Şirkətiniz qanuna uyğun olaraq qorunmalı olan şəxsi məlumatları və digər məxfi məlumatları şəbəkə üzərindən ötürürsə və ya alırsa, GOST şifrələməsindən istifadə etmək tələb olunur. Bu gün biz müştərilərdən birində S-Terra kriptovalyutası (CS) əsasında belə şifrələməni necə həyata keçirdiyimizi sizə xəbər verəcəyik. Bu hekayə informasiya təhlükəsizliyi mütəxəssisləri, eləcə də mühəndislər, dizaynerlər və memarlar üçün maraqlı olacaq. Bu yazıda texniki konfiqurasiyanın nüanslarına dərindən girməyəcəyik, əsas quraşdırmanın əsas məqamlarına diqqət yetirəcəyik. S-Terra CS-nin əsaslandığı Linux OS demonlarının qurulması ilə bağlı böyük həcmdə sənədlər İnternetdə sərbəst mövcuddur. Xüsusi S-Terra proqram təminatının qurulması üçün sənədlər də ictimaiyyətə açıqdır istehsalçı.
Layihə haqqında bir neçə kəlmə
Müştərinin şəbəkə topologiyası standart idi - mərkəz və filiallar arasında tam şəbəkə. Bütün saytlar arasında məlumat mübadiləsi kanallarının şifrələnməsini tətbiq etmək lazım idi, bunlardan 8-i var idi.
Adətən belə layihələrdə hər şey statik olur: saytın yerli şəbəkəsinə statik marşrutlar kriptovalyutalarda (CG) qurulur, şifrələmə üçün IP ünvanlarının (ACL) siyahıları qeydə alınır. Lakin bu halda saytların mərkəzləşdirilmiş nəzarəti yoxdur və onların lokal şəbəkələrində hər şey baş verə bilər: şəbəkələr hər cür şəkildə əlavə edilə, silinə və dəyişdirilə bilər. Saytlarda yerli şəbəkələrin ünvanlarını dəyişdirərkən KS-də marşrutlaşdırma və ACL-nin yenidən konfiqurasiya edilməsinin qarşısını almaq üçün saytlarda bütün KS və əksər marşrutlaşdırıcıları əhatə edən GRE tunelləmə və OSPF dinamik marşrutlaşdırmadan istifadə etmək qərara alındı ( bəzi saytlarda infrastruktur administratorları nüvə marşrutlaşdırıcılarında KS üçün SNAT-dan istifadə etməyi üstün tuturlar).
GRE tunelləri bizə iki problemi həll etməyə imkan verdi:
1. Digər saytlara göndərilən bütün trafiki əhatə edən ACL-də şifrələmə üçün CS-nin xarici interfeysinin IP ünvanından istifadə edin.
2. Dinamik marşrutlaşdırma qurmağa imkan verən CB-lər arasında p-t-p tunellərini təşkil edin (bizim vəziyyətimizdə saytlar arasında provayder MPLS L3VPN təşkil olunur).
Müştəri bir xidmət olaraq şifrələmənin həyata keçirilməsini əmr etdi. Əks halda, o, nəinki kriptovalyuta şlüzlərini saxlamalı və ya onları hansısa təşkilata təhvil verməli, həm də şifrələmə sertifikatlarının həyat dövrünü müstəqil şəkildə izləməli, onları vaxtında yeniləməli və yenilərini quraşdırmalıdır.
İndi faktiki memo - necə və nəyi konfiqurasiya etdik
CII mövzusuna qeyd: kriptovalyuta keçidinin qurulması
Əsas şəbəkə quraşdırma
Əvvəlcə yeni bir CS işə salırıq və idarəetmə konsoluna daxil oluruq. Daxili administrator parolunu dəyişdirməklə başlamalısınız - əmr istifadəçi parolu administratorunu dəyişdirin. Sonra başlatma prosedurunu yerinə yetirməlisiniz (command başlamaq) bu müddət ərzində lisenziya məlumatı daxil edilir və təsadüfi ədəd sensoru (RNS) işə salınır.
Diqqət edin! S-Terra CC işə salındıqda, təhlükəsizlik şlüzünün interfeyslərinin paketlərin keçməsinə icazə vermədiyi bir təhlükəsizlik siyasəti qurulur. Ya öz siyasətinizi yaratmalı, ya da əmrdən istifadə etməlisiniz csconf_mgr aktivləşdirin əvvəlcədən təyin edilmiş icazə siyasətini aktivləşdirin.
