Как настроить vipnet client на андроид
Настройка VPN для работы мобильных решений DIRECTUM
Опубликовано:
24 августа 2015 в 10:33
Беспроводные сети получили широкое распространение, поэтому обеспечение безопасности передаваемых данных – вопрос весьма актуальный. Тема защиты подключения уже поднимались в статьях Безопасность: Настройка демилитаризованной зоны, Обеспечение безопасного использования мобильных решений DIRECTUM, Безопасность: Тюнинг HTTPS. На практике мы должны были убедиться в полноценной работоспособности мобильного решения DIRECTUM Jazz при работе через шифрованные каналы связи виртуальных частных сетей (VPN).Для проверки мы выбрали одну из распространённых программ с открытым исходным кодом – OpenVPN, и продукт, сертифицированный ФСБ РФ, – ViPNet. В этой статье описывается рабочая схема сети и базовые настройки программного обеспечения.
Настройка OpenVPN
В процессе работы мобильный клиент OpenVPN устанавливает защищённое соединение с серверной частью. Сервер OpenVPN, в соответствии с настройками, назначает подключенному клиенту IP-адрес из адресного пространства внутренней сети или приватный IP-адрес. В первом случае клиент «видит» сеть так же, как если бы он был подключен в общий коммутатор (так называемый ethernet-bridging). Во втором случае трафик от клиента маршрутизируется в необходимую подсеть сервером (IP-tunneling). Последний вариант мы и рассмотрим.
Общая схема организации подключения к корпоративной сети через внешние каналы
Процесс настройки несложный. Дистрибутив OpenVPN можно скачать с официального сайта openvpn.net , а мобильное приложение устанавливается через Google Play .
Рассмотрим настройку для ОС Windows (для Linux процесс аналогичен). Устанавливаем OpenVPN 2.1.3 на сервер и проводим настройку:
1. Запускаем командную строку cmd.exe и переходим в папку установки OpenVPN командой
2. Инициируем создание конфигурационных файлов из эталонных, выполняя команду (здесь и далее под выполнением команды будем иметь в виду выполнение скрипта в командной строке)
3. Можно отредактировать в файле Vars.bat значения по умолчанию US, CA и т.д., чтобы при генерации сертификатов клиентов не изменять их каждый раз:
4. После того как отредактировали файл Vars.bat (или нет) выполняем последовательно команды Vars и Clean-all для очистки каталога ключей и сброса их начального индекса генерации, и переходим к следующему шагу – собственно, созданию сертификатов и ключей.
5. Выполняем команду Build-ca для создания сертификата и ключа центра сертификации (по умолчанию он действует 10 лет, но всегда можно отредактировать файл Build-ca.bat под свои нужды). Необходимо будет ввести данные или оставить значения по умолчанию, если редактировали файл Vars.bat (см. пункт 3):
6. Генерируем сертификат и ключ для сервера командой Build-key-server server. На запрос ввести «Common Name» вводим значение «server». При запросе подписываем сертификат и принимаем его.
7. Генерацию сертификатов для клиента/ов выполняем командой Build-key . Когда запрашивает Common Name, вводим . Повторяем данную операцию для каждого клиента.
8. Параметры протокола шифрования Диффи-Хеллмана генерируем командой Build-dh. На этом часть генерации сертификатов и ключей завершается. Приступаем к настройке конфигурационных файлов серверной части OpenVPN.
9. Открываем в блокноте C:\Program Files (x86)\OpenVPN\sample-config\server.ovpn, находим параметры ca ca.crt, cert server.crt, key server.key, dh dh1024.pem и прописываем у них путь, куда скопируем сгенерированные сертификат и ключ серверной части:
Сохраняем файл как C:\Program Files (x86)\OpenVPN\config\server.ovpn.
10. Проделываем почти аналогичные действия для клиентского конфигурационного файла: открываем в блокноте C:\Program Files (x86)\OpenVPN\sample-config\client.ovpn, находим параметры ca ca.crt, cert server.crt, key server.key, remote my-server-1 1194 и прописываем у них путь до клиентских ключей и сертификатов:
Сохраняем файл как C:\Program Files (x86)\OpenVPN\easy-rsa\имя_клиента.ovpn.
