Os yw'ch cwmni'n trosglwyddo neu'n derbyn data personol a gwybodaeth gyfrinachol arall dros y rhwydwaith sy'n destun amddiffyniad yn unol â'r gyfraith, mae'n ofynnol iddo ddefnyddio amgryptio GOST. Heddiw, byddwn yn dweud wrthych sut y gwnaethom weithredu amgryptio o'r fath yn seiliedig ar borth crypto S-Terra (CS) yn un o'r cwsmeriaid. Bydd y stori hon o ddiddordeb i arbenigwyr diogelwch gwybodaeth, yn ogystal â pheirianwyr, dylunwyr a phenseiri. Ni fyddwn yn plymio'n ddwfn i naws y cyfluniad technegol yn y swydd hon; byddwn yn canolbwyntio ar bwyntiau allweddol y gosodiad sylfaenol. Mae llawer iawn o ddogfennaeth ar sefydlu daemonau Linux OS, y mae'r S-Terra CS yn seiliedig arnynt, ar gael am ddim ar y Rhyngrwyd. Mae dogfennau ar gyfer sefydlu meddalwedd perchnogol S-Terra hefyd ar gael yn gyhoeddus ar gwneuthurwr.
Ychydig eiriau am y prosiect
Roedd topoleg rhwydwaith y cwsmer yn safonol - rhwyll lawn rhwng y ganolfan a'r canghennau. Roedd angen cyflwyno amgryptio sianeli cyfnewid gwybodaeth rhwng pob gwefan, ac roedd 8 ohonynt.
Fel arfer mewn prosiectau o'r fath mae popeth yn sefydlog: mae llwybrau statig i rwydwaith lleol y wefan yn cael eu gosod ar byrth crypto (CGs), mae rhestrau o gyfeiriadau IP (ACLs) ar gyfer amgryptio yn cael eu cofrestru. Fodd bynnag, yn yr achos hwn, nid oes gan y safleoedd reolaeth ganolog, a gall unrhyw beth ddigwydd y tu mewn i'w rhwydweithiau lleol: gellir ychwanegu, dileu, ac addasu rhwydweithiau ym mhob ffordd bosibl. Er mwyn osgoi ad-drefnu llwybro ac ACL ar y KS wrth newid cyfeiriad rhwydweithiau lleol yn y safleoedd, penderfynwyd defnyddio twnelu GRE a llwybro deinamig OSPF, sy'n cynnwys yr holl KS a'r rhan fwyaf o lwybryddion ar lefel graidd y rhwydwaith yn y safleoedd ( mewn rhai safleoedd, roedd yn well gan weinyddwyr seilwaith ddefnyddio SNAT tuag at KS ar lwybryddion cnewyllyn).
Caniataodd twnelu GRE inni ddatrys dwy broblem:
1. Defnyddiwch gyfeiriad IP rhyngwyneb allanol y CS ar gyfer amgryptio yn yr ACL, sy'n crynhoi'r holl draffig a anfonir i wefannau eraill.
2. Trefnwch dwneli ptp rhwng CSs, sy'n eich galluogi i ffurfweddu llwybro deinamig (yn ein hachos ni, mae MPLS L3VPN y darparwr wedi'i drefnu rhwng y gwefannau).
Gorchmynnodd y cleient weithredu amgryptio fel gwasanaeth. Fel arall, byddai'n rhaid iddo nid yn unig gynnal pyrth crypto neu eu rhoi ar gontract allanol i ryw sefydliad, ond hefyd yn annibynnol fonitro cylch bywyd tystysgrifau amgryptio, eu hadnewyddu mewn pryd a gosod rhai newydd.
Ac yn awr y memo gwirioneddol - sut a beth rydym yn sefydlu
Nodyn i'r pwnc CII: sefydlu porth crypto
Gosodiad rhwydwaith sylfaenol
Yn gyntaf oll, rydym yn lansio CS newydd ac yn mynd i mewn i'r consol gweinyddu. Dylech ddechrau trwy newid y cyfrinair gweinyddwr adeiledig - gorchymyn newid gweinyddwr cyfrinair defnyddiwr. Yna mae angen i chi gyflawni'r weithdrefn gychwyn (gorchymyn inicializar) pan fydd data'r drwydded yn cael ei fewnbynnu a'r synhwyrydd haprif (RNS) yn cael ei gychwyn.
