ViPNet-Client

ingener

New member
Сообщения
166
#1
установил ViPNet-Сlient на машину. настроил подключение доменного пользователя с машины через ViPNet-Client. пользователь подключается в том числе и первом уровне. можно получить доступ к своим файлам. сервер стоит за координатором и его соединение туннелируется.
но вот сетевые ресурсы на первом уровне не работают (http и imap). команда ss -t показывает попытку соединения с сервером. в нулевом уровне все работает.

кто-нибудь пробовал такой вариант организации связи? поделитесь опытом
 

oko

New member
Сообщения
1 257
#2
to ingener
Модуль экстрасенсорики подсказывает, что iplir из состава ViPNet, представляющий собой драйвер фильтрации-VPN-проч. не знает про ГОСТ. Или этого не знает Координатор (скорее всего оба варианта). Попробуйте ткнуть ИнфоТекс - нехай напрягутся...
 

ingener

New member
Сообщения
166
#3
а можно по-подробней...
я так понимаю, что для Astra Linux координатор прозрачное устройство. если бы с двух сторон стояли координаторы, то связь бы работала на всех уровнях. а вот когда клиентский компьютер предлагает пройти аутентификацию - он в нулевом уровне. связь с сервером доступна по причине нулевого уровня сокета сетевого соединения.
после того, как мы переходим в ненулевой уровень сетевой сокет так и остается в нулевом уровне, а процессы компьютера переходят на высшие уровни. мандатное разграничение доступа не позволяет делать запись из более высокого уровня в более низкий.
скорее всего на сокет сетевого соединения ViPNet нужно установить метку ehole и тогда в него запись пойдет, и пойдет связь в ненулевом уровне
 

oko

New member
Сообщения
1 257
#4
to ingener
Если проблема в работоспособности драйвера, то способ с ehole прокатит. Но откровенно сомневаюсь, потому что, imho, тогда бы iplir в принципе не отрабатывал при перемещении в сессию выше 0...
Насколько помню, драйвер ViPNet как и всякий порядочный VPN инкапсулирует любой исходящий трафик в серию UDP-пакетов, а на приемной стороне Координатор разворачивает их. В процессе такого взаимодействия вполне могут теряться мандатные метки IP-трафика, заложенные Astra Linux в соответствии с ГОСТ (ибо это сетевой, а не транспортный уровень ISO/OSI, в котором UDP/TCP)...
"Врежьте" машину "между" Координатором и туннелируемым сервером на удаленной стороне и продампите трафик Wireshark'ом. Структуры типа 40 AB 02 на 1 мандатном уровне в трафике в поле SEC весьма заметны в случае обычного взаимодействия...
 

ingener

New member
Сообщения
166
#5
развернул openvpn.
доступ с компьютера где стоит клиент к серверу с почтой и web в любом уровне имеется. схема организации связи простая: клиент_openvpn-сервер_openvpn-промежуточный_маршрутизатор-сервер_с_почтой_и_web.
Coordinator туннелирует сервер_с_почтой_и_web сразу.
ViPNet-Client соответствуют два адреса: один виртуальный, второй - адрес tun на компьютере (реальный). так вот, виртуальный адрес со стороны пингуется, а реальный нет.
если сетевому адресу ethernet прописать алиасом виртуальный адрес, то при такой схеме устанавливается соединение между туннелируемым адресом сервера и компьютером.
думаю проблема - в организации связи ViPNet. нужно копать в эту сторону и интерфейс tun тут ни причём
есть еще подозрение, что виртуальный и адрес интерфейса tun транслируются, но iptables ничего не показывает
 
Последнее редактирование:

oko

New member
Сообщения
1 257
#6
to ingener
Откровенно плохо суть проблемы, давайте разбираться...
tun - интерфейс, поднятый openvpn? Потому что ViPNet доп.интерфейсы, отображаемые через ifconfig (например), самостоятельно не поднимает...
Если это так, и вам необходимо "пинговать" tun-интерфейс (его виртуальный ip), то копайте в сторону правил iptables (что вряд ли) и правки конфигураций, как, например, тут...
У вас ViPNet Client и OpenVPN-клиент на одной машине? Не самая лучшая идея...
Лучше запросите у ИнфоТЕКС ответ, поддерживает ли их nix-клиент передачу мандатных меток по сети в соответствии с ГОСТ. Аналогично по Координатору (кстати, какой версии Координатор?)...
И еще нюанс, если вы всю эту схему используете для обработки ГТ (а иначе, кому, в здравом уме, понадобились мандатные метки в Astra Linux?), то у меня для вас откровенно плохие новости...
 

