Как зашифровать интернет канал?

Question

[Евгений Лаврентьев]

Добрый вечер, товарищи возникла надобность зашифровать канал связи из офиса до сервера и в обратном направление.

Допустим есть сервер с установленный корпоративным софтом находящийся в дата-центре и несколько офисов с примерным штатом по ~50. Хочется сделать приватный доступ к удаленному серверу только офисам и ихним рабочим местам посредством шифрования канала. Если рабочее место не настроено на работу с удаленным сервером, то сервер должен быть не доступен, чтобы даже ping'a не было до него.

Я знаю одну схему с которой сталкивался и работал долгое время (КриптоПро CSP + Застава + Криптографические ключи + VPN) скажу вариант интересный ну очень трудоёмкий и стабильности практически не какой.

Я просто не особо знаком с такими рода задачами, но уверен что существуют аналоги схемы написанной выше.

Спасибо!

Answer 1

[Борис Сёмов]

Есть масса VPN решений, которые для этого могут подойти, в зависимости от операционки на сервере например, бюджета, оборудования и.т.п.

Надо больше данных, чтобы советовать что-то конкретное.

Comments

[Евгений Лаврентьев]

mikluha @kotomyava OC сервера: Debian Клиенты: WinXP но скоро возможно Win7 так что надо учесть обе ОС.

[Борис Сёмов]

Можно поднять, например, openvpn.

[Евгений Лаврентьев]

и вот интересно если использовать e-token все-таки, то возможно использовать свои самоподписанные сертификаты не обращаясь при этом УЦ?

[Евгений Лаврентьев]

Борис Сёмов: а касаемо openvpn я могу выдать каждому пользователю свой собственный пароль для доступа к каналу? и возможно же на стороне сервера указать диапазон адресов с которых будет разрешен доступ к серверу ? И возможно ли использовать защищенное соединение?

[Борис Сёмов]

habrahabr.ru/post/5401 вот тут про e-token + openvpn было
"я могу выдать каждому пользователю свой собственный пароль для доступа к каналу" - да
и возможно же на стороне сервера указать диапазон адресов с которых будет разрешен доступ к серверу" - это делается средствами фаервола.
"И возможно ли использовать защищенное соединение" - это априори защищённое соединение.

[Евгений Лаврентьев]

Борис Сёмов: спасибо учту все выше сказанное, вы не ругайтесь там сильно на меня, я просто с эти не разу не сталкивался.

[Vladimir Goncharov]

Евгений Лаврентьев: Советую рассмотреть два варианта: PPTP, про сервер под линуксом читать вот тут www.chiark.greenend.org.uk/~owend/free/pptp-debian... Второй варант - OpenVPN, софт ставить придется и на клиент и на сервер, но можно строить более гибкие конфигурации (например L2 туннели) и он может оказаться более стабильным.
К сожалению на Linux-ах PPTP сервер очень давно не использую и как сейчас у него со стабильностью я не знаю. Раньше PPTP под Linux работал крайне плохо, я перешел на FreeBSD (с помощью mpd - Multi PPP Daemon), но, по слухам, сейчас в Линуксе ситуация существенно улучшилась.

[Евгений Лаврентьев]

Vladimir Goncharov: спасибо, так же учту ваши совету.

Answer 2

[Vladimir Goncharov]

Ну в зависимости от ОС сервера и ОС клиентов есть ряд вариантов.
Самый простой это PPTP , в Windows он встроен.
Есть более интересные варианты, но настройка их более сложная, такие как IPsec, L2TP over IPsec, OpenVPN, Tinc.
Если напишешь подробнее про ОС сервера и клиентов, про необходимый уровень безопасности, то, возможно, что-то смогу подсказать более подробно.

Answer 3

[Максим Кудрявцев]

Некогда работал с програмно-аппаратным комплектом VipNet. Так вот, есть у них там железки HW100/HW1000. По сути это маршрутизаторы, только с продвинутой поддержкой VPN и сертифицированы по российским стандартам. Так вот, эта самая железка позволяет создавать полутунели, т.е. твоя ЛВС => "открытый трафик" => HW100 => "шифрованый трафик" => сервер в ДЦ.

Плюс - не надо разворачивать VPN-клиенты на локальный ПК в офисах, что я как понимаю Вы и хотите избежать.

Детали реализации не подскажу, т.к. работал я с этими решениями года 3-4 назад, но ключевое слово для общения с тех.поддержкой/гуглом - "Полутунель"

Comments

[Евгений Лаврентьев]

Тоже как вариант, надо будет прочитать получше.

[Disen]

Если в Вашей организации нет требований к использованию только сертифицированных ФСТЭКом МЭ и криптографии от ФСБ, Вы не являетесь органом гос.власти, то даже не заморачивайтесь с Vipnet'ом.
Во-первых, это оборудование стоит денег (и не малых)
Во-вторых, помимо HWшек, необходим еще и администраторский софт (ЦУС/УКЦ)
В-третьих, в довесок к этому можно получить еще кучу подводных камней.

Я не говорю, что VipNet плох, но в Вашем случае, как мне кажется, можно обойтись гораздо более простыми решениями, без журналов учета СКЗИ, актов установки, лицензий и прочих вкусностей :)

Смотрите в сторону OpenVPN и других аналогичных решений.

Answer 4

[Disen]

Евгений Лаврентьев: в OpenVPN можно реализовать аутентификацию, как по паролю, так и по сертификатам. Обращаться в УЦ не надо, можете сами выпускать сертификаты с помощью easy-rsa, например.

у PPTP есть проблемы с безопасностью + сложности при прохождении через NAT, поэтому использовать его сейчас крайне не рекоммендуется.

Если же хочется получить VPN без установки дополнительного софта на клиентах, то смотрите в сторону L2TP+IPsec.

Answer 5

[Андрей]

Любой недорогой VPS/VDS хостинг + инструкция habrahabr.ru/company/infopulse/blog/183628 с поправкой на L2TP/IPSec.

---

Или OpenVPN:

x64:
1. wget swupdate.openvpn.org/as/openvpn-as-1.8.4-Ubuntu10....
2. dpkg -i openvpn-as-1.8.4-Ubuntu10.amd_64.deb
3. passwd openvpn

x32:
1. wget swupdate.openvpn.org/as/openvpn-as-1.8.4-Ubuntu10....
2. dpkg -i openvpn-as-1.8.4-Ubuntu10.i386.deb
3. passwd openvpn

Answer 6

[younghacker]

Использую OpenVPN.
На серверной стороне крутится OpenVPN в режиме сервера. Он PUSH-ит клиентам все необходимые маршруты в сети где находятся серверы. Разумеется клиент не будет иметь доступа без VPN. Наружу открывается только один UDP порт.
На клиентских сторонах OpenVPN в офисах ставлю на роутеры типа Mikrotik или TP Link с прошивкой OpeWRT. На мобильных компах которые должны работать с сервром вне офиса используется OpenVPN клиент.
Решение работает стабильно годы напролёт (более 5-лет)