Kui teie ettevõte edastab või võtab vastu võrgu kaudu isikuandmeid ja muud konfidentsiaalset teavet, mis on vastavalt seadusele kaitstud, on see kohustatud kasutama GOST-krüptimist. Täna räägime teile, kuidas me sellise krüptimise S-Terra krüptolüüsi (CS) alusel ühe kliendi juures rakendasime. See lugu pakub huvi nii infoturbe spetsialistidele kui ka inseneridele, disaineritele ja arhitektidele. Me ei sukeldu selles postituses sügavalt tehnilise konfiguratsiooni nüanssidesse, vaid keskendume põhiseadistuse põhipunktidele. Internetis on vabalt saadaval tohutul hulgal dokumentatsiooni Linuxi OS-i deemonite seadistamise kohta, millel S-Terra CS põhineb. S-Terra patenteeritud tarkvara seadistamise dokumentatsioon on samuti avalikult saadaval aadressil tootja.
Paar sõna projektist
Kliendi võrgu topoloogia oli standardne – keskuse ja filiaalide vahel oli täisvõrk. Kõigi saitide vahel, mida oli 8, oli vaja kasutusele võtta teabevahetuskanalite krüpteerimine.
Tavaliselt on sellistes projektides kõik staatiline: staatilised marsruudid saidi kohalikku võrku seatakse krüptolüüsidele (CG), krüptimiseks registreeritakse IP-aadresside (ACL) loendid. Kuid sel juhul ei ole saitidel tsentraliseeritud juhtimist ja nende kohalikes võrkudes võib kõike juhtuda: võrke saab igal võimalikul viisil lisada, kustutada ja muuta. Vältimaks KS-i marsruutimise ja ACL-i ümberseadistamist kohalike võrkude aadressi muutmisel saitidel, otsustati kasutada GRE tunneldamist ja OSPF dünaamilist marsruutimist, mis hõlmab kõiki KS-i ja enamikku ruutereid võrgu tuuma tasemel saitidel ( mõnel saidil eelistasid infrastruktuuri administraatorid kasutada kerneli ruuterites SNAT-i KS-i asemel).
GRE tunneldamine võimaldas meil lahendada kaks probleemi:
1. Kasutage ACL-is krüptimiseks CS-i välisliidese IP-aadressi, mis kapseldab kogu teistele saitidele saadetud liikluse.
2. Korraldage CS-de vahel ptp-tunnelid, mis võimaldavad teil konfigureerida dünaamilist marsruutimist (meie puhul on pakkuja MPLS L3VPN korraldatud saitide vahel).
Klient tellis krüptimise kui teenuse juurutamise. Vastasel juhul peaks ta mitte ainult krüptoväravaid hooldama või mõnele organisatsioonile allhanke korras hankima, vaid ka iseseisvalt krüpteerimissertifikaatide elutsüklit jälgima, neid õigel ajal uuendama ja uusi installima.
Ja nüüd tegelik memo – kuidas ja mida me konfigureerisime
Märkus CII teemale: krüptovärava seadistamine
Võrgu põhihäälestus
Kõigepealt käivitame uue CS-i ja siseneme halduskonsooli. Alustuseks peaksite muutma sisseehitatud administraatori parooli - käsku muutke kasutaja parooli administraator. Seejärel peate läbi viima lähtestamisprotseduuri (käsk initsialiseerida), mille käigus sisestatakse litsentsiandmed ja initsialiseeritakse juhuslike arvude andur (RNS).
Pöörake tähelepanu! Kui S-Terra CC initsialiseeritakse, kehtestatakse turvapoliitika, mille puhul turvalüüsi liidesed ei luba pakette läbida. Peate looma oma poliitika või kasutama käsku käivitage csconf_mgr activate aktiveerige eelmääratletud lubamispoliitika.
