Εάν η εταιρεία σας διαβιβάζει ή λαμβάνει προσωπικά δεδομένα και άλλες εμπιστευτικές πληροφορίες μέσω του δικτύου που υπόκεινται σε προστασία σύμφωνα με τη νομοθεσία, απαιτείται η χρήση κρυπτογράφησης GOST. Σήμερα θα σας πούμε πώς εφαρμόσαμε μια τέτοια κρυπτογράφηση με βάση την πύλη κρυπτογράφησης S-Terra (CS) σε έναν από τους πελάτες. Αυτή η ιστορία θα ενδιαφέρει ειδικούς σε θέματα ασφάλειας πληροφοριών, καθώς και μηχανικούς, σχεδιαστές και αρχιτέκτονες. Δεν θα βουτήξουμε βαθιά στις αποχρώσεις της τεχνικής διαμόρφωσης σε αυτήν την ανάρτηση· θα επικεντρωθούμε στα βασικά σημεία της βασικής ρύθμισης. Τεράστιοι όγκοι τεκμηρίωσης σχετικά με τη ρύθμιση των δαιμόνων του Linux OS, στους οποίους βασίζεται το S-Terra CS, διατίθενται ελεύθερα στο Διαδίκτυο. Η τεκμηρίωση για τη ρύθμιση του ιδιόκτητου λογισμικού S-Terra είναι επίσης διαθέσιμη στο κοινό κατασκευαστή.
Λίγα λόγια για το έργο
Η τοπολογία δικτύου του πελάτη ήταν στάνταρ - πλήρες πλέγμα μεταξύ του κέντρου και των υποκαταστημάτων. Ήταν απαραίτητο να εισαχθεί η κρυπτογράφηση των καναλιών ανταλλαγής πληροφοριών μεταξύ όλων των τοποθεσιών, εκ των οποίων υπήρχαν 8.
Συνήθως σε τέτοια έργα όλα είναι στατικά: οι στατικές διαδρομές προς το τοπικό δίκτυο του ιστότοπου ορίζονται σε πύλες κρυπτογράφησης (CG), καταχωρούνται λίστες διευθύνσεων IP (ACL) για κρυπτογράφηση. Ωστόσο, σε αυτήν την περίπτωση, οι ιστότοποι δεν έχουν κεντρικό έλεγχο και όλα μπορούν να συμβούν μέσα στα τοπικά τους δίκτυα: τα δίκτυα μπορούν να προστεθούν, να διαγραφούν και να τροποποιηθούν με κάθε δυνατό τρόπο. Προκειμένου να αποφευχθεί η επαναδιαμόρφωση της δρομολόγησης και του ACL στο KS κατά την αλλαγή της διεύθυνσης των τοπικών δικτύων στις τοποθεσίες, αποφασίστηκε να χρησιμοποιηθεί η σήραγγα GRE και η δυναμική δρομολόγηση OSPF, η οποία περιλαμβάνει όλα τα KS και τους περισσότερους δρομολογητές σε επίπεδο πυρήνα δικτύου στις τοποθεσίες ( σε ορισμένες τοποθεσίες, οι διαχειριστές υποδομής προτιμούσαν να χρησιμοποιούν το SNAT προς το KS σε δρομολογητές πυρήνα).
Η σήραγγα GRE μας επέτρεψε να λύσουμε δύο προβλήματα:
1. Χρησιμοποιήστε τη διεύθυνση IP της εξωτερικής διεπαφής του CS για κρυπτογράφηση στο ACL, η οποία ενσωματώνει όλη την κίνηση που αποστέλλεται σε άλλους ιστότοπους.
2. Οργανώστε τις σήραγγες ptp μεταξύ των CS, οι οποίες σας επιτρέπουν να διαμορφώσετε τη δυναμική δρομολόγηση (στην περίπτωσή μας, το MPLS L3VPN του παρόχου είναι οργανωμένο μεταξύ των τοποθεσιών).