ingener

New member
Сообщения
166
#7
И еще нюанс, если вы всю эту схему используете для обработки ГТ (а иначе, кому, в здравом уме, понадобились мандатные метки в Astra Linux?), то у меня для вас откровенно плохие новости...
не пугайтесь! кроме ГТ есть еще обширный перечень информации ограниченного доступа. но есть еще указ Президента от 2008 года № 351 (в части служебной тайны). а еще есть модель угроз безопасности, в которой есть пункт случайной или преднамеренной утечки информации через Интернет. и потому он должен быть отключен.
как раз мандатное разграничение и позволит использовать компьютер в нулевом уровне без ограничений, а в первом (например, персональные данные) создается изолированный сегмент телекоммуникационной инфраструктуры.
но это все лирика. задачу нужно решать. и проблема сейчас в том, что на первом уровне я вхожу в сеть. файловая система cifs работает без замечаний, и все файлы с метками первого уровня, которые физически расположены на сервере, доступны в полном объеме.
не работает только почтовый сервис и web-сервис!
Русбитех сказал, что это проблема производителя стороннего ПО. а я думаю, что проблема Astra Linux. нужно копаться в конфигурации, но нет времени. потому и обращаюсь к сообществу проффесионалов
 

cogniter

Moderator
Team Astra Linux
Сообщения
538
#8
не пугайтесь! кроме ГТ есть еще обширный перечень информации ограниченного доступа. но есть еще указ Президента от 2008 года № 351 (в части служебной тайны). а еще есть модель угроз безопасности, в которой есть пункт случайной или преднамеренной утечки информации через Интернет. и потому он должен быть отключен.
как раз мандатное разграничение и позволит использовать компьютер в нулевом уровне без ограничений, а в первом (например, персональные данные) создается изолированный сегмент телекоммуникационной инфраструктуры.
но это все лирика. задачу нужно решать. и проблема сейчас в том, что на первом уровне я вхожу в сеть. файловая система cifs работает без замечаний, и все файлы с метками первого уровня, которые физически расположены на сервере, доступны в полном объеме.
не работает только почтовый сервис и web-сервис!
Русбитех сказал, что это проблема производителя стороннего ПО. а я думаю, что проблема Astra Linux. нужно копаться в конфигурации, но нет времени. потому и обращаюсь к сообществу проффесионалов
а какой почтовый и web сервис вы используете?
 

oko

New member
Сообщения
1 257
#9
to ingener
Primo, схему структурки + потоков (рабочих и не рабочих) набросайте и приложите, потому что модуль экстрасенсорики реально перегревается (samba на том же сервере, где mail и web? или samba просто в сети, а проблемные сервисы через туннель? и openvpn все также используется? сервисы почты и web в DMZ и Координатор - "внутренний" МЭ в такой реализации, судя по всему?)...
Secundo, служебной тайны в стране нет, потому что нет ФЗ. Подзаконные акты типа Указов, Постановлений (которое 1233, ага) и проч. де юре - не пришей тому самому то самое...
Tertio, полагаться при создании КСЗИ на общедоступную спец.реализацию сетевого протокола - спорное решение, напоминающее принцип StO. Либо объект уникальный, либо модель угроз к нему, мягко говоря, как подзаконные акты выше...
Last, так-то iptables в составе АРМ-под-Astra выполняет задачу "отключения" АРМ от ИТКС Интернет на логическом уровне не хуже ViPNet Client. Если же вас напрягают отсутствием сертификата по МЭ, то у вас и без того имеется Координатор, которым вполне можно реализовать любую схему на L2 и L3, чего в большинстве своем достаточно с головой. К чему здесь ViPNet Client Linux - для меня загадка...
 