Järgmisena peate konfigureerima väliste ja sisemiste liideste adresseerimise ning vaikemarsruudi. Eelistatav on töötada CS-võrgu konfiguratsiooniga ja konfigureerida krüptimist Cisco-laadse konsooli kaudu. See konsool on loodud Cisco IOS-i käskudele sarnaste käskude sisestamiseks. Cisco-laadse konsooli abil genereeritud konfiguratsioon teisendatakse omakorda vastavateks konfiguratsioonifailideks, millega OS-i deemonid töötavad. Cisco-laadsele konsoolile saab minna halduskonsoolist käsuga seadistada.
Muutke sisseehitatud kasutaja csconide paroole ja lubage:
> lubada
Parool: csp (eelinstallitud)
#konfigureeri terminal
#kasutajanimi csconsi privileeg 15 saladus 0 #enable secret 0 Võrgu põhikonfiguratsiooni seadistamine:
#liides GigabitEthernet0/0
#ip-aadress 10.111.21.3 255.255.255.0
#väljalülitamist pole
#liides GigabitEthernet0/1
#ip-aadress 192.168.2.5 255.255.255.252
#väljalülitamist pole
#ip marsruut 0.0.0.0 0.0.0.0 10.111.21.254
RKAS
Väljuge Cisco-laadsest konsoolist ja minge käsuga debiani kesta süsteem. Seadke kasutajale oma parool juur meeskond passwd.
Igas juhtimisruumis on iga saidi jaoks konfigureeritud eraldi tunnel. Tunneli liides on failis konfigureeritud / etc / network / liidesed. Eelinstallitud iproute2 komplekti kuuluv IP-tunneli utiliit vastutab liidese enda loomise eest. Liidese loomise käsk kirjutatakse eelvalikusse.
Tüüpilise tunneli liidese konfiguratsiooni näide:
auto sait1
iface site1 inet staatiline
aadress 192.168.1.4
võrgumask 255.255.255.254
eelnev IP-tunnel lisa saidi1 režiim gre kohalik 10.111.21.3 kaug 10.111.22.3 võti hfLYEg^vCh6p
Pöörake tähelepanu! Tuleb märkida, et tunneli liideste seaded peavad asuma väljaspool sektsiooni
###netifcfg-begin###
*****
###netifcfg-end###
Vastasel juhul kirjutatakse need sätted üle, kui muudetakse füüsiliste liideste võrguseadeid Cisco-laadse konsooli kaudu.
Dünaamiline marsruutimine
S-Terras rakendatakse dünaamilist marsruutimist Quagga tarkvarapaketi abil. OSPF-i konfigureerimiseks peame lubama ja konfigureerima deemonid sebra и ospfd. Sebradeemon vastutab marsruutimisdeemonite ja OS-i vahelise suhtluse eest. Nagu nimigi ütleb, vastutab OSPF-protokolli rakendamise eest ospfd deemon.
OSPF konfigureeritakse kas deemonikonsooli või otse konfiguratsioonifaili kaudu /etc/quagga/ospfd.conf. Faili lisatakse kõik dünaamilises marsruutimises osalevad füüsilised ja tunneli liidesed ning deklareeritakse ka võrgud, mida reklaamitakse ja mis teateid saavad.
Näide konfiguratsioonist, mis tuleb lisada ospfd.conf:
liides eth0
!
liides eth1
!
liidese sait1
!
liidese sait2
ruuter ospf
ospf ruuteri ID 192.168.2.21
võrk 192.168.1.4/31 ala 0.0.0.0
võrk 192.168.1.16/31 ala 0.0.0.0
võrk 192.168.2.4/30 ala 0.0.0.0
Sel juhul on aadressid 192.168.1.x/31 reserveeritud saitidevahelistele tunneli-ptp-võrkudele, aadressid 192.168.2.x/30 eraldatakse CS ja kerneli ruuterite vahelistele transiidivõrkudele.
Pöörake tähelepanu! Marsruutimistabeli vähendamiseks suurtes installatsioonides saate konstruktsioone kasutades filtreerida transiidivõrkude endi reklaame ümberjagamist pole ühendatud või levitada ühendatud marsruudi kaarti.