Talu sylw! Pan ddechreuir S-Terra CC, sefydlir polisi diogelwch lle nad yw'r rhyngwynebau porth diogelwch yn caniatáu i becynnau basio drwodd. Rhaid i chi naill ai greu eich polisi eich hun neu ddefnyddio'r gorchymyn rhedeg csconf_mgr actifadu actifadu polisi caniatáu wedi'i ddiffinio ymlaen llaw.
Nesaf, mae angen i chi ffurfweddu cyfeiriad rhyngwynebau allanol a mewnol, yn ogystal â'r llwybr rhagosodedig. Mae'n well gweithio gyda chyfluniad rhwydwaith CS a ffurfweddu amgryptio trwy gonsol tebyg i Cisco. Mae'r consol hwn wedi'i gynllunio i nodi gorchmynion tebyg i orchmynion Cisco IOS. Mae'r cyfluniad a gynhyrchir gan ddefnyddio'r consol tebyg i Cisco, yn ei dro, yn cael ei drawsnewid i'r ffeiliau cyfluniad cyfatebol y mae daemonau'r OS yn gweithio gyda nhw. Gallwch chi fynd i'r consol tebyg i Cisco o'r consol gweinyddu gyda'r gorchymyn ffurfweddu.
Newid cyfrineiriau ar gyfer y cscons defnyddiwr adeiledig a galluogi:
>galluogi
Cyfrinair: csp (wedi'i osod ymlaen llaw)
#ffurfweddu terfynell
#username cscons braint 15 cyfrinach 0 #enable secret 0 Sefydlu ffurfweddiad sylfaenol y rhwydwaith:
#rhyngwyneb GigabitEthernet0/0
# cyfeiriad ip 10.111.21.3 255.255.255.0
#dim cau i lawr
#rhyngwyneb GigabitEthernet0/1
# cyfeiriad ip 192.168.2.5 255.255.255.252
#dim cau i lawr
# llwybrip 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Gadael y consol tebyg i Cisco ac ewch i'r gragen debian gyda'r gorchymyn system. Gosodwch eich cyfrinair eich hun ar gyfer y defnyddiwr gwraidd tîm passwd.
Ym mhob ystafell reoli, mae twnnel ar wahân wedi'i ffurfweddu ar gyfer pob safle. Mae'r rhyngwyneb twnnel wedi'i ffurfweddu yn y ffeil / etc / rhwydwaith / rhyngwynebau. Mae'r cyfleustodau twnnel IP, sydd wedi'i gynnwys yn y set iproute2 a osodwyd ymlaen llaw, yn gyfrifol am greu'r rhyngwyneb ei hun. Mae'r gorchymyn creu rhyngwyneb wedi'i ysgrifennu yn yr opsiwn cyn-fyny.
Ffurfweddiad enghreifftiol o ryngwyneb twnnel nodweddiadol:
safle ceir 1
iface site1 ansefydlog
mynd i'r afael â 192.168.1.4
255.255.255.254 masg rhwydwaith
twnnel ip cyn i fyny ychwanegu modd site1 gre lleol 10.111.21.3 pell 10.111.22.3 bysell hfLYEg^vCh6p
Talu sylw! Dylid nodi bod yn rhaid i'r gosodiadau ar gyfer rhyngwynebau twnnel gael eu lleoli y tu allan i'r adran
###netifcfg-dechrau###
*****
###netifcfg-diwedd###
Fel arall, bydd y gosodiadau hyn yn cael eu trosysgrifo wrth newid gosodiadau rhwydwaith rhyngwynebau corfforol trwy gonsol tebyg i Cisco.
