Zure enpresak datu pertsonalak eta beste informazio konfidentziala transmititzen edo jasotzen badu legearen arabera babestuta dagoen sarearen bidez, GOST enkriptatzea erabili beharko du. Gaur esango dizugu nola inplementatu genuen S-Terra kriptografia atebidean (CS) oinarritutako enkriptatzea bezeroetako batean. Istorio hau interesgarria izango da informazioaren segurtasuneko espezialistentzat, baita ingeniarientzat, diseinatzaileentzat eta arkitektoentzat ere. Ez dugu argitalpen honetan konfigurazio teknikoaren Γ±abarduretan sakonduko; oinarrizko konfigurazioaren gakoetan zentratuko gara. S-Terra CS-a oinarritzen den Linux OS deabruak konfiguratzeko dokumentazio-bolumen handiak eskuragarri daude Interneten. S-Terra software jabeduna ezartzeko dokumentazioa publikoki eskuragarri dago fabrikatzailea.
Proiektuari buruzko hitz batzuk
Bezeroaren sarearen topologia estandarra zen: erdigunearen eta adarretako sare osoa. Gune guztien artean informazioa trukatzeko kanalen enkriptatzea beharrezkoa zen, horietatik 8 ziren.
Normalean, horrelako proiektuetan dena estatikoa da: guneko sare lokalerako ibilbide estatikoak kriptografiako atebideetan (CG) ezartzen dira, enkriptatzeko IP helbideen (ACL) zerrendak erregistratzen dira. Hala ere, kasu honetan, guneek ez dute kontrol zentralizaturik, eta edozer gerta daiteke haien sare lokalen barruan: sareak gehitu, ezabatu eta alda daitezke modu guztietan. Guneetako sare lokalen helbidea aldatzean bideraketa eta ACL birkonfiguratzea saihesteko, GRE tunelak eta OSPF bideratze dinamikoa erabiltzea erabaki zen, zeinak guneetako sarearen oinarrizko mailan KS guztiak eta bideratzaile gehienak barne hartzen dituena ( gune batzuetan, azpiegituren administratzaileek nahiago izan dute SNAT erabili KS aldera nukleoko bideratzaileetan).
GRE tunelak bi arazo konpontzeko aukera eman digu:
1. Erabili CSren kanpoko interfazearen IP helbidea ACLan enkriptatzeko, beste gune batzuetara bidalitako trafiko guztia kapsulatzen baitu.
2. Antolatu ptp tunelak CSen artean, bideratze dinamikoa konfiguratzeko aukera ematen dutenak (gure kasuan, hornitzailearen MPLS L3VPN guneen artean antolatzen da).
Bezeroak enkriptatzea zerbitzu gisa ezartzea agindu zuen. Bestela, kriptografia-atebideak mantendu edo erakunderen bati azpikontratatu beharko lituzke, baizik eta enkriptazio-ziurtagirien bizi-zikloa modu independentean kontrolatu, garaiz berritu eta berriak instalatu beharko lituzke.
Eta orain benetako oharra - nola eta zer konfiguratu genuen
Oharra CII gaiari: kriptografia atebide bat konfiguratzea
Sarearen oinarrizko konfigurazioa
Lehenik eta behin, CS berri bat abiarazten dugu eta administrazio kontsolan sartzen gara. Administratzailearen pasahitza - komandoa aldatuz hasi beharko zenuke aldatu erabiltzailearen pasahitz administratzailea. Ondoren, hasierako prozedura egin behar duzu (komandoa abiarazi) eta horretan lizentzia-datuak sartzen dira eta ausazko zenbaki-sentsorea (RNS) hasieratzen da.
Arreta! S-Terra CC abiaraztean, segurtasun-politika bat ezartzen da, non segurtasun-atebideko interfazeek paketerik pasatzen uzten ez duten. Zure politika sortu edo komandoa erabili behar duzu exekutatu csconf_mgr aktibatu aktibatu aurrez definitutako baimen-politika.