Ο πελάτης διέταξε την εφαρμογή της κρυπτογράφησης ως υπηρεσία. Διαφορετικά, θα έπρεπε όχι μόνο να συντηρεί πύλες κρυπτογράφησης ή να τις αναθέτει σε τρίτους σε κάποιον οργανισμό, αλλά και να παρακολουθεί ανεξάρτητα τον κύκλο ζωής των πιστοποιητικών κρυπτογράφησης, να τα ανανεώνει εγκαίρως και να εγκαθιστά νέα.
Και τώρα το πραγματικό σημείωμα - πώς και τι δημιουργήσαμε
Σημείωση για το θέμα CII: ρύθμιση μιας πύλης κρυπτογράφησης
Βασική εγκατάσταση δικτύου
Πρώτα απ 'όλα, ξεκινάμε ένα νέο CS και μπαίνουμε στην κονσόλα διαχείρισης. Θα πρέπει να ξεκινήσετε αλλάζοντας τον ενσωματωμένο κωδικό πρόσβασης διαχειριστή - εντολή αλλαγή κωδικού πρόσβασης χρήστη διαχειριστή. Στη συνέχεια, πρέπει να εκτελέσετε τη διαδικασία προετοιμασίας (εντολή προετοιμαστεί) κατά την οποία εισάγονται τα δεδομένα άδειας χρήσης και αρχικοποιείται ο αισθητήρας τυχαίων αριθμών (RNS).
Δώστε προσοχή! Όταν αρχικοποιείται το S-Terra CC, δημιουργείται μια πολιτική ασφαλείας στην οποία οι διεπαφές της πύλης ασφαλείας δεν επιτρέπουν τη διέλευση πακέτων. Πρέπει είτε να δημιουργήσετε τη δική σας πολιτική είτε να χρησιμοποιήσετε την εντολή τρέξτε το csconf_mgr ενεργοποίηση ενεργοποιήστε μια προκαθορισμένη πολιτική επιτρεπόμενων.
Στη συνέχεια, πρέπει να διαμορφώσετε τη διευθυνσιοδότηση εξωτερικών και εσωτερικών διεπαφών, καθώς και την προεπιλεγμένη διαδρομή. Είναι προτιμότερο να εργάζεστε με τη διαμόρφωση δικτύου CS και να διαμορφώνετε την κρυπτογράφηση μέσω μιας κονσόλας τύπου Cisco. Αυτή η κονσόλα έχει σχεδιαστεί για να εισάγει εντολές παρόμοιες με τις εντολές Cisco IOS. Η διαμόρφωση που δημιουργείται χρησιμοποιώντας την κονσόλα τύπου Cisco μετατρέπεται, με τη σειρά της, στα αντίστοιχα αρχεία διαμόρφωσης με τα οποία λειτουργούν οι δαίμονες του λειτουργικού συστήματος. Μπορείτε να μεταβείτε στην κονσόλα που μοιάζει με Cisco από την κονσόλα διαχείρισης με την εντολή ρυθμίσετε.
Αλλάξτε τους κωδικούς πρόσβασης για τα ενσωματωμένα cscon χρήστη και ενεργοποιήστε:
>ενεργοποίηση
Κωδικός πρόσβασης: csp (προεγκατεστημένο)
#configure terminal
#username cscons privilege 15 secret 0 #enable secret 0 Ρύθμιση της βασικής διαμόρφωσης δικτύου:
#interface GigabitEthernet0/0
Διεύθυνση #ip 10.111.21.3 255.255.255.0
#όχι διακοπή λειτουργίας
#interface GigabitEthernet0/1
Διεύθυνση #ip 192.168.2.5 255.255.255.252
#όχι διακοπή λειτουργίας
#ip διαδρομή 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Βγείτε από την κονσόλα που μοιάζει με Cisco και μεταβείτε στο κέλυφος του debian με την εντολή σύστημα. Ορίστε τον δικό σας κωδικό πρόσβασης για τον χρήστη ρίζα ομάδα passwd.
