As jou maatskappy persoonlike data en ander vertroulike inligting oor die netwerk versend of ontvang wat onderhewig is aan beskerming ooreenkomstig die wet, word dit vereis om GOST-enkripsie te gebruik. Vandag sal ons jou vertel hoe ons sulke enkripsie geïmplementeer het gebaseer op die S-Terra crypto gateway (CS) by een van die kliënte. Hierdie storie sal van belang wees vir inligtingsekuriteitspesialiste, sowel as ingenieurs, ontwerpers en argitekte. Ons sal nie diep in die nuanses van die tegniese konfigurasie in hierdie pos duik nie; ons sal fokus op die sleutelpunte van die basiese opstelling. Groot volumes dokumentasie oor die opstel van Linux OS-demone, waarop die S-Terra CS gebaseer is, is vrylik op die internet beskikbaar. Dokumentasie vir die opstel van eie S-Terra-sagteware is ook publiek beskikbaar op vervaardiger.
'n Paar woorde oor die projek
Die kliënt se netwerktopologie was standaard - volle gaas tussen die sentrum en takke. Dit was nodig om enkripsie van inligting-uitruilkanale tussen alle werwe in te stel, waarvan daar 8 was.
Gewoonlik in sulke projekte is alles staties: statiese roetes na die plaaslike netwerk van die webwerf word op kripto-poorte (CG's) gestel, lyste van IP-adresse (ACL's) vir enkripsie word geregistreer. In hierdie geval het die werwe egter nie gesentraliseerde beheer nie, en enigiets kan binne hul plaaslike netwerke gebeur: netwerke kan op elke moontlike manier bygevoeg, uitgevee en gewysig word. Ten einde herkonfigurasie van roetering en ACL op die KS te vermy wanneer die adressering van plaaslike netwerke by die terreine verander word, is besluit om GRE-tonnelvorming en OSPF dinamiese roetering te gebruik, wat alle KS en die meeste roeteerders op die netwerkkernvlak by die terreine insluit ( by sommige werwe het infrastruktuuradministrateurs verkies om SNAT teenoor KS op kernroeteerders te gebruik).
GRE-tonnels het ons in staat gestel om twee probleme op te los:
1. Gebruik die IP-adres van die eksterne koppelvlak van die CS vir enkripsie in die ACL, wat alle verkeer insluit wat na ander webwerwe gestuur word.
2. Organiseer ptp-tonnels tussen CS'e, wat jou toelaat om dinamiese roetering op te stel (in ons geval is die verskaffer se MPLS L3VPN tussen die werwe georganiseer).
Die kliënt het die implementering van enkripsie as 'n diens beveel. Andersins sal hy nie net kripto-poorte moet onderhou of aan een of ander organisasie moet uitkontrakteer nie, maar ook die lewensiklus van enkripsie-sertifikate onafhanklik moet monitor, dit betyds moet hernu en nuwes moet installeer.
En nou die werklike memo - hoe en wat ons opgestel het
Nota aan die CII-onderwerp: die opstel van 'n kripto-poort
Basiese netwerkopstelling
Eerstens begin ons 'n nuwe CS en kom by die administrasiekonsole in. U moet begin deur die ingeboude administrateurwagwoord - opdrag te verander verander gebruiker wagwoord administrateur. Dan moet u die inisialiseringsprosedure uitvoer (opdrag inisialiseer) waartydens die lisensiedata ingevoer word en die ewekansige getalsensor (RNS) geïnisialiseer word.
Gee aandag! Wanneer S-Terra CC geïnisialiseer word, word 'n sekuriteitsbeleid ingestel waarin die sekuriteitspoortkoppelvlakke nie toelaat dat pakkies deurgaan nie. Jy moet óf jou eie beleid skep óf die opdrag gebruik hardloop csconf_mgr aktiveer aktiveer 'n voorafbepaalde toelaatbeleid.
