إذا كانت شركتك ترسل أو تتلقى بيانات شخصية ومعلومات سرية أخرى عبر الشبكة الخاضعة للحماية وفقًا للقانون، فيجب استخدام تشفير GOST. سنخبرك اليوم كيف قمنا بتنفيذ هذا التشفير استنادًا إلى بوابة التشفير S-Terra (CS) لدى أحد العملاء. ستكون هذه القصة محل اهتمام متخصصي أمن المعلومات، وكذلك المهندسين والمصممين والمعماريين. لن نتعمق في الفروق الدقيقة في التكوين الفني في هذا المنشور، بل سنركز على النقاط الرئيسية للإعداد الأساسي. تتوفر كميات هائلة من الوثائق حول إعداد برامج Linux OS، التي يستند إليها S-Terra CS، مجانًا على الإنترنت. الوثائق الخاصة بإعداد برنامج S-Terra الخاص متاحة أيضًا للعامة على الشركة المصنعة.
بضع كلمات عن المشروع
كانت طوبولوجيا شبكة العميل قياسية - شبكة كاملة بين المركز والفروع. وكان من الضروري إدخال تشفير قنوات تبادل المعلومات بين جميع المواقع، والتي بلغ عددها 8.
عادةً ما يكون كل شيء ثابتًا في مثل هذه المشاريع: يتم تعيين المسارات الثابتة إلى الشبكة المحلية للموقع على بوابات التشفير (CGs)، ويتم تسجيل قوائم عناوين IP (ACLs) للتشفير. ومع ذلك، في هذه الحالة، لا تتمتع المواقع بتحكم مركزي، ويمكن أن يحدث أي شيء داخل شبكاتها المحلية: يمكن إضافة الشبكات وحذفها وتعديلها بكل الطرق الممكنة. لتجنب إعادة تكوين التوجيه وقائمة التحكم بالوصول (ACL) على KS عند تغيير عنونة الشبكات المحلية في المواقع، تقرر استخدام نفق GRE والتوجيه الديناميكي لـ OSPF، والذي يتضمن جميع KS ومعظم أجهزة التوجيه على المستوى الأساسي للشبكة في المواقع ( في بعض المواقع، يفضل مسؤولو البنية التحتية استخدام SNAT تجاه KS على أجهزة توجيه kernel).
سمح لنا نفق GRE بحل مشكلتين:
1. استخدم عنوان IP الخاص بالواجهة الخارجية لـ CS للتشفير في قائمة التحكم بالوصول (ACL)، والتي تتضمن كل حركة المرور المرسلة إلى المواقع الأخرى.
2. تنظيم أنفاق ptp بين CSs، مما يسمح لك بتكوين التوجيه الديناميكي (في حالتنا، يتم تنظيم MPLS L3VPN الخاص بالموفر بين المواقع).
أمر العميل بتنفيذ التشفير كخدمة. بخلاف ذلك، لن يتعين عليه فقط صيانة بوابات التشفير أو الاستعانة بمصادر خارجية لبعض المؤسسات، ولكن أيضًا مراقبة دورة حياة شهادات التشفير بشكل مستقل، وتجديدها في الوقت المحدد وتثبيت شهادات جديدة.
والآن المذكرة الفعلية - كيف وماذا أنشأنا
ملاحظة لموضوع CII: إعداد بوابة التشفير
الإعداد الأساسي للشبكة
بادئ ذي بدء، نطلق CS جديدًا وندخل إلى وحدة التحكم الإدارية. يجب أن تبدأ بتغيير أمر كلمة مرور المسؤول المضمنة تغيير مسؤول كلمة مرور المستخدم. ثم تحتاج إلى تنفيذ إجراء التهيئة (command تهيئة) يتم خلالها إدخال بيانات الترخيص وتهيئة مستشعر الأرقام العشوائية (RNS).
الانتباه! عند تهيئة S-Terra CC، يتم إنشاء سياسة أمان لا تسمح فيها واجهات بوابة الأمان للحزم بالمرور من خلالها. يجب عليك إما إنشاء السياسة الخاصة بك أو استخدام الأمر قم بتشغيل تفعيل csconf_mgr تفعيل سياسة السماح المحددة مسبقًا.
