Kung ang imong kompanya nagpadala o nakadawat personal nga datos ug uban pang kompidensyal nga kasayuran sa network nga gipailalom sa proteksyon subay sa balaod, gikinahanglan nga gamiton ang GOST encryption. Karon isulti namo kanimo kung giunsa namo pagpatuman ang ingon nga pag-encrypt base sa S-Terra crypto gateway (CS) sa usa sa mga kustomer. Kini nga istorya makapainteres sa mga espesyalista sa seguridad sa impormasyon, ingon man sa mga inhenyero, tigdesinyo ug arkitekto. Dili kami mosalom pag-ayo sa mga nuances sa teknikal nga pagsumpo sa kini nga post; mag-focus kami sa mga yawe nga punto sa sukaranan nga pag-setup. Daghang mga volume sa dokumentasyon sa pag-set up sa mga daemon sa Linux OS, diin gibase ang S-Terra CS, libre nga magamit sa Internet. Ang dokumentasyon alang sa pag-set up sa proprietary nga S-Terra software kay anaa usab sa publiko taggama.
Pipila ka mga pulong mahitungod sa proyekto
Ang topology sa network sa kustomer mao ang sukaranan - puno nga mata sa taliwala sa sentro ug mga sanga. Kinahanglan nga ipaila ang pag-encrypt sa mga channel sa pagbinayloay sa kasayuran tali sa tanan nga mga site, diin adunay 8.
Kasagaran sa ingon nga mga proyekto ang tanan static: ang mga static nga ruta sa lokal nga network sa site gibutang sa mga crypto gateway (CGs), ang mga lista sa mga IP address (ACL) alang sa pag-encrypt narehistro. Bisan pa, sa kini nga kaso, ang mga site walaβy sentralisado nga kontrol, ug bisan unsa nga mahitabo sa sulod sa ilang mga lokal nga network: ang mga network mahimong idugang, matangtang, ug usbon sa tanan nga posible nga paagi. Aron malikayan ang pag-reconfigure sa routing ug ACL sa KS sa dihang mag-usab sa addressing sa mga lokal nga network sa mga site, nakahukom nga gamiton ang GRE tunneling ug OSPF dynamic routing, nga naglakip sa tanang KS ug kadaghanan sa mga routers sa network core level sa mga site ( sa pipila ka mga site, gipalabi sa mga administrador sa imprastraktura ang paggamit sa SNAT padulong sa KS sa mga kernel router).
Ang GRE tunneling nagtugot kanamo sa pagsulbad sa duha ka mga problema:
1. Gamita ang IP address sa eksternal nga interface sa CS para sa encryption sa ACL, nga naglangkob sa tanang trapiko nga gipadala ngadto sa ubang mga site.
2. Pag-organisar og mga tunnel sa ptp tali sa mga CS, nga nagtugot kanimo sa pag-set up sa dinamikong pag-ruta (sa among kaso, ang MPLS L3VPN sa provider gi-organisar tali sa mga site).
Gisugo sa kliyente ang pagpatuman sa pag-encrypt ingon usa ka serbisyo. Kung dili, dili lamang niya kinahanglan nga ipadayon ang mga gateway sa crypto o i-outsource kini sa pipila nga organisasyon, apan independente usab nga pag-monitor sa siklo sa kinabuhi sa mga sertipiko sa pag-encrypt, bag-ohon kini sa oras ug pag-install mga bag-o.
Ug karon ang aktuwal nga memo - kung giunsa ug unsa ang among gi-configure
Pahinumdom sa CII nga hilisgutan: pag-set up og crypto gateway
Panguna nga pag-setup sa network
Una sa tanan, maglunsad kami og bag-ong CS ug mosulod sa administration console. Kinahanglan ka magsugod pinaagi sa pagbag-o sa built-in nga password sa administrator - command usba ang tagdumala sa password sa user. Unya kinahanglan nimo nga buhaton ang pamaagi sa pag-initialization (command pasiuna) diin ang datos sa lisensya gisulod ug ang random number sensor (RNS) gisugdan.
Hatagi'g pagtagad! Kung gisugdan ang S-Terra CC, usa ka palisiya sa seguridad ang natukod diin ang mga interface sa gateway sa seguridad dili motugot sa mga pakete nga moagi. Kinahanglan nga maghimo ka sa imong kaugalingon nga palisiya o gamiton ang mando pagdagan ang csconf_mgr pagpaaktibo i-aktibo ang usa ka gitakda nang daan nga palisiya sa pagtugot.
