Континент 4 Getting Started 2.0. VPN

Рады приветствовать вас уже в шестой статье цикла «Континент 4 NGFW Getting Started 2.0» на образовательном портале TS University!

В предыдущей статье мы детально изучили веб-фильтрацию: настраивали фильтрацию по SNI, работали с Web/FTP фильтрацией, тестировали потоковый антивирус.

В этом материале мы в подробностях рассмотрим организацию VPN-сети (Site-to-Site, Remote Access).

Схемы подключений и используемые виртуальные машины будут меняться в зависимости от темы.В каждой теме для удобства отдельно будет указан перечень необходимых виртуальных машин и представлена схема.

Видеоурок по данной статье вы можете найти тут

РЕЖИМЫ РАБОТЫ

Перед разбором режимов работы VPN на Континент 4 NGFW стоит поговорить про протокол шифрования. Он довольно нестандартный и является разработкой компании «Код Безопасности».

Для шифрования данных используется алгоритм ГОСТ Р 34.12−2018 (Магма) в режиме гаммирования с обратной связью по шифртексту по ГОСТ Р 34.13−2018. Имитозащита данных осуществляется на базе ГОСТ Р 34.12−2018 (Магма) в режиме выработки имитовставки

На текущий момент решение не подразумевает интеграцию со сторонними криптосетями.

Континент 4 NGFW нельзя связать по VPN ни с одним сторонним решением (в т.ч. с АПКШ «Континент 3»). Все узлы безопасности, участвующие в организации VPN-соединения, должны быть подчинены единому ЦУС.

Решение сложившейся ситуации будет предложено в версии Континент 4.2, где произойдет отказ от проприетарного модуля шифрования и переход на алгоритмы IPsec и IPsec ГОСТ. Это позволит устанавливать защищенные соединения между Континент 4 NGFW и решениями сторонних производителей (в т.ч. по требованиям к ГОСТ-шифрованию).

На момент написания статьи Континент 4 NGFW поддерживает три режима функционирования VPN:

  1. L3VPN:  создание защищенного канала связи между двумя узлами безопасности. При передаче трафика из одной защищаемой сети в другую в узлах безопасности выполняется зашифрование данных до того, как они попадут в туннель, и расшифрование этих данных после того, как они туннель покинут

  2. L2VPN: представляет собой виртуальный коммутатор, объединяющий сетевые интерфейсы узлов безопасности в распределенный сетевой мост. При добавлении портов разных узлов безопасности в один виртуальный коммутатор между такими узлами безопасности автоматически создаются VPN-туннели, обеспечивающие безопасную передачу Ethernet-кадров. Данный режим не поддерживает работу в кластере!

  3. Удаленный доступ: позволяет организовать удаленный доступ к ресурсам сети из сетей, не входящих в состав защищаемых сегментов

Шифрованный трафик будет передаваться по протоколу UDP, используя порты из диапазона 10 000−10 255. Локальные IP-адреса отправителя и получателя не отображаются, и размер пакета составляет 126 байт. Убедитесь, что ваш провайдер не блокирует данные порты.

Давайте подробно разберем каждый из режимов в следующих главах.

L3VPN S2S

VPN-сети в данном режиме могут быть построены по двум топология:  «звезда» и «полносвязная цепь».

В полносвязной сети VPN-туннели создаются между каждой парой узлов безопасности.

В топологии «звезда» один из узлов безопасности является центральным. Все остальные узлы могут создавать туннель только с центральным узлом.

Настройка L3VPN на Континент 4 NGFW весьма простая.

Для её проведения администратору необходимо:

  1. Активировать компонент L3VPN в свойствах УБ (по умолчанию «активирован»);

  2. Назначить интерфейсам тип «Внешний» (хоть один интерфейс должен иметь данный тип);

  3. Создать и настроить виртуальную частную сеть в Менеджере конфигурации;

  4. Создать правила фильтрации, разрешающее прохождение трафика между защищаемыми сетями

Структурная схема с VM для данной статьи

Структурная схема с VM для данной статьи

Перейдем к настройке:

1) Убеждаемся, что на обоих Узлах безопасности активирован компонент L3VPN

d036b095fd5d3835cfae1337e27d458d.png8a0ef2e238016163ecd75368cd591df4.png

2) Ранее мы уже настраивали УБ с ЦУС и его типы интерфейсов.

