Si la vostra empresa transmet o rep dades personals i altra informació confidencial a través de la xarxa que està subjecta a protecció d'acord amb la llei, ha d'utilitzar el xifratge GOST. Avui us explicarem com hem implementat aquest xifratge basat en la passarel·la criptogràfica (CS) S-Terra en un dels clients. Aquesta història serà d'interès per als especialistes en seguretat de la informació, així com per a enginyers, dissenyadors i arquitectes. No aprofundirem en els matisos de la configuració tècnica en aquesta publicació; ens centrarem en els punts clau de la configuració bàsica. Grans volums de documentació sobre la configuració de dimonis del sistema operatiu Linux, en què es basa S-Terra CS, estan disponibles gratuïtament a Internet. La documentació per configurar el programari propietari S-Terra també està disponible públicament a fabricant.
Unes paraules sobre el projecte
La topologia de xarxa del client era estàndard: malla completa entre el centre i les sucursals. Va ser necessari introduir el xifratge dels canals d'intercanvi d'informació entre tots els llocs, dels quals n'hi havia 8.
Normalment, en aquests projectes tot és estàtic: les rutes estàtiques a la xarxa local del lloc s'estableixen en passarel·les criptogràfiques (CG), es registren llistes d'adreces IP (ACL) per al xifratge. Tanmateix, en aquest cas, els llocs no tenen control centralitzat, i qualsevol cosa pot passar dins de les seves xarxes locals: les xarxes es poden afegir, esborrar i modificar de totes les maneres possibles. Per tal d'evitar reconfigurar l'encaminament i l'ACL al KS quan es canvia l'adreçament de les xarxes locals als llocs, es va decidir utilitzar el túnel GRE i l'encaminament dinàmic OSPF, que inclou tots els KS i la majoria d'encaminadors al nivell central de la xarxa als llocs ( en alguns llocs, els administradors d'infraestructura preferien utilitzar SNAT cap a KS als encaminadors del nucli).
El túnel GRE ens va permetre resoldre dos problemes:
1. Utilitzeu l'adreça IP de la interfície externa del CS per al xifratge a l'ACL, que encapsula tot el trànsit enviat a altres llocs.
2. Organitzeu túnels ptp entre CS, que us permeten configurar l'encaminament dinàmic (en el nostre cas, el MPLS L3VPN del proveïdor s'organitza entre els llocs).
El client va ordenar la implementació del xifratge com a servei. En cas contrari, no només hauria de mantenir les passarel·les criptogràfiques o subcontractar-les a alguna organització, sinó també supervisar de manera independent el cicle de vida dels certificats de xifratge, renovar-los a temps i instal·lar-ne de nous.
I ara la nota real: com i què hem configurat
Nota per al tema CII: configurar una passarel·la criptogràfica
Configuració bàsica de la xarxa
En primer lloc, iniciem un nou CS i entrem a la consola d'administració. Hauríeu de començar canviant la contrasenya d'administrador integrada - comanda canviar la contrasenya d'usuari administrador. A continuació, heu de dur a terme el procediment d'inicialització (ordre inicialitzar) durant el qual s'introdueixen les dades de la llicència i s'inicia el sensor de nombres aleatoris (RNS).
Preste atenció! Quan s'inicia S-Terra CC, s'estableix una política de seguretat en la qual les interfícies de la passarel·la de seguretat no permeten que els paquets passin. Heu de crear la vostra pròpia política o utilitzar l'ordre executa csconf_mgr activate activar una política d'autorització predefinida.
A continuació, heu de configurar l'adreçament de les interfícies externes i internes, així com la ruta per defecte. És preferible treballar amb la configuració de xarxa CS i configurar el xifratge mitjançant una consola semblant a Cisco. Aquesta consola està dissenyada per introduir ordres similars a les ordres de Cisco IOS. La configuració generada mitjançant la consola semblant a Cisco es converteix, al seu torn, en els fitxers de configuració corresponents amb els quals treballen els dimonis del sistema operatiu. Podeu anar a la consola semblant a Cisco des de la consola d'administració amb l'ordre configurar.
Canvieu les contrasenyes per als cscons d'usuari integrats i activeu:
> habilitar
Contrasenya: csp (preinstal·lada)
#configure el terminal
#username cscons privilegi 15 secret 0 #enable secret 0 Configuració de la configuració bàsica de la xarxa:
#interfície GigabitEthernet0/0
#adreça IP 10.111.21.3 255.255.255.0
#sense tancament
#interfície GigabitEthernet0/1
#adreça IP 192.168.2.5 255.255.255.252
#sense tancament
#ip ruta 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Sortiu de la consola semblant a Cisco i aneu a l'intèrpret d'ordres de Debian amb l'ordre eOS®. Establiu la vostra pròpia contrasenya per a l'usuari root equip passwd.