11. Копируем файлы сертификатов в указанные в пунктах 9, 10 папках:
- на сервере копируем файлы ca.crt, dh1024.pem, server.crt, server.key из папки C:\Program Files (x86)\OpenVPN\easy-rsa в папку C:\Program Files (x86)\OpenVPN\config
- на мобильное устройство копируем файлы ca.crt, имя_клиента.crt, имя_клиента.key, имя_клиента.ovpn
После настройки запускаем на сервере службу OpenVPN. На мобильном устройстве с ОС Android запускаем приложение OpenVPN Connect, в контекстном меню выбираем Import – Import Profile from SD card, находим папку, куда скопировали файлы, выбираем файл .ovpn. После импорта профиля устанавливаем соединение нажатием на кнопку Connect. В результате получаем установленное защищённое соединение. В DIRECTUM Jazz прописываем адрес сервера NOMAD из корпоративной подсети и подключаемся. Следует отметить, что на сервере OpenVPN должна быть включена и настроена соответствующим образом маршрутизация трафика между подсетью защищённого соединения и внутренней сетью предприятия.
Настройка ViPNet
Общая схема организации подключения к корпоративной сети через внешние каналы
На сервер устанавливаем ПО ViPNet Coordinator 4.3, которое осуществляет шифрование и маршрутизацию трафика между клиентами ViPNet и внутренней сетью. На мобильное устройство устанавливаем ViPNet Client for Android. Для Android 4.2 используется версия приложения 2.1.0.86. Для устройств младше Android 4.2 используется версия 1.5, которая требует root-прав.
Так как ПО ViPNet является платным продуктом, то нам для тестовых целей были предоставлены предварительно сгенерированные пользовательские и серверные ключи, которыми мы и произвели активацию. Подробности процесса конфигурирования ключей оставим за рамками этой статьи. Заметим лишь, что ключи активации (dst-ключ) генерируются с помощью утилиты ViPNet Administrator и при конфигурировании в каждый ключ «зашиваются» адреса координаторов, справочники с данными о других клиентах ViPNet.
На координаторе настраиваем туннелирование до сервера NOMAD, для чего запускаем утилиту ViPNet Coordinator. Заходим в Сервис – Настройка приложения – Туннелирование и добавляем внутренний адрес сервера NOMAD (в нашем случае это 172.18.1.2), нажимаем ОК. В меню слева выбираем пункт «Защищённая сеть» и дважды нажимаем на наш хост мобильного клиента, в закладке «IP-адреса» выбираем в пункте «IP-адреса видимости узла» Реальные IP-адреса, нажимаем ОК.
Проверяем, запущена ли на сервере ViPNet Coordinator служба «Маршрутизация и удалённый доступ». Если она выключена, то включаем её автозапуск и перезагружаем компьютер.
На мобильном устройстве после подключения к сети (в нашем случае это был Wi-Fi) логинимся в мобильном клиенте ViPNet, заходим в настройки и прописываем IP-адрес узла такой же, какой был выдан устройству точкой доступа, например:
После чего снова перелогиниваемся в мобильном клиенте. Теперь мобильный клиент ViPNet виден и доступен на координаторе, а это значит, что трафик между клиентом и сервером защищён. Осталось только запустить DIRECTUM Jazz и указать в качестве узла подключения внутренний адрес сервера NOMAD (в нашем случае 172.18.1.2).
Обзор продуктов компании ИнфоТеКС для защиты мобильных устройств
В обзоре рассматриваются разработки компании ИнфоТеКС: ViPNet Client for Android, представляющий собой VPN-клиент, и ViPNet Connect — приложение для обмена сообщениями и голосовыми вызовами на базе технологии ViPNet. Данные продукты обеспечивают конфиденциальность коммуникаций пользователей и защиту информации на мобильных устройствах под управлением ОС Android.
Введение
Необходимость защищать информацию на мобильных устройствах, особенно при их корпоративном использовании, осознают не только специалисты по информационной безопасности, но и люди, не имеющие прямого отношения к этой отрасли. В то же время риски, связанные с использованием публичных сервисов, очевидны сегодня далеко не всем, хотя они не менее высоки.
В этом обзоре мы рассмотрим продукты, позволяющие решить две задачи информационной безопасности:
- Защитить информацию при передаче по открытым каналам связи (ViPNet Client for Android).
- Обеспечить возможность конфиденциальной связи между абонентами защищенной сети (ViPNet Connect for Android).
