Rutoken EDS का उपयोग कर GOST के अनुसार RDP का संरक्षण। द्वैध टीएलएस

आरडीपी एक एप्लीकेशन लेयर प्रोटोकॉल है और इसलिए टीएलएस, जो ट्रांसपोर्ट लेयर पर काम करता है, इसे बचाने के लिए आदर्श है।

इस विषय में, ओपन सोर्स ओपनएसएसएल और sTunnel अनुप्रयोगों की मदद से, हम रूसी साइपर सुइट्स (GOST2001-GOST89-GOST89) के समर्थन के साथ TLS प्रोटोकॉल का उपयोग करके RDP कनेक्शन की रक्षा करेंगे, GOST प्रमाणपत्रों के अनुसार क्लाइंट प्रमाणीकरण बोर्ड पीढ़ी के साथ USB टोकन रुतोकन ईडीएस के साथ हार्डवेयर का उत्पादन करेंगे। योजना के अनुसार प्रमुख समझौता VKO GOST 34-10.2001। हालाँकि, प्रमाणीकरण कुंजी गैर-पुनर्प्राप्त करने योग्य है और चोरी नहीं की जा सकती है। रुतोकन ईडीएस का उपयोग हार्डवेयर आवृत्ति कनवर्टर के रूप में भी किया जाएगा।

RSA प्रमाणपत्र का उपयोग करके सक्रिय निर्देशिका के बारे में टर्मिनल सर्वर पर प्रमाणीकरण के मामले में, हम GOST के अनुसार TLS में RSA से TLS को लपेटेंगे। इस प्रकार, हमें दो-स्तरीय टीएलएस मिलता है - आरएसए क्लाइंट प्रमाणीकरण के साथ GOST द्वारा संरक्षित चैनल के अंदर जाएगा।



ओपनएसएसएल के पास ड्राफ्ट-चुडोव-क्रिप्टो-केप्टल्स के अनुसार रूसी एल्गोरिदम पर आधारित टीएलएस सिफर स्वीट्स का कार्यान्वयन है।

sTunnel एक कॉम्पैक्ट टीएलएस प्रॉक्सी है: यह असुरक्षित टीसीपी कनेक्शनों को इनपुट के रूप में स्वीकार करता है, टीएलएस उन्हें कॉल करता है और उन्हें रिमोट सर्वर पर फॉरवर्ड करता है। "क्रिप्टोग्राफ़िक कोर" के रूप में, स्टनेल ओपनएसएसएल का उपयोग करता है।

"बॉक्स" से sTunnel GOSTs के साथ काम करना नहीं जानता है, इसलिए मैंने इसे पैच किया और इसे फिर से बनाया। आकार में लगभग 2 रेखाएँ।

Rutoken EDS विक्रेता के मंच forum.rutoken.ru/topic/1639 पर वर्णित तरीके से OpenSSL से जुड़ा है। इस मामले में, रूसी क्रिप्टोग्राफिक एल्गोरिदम के हार्डवेयर कार्यान्वयन "बोर्ड पर" रुतोकन ईडीएस का उपयोग किया जाता है।

GOST के अनुसार संरक्षण

मूल योजना को चित्र में दिखाया गया है।



पहले आपको एक छोटा CA बनाने की आवश्यकता है जो sTunnel सर्वर और sTunnel क्लाइंट को GOST प्रमाणपत्र जारी करेगा। ऐसा करने के लिए, यह ओपनएसएसएल का उपयोग करने के लिए समझ में आता है। टोकन पर क्लाइंट कुंजियों की पीढ़ी, प्रमाणपत्र के लिए अनुप्रयोगों के गठन का वर्णन आलेख habrahabr.ru/blogs/infosecurity/134725 में किया गया है । सर्वर कुंजी और प्रमाणपत्र सामान्य फ़ाइलों के रूप में समझ में आता है।

इस विषय पर विवरण मैं नहीं रोकूंगा।

सर्वर सेटअप:

Windows सर्वर पर एक सेवा के रूप में sTunnel स्थापित टर्मिनल सर्वर के साथ स्थापित करें और इसे कॉन्फ़िगर करें:

• डाउनलोड करें और ubuntuone.com/4zOP5AR39vKxk0uF6rwxNM संग्रह अनपैक करें
• हम कहते हैं stunnel- स्थापना (जबकि stunnel एक सेवा के रूप में पंजीकृत है)
• सिस्टम वातावरण चर सेट करें OPENSSL_ENGINES = [उस फ़ोल्डर में पथ जिसमें संग्रह अनपैक किया गया था]
• sTunnel CA प्रमाणपत्र, प्रमाणपत्र और सर्वर कुंजी (विन्यास के अनुसार) डालें
• विन्यास डालें (मैंने इसे stunnel.conf फ़ाइल में सहेजा और इसे c sunun.exe के बगल में रखा)
• कंप्यूटर को पुनरारंभ करें

सर्वर कॉन्फ़िगरेशन:

verify = 2 cafile = crypto/ca.crt cert = crypto/server.crt key = crypto/server.key engine=gost socket = l:TCP_NODELAY=1 socket = r:TCP_NODELAY=1 debug = 7 output = stunnel.log client = no [RDP-TLS-GOST] ciphers = GOST2001-GOST89-GOST89 accept = 1494 connect = localhost:3389 

IP पते के फ़ायरवॉल 3389 पोर्ट को बंद करने के लिए सर्वर पर मत भूलना!

