1. Размещение устройств.
1.1. В центральном офисе размещаются С-Терра КП, С-Терра Шлюз, Web сервер, DNS сервер и коммутатор.
1.2. В любом месте за пределами центрального офиса размещаются С-Терра Юнит и компьютер пользователя.
2. Подключение к сети Интернет.
В данном сценарии для эмуляции сети Интернет используются недоверенная подсеть (см. схему взаимодействия), а также промежуточное оборудование, расположенное в сером облаке, которое на схеме не отражено.
2.1. С-Терра Шлюз подключается к сети Интернет с помощью сетевого кабеля. Статический IP-адрес на интерфейсе GigabitEthernet0/0 – 10.0.238.206/16, шлюз по умолчанию 10.0.0.1.
2.2. С-Терра Юнит подключается к сети Интернет с помощью проводного и беспроводного соединений (Wi-Fi). Сетевые настройки на внешних интерфейсах назначаются при помощи DHCP.
Также возможно подключение при помощи USB-модема (поддерживаемые модемы: Huawei 3372h-153/ZTE MF833T в режиме CDC Ethernet).
2.3. С-Терра Юнит осуществляет трансляцию сетевых адресов (source NAT) в IP-адрес внешних сетевых интерфейсов (физический интерфейс, wi-fi интерфейс, USB-модем) для трафика непредназначенного к шифрованию.
В данном сценарии предполагается, что в центральном офисе заранее неизвестно о том, какой внешний IP-адрес будет назначен С-Терра Юнит, так как удаленный VPN-клиент может находиться в любой части сети Интернет.
3. Параметры безопасного взаимодействия.
IP-трафик между защищаемой подсетью центрального офиса (192.168.100.0/24) и компьютером пользователя защищается с использованием алгоритмов ГОСТ и протокола IPsec в туннельном режиме.
На сетевой интерфейс компьютера пользователя, подключенного сетевым кабелем к LAN порту (помечен белым цветом) С-Терра Юнит, будет выдан IP-адрес из подсети 192.168.4.0/24 (подключение компьютера пользователя к С-Терра Юнит также возможно по Wi-Fi (точка доступа), но в данном документе этот сценарий не описывается).
На специальный виртуальный сетевой интерфейс С-Терра Юнит будет назначен произвольный IP-адрес (также возможно назначить фиксированный, но в данном документе этот сценарий не описывается) из пула 192.168.255.0/24 (данный пул задается на С-Терра Шлюз) посредством IKECFG. Все взаимодействия между компьютером пользователя и защищаемой подсетью центрального офиса будут осуществляться от этого IP-адреса, а не от IP-адреса, который был выдан устройством С-Терра Юнит по DHCP на сетевой интерфейс компьютера пользователя. Данная настройка используется для того, чтобы избежать совпадения IP-адресов у удаленных клиентов в случае отсутствия возможности осуществлять контроль над адресным пространством компьютеров удаленных клиентов.
Инициировать защищенное соединение в рамках данного сценария возможно только со стороны С-Терра Юнит или компьютера пользователя.
3.1. Параметры протокола IKE:
· Аутентификация при помощи цифровых сертификатов, алгоритм подписи – ГОСТ Р 34.10-2012 (ключ 256 бит);
· Алгоритм шифрования – ГОСТ 28147-89 (ключ 256 бит);
· Алгоритм вычисления хеш-функции – ГОСТ Р 34.11-2012 ТК26 (ключ 256 бит);
· Алгоритм выработки общего ключа (аналог алгоритма Диффи-Хеллмана) – VKO_GOSTR3410_2012_256 (ключ 256 бит).
3.2. Параметры протокола ESP:
· Комбинированный алгоритм шифрования и имитозащиты (контроль целостности) – ESP_GOST-4M-IMIT (ключ 256 бит).