Llwybro deinamig
Yn S-Terra, gweithredir llwybro deinamig gan ddefnyddio pecyn meddalwedd Quagga. I ffurfweddu OSPF mae angen i ni alluogi a ffurfweddu daemonau sebra и ospfd. Yr ellyll sebra sy'n gyfrifol am gyfathrebu rhwng y daemoniaid llwybro a'r OS. Yr ellyll ospfd, fel mae'r enw'n awgrymu, sy'n gyfrifol am weithredu'r protocol OSPF.
Mae OSPF wedi'i ffurfweddu naill ai trwy'r consol daemon neu'n uniongyrchol trwy'r ffeil ffurfweddu /etc/quagga/ospfd.conf. Mae'r holl ryngwynebau ffisegol a thwnnel sy'n cymryd rhan mewn llwybro deinamig yn cael eu hychwanegu at y ffeil, ac mae'r rhwydweithiau a fydd yn cael eu hysbysebu ac yn derbyn cyhoeddiadau hefyd yn cael eu datgan.
Enghraifft o'r ffurfweddiad y mae angen ychwanegu ato ospfd.conf:
rhyngwyneb eth0
!
rhyngwyneb eth1
!
safle rhyngwyneb 1
!
safle rhyngwyneb 2
llwybrydd ospf
ospf llwybrydd-id 192.168.2.21
rhwydwaith 192.168.1.4/31 ardal 0.0.0.0
rhwydwaith 192.168.1.16/31 ardal 0.0.0.0
rhwydwaith 192.168.2.4/30 ardal 0.0.0.0
Yn yr achos hwn, cedwir cyfeiriadau 192.168.1.x/31 ar gyfer rhwydweithiau ptp twnnel rhwng safleoedd, cedwir cyfeiriadau 192.168.2.x/30 ar gyfer rhwydweithiau cludo rhwng y llwybryddion CS a chnewyllyn.
Talu sylw! Er mwyn lleihau'r tabl llwybro mewn gosodiadau mawr, gallwch hidlo cyhoeddiad y rhwydweithiau cludo eu hunain gan ddefnyddio'r lluniadau dim ailddosbarthu yn gysylltiedig neu ailddosbarthu map llwybr cysylltiedig.
Ar ôl ffurfweddu'r daemons, mae angen i chi newid statws cychwyn y daemons yn /etc/quagga/daemons. Mewn opsiynau sebra и ospfd dim newid i ie. Dechreuwch y daemon quagga a'i osod i redeg yn awtomatig pan fyddwch chi'n cychwyn KS gyda'r gorchymyn update-rc.d quagga galluogi.
Os yw cyfluniad twneli GRE ac OSPF yn cael ei wneud yn gywir, yna dylai llwybrau yn y rhwydwaith o wefannau eraill ymddangos ar y llwybryddion KSh a chraidd ac, felly, mae cysylltedd rhwydwaith yn codi rhwng rhwydweithiau lleol.
Rydym yn amgryptio traffig a drosglwyddir
Fel yr ysgrifennwyd eisoes, fel arfer wrth amgryptio rhwng safleoedd, rydym yn nodi ystodau cyfeiriadau IP (ACLs) y mae traffig wedi'i amgryptio rhyngddynt: os yw'r cyfeiriadau ffynhonnell a chyrchfan yn dod o fewn yr ystodau hyn, yna mae'r traffig rhyngddynt yn cael ei amgryptio. Fodd bynnag, yn y prosiect hwn mae'r strwythur yn ddeinamig a gall cyfeiriadau newid. Gan ein bod eisoes wedi ffurfweddu twnelu GRE, gallwn nodi cyfeiriadau KS allanol fel y cyfeiriadau ffynhonnell a chyrchfan ar gyfer amgryptio traffig - wedi'r cyfan, mae traffig sydd eisoes wedi'i amgryptio gan y protocol GRE yn cyrraedd ar gyfer amgryptio. Mewn geiriau eraill, mae popeth sy'n mynd i mewn i'r CS o rwydwaith lleol un safle tuag at rwydweithiau sydd wedi'u cyhoeddi gan wefannau eraill wedi'u hamgryptio. Ac o fewn pob un o'r safleoedd gellir cynnal unrhyw ailgyfeirio. Felly, os oes unrhyw newid mewn rhwydweithiau lleol, dim ond y cyhoeddiadau sy'n dod o'i rwydwaith i'r rhwydwaith y mae angen i'r gweinyddwr eu haddasu, a bydd ar gael i wefannau eraill.
