Se a vostra cumpagnia trasmette o riceve dati persunali è altre informazioni cunfidenziale nantu à a reta chì hè sottumessu à prutezzione in cunfurmità cù a lege, hè necessariu di utilizà a criptografia GOST. Oghje vi diceremu cumu implementemu tali criptografia basatu nantu à a porta di criptu S-Terra (CS) à unu di i clienti. Sta storia serà d'interessu per i specialisti di sicurezza di l'infurmazioni, è ancu per l'ingegneri, i diseggiani è l'architetti. Ùn ci immergeremu in profondità in i sfumaturi di a cunfigurazione tecnica in questu post; ci concentreremu nantu à i punti chjave di a configurazione di basa. Volumi enormi di ducumentazione nantu à a stallazione di demoni Linux OS, nantu à quale hè basatu S-Terra CS, sò liberamente dispunibili in Internet. A documentazione per a stallazione di u software proprietariu S-Terra hè ancu dispunibule publicamente fabbricante.
Uni pochi parolle nantu à u prugettu
A topologia di a reta di u cliente era standard - maglia piena trà u centru è e rami. Hè statu necessariu di intruduce a criptografia di i canali di scambiu d'infurmazioni trà tutti i siti, di quale ci era 8.
Di solitu in tali prughjetti tuttu hè staticu: e rotte statiche à a reta lucale di u situ sò stallati nantu à criptu di gateway (CG), listi di indirizzi IP (ACL) per a criptografia sò registrati. Tuttavia, in questu casu, i siti ùn anu micca un cuntrollu centralizatu, è qualcosa pò succede in e so rete lucali: e rete ponu esse aghjuntu, sguassate è mudificate in ogni modu pussibule. Per evità di ricunfigurazione di routing è ACL in u KS quandu cambia l'indirizzu di e rete lucali in i siti, hè statu decisu di utilizà GRE tunneling è OSPF routing dinamicu, chì includenu tutti i KS è a maiò parte di i routers à u livellu core di a rete in i siti ( in certi siti, l'amministratori di l'infrastruttura anu preferitu aduprà SNAT versu KS nantu à i router di kernel).
U tunneling GRE ci hà permessu di risolve dui prublemi:
1. Aduprate l'indirizzu IP di l'interfaccia esterna di u CS per a criptografia in l'ACL, chì incapsula tuttu u trafficu mandatu à altri siti.
2. Organizzate tunnel ptp trà CS, chì permettenu di cunfigurà u routing dinamicu (in u nostru casu, u MPLS L3VPN di u fornitore hè urganizatu trà i siti).
U cliente hà urdinatu l'implementazione di criptografia cum'è serviziu. Altrimenti, ùn deve micca solu mantene e porte di criptu di criptu o esternalizzanu à una certa urganizazione, ma ancu monitorà indipindentamente u ciclu di vita di i certificati di criptografia, rinnuvà à tempu è installate novi.
È avà u memo attuale - cumu è ciò chì avemu cunfiguratu
Nota à u sughjettu CII: creazione di una porta di criptu
Configurazione basica di a rete
Prima di tuttu, lanciamu un novu CS è entra in a cunsola amministrativa. Duvete principià per cambià a password di l'amministratore integrata - cumanda cambia l'amministratore di password d'utilizatore. Allora avete bisognu di realizà a prucedura di inizializazione (cumandamentu inizià) durante quale i dati di licenza sò inseriti è u sensoru di numeri aleatoriu (RNS) hè inizializatu.
Attenti! Quandu S-Terra CC hè inizializatu, una pulitica di sicurità hè stabilita in quale l'interfaccia di a porta di sicurezza ùn permettenu micca i pacchetti di passà. Avete da creà a vostra propria pulitica o aduprà u cumandamentu run csconf_mgr attivate attivà una pulitica di permessu predefinita.
In seguitu, avete bisognu di cunfigurà l'indirizzu di l'interfaccia esterna è interna, è ancu a strada predeterminata. Hè preferibile travaglià cù a cunfigurazione di a rete CS è cunfigurà a criptografia attraversu una cunsola Cisco-like. Questa cunsola hè pensata per inserisce cumandamenti simili à i cumandamenti Cisco IOS. A cunfigurazione generata aduprendu a cunsola Cisco-like hè, à u turnu, cunvertita in i schedarii di cunfigurazione currispondenti cù i quali i demoni di u SO travaglianu. Pudete andà à a cunsola Cisco-like da a cunsola di amministrazione cù u cumandimu cunfigurà.
Cambia password per i cscons d'utilizatori integrati è attivate:
> attivà
Password: csp (preinstallatu)
#configure terminal
#username cscons privilege 15 secret 0 #enable secret 0 Configurazione di a cunfigurazione basica di a rete:
#interfaccia GigabitEthernet0/0
#indirizzu ip 10.111.21.3 255.255.255.0
#senza chjusu
#interfaccia GigabitEthernet0/1
#indirizzu ip 192.168.2.5 255.255.255.252
#senza chjusu
#ip route 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Esci da a cunsola Cisco-like è andate à a debian shell cù u cumandimu sistema. Stabilite a vostra propria password per l'utilizatore ràdica squadra passwd.
In ogni sala di cuntrollu, un tunnel separatu hè cunfiguratu per ogni situ. L'interfaccia di u tunnel hè cunfigurata in u schedariu / etc / network / interfaces. L'utilità di u tunnel IP, inclusa in u set iproute2 preinstallatu, hè rispunsevule per creà l'interfaccia stessu. U cumandamentu di creazione di l'interfaccia hè scrittu in l'opzione pre-up.
Esempiu di cunfigurazione di una interfaccia tipica di tunnel:
situ auto 1
iface site1 inet static
indirizzu 192.168.1.4
maschera di rete 255.255.255.254
pre-up tunnel ip add site1 mode gre local 10.111.21.3 remote 10.111.22.3 key hfLYEg^vCh6p
Attenti! Hè da nutà chì i paràmetri per l'interfacce di u tunnel deve esse situatu fora di a seccione
###netifcfg-begin###
*****
###netifcfg-end###
Altrimenti, sti paràmetri seranu soprascritti quandu cambiate i paràmetri di a rete di l'interfacce fisiche attraversu una cunsola Cisco-like.
Routing dinamicu
In S-Terra, u routing dinamicu hè implementatu cù u pacchettu di software Quagga. Per cunfigurà OSPF avemu bisognu di attivà è cunfigurà i demoni zebra и ospfd. U zebra daemon hè rispunsevule per a cumunicazione trà i demoni di routing è u SO. U daemon ospfd, cum'è u nome suggerisce, hè rispunsevule per implementà u protocolu OSPF.
OSPF hè cunfiguratu sia per mezu di a cunsola daemon o direttamente attraversu u schedariu di cunfigurazione /etc/quagga/ospfd.conf. Tutte l'interfacce fisiche è di tunnel chì participanu à u routing dinamicu sò aghjuntu à u schedariu, è e rete chì saranu annunziate è ricevenu annunzii sò ancu dichjarate.
Un esempiu di a cunfigurazione chì deve esse aghjuntu ospfd.conf:
interfaccia eth0
!
interfaccia eth1
!
situ d'interfaccia 1
!
situ d'interfaccia 2
router ospf
ospf router-id 192.168.2.21
rete 192.168.1.4/31 area 0.0.0.0
rete 192.168.1.16/31 area 0.0.0.0
rete 192.168.2.4/30 area 0.0.0.0
In questu casu, l'indirizzi 192.168.1.x/31 sò riservati per e rete di tunnel ptp trà siti, l'indirizzi 192.168.2.x/30 sò attribuiti per e rete di transitu trà CS è kernel routers.
Attenti! Per riduce a tabella di routing in grandi installazioni, pudete filtrà l'annunziu di e rete di transitu stessu utilizendu e custruzzioni senza redistribute cunnessu o ridistribuisce a mappa di rotta cunnessa.
Dopu a cunfigurazione di i demoni, avete bisognu di cambià u statutu di startup di i demoni in /etc/quagga/daemons. In opzioni zebra и ospfd senza cambià à iè. Accuminciate u daemon quagga è mette in autorun quandu avete principiatu u cumandamentu KS update-rc.d quagga attivà.
Se a cunfigurazione di i tunnel GRE è OSPF hè fatta currettamente, allora e rotte in a reta di l'altri siti duveranu apparisce nantu à i KSh è i routers core è, cusì, a cunnessione di a rete trà e rete lucali nasce.
Criptemu u trafficu trasmessu
Comu hè digià scrittu, di solitu quandu si cripta trà i siti, specifiemu intervalli d'indirizzu IP (ACL) trà quale u trafficu hè criptatu: se l'indirizzi di l'urighjini è di destinazione sò in questi intervalli, allora u trafficu trà elli hè criptatu. Tuttavia, in stu prughjettu a struttura hè dinamica è l'indirizzi pò cambià. Siccomu avemu digià cunfiguratu u tunneling GRE, pudemu specificà l'indirizzi KS esterni cum'è l'indirizzi fonte è destinazione per u trafficu di criptu - dopu tuttu, u trafficu chì hè digià incapsulatu da u protokollu GRE arriva per a criptografia. In altri palori, tuttu ciò chì entra in u CS da a reta lucale di un situ versu e rete chì anu annunziatu da altri siti hè criptatu. È in ognuna di i siti pò esse realizatu ogni redirezzione. Cusì, s'ellu ci hè qualchì cambiamentu in e rete lucali, l'amministratore solu bisognu di mudificà l'annunzii chì venenu da a so reta versu a reta, è diventerà dispunibule per altri siti.
A criptografia in S-Terra CS hè realizata cù u protocolu IPSec. Utilizemu l'algoritmu "Grasshopper" in cunfurmità cù GOST R 34.12-2015, è per a compatibilità cù e versioni più vechje pudete aduprà GOST 28147-89. L'autentificazione pò esse realizatu tecnicamente nantu à e chjave predefinite (PSK) è certificati. Tuttavia, in u funziunamentu industriale, hè necessariu di utilizà certificati emessi in cunfurmità cù GOST R 34.10-2012.
U travagliu cù certificati, cuntenituri è CRL hè fattu cù l'utilità cert_mgr. Prima di tuttu, usendu u cumandamentu cert_mgr creà hè necessariu generà un cuntainer di chjave privata è una dumanda di certificatu, chì serà mandatu à u Centru di Gestione di Certificati. Dopu avè ricevutu u certificatu, deve esse impurtatu cù u certificatu CA root è CRL (se usatu) cù u cumandimu. cert_mgr import. Pudete assicurà chì tutti i certificati è i CRL sò stallati cù u cumandimu cert_mgr mostra.
Dopu avè installatu cù successu i certificati, andate à a cunsola Cisco-like per cunfigurà IPSec.
Creemu una pulitica IKE chì specifica l'algoritmi desiderati è i paràmetri di u canali sicuru creatu, chì serà offrittu à u cumpagnu per appruvazioni.
#crypto isakmp policy 1000
#encr gost341215k
#hash gost341112-512-tc26
#segnu di autenticazione
#gruppu vko2
#vita 3600
Sta pulitica hè appiicata quandu custruisce a prima fase di IPSec. U risultatu di u successu di a prima fase hè a creazione di SA (Associazione di Securità).
In seguitu, avemu bisognu di definisce una lista di l'indirizzi IP d'origine è di destinazione (ACL) per a criptografia, generà un settore di trasformazione, crea una mappa criptografica (mappa criptografica) è ligà à l'interfaccia esterna di u CS.
Set ACL:
#ip access-list site allargatu1
#permit gre host 10.111.21.3 host 10.111.22.3
Un inseme di trasfurmazioni (cum'è per a prima fase, usemu l'algoritmu di criptografia "Grasshopper" cù u modu di generazione di inserimentu di simulazione):
#crypto ipsec transform-set GOST esp-gost341215k-mac
Creemu una mappa di criptu, specifichi l'ACL, trasfurmà u settore è l'indirizzu paru:
#crypto map MAIN 100 ipsec-isakmp
#match address site1
#set transform-set GOST
#set peer 10.111.22.3
Lighemu a carta di criptu à l'interfaccia esterna di u cash register:
#interfaccia GigabitEthernet0/0
#indirizzu ip 10.111.21.3 255.255.255.0
#crypto map MAIN
Per criptà i canali cù altri siti, duvete ripetiri a prucedura per creà una carta ACL è criptu, cambiendu u nome ACL, l'indirizzi IP è u numeru di a carta di criptu.
Attenti! Se a verificazione di certificatu da CRL ùn hè micca utilizata, questu deve esse specificatu esplicitamente:
#crypto pki trustpoint s-terra_technological_trustpoint
#revocation-check nimu
À questu puntu, a stallazione pò esse cunsiderata cumpleta. In Cisco-like console output command mostra crypto isakmp sa и mostra crypto ipsec sa A prima è a seconda fase custruita di IPSec deve esse riflessa. A listessa infurmazione pò esse acquistata cù u cumandamentu sa_mgr mostra, eseguitu da a shell debian. In l'output di cumanda cert_mgr mostra I certificati di u situ remoto duveranu cumparisce. U statutu di tali certificati serà remote. Se i tunnel ùn sò micca custruiti, avete bisognu à fighjà u logu di u serviziu VPN, chì hè guardatu in u schedariu /var/log/cspvpngate.log. Una lista cumpleta di schedarii di log cù una descrizzione di u so cuntenutu hè dispunibule in a documentazione.
Monitorà a "salute" di u sistema
U S-Terra CC usa u daemon snmpd standard per u monitoraghju. In più di i paràmetri tipici di Linux, fora di a scatula S-Terra supporta l'emissione di dati nantu à i tunnel IPSec in cunfurmità cù u CISCO-IPSEC-FLOW-MONITOR-MIB, chì hè ciò chì usemu quandu monitoremu u statutu di tunnel IPSec. A funziunalità di l'OID persunalizati chì producenu i risultati di l'esecuzione di script cum'è valori hè ancu supportatu. Questa funzione ci permette di seguità e date di scadenza di u certificatu. L'script scritta analizza l'output di cumanda cert_mgr mostra è com'è u risultatu dà u numeru di ghjorni finu à chì i certificati lucali è razzii cadunu. Sta tecnica hè indispensabile quandu amministra un gran numaru di CABG.
Chì ghjè u benefiziu di una tale criptografia?
Tutte e funziunalità descritte sopra sò supportate fora di a scatula da u S-Terra KSh. Hè per quessa, ùn ci era micca bisognu di installà moduli supplementari chì puderanu influenzà a certificazione di e porte di criptu è a certificazione di tuttu u sistema d'infurmazione. Ci ponu esse qualsiasi canali trà i siti, ancu via Internet.
A causa di u fattu chì quandu l'infrastruttura interna cambia, ùn ci hè micca bisognu di ricunfigurà e porte di criptu, u sistema travaglia cum'è serviziu, chì hè assai cunvenutu per u cliente: pò mette i so servizii (cliente è servitore) in ogni indirizzu, è tutti i cambiamenti seranu trasfiruti dinamicamente trà l'equipaggiu di criptografia.
Di sicuru, l'encryption due to overhead costs (overhead) affetta a velocità di trasferimentu di dati, ma solu ligeramente - u throughput di u canali pò diminuisce da un massimu di 5-10%. À u listessu tempu, a tecnulugia hè stata pruvata è dimustratu boni risultati ancu nantu à i canali satellitari, chì sò abbastanza inestabile è anu una larghezza di banda bassa.
Igor Vinokhodov, ingegnere di a 2ª linea di amministrazione di Rostelecom-Solar
Source: www.habr.com