Часто задаваемые вопросы

CSP VPN Server v.2.2 функционирует на ОС Windows XP Professional SP1 English Edition, Windows XP Professional SP1 Russian Edition, Windows XP Professional SP2 English Edition, Windows XP Professional SP2 Russian Edition.

CSP VPN Gate v.2.2 функционируют на ОС Sun Solaris 8.0, Sun Solaris 9.0, ОС на основе ядра Linux версии 2.4.26 и программого пакета busybox, ОС Red Hat Linux 9.

Модуль NME-RVPN функционирует под управлением ОС на основе ядра Linux версии 2.4.26 и программого пакета busybox или ОС Red Hat Linux 9.

CSP VPN Client v.2.1 функционирует на ОС Windows 2000 Professional SP4, Windows XP Professional SP2, Windows XP Home Edition SP2.

CSP VPN Server v.2.1 функционирует на ОС Windows XP Professional SP1 English Edition, Windows XP Professional SP1 Russian Edition, Windows XP Professional SP2 English Edition, Windows XP Professional SP2 Russian Edition.

CSP VPN Gate v.2.1 функционируют на ОС Sun Solaris 8.0, ОС на основе ядра Linux версии 2.4.26 и программого пакета busybox.

CSP VPN Client v.2.0 функционирует на ОС Windows 2000 Professional SP4, Windows XP Professional SP1, Windows XP Home Edition SP1.

CSP VPN Server v.2.0 функционирует на ОС Windows 2000 Server SP4, Windows 2000 Advanced Server SP4.

CSP VPN Gate 100B/100 v.2.0 функционируют на ОС Linux.

CSP VPN Gate 1000/3000/7000 v.2.0 функционируют на ОС Solaris 8 x86.

2. Какие протоколы используются для туннелирования?

CSP VPN агенты работают со стеком протоколов TCP/IP. Для защиты трафика реализованы стандарты протоколов IKE/IPsec в соответствии с RFC 2401-2412.

3. Какие используются алгоритмы шифрования, хэширования и электронно-цифровой подписи?

В продуктах CSP VPN могут использоваться алгоритмы шифрования ГОСТ 28147-89, DES, 3DES, IDEA, AES; алгоритмы хэширования ГОСТ Р 34.11-94, MD5, SHA1; алгоритмы электронно-цифровой подписи ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001, DSA, RSA.

4. Можно ли одновременно использовать ГОСТ и западные алгоритмы на одном устройстве для создания разных туннелей?

Можно.

5. Какие есть сертификаты на продукты CSP VPN?

Сертификат ФСТЭК №1446 на программный комплекс «CSP VPN Gate. Версия 2.2» действителен до 08.08.2010г.

Сертификат ФСТЭК №1443 на программный комплекс «CSP RVPN» действителен до 06.08.2010г.

Сертификат ФСТЭК №1444 на программное средство «CSP VPN Server. Версия 2.2» действителен до 06.08.2010г.

Сертификат ФСТЭК №1447 на программное средство «CSP VPN Client. Версия 2.2» действителен до 08.08.2010г.

Сертификат ФСТЭК №1205 (действителен до 07.06.2009г.) и сертификат ФСТЭК №1362 (действителен до 04.04.2010г.) на программный комплекс «CSP VPN Gate. Версия 2.1».

Сертификат ФСТЭК №1206 на программное средство «CSP VPN Client. Версия 2.1» действителен до 07.06.2009г.

Сертификат ФСТЭК № 941/1 на программный комплекс «CSP VPN Gate. Версия 2.0» действителен до 01.03.2008г.

Сертификат ФСТЭК№ 941/2 на программное средство «CSP VPN Client. Версия 2.0» действителен до 01.03.2008г.

6. Какие сертифицированные СКЗИ можно использовать в продуктах CSP VPN? Чем ограничено расширение их состава?

В продуктах CSP VPN используются сертифицированные криптобиблиотеки СКЗИ КриптоПро CSP 2.0, 3.0 (производитель – компания КриптоПро) или криптобиблиотеки СКЗИ Крипто-Ком 3.1 (производитель – компания Сигнал КОМ). Для подключения новых криптобиблиотек необходимо написание криптоплагинов в соответствии с описанием открытого интерфейса для подключения внешних криптографических модулей (RFC2628).

