Pokud vaše společnost přenáší nebo přijímá osobní údaje a další důvěrné informace prostřednictvím sítě, která podléhá ochraně v souladu se zákonem, je povinna používat šifrování GOST. Dnes vám prozradíme, jak jsme takové šifrování na bázi kryptobrány S-Terra (CS) implementovali u jednoho ze zákazníků. Tento příběh bude zajímat specialisty na informační bezpečnost, ale i inženýry, designéry a architekty. V tomto příspěvku se nebudeme hluboce ponořit do nuancí technické konfigurace, zaměříme se na klíčové body základního nastavení. Obrovské objemy dokumentace o nastavení démonů OS Linux, na kterých je S-Terra CS založen, jsou volně dostupné na internetu. Dokumentace pro nastavení proprietárního softwaru S-Terra je také veřejně dostupná na výrobce.
Pár slov o projektu
Topologie sítě zákazníka byla standardní – plná síť mezi centrem a pobočkami. Bylo nutné zavést šifrování kanálů výměny informací mezi všemi weby, kterých bylo 8.
Obvykle je v takových projektech vše statické: statické cesty do místní sítě webu jsou nastaveny na kryptobránách (CG), jsou registrovány seznamy IP adres (ACL) pro šifrování. V tomto případě však stránky nemají centralizované řízení a uvnitř jejich lokálních sítí se může stát cokoli: sítě lze přidávat, odstraňovat a upravovat všemi možnými způsoby. Aby se předešlo překonfigurování směrování a ACL na KS při změně adresování lokálních sítí v lokalitách, bylo rozhodnuto použít GRE tunelování a OSPF dynamické směrování, které zahrnuje všechny KS a většinu routerů na úrovni jádra sítě v lokalitách ( na některých místech správci infrastruktury preferovali použití SNAT vůči KS na směrovačích jádra).
GRE tunelování nám umožnilo vyřešit dva problémy:
1. Použijte IP adresu externího rozhraní CS pro šifrování v ACL, které zapouzdří veškerý provoz odeslaný na jiné weby.
2. Organizujte ptp tunely mezi CS, které vám umožňují konfigurovat dynamické směrování (v našem případě je MPLS L3VPN poskytovatele organizován mezi weby).
Klient si objednal implementaci šifrování jako službu. V opačném případě by musel krypto brány nejen udržovat nebo je outsourcovat nějaké organizaci, ale také samostatně sledovat životní cyklus šifrovacích certifikátů, včas je obnovovat a instalovat nové.
A nyní vlastní poznámka - jak a co jsme nakonfigurovali
Poznámka k předmětu CII: nastavení kryptografické brány
Základní nastavení sítě
Nejprve spustíme nový CS a dostaneme se do administrační konzole. Měli byste začít změnou vestavěného hesla správce - příkazu změnit uživatelské heslo správce. Poté musíte provést inicializační postup (příkaz zahájit), během které jsou zadány licenční údaje a inicializováno čidlo náhodných čísel (RNS).
Dávejte pozor! Když je S-Terra CC inicializován, je vytvořena bezpečnostní politika, ve které rozhraní bezpečnostních bran neumožňují procházet pakety. Musíte buď vytvořit vlastní politiku, nebo použít příkaz spusťte csconf_mgr activate aktivovat předdefinovanou povolovací zásadu.
Dále je třeba nakonfigurovat adresování externích a interních rozhraní a také výchozí trasu. Je vhodnější pracovat s konfigurací sítě CS a konfigurovat šifrování prostřednictvím konzoly podobné Cisco. Tato konzola je navržena pro zadávání příkazů podobných příkazům Cisco IOS. Konfigurace vygenerovaná pomocí konzoly podobné Cisco je zase převedena do odpovídajících konfiguračních souborů, se kterými pracují démoni OS. Pomocí příkazu můžete přejít do konzoly podobné Cisco z konzoly pro správu konfigurovat.
Změňte hesla pro vestavěné uživatelské cscons a povolte:
> povolit
Heslo: csp (předinstalovaný)
#konfigurovat terminál
#username cscons privilegium 15 tajné 0 #enable tajné 0 Nastavení základní konfigurace sítě:
#interface GigabitEthernet0/0
#ip adresa 10.111.21.3 255.255.255.0
#žádné vypnutí
#interface GigabitEthernet0/1
#ip adresa 192.168.2.5 255.255.255.252
#žádné vypnutí
#ip trasa 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Ukončete konzolu podobnou Cisco a přejděte do shellu debianu s příkazem systém. Nastavte si vlastní heslo pro uživatele kořen tým passwd.
V každém dispečinku je pro každé pracoviště nakonfigurován samostatný tunel. Rozhraní tunelu je nakonfigurováno v souboru / etc / síť / rozhraní. Obslužný program tunelu IP, který je součástí předinstalované sady iproute2, je zodpovědný za vytvoření samotného rozhraní. Příkaz pro vytvoření rozhraní je zapsán do volby pre-up.