Σε κάθε δωμάτιο ελέγχου, διαμορφώνεται ξεχωριστή σήραγγα για κάθε τοποθεσία. Η διεπαφή της σήραγγας έχει ρυθμιστεί στο αρχείο / etc / network / interfaces. Το βοηθητικό πρόγραμμα IP tunnel, που περιλαμβάνεται στο προεγκατεστημένο σύνολο iproute2, είναι υπεύθυνο για τη δημιουργία της ίδιας της διεπαφής. Η εντολή δημιουργίας διεπαφής είναι γραμμένη στην επιλογή pre-up.
Παράδειγμα διαμόρφωσης μιας τυπικής διεπαφής σήραγγας:
αυτόματη τοποθεσία 1
iface site1 inet static
διεύθυνση 192.168.1.4
255.255.255.254 netmask
pre-up ip tunnel add site1 mode gre local 10.111.21.3 remote 10.111.22.3 key hfLYEg^vCh6p
Δώστε προσοχή! Πρέπει να σημειωθεί ότι οι ρυθμίσεις για τις διεπαφές σήραγγας πρέπει να βρίσκονται εκτός του τμήματος
###netifcfg-αρχή###
*****
###netifcfg-end###
Διαφορετικά, αυτές οι ρυθμίσεις θα αντικατασταθούν κατά την αλλαγή των ρυθμίσεων δικτύου των φυσικών διεπαφών μέσω μιας κονσόλας τύπου Cisco.
Δυναμική δρομολόγηση
Στο S-Terra, η δυναμική δρομολόγηση υλοποιείται χρησιμοποιώντας το πακέτο λογισμικού Quagga. Για να ρυθμίσουμε το OSPF πρέπει να ενεργοποιήσουμε και να ρυθμίσουμε τους δαίμονες ζέβρα и ospfd. Ο δαίμονας ζέβρας είναι υπεύθυνος για την επικοινωνία μεταξύ των δαιμόνων δρομολόγησης και του λειτουργικού συστήματος. Ο δαίμονας ospfd, όπως υποδηλώνει το όνομα, είναι υπεύθυνος για την εφαρμογή του πρωτοκόλλου OSPF.
Το OSPF ρυθμίζεται είτε μέσω της κονσόλας daemon είτε απευθείας μέσω του αρχείου διαμόρφωσης /etc/quagga/ospfd.conf. Όλες οι φυσικές διεπαφές και οι διεπαφές σήραγγας που συμμετέχουν στη δυναμική δρομολόγηση προστίθενται στο αρχείο και δηλώνονται επίσης τα δίκτυα που θα διαφημιστούν και θα λαμβάνουν ανακοινώσεις.
Ένα παράδειγμα της διαμόρφωσης που πρέπει να προστεθεί ospfd.conf:
διεπαφή eth0
!
διεπαφή eth1
!
τοποθεσία διεπαφής 1
!
τοποθεσία διεπαφής 2
δρομολογητής ospf
ospf router-id 192.168.2.21
δικτύου 192.168.1.4/31 περιοχή 0.0.0.0
δικτύου 192.168.1.16/31 περιοχή 0.0.0.0
δικτύου 192.168.2.4/30 περιοχή 0.0.0.0
Σε αυτήν την περίπτωση, οι διευθύνσεις 192.168.1.x/31 δεσμεύονται για δίκτυα ptp σήραγγας μεταξύ τοποθεσιών, οι διευθύνσεις 192.168.2.x/30 δεσμεύονται για δίκτυα διέλευσης μεταξύ των δρομολογητών CS και πυρήνα.
Δώστε προσοχή! Για να μειώσετε τον πίνακα δρομολόγησης σε μεγάλες εγκαταστάσεις, μπορείτε να φιλτράρετε την ανακοίνωση των ίδιων των δικτύων συγκοινωνίας χρησιμοποιώντας τις κατασκευές καμία αναδιανομή συνδεδεμένη ή αναδιανομή συνδεδεμένου χάρτη διαδρομής.
