As jo bedriuw persoanlike gegevens en oare fertroulike ynformaasje oer it netwurk ferstjoert of ûntfangt dy't ûnderwurpen is oan beskerming yn oerienstimming mei de wet, is it ferplicht om GOST-fersifering te brûken. Hjoed sille wy jo fertelle hoe't wy sa'n fersifering ymplementearre basearre op 'e S-Terra crypto gateway (CS) by ien fan 'e klanten. Dit ferhaal sil fan belang wêze foar spesjalisten foar ynformaasjefeiligens, lykas yngenieurs, ûntwerpers en arsjitekten. Wy sille net djip dûke yn 'e nuânses fan' e technyske konfiguraasje yn dit post; wy sille rjochtsje op 'e wichtichste punten fan' e basisopset. Enorme folumes fan dokumintaasje oer it ynstellen fan Linux OS-daemons, wêrop de S-Terra CS is basearre, binne frij beskikber op it ynternet. Dokumintaasje foar it ynstellen fan proprietêre S-Terra-software is ek iepenbier beskikber op fabrikant.
In pear wurden oer it projekt
De netwurktopology fan 'e klant wie standert - folslein gaas tusken it sintrum en tûken. It wie nedich om fersifering fan ynformaasje-útwikselingskanalen yn te fieren tusken alle siden, wêrfan d'r 8 wiene.
Meastentiids yn sokke projekten is alles statysk: statyske rûtes nei it lokale netwurk fan 'e side wurde ynsteld op Krypto-poarten (CG's), listen fan IP-adressen (ACL's) foar fersifering wurde registrearre. Yn dit gefal hawwe de siden lykwols gjin sintralisearre behear, en alles kin barre yn har lokale netwurken: netwurken kinne wurde tafoege, wiske en wizige op alle mooglike manieren. Om it opnij konfigurearjen fan routing en ACL op 'e KS te foarkommen by it feroarjen fan de adressering fan lokale netwurken op' e siden, waard besletten om GRE-tunneling en OSPF dynamyske routing te brûken, dy't alle KS en de measte routers omfettet op it netwurkkearnnivo op 'e siden ( op guon siden brûke ynfrastruktuerbehearders leaver SNAT nei KS op kernel-routers).
GRE-tunneling liet ús twa problemen oplosse:
1. Brûk it IP-adres fan 'e eksterne ynterface fan' e CS foar fersifering yn 'e ACL, dy't alle ferkear ferstjoerd nei oare siden ynkapselt.
2. Organisearje ptp-tunnels tusken CS's, wêrtroch jo dynamyske routing kinne konfigurearje (yn ús gefal wurdt de MPLS L3VPN fan 'e provider organisearre tusken de siden).
De klant bestelde de ymplemintaasje fan fersifering as in tsjinst. Oars soe hy net allinich krypto-poarten moatte ûnderhâlde of útbesteegje oan guon organisaasjes, mar ek de libbenssyklus fan fersiferingssertifikaten selsstannich kontrolearje, se op 'e tiid fernije en nije ynstallearje.
En no de eigentlike memo - hoe en wat wy konfigureare
Opmerking foar it CII-ûnderwerp: it ynstellen fan in krypto-poarte
Basis netwurk opset
As earste lansearje wy in nije CS en komme yn 'e administraasjekonsole. Jo moatte begjinne mei it feroarjen fan it ynboude behearderwachtwurd - kommando feroarje brûker wachtwurd behearder. Dan moatte jo de inisjalisaasjeproseduere útfiere (kommando inisjalisearje) wêryn't de lisinsjegegevens ynfierd wurde en de random number sensor (RNS) wurdt inisjalisearre.
Wês oandacht! Wannear't S-Terra CC wurdt inisjalisearre, wurdt in feiligensbelied fêststeld wêryn't de feiligenspoarte-ynterfaces net tastean pakketten troch te gean. Jo moatte jo eigen belied oanmeitsje of it kommando brûke rinne csconf_mgr aktivearje aktivearje in foarôf definiearre tastean belied.