Vervolgens moet u die adressering van eksterne en interne koppelvlakke opstel, sowel as die verstekroete. Dit is verkieslik om met die CS-netwerkkonfigurasie te werk en enkripsie op te stel deur 'n Cisco-agtige konsole. Hierdie konsole is ontwerp om opdragte soortgelyk aan Cisco IOS-opdragte in te voer. Die konfigurasie wat met die Cisco-agtige konsole gegenereer word, word op sy beurt omgeskakel na die ooreenstemmende konfigurasielêers waarmee die OS-demone werk. U kan vanaf die administrasiekonsole na die Cisco-agtige konsole gaan met die opdrag instel.
Verander wagwoorde vir die ingeboude gebruiker cscons en aktiveer:
> in staat stel
Wagwoord: csp (vooraf geïnstalleer)
#konfigureer terminaal
#gebruikersnaam cscons voorreg 15 geheim 0 #aktiveer geheim 0 Stel die basiese netwerkkonfigurasie op:
#koppelvlak GigabitEthernet0/0
#ip-adres 10.111.21.3 255.255.255.0
#geen afsluiting nie
#koppelvlak GigabitEthernet0/1
#ip-adres 192.168.2.5 255.255.255.252
#geen afsluiting nie
#ip-roete 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Verlaat die Cisco-agtige konsole en gaan na die debian-dop met die opdrag stelsel. Stel jou eie wagwoord vir die gebruiker wortel per span passwd.
By elke beheerkamer is 'n aparte tonnel vir elke terrein opgestel. Die tonnel-koppelvlak is in die lêer gekonfigureer / ens / netwerk / koppelvlakke. Die IP-tonnelnutsmiddel, ingesluit in die vooraf geïnstalleerde iproute2-stel, is verantwoordelik vir die skep van die koppelvlak self. Die koppelvlakskepping-opdrag word in die vooraf-opsie-opsie geskryf.
Voorbeeldkonfigurasie van 'n tipiese tonnelkoppelvlak:
motor webwerf1
iface site1 inet staties
adres 192.168.1.4
netmasker 255.255.255.254
pre-up ip tonnel voeg site1 mode gre local 10.111.21.3 remote 10.111.22.3 sleutel hfLYEg^vCh6p
Gee aandag! Daar moet kennis geneem word dat die instellings vir tonnel-koppelvlakke buite die gedeelte geleë moet wees
###netifcfg-begin###
*****
###netifcfg-end###
Andersins sal hierdie instellings oorskryf word wanneer die netwerkinstellings van fisiese koppelvlakke deur 'n Cisco-agtige konsole verander word.
Dinamiese roetering
In S-Terra word dinamiese roetering geïmplementeer deur die Quagga-sagtewarepakket te gebruik. Om OSPF op te stel, moet ons daemone aktiveer en instel sebra и ospfd. Die sebra-demoon is verantwoordelik vir kommunikasie tussen die roete-demone en die bedryfstelsel. Die ospfd-demoon, soos die naam aandui, is verantwoordelik vir die implementering van die OSPF-protokol.
OSPF word óf deur die daemonkonsole óf direk deur die konfigurasielêer gekonfigureer /etc/quagga/ospfd.conf. Alle fisiese en tonnel-koppelvlakke wat aan dinamiese roetering deelneem, word by die lêer gevoeg, en die netwerke wat geadverteer sal word en aankondigings ontvang, word ook verklaar.
'n Voorbeeld van die konfigurasie waarby bygevoeg moet word ospfd.conf:
koppelvlak eth0
!
koppelvlak eth1
!
koppelvlak werf1
!
koppelvlak werf2
ospf router
ospf router-ID 192.168.2.21
netwerk 192.168.1.4/31 area 0.0.0.0
netwerk 192.168.1.16/31 area 0.0.0.0
netwerk 192.168.2.4/30 area 0.0.0.0
In hierdie geval word adresse 192.168.1.x/31 gereserveer vir tonnel-ptp-netwerke tussen werwe, adresse 192.168.2.x/30 word toegeken vir vervoernetwerke tussen CS en kernroeteerders.
Gee aandag! Om die roeteringtabel in groot installasies te verminder, kan jy die aankondiging van die vervoernetwerke self filter deur die konstrukte te gebruik geen herverspreiding gekoppel nie of herverdeel gekoppelde roetekaart.