بعد ذلك، تحتاج إلى تكوين عنونة الواجهات الخارجية والداخلية، بالإضافة إلى المسار الافتراضي. من الأفضل العمل مع تكوين شبكة CS وتكوين التشفير من خلال وحدة تحكم تشبه Cisco. تم تصميم وحدة التحكم هذه لإدخال أوامر مشابهة لأوامر Cisco IOS. يتم بدوره تحويل التكوين الذي تم إنشاؤه باستخدام وحدة التحكم المشابهة لـ Cisco إلى ملفات التكوين المقابلة التي تعمل بها برامج نظام التشغيل. يمكنك الانتقال إلى وحدة التحكم المشابهة لـ Cisco من وحدة تحكم الإدارة باستخدام الأمر تكوين.
قم بتغيير كلمات المرور الخاصة بـ cscons المستخدم المضمن وقم بتمكين:
> تمكين
كلمة المرور: CSP (مثبتة مسبقًا)
#تكوين المحطة
#اسم المستخدم امتياز cscons 15 سر 0 # سر التمكين 0 إعداد التكوين الأساسي للشبكة:
# واجهة جيجابت إيثرنت 0/0
#عنوان IP 10.111.21.3 255.255.255.0
#لا تغلق
# واجهة جيجابت إيثرنت 0/1
#عنوان IP 192.168.2.5 255.255.255.252
#لا تغلق
# طريق الملكية الفكرية 0.0.0.0 0.0.0.0 10.111.21.254
GRE
اخرج من وحدة التحكم المشابهة لـ Cisco وانتقل إلى debian Shell باستخدام الأمر نظام. قم بتعيين كلمة المرور الخاصة بك للمستخدم جذر الفريق باسود.
في كل غرفة تحكم، يتم تكوين نفق منفصل لكل موقع. تم تكوين واجهة النفق في الملف / الخ / شبكة / اجهات. تعد الأداة المساعدة لنفق IP، المضمنة في مجموعة iproute2 المثبتة مسبقًا، مسؤولة عن إنشاء الواجهة نفسها. يتم كتابة أمر إنشاء الواجهة في خيار ما قبل المتابعة.
مثال لتكوين واجهة نفق نموذجية:
موقع السيارات 1
iface site1 إنت ثابت
عنوان 192.168.1.4
قناع الشبكة 255.255.255.254
إضافة نفق IP المسبق لوضع site1 gre المحلي 10.111.21.3 عن بعد 10.111.22.3 مفتاح hfLYEg^vCh6p
الانتباه! وتجدر الإشارة إلى أن إعدادات واجهات النفق يجب أن تكون موجودة خارج القسم
###netifcfg-تبدأ###
*****
###netifcfg-end###
وإلا، فسيتم استبدال هذه الإعدادات عند تغيير إعدادات الشبكة للواجهات الفعلية من خلال وحدة تحكم تشبه Cisco.
التوجيه الديناميكي
في S-Terra، يتم تنفيذ التوجيه الديناميكي باستخدام حزمة برامج Quagga. لتكوين OSPF نحتاج إلى تمكين البرامج الشيطانية وتكوينها حمار الوحش и com.ospfd. يعد برنامج zebra الخفي مسؤولاً عن الاتصال بين برامج التوجيه ونظام التشغيل. البرنامج الخفي ospfd، كما يوحي اسمه، مسؤول عن تنفيذ بروتوكول OSPF.
يتم تكوين OSPF إما من خلال وحدة التحكم الشيطانية أو مباشرة من خلال ملف التكوين /etc/quagga/ospfd.conf. تتم إضافة كافة الواجهات المادية وواجهات النفق المشاركة في التوجيه الديناميكي إلى الملف، كما يتم الإعلان عن الشبكات التي سيتم الإعلان عنها واستقبال الإعلانات.
مثال على التكوين الذي يجب إضافته ospfd.conf:
واجهة eth0
!
واجهة eth1
!
واجهة الموقع 1
!
واجهة الموقع 2
جهاز التوجيه ospf
معرف جهاز التوجيه ospf 192.168.2.21
الشبكة 192.168.1.4/31 منطقة 0.0.0.0
الشبكة 192.168.1.16/31 منطقة 0.0.0.0
الشبكة 192.168.2.4/30 منطقة 0.0.0.0
في هذه الحالة، يتم حجز العناوين 192.168.1.x/31 لشبكات ptp النفقية بين المواقع، ويتم تخصيص العناوين 192.168.2.x/30 لشبكات النقل بين أجهزة توجيه CS وأجهزة kernel.
الانتباه! لتقليل جدول التوجيه في عمليات التثبيت الكبيرة، يمكنك تصفية إعلانات شبكات النقل نفسها باستخدام البنيات لا إعادة توزيع متصلة أو إعادة توزيع خريطة الطريق المتصلة.