7. Чем отличаются модели CSP VPN Gate?

Модели CSP VPN Gate отличаются возможностями по защите сетевого периметра. Основные параметры: количество допустимых туннелей и производительность (выходной канал).

Младшая модель Gate 100B специализирована для защиты банкоматов (не имеет движущихся частей), максимальное количество туннелей – 5, закрывает шифрованный канал до 2 Mbps.

Остальные модели Gate 100/1000/3000/7000: защита малых (до 10 компьютеров)/малых (до 50 компьютеров)/средних (до 250 компьютеров)/ крупных (свыше 250 компьютеров) офисов; максимальное количество туннелей 10/50/1000/не ограничено; закрывает шифрованный канал до 10/50/80/120 Mbps.

8. Какие гарантии предоставляются на продукты CSP VPN?

Программные продукты поставляются “as is”. При обнаружении в течение года брака в носителях информации дистрибутивов (CD диски) они заменяются по заявке пользователя. Гарантии на аппаратные платформы транслируются от поставщиков платформ.

9. С какими PKI (удостоверяющими центрами) совместимы продукты CSP VPN?

Продукты CSP VPN совместимы со следующими PKI: Microsoft Certificate Authority с криптопровайдером CryptoPro v.2.0, v.3.0; Notary-Pro/Admin-PKI компании Сигнал-Ком, Валидата CCERT, RSA Keon v.6.5.1.

10. Можно ли на один компьютер установить CSP VPN Client и Cisco VPN Client?

Нет. Они используют один и тот же стек.

11. Есть ли функциональные ограничения в демо-версиях продуктов?

Демо-версии есть только с криптобиблиотеками от Сигнал-Ком. В демо-версиях отсутствует сертифицированный генератор случайных чисел.

12. Можно ли задать разную политику на разных сетевых интерфейсах?

Для CSP VPN Server и Gate можно, для Client – нельзя (для него одна политика для всех интерфейсов).

13. Какое максимальное количество сетевых интерфейсов поддерживается продуктами CSP VPN?

Специального ограничения нет. В номенклатуре поставляемых программно-аппаратных комплексов максимально предлагается 5 интерфейсов.

14. Есть ли функциональность межсетевого экрана на CSP VPN Gate и персонального Firewall на CSP VPN Client?

Есть только возможность пакетной фильтрации. По согласованию с Cisco Systems в продуктах CSP VPN отсутствует функциональность stateful firewall.

15. Есть ли функциональность NAT/NAPT на CSP VPN Gate?

В текущих версиях нет.

16. Надо ли и (если да) какими средствами настраивать таблицу маршрутизации на CSP VPN Gate?

Таблицу маршрутизации на программно-аппаратных комплексах CSP VPN Gate необходимо настраивать средствами ОС (Linux/Solaris).

17. Как управлять политикой CSP VPN Client’а?

После инсталляции на компьютер пользователя политику CSP VPN Client’а изменить нельзя. Задается политика администратором во время формирования установочного пакета. Как правило, политика на клиенте задает шифрацию всего трафика, идущего на корпоративный шлюз. Дальнейшее управление доступом пользователя осуществляется с помощью политики на корпоративном шлюзе.

18. Какие есть ограничения по управлению политикой CSP VPN Gate с помошью CiscoWorks, Web-based GUI, Cisco command line, native LSP?

Управление с помощью CiscoWorks Router Management Center ограничено топологиями VPN сети типа «звезда». В случае более сложных топологий, например «full mesh», необходимо пользоваться либо Web-based GUI, либо Cisco command line. Эти два типа управления практически идентичны по функциональности. Наиболее полно управление CSP VPN Gate реализуется с помощью формирования Local Secure Policy (LSP) и утилитами. С их помощью можно реализовывать создание политик для достаточно сложных топологий. Так, например, создать политику с несимметричным вложенным IPsec можно только последним способом.

19. Какие есть ограничения при использовании командной строки Cisco и планируется ли расширять список доступных в продуктах CSP VPN команд?

В продукте CSP VPN Gate реализован ограниченный набор команд Cisco IOS 12.2(13)T. Этот набор команд непрерывно расширяется, причем, приоритет отдается предпочтениям пользователей, опробовавших продукты в своих решениях.

20. Можно ли использовать в качестве носителя ключевой информации токены? Какие есть ограничения?