Общие сведения
Технология ViPNet — это собственная разработка компании ИнфоТеКС, которая позволяет не только строить полноценную VPN, но и обеспечивать межсетевое экранирование и защиту от несанкционированного доступа к конфиденциальной информации. ViPNet основана на проприетарном протоколе, не являющимся сессионным, как, например, IPSec. Основными преимуществами, которые обеспечивает технология ViPNet, являются устойчивость работы и бесшовное переключение между каналами связи. Продукты ViPNet исходно задумывались и создавались под сценарии корпоративного рынка: для всех них доступно централизованное управление политиками информационной безопасности, ключевой информацией, версиями программного обеспечения на любом узле сети ViPNet.
Архитектура продуктов ViPNet состоит из управляющих, серверных (сетевых) и клиентских компонентов. В ряде случаев для защиты достаточно установки серверных компонентов — программных и программно-аппаратных комплексов ViPNet Coordinator. При необходимости защиты пользовательских устройств применяются клиентские компоненты ViPNet Client, которые выпускаются под операционные системы Windows, Linux, Android, MacOS и iOS. Таким образом, к защищенной сети ViPNet могут быть подключены рабочие станции, серверы, мобильные и носимые устройства, а также любое интеллектуальное оборудование, которое управляется одной из перечисленных ОС.
Как уже упоминалось выше, ИнфоТеКС на данный момент предлагает клиентам два отдельных продукта для мобильных устройств под управлением ОС Android:
ViPNet Client for Android обеспечивает защищенное взаимодействие мобильного устройства с корпоративной сетью, в которой уже развернуты серверные продукты ViPNet. Он защищает каналы связи на базе российских алгоритмов шифрования при работе в IP-сети компании и при подключении через Internet. В большинстве случаев этого продукта достаточно для того, чтобы гарантировать конфиденциальность при работе сотрудников с корпоративными ресурсами.
ViPNet Connect for Android предназначен для обмена сообщениями и голосовыми вызовами с использованием технологии ViPNet. Пользователи взаимодействуют по зашифрованному каналу напрямую друг с другом — сеть ViPNet в этом случае нужна только для организации защищенного соединения. ViPNet Connect for Android предназначен для тех сотрудников компании, которые должны оперативно координировать свои действия с помощью голосовой связи или сообщений, но при этом соблюдать конфиденциальность. Таким образом, ViPNet Connect for Android незаменим при удаленной работе из дома или в командировке и является корпоративной альтернативой таким сервисам, как WhatsApp, Viber, Skype.
Технические характеристики
Испытание программных продуктов проводилось на нескольких устройствах производства Samsung — мобильном телефоне Samsung Galaxy S5 Mini и планшетном компьютере Samsung Galaxy Note 10.1 2014. Эти устройства были выбраны потому, что именно мобильный телефон и планшетный компьютер, как правило, используются сотрудниками, работающими вне офиса. ИнфоТеКС — серебряный партнер южнокорейской корпорации, и это позволяет обеспечить встраивание продуктов компании еще на этапе производства. Для устройств других производителей возможны два варианта установки: с помощью получения прав суперпользователя и с использованием стандартного Google VPN API.
Установку программного обеспечения ViPNet Client for Android необходимо доверить администратору защищенной сети, поскольку эта процедура требует определенной квалификации. Централизованная установка средств криптографической защиты информации также является стандартом корпоративного использования и удовлетворяет требованиям регуляторов рынка ИБ по распространению СКЗИ. При этом участие специалиста требуется лишь однажды — при первоначальном разворачивании ключей шифрования для подключения устройства к защищенной сети. Распространение продукта через Google Play хоть и кажется удобным, на деле при массовых установках таковым не является и противоречит требованиям законодательства РФ.
Выработка ключей шифрования и настройка связи между программными клиентами и защищенной корпоративной сетью также выполняется администратором защищенной сети. Процедура создания нового узла защищенной сети представлена на рис. 1.
Рисунок 1. Определение параметров соединения для вновь созданного клиента
В данном случае мобильные устройства подключались к демозоне ИнфоТеКС. В частности, там установлен координатор сети ViPNet, который для мобильных устройств выполняет роль сервера IP-адресов, сообщая им актуальные IP-адреса в любой момент времени. Без связи с координатором пользоваться защищенным режимом взаимодействия ViPNet Connect for Android возможно только в рамках локальной IP-сети.
Подготовка к работе
Для установки соединения с другим абонентом сети ViPNet через приложение ViPNet Connect for Android необходимо сначала включить VPN-соединение. Для этого после запуска приложения нужно набрать локальный пароль, как на рис. 2.