Дополнительно настройте интерфейсы у УБ. Обязательно необходим хотя бы один интерфейс с топологией «Внешний». Это ключевое условие работы шифратора.

800c3adc3e3312144640e5f85002e5dc.png

3) Переходим в раздел «Виртуальные частные сети — L3VPN — Виртуальная частная сеть — Полносвязная сеть».

Включаем в состав два Узла безопасности: УБ с ЦУС (NCC) и подчиненный УБ (UB):

af60d41aff8497d0b310f89a594f0aff.png

Добавляем защищаемые ресурсы.

Добавить их можно путем «перетаскивания» из списка объектов ЦУС (режим Drag&Drop):

7f71de2457ece345bccd1c600f308d1b.png

4) Ранее у нас уже были созданы правила фильтрации для связи между Центральным офисом и филиалом по протоколам ICMP.

Давайте расширим его:

  • С центрального офиса разрешена передача данных по протоколам ICMP, RDP, HTTP и TLS;

  • С филиала разрешена передача данных по ICMP, HTTP и TLS.

d7a96e2e35d91a19949907f45cdd8888.png

Сохраним и установим политику на оба Узла безопасности. VPN соединение между УБ поднимется буквально сразу.

Проверить его состояние можно в Системе мониторинга: «Структура — УБ — Активные соединения VPN»

0a67cfbd15cf1ace84fdf6a4029b3c03.png

Проверим работу канала. Запустим RDP сессию до Пользователя в филиале, а также ping в обе стороны.

3adb4a0f7fa1e70f1bfb9a7bfd301603.png

Параллельно зайдем в локальное меню УБ с ЦУС и снимем дам трафика. Передача трафика идет по портам из диапазона 10 000−10 255 между Узлами безопасности. Шифратор работает.

d6a6553172684b69bdc689105ee32bae.png

Проверим, что пользователь может открыть IIS нашего Windows Server. В случае успеха откроется стандартная веб-страница IIS.

78a911165e1fe8865f684752415f3e35.png

L2VPN S2S

Немного изменим схему.

Менеджер конфигурации будет установлен на MS AD.

АРМ удаленного пользователя сменит свой сетевой адрес. Сменится тип switch у VM.

b98db45fc77f1e6d9bb82788cfc5cb8b.png

Структурная схема с VM для данной статьи

Distibuted Switches не подойдут.

Используем Port Group на ESXi для эмуляции работы портов коммутатора.

3308db892f341509821107a882868304.pngf9d6b138617b27538009a85f663e93da.png24f9a704675c1b5b4b903b9f1f1784f4.png

Настройка данного компонента состоит из следующей последовательности:

  1. Активировать компонент L2VPN

  2. Перевести порт в топологию «Порт криптокоммутатора»

  3. Создать виртуальный коммутатор

1) Активируем компонент L2VPN на обоих Узлах безопасности (между которыми будет строится связь).

8943564c54868534108619a2af641a06.pngc27f11775995095c954a5e18afbcb5db.png

2) Меняем топологию интерфейса на «Порт коммутатора» на обоих Узлах безопасности

6366b630c337c14b992f5863146f41b2.png128192b8e87437544710aaa0595f9945.png

Перед созданием виртуального коммутатора отключим правило для L3VPN. Сейчас оно нам не нужно.

b6b4a82aa31188480f94a462e5a9abb7.png

3) Создаем виртуальный коммутатор.

Для этого переходим «Виртуальные частные сети — L2VPN -Виртуальный коммутатор». Обратите внимание на то, что есть несколько типов параметров.

458223395fdd883331d11f4e5d18f5b1.pngbb08c302499e5dd22eb6362faf128753.png

Для режима L2VPN существует механизм защиты, основанный на таблице MAC-адресов.

В случае если вы сделаете таблицу MAC-адресов статической после обучения, то можно будет логировать, отключать порт или логировать и отключать порт при подключении нового устройства.

78eb3403f95456514636103c5f040598.png678413953bde0eb0d9b9691649ce7634.png

Сохраним и установим политику.

Проверим работоспособность. Подключимся к станции удаленного пользователя в филиале и запустим ping в обе стороны.

4c38e337d19398b11d31c64b479f044e.png

Проверим из локального меню Узла Безопасности, что передача трафика идет по портам 10 000−10 255. Передача идет по данным портам — это работает шифратор.