Pärast deemonite konfigureerimist peate muutma deemonite käivitusolekut /etc/quagga/daemons. Valikutes sebra и ospfd muutmata jah. Käivitage quagga deemon ja seadke see automaatkäivitusse, kui käivitate käsu KS update-rc.d quagga lubamine.
Kui GRE tunnelite ja OSPF-i konfigureerimine on õigesti tehtud, peaksid KSh-le ja põhiruuteritele ilmuma marsruudid teiste saitide võrgus ning seega tekib kohalike võrkude vaheline võrguühendus.
Krüpteerime edastatava liikluse
Nagu juba kirjutatud, määrame saitidevahelise krüptimise ajal tavaliselt IP-aadresside vahemikud (ACL), mille vahel liiklus krüpteeritakse: kui lähte- ja sihtkoha aadress jäävad nendesse vahemikesse, siis krüpteeritakse nendevaheline liiklus. Kuid selles projektis on struktuur dünaamiline ja aadressid võivad muutuda. Kuna oleme juba GRE tunneldamise konfigureerinud, saame liikluse krüptimise lähte- ja sihtaadressideks määrata välised KS-aadressid – krüpteerimiseks saabub ju liiklus, mis on juba GRE-protokolliga kapseldatud. Teisisõnu, kõik, mis satub CS-i ühe saidi kohalikust võrgust teiste saitide poolt teatatud võrkude suunas, on krüpteeritud. Ja igal saidil saab teha mis tahes ümbersuunamisi. Seega, kui kohalikes võrkudes toimub muudatus, peab administraator muutma ainult oma võrgust võrku tulevaid teateid ja need muutuvad kättesaadavaks teistele saitidele.
S-Terra CS-i krüpteerimine toimub IPSec-protokolli abil. Kasutame algoritmi "Grasshopper" vastavalt standardile GOST R 34.12-2015 ja vanemate versioonidega ühilduvuse tagamiseks võite kasutada GOST 28147-89. Autentimist saab tehniliselt teostada nii eelmääratletud võtmete (PSK) kui ka sertifikaatidega. Kuid tööstuslikul kasutamisel on vaja kasutada sertifikaate, mis on välja antud vastavalt standardile GOST R 34.10-2012.
Sertifikaatide, konteinerite ja CRL-idega töötamine toimub utiliidi abil sert_haldur. Esiteks käsu kasutamine cert_mgr loomine on vaja genereerida privaatvõtme konteiner ja sertifikaadipäring, mis saadetakse sertifikaadihalduskeskusesse. Pärast sertifikaadi saamist tuleb see koos käsuga importida koos CA juursertifikaadi ja CRL-iga (kui seda kasutatakse). cert_mgr import. Saate veenduda, et kõik sertifikaadid ja CRL-id on käsuga installitud sert_mgr saade.
Pärast sertifikaatide edukat installimist minge IPSec-i konfigureerimiseks Cisco-laadsele konsooli.
Koostame IKE poliitika, mis määrab loodava turvalise kanali soovitud algoritmid ja parameetrid, mida pakutakse partnerile kinnitamiseks.
#crypto isakmp poliitika 1000
#encr gost341215k
#hash gost341112-512-tc26
#autentimismärk
#rühm vko2
#eluaeg 3600
Seda poliitikat rakendatakse IPSec-i esimese etapi loomisel. Esimese etapi eduka lõpetamise tulemuseks on SA (Security Association) asutamine.
Järgmisena peame määratlema krüptimiseks lähte- ja sihtkoha IP-aadresside (ACL) loendi, genereerima teisenduskomplekti, looma krüptograafilise kaardi (krüptokaardi) ja siduma selle CS-i välise liidesega.