Sunod, kinahanglan nimo nga i-configure ang pagsulbad sa mga eksternal ug internal nga mga interface, ingon man ang default nga ruta. Mas maayo nga magtrabaho kauban ang CS network configuration ug i-configure ang encryption pinaagi sa Cisco-like console. Kini nga console gidesinyo sa pagsulod sa mga sugo nga susama sa Cisco IOS nga mga sugo. Ang configuration nga namugna gamit ang Cisco-like console, sa baylo, nakabig ngadto sa katugbang nga configuration files diin ang OS daemons nagtrabaho. Mahimo kang moadto sa Cisco-like console gikan sa administration console uban sa command i-configure.
Usba ang mga password para sa mga built-in nga user cscon ug i-enable:
> makahimo
Password: csp(preinstalled)
#configure ang terminal
#username cscons privilege 15 sekreto 0 #enable secret 0 Pag-set up sa batakang network configuration:
#interface GigabitEthernet0/0
#ip address 10.111.21.3 255.255.255.0
#walay shutdown
#interface GigabitEthernet0/1
#ip address 192.168.2.5 255.255.255.252
#walay shutdown
#ip ruta 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Exit sa Cisco-sama sa console ug adto sa debian shell uban sa sugo nga sistema. Ibutang ang imong kaugalingong password para sa user gamut team passwd.
Sa matag control room, usa ka bulag nga tunel ang gi-configure alang sa matag site. Ang interface sa tunnel gi-configure sa file / etc / network / interface. Ang IP tunnel utility, nga gilakip sa preinstalled iproute2 set, maoy responsable sa paghimo sa interface mismo. Ang sugo sa paghimo sa interface gisulat sa pre-up nga kapilian.
Pananglitan nga pag-configure sa usa ka tipikal nga interface sa tunel:
awto nga site1
iface site1 inet static
adto sa 192.168.1.4
netmask 255.255.255.254
pre-up ip tunnel add site1 mode gre local 10.111.21.3 remote 10.111.22.3 key hfLYEg^vCh6p
Hatagi'g pagtagad! Kinahanglan nga hinumdoman nga ang mga setting alang sa mga interface sa tunnel kinahanglan nga nahimutang sa gawas sa seksyon
##netifcfg-sugod####
*****
##netifcfg-katapusan####
Kung dili, kini nga mga setting ma-overwrite kung usbon ang mga setting sa network sa pisikal nga mga interface pinaagi sa usa ka console nga sama sa Cisco.
Dinamikong ruta
Sa S-Terra, ang dinamikong ruta gipatuman gamit ang Quagga software package. Aron ma-configure ang OSPF kinahanglan natong i-enable ug i-configure ang mga daemon zebra ΠΈ ospfd. Ang zebra daemon maoy responsable sa komunikasyon tali sa mga routing daemon ug sa OS. Ang ospfd daemon, ingon sa gisugyot sa ngalan, mao ang responsable sa pagpatuman sa OSPF protocol.
Ang OSPF gi-configure pinaagi sa daemon console o direkta pinaagi sa configuration file /etc/quagga/ospfd.conf. Ang tanan nga pisikal ug tunnel nga mga interface nga nag-apil sa dinamikong ruta gidugang sa file, ug ang mga network nga i-advertise ug makadawat mga pahibalo gipahayag usab.
Usa ka pananglitan sa configuration nga kinahanglan idugang sa ospfd.conf:
interface eth0
!
interface eth1
!
interface site1
!
interface site2
router ospf
ospf router-id 192.168.2.21
network 192.168.1.4/31 nga lugar 0.0.0.0
network 192.168.1.16/31 nga lugar 0.0.0.0
network 192.168.2.4/30 nga lugar 0.0.0.0
Sa kini nga kaso, ang mga adres 192.168.1.x/31 gitagana alang sa tunnel ptp network tali sa mga site, ang mga adres nga 192.168.2.x/30 gigahin alang sa mga transit network tali sa CS ug kernel routers.
Hatagi'g pagtagad! Aron makunhuran ang routing table sa dagkong mga instalasyon, mahimo nimong i-filter ang pahibalo sa mga transit network mismo gamit ang mga konstruksyon. walay redistribute konektado o iapod-apod usab ang konektado nga mapa sa ruta.
Pagkahuman sa pag-configure sa mga daemon, kinahanglan nimo nga usbon ang kahimtang sa pagsugod sa mga daemon sa /etc/quagga/daemons. Sa mga kapilian zebra ΠΈ ospfd walay kausaban sa oo. Sugdi ang quagga daemon ug i-set kini sa autorun kung sugdan nimo ang KS gamit ang command update-rc.d quagga makahimo.