Dêrnei moatte jo de adressering fan eksterne en ynterne ynterfaces konfigurearje, lykas de standertrûte. It is de foarkar om te wurkjen mei de CS netwurk konfiguraasje en konfigurearje fersifering fia in Cisco-lykas konsole. Dizze konsole is ûntworpen om kommando's yn te fieren lykas Cisco IOS-kommando's. De konfiguraasje generearre mei de Cisco-lykas konsole wurdt, op syn beurt, omboud ta de oerienkommende konfiguraasje triemmen wêrmei de OS daemons wurkje. Jo kinne gean nei de Cisco-lykas konsole út de administraasje konsole mei it kommando Konfigurearret.
Feroarje wachtwurden foar de ynboude brûker cscons en ynskeakelje:
> ynskeakelje
Wachtwurd: csp (foarynstallearre)
# terminal konfigurearje
#username cscons privileezje 15 geheim 0 #geheim ynskeakelje 0 De basisnetwurkkonfiguraasje ynstelle:
#interface GigabitEthernet0/0
* (10.111.21.3 - 255.255.255.0) IP Adres (Frysk) 🔍
#gjin ôfsluting
#interface GigabitEthernet0/1
* (192.168.2.5 - 255.255.255.252) IP Adres (Frysk) 🔍
#gjin ôfsluting
#ip route 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Gean de Cisco-like konsole út en gean nei de debian-shell mei it kommando systeem. Stel jo eigen wachtwurd yn foar de brûker woartel ploech passwd.
By elke kontrôle keamer is in aparte tunnel konfigurearre foar elke side. De tunnelynterface is konfigureare yn it bestân / etc / netwurk / ynterfaces. It IP-tunnelhulpprogramma, opnommen yn 'e foarynstalleare iproute2-set, is ferantwurdlik foar it meitsjen fan de ynterface sels. It kommando foar oanmeitsjen fan ynterface wurdt skreaun yn 'e pre-up opsje.
Foarbyld konfiguraasje fan in typyske tunnelynterface:
auto site 1
iface site1 inet statysk
adres 192.168.1.4
netmask 255.255.255.254
pre-up ip tunnel tafoegje site1 modus gre lokaal 10.111.21.3 remote 10.111.22.3 kaai hfLYEg^vCh6p
Wês oandacht! Dêrby moat opmurken wurde dat de ynstellings foar tunnel ynterfaces moatte lizze bûten de seksje
###netifcfg-begin###
*****
###netifcfg-end###
Oars, dizze ynstellings wurde oerskreaun by it feroarjen fan it netwurk ynstellings fan fysike Schnittstellen troch in Cisco-lykas konsole.
Dynamyske routing
Yn S-Terra wurdt dynamyske routing ymplementearre mei it softwarepakket Quagga. Om OSPF te konfigurearjen moatte wy daemons ynskeakelje en konfigurearje zebra и ospfd. De sebra daemon is ferantwurdlik foar kommunikaasje tusken de routing daemons en it OS. De ospfd-daemon, lykas de namme al fermoeden docht, is ferantwurdlik foar it útfieren fan it OSPF-protokol.
OSPF is konfigureare fia de daemon-konsole of direkt fia it konfiguraasjetriem /etc/quagga/ospfd.conf. Alle fysike en tunnelynterfaces dy't dielnimme oan dynamyske routing wurde tafoege oan it bestân, en de netwurken dy't wurde advertearre en oankundigingen ûntfange wurde ek ferklearre.
In foarbyld fan de konfiguraasje dy't moat wurde tafoege oan ospfd.conf:
ynterface eth0
!
ynterface eth1
!
ynterface site 1
!
ynterface site 2
router ospf
ospf router-id 192.168.2.21
netwurk 192.168.1.4/31 gebiet 0.0.0.0
netwurk 192.168.1.16/31 gebiet 0.0.0.0
netwurk 192.168.2.4/30 gebiet 0.0.0.0
Yn dit gefal wurde adressen 192.168.1.x/31 reservearre foar tunnel ptp netwurken tusken siden, adressen 192.168.2.x/30 wurde tawiisd foar transitnetwurken tusken CS en kernel routers.
Wês oandacht! Om de routingtabel yn grutte ynstallaasjes te ferminderjen, kinne jo de oankundiging fan 'e transitnetwurken sels filterje mei de konstruksjes gjin redistribute ferbûn of redistribute ferbûn rûte-map.