بعد تكوين الشياطين، تحتاج إلى تغيير حالة بدء تشغيل الشياطين الموجودة / etc / quagga / daemons. في الخيارات حمار الوحش и com.ospfd لا تغيير إلى نعم. ابدأ تشغيل البرنامج الخفي quagga واضبطه على التشغيل التلقائي عند بدء تشغيل أمر KS تمكين التحديث-rc.d quagga.
إذا تم تكوين أنفاق GRE وOSPF بشكل صحيح، فيجب أن تظهر المسارات في شبكة المواقع الأخرى على أجهزة التوجيه KSh وأجهزة التوجيه الأساسية، وبالتالي ينشأ اتصال الشبكة بين الشبكات المحلية.
نقوم بتشفير حركة المرور المرسلة
كما سبق أن كتبنا، عادةً عند التشفير بين المواقع، نحدد نطاقات عناوين IP (ACLs) التي يتم تشفير حركة المرور بينها: إذا كان عنوان المصدر والوجهة يقع ضمن هذه النطاقات، فسيتم تشفير حركة المرور بينهما. ومع ذلك، في هذا المشروع الهيكل ديناميكي وقد تتغير العناوين. نظرًا لأننا قمنا بالفعل بتكوين نفق GRE، يمكننا تحديد عناوين KS الخارجية كعناوين المصدر والوجهة لتشفير حركة المرور - بعد كل شيء، تصل حركة المرور المغلفة بالفعل بواسطة بروتوكول GRE للتشفير. بمعنى آخر، كل ما يدخل إلى CS من الشبكة المحلية لأحد المواقع نحو الشبكات التي تم الإعلان عنها من قبل مواقع أخرى يتم تشفيره. وداخل كل موقع من المواقع يمكن إجراء أي عملية إعادة توجيه. وبالتالي، إذا حدث أي تغيير في الشبكات المحلية، فما على المسؤول سوى تعديل الإعلانات القادمة من شبكته نحو الشبكة، وستصبح متاحة للمواقع الأخرى.
يتم إجراء التشفير في S-Terra CS باستخدام بروتوكول IPSec. نحن نستخدم خوارزمية "Grasshopper" وفقًا لـ GOST R 34.12-2015، وللتوافق مع الإصدارات الأقدم يمكنك استخدام GOST 28147-89. يمكن إجراء المصادقة تقنيًا على كل من المفاتيح المحددة مسبقًا (PSKs) والشهادات. ومع ذلك، في العملية الصناعية، من الضروري استخدام الشهادات الصادرة وفقًا لـ GOST R 34.10-2012.
يتم العمل مع الشهادات والحاويات وقوائم إبطال الشهادات (CRL) باستخدام الأداة المساعدة cert_mgr. بادئ ذي بدء، باستخدام الأمر إنشاء cert_mgr من الضروري إنشاء حاوية مفتاح خاص وطلب شهادة، سيتم إرسالهما إلى مركز إدارة الشهادات. بعد استلام الشهادة، يجب استيرادها مع شهادة CA الجذر وCRL (إذا تم استخدامها) مع الأمر استيراد cert_mgr. يمكنك التأكد من تثبيت كافة الشهادات وقوائم إبطال الشهادات (CRL) باستخدام الأمر عرض cert_mgr.
بعد تثبيت الشهادات بنجاح، انتقل إلى وحدة التحكم المشابهة لـ Cisco لتكوين IPSec.
نقوم بإنشاء سياسة IKE تحدد الخوارزميات والمعلمات المطلوبة للقناة الآمنة التي يتم إنشاؤها، والتي سيتم تقديمها للشريك للموافقة عليها.
#سياسة isakmp التشفير 1000
#encr gost341215k
#التجزئة gost341112-512-tc26
#علامة المصادقة
#مجموعة vko2
#العمر 3600
يتم تطبيق هذه السياسة عند بناء المرحلة الأولى من IPSec. نتيجة الانتهاء بنجاح من المرحلة الأولى هي إنشاء SA (جمعية الأمن).
بعد ذلك، نحتاج إلى تحديد قائمة عناوين IP المصدر والوجهة (ACL) للتشفير، وإنشاء مجموعة تحويل، وإنشاء خريطة تشفير (خريطة تشفير) وربطها بالواجهة الخارجية لـ CS.
