Миграция сетей ViPNet VPN на ViPNet Prime: ответы на частые вопросы

Содержание

1. Сертификация ViPNet Prime

2. Требования ViPNet Prime к операционным системам и уровням защищённости

• Компоненты для развёртывания ViPNet Prime (KC2, KC3)
• Требования к рабочему месту администратора (AРМ администратора)
• Что нужно для Prime (КС1)
• Требования к AРМ администратора Prime для уровня КС1

3. Как получить утилиты миграции

4. Нужна ли лицензия на функционал организаций

5. Варианты установки ViPNet Prime

6. Какие сертификаты нужны для работы с ViPNet Prime

7. Настройка сертификатов при развёртывании ViPNet Prime с дополнительными модулями

8. Защита соединения между АРМ администратора и сервером Prime

9. Роль PKI Client в работе с ViPNet Prime

10. Мастер ПИН: что это и зачем

11. Бэкапирование и восстановление ViPNet Prime

12. Блиц‑ответы на популярные вопросы

Миграция сетей ViPNet VPN на ViPNet Prime: ответы на частые вопросы

В предыдущей статье мы подробно разобрали миграцию иерархических сетей в ViPNet Prime, а сейчас собрали ответы на наиболее частые и сложные вопросы, возникающие при миграции сетей ViPNet VPN на ViPNet Prime. Разберём требования к инфраструктуре, особенности развёртывания и ключевые нюансы эксплуатации.

1. Сертификация ViPNet Prime

Релиз ViPNet Prime 1.9.6

Релиз ViPNet Prime 1.9.6 успешно прошёл сертификацию ФСБ России (сертификат № СФ/124‑5200). Продукт соответствует требованиям к средствам криптографической защиты информации, предназначенным для защиты данных, не содержащих сведений, составляющих государственную тайну.

Сертификат ViPNet Prime подтверждает соответствие классам защищённости КС1,КС2,КС3.

Также проходит процедура сертификации в ФСТЭК России по уровню ТДБ4.

Релиз ViPNet Prime 1.9.11

В настоящее время ведётся процесс сертификации релиза ViPNet Prime 1.9.11:

• проходит процедура сертификации в ФСТЭК России по уровню ТДБ4;

• также осуществляется подготовка к подтверждению соответствия требованиям ФСБ России.

Рис. 1 Сертификация ViPNet Prime

2. Требования ViPNet Prime к операционным системам и уровням защищённости

Выбор операционной системы зависит от требуемого уровня безопасности (КС):

• КС‑1 и КС‑2: можно использовать:

• Astra Linux (в т. ч. Special Edition);

• Ubuntu (при соответствии стеку безопасности).

• КС‑3: обязательна сертифицированная версия Astra Linux SE РУСБ 10015-17 с активированным уровнем защищённости «Смоленск».

Уровни защищённости Astra Linux:

• «Смоленск» — максимальный уровень защиты (требуется для КС‑3);

• «Воронеж» — средний уровень;

• «Орёл» — минимальный уровень (подходит для КС‑1 и КС‑2).

Примечание: «Смоленск», «Воронеж» и «Орёл» — это не отдельные дистрибутивы, а уровни защищённости, настраиваемые в рамках универсального дистрибутива Astra Linux.

Компоненты для развёртывания ViPNet Prime (KC2, KC3)

Для развёртывания и управления ViPNet Prime требуются следующие компоненты:

Для уровней КС2 и КС3:

• Физический сервер под ViPNet Prime.

• ОС:

• для КС3 — сертифицированная Astra Linux;

• для КС2 — Astra Linux (сертифицированная по стеку) или Ubuntu.

• Сертифицированный антивирус.

• Межсетевой экран (сертифицированный по стеку).

• Аппаратный модуль доверенной загрузки (обязателен для КС3 из‑за требования к датчику физической энтропии).

• Client for Linux 5 (обязателен для сервера Prime).

Требования к рабочему месту администратора (AРМ администратора)

• ОС Linux (конкретный дистрибутив не регламентирован).

• Сертифицированный антивирус и межсетевой экран.

• PKI Client и ГОСТ сертификат (для КС3 — двусторонний TLS).

• Модуль доверенной загрузки.

• Для КС3: ГОСТ сертификат для двусторонней аутентификации.

