s-terravipnetзаставаконтиненткрипто-про

ЦУС и отечественные ОС: квест там, где его не ждали

windows or linux

Недавно столкнулся с, казалось бы, типовым кейсом: развернуть новую ViPNet сеть для заказчика. Но на деле оказалось, что с центром управления сетью (ЦУС) всё очень непросто. У заказчика было требование сделать ViPNet Administrator по фен-шую: на базе аппаратного сервера с аппаратно-программным модулем доверенной загрузки и другими СЗИ, никаких виртуалок. Я ожидал, что будут проблемы с покупкой Соболя/Аккорда, но это только полбеды. В реальности самой жестью был квест с покупкой Windows Server 2016, ведь ЦУС и отечественные ОС пока несовместимы =(

В чем заключается проблема:

  1. Производители серверов не продают Windows в комплекте с сервером как раньше,
  2. Версию 2016 купить невозможно, только современная версия + даунгрейд (наверное, так уже давно, просто я не сталкивался),
  3. Ценник 2000$.

Справедливости ради нужно отметить, что технически в ViPNet Administrator версии 4.6.10 поддерживается Windows Server 2019, но на момент реализации проекта эта версия не была сертифицирована. Задачу в итоге решили, но желания повторять тернистый путь нет от слова «совсем». Чтобы не наступить на похожие грабли, решил посмотреть на тематику систем управления и ОС шлюзов немного шире.

По сути, у VPN есть три компонента:

  • Криптошлюз,
  • Система управления шлюзами (её обычно называют ЦУС),
  • Система управления ключами (может быть совмещена с системой управления).

Вендоры по-разному реализуют управление и работу с ключами, рассмотрим это подробнее.

ИнфоТеКС

Система управления ViPNet Administrator включает в себя следующие компоненты:

  • ViPNet NCC (Центр управления сетью, ЦУС) — приложение для конфигурирования и управления сетью ViPNet.
  • ViPNet KCA (Удостоверяющий и ключевой центр, УКЦ) — приложение, которое выполняет функции центра формирования ключей шифрования.
  • Функции Удостоверяющего центра — издание сертификатов для аутентификации, электронной подписи, шифрования и других криптографических операций.

Все перечисленные приложения совместимы исключительно с Windows. В планах новый продукт — ViPNet Prime, который будет устанавливаться на Astra Linux и Ubuntu. Напомню свою позицию: идея прям крутая, но пока продукт новый, лучше взять паузу, например, ставить в прод его третий релиз (привет всем новым NGFW).

Код Безопасности

Казалось бы, в этом вопросе Коду Безопасности повезло – ЦУС поставляется как законченный программно-аппаратный комплекс. Нет никаких проблем ни с ключами, ни с управлением. Но есть один нюанс – для подключения к ЦУС на рабочей станции администратора потребуется Программа Управления ЦУС (ПУ ЦУС), которая на данный момент есть только под Windows. Конечно, Windows для рабочих мест еще доступен, но фразы «Outlook с нами еще полгода» наводят на мысли, что скоро все госкомпании будут работать на отечественных линуксах. ПУ ЦУС под Astra Linux обещают выпустить в версии 3.9.4 в 2024 году.

Забегая вперед, нужно сказать, что в Континент 4.2 планируется переход на IPsec, и тогда вопрос с PKI инфраструктурой встанет в полный рост, подробнее в следующем разделе.

С-Терра

У вендора С-Терра ситуация интереснее: управление и работа с ключами условно независимы друг от друга:

  • Для управления используется С-Терра КП (Командный Пункт, если кто-то не знал), который работает на актуальных версиях ОС Windows Server.
  • Для работы с ключами традиционно рекомендуется поднять роль Microsoft Certification Authority (MS CA) на сервере c КриптоПро CSP, я писал об этом заметку почти семь лет назад.

С-Терра КП под Astra Linux в планах разработки вендора в версии 5.0, т.е. в 2024 году. Собственного удостоверяющего центра (УЦ) у вендора пока нет, но работы в этом направлении ведутся. Сейчас нужно либо пользоваться услугами стороннего УЦ (актуально для мини инсталляций), либо приобретать коммерческие продукты для Linux, либо рассмотреть open source (openSSL + gostengine). Коммерческих продуктов, аналогичных КриптоПро УЦ и ViPNet CA, но под Linux, я пока не видел (если знаете – пишите в комментариях). На слуху Aladdin Enterprise CA, но в нем поддержка ГОСТ пока не реализована.