Ondoren, kanpoko eta barneko interfazeen helbidea konfiguratu behar duzu, baita ibilbide lehenetsia ere. Hobe da CS sarearen konfigurazioarekin lan egitea eta enkriptatzea Cisco antzeko kontsola baten bidez konfiguratzea. Kontsola hau Cisco IOS komandoen antzeko komandoak sartzeko diseinatuta dago. Cisco antzeko kontsola erabiliz sortutako konfigurazioa, aldi berean, sistema eragilearen daemonek lan egiten duten dagozkien konfigurazio fitxategietan bihurtzen da. Administrazio kontsolatik Cisco antzeko kontsolara joan zaitezke komandoarekin konfiguratzeko.
Aldatu erabiltzailearen cscons-en pasahitzak eta gaitu:
> gaitu
Pasahitza: csp (aurrez instalatuta)
#konfiguratu terminala
#username cscons pribilegioa 15 sekretua 0 #gaitu sekretua 0 Sarearen oinarrizko konfigurazioa konfiguratzea:
#interfazea GigabitEthernet0/0
#ip helbidea 10.111.21.3 255.255.255.0
#Itzalirik ez
#interfazea GigabitEthernet0/1
#ip helbidea 192.168.2.5 255.255.255.252
#Itzalirik ez
#ip ibilbidea 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Irten Cisco antzeko kontsolatik eta joan debian shell-era komandoarekin sistema. Ezarri zure pasahitza erabiltzaileari root taldeak passwd.
Kontrol-gela bakoitzean, gune bakoitzerako tunela bereizi bat konfiguratzen da. Tunelaren interfazea fitxategian konfiguratuta dago / Etc / network / interfaces. IP tunelaren erabilgarritasuna, aurrez instalatutako iproute2 multzoan sartuta, interfazea bera sortzeaz arduratzen da. Interfazea sortzeko komandoa aurre-aukeran idatzita dago.
Tunelaren interfaze tipiko baten konfigurazio adibidea:
auto gunea 1
iface site1 inet static
helbidea 192.168.1.4
netmask 255.255.255.254
aldez aurretik ip tunelak gehitu gune1 modua gre lokala 10.111.21.3 urruneko 10.111.22.3 gakoa hfLYEg^vCh6p
Arreta! Kontuan izan behar da tuneleko interfazeen ezarpenak sekziotik kanpo egon behar direla
###netifcfg-begin###
*****
###netifcfg-end###
Bestela, ezarpen hauek gainidatzi egingo dira interfaze fisikoen sarearen ezarpenak Cisco antzeko kontsola baten bidez aldatzean.
Bideratze dinamikoa
S-Terra-n, bideratze dinamikoa Quagga software paketearen bidez inplementatzen da. OSPF konfiguratzeko daemonak gaitu eta konfiguratu behar ditugu zebra ΠΈ ospfd. Zebra deabrua bideratze deabruen eta OSaren arteko komunikazioaz arduratzen da. Ospfd deabrua, izenak dioen bezala, OSPF protokoloa ezartzeaz arduratzen da.
OSPF daemon kontsolaren bidez edo zuzenean konfigurazio fitxategiaren bidez konfiguratzen da /etc/quagga/ospfd.conf. Bideratze dinamikoan parte hartzen duten interfaze fisiko eta tunel guztiak gehitzen dira fitxategira, eta iragarriko diren eta iragarkiak jasoko dituzten sareak ere deklaratzen dira.
Gehitu behar den konfigurazioaren adibide bat ospfd.conf:
interfazea eth0
!
interfazea eth1
!
interfaze-gunea 1
!
interfaze-gunea 2
bideratzailea ospf
ospf router-id 192.168.2.21
sarea 192.168.1.4/31 eremua 0.0.0.0
sarea 192.168.1.16/31 eremua 0.0.0.0
sarea 192.168.2.4/30 eremua 0.0.0.0
Kasu honetan, 192.168.1.x/31 helbideak guneen arteko tunel ptp sareetarako gordeta daude, 192.168.2.x/30 helbideak CS eta kernel bideratzaileen arteko garraio-sareetarako esleitzen dira.
Arreta! Instalazio handietan bideratze-taula murrizteko, garraio-sareen iragarkia beraiek iragazi dezakezu eraikuntzak erabiliz. ez dago birbanatu konektatuta edo birbanatu konektatutako ibilbide-mapa.