Αφού ρυθμίσετε τους δαίμονες, πρέπει να αλλάξετε την κατάσταση εκκίνησης των δαιμόνων /etc/quagga/daemons. Σε επιλογές ζέβρα и ospfd καμία αλλαγή σε ναι. Ξεκινήστε τον δαίμονα quagga και ρυθμίστε τον σε αυτόματη εκτέλεση όταν ξεκινάτε την εντολή KS update-rc.d quagga enable.
Εάν η διαμόρφωση των σηράγγων GRE και του OSPF γίνει σωστά, τότε οι διαδρομές στο δίκτυο άλλων τοποθεσιών θα πρέπει να εμφανιστούν στους δρομολογητές KSh και στον πυρήνα και, ως εκ τούτου, να προκύψει συνδεσιμότητα δικτύου μεταξύ τοπικών δικτύων.
Κρυπτογραφούμε τη μεταδιδόμενη κίνηση
Όπως γράφτηκε ήδη, συνήθως κατά την κρυπτογράφηση μεταξύ τοποθεσιών, καθορίζουμε εύρη διευθύνσεων IP (ACL) μεταξύ των οποίων κρυπτογραφείται η κίνηση: εάν οι διευθύνσεις προέλευσης και προορισμού εμπίπτουν σε αυτά τα εύρη, τότε η κίνηση μεταξύ τους κρυπτογραφείται. Ωστόσο, σε αυτό το έργο η δομή είναι δυναμική και οι διευθύνσεις μπορεί να αλλάξουν. Εφόσον έχουμε ήδη διαμορφώσει τη σήραγγα GRE, μπορούμε να καθορίσουμε εξωτερικές διευθύνσεις KS ως διευθύνσεις προέλευσης και προορισμού για την κρυπτογράφηση της κυκλοφορίας - σε τελική ανάλυση, η κυκλοφορία που έχει ήδη ενθυλακωθεί από το πρωτόκολλο GRE φτάνει για κρυπτογράφηση. Με άλλα λόγια, όλα όσα εισέρχονται στο CS από το τοπικό δίκτυο ενός ιστότοπου προς δίκτυα που έχουν ανακοινωθεί από άλλους ιστότοπους είναι κρυπτογραφημένα. Και σε κάθε έναν από τους ιστότοπους μπορεί να πραγματοποιηθεί οποιαδήποτε ανακατεύθυνση. Έτσι, εάν υπάρξει οποιαδήποτε αλλαγή στα τοπικά δίκτυα, ο διαχειριστής χρειάζεται μόνο να τροποποιήσει τις ανακοινώσεις που προέρχονται από το δίκτυό του προς το δίκτυο και θα είναι διαθέσιμο σε άλλους ιστότοπους.
Η κρυπτογράφηση στο S-Terra CS πραγματοποιείται χρησιμοποιώντας το πρωτόκολλο IPSec. Χρησιμοποιούμε τον αλγόριθμο "Grasshopper" σύμφωνα με το GOST R 34.12-2015 και για συμβατότητα με παλαιότερες εκδόσεις μπορείτε να χρησιμοποιήσετε το GOST 28147-89. Ο έλεγχος ταυτότητας μπορεί τεχνικά να πραγματοποιηθεί τόσο σε προκαθορισμένα κλειδιά (PSK) όσο και σε πιστοποιητικά. Ωστόσο, στη βιομηχανική λειτουργία είναι απαραίτητο να χρησιμοποιηθούν πιστοποιητικά που εκδίδονται σύμφωνα με το GOST R 34.10-2012.
Η εργασία με πιστοποιητικά, κοντέινερ και CRL γίνεται χρησιμοποιώντας το βοηθητικό πρόγραμμα cert_mgr. Πρώτα απ 'όλα, χρησιμοποιώντας την εντολή cert_mgr δημιουργία είναι απαραίτητο να δημιουργηθεί ένα κοντέινερ ιδιωτικού κλειδιού και ένα αίτημα πιστοποιητικού, το οποίο θα σταλεί στο Κέντρο Διαχείρισης Πιστοποιητικών. Μετά τη λήψη του πιστοποιητικού, πρέπει να εισαχθεί μαζί με το πιστοποιητικό CA root και το CRL (αν χρησιμοποιείται) με την εντολή εισαγωγή cert_mgr. Μπορείτε να βεβαιωθείτε ότι όλα τα πιστοποιητικά και τα CRL είναι εγκατεστημένα με την εντολή εκπομπή cert_mgr.
