VPN на TLS

Тема в разделе "Общие вопросы", создана пользователем toro703, 1 окт 2015.

  1. toro703

    toro703 Member

    Добрый день! В документации к VPN-Key-TLS говорится, что "... механизм защиты взаимодействия заключается в том, что данные, передаваемые между браузером пользователя и Веб-Сервисом, отправляются в организованный Комплексом TLS-
    туннель, по которому они передаются в зашифрованном виде. ...." Под туннелем имеется ввиду HTTPS взаимодействие или что-то ещё?
     
  2. Roman_Sein

    Roman_Sein Администратор Команда форума

    Добрый день!
    Да, абсолютно верно.
     
  3. toro703

    toro703 Member

    Это 2-х сторонний SSL ? Требования к сертификату для организации SSL какие - формат Х.509 и...? Сертификат можно выпускать самим или только на определённых УЦ или только от вас ? Криптография (СКЗИ "Туннель-TLS") что "требует" от такого сертификата?
     
  4. Roman_Sein

    Roman_Sein Администратор Команда форума

    По порядку:
    1. Используется 2-х сторонняя аутентификация, естественно.
    2. Сертификаты формата x.509 с использованием криптоалгоритмов ГОСТ 34.10-2001, ГОСТ 28147-89.
    3. На стороне сервера ФПСУ-TLS выдает запрос на сертификат, который подписывается на любом УЦ и в виде сертификата загружается обратно. Мы пробовали, к примеру, тестовый УЦ КриптоПро (https://www.cryptopro.ru)
    Далее, на стороне TLS-клиента: при использовании токена "VPN-Key TLS" все происходит также. Если используется ПО КриптоПро - генерация ключей и сертификатов производится средствами КриптоПро.
     
    Последнее редактирование: 9 ноя 2017
  5. toro703

    toro703 Member

    Спасибо. А какова роль сервера ФПСУ-TLS ? Например, необходимо построить защищённое соединение по http с web-сервером (например Apache). ФПСУ-TLS я где должен поставить, перед ним? Это по сути и будет веб-сервер с которым и идёт 2-х сторонний SSL\TLS, а далее ФПСУ пробрасывает трафик уже на Apache ?
     
  6. Roman_Sein

    Roman_Sein Администратор Команда форума

    В целом все верно, клиент устанавливает соединение с ФПСУ-TLS, который фильтрует трафик и перенаправляет этого клиента на web-сервер.
     
    Последнее редактирование: 9 ноя 2017
  7. toro703

    toro703 Member

    Я рад что правильно понял архитектуру :).
    Какие криптоалгоритмы поддерживают ГОСТовую криптографию ваших СКЗИ - RSA, AES, DES ..... ? Т.е. какие алгоритмы возможны в "вашем" SSL/TLS ? Хотя могу быть неправ. Если спецификация SSL/TLS (rfs) фиксирует набор возможных криптоалгоритмов, то раз заявлена возможность SSL/TLS, значит возможно всё из спецификации. Тут хотелось бы Ваших пояснений.

    И ещё. Настройка использовать\не использовать шифрование в TLS, включается на Веб-сервере. Эта настройка регулируется ФПСУ TLS ? Т.е. есть какая-то админка для настроеек TLS? Или у вас программно закреплено - использовать шифрование (что не отменяет наличие админки) ?
     
    Последнее редактирование модератором: 9 ноя 2017
  8. Roman_Sein

    Roman_Sein Администратор Команда форума

    Используются только следующие криптоалгоритмы: вычисление хэш-функции по ГОСТ Р34.11-94, формирование и проверка ЭЦП по ГОСТ Р34.10-2001, генерация парных ключей шифрования по алгоритму Диффи-Хэлмана, шифрование информации по ГОСТ 28147-89.
    Шифрование и двусторонняя аутентификация всегда включены.
    Администратор для настройки конечно есть.
     
  9. toro703

    toro703 Member

    Какими именно параметрами ФПСУ TLS, относящимися к настройкам HTTPS, настройкам ФПСУ TLS как Веб-сервера, можно управлять через админку?
    (ЗЫ Ещё один вопрос в личку кинул. Посмотрите, плиз)
     
  10. Roman_Sein

    Roman_Sein Администратор Команда форума

    Ответил на указанный при регистрации e-mail.
     

Поделиться этой страницей