Элвис Плюс

Архитектурно линейка продуктов Элвис Плюс (бренд Застава) похожа на С-Терра. С УЦ все абсолютно аналогично, а вот Застава Управление устанавливается на Astra Linux и ALT Linux.

КриптоПро

У КриптоПро система управления является отдельной сущностью, покупка ОС не требуется. Защита доступа между системой и рабочим местом администратора реализуется через ГОСТ TLS, поэтому не требуется «толстого» клиента как в Континенте. Достаточно «правильного» браузера и криптопровайдера с поддержкой ГОСТ, которые давно есть под отечественные ОС.

Для сценариев site-to-site можно легально использовать preshared keys, которые формируются в системе управления по определенной логике. И менять их нужно раз в год.

Для TLS, конечно, требуется УЦ, снова отсылка в Заставу и С-Терру.

Сравним вендоров

Вендор и версия продуктаТип ЦУС и ОСОС АРМ АдминистратораКлючевая системаОС криптошлюза
Инфотекс 4ПО/WindowsЛюбаяСобственная системаDebian
Инфотекс 5ПО/Astra Linux и UbuntuЛюбаяСобственная системаDebian
Код Безопасности 3.9ПАК/FreeBSDWindows
(Astra Linux в планах)
Собственная система
(PKI в сервере доступа)
FreeBSD
Код Безопасности 4.2ПАК/CentOSWindows
(Astra Linux в планах)
Отдельный PKI + собственная системаCentOS
С-Терра 4.3ПО/WindowsЛюбаяОтдельный PKIDebian
С-Терра 5.0ПО/Windows и Astra LinuxЛюбаяОтдельный PKI + собственная системаDebian
Элвис ПлюсПО/Windows и ALT LinuxЛюбаяОтдельный PKIDebian
КриптоПроПАК/DebianЛюбаяОтдельный PKI + собственная системаDebian

И пару слов про шлюзы

Как было бы хорошо, если бы у всех криптошлюзов была одна и та же кошерная ОС, но реальность иная.

Не секрет, что в топе российских ОС находятся Astra Linux, ALT Linux, РедОС. Конечно, каждый вендор криптошлюзов по-своему оптимизирует операционку. Но вариант с унификацией ядра или даже ОС выглядит весьма интересно.

  1. Безопасность. Более оперативная работа с уязвимостями из-за эффекта масштаба, публичные анонсы патчей. Меньше шансов попасть на «дырявую» ОС, хотя я надеюсь, что вендора криптошлюзов и так накатывают патчи ОС регулярно.
  2. Упрощение сертификации. Проверять ОС не потребуется, она «одобрена» заранее. Уменьшается time-to-market для новой версии ПО, заказчик быстрее получает новые фичи.
  3. Доверенный репозиторий. Популярные дополнительные пакеты (например, FRR для реализации динамической маршрутизации) попадают в репозиторий после проверки и могут использоваться вендорами для расширения возможностей криптошлюзов. Сертификация этого функционала тоже происходит по упрощенной процедуре аналогично предыдущему пункту.

Заняться всем этим могла бы организация, близкая к регулятору: Технологический центр исследования безопасности ядра Linux (ФСТЭК России) или АНО «Национальный технологический центр цифровой криптографии» (ФСБ России). Естественно, с привлечением экспертов вендоров.

Подведем итоги

В качестве ОС криптошлюзов используются различные модификации Linux. Единого подхода пока нет, но направление выглядит интересным.

В сфере PKI может появиться новая ниша – замена MS CA с КриптоПро. Вендоры криптошлюзов могут как проигнорировать её (объем маловат), так и внезапно сделать мини-УЦ с прицелом не только на свою линейку, но и на весь рынок.

Приобретение Windows Server российским заказчиком — это тот еще квест, легальная закупка практически невозможна. При этом у большинства отечественных вендоров ГОСТ VPN нет полноценного комплекта управления под полное импортозамещение. ЦУС и отечественные ОС пока далеки друг от друга: совместимость и интеграция весьма ограничены.

С одной стороны, в ближайшее время системы управления портируют под отечественные Linux (насколько стабильно будут работать первые релизы, оставим за кадром). С другой – скоро для заказчиков наступит критическая точка, когда покупка/использование Windows станет невозможным. Что наступит раньше – большой вопрос. Советую вендорам включить первую космическую скорость для переноса всей инфраструктуры управления на отечественные ОС.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *