Ние шифроваме според GOST: ръководство за настройка на динамично маршрутизиране на трафика

Ако вашата компания предава или получава лични данни и друга поверителна информация по мрежата, която подлежи на защита в съответствие със закона, тя е длъжна да използва GOST криптиране. Днес ще ви разкажем как внедрихме такова криптиране на базата на S-Terra crypto gateway (CS) при един от клиентите. Тази история ще бъде от интерес както за специалисти по информационна сигурност, така и за инженери, дизайнери и архитекти. В тази публикация няма да навлизаме дълбоко в нюансите на техническата конфигурация, а ще се съсредоточим върху ключовите точки на основната настройка. Огромни обеми документация за настройка на Linux OS демони, на които е базиран S-Terra CS, са свободно достъпни в Интернет. Документацията за настройка на патентован софтуер S-Terra също е публично достъпна на портала производител.

Няколко думи за проекта

Топологията на мрежата на клиента беше стандартна - пълна мрежа между центъра и клоновете. Беше необходимо да се въведе криптиране на каналите за обмен на информация между всички сайтове, които бяха 8.

Обикновено в такива проекти всичко е статично: статичните маршрути към локалната мрежа на сайта са зададени на крипто шлюзове (CG), регистрирани са списъци с IP адреси (ACL) за криптиране. В този случай обаче сайтовете нямат централизиран контрол и всичко може да се случи в техните локални мрежи: мрежите могат да се добавят, изтриват и модифицират по всякакъв възможен начин. За да се избегне повторно конфигуриране на маршрутизиране и ACL на KS при промяна на адресирането на локални мрежи в сайтовете, беше решено да се използва GRE тунелиране и OSPF динамично маршрутизиране, което включва всички KS и повечето рутери на ниво ядро ​​на мрежата в сайтовете ( на някои сайтове инфраструктурните администратори предпочитат да използват SNAT към KS на рутери на ядрото).

GRE тунелирането ни позволи да разрешим два проблема:
1. Използвайте IP адреса на външния интерфейс на CS за криптиране в ACL, който капсулира целия трафик, изпратен към други сайтове.
2. Организирайте ptp тунели между CS, които ви позволяват да конфигурирате динамично маршрутизиране (в нашия случай MPLS L3VPN на доставчика е организиран между сайтовете).

Клиентът поръча внедряването на криптиране като услуга. В противен случай той би трябвало не само да поддържа крипто шлюзове или да ги възложи на някаква организация, но и независимо да наблюдава жизнения цикъл на сертификатите за криптиране, да ги подновява навреме и да инсталира нови.

И сега същинската бележка - как и какво конфигурирахме

Забележка към темата CII: настройка на крипто шлюз

Основна настройка на мрежата

Първо, стартираме нов CS и влизаме в административната конзола. Трябва да започнете, като промените вградената администраторска парола - команда промяна на потребителската парола администратор. След това трябва да извършите процедурата за инициализация (команда инициализира), по време на който се въвеждат данните за лиценза и се инициализира сензорът за случайни числа (RNS).

Забележка! Когато S-Terra CC се инициализира, се установява политика за сигурност, при която интерфейсите на защитния шлюз не позволяват преминаването на пакети. Трябва или да създадете своя собствена политика, или да използвате командата стартирайте csconf_mgr активиране активирайте предварително дефинирана разрешаваща политика.
След това трябва да конфигурирате адресирането на външни и вътрешни интерфейси, както и маршрута по подразбиране. За предпочитане е да работите с мрежовата конфигурация на CS и да конфигурирате криптиране чрез Cisco-подобна конзола. Тази конзола е проектирана да въвежда команди, подобни на командите на Cisco IOS. Конфигурацията, генерирана с помощта на подобна на Cisco конзола, от своя страна се преобразува в съответните конфигурационни файлове, с които работят OS демоните. Можете да отидете до подобна на Cisco конзола от административната конзола с командата конфигурирате.

Променете паролите за вградените потребителски cscons и активирайте:

> активиране
Парола: csp (предварително инсталирана)
#configure терминал
#username cscons privilege 15 secret 0 #enable secret 0 Настройване на основната мрежова конфигурация:

#интерфейс GigabitEthernet0/0
#ip адрес 10.111.21.3 255.255.255.0
#без изключване
#интерфейс GigabitEthernet0/1
#ip адрес 192.168.2.5 255.255.255.252
#без изключване
#ip route 0.0.0.0 0.0.0.0 10.111.21.254

GRE

Излезте от конзолата, подобна на Cisco, и отидете в обвивката на debian с командата система. Задайте своя собствена парола за потребителя корен екип ако съществува.
Във всяка контролна зала е конфигуриран отделен тунел за всеки обект. Интерфейсът на тунела е конфигуриран във файла / и т.н. / мрежа / интерфейси. Помощната програма за IP тунел, включена в предварително инсталирания набор iproute2, отговаря за създаването на самия интерфейс. Командата за създаване на интерфейс е записана в опцията pre-up.