Kung ang pag-configure sa GRE tunnels ug OSPF gihimo sa husto, nan ang mga ruta sa network sa ubang mga site kinahanglan nga makita sa KSh ug core routers ug, sa ingon, ang koneksyon sa network tali sa mga lokal nga network mitungha.
Gi-encrypt namon ang gipasa nga trapiko
Sama sa nahisulat na, kasagaran kung mag-encrypt sa taliwala sa mga site, among gitakda ang mga IP address range (ACLs) sa taliwala diin ang trapiko gi-encrypt: kung ang gigikanan ug destinasyon nga mga adres nahulog sa sulod niini nga mga sakup, nan ang trapiko sa taliwala nila ma-encrypt. Bisan pa, sa kini nga proyekto ang istruktura dinamiko ug ang mga adres mahimong mausab. Tungod kay na-configure na namo ang GRE tunneling, mahimo namong ipiho ang mga external nga KS nga adres isip tinubdan ug destinasyon nga mga adres alang sa pag-encrypt sa trapiko - human sa tanan, ang trapiko nga na-encapsulated na sa GRE protocol moabot alang sa encryption. Sa laing pagkasulti, ang tanan nga mosulod sa CS gikan sa lokal nga network sa usa ka site padulong sa mga network nga gipahibalo sa ubang mga site gi-encrypt. Ug sa sulod sa matag usa sa mga site mahimoβg mahimo ang bisan unsang pag-redirect. Busa, kung adunay bisan unsa nga pagbag-o sa mga lokal nga network, ang tagdumala kinahanglan lamang nga usbon ang mga anunsyo nga gikan sa iyang network padulong sa network, ug kini magamit sa ubang mga site.
Ang pag-encrypt sa S-Terra CS gihimo gamit ang IPSec protocol. Gigamit namon ang algorithm nga "Grasshopper" uyon sa GOST R 34.12-2015, ug alang sa pagpahiangay sa mas daan nga mga bersyon mahimo nimong gamiton ang GOST 28147-89. Ang authentication mahimong teknikal nga ipahigayon sa pareho nga gitakda nga mga yawe (PSK) ug mga sertipiko. Bisan pa, sa operasyon sa industriya gikinahanglan nga gamiton ang mga sertipiko nga gi-isyu uyon sa GOST R 34.10-2012.
Ang pagtrabaho sa mga sertipiko, mga sudlanan ug mga CRL gihimo gamit ang utility cert_mgr. Una sa tanan, gamit ang command cert_mgr paghimo gikinahanglan nga makamugna og usa ka pribadong yawe nga sudlanan ug usa ka hangyo sa sertipiko, nga ipadala ngadto sa Certificate Management Center. Human madawat ang sertipiko, kini kinahanglan nga i-import uban sa root CA certificate ug CRL (kon gigamit) uban sa sugo cert_mgr import. Mahimo nimong masiguro nga ang tanan nga mga sertipiko ug mga CRL na-install gamit ang mando pasundayag sa cert_mgr.
Human sa malampuson nga pag-instalar sa mga sertipiko, adto sa Cisco-like console aron ma-configure ang IPSec.
Naghimo kami usa ka palisiya sa IKE nga nagtino sa gusto nga mga algorithm ug mga parameter sa luwas nga channel nga gihimo, nga itanyag sa kauban alang sa pagtugot.
#crypto isakmp nga palisiya 1000
#encr gost341215k
#hash gost341112-512-tc26
#authentication sign
#grupo vko2
#tibuok kinabuhi 3600
Kini nga polisiya gigamit sa pagtukod sa unang hugna sa IPSec. Ang resulta sa malampuson nga pagkompleto sa unang hugna mao ang pagtukod sa SA (Security Association).
Sunod, kinahanglan namon nga ipasabut ang usa ka lista sa gigikanan ug destinasyon nga mga adres sa IP (ACL) alang sa pag-encrypt, paghimo usa ka set sa pagbag-o, paghimo usa ka mapa nga cryptographic (mapa sa crypto) ug ihigot kini sa gawas nga interface sa CS.
