Удалёнка: опыт и лайфхаки
Реклама
Комментарии 19
+4
Отличная статья. Даже не смотря на то, что вы работаете в компании, которая делает USB токены.
0
>> Tunnel из «коробки» не умеет работать с ГОСТами, поэтому я его пропатчил и пересобрал. Патч размером примерно в 2 строчки.

Как под виндой не знаю, а под *nix надо сказать скрипту configure ключ --disable-rsa. Что примечательно, алгоритмы RSA от этого не пропадут, напротив, отсутствие этой опции отрубает все, кроме RSA. Вероятно, патч прибивает это гвоздями? Может под винду тоже есть штатный способ?

Самому как-то надо было ГОСТовый stunnel для http, собирал. Удобно :) Действительно радует то, что под nix-ы патч не нужен. Правда, я юзал сертифицированную крипту на основе того же openssl, но сути это не меняет.
0
Дело в том, что sTunnel сначала инициализирует OpenSSL, а потом подгружает engine, которая релизует ГОСТы, поэтому ГОСТы не попадают в список шифрсьютов.

Поэтому так не работало. Когда я поменял последовательность вызовов (сначал подгружаем engine, потом инициализируем OpenSSL) все заработало.

Какую версию sTunnel вы собирали?
0
Я собирал с OpenSSL 1.0.

А откуда вы в OpenSSL 0.9.8e получили ГОСТы?

Предполагаю, что вы использовали патченный OpenSSL 0.9.8e, в котором механизм подгрузки engine работает по другому. Вы случайно не МагПро КриптоПакет использовали?
0
>> Вы случайно не МагПро КриптоПакет использовали?
Ага, именно его.

Мне казалось, что я с OpenSSL 1.0.0 пробовал тоже, сам собирал из исходников. Хотя могу ошибаться.
0
Понравилось: «В случае TLS-аутентификации пользователей об Active Directory»
0
Речь идет о том, что по результатам TLS-аутентификации на конкретном сервисе (например, RDP) у AD запрашивается учетная информация пользователя.
0
Например, в случае доступа через ISA (TMG), которая работает в режиме «делегирование аутентификации»
пользователь аутентифицируется в рамках TLS по сертификату на ISA. А она уже, конвертирует эту аутентификацию в билет kerberos об AD.
0
1. Как криптопровайдер будет работать на Linux, Mac, Android? (openssl и stunnel работают на всех этих платформах)

2. Все ли провайдеры поддерживают аппаратную аутентификацию с неизвлекаемыми ключами?

3. Не все версии RDP-клиента под виндой умеют TLS.

4. Удобнее. Как я уже писал, можно сделать конструкцию, которая не требует установки с правами сисадмина (для современных систем). Можно войти на RDP из интернет-кафе.

А так ничего не машает:)
0
1. Я думаю, что связка когда с одной стороны сервер с криптопровайдером, а с другой стороны OpenSSL с ГОСТ вполне будет работать. Хотя сам не пробовал.
2. КриптоПро ?
3. Что мешает обновить? + в вашей схеме TLS+RSA over TLS+GOST
4. Спорный момент. Как быть если нужно конектится к нескольким серверам? Несколько sTunnel'ей?

0
Вы просто о разном говорите.
Моё имхо: статья о том, как получить быстрое, дешевое, защищенное и вполне себе удобное решение для админа/программера/фрилансера с берега Красного моря :)

Ничего не мешает на этой базе сделать промышленное решение, либо выбрать для промышленного решения другую базу по своим потребностям.

Годная, зачётная статья.
0
Никто не спорит, что это годная, зачетная статья. У меня был вопрос, а не критика :)

А что касается «себе удобное решение для админа/программера/фрилансера с берега Красного моря» — в таких случаях и TLS + RSA подойдет. ГОСТ, имхо, нужен только если предъявляются специфические требования.
0
1. На сервере — да. Я про кроссплатформенный клиент.
4. Несколько секций в конфиге sTunnel. При доступе на 127.0.0.1:8088 будет проброс на сервер А, при доступе на 127.0.0.1:8089 будет проброс на сервер В.
0
Использую сейчас с отечественным криптопровайдером полностью ГОСТовые, не обернутые RSA ключи на виндовом сервере с AD, Winlogon, и подключаюсь через TSG по RDP, то есть практически все решения готовые и без настраивания sTunnel. Почему бы и нет.
-1
заранее извините за занудство, но слово Suite по-английски произносится «свит», а не «сьют» (suit). Эта новоязовская ошибка уже далеко проникла, но все еще есть шанс ее исправить. Либо целиком перевести на русский термин Cipher suite, либо произносить его правильно.
Только полноправные пользователи могут оставлять комментарии.  , пожалуйста.