5bd062f248c944267348bfc149ba6a93.png5dc8d53fc2e7c5a07a1050f24ce5396e.png

Как видим, L2VPN работает, пользователи могут обмениваться трафиком. Сеть для них «плоская», однако по факту между ними может быть любое расстояние. Дополнительно отметим, что Континент 4 NGFW может совмещать в себе функционал L3VPN и L2VPN.

После проверки L2VPN вернем стенд в исходное состояние (до главы L2VPN)

RA VPN

Remote Access VPN используется для подключения удаленных пользователей с установленным VPN клиентом.

В Континент 4 NGFW подключение удаленных пользователей является отдельно лицензируемым компонентом (1 конкурентное подключение — 1 лицензия).

На момент написания данной статьи поддерживается сразу два VPN-клиента: СКЗИ «Континент-АП» и СКЗИ «Континент ZTN-клиент».

СКЗИ «Континент-АП» прошел сертификацию ФСБ, однако развитие данного продукта окончено.

Дальнейшее развитие получит «Континент ZTN-клиент», проходящий сертификацию ФСБ. Его преимуществом является поддержка новых ОС, объединение СКЗИ «Континент-АП» и СКЗИ «Континент-TLS» в одном приложении и развитие концепции ZTNA.

На текущий момент СКЗИ «Континент-АП» и СКЗИ «Континент ZTN-клиент» доступны на всех основных ОС, включающих в себя:

  • Microsoft (Windows 8, 10, 11)

  • Linux (в т.ч. российские дистрибутивы: Astra, ALT, REDOS и др.)

  • Android (до 13 версии);

  • iOS;

  • ipadOS;

  • MacOS (M1+M2);

  • Аврора

Удаленные пользователи в Континент 4 NGFW могут авторизовываться двумя методами:

  • По сертификатам: доступно только для подключения локальных пользователей в базе ЦУС. Персональные сертификаты ГОСТ;

  • По паролям: доступно для подключения локальных и доменных пользователей

Подключение по сертификатам является наиболее безопасным способом, однако недоступно для пользователей доменных групп. В случае единичных подключений разумно использовать сертификаты, а при организации массового доступа — пароли.

Все используемые в данной главе виртуальные машины вы можете увидеть в представленной ниже структурной схеме:

Структурная схема с VM для данной статьи

Структурная схема с VM для данной статьи

Для настройки Сервера доступа (СД) необходимо выполнить следующие действия:

  1. Выпустить сертификат СД

  2. Добавить сертификат СД на УБ

  3. Создать пользователя

  4. Выпустить пользовательский сертификат

  5. Активировать компонент «Сервер доступа» на УБ

  6. Настроить компонент «Сервер доступа»

  7. Экспортировать профиль пользователя абонентского пункта (АП)

  8. Создать правило удаленного доступа

  9. Создать правило на межсетевом экране

1) Выпустим сертификат сервера доступа с параметрами:

  • Тип сертификата: сервер доступа;

  • Название: IP-адрес внешнего интерфейса или DNS-запись с резолвом во внешний адрес;

  • Остальные данные произвольно;

  • Корневой сертификат: ранее созданный ГОСТ сертификат

aa98876d05327c1ac55bd6da8f958712.png

Мы настоятельно не рекомендуем использовать корневой сертификат ГОСТ, который используется для управления ЦУС и УБ, в качестве корневого сертификата для RA VPN!  Рекомендуется создать отдельный корневой сертификат ГОСТ для RA VPN!

2) Добавим созданный сертификат СД к Узлу безопасности с ЦУСом

a1372068bf736d4395d46d42ae7c1e82.png

3) Нового пользователя создавать не станем. В качестве пользователя используем ранее созданного пользователя ivanov.ii.

4) Выпустим пользовательские сертификаты.

Для этого откроем свойства пользователя, затем перейдем в раздел «Аутентификация» и создадим сертификат.

50911d215adb81f2b28faf44fb5cda05.png

В сертификате заполняем следующие данные:

  • Тип сертификата: Пользователь;

  • Данные о владельце сертификата произвольно;

  • Корневой сертификат: корневой сертификат ГОСТ, которым подписан сертификат Сервера Доступа (СД);

  • Экспортировать в файл произвольно

В открывшемся окне Код Безопасности CSP введите пароль на криптоконтейнер.

