СКЗИ «ЛИРССЛ-CSP». Программный модуль LIRTUNNEL

Сколько стоит этот продукт?

ПМ LIRTUNNEL предназначен для организации защищенных (шифрованных) туннелей с использованием российских криптографических алгоритмов (ГОСТ 28147-89, ГОСТ Р 34.11-94/2012, ГОСТ Р 34.10-2001/2012).

ПМ LIRTUNNEL прошел тематические испытания в составе СКЗИ «ЛИРССЛ-CSP» (положительное заключение №149.3.2.3-1433 от 18.07.2017 г.).

ПМ LIRTUNNEL - это кроссплатформенное решение для построения TLSv1 туннелей для любых клиент-серверных приложений (например: telnet, ftp, VNC, СУБД Oracle, веб-приложения и т.д.).

ПМ LIRTUNNEL обеспечивает создание TLSv1 - соединений между клиентом и сервером по любому протоколу, основанному на TCP, включая протокол FTP. При этом ftp-клиент должен работать в пассивном режиме (passive mode) . ПМ «LirTunnel» может работать как в режиме клиента, так и в режиме сервера, обеспечивая дешифрование входящего трафика и шифрование исходящего трафика.

Авторизация узлов клиента на сервере  проводится с использованием сертификатов X509 v3 .

Для выпуска серверных и клиентских сертификатов удобно использовать графическую утилиту foxxca, также входящую в состав СКЗИ «ЛИРССЛ-CSP»:

Сертификаты и закрытые ключи могут храниться как в файлах, так и в защищенном контейнере PKCS#12, а также на токенах PKCS#11 с поддержкой российской криптографии. Говоря о токенах PKCS#11, прежде всего имеются ввиду сертифицированные токены из состава СКЗИ «ЛИРССЛ-CSP», а именно программный токен LS11SW2016 и программно-аппаратный токен на базе USB-флешки  - LS11USB2016.  Естественно, могут использоваться токены и других производителей, разработанные в соответствии с требованиями документа «Методические рекомендации. Расширение PKCS#11 для использования российских стандартов ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012, ГОСТ Р 34.12-2015 и ГОСТ Р 34.13-2015», проект которого подготовлен Техническим Комитетом ТК-26. Методические рекомендации базируются на стандарте PKCS#11 v.2.40.

ПМ LIRTUNNEL функционирует на большинстве операционных систем, включая: Linux, MS Windows, Android, QNX, OS X.

В качестве примера рассмотрим доступ к тестовой странице (https://soft.lissi.ru:9443 или https://soft.lissi.ru:9943), демонстрирующий использование https в авторизованном режиме с российской криптографией. 

Доступ к этой странице с браузера Redfox, поддерживающего российскую криптографию, дает следующий результат:

В тоже время попытка получить доступ к этой странице через браузер без поддержки российских криптографических алгоритмов (например, браузер google-chrome) дает отрицательный результат:

Решить эту проблему можно, если использовать ПМ LIRTUNNEL в режиме "client". Конфигурационный файл может выглядеть следующим образом:

verify = 2

;корневой сертификат

cafile = /home/a513/tmp/LirTUNNEL/cacert.pem

socket = l:TCP_NODELAY=1
     socket = r:TCP_NODELAY=1

; Подключение токена с закрытым ключом
     engine=pkcs11
     engineCtrl = ATTACH_API:/usr/local/lib64/libls11cloud.so
     engineCtrl = LOGIN:01234567

debug = 7
     output = /home/a513/tmp/LirTUNNEL/stunnel_CL.log
     log=overwrite
     fips = no
     client = yes

[HTTPS-TLS-GOST]
     ;если закрытый ключ и сертификат на токене

engineID=pkcs11
     cert = /home/a513/tmp/LirTUNNEL/CERT_CLOUD_0.pem
     key = /home/a513/tmp/LirTUNNEL/CERT_CLOUD_0.pem

;если закрытый ключ и сертификат в контнейнере PKCS#12

;cert = /home/a513/tmp/LirTUNNEL/RedFox-51.p12
     ;key = /home/a513/tmp/LirTUNNEL/RedFox-51.p12

; порт, на котором слушаем

accept = 9898

;адрес страницы с авторизованным доступом по TLS

connect = lissi.ru:9943

Теперь достаточно запустить ПМ «LirTunnel» с указанным конфигурационным файлом и обратиться к тестовой странице через него (127.0.0.1:9898):

В log-файле можно увидеть какой используется шифрсьют, а также версию TLS (TLSv1.0, TLSv1.1 или TLSv1.2):

2017.06.06 17:42:45 LOG6[0]: Negotiated TLSv1.2 ciphersuite GOST2012-GOST89-GOST89 (256-bit encryption)

И все же основное назначение ПК LIRTUNNEL - это создание защищенных туннелей типа "точка-точка", когда на одном конце запускается ПК LIRTUNNEL в режиме сервера (в нашем примере в качестве такого сервера выступает Web-сервер на Apache с поддержкой ГОСТ-ового https), а на друом конце также запускается  ПК LIRTUNNEL, но в режиме "client=yes":