Nei it konfigurearjen fan de daemons, moatte jo de opstartstatus fan de daemons feroarje yn /etc/quagga/daemons. Yn opsjes zebra и ospfd gjin feroaring oan ja. Start de quagga-daemon en set it op autorun as jo it KS-kommando begjinne update-rc.d quagga ynskeakelje.
As de konfiguraasje fan GRE-tunnels en OSPF goed wurdt dien, dan moatte rûtes yn it netwurk fan oare siden ferskine op 'e KSh en kearnrouters, en sa ûntstiet netwurkferbining tusken lokale netwurken.
Wy fersiferje oerdroegen ferkear
Sa't al skreaun is, spesifisearje wy normaal by it fersiferjen tusken siden IP-adresbereiken (ACL's) oan wêrt it ferkear fersifere is: as de boarne- en bestimmingsadressen binnen dizze berik falle, dan is it ferkear tusken har fersifere. Yn dit projekt is de struktuer lykwols dynamysk en kinne adressen feroarje. Om't wy al GRE-tunneling hawwe ynsteld, kinne wy eksterne KS-adressen oantsjutte as de boarne en bestimmingsadressen foar it fersiferjen fan ferkear - ommers, ferkear dat al is ynkapsele troch it GRE-protokol komt foar fersifering. Mei oare wurden, alles wat yn 'e CS komt fan it lokale netwurk fan ien side nei netwurken dy't troch oare siden binne oankundige is fersifere. En binnen elk fan 'e siden kin elke omlieding wurde útfierd. Dus, as d'r in feroaring is yn lokale netwurken, hoecht de behearder allinich de oankundigingen dy't komme fan syn netwurk nei it netwurk te feroarjen, en it sil beskikber wurde foar oare siden.
Fersifering yn S-Terra CS wurdt útfierd mei it IPSec-protokol. Wy brûke it algoritme "Grasshopper" yn oerienstimming mei GOST R 34.12-2015, en foar kompatibiliteit mei âldere ferzjes kinne jo GOST 28147-89 brûke. Ferifikaasje kin technysk wurde útfierd op sawol foarôf definieare kaaien (PSK's) as sertifikaten. Lykwols, yn yndustriële operaasje is it nedich om te brûken sertifikaten útjûn yn oerienstimming mei GOST R 34.10-2012.
Wurkje mei sertifikaten, konteners en CRL's wurdt dien mei it hulpprogramma cert_mgr. Earst fan alles, mei help fan it kommando cert_mgr oanmeitsje it is nedich om in privee kaai container en in sertifikaat fersyk te generearjen, dat wurdt stjoerd nei it Certificate Management Center. Nei it ûntfangen fan it sertifikaat moat it ymportearre wurde tegearre mei it root CA-sertifikaat en CRL (as brûkt) mei it kommando cert_mgr ymportearje. Jo kinne derfoar soargje dat alle sertifikaten en CRL's ynstalleare binne mei it kommando cert_mgr sjen litte.
Nei suksesfolle ynstallaasje fan de sertifikaten, gean nei de Cisco-lykas konsole om IPSec te konfigurearjen.
Wy meitsje in IKE-belied dat de winske algoritmen en parameters spesifisearret fan it feilige kanaal dat wurdt oanmakke, dat sil wurde oanbean oan de partner foar goedkarring.
#crypto isakmp belied 1000
#encr gost341215k
#hash gost341112-512-tc26
#ferifikaasjeteken
#groep vko2
#lifetime 3600
Dit belied wurdt tapast by it bouwen fan 'e earste faze fan IPSec. It resultaat fan suksesfolle foltôging fan 'e earste faze is de oprjochting fan SA (Security Association).
Dêrnei moatte wy in list fan boarne- en bestimmings-IP-adressen (ACL) foar fersifering definiearje, in transformaasjeset generearje, in kryptografyske kaart (krypto-kaart) meitsje en it bine oan 'e eksterne ynterface fan' e CS.