Příklad konfigurace typického tunelového rozhraní:
auto stránky1
iface site1 inet static
adresu 192.168.1.4
netmask 255.255.255.254
pre-up ip tunnel add site1 mode gre local 10.111.21.3 remote 10.111.22.3 key hfLYEg^vCh6p
Dávejte pozor! Je třeba poznamenat, že nastavení rozhraní tunelu musí být umístěno mimo sekci
###netifcfg-begin###
*****
###netifcfg-end###
V opačném případě budou tato nastavení přepsána při změně síťových nastavení fyzických rozhraní prostřednictvím konzoly podobné Cisco.
Dynamické směrování
V S-Terra je dynamické směrování implementováno pomocí softwarového balíku Quagga. Ke konfiguraci OSPF musíme povolit a nakonfigurovat démony zebra и ospfd. Démon zebra je zodpovědný za komunikaci mezi směrovacími démony a OS. Démon ospfd, jak název napovídá, je zodpovědný za implementaci protokolu OSPF.
OSPF se konfiguruje buď prostřednictvím konzoly démona nebo přímo prostřednictvím konfiguračního souboru /etc/quagga/ospfd.conf. Do souboru jsou přidána všechna fyzická a tunelová rozhraní účastnící se dynamického směrování a jsou také deklarovány sítě, které budou inzerovány a přijímat oznámení.
Příklad konfigurace, kterou je třeba přidat ospfd.conf:
rozhraní eth0
!
rozhraní eth1
!
rozhraní web1
!
rozhraní web2
router ospf
ospf router-id 192.168.2.21
síť 192.168.1.4/31 oblast 0.0.0.0
síť 192.168.1.16/31 oblast 0.0.0.0
síť 192.168.2.4/30 oblast 0.0.0.0
V tomto případě jsou adresy 192.168.1.x/31 vyhrazeny pro tunelové ptp sítě mezi lokalitami, adresy 192.168.2.x/30 jsou alokovány pro tranzitní sítě mezi CS a kernel routery.
Dávejte pozor! Chcete-li snížit směrovací tabulku ve velkých instalacích, můžete filtrovat reklamu samotných tranzitních sítí pomocí konstrukcí není připojeno žádné přerozdělování nebo přerozdělit připojenou mapu trasy.
Po konfiguraci démonů musíte změnit stav spuštění démonů v /etc/quagga/daemons. V možnostech zebra и ospfd žádná změna na ano. Spusťte démona quagga a nastavte jej na automatické spuštění, když spustíte příkaz KS update-rc.d quagga povolit.
Pokud je konfigurace GRE tunelů a OSPF provedena správně, pak by se na KSh a core routerech měly objevit trasy v síti jiných lokalit a tím vznikne síťová konektivita mezi lokálními sítěmi.
Šifrujeme přenášený provoz
Jak již bylo napsáno, obvykle při šifrování mezi weby určujeme rozsahy IP adres (ACL), mezi kterými je šifrován provoz: pokud zdrojová a cílová adresa spadají do těchto rozsahů, je šifrován provoz mezi nimi. V tomto projektu je však struktura dynamická a adresy se mohou měnit. Vzhledem k tomu, že jsme již nakonfigurovali tunelování GRE, můžeme jako zdrojové a cílové adresy pro šifrování provozu zadat externí adresy KS – k šifrování totiž přichází provoz, který je již zapouzdřen protokolem GRE. Jinými slovy, vše, co se dostane do CS z lokální sítě jednoho webu směrem k sítím, které byly oznámeny jinými weby, je šifrováno. A v rámci každého z webů lze provést jakékoli přesměrování. Pokud tedy dojde k nějaké změně v lokálních sítích, administrátorovi stačí upravit hlášení přicházející z jeho sítě směrem k síti a ta se zpřístupní dalším webům.
Šifrování v S-Terra CS se provádí pomocí protokolu IPSec. Používáme algoritmus „Grasshopper“ v souladu s GOST R 34.12-2015 a pro kompatibilitu se staršími verzemi můžete použít GOST 28147-89. Autentizaci lze technicky provádět jak na předdefinovaných klíčích (PSK), tak na certifikátech. V průmyslovém provozu je však nutné používat certifikáty vydané v souladu s GOST R 34.10-2012.
Práce s certifikáty, kontejnery a seznamy CRL se provádí pomocí utility cert_mgr. Nejprve pomocí příkazu vytvořit cert_mgr je nutné vygenerovat kontejner soukromého klíče a žádost o certifikát, která bude odeslána do Centra správy certifikátů. Po obdržení certifikátu je nutné jej importovat spolu s certifikátem kořenové CA a CRL (pokud je použit) s příkazem import cert_mgr. Pomocí příkazu se můžete ujistit, že jsou nainstalovány všechny certifikáty a seznamy CRL zobrazit cert_mgr.