Perfformir amgryptio yn S-Terra CS gan ddefnyddio protocol IPSec. Rydym yn defnyddio'r algorithm “Gweilch y Môr” yn unol â GOST R 34.12-2015, ac ar gyfer cydnawsedd â fersiynau hŷn gallwch ddefnyddio GOST 28147-89. Yn dechnegol, gellir dilysu ar allweddi wedi'u diffinio ymlaen llaw (PSKs) a thystysgrifau. Fodd bynnag, mewn gweithrediad diwydiannol mae angen defnyddio tystysgrifau a gyhoeddwyd yn unol â GOST R 34.10-2012.
Mae gweithio gyda thystysgrifau, cynwysyddion a CRLs yn cael ei wneud gan ddefnyddio'r cyfleustodau tystysgrif_mgr. Yn gyntaf oll, gan ddefnyddio'r gorchymyn cert_mgr creu mae angen cynhyrchu cynhwysydd allwedd breifat a chais am dystysgrif, a fydd yn cael ei anfon i'r Ganolfan Rheoli Tystysgrifau. Ar ôl derbyn y dystysgrif, rhaid ei fewnforio ynghyd â'r dystysgrif gwraidd CA a CRL (os caiff ei ddefnyddio) gyda'r gorchymyn cert_mgr mewnforio. Gallwch chi sicrhau bod pob tystysgrif a CRL wedi'u gosod gyda'r gorchymyn sioe cert_mgr.
Ar ôl gosod y tystysgrifau yn llwyddiannus, ewch i'r consol tebyg i Cisco i ffurfweddu IPSec.
Rydym yn creu polisi IKE sy'n nodi'r algorithmau a pharamedrau dymunol y sianel ddiogel sy'n cael ei chreu, a fydd yn cael ei chynnig i'r partner i'w chymeradwyo.
Polisi #crypto isakmp 1000
#encr gost341215k
#hash gost341112-512-tc26
#arwydd dilysu
#grŵp vko2
#oes 3600
Defnyddir y polisi hwn wrth adeiladu cam cyntaf IPSec. Canlyniad cwblhau'r cam cyntaf yn llwyddiannus yw sefydlu SA (Security Association).
Nesaf, mae angen i ni ddiffinio rhestr o gyfeiriadau IP ffynhonnell a chyrchfan (ACL) ar gyfer amgryptio, cynhyrchu set drawsnewid, creu map cryptograffig (map crypto) a'i rwymo i ryngwyneb allanol y CS.
Gosod ACL:
Gwefan estynedig #rhestr mynediad ip1
#caniatáu gre gwesteiwr 10.111.21.3 gwesteiwr 10.111.22.3
Set o drawsnewidiadau (yr un fath ag ar gyfer y cam cyntaf, rydym yn defnyddio'r algorithm amgryptio “Grasshopper” gan ddefnyddio'r modd cynhyrchu mewnosod efelychiad):
#crypto ipsec trawsnewid-set GOST esp-gost341215k-mac
Rydym yn creu map crypto, yn nodi'r ACL, yn trawsnewid set a chyfeiriad cyfoedion:
#crypto map PRIF 100 ipsec-isakmp
#safle cyfeiriad gêm1
#set trawsnewid-set GOST
#gosod cyfoed 10.111.22.3
Rydym yn rhwymo'r cerdyn crypto i ryngwyneb allanol y gofrestr arian parod:
#rhyngwyneb GigabitEthernet0/0
# cyfeiriad ip 10.111.21.3 255.255.255.0
#crypto map PRIF
I amgryptio sianeli gyda gwefannau eraill, rhaid i chi ailadrodd y weithdrefn ar gyfer creu cerdyn ACL a crypto, gan newid yr enw ACL, cyfeiriadau IP a rhif cerdyn crypto.