ACL ynstelle:
#ip tagongslist útwreide side1
#permit gre host 10.111.21.3 host 10.111.22.3
In set fan transformaasjes (itselde as foar de earste faze, wy brûke it "Grasshopper" fersifering algoritme mei help fan de simulaasje ynfoegje generaasje modus):
#crypto ipsec transform-set GOST esp-gost341215k-mac
Wy meitsje in Krypto-kaart, spesifisearje de ACL, transformaasjeset en peeradres:
#crypto map MAIN 100 ipsec-isakmp
#matchadres site1
#set transform-set GOST
#set peer 10.111.22.3
Wy bine de Krypto-kaart oan 'e eksterne ynterface fan' e kassa:
#interface GigabitEthernet0/0
* (10.111.21.3 - 255.255.255.0) IP Adres (Frysk) 🔍
#crypto map MAIN
Om kanalen te fersiferjen mei oare siden, moatte jo de proseduere werhelje foar it meitsjen fan in ACL- en Krypto-kaart, it feroarjen fan de ACL-namme, IP-adressen en Krypto-kaartnûmer.
Wês oandacht! As sertifikaatferifikaasje troch CRL net brûkt wurdt, moat dit eksplisyt oantsjutte wurde:
#crypto pki trustpoint s-terra_technological_trustpoint
#revocation-check gjin
Op dit punt kin de opset as folslein beskôge wurde. Yn Cisco-lykas konsole kommando útfier toan crypto isakmp sa и toan crypto ipsec sa De konstruearre earste en twadde faze fan IPSec moatte wurde wjerspegele. Deselde ynformaasje kin krigen wurde mei it kommando sa_mgr sjen litte, útfierd út debian shell. Yn it kommando útfier cert_mgr sjen litte De sertifikaten fan 'e side op ôfstân moatte ferskine. De status fan sokke sertifikaten sil wêze ôfstân. As tunnels net boud wurde, moatte jo nei it VPN-tsjinstlog sjen, dat is opslein yn it bestân /var/log/cspvpngate.log. In folsleine list mei lochbestannen mei in beskriuwing fan har ynhâld is beskikber yn 'e dokumintaasje.
Kontrolearje de "sûnens" fan it systeem
De S-Terra CC brûkt de standert snmpd-daemon foar tafersjoch. Neist typyske Linux-parameters stipet S-Terra út 'e doaze it útjaan fan gegevens oer IPSec-tunnels yn oerienstimming mei de CISCO-IPSEC-FLOW-MONITOR-MIB, dat is wat wy brûke by it kontrolearjen fan de status fan IPSec-tunnels. De funksjonaliteit fan oanpaste OID's dy't de resultaten fan skriptútfiering útfiere as wearden wurdt ek stipe. Dizze funksje lit ús ferfaldatums fan sertifikaten folgje. It skreaune skript parses de kommando-útfier cert_mgr sjen litte en as gefolch jout it oantal dagen oant de lokale en root-sertifikaten ferrinne. Dizze technyk is ûnmisber by it administrearjen fan in grut oantal CABG's.
Wat is it foardiel fan sa'n fersifering?
Alle hjirboppe beskreaune funksjonaliteit wurdt út it fak stipe troch de S-Terra KSh. Dat is, d'r wie gjin need nedich om ekstra modules te ynstallearjen dy't ynfloed kinne op 'e sertifikaasje fan Krypto-poarten en de sertifikaasje fan it heule ynformaasjesysteem. D'r kinne elke kanalen wêze tusken siden, sels fia it ynternet.
Fanwegen it feit dat wannear't de ynterne ynfrastruktuer feroaret, d'r gjin need is om krypto-poarten opnij te konfigurearjen, it systeem wurket as in tsjinst, wat tige handich is foar de klant: hy kin syn tsjinsten (kliïnt en server) op alle adressen pleatse, en alle wizigingen wurde dynamysk oerbrocht tusken fersiferingsapparatuer.
Fansels, fersifering fanwege overhead kosten (overhead) beynfloedet de gegevens oerdracht snelheid, mar mar in bytsje - de kanaal trochfier kin ôfnimme mei in maksimum fan 5-10%. Tagelyk is de technology hifke en goede resultaten sjen litten sels op satellytkanalen, dy't frij ynstabyl binne en lege bânbreedte hawwe.
Igor Vinokhodov, yngenieur fan 'e 2e line fan administraasje fan Rostelecom-Solar
Boarne: www.habr.com