Po úspěšné instalaci certifikátů přejděte do konzoly podobné Cisco a nakonfigurujte IPSec.
Vytváříme zásady IKE, které specifikují požadované algoritmy a parametry vytvářeného zabezpečeného kanálu, které budou nabídnuty partnerovi ke schválení.
#crypto isakmp policy 1000
#encr gost341215k
#hash gost341112-512-tc26
#autentizační znak
#skupina vko2
#životnost 3600
Tato zásada se použije při vytváření první fáze IPSec. Výsledkem úspěšného dokončení první fáze je založení SA (Security Association).
Dále musíme definovat seznam zdrojových a cílových IP adres (ACL) pro šifrování, vygenerovat transformační sadu, vytvořit kryptografickou mapu (kryptomapu) a navázat ji na externí rozhraní CS.
Nastavit ACL:
#ip access-list rozšířený web1
#permit gre host 10.111.21.3 host 10.111.22.3
Sada transformací (stejně jako v první fázi, používáme šifrovací algoritmus „Grasshopper“ využívající režim generování vložení simulace):
#crypto ipsec transform-set GOST esp-gost341215k-mac
Vytvoříme kryptografickou mapu, specifikujeme ACL, transformační sadu a peer adresu:
#crypto map HLAVNÍ 100 ipsec-isakmp
#match address site1
#set transform-set GOST
#set peer 10.111.22.3
Navážeme kryptokartu na externí rozhraní pokladny:
#interface GigabitEthernet0/0
#ip adresa 10.111.21.3 255.255.255.0
#kryptomapa HLAVNÍ
Chcete-li zašifrovat kanály s jinými weby, musíte zopakovat postup pro vytvoření ACL a krypto karty, změnu názvu ACL, IP adresy a čísla krypto karty.
Dávejte pozor! Pokud se nepoužívá ověření certifikátu pomocí CRL, musí to být výslovně uvedeno:
#crypto pki trustpoint s-terra_technological_trustpoint
#revocation-check no
V tomto okamžiku lze nastavení považovat za dokončené. Ve výstupu příkazu konzoly podobné Cisco zobrazit krypto isakmp sa и zobrazit krypto ipsec sa Měla by být zohledněna vytvořená první a druhá fáze IPSec. Stejné informace lze získat pomocí příkazu sa_mgr show, spuštěný z debian shellu. Ve výstupu příkazu zobrazit cert_mgr Měly by se objevit certifikáty vzdálené lokality. Stav takových certifikátů bude dálkový. Pokud se tunely nebudují, musíte se podívat na protokol služby VPN, který je uložen v souboru /var/log/cspvpngate.log. Kompletní seznam souborů protokolu s popisem jejich obsahu je k dispozici v dokumentaci.
Sledování „zdraví“ systému
S-Terra CC používá pro monitorování standardního démona snmpd. Kromě typických linuxových parametrů podporuje S-Terra hned po vybalení vydávání dat o IPSec tunelech v souladu s CISCO-IPSEC-FLOW-MONITOR-MIB, což je to, co používáme při monitorování stavu IPSec tunelů. Podporována je také funkčnost vlastních OID, která vydávají výsledky provádění skriptu jako hodnoty. Tato funkce nám umožňuje sledovat data vypršení platnosti certifikátu. Napsaný skript analyzuje výstup příkazu zobrazit cert_mgr a jako výsledek uvádí počet dní do vypršení platnosti lokálního a kořenového certifikátu. Tato technika je nepostradatelná při podávání velkého množství CABG.
Jaká je výhoda takového šifrování?
Všechny výše popsané funkce podporuje S-Terra KSh ihned po vybalení. To znamená, že nebylo potřeba instalovat žádné další moduly, které by mohly ovlivnit certifikaci krypto bran a certifikaci celého informačního systému. Mezi stránkami mohou být libovolné kanály, dokonce i přes internet.
Vzhledem k tomu, že při změně vnitřní infrastruktury není potřeba překonfigurovat kryptobrány, systém funguje jako služba, což je pro zákazníka velmi výhodné: své služby (klienta i server) může umístit na libovolné adresy a všechny změny se budou dynamicky přenášet mezi šifrovacím zařízením.
Šifrování z důvodu režijních nákladů (režie) samozřejmě ovlivňuje rychlost přenosu dat, ale jen mírně - propustnost kanálu se může snížit maximálně o 5-10%. Současně byla technologie testována a ukázala dobré výsledky i na satelitních kanálech, které jsou značně nestabilní a mají malou šířku pásma.
Igor Vinokhodov, inženýr 2. linie správy Rostelecom-Solar
Zdroj: www.habr.com