A cada sala de control, es configura un túnel independent per a cada lloc. La interfície del túnel està configurada al fitxer / Etc / network / interfaces. La utilitat del túnel IP, inclosa al conjunt iproute2 preinstal·lat, s'encarrega de crear la interfície mateixa. L'ordre de creació de la interfície s'escriu a l'opció prèvia.
Exemple de configuració d'una interfície de túnel típica:
lloc automàtic 1
iface site1 inet static
adreça 192.168.1.4
màscara de xarxa 255.255.255.254
túnel d'ip prèvia a l'inici afegir mode site1 gre local 10.111.21.3 remot 10.111.22.3 clau hfLYEg^vCh6p
Preste atenció! Cal tenir en compte que la configuració de les interfícies del túnel s'ha de situar fora de la secció
###netifcfg-begin###
*****
###netifcfg-end###
En cas contrari, aquesta configuració es sobreescriurà quan es canviï la configuració de xarxa de les interfícies físiques mitjançant una consola semblant a Cisco.
Encaminament dinàmic
A S-Terra, l'encaminament dinàmic s'implementa mitjançant el paquet de programari Quagga. Per configurar OSPF hem d'habilitar i configurar els dimonis zebra и ospfd. El dimoni zebra és responsable de la comunicació entre els dimonis d'encaminament i el sistema operatiu. El dimoni ospfd, com el seu nom indica, és responsable d'implementar el protocol OSPF.
OSPF es configura mitjançant la consola del dimoni o directament mitjançant el fitxer de configuració /etc/quagga/ospfd.conf. Totes les interfícies físiques i de túnel que participen en l'encaminament dinàmic s'afegeixen al fitxer i també es declaren les xarxes que s'anunciaran i rebran anuncis.
Un exemple de la configuració que cal afegir ospfd.conf:
interfície eth0
!
interfície eth1
!
lloc de la interfície 1
!
lloc de la interfície 2
router ospf
ospf router-id 192.168.2.21
xarxa 192.168.1.4/31 àrea 0.0.0.0
xarxa 192.168.1.16/31 àrea 0.0.0.0
xarxa 192.168.2.4/30 àrea 0.0.0.0
En aquest cas, les adreces 192.168.1.x/31 es reserven per a xarxes ptp de túnel entre llocs, les adreces 192.168.2.x/30 s'assignen per a xarxes de trànsit entre CS i encaminadors del nucli.
Preste atenció! Per reduir la taula d'encaminament en instal·lacions grans, podeu filtrar l'anunci de les mateixes xarxes de trànsit mitjançant les construccions no hi ha redistribució connectada o redistribueix el mapa de ruta connectat.
Després de configurar els dimonis, heu de canviar l'estat d'inici dels dimonis /etc/quagga/daemons. En opcions zebra и ospfd cap canvi a sí. Inicieu el dimoni quagga i configureu-lo com a execució automàtica quan inicieu l'ordre KS update-rc.d quagga habilitat.
Si la configuració dels túnels GRE i OSPF es fa correctament, les rutes a la xarxa d'altres llocs haurien d'aparèixer als encaminadors KSh i bàsics i, per tant, sorgeix la connectivitat de xarxa entre xarxes locals.
Xifrem el trànsit transmès
Com ja s'ha escrit, normalment en xifrar entre llocs, especifiquem intervals d'adreces IP (ACL) entre els quals es xifra el trànsit: si les adreces d'origen i de destinació es troben dins d'aquests intervals, el trànsit entre elles es xifra. Tanmateix, en aquest projecte l'estructura és dinàmica i les adreces poden canviar. Com que ja hem configurat el túnel GRE, podem especificar adreces KS externes com a adreces d'origen i de destinació per xifrar el trànsit; després de tot, el trànsit que ja està encapsulat pel protocol GRE arriba per al xifratge. En altres paraules, tot el que entra al CS des de la xarxa local d'un lloc cap a xarxes que han estat anunciades per altres llocs està xifrat. I dins de cadascun dels llocs es pot realitzar qualsevol redirecció. Així, si hi ha algun canvi a les xarxes locals, l'administrador només necessita modificar els anuncis que provenen de la seva xarxa cap a la xarxa, i es posarà a disposició d'altres llocs.
El xifratge a S-Terra CS es realitza mitjançant el protocol IPSec. Utilitzem l'algoritme "Grasshopper" d'acord amb GOST R 34.12-2015, i per a la compatibilitat amb versions anteriors, podeu utilitzar GOST 28147-89. L'autenticació es pot realitzar tècnicament tant en claus predefinides (PSK) com en certificats. Tanmateix, en operació industrial cal utilitzar certificats emesos d'acord amb GOST R 34.10-2012.
El treball amb certificats, contenidors i CRL es fa mitjançant la utilitat cert_mgr. En primer lloc, utilitzant l'ordre cert_mgr crear cal generar un contenidor de clau privada i una sol·licitud de certificat, que s'enviarà al Centre de Gestió de Certificats. Després de rebre el certificat, s'ha d'importar juntament amb el certificat CA arrel i CRL (si s'utilitza) amb l'ordre importació cert_mgr. Podeu assegurar-vos que tots els certificats i CRL estiguin instal·lats amb l'ordre cert_mgr show.