Рисунок 2. Проверка пароля перед подключением к защищенной корпоративной сети ViPNet
После ввода пароля открывается интерфейс, показанный на рис. 3, с возможностью выбора конфигурации для работы VPN-клиента, на котором также виден статус подключения к защищенной сети.
Рисунок 3. Диалог при подключении к защищенной сети ViPNet
Рассмотрим доступные конфигурации для работы с защищенной сетью пользователя с максимальными полномочиями.
Конфигурация «Прямой доступ» подразумевает, что мобильное устройство будет подключено к корпоративной сети через VPN-канал. При этом доступ к открытым интернет-ресурсам будет организован напрямую, но под контролем персонального сетевого экрана, работающего в режиме пропуска инициативных соединений от смартфона или планшета и блокирующего любой трафик, не инициированный устройством.
Конфигурация «Шлюзовой координатор» обеспечивает шифрование всего трафика мобильного устройства, включая трафик, адресованный в интернет, и пересылку его на корпоративный криптомаршрутизатор (в терминологии ViPNet — Координатор). При этом персональный сетевой экран работает только в режиме пропуска VPN-трафика: весь открытый трафик или блокируется, или маршрутизируется на Координатор. Если пользователь попытается обратиться по IP-адресу или имени для доступа к интернет-ресурсу, то этот запрос будет направлен вначале на Координатор, а потом — на объекты инфраструктуры существующей ИС (и уже там к нему будут применены все правила и политики информационной безопасности) и далее в интернет. Этот механизм признан разработчиком и регулятором как наиболее защищенный режим работы продукта.
Конфигурация «Отключить защиту» выключает функции защиты ViPNet Client for Android. Данная конфигурация доступна пользователю лишь в том случае, если Администратор безопасности наделил его максимальными полномочиями. Если это не так, то у пользователя нет возможности выключить приложение и функции защиты.
Администратор ViPNet может в режиме реального времени управлять полномочиями пользователей путем отправки политик информационной безопасности на мобильные устройства.
Следует отметить, что устройства с установленным ПО ViPNet Client for Android взаимодействуют друг с другом напрямую. Координатор сети знает реальные IP-адреса устройств и сообщает их обеим сторонам. Это делается автоматически и не требует вмешательства пользователя, что исключает возможность перехвата зашифрованного трафика на стороне сервера и защищает сервер от перегрузки медиапотоками.
Кроме того, технология ViPNet, в отличие от IPSec, позволяет узлам взаимодействовать по виртуальным адресам, закрепленным за устройствами. Если устройство перешло в другую сеть и получило другой реальный IP-адрес, то связь с ним не прерывается, меняется лишь маршрут прохождения IP-пакетов. В это время координатору передается новый IP, и все остальные устройства перенаправляют медиапотоки на этот адрес.
Отличительной особенностью ViPNet Client for Android является возможность работы через любые каналы связи, прозрачное переключение между ними, автозагрузка приложения, запрет удаления приложения с мобильного устройства, а также автоматическое восстановление VPN-канала после утери связи. Эта особенность позволяет сотруднику не следить за подключением к защищенной сети и спокойно работать с корпоративными ресурсами.
Настройка соединения
Когда соединение с Координатором установлено, можно инициировать работу ViPNet Connect for Android, достаточно лишь запустить приложение с помощью отдельной иконки (см. рис. 4).
Рисунок 4. Основной экран телефона Samsung с установленными приложениями компании ИнфоТеКС
В основном окне программы (рис. 5) показан список устройств корпоративной сети (не подключенные в текущий момент выделены светлым). Предоставленные нам смартфон и планшет подключены к сети и готовы взаимодействовать друг с другом. На данный момент в ViPNet Connect for Android реализована только передача сообщений и голосовое взаимодействие. В этом году разработчики планируют добавить возможность передачи файлов, а также режим конференции и подключения к внешним SIP-серверам.
Рисунок 5. Основной интерфейс ViPNet Connect for Android
Вначале мы протестировали передачу сообщений между устройствами, и все прошло успешно — см. рис. 6.
Рисунок 6. Передача сообщений между устройствами
Впрочем, интереснее всего было проверить голосовое взаимодействие (см. рис. 7).