• Принтер для печати паролей.

Рис. 2 Что необходимо для развертывания Prime (KC2,KC3)

Что нужно для Prime (КС1)

• Сервер под Prime (может быть как физический, так и виртуальный).

• ОС: Astra Linux SE или Ubuntu.

• Антивирус и межсетевой экран.

• Client for Linux 5.

Требования к AРМ администратора Prime для уровня КС1

• ОС Linux (конкретный дистрибутив не регламентирован).

• Сертифицированный антивирус и межсетевой экран.

• Модуль доверенной загрузки (не обязателен для КС1)

• PKI Client (опционально, для одностороннего TLS).

• Принтер для печати паролей (с соблюдением правил конфиденциальности).

Рис.3 Требования для развертывания Prime для уровня KC1

3. Как получить утилиты миграции ViPNet Prime

Утилита миграции и верификации доступна для скачивания на официальном сайте. Она позволяет:

• проверить сеть на конфликты и предупреждения;

• подготовить данные для миграции.

Обновления утилиты публикуются сразу после выхода новых версий Prime.

4. Нужна ли лицензия на функционал организаций

Лицензия на функционал дочерних организаций предоставляется бесплатно всем заказчикам. При установке ViPNet Prime можно активировать эту опцию без дополнительных затрат.

5. Варианты установки ViPNet Prime

1. На одной машине: мы устанавливаем базовые компоненты, модуль мониторинга ViPNet Prime NVS и политик безопасности ViPNet Prime PМM.

2. На двух машинах: в этом случае компоненты разделяются, например модуль мониторинга NVS может быть вынесен на отдельный сервер для балансировки нагрузки.

Рис. 4 Варианты установки ViPNet Prime

6. Какие сертификаты нужны для работы с ViPNet Prime

Комплекты сертификатов сервера должны быть:

• на ГОСТ‑алгоритмах: для защищённых соединений между ARM‑администратором и сервером Prime.

• на RSA‑алгоритмах: для внутренней коммуникации между компонентами системы.

Комплекты сертификатов должны быть в формате PEM.

Требования к полям сертификатов:

• Common Name (CN): имя части ядра системы ViPNet Prime Core.

• Subject Alternative Name (SAN): доменные имена всех модулей, которые будут использоваться.

Пример заполнения полей

DNS:core.prime.myorg

Рис.5 Сертификаты необходимые для работы с ViPNet Prime

7. Настройка сертификатов при развёртывании ViPNet Prime с дополнительными модулями

Рассмотрим процесс настройки сертификатов при установке ViPNet Prime с дополнительными модулями — ViPNet VPN, ViPNet Policy Manager Module и ViPNet Network Visibility System.

При использовании Wildcard‑сертификата в поле Subject Alternative Name (SAN) добавляется запись со звёздочкой (*). Она обеспечивает защиту всех поддоменов в рамках указанного домена.

Если система развёрнута на двух машинах, распределение компонентов может быть следующим:

• Первая машина: базовые компоненты Prime, возможно — модуль Policy Manager Module.

• Вторая машина: например, модуль Network Visibility System.

Для корректного взаимодействия компонентов системы сертификаты с RSA‑алгоритмами должны быть установлены на обоих серверах.

Рис.6 Распределение компонентов при установке ViPNet Prime на двух машинах.

8. Защита соединения между АРМ администратора и сервером Prime

Согласно требованиям регулятора, соединение между рабочим местом администратора и сервером Prime должно быть защищено с использованием ГОСТ‑сертификатов. Для этого необходимо:

1. Установить ViPNet PKI‑клиент на АРМ администратора — он обеспечивает построение защищённого соединения при подключении к Prime.

2. Загрузить личные сертификаты на сервер ViPNet Prime, если планируется аутентификация по сертификатам вместо паролей.

Если при попытке открыть модуль VPN появилась ошибка «Подключиться ли к недоверенному ресурсу?». Причина — отсутствие корневого сертификата в хранилище доверенных центров сертификации.

Чтобы избежать этой проблемы:

• убедитесь, что корневой сертификат установлен в операционной системе;

• для некоторых браузеров дополнительно загрузите сертификат в настройки браузера.