Sonra, xarici və daxili interfeyslərin ünvanlanmasını, həmçinin standart marşrutu konfiqurasiya etməlisiniz. CS şəbəkə konfiqurasiyası ilə işləmək və şifrələməni Cisco-ya bənzər konsol vasitəsilə konfiqurasiya etmək üstünlük təşkil edir. Bu konsol Cisco IOS əmrlərinə oxşar əmrləri daxil etmək üçün nəzərdə tutulmuşdur. Cisco-ya bənzər konsoldan istifadə etməklə yaradılan konfiqurasiya, öz növbəsində, ƏS demonlarının işlədiyi müvafiq konfiqurasiya fayllarına çevrilir. Komanda ilə idarəetmə konsolundan Cisco-ya bənzər konsola keçə bilərsiniz konfiqurasiya.
Daxili istifadəçi cscons üçün parolları dəyişdirin və aktivləşdirin:
>aktiv edin
Parol: csp (əvvəlcədən quraşdırılmış)
#terminal konfiqurasiya
#username cscons privilege 15 secret 0 #enable secret 0 Əsas şəbəkə konfiqurasiyasının qurulması:
#interfeys GigabitEthernet0/0
#ip ünvanı 10.111.21.3 255.255.255.0
#bağlanma yoxdur
#interfeys GigabitEthernet0/1
#ip ünvanı 192.168.2.5 255.255.255.252
#bağlanma yoxdur
#ip marşrutu 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Cisco-ya bənzər konsoldan çıxın və komanda ilə debian qabığına keçin sistem. İstifadəçi üçün öz parolunuzu təyin edin kök komanda passwd.
Hər bir nəzarət otağında hər bir sahə üçün ayrıca tunel konfiqurasiya edilmişdir. Tunel interfeysi faylda konfiqurasiya edilmişdir / etc / network / interfeyslər. Əvvəlcədən quraşdırılmış iproute2 dəstinə daxil olan IP tunel yardım proqramı interfeysin özünün yaradılmasına cavabdehdir. İnterfeys yaratma əmri pre-up seçiminə yazılır.
Tipik tunel interfeysinin nümunə konfiqurasiyası:
avtomatik sayt 1
iface site1 inet statik
ünvan 192.168.1.4
şəbəkə maskası 255.255.255.254
Əvvəlcədən ip tunel əlavə et site1 rejimi gre yerli 10.111.21.3 uzaqdan 10.111.22.3 açar hfLYEg^vCh6p
Diqqət edin! Qeyd etmək lazımdır ki, tunel interfeysləri üçün parametrlər bölmədən kənarda yerləşdirilməlidir
###netifcfg-begin###
*****
###netifcfg-end###
Əks halda, Cisco-ya bənzər konsol vasitəsilə fiziki interfeyslərin şəbəkə parametrləri dəyişdirilərkən bu parametrlər üzərinə yazılacaq.
Dinamik marşrutlaşdırma
S-Terra-da dinamik marşrutlaşdırma Quagga proqram paketindən istifadə etməklə həyata keçirilir. OSPF-ni konfiqurasiya etmək üçün demonları aktivləşdirib konfiqurasiya etməliyik zebr и ospfd. Zebra demonu marşrutlaşdırıcı demonlarla ƏS arasında əlaqə üçün cavabdehdir. Ospfd demonu, adından da göründüyü kimi, OSPF protokolunun həyata keçirilməsinə cavabdehdir.
OSPF ya daemon konsolu və ya birbaşa konfiqurasiya faylı vasitəsilə konfiqurasiya edilir /etc/quagga/ospfd.conf. Dinamik marşrutlaşdırmada iştirak edən bütün fiziki və tunel interfeysləri fayla əlavə edilir və reklam ediləcək və elanlar qəbul ediləcək şəbəkələr də elan edilir.
Əlavə edilməli olan konfiqurasiya nümunəsi ospfd.conf:
eth0 interfeysi
!
eth1 interfeysi
!
interfeys saytı 1
!
interfeys saytı 2
router ospf
ospf router-id 192.168.2.21
şəbəkə 192.168.1.4/31 sahəsi 0.0.0.0
şəbəkə 192.168.1.16/31 sahəsi 0.0.0.0
şəbəkə 192.168.2.4/30 sahəsi 0.0.0.0
Bu halda, 192.168.1.x/31 ünvanları saytlar arasında tunel ptp şəbəkələri üçün qorunur, 192.168.2.x/30 ünvanları CS və nüvə marşrutlaşdırıcıları arasında tranzit şəbəkələr üçün ayrılır.
Diqqət edin! Böyük qurğularda marşrut cədvəlini azaltmaq üçün konstruksiyalardan istifadə edərək tranzit şəbəkələrinin elanını süzgəcdən keçirə bilərsiniz. heç bir yenidən paylama bağlı deyil və ya bağlı marşrut xəritəsini yenidən paylayın.