Примерна конфигурация на типичен тунелен интерфейс:
авто сайт1
iface site1 inet static
адрес 192.168.1.4
мрежова маска 255.255.255.254
pre-up ip tunnel add site1 mode gre local 10.111.21.3 remote 10.111.22.3 key hfLYEg^vCh6p

Забележка! Трябва да се отбележи, че настройките за тунелни интерфейси трябва да се намират извън секцията

###netifcfg-begin###
*****
###netifcfg-end###

В противен случай тези настройки ще бъдат презаписани при промяна на мрежовите настройки на физическите интерфейси чрез конзола, подобна на Cisco.

Динамично маршрутизиране

В S-Terra динамичното маршрутизиране се реализира с помощта на софтуерния пакет Quagga. За да конфигурираме OSPF, трябва да активираме и конфигурираме демони зебра и ospfd. Демонът zebra отговаря за комуникацията между демоните за маршрутизиране и операционната система. Демонът ospfd, както подсказва името, отговаря за внедряването на OSPF протокола.
OSPF се конфигурира или чрез конзолата на демона, или директно чрез конфигурационния файл /etc/quagga/ospfd.conf. Всички физически и тунелни интерфейси, участващи в динамичното маршрутизиране, се добавят към файла и мрежите, които ще бъдат рекламирани и ще получават съобщения, също са декларирани.

Пример за конфигурация, която трябва да се добави ospfd.conf:
интерфейс eth0
!
интерфейс eth1
!
интерфейс сайт1
!
интерфейс сайт2
рутер ospf
ospf рутер-id 192.168.2.21
мрежа 192.168.1.4/31 област 0.0.0.0
мрежа 192.168.1.16/31 област 0.0.0.0
мрежа 192.168.2.4/30 област 0.0.0.0

В този случай адреси 192.168.1.x/31 са запазени за тунелни ptp мрежи между сайтове, адреси 192.168.2.x/30 са разпределени за транзитни мрежи между CS и рутери на ядрото.

Забележка! За да намалите таблицата за маршрутизиране в големи инсталации, можете да филтрирате съобщението на самите транзитни мрежи, като използвате конструкциите няма свързано преразпределение или преразпределете свързаната карта на маршрута.

След като конфигурирате демоните, трябва да промените състоянието на стартиране на демоните в /etc/quagga/daemons. В опции зебра и ospfd без промяна на да. Стартирайте демона quagga и го настройте на автоматично стартиране, когато стартирате командата KS update-rc.d quagga enable.

Ако конфигурацията на GRE тунелите и OSPF е направена правилно, тогава маршрутите в мрежата на други сайтове трябва да се появят на KSh и основните рутери и по този начин възниква мрежова свързаност между локалните мрежи.

Ние криптираме предавания трафик

Както вече беше написано, обикновено при криптиране между сайтове, ние определяме диапазони от IP адреси (ACL), между които трафикът е криптиран: ако адресите на източника и местоназначението попадат в тези диапазони, тогава трафикът между тях е криптиран. В този проект обаче структурата е динамична и адресите могат да се променят. Тъй като вече сме конфигурирали GRE тунелиране, можем да посочим външни KS адреси като адреси на източник и местоназначение за криптиране на трафик - в крайна сметка трафикът, който вече е капсулиран от GRE протокола, пристига за криптиране. С други думи, всичко, което влиза в CS от локалната мрежа на един сайт към мрежи, обявени от други сайтове, е криптирано. И във всеки един от сайтовете може да се извърши всякакво пренасочване. По този начин, ако има някаква промяна в локалните мрежи, администраторът трябва само да промени съобщенията, идващи от неговата мрежа към мрежата, и те ще станат достъпни за други сайтове.

Криптирането в S-Terra CS се извършва с помощта на протокола IPSec. Използваме алгоритъма „Grasshopper“ в съответствие с GOST R 34.12-2015, а за съвместимост с по-стари версии можете да използвате GOST 28147-89. Технически удостоверяването може да се извърши както на предварително дефинирани ключове (PSK), така и на сертификати. При промишлена експлоатация обаче е необходимо да се използват сертификати, издадени в съответствие с GOST R 34.10-2012.

Работата със сертификати, контейнери и CRL се извършва с помощта на помощната програма cert_mgr. На първо място, с помощта на командата cert_mgr създаване необходимо е да се генерира контейнер за личен ключ и заявка за сертификат, която да бъде изпратена до Центъра за управление на сертификати. След получаване на сертификата, той трябва да бъде импортиран заедно с основния CA сертификат и CRL (ако се използва) с командата cert_mgr импортиране. Можете да се уверите, че всички сертификати и CRL са инсталирани с командата cert_mgr шоу.