Рисунок 7. Интерфейс голосового вызова
ViPNet Connect обеспечивает высокое качество по всем возможным каналам связи – 3G, 4G, Wi-Fi, LAN. В ходе тестирования удалось проверить переключение с одного IP-адреса на другой. Для этого достаточно было на одном устройстве отключить беспроводную сеть. При этом отмечалось пропадание сигнала на период от 1 до 5 секунд, но без разрыва соединения, то есть заново устанавливать связь не приходилось. Максимально длительное прерывание было в первый раз, а в дальнейшем оставалось незначительным. Если же были постоянно включены мобильная и беспроводная сети, то при удалении от базовой станции переход на передачу данных по другому каналу связи почти не ощущался.
Дополнительные возможности
Зашифрованный с помощью ViPNet Client for Android VPN-канал позволяет подключиться к различным ресурсам корпоративной сети. В частности, в демонстрационной сети ИнфоТеКС был сервер с виртуальными рабочими местами VMware ESX, что позволило проверить работу с планшета на виртуальном рабочем столе Windows по протоколу RDP через защищенное соединение (см. рис. 8). При этом дополнительных задержек за счет шифрования трафика в работе удаленного клиента отмечено не было.
Рисунок 8. Подключение с виртуального рабочего стола Windows к внутрикорпоративному сайту (схема демосети ViPNet)
Впрочем, через защищенную сеть вполне могут работать практически любые приложения, которые ориентированы на IP-технологию. В частности, в состав демозоны входит камера видеонаблюдения с подключением по IP, которая показывает реальное изображение самой демозоны. С помощью специального приложения есть возможность получить картинку с этой камеры на планшет (см. рис. 9). При этом ни приложение, ни камера не были специально адаптированы для работы в сети ViPNet.
Рисунок 9. Изображение с камеры видеонаблюдения, установленной в демозоне ИнфоТеКС
Выводы
Технология построения защищенной корпоративной сети ViPNet компании ИнфоТеКС удобна, хоть и ориентирована на корпоративное использование. Решения для защиты данных на мобильных устройствах позволяют сотрудникам, которые часто путешествуют, удобно, быстро и безопасно подключаться к внутренней корпоративной сети. Важно отметить, что продукты ViPNet созданы на основе российских алгоритмов шифрования и соответствуют требованиям регуляторов. ViPNet Client for Android не накладывает ограничений на использование приложений на мобильном устройстве: они продолжают работать так, как и работали ранее. Все вопросы организации доверенного канала ViPNet Client for Android берет на себя, избавляя пользователей от необходимости следить за состоянием VPN-подключения.
ViPNet Connect обладает простым и понятным интерфейсом, соответствующим принципу «включи и работай». Высокоскоростное соединение через 3G и 4G позволяет воспользоваться преимуществами защищенной корпоративной голосовой связи, минимизируя расходы на телефонную связь и обеспечивая при этом конфиденциальность переговоров. Приложение постоянно совершенствуется: компания планирует также добавить сервис передачи файлов и режим конференции. Для администраторов разработчики сделали возможным соблюдение корпоративных политик безопасности на мобильных устройствах.
В ViPNet Client for Android реализован режим работы, при котором доступ к интернету организуется через корпоративный шлюз. Он уникален для мобильных VPN-клиентов и защищенных коммуникаторов, поскольку мобильное устройство как бы всегда находится внутри корпоративной сети. В таком случае на него не нужно устанавливать дополнительные механизмы защиты. Например, контроль трафика и защита от утечек конфиденциальных данных будут работать на уровне существующей инфраструктуры информационной безопасности. Для многих корпоративных клиентов именно такой режим подключения своих мобильных сотрудников является предпочтительным, поскольку в этом случае все их действия контролируются администраторами безопасности.
Существенным преимуществом ViPNet Connect for Android является передача защищенных медиапотоков напрямую, не задействуя корпоративный координатор. Продукт позволяет оптимизировать трафик, не теряя при этом всех возможностей по защите мобильных устройств.
Преимущества:
- безопасное подключение к корпоративной сети из любых публичных Wi-Fi-сетей, а также сетей связи 2G/3G/4G;
- наличие сертификата ФСБ;
- использование российского алгоритма шифрования ГОСТ 28147-89;
- наличие дополнения ViPNet Connect for Android для организации защищенных коммуникаций;
- переключение между IP-сетями без разрыва сеанса связи;
- оптимизация зашифрованных потоков данных;
- интеграция с другими продуктами, входящими в инфраструктуру ViPNet.
Недостатки:
- гарантированная корректная работа только для небольшого списка совместимых устройств;
- ViPNet Connect for Android пока имеет минимальный набор функций, однако разработчики обещают в скором времени добавить сервис обмена файлами и режим конференции.