क्लाइंट सेटअप (विंडोज पर):

• Ubuntuone.com/5D4sNc9i29MDgdW9KvROZa संग्रह डाउनलोड और अनपैक करें
• ग्राहक प्रमाणपत्र और CA प्रमाणपत्र (टोकन पर ग्राहक कुंजी) डालें
• उपयोगकर्ता चर OPENSSL_ENGINES = [उस फ़ोल्डर में पथ जिसमें संग्रह अनपैक किया गया था] उपयोगकर्ता के लिए
• हमने एक कॉन्फिगरेशन डाला

ग्राहक विन्यास:

 verify=2 client=yes CAFile=ca.crt output=stunnel.log sslVersion=TLSv1 taskbar=yes DEBUG=7 engine=pkcs11_gost engineCtrl=MODULE_PATH:rtPKCS11ECP.dll engineCtrl=INIT engineCtrl=PIN:12345678 [RDP-TLS-GOST] engineNum=1 key=100 cert=client.crt accept = 127.0.0.1:8088 connect = xxxx:1494 ciphers = GOST2001-GOST89-GOST89 TIMEOUTclose = 1 

एक महत्वपूर्ण बिंदु । sTunnel को व्यवस्थापक अधिकारों के साथ स्थापना की आवश्यकता नहीं है। आम तौर पर बोलते हुए, इसका उपयोग रुतोकन ईडीएस फ्लैश के साथ संयोजन में किया जा सकता है।
रुतोकन ईडीएस फ्लैश एक सीसीआईडी ​​डिवाइस है जिसमें आधुनिक ओएस पर ड्राइवरों को स्थापित करने की आवश्यकता नहीं होती है। आवश्यक फाइलें फ्लैश-मेमोरी पर रखी जाती हैं और एक छोटी सी लिखी जाती हैं
Windows के लिए एक स्क्रिप्ट जो वांछित वातावरण (OPENSSL_ENGINES =) के साथ sTunnel प्रक्रिया शुरू करती है और वांछित होस्ट पर Windows RDP क्लाइंट चलाती है: port (mstsc /v:127.0.0.1:8088)

द्वैध टीएलएस

आरएसए प्रमाणपत्रों का उपयोग करके सक्रिय निर्देशिका के बारे में उपयोगकर्ता प्रमाणीकरण के मामले में, मैं रूटोकेन ईडीएस पर आरएसए प्रमाणीकरण क्लाइंट कुंजी को संग्रहीत करने के साथ सामान्य टीएलएस का उपयोग करने का सुझाव देता हूं, लेकिन sTunnel के माध्यम से जाना। इस मामले में, आरएसए के माध्यम से टीएलएस को GOST के साथ टीएलएस चैनल के अंदर प्रसारित किया जाएगा।

दो योजनाएं संभव हैं। आरएसए के साथ पहले टीएलएस में, आरडीपी क्लाइंट सीधे आयोजित करता है। एक ही समय में, टोकन पर दो कुंजी संग्रहीत की जाती हैं - GOST ("मित्र या दुश्मन" प्रमाणीकरण, sTunnel सर्वर में लॉग इन करने के लिए)
और RSA (यदि उपयोगकर्ता पहले बाधा को पारित करने में सक्षम था, तो इस कुंजी का उपयोग AD के बारे में प्रमाणीकरण के लिए किया जाता है, उपयोगकर्ता तुरंत RDP सर्वर पर अपने खाते में जाता है)।



“बोर्ड” पर रुतोकन ईडीएस और आरएसए के हार्डवेयर कार्यान्वयन पर संग्रहीत आरएसए कुंजी / प्रमाणपत्र का उपयोग करने के लिए, विंडोज पर रूतोकन ईडीएस का उपयोग किया जाता है। रुटोकन सीएसपी (रूटोकैन वितरण पैकेज में शामिल), लिनक्स पर पीसी / एससी पर rdesktop चलता है।

दूसरी टीएलएस योजना में, RSA और GOST sTunnel द्वारा ही प्रदान किए जाते हैं। मैंने तुरंत चेतावनी दी कि मैंने इस दूसरे सर्किट की कोशिश नहीं की है।



RSA कुंजी और RSA हार्डवेयर कार्यान्वयन "बोर्ड पर" तक पहुँचने के लिए, Rutoken EDS OpenSC परियोजना www.opensc-project.org/engine_pkcs11 से इंजन pkcs11 का उपयोग करता है।

तदनुसार, sTunnel क्लाइंट कॉन्फिगर में दो खंड होंगे:

 [RDP-TLS-GOST] engineNum=1 key=100 cert=client_gost.crt accept = 127.0.0.1:8088 connect = xxxx:1494 ciphers = GOST2001-GOST89-GOST89 TIMEOUTclose = 1 [RDP-TLS-RSA] engineNum=2 key=101 cert=client_rsa.crt accept = 127.0.0.1:8087 connect = 127.0.0.1:8088 TIMEOUTclose = 1 

और RDP क्लाइंट को 127.0.0.1:8087 पर जाने की आवश्यकता है।