На главную страницу  
+7 (499) 124-62-26
О компании Продукты Решения Скачать Купить Цены Контакты

Миграция с "OpenVPN" на "OpenVPN-ГОСТ"

Довольно часто встречается ситуация, когда в организации уже настроена и функционирует виртуальная сеть OpenVPN с шифрованием по алгоритму RSA, причем клиенты рассредоточены в лучшем случае в пределах одного города. Рано или поздно возникает необходимость шифровать канал по ГОСТу.

В этой статье Вы сможете узнать о том, как осуществить полный переход на криптоалгоритмы ГОСТ в рамках OpenVPN не выходя из офиса. Все примеры берутся на основе операционной системы Debian, однако алгоритм и нюансы одинаковы для всех поддерживаемых нами ОС, отличаются только команды.

Миграция серверной части.

  1. Установить средство криптографической защиты информации «МагПро КриптоПакет» в исполнении «OpenVPN-ГОСТ».
  2. Создать файл инициализации программного ДСЧ, для этого запустить
    sudo -H /opt/cryptopack3/bin/mkseed -r
    и следовать указаниям программы.

    После выполнения первых двух пунктов будет установлен полный набор ПО, необходимого для работы OpenVPN с алгоритмами ГОСТ. При этом уже настроенный канал с шифрованием по RSA продолжит работать.

  3. В каталоге /etc/openvpn-gost/ создать конфигурационный файл openvpn-gost.conf, в котором будет описано создание дополнительного канала с шифрованием по ГОСТ. За основу можно взять устанавливаемый в этот же каталог файл server.conf.sample (вполне вероятно, что в нем не понадобится ничего изменять).
  4. Сгенерировать необходимые ключи и сертификаты для запуска сервера (сделать это можно с помощью набора скриптов easy-gost, который входит в состав поставки, и указать к ним правильный путь в конфигурационном файле.
  5. Запустить OpenVPN-ГОСТ
    sudo -H /etc/init.d/openvpn-gost start

Миграция клиентов

Далее необходимо перевести клиентов на использование «OpenVPN-ГОСТ». Удобного для всех способа замены комплекта пользователя не существует, однако в общем случае этот процесс может выглядеть так:
        
  1. Подготовка дистрибутива пользователя (например, написание корректного конфигурационного файла, который обеспечит требуемую функциональность)     
  2. Размещение данного дистрибутива на внутреннем файловом сервере организации     
  3. Оповещение пользователей о том, что необходимо скачать и установить новую версию ПО

В идеальном случае закрытые ключи клиентов и запросы на сертификаты должны генерироваться на стороне пользователя при помощи предоставленного СКЗИ, после чего запрос на сертификат должен передаваться в УЦ (в роли УЦ может выступать серверный комплект СКЗИ «МагПро КриптоПакет»).
Однако при использовании ПО внутри организации зачастую практикуется централизованная генерация клиентского комплекта (включающего в себя в том числе закрытые ключи). Стоит понимать, что при передаче закрытых ключей следует удовлетворить требованиям Правил эксплуатации СКЗИ и ПКЗ-2005, в частности передавая ключи по защищенному каналу связи.

Также пользователей полезно снабдить инструкцией. Для ОС Windows в общем виде она будет следующей:

  1. Скачать дистрибутив "OpenVPN-ГОСТ" по ссылке <ссылка>
  2. Удалить старую версию OpenVPN с помощью стандартных средств системы
  3. Установить новую версию, используя загруженный с файл-сервера дистрибутив
  4. Поместить <следующие файлы> (например, ключи и сертификаты) в каталог <каталог>
  5. Запустить "OpenVPN-ГОСТ", используя иконку на рабочем столе

Разумеется, миграция клиентов займет некоторое время, в зависимости от скорости реагирования пользователей.

В целом же, данный способ наиболее удобен и позволяет произвести перевод пользователей на новую версию OpenVPN-ГОСТ не выходя из офиса.

 
Copyright © ООО "Криптоком". 2001-2024. All Rights Reserved.