Määra ACL:
#ip juurdepääsuloendi laiendatud sait1
#permit gre host 10.111.21.3 host 10.111.22.3
Teisenduste komplekt (sama, mis esimeses faasis, kasutame "Grasshopperi" krüpteerimisalgoritmi, kasutades simulatsiooni lisamise genereerimise režiimi):
#crypto ipsec transform-set GOST esp-gost341215k-mac
Loome krüptokaardi, määrame ACL-i, teisendame komplekti ja partneri aadressi:
#krüptokaart MAIN 100 ipsec-isakmp
#sobita aadressi sait1
#set transform-set GOST
#set peer 10.111.22.3
Seome krüptokaardi kassaaparaadi välise liidesega:
#liides GigabitEthernet0/0
#ip-aadress 10.111.21.3 255.255.255.0
#krüptokaart PÕHI
Kanalite krüptimiseks teiste saitidega peate kordama ACL-i ja krüptokaardi loomise protseduuri, muutma ACL-i nime, IP-aadresse ja krüptokaardi numbrit.
Pöörake tähelepanu! Kui CRL-i sertifikaadi kinnitamist ei kasutata, tuleb see selgelt täpsustada:
#crypto pki usalduspunkt s-terra_technological_trustpoint
#revocation-check mitte ühtegi
Sel hetkel võib seadistuse lugeda lõpetatuks. Cisco-laadses konsooli käsuväljundis näita krüpto isakmp sa и näita krüpto ipsec sa IPSec-i ehitatud esimene ja teine faas peaksid kajastuma. Sama teavet saab käsuga sa_mgr saade, käivitatakse debiani kestast. Käsu väljundis sert_mgr saade Ilmuma peaksid kaugsaidi sertifikaadid. Selliste sertifikaatide staatus on kauge. Kui tunneleid ei ehitata, peate vaatama VPN-teenuse logi, mis on failis salvestatud /var/log/cspvpngate.log. Logifailide täielik loetelu koos nende sisu kirjeldusega on saadaval dokumentatsioonis.
Süsteemi "tervise" jälgimine
S-Terra CC kasutab jälgimiseks standardset snmpd deemonit. Lisaks tavalistele Linuxi parameetritele toetab S-Terra juba kasutusele võetud IPSec-tunnelite kohta andmete väljastamist vastavalt CISCO-IPSEC-FLOW-MONITOR-MIB-ile, mida me kasutame IPSec-tunnelite oleku jälgimisel. Toetatud on ka kohandatud OID-de funktsionaalsus, mis väljastavad skripti täitmise tulemusi väärtustena. See funktsioon võimaldab meil jälgida sertifikaadi aegumiskuupäevi. Kirjutatud skript analüüsib käsu väljundit sert_mgr saade ja selle tulemusel annab päevade arvu kohaliku ja juursertifikaadi aegumiseni. See meetod on asendamatu suure hulga CABG-de manustamisel.
Mis kasu sellisest krüptimisest on?
S-Terra KSh toetab kõiki ülalkirjeldatud funktsioone. See tähendab, et ei olnud vaja paigaldada täiendavaid mooduleid, mis võiksid mõjutada krüptolüüside sertifitseerimist ja kogu infosüsteemi sertifitseerimist. Saitide vahel võib olla mis tahes kanaleid, isegi Interneti kaudu.
Kuna sisemise infrastruktuuri muutumisel ei ole vaja krüptoväravaid ümber seadistada, süsteem töötab teenusena, mis on kliendile väga mugav: ta saab oma teenused (klient ja server) paigutada mis tahes aadressidele ning kõik muudatused kantakse dünaamiliselt üle krüpteerimisseadmete vahel.
Loomulikult mõjutab üldkuludest (overhead) tulenev krüpteerimine andmeedastuskiirust, kuid ainult veidi - kanali läbilaskevõime võib väheneda maksimaalselt 5-10%. Samal ajal on tehnoloogiat testitud ja see on näidanud häid tulemusi isegi satelliitkanalitel, mis on üsna ebastabiilsed ja väikese ribalaiusega.
Igor Vinokhodov, Rostelecom-Solari 2. haldusliini insener
Allikas: www.habr.com