Talu sylw! Os na ddefnyddir dilysiad tystysgrif gan CRL, rhaid nodi hyn yn benodol:
#crypto pki trustpoint s-terra_technological_trustpoint
#dirymu-gwirio dim
Ar y pwynt hwn, gellir ystyried bod y gosodiad yn gyflawn. Yn allbwn gorchymyn consol tebyg i Cisco dangos crypto isakmp sa и dangos crypto ipsec sa Dylid adlewyrchu cam cyntaf ac ail gam IPSec. Gellir cael yr un wybodaeth gan ddefnyddio'r gorchymyn sioe sa_mgr, gweithredu o gragen debian. Yn yr allbwn gorchymyn sioe cert_mgr Dylai'r tystysgrifau safle anghysbell ymddangos. Bydd statws tystysgrifau o'r fath bell. Os nad yw twneli'n cael eu hadeiladu, mae angen ichi edrych ar log gwasanaeth VPN, sy'n cael ei storio yn y ffeil /var/log/cspvpngate.log. Mae rhestr gyflawn o ffeiliau log gyda disgrifiad o'u cynnwys ar gael yn y ddogfennaeth.
Monitro “iechyd” y system
Mae'r S-Terra CC yn defnyddio'r daemon snmpd safonol ar gyfer monitro. Yn ogystal â pharamedrau Linux nodweddiadol, allan o'r blwch mae S-Terra yn cefnogi cyhoeddi data am dwneli IPSec yn unol â'r CISCO-IPSEC-FLOW-MONITOR-MIB, sef yr hyn a ddefnyddiwn wrth fonitro statws twneli IPSec. Mae ymarferoldeb OIDs arferol sy'n allbynnu canlyniadau gweithredu sgriptiau fel gwerthoedd hefyd yn cael ei gefnogi. Mae'r nodwedd hon yn ein galluogi i olrhain dyddiadau dod i ben tystysgrifau. Mae'r sgript ysgrifenedig yn dosrannu allbwn y gorchymyn sioe cert_mgr ac o ganlyniad yn rhoi nifer y dyddiau hyd nes y daw'r tystysgrifau lleol a gwraidd i ben. Mae'r dechneg hon yn anhepgor wrth weinyddu nifer fawr o CABGs.
Beth yw budd amgryptio o'r fath?
Mae'r holl swyddogaethau a ddisgrifir uchod yn cael eu cefnogi allan o'r blwch gan y S-Terra KSh. Hynny yw, nid oedd angen gosod unrhyw fodiwlau ychwanegol a allai effeithio ar ardystio pyrth crypto ac ardystio'r system wybodaeth gyfan. Gall fod unrhyw sianeli rhwng safleoedd, hyd yn oed dros y Rhyngrwyd.
Oherwydd y ffaith, pan fydd y seilwaith mewnol yn newid, nid oes angen ad-drefnu pyrth crypto, mae'r system yn gweithio fel gwasanaeth, sy'n gyfleus iawn i'r cwsmer: gall osod ei wasanaethau (cleient a gweinydd) mewn unrhyw gyfeiriadau, a bydd pob newid yn cael ei drosglwyddo'n ddeinamig rhwng offer amgryptio.
Wrth gwrs, mae amgryptio oherwydd costau gorbenion (uwchben) yn effeithio ar y cyflymder trosglwyddo data, ond dim ond ychydig - gall y trwybwn sianel ostwng uchafswm o 5-10%. Ar yr un pryd, mae'r dechnoleg wedi'i phrofi a dangoswyd canlyniadau da hyd yn oed ar sianeli lloeren, sy'n eithaf ansefydlog ac sydd â lled band isel.
Igor Vinokhodov, peiriannydd ail linell weinyddol Rostelecom-Solar
Ffynhonnell: hab.com