Després d'instal·lar correctament els certificats, aneu a la consola semblant a Cisco per configurar IPSec.
Creem una política IKE que especifica els algorismes i paràmetres desitjats del canal segur que s'està creant, que s'oferirà al soci perquè l'aprovi.
#crypto política isakmp 1000
#encr gost341215k
#hash gost341112-512-tc26
#senyal d'autenticació
#grup vko2
#vida 3600
Aquesta política s'aplica quan es construeix la primera fase d'IPSec. El resultat de la finalització amb èxit de la primera fase és la creació de SA (Associació de Seguretat).
A continuació, hem de definir una llista d'adreces IP d'origen i de destinació (ACL) per al xifratge, generar un conjunt de transformacions, crear un mapa criptogràfic (mapa criptogràfic) i vincular-lo a la interfície externa del CS.
Estableix ACL:
#ip access-list lloc ampliat1
#permit gre host 10.111.21.3 host 10.111.22.3
Un conjunt de transformacions (igual que a la primera fase, utilitzem l'algorisme de xifratge "Grasshopper" mitjançant el mode de generació d'inserció de simulació):
#crypto ipsec transform-set GOST esp-gost341215k-mac
Creem un mapa criptogràfic, especifiquem l'ACL, el conjunt de transformacions i l'adreça del parell:
#crypto map MAIN 100 ipsec-isakmp
#match address site1
#set transform-set GOST
#set peer 10.111.22.3
Enllacem la targeta criptogràfica a la interfície externa de la caixa registradora:
#interfície GigabitEthernet0/0
#adreça IP 10.111.21.3 255.255.255.0
#crypto map MAIN
Per xifrar canals amb altres llocs, heu de repetir el procediment per crear una ACL i una targeta criptogràfica, canviant el nom de l'ACL, les adreces IP i el número de la targeta criptogràfica.
Preste atenció! Si no s'utilitza la verificació del certificat per CRL, això s'ha d'especificar explícitament:
#crypto pki trustpoint s-terra_technological_trustpoint
#revocació-comprova cap
En aquest punt, la configuració es pot considerar completa. A la sortida d'ordres de consola semblant a Cisco mostrar crypto isakmp sa и mostrar crypto ipsec sa S'haurien de reflectir la primera i segona fase construïda d'IPSec. La mateixa informació es pot obtenir mitjançant l'ordre sa_mgr show, executat des de l'intèrpret d'ordres debian. A la sortida de l'ordre cert_mgr show Haurien d'aparèixer els certificats del lloc remot. L'estat d'aquests certificats serà remot. Si no s'estan construint túnels, heu de mirar el registre del servei VPN, que s'emmagatzema al fitxer /var/log/cspvpngate.log. Una llista completa dels fitxers de registre amb una descripció del seu contingut està disponible a la documentació.
Supervisió de la "salut" del sistema
L'S-Terra CC utilitza el dimoni snmpd estàndard per a la supervisió. A més dels paràmetres típics de Linux, S-Terra és compatible amb l'emissió de dades sobre túnels IPSec d'acord amb el CISCO-IPSEC-FLOW-MONITOR-MIB, que és el que fem servir per supervisar l'estat dels túnels IPSec. També s'admet la funcionalitat dels OID personalitzats que produeixen els resultats de l'execució de l'script com a valors. Aquesta funció ens permet fer un seguiment de les dates de caducitat del certificat. L'script escrit analitza la sortida de l'ordre cert_mgr show i com a resultat dóna el nombre de dies fins que caduquen els certificats locals i arrel. Aquesta tècnica és indispensable quan s'administra un gran nombre de CABG.
Quin és el benefici d'aquest xifratge?
Tota la funcionalitat descrita anteriorment és compatible amb l'S-Terra KSh. És a dir, no calia instal·lar cap mòdul addicional que pogués afectar la certificació de passarel·les criptogràfiques i la certificació de tot el sistema d'informació. Hi pot haver qualsevol canal entre llocs, fins i tot a través d'Internet.
A causa del fet que quan la infraestructura interna canvia, no cal reconfigurar les passarel·les criptogràfiques, el sistema funciona com un servei, que és molt convenient per al client: pot col·locar els seus serveis (client i servidor) a qualsevol adreça, i tots els canvis es transferiran de manera dinàmica entre equips de xifratge.
Per descomptat, el xifratge a causa dels costos generals (despeses generals) afecta la velocitat de transferència de dades, però només lleugerament: el rendiment del canal pot disminuir com a màxim entre un 5 i un 10%. Al mateix temps, la tecnologia ha estat provada i ha mostrat bons resultats fins i tot en canals per satèl·lit, que són força inestables i tenen una amplada de banda baixa.
Igor Vinokhodov, enginyer de la 2a línia d'administració de Rostelecom-Solar
Font: www.habr.com