Demonları konfiqurasiya etdikdən sonra daemonların başlanğıc statusunu dəyişdirməlisiniz /etc/quagga/daemons. Seçimlərdə zebr и ospfd bəli dəyişmir. Quagga demonunu işə salın və KS əmrini işə saldığınız zaman onu avtomatik işə salın update-rc.d quagga aktivləşdirin.
GRE tunellərinin və OSPF-nin konfiqurasiyası düzgün aparılırsa, o zaman digər saytların şəbəkəsindəki marşrutlar KSh və əsas marşrutlaşdırıcılarda görünməlidir və beləliklə, yerli şəbəkələr arasında şəbəkə bağlantısı yaranır.
Biz ötürülən trafiki şifrələyirik
Artıq yazıldığı kimi, adətən saytlar arasında şifrələmə zamanı biz trafikin şifrələndiyi IP ünvan diapazonlarını (ACL) müəyyənləşdiririk: əgər mənbə və təyinat ünvanları bu diapazonlara düşürsə, onda onlar arasındakı trafik şifrələnir. Lakin bu layihədə struktur dinamikdir və ünvanlar dəyişə bilər. Artıq GRE tunelini konfiqurasiya etdiyimiz üçün biz xarici KS ünvanlarını trafikin şifrələnməsi üçün mənbə və təyinat ünvanları kimi təyin edə bilərik - axırda artıq GRE protokolu ilə əhatə olunmuş trafik şifrələmə üçün gəlir. Başqa sözlə, bir saytın yerli şəbəkəsindən digər saytlar tərəfindən elan edilmiş şəbəkələrə doğru CS-ə daxil olan hər şey şifrələnir. Və saytların hər birində istənilən yönləndirmə həyata keçirilə bilər. Belə ki, lokal şəbəkələrdə hər hansı dəyişiklik olarsa, administrator yalnız öz şəbəkəsindən şəbəkəyə doğru gələn elanları dəyişdirməlidir və o, digər saytlar üçün də əlçatan olacaq.
S-Terra CS-də şifrələmə IPSec protokolundan istifadə etməklə həyata keçirilir. GOST R 34.12-2015-ə uyğun olaraq "Çəyirtkə" alqoritmindən istifadə edirik və köhnə versiyalarla uyğunluq üçün GOST 28147-89-dan istifadə edə bilərsiniz. Doğrulama texniki olaraq həm əvvəlcədən təyin edilmiş açarlarda (PSK), həm də sertifikatlarda həyata keçirilə bilər. Bununla belə, sənaye istismarında GOST R 34.10-2012-yə uyğun olaraq verilmiş sertifikatlardan istifadə etmək lazımdır.
Sertifikatlar, konteynerlər və CRL-lərlə işləmək yardımçı proqramdan istifadə etməklə həyata keçirilir cert_mgr. Hər şeydən əvvəl, əmrdən istifadə edərək cert_mgr yaradın Şəxsi açar konteyneri və Sertifikat İdarəetmə Mərkəzinə göndəriləcək sertifikat sorğusu yaratmaq lazımdır. Sertifikatı aldıqdan sonra, o, kök CA sertifikatı və CRL (istifadə edildikdə) əmri ilə birlikdə idxal edilməlidir. cert_mgr idxalı. Komanda ilə bütün sertifikatların və CRL-lərin quraşdırıldığından əmin ola bilərsiniz cert_mgr şou.
Sertifikatları uğurla quraşdırdıqdan sonra IPSec-i konfiqurasiya etmək üçün Cisco-ya oxşar konsola keçin.
Biz təsdiq üçün tərəfdaşa təklif olunacaq, yaradılan təhlükəsiz kanalın istənilən alqoritmlərini və parametrlərini təyin edən IKE siyasəti yaradırıq.
#crypto isakmp siyasəti 1000
#encr gost341215k
#hash gost341112-512-tc26
#autentifikasiya işarəsi
#qrup vko2
#ömür boyu 3600
Bu siyasət IPSec-in birinci mərhələsini qurarkən tətbiq edilir. Birinci mərhələnin uğurla başa çatmasının nəticəsi SA-nın (Təhlükəsizlik Assosiasiyasının) yaradılmasıdır.
Sonra, şifrələmə üçün mənbə və təyinat IP ünvanlarının (ACL) siyahısını müəyyən etməli, transformasiya dəsti yaratmalı, kriptoqrafik xəritə (kripto xəritəsi) yaratmalı və onu CS-nin xarici interfeysinə bağlamalıyıq.