След като инсталирате успешно сертификатите, отидете на подобна на Cisco конзола, за да конфигурирате IPSec.
Създаваме IKE политика, която определя желаните алгоритми и параметри на създавания защитен канал, който ще бъде предложен на партньора за одобрение.

#crypto isakmp политика 1000
#encr gost341215k
#хеш gost341112-512-tc26
#знак за удостоверяване
#група vko2
#живот 3600

Тази политика се прилага при изграждането на първата фаза на IPSec. Резултатът от успешното завършване на първата фаза е създаването на SA (Асоциация за сигурност).
След това трябва да дефинираме списък с IP адреси на източник и местоназначение (ACL) за криптиране, да генерираме набор от трансформации, да създадем криптографска карта (крипто карта) и да я свържем към външния интерфейс на CS.

Задайте ACL:
#ip достъп-списък разширен сайт1
#permit gre хост 10.111.21.3 хост 10.111.22.3

Набор от трансформации (същото като за първата фаза, използваме алгоритъма за криптиране „Grasshopper“, използвайки режима на генериране на вмъкване на симулация):

#crypto ipsec transform-set GOST esp-gost341215k-mac

Ние създаваме крипто карта, определяме ACL, набор от трансформации и адрес на партньор:

#crypto map MAIN 100 ipsec-isakmp
#съвпадение на адрес сайт1
#set transform-set GOST
#set peer 10.111.22.3

Свързваме крипто картата към външния интерфейс на касовия апарат:

#интерфейс GigabitEthernet0/0
#ip адрес 10.111.21.3 255.255.255.0
#криптокарта ОСНОВНА

За да шифровате канали с други сайтове, трябва да повторите процедурата за създаване на ACL и крипто карта, като промените ACL името, IP адресите и номера на крипто картата.

Забележка! Ако проверката на сертификат от CRL не се използва, това трябва да бъде изрично посочено:

#crypto pki trustpoint s-terra_technological_trustpoint
#revocation-проверете без

На този етап настройката може да се счита за завършена. В подобен на Cisco конзолен команден изход покажи крипто isakmp sa и покажи крипто ipsec sa Изградените първа и втора фаза на IPSec трябва да бъдат отразени. Същата информация може да бъде получена с помощта на командата sa_mgr шоу, изпълнен от debian shell. В изхода на командата cert_mgr шоу Трябва да се появят сертификатите за отдалечен сайт. Статусът на такива сертификати ще бъде отдалечен. Ако не се изграждат тунели, трябва да погледнете регистрационния файл на VPN услугата, който се съхранява във файла /var/log/cspvpngate.log. Пълен списък на регистрационните файлове с описание на тяхното съдържание е достъпен в документацията.

Мониторинг на "здравето" на системата

S-Terra CC използва стандартния snmpd демон за наблюдение. В допълнение към типичните параметри на Linux, извън кутията S-Terra поддържа издаване на данни за IPSec тунели в съответствие с CISCO-IPSEC-FLOW-MONITOR-MIB, което използваме, когато наблюдаваме състоянието на IPSec тунели. Функционалността на потребителски OID, които извеждат резултатите от изпълнението на скрипта като стойности, също се поддържа. Тази функция ни позволява да проследяваме датите на валидност на сертификата. Написаният скрипт анализира изхода на командата cert_mgr шоу и като резултат дава броя на дните до изтичане на локалните и основните сертификати. Тази техника е незаменима при прилагането на голям брой CABGs.

Каква е ползата от такова криптиране?

Цялата функционалност, описана по-горе, се поддържа от кутията от S-Terra KSh. Тоест не е необходимо да се инсталират допълнителни модули, които биха могли да повлияят на сертифицирането на крипто шлюзовете и сертифицирането на цялата информационна система. Може да има всякакви канали между сайтовете, дори през интернет.

Поради факта, че когато вътрешната инфраструктура се промени, няма нужда да се преконфигурират крипто шлюзове, системата работи като услуга, което е много удобно за клиента: той може да постави услугите си (клиент и сървър) на всякакви адреси и всички промени ще се прехвърлят динамично между оборудването за криптиране.

Разбира се, криптирането поради режийни разходи (режийни разходи) влияе върху скоростта на пренос на данни, но само леко - пропускателната способност на канала може да намалее с максимум 5-10%. В същото време технологията е тествана и показва добри резултати дори на сателитни канали, които са доста нестабилни и имат ниска честотна лента.

Игор Виноходов, инженер от 2-ра линия на управление на Rostelecom-Solar

Източник: www.habr.com