Рис.7 Защита соединения между АРМ администратора и сервером ViPNet Prime

9. Роль ViPNet PKI Client в работе с ViPNet Prime

PKI Client — ключевой инструмент для обеспечения безопасности и выполнения бизнес‑функций в среде Prime. Разберём его основные задачи.

Рис.8 Интерфейс ViPNet PKI Client

Защищённое соединение и аутентификация

При подключении рабочего места администратора (в т. ч. в случае исполнения КС1) необходимо установить на него сертификаты ViPNet Prime. Это нужно для построения безопасного ГОСТ‑канала между рабочим местом администратора и Prime — критически важного соединения, которое требуется максимально надёжно защитить.

Регулятор требует защищать такое соединение с использованием ГОСТ‑алгоритмов. Для этого на рабочее место администратора устанавливают сертификаты ViPNet Prime и PKI‑клиент, который позволяет построить односторонний TLS‑канал.

Затем вы можете поставить для КС3 исполнения сертификат администратора и уже не только защищать канал но и идентифицировать администратора при подключении к Prime с использованием ГОСТ‑алгоритмов.

Проверка электронных подписей и управление цепочками доверия

С недавних пор все обновления и экспертные данные подписываются электронной подписью для подтверждения их целостности и подлинности. PKI‑клиент позволяет:

• проверить подпись с помощью модуля File Unit;

• в него же можно загрузить списки отзыва сертификатов (CRL);

• импортировать цепочки доверия (рекомендуется также добавить их в настройки браузера).

Рекомендации по лицензированию

PKI‑клиент можно:

• скачать с официального сайта производителя и получить полугодовую лицензию для краткосрочных задач (например, проверки подписи дистрибутива);

• приобрести в комплекте с Prime — количество лицензий должно соответствовать числу рабочих мест администратора. Это обеспечит всех администраторов универсальным инструментом для защиты канала и верификации подписей.

10. Мастер ПИН: что это и зачем

Мастер ПИН задаётся при первой установке ViPNet Prime.

Требования написаны в руководстве: он должен содержать от 10 до 20 символов, включая специальные символы. Его нужно менять не реже одного раза в полгода. Очень важно не забывать мастер ПИН, поскольку он не подлежит восстановлению — если ПИН утерян, будет невозможно получить доступ к программному токену.

Рис.9 Мастер ПИН при установке ViPNet Prime

11. Бэкапирование и восстановление ViPNet Prime

• Бэкапирование и восстановление ViPNet Prime возможно при установке на одной и двух машинах.

• Восстановление выполняется на Prime той же версии и ОС, что и при создании бэкапа.

• Перенос между ОС (например, Ubuntu → Astra Linux SE) возможен через бэкап при условии идентичной разметки дисков.

12. Блиц‑ответы на популярные вопросы

1. Можно ли переносить сеть постепенно?
   Нет, сеть переносится выполняется единоразово, часть сети перенести нельзя.

2. Обязательна ли смена мастер‑ключей перед миграцией?
   Не обязательна, но рекомендуется проверить сроки их действия. Если близится срок окончания действия мастер-ключей, то лучше поменять их в знакомом интерфейсе, чем потом это делать в Prime, к которому вы еще не привыкли.

3. Теряется ли межсетевое взаимодействие, если на той стороне не обработана межсетевая информация?
   Межсетевое взаимодействие не теряется, если на удалённой стороне не обработана межсетевая информация, при миграции переносятся данные с момента последнего успешного обмена. Однако из‑за изменений в состоянии сети с того момента возможны непредвиденные сценарии: нарушения связности, ошибки аутентификации и т. д. Чтобы избежать проблем, перед миграцией важно актуализировать межсетевую информацию — инициировать обмен данными между всеми узлами и проверить актуальность настроек сети.

4. Под каким администратором авторизоваться в утилиту миграции?
   Используйте учётные данные Администратора УКЦ.

5. Можно ли восстановить пароль администратора УКЦ?
   Нет, пароли не подлежат восстановлению. Храните их в надёжном месте.

6. Входит ли ПО с Удостоверяющим центром в комплект поставки Prime?
   Нет, в отличие от Administrator, где Удостоверяющий центр входил в состав ПО и позволял решать задачи по получению сертификатов в рамках одного решения, ViPNet Prime выполняет только функции защиты каналов связи и управления предметной областью — выдача сертификатов выделена в отдельную задачу.