ضبط قائمة التحكم بالوصول:
#ip قائمة الوصول الموسعة site1
# السماح للمضيف 10.111.21.3 المضيف 10.111.22.3
مجموعة من التحويلات (مثل المرحلة الأولى، نستخدم خوارزمية التشفير “Grasshopper” باستخدام وضع توليد إدراج المحاكاة):
#crypto ipsec تحويل مجموعة GOST esp-gost341215k-mac
نقوم بإنشاء خريطة تشفير، ونحدد قائمة التحكم بالوصول (ACL)، ومجموعة التحويل وعنوان النظير:
#خريطة التشفير MAIN 100 ipsec-isakmp
#تطابق عنوان الموقع1
#set تحويل مجموعة GOST
# مجموعة النظير 10.111.22.3
نقوم بربط بطاقة التشفير بالواجهة الخارجية لسجل النقد:
# واجهة جيجابت إيثرنت 0/0
#عنوان IP 10.111.21.3 255.255.255.0
#خريطة التشفير الرئيسية
لتشفير القنوات مع مواقع أخرى، يجب عليك تكرار الإجراء الخاص بإنشاء قائمة ACL وبطاقة التشفير، وتغيير اسم ACL وعناوين IP ورقم بطاقة التشفير.
الانتباه! إذا لم يتم استخدام التحقق من الشهادة بواسطة CRL، فيجب تحديد ذلك بوضوح:
#crypto pki Trustpoint s-terra_technological_trustpoint
#revocation-check لا شيء
عند هذه النقطة، يمكن اعتبار الإعداد كاملاً. في إخراج أمر وحدة التحكم المشابه لـ Cisco عرض التشفير isakmp sa и عرض التشفير IPSEC SA وينبغي أن تنعكس المرحلتان الأولى والثانية المبنيتان من IPSec. يمكن الحصول على نفس المعلومات باستخدام الأمر عرض sa_mgr، تم تنفيذه من دبيان شل. في إخراج الأمر عرض cert_mgr يجب أن تظهر شهادات الموقع البعيد. سيكون وضع هذه الشهادات عن بعد. إذا لم يتم بناء الأنفاق، فأنت بحاجة إلى إلقاء نظرة على سجل خدمة VPN، المخزن في الملف /var/log/cspvpngate.log. تتوفر قائمة كاملة بملفات السجل مع وصف لمحتوياتها في الوثائق.
مراقبة "صحة" النظام
يستخدم S-Terra CC البرنامج الخفي القياسي snmpd للمراقبة. بالإضافة إلى معلمات Linux النموذجية، يدعم S-Terra الجاهز إصدار البيانات حول أنفاق IPSec وفقًا لـ CISCO-IPSEC-FLOW-MONITOR-MIB، وهو ما نستخدمه عند مراقبة حالة أنفاق IPSec. يتم أيضًا دعم وظيفة معرفات الكائنات المخصصة التي تنتج نتائج تنفيذ البرنامج النصي كقيم. تتيح لنا هذه الميزة تتبع تواريخ انتهاء صلاحية الشهادة. يقوم البرنامج النصي المكتوب بتوزيع إخراج الأمر عرض cert_mgr ونتيجة لذلك يعطي عدد الأيام حتى تنتهي صلاحية الشهادات المحلية والجذرية. هذه التقنية لا غنى عنها عند إدارة عدد كبير من CABGs.
ما فائدة هذا التشفير؟
يتم دعم جميع الوظائف الموضحة أعلاه خارج الصندوق بواسطة S-Terra KSh. أي أنه ليست هناك حاجة لتثبيت أي وحدات إضافية يمكن أن تؤثر على شهادة بوابات التشفير وشهادة نظام المعلومات بأكمله. من الممكن أن يكون هناك أي قنوات بين المواقع، حتى عبر الإنترنت.
نظرًا لحقيقة أنه عندما تتغير البنية التحتية الداخلية، ليست هناك حاجة لإعادة تكوين بوابات التشفير، يعمل النظام كخدمة، وهو مناسب جدًا للعميل: يمكنه وضع خدماته (العميل والخادم) في أي عنوان، وسيتم نقل جميع التغييرات ديناميكيًا بين أجهزة التشفير.
بالطبع، يؤثر التشفير بسبب التكاليف العامة (النفقات العامة) على سرعة نقل البيانات، ولكن بشكل طفيف فقط - يمكن أن ينخفض إنتاجية القناة بحد أقصى 5-10٪. وفي الوقت نفسه، تم اختبار هذه التقنية وأظهرت نتائج جيدة حتى على القنوات الفضائية، وهي غير مستقرة تمامًا وذات نطاق ترددي منخفض.
إيجور فينوخودوف، مهندس الخط الثاني لإدارة Rostelecom-Solar
المصدر: www.habr.com