Μετά την επιτυχή εγκατάσταση των πιστοποιητικών, μεταβείτε στην κονσόλα που μοιάζει με Cisco για να διαμορφώσετε το IPSec.
Δημιουργούμε μια πολιτική IKE που καθορίζει τους επιθυμητούς αλγόριθμους και παραμέτρους του ασφαλούς καναλιού που δημιουργείται, τα οποία θα προσφερθούν στον συνεργάτη για έγκριση.
#crypto isakmp policy 1000
#encr gost341215k
#hash gost341112-512-tc26
#σύμβολο ελέγχου ταυτότητας
#ομάδα vko2
#lifetime 3600
Αυτή η πολιτική εφαρμόζεται κατά την κατασκευή της πρώτης φάσης του IPSec. Αποτέλεσμα της επιτυχούς ολοκλήρωσης της πρώτης φάσης είναι η ίδρυση Α.Ε. (Security Association).
Στη συνέχεια, πρέπει να ορίσουμε μια λίστα με διευθύνσεις IP προέλευσης και προορισμού (ACL) για κρυπτογράφηση, να δημιουργήσουμε ένα σύνολο μετασχηματισμού, να δημιουργήσουμε έναν κρυπτογραφικό χάρτη (crypto map) και να τον συνδέσουμε στην εξωτερική διεπαφή του CS.
Ρύθμιση ACL:
#ip access-list εκτεταμένος ιστότοπος1
#permit gre host 10.111.21.3 host 10.111.22.3
Ένα σύνολο μετασχηματισμών (όπως και για την πρώτη φάση, χρησιμοποιούμε τον αλγόριθμο κρυπτογράφησης «Grasshopper» χρησιμοποιώντας τη λειτουργία δημιουργίας ένθετου προσομοίωσης):
#crypto ipsec transform-set GOST esp-gost341215k-mac
Δημιουργούμε έναν χάρτη κρυπτογράφησης, καθορίζουμε το ACL, μετασχηματίζουμε το σύνολο και τη διεύθυνση peer:
#crypto map MAIN 100 ipsec-isakmp
#match διεύθυνση ιστότοπου1
#set transform-set GOST
#set peer 10.111.22.3
Συνδέουμε την κρυπτοκάρτα στην εξωτερική διεπαφή της ταμειακής μηχανής:
#interface GigabitEthernet0/0
Διεύθυνση #ip 10.111.21.3 255.255.255.0
#κρυπτογραφικός χάρτης ΚΥΡΙΟΣ
Για να κρυπτογραφήσετε κανάλια με άλλους ιστότοπους, πρέπει να επαναλάβετε τη διαδικασία για τη δημιουργία κάρτας ACL και κρυπτογράφησης, αλλάζοντας το όνομα, τις διευθύνσεις IP και τον αριθμό της κάρτας κρυπτογράφησης ACL.
Δώστε προσοχή! Εάν δεν χρησιμοποιείται επαλήθευση πιστοποιητικού CRL, αυτό πρέπει να προσδιορίζεται ρητά:
#crypto pki trustpoint s-terra_technological_trustpoint
#revocation-check none
Σε αυτό το σημείο, η ρύθμιση μπορεί να θεωρηθεί ολοκληρωμένη. Σε έξοδο εντολής κονσόλας τύπου Cisco εμφάνιση κρυπτο ισακμπ α.ε и δείχνουν crypto ipsec sa Η κατασκευασμένη πρώτη και δεύτερη φάση του IPSec θα πρέπει να αντικατοπτρίζονται. Οι ίδιες πληροφορίες μπορούν να ληφθούν χρησιμοποιώντας την εντολή εκπομπή sa_mgr, που εκτελείται από το κέλυφος του debian. Στην έξοδο εντολών εκπομπή cert_mgr Θα πρέπει να εμφανίζονται τα πιστοποιητικά απομακρυσμένου ιστότοπου. Η κατάσταση τέτοιων πιστοποιητικών θα είναι μακρινός. Εάν δεν κατασκευάζονται τούνελ, πρέπει να δείτε το αρχείο καταγραφής υπηρεσιών VPN, το οποίο είναι αποθηκευμένο στο αρχείο /var/log/cspvpngate.log. Μια πλήρης λίστα αρχείων καταγραφής με περιγραφή του περιεχομένου τους είναι διαθέσιμη στην τεκμηρίωση.
