОСТ вполне будет работать. Хотя сам не пробовал.
2. КриптоПро ?
3. Что мешает обновить? + в вашей схеме TLS+RSA over TLS+GOST
4. Спорный момент. Как быть если нужно конектится к нескольким серверам? Несколько sTunnel'ей?
2. КриптоПро ?
3. Что мешает обновить? + в вашей схеме TLS+RSA over TLS+GOST
4. Спорный момент. Как быть если нужно конектится к нескольким серверам? Несколько sTunnel'ей?
0
Вы просто о разном говорите.
Моё имхо: статья о том, как получить быстрое, дешевое, защищенное и вполне себе удобное решение для админа/программера/фрилансера с берега Красного моря :)
Ничего не мешает на этой базе сделать промышленное решение, либо выбрать для промышленного решения другую базу по своим потребностям.
Годная, зачётная статья.
Моё имхо: статья о том, как получить быстрое, дешевое, защищенное и вполне себе удобное решение для админа/программера/фрилансера с берега Красного моря :)
Ничего не мешает на этой базе сделать промышленное решение, либо выбрать для промышленного решения другую базу по своим потребностям.
Годная, зачётная статья.
0
Никто не спорит, что это годная, зачетная статья. У меня был вопрос, а не критика :)
А что касается «себе удобное решение для админа/программера/фрилансера с берега Красного моря» — в таких случаях и TLS + RSA подойдет. ГОСТ, имхо, нужен только если предъявляются специфические требования.
А что касается «себе удобное решение для админа/программера/фрилансера с берега Красного моря» — в таких случаях и TLS + RSA подойдет. ГОСТ, имхо, нужен только если предъявляются специфические требования.
0
Уже имеется промышленное решение МагПро Защита RDP
0
1. На сервере — да. Я про кроссплатформенный клиент.
4. Несколько секций в конфиге sTunnel. При доступе на 127.0.0.1:8088 будет проброс на сервер А, при доступе на 127.0.0.1:8089 будет проброс на сервер В.
4. Несколько секций в конфиге sTunnel. При доступе на 127.0.0.1:8088 будет проброс на сервер А, при доступе на 127.0.0.1:8089 будет проброс на сервер В.
0
Использую сейчас с отечественным криптопровайдером полностью ГОСТовые, не обернутые RSA ключи на виндовом сервере с AD, Winlogon, и подключаюсь через TSG по RDP, то есть практически все решения готовые и без настраивания sTunnel. Почему бы и нет.
0
заранее извините за занудство, но слово Suite по-английски произносится «свит», а не «сьют» (suit). Эта новоязовская ошибка уже далеко проникла, но все еще есть шанс ее исправить. Либо целиком перевести на русский термин Cipher suite, либо произносить его правильно.
-1
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Защита RDP по ГОСТ с помощью Рутокен ЭЦП. Двухуровневый TLS