В нем будет хранится закрытая часть ключа сертификата. Этот пароль будет в дальнейшем изменен на компьютере удаленного пользователя. В качестве ключевого носителя можно выбрать реестр Windows.

a744322632ab1e85fe2ff2a766e4d3e5.pngdbcb1016469443b2c09da051bc9908e9.png515195c27624e4a64a825609f111c16a.png

Сертификат успешно создан. Можно приступать к дальнейшим шагам

6fcc9e0bdaa13f976f5b72401e80bf00.png

5) Активируем компонент «Сервер доступа» на Узле безопасности с ЦУС

bc401e85015a76ac5256322515839878.png

6) Выполним настройку СД:

  • Порт подключение, максимальное ожидание не активной сессии и другие параметры — по умолчанию.

  • Серверы DNS:

  • Предпочитаемый — 172.16.20.100;

  • Альтернативный — 77.88.8.8

  • Пулы адресов — 192.168.2.0/24

В пул адресов 192.168.2.0/24 добавьте пользователя ivanov.ii.

Выдача адреса: «Автоматически».

cc2edba3bcbda97421db21272c1f5794.png21200b78568eb0d79e57caebff613d4a.webp

7) Экспортируем профиль пользователя АП:

  • Сертификат: ранее созданный персональный сертификат;

  • Экспортировать закрытый ключ: да, экспортировать закрытый ключ;

  • Сервер доступа пользователя: по-умолчанию;

  • Имя файла произвольно;

  • Пароль произвольно.

e0f9208295ded526ebb66bf14554f258.png52874366aaac6a73b06e2a4ab34eb4c7.pngf48457fd7cb445c67736013b62fd3501.pngb8c28c9b1ed1a78918327cae588124bf.png6aa6b517e2e59c4bd6fb3fb165386188.png

В конце обязательно убедитесь, что были указаны верные параметры.

bf0b2540e27c5b7230a54e034f98320e.png

8) Создадим правило удаленного доступа. Перейдем в раздел «Виртуальные частные сети — Удаленный доступ».

Параметры для правила:

  • Название: произвольное;

  • Пользователи: ivanov. ii;

  • Метод аутентификации: по сертификату;

  • Доступ: подсеть DMZ (172.16.20.0/24);

  • Управление соединениями: Без ограничений;

  • Множественное подключение: Запретить;

  • Временной интервал: Всегда;

  • Установить: NCC (УБ с ЦУС)

8f1a0ac0924f9ad90be3ebdee4d494ff.png

Разберем параметры правила дополнительно.

Метод аутентификации:

  • По сертификату. Пользователь сможет авторизоваться только по сертификату. Подходит только для локальных пользователей;

  • По паролю. Пользователь сможет авторизоваться только по паролю. Подходит для локальных и доменных пользователей;

  • По сертификату или паролю. Пользователь может авторизоваться любым удобным способом

8e79bf7538a2256649dbaba04c6a4a0a.png

Доступ — подсети или хосты, которые будут анонсированы удаленным пользователям.

3ca50eb757111d51215daddd3995f474.png

Управление соединением:

  • Без ограничений. Удаленный пользователь может пользоваться интернетом без ограничений, при этом будет доступ до защищаемых ресурсов. Приоритет шлюза провайдера выше, чем шлюз УБ.

  • Запрет незащищенных. Удаленный пользователь во время подключения по VPN будет иметь доступ только до анонсированных адресов в правиле удаленного доступа. Любые другие ресурсы будут недоступны.

  • Перенаправление всех через туннель. Весь трафик пользователя будет перенаправляться через УБ. Приоритет шлюза провайдера ниже, чем шлюз УБ

648ec3a0f4f70872ac6d75c29e3d7b1e.png

Множественное подключение разрешает или запрещает пользователям подключаться с нескольких устройств одновременно.

9) Добавим правило на межсетевом экране, разрешающее пользователю Ivanov. ii доступ до DMZ-сегмента (172.16.20.0/24) по протоколам DNS, HTTP/TLS и RDP.

d7330217bc19bc1920942669c56af214.png

На стороне Континент 4 NGFW настройки успешно выполнены. Перейдем к настройкам на стороне пользователя.

