Комментарии 19
Отличная статья. Даже не смотря на то, что вы работаете в компании, которая делает USB токены.
>> Tunnel из «коробки» не умеет работать с ГОСТами, поэтому я его пропатчил и пересобрал. Патч размером примерно в 2 строчки.
Как под виндой не знаю, а под *nix надо сказать скрипту configure ключ --disable-rsa. Что примечательно, алгоритмы RSA от этого не пропадут, напротив, отсутствие этой опции отрубает все, кроме RSA. Вероятно, патч прибивает это гвоздями? Может под винду тоже есть штатный способ?
Самому как-то надо было ГОСТовый stunnel для http, собирал. Удобно :) Действительно радует то, что под nix-ы патч не нужен. Правда, я юзал сертифицированную крипту на основе того же openssl, но сути это не меняет.
Как под виндой не знаю, а под *nix надо сказать скрипту configure ключ --disable-rsa. Что примечательно, алгоритмы RSA от этого не пропадут, напротив, отсутствие этой опции отрубает все, кроме RSA. Вероятно, патч прибивает это гвоздями? Может под винду тоже есть штатный способ?
Самому как-то надо было ГОСТовый stunnel для http, собирал. Удобно :) Действительно радует то, что под nix-ы патч не нужен. Правда, я юзал сертифицированную крипту на основе того же openssl, но сути это не меняет.
Дело в том, что sTunnel сначала инициализирует OpenSSL, а потом подгружает engine, которая релизует ГОСТы, поэтому ГОСТы не попадают в список шифрсьютов.
Поэтому так не работало. Когда я поменял последовательность вызовов (сначал подгружаем engine, потом инициализируем OpenSSL) все заработало.
Какую версию sTunnel вы собирали?
Поэтому так не работало. Когда я поменял последовательность вызовов (сначал подгружаем engine, потом инициализируем OpenSSL) все заработало.
Какую версию sTunnel вы собирали?
stunnel 4.36 on i686-redhat-linux-gnu with OpenSSL 0.9.8e
Брал актуальную на тот момент. Никаких проблем, ГОСТы есть.
Собственно, способ взял тут cryptocom.ru/opensource/stunnel.html.
А способ придумал, видимо, Витус Вагнер vitus-wagner.livejournal.com/104283.html?thread=19701339#t19701339
Говорит, и под виндой оно работает.
Брал актуальную на тот момент. Никаких проблем, ГОСТы есть.
Собственно, способ взял тут cryptocom.ru/opensource/stunnel.html.
А способ придумал, видимо, Витус Вагнер vitus-wagner.livejournal.com/104283.html?thread=19701339#t19701339
Говорит, и под виндой оно работает.
Понравилось: «В случае TLS-аутентификации пользователей об Active Directory»
Речь идет о том, что по результатам TLS-аутентификации на конкретном сервисе (например, RDP) у AD запрашивается учетная информация пользователя.
Например, в случае доступа через ISA (TMG), которая работает в режиме «делегирование аутентификации»
пользователь аутентифицируется в рамках TLS по сертификату на ISA. А она уже, конвертирует эту аутентификацию в билет kerberos об AD.
пользователь аутентифицируется в рамках TLS по сертификату на ISA. А она уже, конвертирует эту аутентификацию в билет kerberos об AD.
Что мешает просто использовать криптопровайдер ГОСТ?
http://ru.wikipedia.org/wiki/%D0%9A%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%BF%D1%80%D0%BE%D0%B2%D0%B0%D0%B9%D0%B4%D0%B5%D1%80
http://ru.wikipedia.org/wiki/%D0%9A%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%BF%D1%80%D0%BE%D0%B2%D0%B0%D0%B9%D0%B4%D0%B5%D1%80
1. Как криптопровайдер будет работать на Linux, Mac, Android? (openssl и stunnel работают на всех этих платформах)
2. Все ли провайдеры поддерживают аппаратную аутентификацию с неизвлекаемыми ключами?
3. Не все версии RDP-клиента под виндой умеют TLS.
4. Удобнее. Как я уже писал, можно сделать конструкцию, которая не требует установки с правами сисадмина (для современных систем). Можно войти на RDP из интернет-кафе.
А так ничего не машает:)
2. Все ли провайдеры поддерживают аппаратную аутентификацию с неизвлекаемыми ключами?
3. Не все версии RDP-клиента под виндой умеют TLS.
4. Удобнее. Как я уже писал, можно сделать конструкцию, которая не требует установки с правами сисадмина (для современных систем). Можно войти на RDP из интернет-кафе.
А так ничего не машает:)
1. Я думаю, что связка когда с одной стороны сервер с криптопровайдером, а с другой стороны OpenSSL с ГОСТ вполне будет работать. Хотя сам не пробовал.
2. КриптоПро ?
3. Что мешает обновить? + в вашей схеме TLS+RSA over TLS+GOST
4. Спорный момент. Как быть если нужно конектится к нескольким серверам? Несколько sTunnel'ей?
2. КриптоПро ?
3. Что мешает обновить? + в вашей схеме TLS+RSA over TLS+GOST
4. Спорный момент. Как быть если нужно конектится к нескольким серверам? Несколько sTunnel'ей?
Вы просто о разном говорите.
Моё имхо: статья о том, как получить быстрое, дешевое, защищенное и вполне себе удобное решение для админа/программера/фрилансера с берега Красного моря :)
Ничего не мешает на этой базе сделать промышленное решение, либо выбрать для промышленного решения другую базу по своим потребностям.
Годная, зачётная статья.
Моё имхо: статья о том, как получить быстрое, дешевое, защищенное и вполне себе удобное решение для админа/программера/фрилансера с берега Красного моря :)
Ничего не мешает на этой базе сделать промышленное решение, либо выбрать для промышленного решения другую базу по своим потребностям.
Годная, зачётная статья.
Никто не спорит, что это годная, зачетная статья. У меня был вопрос, а не критика :)
А что касается «себе удобное решение для админа/программера/фрилансера с берега Красного моря» — в таких случаях и TLS + RSA подойдет. ГОСТ, имхо, нужен только если предъявляются специфические требования.
А что касается «себе удобное решение для админа/программера/фрилансера с берега Красного моря» — в таких случаях и TLS + RSA подойдет. ГОСТ, имхо, нужен только если предъявляются специфические требования.
Уже имеется промышленное решение МагПро Защита RDP
1. На сервере — да. Я про кроссплатформенный клиент.
4. Несколько секций в конфиге sTunnel. При доступе на 127.0.0.1:8088 будет проброс на сервер А, при доступе на 127.0.0.1:8089 будет проброс на сервер В.
4. Несколько секций в конфиге sTunnel. При доступе на 127.0.0.1:8088 будет проброс на сервер А, при доступе на 127.0.0.1:8089 будет проброс на сервер В.
Использую сейчас с отечественным криптопровайдером полностью ГОСТовые, не обернутые RSA ключи на виндовом сервере с AD, Winlogon, и подключаюсь через TSG по RDP, то есть практически все решения готовые и без настраивания sTunnel. Почему бы и нет.
заранее извините за занудство, но слово Suite по-английски произносится «свит», а не «сьют» (suit). Эта новоязовская ошибка уже далеко проникла, но все еще есть шанс ее исправить. Либо целиком перевести на русский термин Cipher suite, либо произносить его правильно.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Защита RDP по ГОСТ с помощью Рутокен ЭЦП. Двухуровневый TLS