Nadat u die daemone gekonfigureer het, moet u die opstartstatus van die daemone verander /etc/quagga/daemons. In opsies sebra и ospfd geen verandering aan ja nie. Begin die quagga daemon en stel dit op outorun wanneer jy die KS-opdrag begin update-rc.d quagga aktiveer.
As die konfigurasie van GRE-tonnels en OSPF korrek gedoen word, moet roetes in die netwerk van ander werwe op die KSh en kernroeteerders verskyn en dus ontstaan netwerkverbinding tussen plaaslike netwerke.
Ons enkripteer gestuurde verkeer
Soos reeds geskryf is, spesifiseer ons gewoonlik IP-adresreekse (ACL's) waartussen verkeer geïnkripteer word, gewoonlik wanneer ons tussen werwe enkripteer: as die bron- en bestemmingsadresse binne hierdie reekse val, dan word die verkeer tussen hulle geïnkripteer. In hierdie projek is die struktuur egter dinamies en adresse kan verander. Aangesien ons reeds GRE-tonneling gekonfigureer het, kan ons eksterne KS-adresse spesifiseer as die bron- en bestemmingsadresse vir die enkripteer van verkeer – verkeer wat reeds deur die GRE-protokol ingekapsuleer is, arriveer immers vir enkripsie. Met ander woorde, alles wat in die CS kom vanaf die plaaslike netwerk van een webwerf na netwerke wat deur ander webwerwe aangekondig is, word geïnkripteer. En binne elk van die werwe kan enige herleiding uitgevoer word. As daar dus enige verandering in plaaslike netwerke is, hoef die administrateur slegs die aankondigings wat vanaf sy netwerk kom, na die netwerk te wysig, en dit sal vir ander webwerwe beskikbaar wees.
Enkripsie in S-Terra CS word uitgevoer met behulp van die IPSec-protokol. Ons gebruik die "Grasshopper" -algoritme in ooreenstemming met GOST R 34.12-2015, en vir verenigbaarheid met ouer weergawes kan u GOST 28147-89 gebruik. Stawing kan tegnies op beide voorafbepaalde sleutels (PSK's) en sertifikate uitgevoer word. In industriële bedryf is dit egter nodig om sertifikate te gebruik wat uitgereik is in ooreenstemming met GOST R 34.10-2012.
Werk met sertifikate, houers en CRL's word gedoen met behulp van die hulpprogram cert_mgr. Eerstens, gebruik die opdrag cert_mgr skep dit is nodig om 'n private sleutelhouer en 'n sertifikaatversoek te genereer, wat na die Sertifikaatbestuursentrum gestuur sal word. Nadat die sertifikaat ontvang is, moet dit saam met die wortel CA-sertifikaat en CRL (indien gebruik) met die opdrag ingevoer word cert_mgr invoer. U kan seker maak dat alle sertifikate en CRL's met die opdrag geïnstalleer is cert_mgr wys.
Nadat u die sertifikate suksesvol geïnstalleer het, gaan na die Cisco-agtige konsole om IPSec op te stel.
Ons skep 'n IKE-beleid wat die gewenste algoritmes en parameters spesifiseer van die veilige kanaal wat geskep word, wat aan die vennoot aangebied sal word vir goedkeuring.
#crypto isakmp-beleid 1000
#encr gost341215k
#hash gost341112-512-tc26
#stawingsteken
#groep vko2
#leeftyd 3600
Hierdie beleid word toegepas wanneer die eerste fase van IPSec gebou word. Die resultaat van die suksesvolle voltooiing van die eerste fase is die stigting van SA (Sekuriteitsvereniging).
Vervolgens moet ons 'n lys van bron- en bestemmings-IP-adresse (ACL) vir enkripsie definieer, 'n transformasiestel genereer, 'n kriptografiese kaart (crypto-kaart) skep en dit aan die eksterne koppelvlak van die CS bind.
