Построение VPN туннеля между шлюзом S-Terra Gate 4.1 и рабочим местом администратора для удаленной настройки шлюза

Если планируется проводить настройки и управлять локальной политикой безопасности шлюза удаленно по протоколу SSH1 или SSH2 при помощи команд консоли, после инициализации S-Terra Gate рекомендуется загрузить начальную конфигурацию, которая позволит в дальнейшем создать защищенный канал для настройки политики безопасности по протоколу SSH.

Загрузка начальной конфигурации на шлюз безопасности должна осуществляться с локального терминала с использованием команд консоли.

Для создания защищенного канала также необходимо на компьютер, с которого будет осуществляться удаленная настройка шлюза, установить продукт S-Terra Client версии 4.1 с согласованной начальной конфигурацией для создания IPsec SA между этим компьютером и шлюзом.

Ниже приведен сценарий настройки начальной конфигурации на шлюзе и удаленном компьютере. Сценарий иллюстрирует построение защищенного соединения между шлюзом безопасности S-Terra Gate (GW1) и компьютером администратора (AdminHost). Адрес компьютера администратора считается заранее неизвестным и может находиться за динамическим NAT-ом. В ходе построения защищенного соединения устройство AdminHost получает адрес из заранее определенного на шлюзе пула. В рамках данного сценария для аутентификации партнеры будут использовать сертификаты. В качестве криптопровайдера будет использован «КриптоПро CSP» версии 3.6R4.

Схема стенда показана на рисунке ниже.

Рисунок 3

 

Параметры защищенного соединения:

·       Аутентификация на сертификатах – GOST R 34.10-2001 Signature;

·       IKE параметры:

·       Алгоритм шифрования – GOST 28147-89 Encryption;

·       Алгоритм вычисления хеш-функции – GOST R 34.11-94 Hash;

·       Группа Диффи-Хеллмана – VKO GOST R 34.10-2001;

·       IPsec параметры:

·       ESP алгоритм шифрования – ESP_GOST-4M-IMIT cipher.