Аутентификация в OpenVPN c помощью Рутокен ЭЦП / Хабр

Аутентификация в OpenVPN c помощью Рутокен ЭЦП / Хабр Электронная цифровая подпись

Безопасность удаленной работы

Удаленная работа сотрудников из дома, ранее являвшаяся редким исключением, сейчас используется в большинстве компаний. Причем использование удаленной работы не является временной мерой; многие компании захотят хотя бы частично отказаться от офисов, а сотрудникам дать возможность не начинать рабочий день с долгих поездок на общественном транспорте.

Однако при удаленной работе, компанию подстерегает ряд опасностей:

  • пароли пользователей могут быть украдены, что дает возможность злоумышленникам бесконтрольно подключаться к сети и ИТ-ресурсам предприятия;
  • данные передаются по публичным каналам, а значит могут быть перехвачены и изменены;
  • важная корпоративная информация хранится на ноутбуках, домашних ПК и флэш-накопителях вне файловых ресурсов и информационных систем предприятия.

Токены и смарт-карты Рутокен позволяют реализовать:

  • двухфакторную аутентификацию для офисных ПК, web-приложений, удаленных рабочих столов RDP/VDI и VPN;
  • защиту передаваемых данных с помощью виртуальной частной сети (VPN);
  • защиту информации на флэш-накопителях и шифрование данных;
  • квалифицированную или усиленную неквалифицированную электронную подпись для электронных документов.

С помощью приведенных ниже инструкций, вы сможете настроить элементы ИТ-инфраструктуры вашей организации для использования продуктов Рутокен.

Инициализация рутокен эцп клиента

Теперь можно приступить к тому, ради чего все затевалось — инициализации Рутокен ЭЦП для авторизации клиента в VPN.

Настройка клиента openvpn

У меня рабочее место пользователя — Windows 7. Так как Рутокен ЭЦП работает через стандартный CCID-драйвер, то на Windows 7 его драйвера устанавливать не надо (на XP надо).

Настройка сервера openvpn

Установим openvpn:

sudo apt-get install openvpn


Создадим файл с параметрами ДХ:

 openssl dhparam -out dh1024.pem 1024

Тестовый конфиг сервера OpenVPN (ВНИМАНИЕ! Конфиг сервера предназначен только для демонстрации, не надо его брать за основу вашего сервера):

port 1194
proto tcp
dev tap

ca /home/vic/Desktop/ca.crt
cert /home/vic/Desktop/server.crt
key /home/vic/Desktop/server.key  
dh /home/vic/Desktop/dh1024.pem

server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

keepalive 10 120

cipher BF-CBC
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

Запустим сервер OpenVPN

sudo openvpn --config  /home/vic/Desktop/demo.ovpn

Понятно, что в боевой конфигурации сервер будет запускаться как демон и ключи/сертификаты не будут лежать в home.

Читайте также:  Lotus notes как настроить подпись - ЭЦП Эксперт - ЭЦП Эксперт

Настройка уц


Для начала установим системные компоненты, необходимые для работы Рутокен ЭЦП:

Установим XCA:

sudo apt-get install xca

Запустим XCA:

sudo xca

Следует создать новую базу File->New Database.

Создадим ключ УЦ: Private Keys-> New Key, newcakey, RSA, 1024.
Создадим сертификат УЦ:
image

Создадим ключ сервера OpenVPN: Private Keys-> New Key, newserver, RSA, 1024.Создадим сертификат сервера OpenVPN:

ВАЖНО! У сертификата сервера OpenVPN должно присутствовать специальное расширение (extendedKeyUsage — serverAuth)
image

Экспортируем сертификат УЦ в файл ca.crt, ключ сервера в файл server.key и сертификат сервера в файл server.crt, чтобы их можно было подсунуть серверу OpenVPN (Private Keys->Export, Certificates->Export).

Рутокен vpn

Рутокен VPN — это комплексное решение для безопасного доступа к корпоративным ИТ-системам из любой точки мира, предназначенное для надежной защиты информации при удаленных подключениях. Идеально подходит для решения задач ИБ малого и среднего бизнеса. Рутокен VPN базируется на OpenVPN и закрытых ключах, хранящихся на борту USB-токенов или смарт-карт Рутокен ЭЦП. Основное преимущество решения — простота настройки и администрирования. Решение обеспечивает максимальную безопасность при удаленной работе с файлами, почтой, «1С» и другими офисными приложениями.

Для построения VPN-канала применяются криптографические алгоритмы ГОСТ Р 34.10-2022 и ГОСТ Р 34.12-2022. В качестве альтернативы можно использовать алгоритмы RSA с длиной ключа 2048 бит и и AES 256 бит. Рутокен VPN базируется на OpenVPN и закрытых неизвлекаемых криптографических ключах, хранящихся на борту USB-токенов или смарт-карт Рутокен ЭЦП PKI, Рутокен ЭЦП 2.0 или Рутокен ЭЦП 2.0 Flash.

Оцените статью
ЭЦП Эксперт
Добавить комментарий

Adblock
detector