Можно. Оттестировано использование следующих USB токенов: eToken R2 и eToken Pro компании Aladdin.

21. Как перенести ключевую информацию с контейнера CryptoPro, подготовленного с помощью MS CA, на CSP VPN Gate?

Есть несколько путей. Можно создать контейнер на дискете, затем скопировать его с помощью утилиты csptest в контейнер на жестком диске. Более подробно можно посмотреть в Implementation Guide.

22. Работая через консоль, подключенную к COM порту, с CSP VPN Gate, попытались загрузить файл, используя ftp клиент. Консоль отключилась. В чем причина?

Из-за ошибки в ОС Solaris 8 при запуске ftp-клиента скорость работы с COM-портом устанавливается в 1200 bps. Обойти эту ошибку можно, предварительно зайдя на локальный адрес (127.0.0.0), используя telnet или ssh, и уже в их сессии запустить ftp-клиента.

23. Не смогли импортировать сертификаты, содержащие символы кириллицы в полях, в CSP VPN Gate. В чем проблема?

Версии CSP VPN агентов по 2.0 включительно не поддерживают кириллицу в полях сертификатов. Необходимо использовать латинские символы. Поддержка кириллицы начинается с версии 2.1.

24. Мы взяли на тестирование CSP VPN Client и CSP VPN Server и не можем построить туннель между ними. В чем причина?

Как правило, проблема в том, что при создании политики клиента с помощью CSP VPN Client AdminTool по умолчанию задается работа через IKE-CFG pool, поддержка которого есть только в продуктах CSP VPN Gate. Чтобы обойти проблему, необходимо в созданной с помощью CSP VPN Client AdminTool клиентской LSP сделать следующее изменение. В структуре IKERule значение параметра IKECFGRequestAddress заменить на FALSE. Для этого в закладке LSP надо выбрать чекбокс Use custom LSP.

25. Не удалось построить защищенное соединение между CSP VPN агентами, между
которыми включена NAT. В чем может быть причина?

Скорее всего, проблема в том, что производится попытка построить IPSec(AH+ESP) или IPSec(AH) туннель. Т.е. в используемых наборах преобразований (transform sets) установлен алгоритм проверки целостности AH (AH_GOST_HMAC или AH_SHA_HMAC).

Использование протокола AH допускается только при построении защищенных соединений между узлами сети без трансляции адресов (NAT). При трансляции адресов используйте только алгоритм шифрования, например, ESP_GOST. Если аутентификация сторон осуществляется при помощи Preshared Key, то в качестве идентификатора используйте KeyID, а не IP-address.

26. Можно ли на один компьютер установить CSP VPN Client и Cisco Security Agent?

Можно. При установке CSP VPN Client после CSA возникают запросы последнего на разрешение установки Client. При проверке совместимости использовалась Desktop политика по умолчанию CSA. Если первым на компьютер установлен CSP VPN Client, то следует убедиться, что его политика не блокирует доступ к серверу с установленным CSA MC.

27. Не удалось установить CSP VPN Server v2.0 на русскую версию операционной системы Windows XP/2003. В чем проблема?

Проблема связана с установкой Cygwin SSH, дистрибутив которого входит в состав дистрибутива CSP VPN Server. Ниже приведен Workaround.

1. ДО установки CSP VPN Server (если он установлен - лучше удалить) нужно на CD с дистрибутивом CSP VPN Server открыть директорию Cygwin и запустить setup.exe.

2. Нажать "Далее >"

3. Выбрать "Install from Local Directory" и нажать "Далее >".

4. В следующем окне также нажать "Далее >"

5. Убедиться, что в "Local Package Directory" прописан путь к директории Cygwin на CD (например "D:\Cygwin"). Скорее всего это будет именно так, но если это не так - надо вписать эту директорию.

6. Во всех последующих окнах инсталлятора ничего производить не надо, только нажимать кнопку "Далее >".

7. После установки Cygwin нужно установить CSP VPN Server.

8. После установки CSP VPN Server нужно зайти в директорию C:\Cygwin и там запустить cygwin.bat.

9. Запустить /bin/ssh-host-config --yes

10. Запустить сервис CYGWIN sshd (через "Панель управления" -> "Администрирование" -> "Службы" или с помощью команды net start sshd).