ingener

New member
Сообщения
166
#11
to ingener
Primo, схему структурки + потоков (рабочих и не рабочих) набросайте и приложите, потому что модуль экстрасенсорики реально перегревается (samba на том же сервере, где mail и web? или samba просто в сети, а проблемные сервисы через туннель? и openvpn все также используется? сервисы почты и web в DMZ и Координатор - "внутренний" МЭ в такой реализации, судя по всему?)...
Secundo, служебной тайны в стране нет, потому что нет ФЗ. Подзаконные акты типа Указов, Постановлений (которое 1233, ага) и проч. де юре - не пришей тому самому то самое...
Tertio, полагаться при создании КСЗИ на общедоступную спец.реализацию сетевого протокола - спорное решение, напоминающее принцип StO. Либо объект уникальный, либо модель угроз к нему, мягко говоря, как подзаконные акты выше...
Last, так-то iptables в составе АРМ-под-Astra выполняет задачу "отключения" АРМ от ИТКС Интернет на логическом уровне не хуже ViPNet Client. Если же вас напрягают отсутствием сертификата по МЭ, то у вас и без того имеется Координатор, которым вполне можно реализовать любую схему на L2 и L3, чего в большинстве своем достаточно с головой. К чему здесь ViPNet Client Linux - для меня загадка...
схема очень проста - на одном физическом устройстве запущены:
- контроллер домена ALD
- файловый сервер домашних каталогов доменных пользователей cifs
- samba server для обмена файлами между пользователями
- почтовый сервер dovecot+exim4 (из коробки)
- web-server Apache2 (тоже из коробки)
- DNS-сервер для обеспечения работы
- аутентификация пользователей по kerberos
- пользователи могут работать в нулевом и первом (конфиденциальном) уровне с разными категориями

у физического устройства (сервера) два сетевых интерфейса:
- интерфейс Х - рабочие станции, находящиеся в одной контролируемой зоне
- интерфейс У туннелируется координатором серии HW для рабочих станций в других зонах. эти рабочие станции подключаются к ресурсу через ViPNet-Client 4 Linux
проблема в том, что в нулевом уровне все работает как надо.
а в первом уровне пользователь проходит аутентификацию, подключается. но почтовый и web-сервис недоступны. видимо не распознаются имена служб. файлы пользователя доступны и никаких ограничений нет
 

oko

New member
Сообщения
1 257
#12
to ingener
Перечитал нашу с вами переписку, покурил схему. Если это не специфический баг в ViPNet Client и Coordinator (SMB-трафик с уровнем >0 пропускает, а иной трафик отбрасывает), то есть ряд наивных уточняющих вопросов:
  • доступ к мылу и веб с машин, находящихся в одной КЗ с сервером (читай, где нет ViPnet Client) в >0 уровне отрабатывает корректно? Apache, exim и dovecot настроены на работу с мандатными метками?
  • до apache, exim и dovecot соединение в >0 уровне вообще не доходит с машин, оснащенных ViPNet Client? Т.е. в логах пусто и никаких ошибок, а tcpdump на стороне сервера не фиксирует соединений с клиентом (кроме обмена kerberos-билетами)?
  • журналы ViPNet Client Linux и ViPNet Coordinator тоже не фиксируют каких-либо блокированных соединений между сервером и клиентом?
  • такая проблема наблюдается при маршрутизацию на основе "реальных IP" или "виртуальных IP"?
  • ViPNet Coordinator аппаратный или программный, установленный на такую же Astra Linux (или иную ОС)?
 

ingener

New member
Сообщения
166
#13
доступ к мылу и веб с машин, находящихся в одной КЗ с сервером (читай, где нет ViPnet Client) в >0 уровне отрабатывает корректно? Apache, exim и dovecot настроены на работу с мандатными метками?
все работает корректно с уровнем >0 в доменном режиме ALD
такая проблема наблюдается при маршрутизацию на основе "реальных IP" или "виртуальных IP"?
с виртуальными адресами у ViPNet-Client проблема с маршрутизацией, поэтому настроил на координаторе видимость клиента по реальному адресу ViPNet-Client tun0
ViPNet Coordinator аппаратный или программный, установленный на такую же Astra Linux (или иную ОС)?
координатор аппаратный HW1000
на клиентской машине ViPNet-Client 4 for Linux
до apache, exim и dovecot соединение в >0 уровне вообще не доходит с машин, оснащенных ViPNet Client? Т.е. в логах пусто и никаких ошибок, а tcpdump на стороне сервера не фиксирует соединений с клиентом (кроме обмена kerberos-билетами)?
с некоторых пор, на клиентской машине перестали запускаться браузер и почтовый клиент на уровне >0. если сообщество не поможет, придется обращаться в техподдержку.
просмотр логов на клиенте каких-либо ошибок не выдает, или они мне ничего не говорят
логи на координаторе показывает обмен билетами (порты 88 и 389)
в нулевом уровне координатор ещё показывает трафик по портам 80 143 и 25
 

oko

New member
Сообщения
1 257
#14
to ingener
С одной стороны, раз на 0 уровне все ОК, то kerberos отрабатывает и, что важнее, маршрутизация+туннелирование (да, про "виртуальные IP" проблемы в курсе, поэтому и спрашивал) тоже...
С другой стороны, похоже, что до координатора на >0 уровне не доходят пакеты http, imap, smtp. Следовательно, косячит ViPNet Client. Вестимо, tun-интерфейс все-таки не умеет разбирать ГОСТ-инкапсуляцию. Но, черт побери, если SMB-трафик >0 через него все-таки проходит, то теряюсь в догадках...
Кстати, маршрутизация от внешних клиентов к ViPNet Coordinator и внутренней сети для любых соединений в "открытом" виде исключена? Читай, SMB-трафик на уровне >0 точно туннелируется? Wireshark'ом бы проверить по-середине...
 

ingener

New member
Сообщения
166
#15
возвращаюсь к ведению журнала...
1. координатор не видит ни одного пакета в мандатном уровне с портами 80, 143 (web, mail)
2. ViPNet-Client сначала показывал что "зашифрованные пакеты разрешены", потом показывать эти записи перестал.

предполагаю, что проблема заключается в межсетевом экранировании ViPNet-Client, который основан на межсетевом экране UFW. но там такое хитросплетение правил - сходу не разобраться
очистка правил таблицы filter приводит к неработоспособности туннеля и полному отсутствию связи
в тех местах, где есть действие DROP, добавил действие ACCEPT для пакетов с 80 протоколом назначения - но результата это действие не дало.
буду продолжать
 

ingener

New member
Сообщения
166
#16
межсетевой экран оказался ни причем. удалил его полностью. результат тот же - в мандатном уровне почта и веб не работают. при этом vipnet не регистрирует попыток установления связи. а команда ss -t показывает попытку установления соединения

отличие vipnetclient от openvpn - процесс с разными правами.
openvpn - запущен с правами nobody, vipnetclient - с правами root.
 

oko

New member
Сообщения
1 257
#17
to ingener
Насколько помню, межсетевой экран в ViPNet Client Linux свой собственный - iplir. И связь с UFW только номинальная - модификация правил, чтобы они не блокировали трафик, поступающий на tun-интерфейс. Ради эксперимента советую вообще удалить UFW и отключить его сервис...
Права запуска тоже не важны: root-права только упрощают функционирование iplir...
Вы не запросили техподдержку ИнфоТекса по поводу данной проблемы? Есть все-таки вероятность, что iplir некорректно обрабатывает вкрапления мандатных меток в сетевой трафик - отсюда все проблемы...
 

ingener

New member
Сообщения
166
#18
to ingener
Насколько помню, межсетевой экран в ViPNet Client Linux свой собственный - iplir. И связь с UFW только номинальная - модификация правил, чтобы они не блокировали трафик, поступающий на tun-интерфейс. Ради эксперимента советую вообще удалить UFW и отключить его сервис...
Права запуска тоже не важны: root-права только упрощают функционирование iplir...
Вы не запросили техподдержку ИнфоТекса по поводу данной проблемы? Есть все-таки вероятность, что iplir некорректно обрабатывает вкрапления мандатных меток в сетевой трафик - отсюда все проблемы...
1. межсетевой экран UFW удалил полностью. он оказался ни причем.
2. с техподдержкой Инфотекса проблемы - сертификат принципиально не покупаем (по опыту - техподдержка практически никогда не помогает)
3. что касается мандатных меток - файловая система cifs работает и все документы на ней доступны в мандатном уровне!

проанализировал на координаторе пакеты, которые идут с публичным адресом источника, где стоит ViPNet-Client. есть блокированные шифрованные UDP-пакеты с типом события "2-Неверное значение имито" по времени соответствующие времени проведения эксперимента
 
Последнее редактирование:

oko

New member
Сообщения
1 257
#19
to ingener
Тогда обращайтесь к тем, кто генерит вам ключи - читай, в ваш Орган Криптографической Защиты. Если вы это делали самостоятельно, то крайне не рекомендую отказываться от техподдержки ИнфоТекса. Во избежание, ага (потому как сети у них взаимосвязаны)...
Судя по ошибке, модуль экстрасенсорики подсказывает два варианта:
  • либо у вас разнятся версии Координатора и Клиента (например, Client 4.x пытается подключиться к Coordinator 3.x);
  • либо имеет место крайне специфичный баг, при котором одни протоколы некорректно обрабатываются средствами iplir, а другие нет.
 

ingener

New member
Сообщения
166
#20
Координатор 4.х
Client - загружен с сайта Инфотекса. лицензия временная, для тестирования

пробую подключить техподдержку через регионального менеджера.

не могу понять суть проблемы. в нулевом уровне все работает.