ACL təyin edin:
#ip giriş siyahısı genişləndirilmiş sayt1
#permit gre host 10.111.21.3 host 10.111.22.3
Dəyişikliklər dəsti (birinci mərhələdə olduğu kimi, simulyasiya əlavəsi yaratma rejimindən istifadə edərək "Çəyirtkə" şifrələmə alqoritmindən istifadə edirik):
#crypto ipsec transform-set GOST esp-gost341215k-mac
Bir kripto xəritəsi yaradırıq, ACL-ni təyin edirik, dəsti və həmyaşıd ünvanını çeviririk:
#kripto xəritəsi MAIN 100 ipsec-isakmp
#uyğun ünvanı sayt1
#set transform-set GOST
#müxtəlif 10.111.22.3
Kripto kartı kassa aparatının xarici interfeysinə bağlayırıq:
#interfeys GigabitEthernet0/0
#ip ünvanı 10.111.21.3 255.255.255.0
#kripto xəritəsi ƏSAS
Kanalları digər saytlarla şifrələmək üçün siz ACL və kripto kartı yaratmaq, ACL adını, IP ünvanlarını və kripto kartı nömrəsini dəyişdirmək prosedurunu təkrarlamalısınız.
Diqqət edin! CRL tərəfindən sertifikatın yoxlanılması istifadə edilmirsə, bu, açıq şəkildə göstərilməlidir:
#crypto pki etibar nöqtəsi s-terra_texnoloji_etibar nöqtəsi
#ləğv-heç birini yoxlayın
Bu nöqtədə quraşdırma tamamlanmış hesab edilə bilər. Cisco kimi konsol əmr çıxışında kripto isakmp sa göstər и kripto ipsec sa göstər IPSec-in qurulmuş birinci və ikinci mərhələləri öz əksini tapmalıdır. Eyni məlumatı əmrdən istifadə etməklə əldə etmək olar sa_mgr şou, debian qabığından icra edilmişdir. Komanda çıxışında cert_mgr şou Uzaqdan sayt sertifikatları görünməlidir. Bu cür sertifikatların statusu olacaq uzaq. Tunellər tikilmirsə, faylda saxlanılan VPN xidmət jurnalına baxmaq lazımdır /var/log/cspvpngate.log. Tərkiblərinin təsviri ilə jurnal fayllarının tam siyahısı sənədlərdə mövcuddur.
Sistemin “sağlamlığına” nəzarət
S-Terra CC monitorinq üçün standart snmpd demonundan istifadə edir. Tipik Linux parametrlərinə əlavə olaraq, S-Terra, IPSec tunellərinin vəziyyətini izləyərkən istifadə etdiyimiz CISCO-IPSEC-FLOW-MONITOR-MIB-ə uyğun olaraq, IPSec tunelləri haqqında məlumatların verilməsini də dəstəkləyir. Skript icrasının nəticələrini dəyər kimi çıxaran xüsusi OID-lərin funksionallığı da dəstəklənir. Bu xüsusiyyət bizə sertifikatın bitmə tarixlərini izləməyə imkan verir. Yazılı skript əmr çıxışını təhlil edir cert_mgr şou və nəticədə yerli və kök sertifikatların müddəti bitənə qədər günlərin sayını verir. Çox sayda CABG tətbiq edərkən bu texnika əvəzolunmazdır.
Belə şifrələmənin faydası nədir?
Yuxarıda təsvir edilən bütün funksiyalar S-Terra KSh tərəfindən dəstəklənir. Yəni kriptovalyutaların sertifikatlaşdırılmasına və bütün informasiya sisteminin sertifikatlaşdırılmasına təsir edə biləcək hər hansı əlavə modulların quraşdırılmasına ehtiyac yox idi. Saytlar arasında, hətta İnternet vasitəsilə də istənilən kanal ola bilər.
Daxili infrastruktur dəyişdikdə kriptovalyutaların yenidən konfiqurasiyasına ehtiyac qalmadığından, sistem xidmət kimi işləyir, bu da müştəri üçün çox əlverişlidir: o, öz xidmətlərini (müştəri və server) istənilən ünvanda yerləşdirə bilər və bütün dəyişikliklər dinamik şəkildə şifrələmə avadanlığı arasında ötürüləcək.
Əlbəttə ki, əlavə xərclər (yerüstü) səbəbindən şifrələmə məlumat ötürmə sürətinə təsir göstərir, ancaq bir az - kanalın ötürülməsi maksimum 5-10% azalda bilər. Eyni zamanda, texnologiya kifayət qədər qeyri-sabit və aşağı ötürmə qabiliyyətinə malik olan peyk kanallarında da sınaqdan keçirilmiş və yaxşı nəticələr göstərmişdir.
İqor Vinoxodov, Rostelecom-Solar-ın 2-ci idarə xəttinin mühəndisi
Mənbə: www.habr.com