Ibutang ang ACL:
#ip access-list gipadako nga site1
#permit gre host 10.111.21.3 host 10.111.22.3
Usa ka hugpong sa mga pagbag-o (sama sa una nga hugna, gigamit namon ang algorithm sa pag-encrypt nga "Grasshopper" gamit ang simulation insert generation mode):
#crypto ipsec transform-set GOST esp-gost341215k-mac
Naghimo kami usa ka mapa sa crypto, gipiho ang ACL, pagbag-o sa set ug adres sa kaubanan:
#crypto map MAIN 100 ipsec-isakmp
#match address site1
#set transform-set GOST
#set peer 10.111.22.3
Gibugkos namo ang crypto card sa eksternal nga interface sa cash register:
#interface GigabitEthernet0/0
#ip address 10.111.21.3 255.255.255.0
#crypto map MAIN
Aron ma-encrypt ang mga channel sa ubang mga site, kinahanglan nimo nga balikon ang pamaagi sa paghimo og ACL ug crypto card, pag-ilis sa ngalan sa ACL, IP address ug numero sa crypto card.
Hatagi'g pagtagad! Kung ang pag-verify sa sertipiko pinaagi sa CRL wala gigamit, kini kinahanglan nga tin-aw nga ipiho:
#crypto pki trustpoint s-terra_technological_trustpoint
#revocation-check wala
Niini nga punto, ang pag-setup mahimong isipon nga kompleto. Sa Cisco-sama sa console command output ipakita ang crypto isakmp sa ΠΈ ipakita ang crypto ipsec sa Ang natukod nga una ug ikaduhang hugna sa IPSec kinahanglan nga makita. Ang parehas nga kasayuran mahimong makuha gamit ang mando sa_mgr show, gipatuman gikan sa debian shell. Sa command output pasundayag sa cert_mgr Ang mga sertipiko sa hilit nga site kinahanglan nga makita. Ang kahimtang sa ingon nga mga sertipiko mahimong Hilit. Kung ang mga tunel wala matukod, kinahanglan nimo nga tan-awon ang log sa serbisyo sa VPN, nga gitipigan sa file /var/log/cspvpngate.log. Ang usa ka kompleto nga lista sa mga file sa log nga adunay usa ka paghulagway sa ilang mga sulud anaa sa dokumentasyon.
Pag-monitor sa "panglawas" sa sistema
Ang S-Terra CC naggamit sa standard snmpd daemon para sa pagmonitor. Dugang sa tipikal nga mga parameter sa Linux, ang S-Terra sa gawas sa kahon nagsuporta sa pag-isyu sa datos mahitungod sa IPSec tunnels subay sa CISCO-IPSEC-FLOW-MONITOR-MIB, nga mao ang atong gigamit sa pagmonitor sa status sa IPSec tunnels. Ang pag-andar sa mga kostumbre nga OID nga nagpagawas sa mga resulta sa pagpatuman sa script ingon nga mga kantidad gisuportahan usab. Kini nga bahin nagtugot kanamo sa pagsubay sa mga petsa sa pag-expire sa sertipiko. Ang sinulat nga script nag-parse sa command output pasundayag sa cert_mgr ug isip resulta naghatag sa gidaghanon sa mga adlaw hangtud nga ang lokal ug gamut nga mga sertipiko matapos. Kini nga teknik kinahanglanon kung nagdumala sa daghang mga CABG.
Unsa ang kaayohan sa ingon nga pag-encrypt?
Ang tanan nga pagpaandar nga gihulagway sa ibabaw gisuportahan sa gawas sa kahon sa S-Terra KSh. Sa ato pa, dili kinahanglan nga mag-instalar sa bisan unsang dugang nga mga module nga makaapekto sa sertipikasyon sa mga gateway sa crypto ug sertipikasyon sa tibuuk nga sistema sa impormasyon. Mahimong adunay bisan unsang mga agianan tali sa mga site, bisan pinaagi sa Internet.
Tungod sa kamatuoran nga kung magbag-o ang internal nga imprastraktura, dili kinahanglan nga i-reconfigure ang mga ganghaan sa crypto, ang sistema naglihok isip usa ka serbisyo, nga sayon ββββkaayo alang sa kustomer: mahimo niyang ibutang ang iyang mga serbisyo (kliyente ug server) sa bisan unsang mga adres, ug ang tanan nga mga pagbag-o mahimong dinamikong ibalhin tali sa mga kagamitan sa pag-encrypt.
Siyempre, ang pag-encrypt tungod sa mga gasto sa overhead (overhead) makaapekto sa katulin sa pagbalhin sa data, apan gamay ra - ang channel throughput mahimong mokunhod sa labing taas nga 5-10%. Sa parehas nga oras, ang teknolohiya gisulayan ug gipakita ang maayong mga sangputanan bisan sa mga satellite channel, nga medyo dili lig-on ug adunay gamay nga bandwidth.
Igor Vinokhodov, engineer sa ika-2 nga linya sa administrasyon sa Rostelecom-Solar
Source: www.habr.com