Потребуется выполнить следующие действия:

  1. Установить СКЗИ «Континент ZTN Клиент»;

  2. Выполнить настройку СКЗИ «Континент ZTN Клиент»;

  3. Импортировать профиль пользователя АП;

  4. Провести подключение до СД.

Выполним всю очередность действий:

1) Установка СКЗИ «Континент ZTN Клиент» не вызовет трудностей.

По умолчанию установка проходит в режиме КС1 и не требует дополнительных модулей. В случае необходимости других режимов и поддержки сторонних криптопровайдеров при установке можно указать требуемый уровень.

3df7fcd7ae595b266ce58ee883ca32ae.png465b8f4f9f6d60fe4dca3b46e363f17d.png6644f2fc8ff13dbfdbb8fe7e12189b65.png

После установки СКЗИ «Континент ZTN Клиент» будет предложено перезагрузить компьютер.

2) Настройка СКЗИ «Континент ZTN Клиент» начинается с регистрации версии программы. Регистрация бесплатная и требуется для учета СКЗИ. Программа доступна в триальном режиме в течение 14 дней.

7afc25d304a910bfab9c24dbcd4e94d3.png

Для изменения настроек перезапустите СКЗИ «Континент ZTN Клиент» с правами Администратора. При запуске в обычном режиме большинство настроек будет недоступно. Нам необходим отключить все параметры проверки CRL для тестового подключения.

c4dc554d2367e3094134fb1fdd6bbb91.png

3) Импортируем ранее созданный профиль пользователя АП в Менеджере конфигурации. Передать его можно любым удобным способом.

Однако официальный способ обращения носителей с профилем и ключами: см. формуляр к СКЗИ.

94005f58fa3c7e27db98936b64f7465b.png

Вводим пароль от конфигурации (вводился самым последним при создании профиля пользователя АП)

044b90b820ba245534bc628981649d50.png

Вводим пароль от контейнера закрытого ключа персонального сертификата для пользователя Ivanov. ii

adba87cfe38258eb41b5f82e199a9788.png

Транспорт закрытой части ключа осуществлен. Задайте новый пароль и подтвердите его для сохранения закрытой части ключа на компьютере пользователя.

a2c1f36b9fba968edac592be84853bc5.png

Укажите ключевой носитель. Мы используем реестр Windows.

282b6b39e827c76ec572d748887cfe0d.png

После успешного импорта профиля будет выведено соответствующее оповещение и предложено совершить тестовое подключение. Соглашаемся.

d79170d86a21bbb32a08b66cc11e1bf8.png00f54a8b476dbeaaefd73d92033514e4.png

В случае успеха будет выведено соответствующее оповещение в трее системы. Также сменится значок у локального пользователя на статус «Подключен».

5acb8607c1a1a89c2ab34f0255d166ad.pngc30be932999cc40675991b93c5bfe299.png

Протестируем подключение.

Перейдем в веб-браузере по IP адресу AD DS с IIS. Веб-страничка успешно открылась. При попытке выполнить команду ping, пакеты не доходят. Разрешающего правила для ICMP до AD DC — нет.

077e690e7ebaf3e14717c5d91bd89f81.png

В Системе мониторинга можно ознакомиться, какой пользователь подключен, какой у него реальный адрес, тип подключения и как давно он подключен. В случае необходимости его можно отключить.

Ознакомиться с данными параметрами можно по пути: «Структура — УБ — Домен — Сессии пользователей»

337274acb0b68f8f334e32090a57d5a7.png

ЗАКЛЮЧЕНИЕ

На этом шестая статья цикла статья подошла к концу.В написанных выше материалах мы рассмотрели: режимы работы VPN, выполнили построение Site-to-Site VPN и организовали подключение удаленного пользователя к защищаемым ресурсам.

Как и всегда напоминаем самые важные моменты и делимся полезными данными:

  • В Континент 4 NGFW используются «свежие» алгоритмы шифрования ГОСТ, при этом в текущих версиях отсутствует возможность организации связи со сторонними криптосетями. В версии 4.2 должен появится IPsec и IPsec ГОСТ, который исправит данную проблему;

  • L3VPN и L2VPN могут работать совместно. Однако L2VPN не может работать в кластере;

  • Удаленным пользователем может быть как локальный пользователь из базы ЦУС, так и доменный пользователь, однако аутентификация по сертификатам для VPN доступна только локальным пользователям.

© Habrahabr.ru