Deabruak konfiguratu ondoren, deabruen hasierako egoera aldatu behar duzu /etc/quagga/daemons. Aukeretan zebra ΠΈ ospfd aldaketarik ez bai. Hasi quagga deabrua eta ezarri automatikoki exekutatzeko KS komandoa abiarazten duzunean update-rc.d quagga gaitu.
GRE tunelen eta OSPFren konfigurazioa behar bezala egiten bada, beste gune batzuen sareko ibilbideak agertu beharko lirateke KSh eta core bideratzaileetan eta, horrela, sare lokalen arteko sare-konektibitatea sortuko da.
Igorritako trafikoa zifratzen dugu
Dagoeneko idatzi den bezala, normalean guneen arteko enkriptatzerakoan, IP helbide-barrutiak (ACL) zehazten ditugu zeinen artean enkriptatzen den trafikoa: iturburuko eta helmugako helbideak tarte horien barruan sartzen badira, haien arteko trafikoa zifratzen da. Hala ere, proiektu honetan egitura dinamikoa da eta helbideak alda daitezke. Dagoeneko GRE tunelak konfiguratu ditugunez, kanpoko KS helbideak zehaztu ditzakegu trafikoa enkriptatzeko iturburu eta helmuga helbide gisa; azken finean, GRE protokoloak kapsulatutako trafikoa enkriptatzera iristen da. Beste era batera esanda, gune bateko sare lokaletik beste gune batzuek iragarritako sareetara CSra sartzen dena enkriptatuta dago. Eta gune bakoitzaren barruan edozein birbideratze egin daiteke. Horrela, sare lokaletan aldaketarik egonez gero, administratzaileak bere saretik sarera datozen iragarkiak aldatu besterik ez ditu egin behar, eta beste gune batzuen eskura egongo da.
S-Terra CS-n enkriptatzea IPSec protokoloa erabiliz egiten da. "Grasshopper" algoritmoa erabiltzen dugu GOST R 34.12-2015-aren arabera, eta bertsio zaharragoekin bateragarri izateko GOST 28147-89 erabil dezakezu. Teknikoki autentifikazioa aurredefinitutako gakoetan (PSK) zein ziurtagirietan egin daiteke. Hala ere, industria-eragiketan beharrezkoa da GOST R 34.10-2012-ren arabera emandako ziurtagiriak erabiltzea.
Ziurtagiriekin, edukiontziekin eta CRLekin lan egiten da utilitatea erabiliz cert_mgr. Lehenik eta behin, komandoa erabiliz cert_mgr sortu beharrezkoa da gako pribatuaren edukiontzi bat eta ziurtagiri eskaera bat sortzea, eta Ziurtagiriak Kudeatzeko Zentrora bidaliko dira. Ziurtagiria jaso ondoren, erro CA ziurtagiriarekin eta CRL (erabiltzen bada) komandoarekin batera inportatu behar da. cert_mgr inportazioa. Ziurtatu dezakezu komandoarekin ziurtagiri eta CRL guztiak instalatuta daudela cert_mgr ikuskizuna.
Ziurtagiriak behar bezala instalatu ondoren, joan Cisco antzeko kontsolara IPSec konfiguratzeko.
Sortzen ari den kanal seguruaren nahi diren algoritmoak eta parametroak zehazten dituen IKE politika bat sortzen dugu, eta bazkideari eskainiko zaio onar dezan.
#crypto isakmp politika 1000
#encr gost341215k
#hash gost341112-512-tc26
#autentifikazio seinalea
#taldea vko2
#bizitza 3600
Politika hau IPSec-en lehen fasea eraikitzean aplikatzen da. Lehen fasea arrakastaz amaitzearen emaitza SA (Segurtasun Elkartea) sortzea da.
Ondoren, enkriptatzeko sorburu eta helmugako IP helbideen (ACL) zerrenda bat definitu behar dugu, eraldatze-multzo bat sortu, mapa kriptografiko bat sortu (mapa kriptografikoa) eta CSren kanpoko interfazera lotu.