Παρακολούθηση της «υγείας» του συστήματος
Το S-Terra CC χρησιμοποιεί τον τυπικό δαίμονα snmpd για παρακολούθηση. Εκτός από τις τυπικές παραμέτρους Linux, το S-Terra εκτός του κουτιού υποστηρίζει την έκδοση δεδομένων σχετικά με τις σήραγγες IPSec σύμφωνα με το CISCO-IPSEC-FLOW-MONITOR-MIB, το οποίο χρησιμοποιούμε κατά την παρακολούθηση της κατάστασης των σηράγγων IPSec. Υποστηρίζεται επίσης η λειτουργικότητα των προσαρμοσμένων OID που εξάγουν τα αποτελέσματα της εκτέλεσης σεναρίου ως τιμές. Αυτή η δυνατότητα μας επιτρέπει να παρακολουθούμε τις ημερομηνίες λήξης του πιστοποιητικού. Το γραπτό σενάριο αναλύει την έξοδο της εντολής εκπομπή cert_mgr και ως αποτέλεσμα δίνει τον αριθμό των ημερών μέχρι τη λήξη του τοπικού και του ριζικού πιστοποιητικού. Αυτή η τεχνική είναι απαραίτητη όταν χορηγείται μεγάλος αριθμός CABG.
Ποιο είναι το όφελος μιας τέτοιας κρυπτογράφησης;
Όλες οι λειτουργίες που περιγράφονται παραπάνω υποστηρίζονται εκτός συσκευασίας από το S-Terra KSh. Δηλαδή, δεν χρειαζόταν να εγκατασταθούν πρόσθετες μονάδες που θα μπορούσαν να επηρεάσουν την πιστοποίηση των κρυπτογραφικών πυλών και την πιστοποίηση ολόκληρου του πληροφοριακού συστήματος. Μπορεί να υπάρχουν κανάλια μεταξύ των τοποθεσιών, ακόμη και μέσω Διαδικτύου.
Λόγω του γεγονότος ότι όταν αλλάζει η εσωτερική υποδομή, δεν χρειάζεται να ρυθμίσετε εκ νέου τις πύλες κρυπτογράφησης, το σύστημα λειτουργεί ως υπηρεσία, το οποίο είναι πολύ βολικό για τον πελάτη: μπορεί να τοποθετήσει τις υπηρεσίες του (πελάτη και διακομιστή) σε οποιαδήποτε διεύθυνση και όλες οι αλλαγές θα μεταφερθούν δυναμικά μεταξύ του εξοπλισμού κρυπτογράφησης.
Φυσικά, η κρυπτογράφηση λόγω γενικών εξόδων (overhead) επηρεάζει την ταχύτητα μεταφοράς δεδομένων, αλλά μόνο ελαφρώς - η απόδοση του καναλιού μπορεί να μειωθεί κατά 5-10%. Ταυτόχρονα, η τεχνολογία έχει δοκιμαστεί και έχει δείξει καλά αποτελέσματα ακόμη και σε δορυφορικά κανάλια, τα οποία είναι αρκετά ασταθή και έχουν χαμηλό εύρος ζώνης.
Igor Vinokhodov, μηχανικός της 2ης γραμμής διοίκησης της Rostelecom-Solar
Πηγή: www.habr.com