Stel ACL:
#ip toegangslys uitgebreide werf1
#permit gre gasheer 10.111.21.3 gasheer 10.111.22.3
'n Stel transformasies (dieselfde as vir die eerste fase, ons gebruik die "Grasshopper"-enkripsiealgoritme deur die simulasie-insetselgenerasiemodus te gebruik):
#crypto ipsec transform-set GOST esp-gost341215k-mac
Ons skep 'n kriptokaart, spesifiseer die ACL, transformasiestel en eweknieadres:
#crypto kaart HOOF 100 ipsec-isakmp
#pasadres werf1
#stel transform-set GOST
#stel eweknie 10.111.22.3
Ons bind die kriptokaart aan die eksterne koppelvlak van die kasregister:
#koppelvlak GigabitEthernet0/0
#ip-adres 10.111.21.3 255.255.255.0
#crypto kaart HOOF
Om kanale met ander webwerwe te enkripteer, moet jy die prosedure vir die skep van 'n ACL en kriptokaart herhaal, die ACL-naam, IP-adresse en kriptokaartnommer verander.
Gee aandag! Indien sertifikaatverifikasie deur CRL nie gebruik word nie, moet dit uitdruklik gespesifiseer word:
#crypto pki trustpoint s-terra_technological_trustpoint
#herroeping-kontroleer geen
Op hierdie stadium kan die opstelling as voltooi beskou word. In Cisco-agtige konsole opdrag uitvoer wys crypto isakmp sa и wys crypto ipsec sa Die gekonstrueerde eerste en tweede fases van IPSec moet weerspieël word. Dieselfde inligting kan verkry word deur die opdrag te gebruik sa_mgr wys, uitgevoer vanaf debian-dop. In die opdrag uitvoer cert_mgr wys Die afgeleë webwerf-sertifikate moet verskyn. Die status van sulke sertifikate sal wees afgeleë. As tonnels nie gebou word nie, moet u na die VPN-dienslogboek kyk, wat in die lêer gestoor word /var/log/cspvpngate.log. 'n Volledige lys loglêers met 'n beskrywing van hul inhoud is in die dokumentasie beskikbaar.
Monitering van die "gesondheid" van die stelsel
Die S-Terra CC gebruik die standaard snmpd daemon vir monitering. Benewens tipiese Linux-parameters, ondersteun S-Terra uit die boks die uitreiking van data oor IPSec-tonnels in ooreenstemming met die CISCO-IPSEC-FLOW-MONITOR-MIB, wat ons gebruik wanneer ons die status van IPSec-tonnels monitor. Die funksionaliteit van pasgemaakte OID's wat die resultate van skripuitvoering as waardes uitvoer, word ook ondersteun. Hierdie kenmerk stel ons in staat om sertifikaatvervaldatums op te spoor. Die geskrewe skrif ontleed die opdraguitvoer cert_mgr wys en gee gevolglik die aantal dae totdat die plaaslike en wortelsertifikate verval. Hierdie tegniek is onontbeerlik wanneer 'n groot aantal CABG's toegedien word.
Wat is die voordeel van sulke enkripsie?
Al die funksies wat hierbo beskryf word, word uit die boks ondersteun deur die S-Terra KSh. Dit wil sê, dit was nie nodig om enige bykomende modules te installeer wat die sertifisering van kripto-poorte en die sertifisering van die hele inligtingstelsel kan beïnvloed nie. Daar kan enige kanale tussen webwerwe wees, selfs via die internet.
As gevolg van die feit dat wanneer die interne infrastruktuur verander, dit nie nodig is om kripto-poorte te herkonfigureer nie, die stelsel werk as 'n diens, wat baie gerieflik is vir die kliënt: hy kan sy dienste (kliënt en bediener) by enige adresse plaas, en alle veranderinge sal dinamies tussen enkripsietoerusting oorgedra word.
Natuurlik beïnvloed enkripsie as gevolg van oorhoofse koste (bokoste) die data-oordragspoed, maar net effens - die kanaaldeurset kan met 'n maksimum van 5-10% afneem. Terselfdertyd is die tegnologie getoets en goeie resultate getoon selfs op satellietkanale, wat redelik onstabiel is en lae bandwydte het.
Igor Vinokhodov, ingenieur van die 2de administrasielyn van Rostelecom-Solar
Bron: will.com