Ezarri ACL:
#ip access-list hedatutako gune1
#permit gre host 10.111.21.3 host 10.111.22.3
Transformazio multzo bat (lehen faseko berdina, "Grasshopper" enkriptatzeko algoritmoa erabiltzen dugu simulazioko txertaketa sortzeko modua erabiliz):
#crypto ipsec transform-set GOST esp-gost341215k-mac
Kriptografia-mapa bat sortzen dugu, ACL, eraldaketa multzoa eta pareko helbidea zehazten ditugu:
#crypto map MAIN 100 ipsec-isakmp
#match helbidea gune1
#set transform-set GOST
#set peer 10.111.22.3
Kripto-txartela kutxazainaren kanpoko interfazera lotzen dugu:
#interfazea GigabitEthernet0/0
#ip helbidea 10.111.21.3 255.255.255.0
#crypto mapa NAGUSIA
Kanalak beste gune batzuekin enkriptatzeko, ACL eta kripto-txartel bat sortzeko prozedura errepikatu behar duzu, ACL izena, IP helbideak eta kripto-txartelaren zenbakia aldatuz.
Arreta! CRL-ren ziurtagiriaren egiaztapena erabiltzen ez bada, hau berariaz zehaztu behar da:
#crypto pki trustpoint s-terra_technological_trustpoint
#revocation-check none
Une honetan, konfigurazioa amaitutzat jo daiteke. Cisco bezalako kontsolaren komandoen irteeran erakutsi crypto isakmp sa ΠΈ erakutsi crypto ipsec sa IPSec-en eraikitako lehen eta bigarren faseak islatu behar dira. Informazio bera lor daiteke komandoa erabiliz sa_mgr ikuskizuna, debian shell-etik exekutatuta. Komandoaren irteeran cert_mgr ikuskizuna Urruneko gunearen ziurtagiriak agertu behar dira. Ziurtagiri horien egoera izango da urruneko. Tunelak eraikitzen ez badira, fitxategian gordetzen den VPN zerbitzuaren erregistroa begiratu behar duzu /var/log/cspvpngate.log. Erregistro fitxategien zerrenda osoa, haien edukiaren deskribapenarekin, dokumentazioan dago eskuragarri.
Sistemaren βosasunaβ kontrolatzea
S-Terra CC-k snmpd daemon estandarra erabiltzen du monitorizaziorako. Linux parametro tipikoez gain, S-Terra-k IPSec tunelei buruzko datuak igortzea onartzen du CISCO-IPSEC-FLOW-MONITOR-MIB-ren arabera, hau da, IPSec tunelen egoera monitorizatzeko erabiltzen duguna. Script exekuzioaren emaitzak balio gisa ateratzen dituzten OID pertsonalizatuen funtzionaltasuna ere onartzen da. Ezaugarri honek ziurtagiriaren iraungitze-daten jarraipena egiten digu. Idatzitako scriptak komandoaren irteera analizatzen du cert_mgr ikuskizuna eta, ondorioz, tokiko eta erroko ziurtagiriak iraungi arte dauden egun kopurua ematen du. Teknika hau ezinbestekoa da CABG kopuru handia administratzean.
Zein da enkriptazio horren onura?
Goian deskribatutako funtzionalitate guztiak kutxatik kanpo onartzen ditu S-Terra KSh-ek. Hau da, ez zegoen kriptografia-atebideen ziurtagirian eta informazio-sistema osoaren ziurtagirian eragin zezakeen modulu gehigarririk instalatu beharrik. Guneen artean edozein kanal egon daiteke, baita Internet bidez ere.
Izan ere, barne-azpiegitura aldatzen denean, ez dago kriptografia-atebideak birkonfiguratu beharrik, sistemak zerbitzu gisa funtzionatzen du, oso erosoa dena bezeroarentzat: bere zerbitzuak (bezeroa eta zerbitzaria) edozein helbidetan jar ditzake, eta aldaketa guztiak dinamikoki transferituko dira enkriptatze-ekipoen artean.
Jakina, gainkostuen ondoriozko enkriptatzeak (gastuak) datuen transferentziaren abiadurari eragiten dio, baina apur bat baino ez - kanalaren errendimendua % 5-10 gutxitu daiteke gehienez. Aldi berean, teknologia probatu eta emaitza onak erakutsi ditu satelite-kanaletan ere, nahiko ezegonkorrak eta banda zabalera txikia dutenak.
Igor Vinokhodov, Rostelecom-Solar-eko 2. administrazio lerroko ingeniaria
Iturria: www.habr.com