Má tharchuireann nó má fhaigheann do chuideachta sonraí pearsanta agus faisnéis rúnda eile thar an líonra atá faoi réir cosanta de réir an dlí, ceanglaítear uirthi criptiú GOST a úsáid. Sa lá atá inniu inseoimid duit conas a chuireamar criptiú den sórt sin i bhfeidhm bunaithe ar gheata S-Terra crypto (CS) ag ceann de na custaiméirí. Beidh an scéal seo ina ábhar spéise do speisialtóirí slándála faisnéise, chomh maith le hinnealtóirí, dearthóirí agus ailtirí. Ní tumfaimid go domhain isteach i nuances na cumraíochta teicniúla sa phost seo; díreoimid ar phríomhphointí an bhunsocraithe. Tá méideanna ollmhóra doiciméadaithe maidir le deamhan Linux OS a bhunú, ar a bhfuil an S-Terra CS bunaithe, ar fáil saor in aisce ar an Idirlíon. Tá doiciméadú chun bogearraí dílseánaigh S-Terra a bhunú ar fáil go poiblí freisin ar monaróir.
Cúpla focal faoin tionscadal
Bhí topology líonra an chustaiméara caighdeánach - mogalra iomlán idir an t-ionad agus na brainsí. Bhí sé riachtanach criptiú bealaí malartaithe faisnéise a thabhairt isteach idir na suíomhanna go léir, a raibh 8 gcinn acu.
De ghnáth i dtionscadail den sórt sin tá gach rud statach: socraítear bealaí statacha chuig líonra áitiúil an láithreáin ar gheataí crypto (CGanna), cláraítear liostaí seoltaí IP (ACLanna) le haghaidh criptithe. Mar sin féin, sa chás seo, níl bainistíocht láraithe ag na suíomhanna, agus is féidir le haon rud a tharlóidh laistigh dá líonraí áitiúla: is féidir líonraí a chur leis, a scriosadh agus a mhodhnú ar gach bealach is féidir. Chun ródú agus ACL a athchumrú ar an KS a sheachaint agus seoladh líonraí áitiúla ag na suíomhanna a athrú, socraíodh úsáid a bhaint as tollánú GRE agus ródú dinimiciúil OSPF, lena n-áirítear gach KS agus an chuid is mó de na ródairí ag croíleibhéal an líonra ag na suíomhanna ( ag roinnt suíomhanna, b'fhearr le riarthóirí bonneagair SNAT a úsáid i dtreo KS ar ródairí eithne).
Thug tollánú GRE deis dúinn dhá fhadhb a réiteach:
1. Bain úsáid as an seoladh IP de chomhéadan seachtrach an CS le haghaidh criptithe san ACL, a chuimsíonn gach trácht a sheoltar chuig láithreáin eile.
2. Eagraigh tolláin ptp idir CSanna, a ligeann duit ródú dinimiciúil a chumrú (inár gcás, eagraítear MPLS L3VPN an tsoláthraí idir na suíomhanna).
D'ordaigh an cliant criptiú a chur i bhfeidhm mar sheirbhís. Seachas sin, bheadh air ní hamháin geataí cripte a chothabháil nó iad a fhoinsiú allamuigh chuig eagraíocht éigin, ach freisin monatóireacht neamhspleách a dhéanamh ar shaolré na ndeimhnithe criptithe, iad a athnuachan in am agus cinn nua a shuiteáil.
Agus anois an meamram iarbhír - conas agus cad a chumrú againn
Nóta don ábhar CII: geata criptithe a bhunú
Socrú bunúsach líonra
Ar an gcéad dul síos, seolann muid CS nua agus cuirimid isteach sa chonsól riaracháin. Ba chóir duit tosú ag athrú an focal faire riarthóra ionsuite - ordú athraigh riarthóir pasfhocal úsáideora. Ansin ní mór duit an nós imeachta tosaigh a dhéanamh (ordú thúsú(e) ina gcuirtear na sonraí ceadúnais isteach agus ina gcuirtear an braiteoir uimhreacha randamacha (RNS) inisealaithe.
Tabhair aire! Nuair a chuirtear tús le S-Terra CC, bunaítear beartas slándála nach ligeann na comhéadain geata slándála do phaicéid dul tríd. Ní mór duit do pholasaí féin a chruthú nó an t-ordú a úsáid reáchtáil csconf_mgr gníomhachtaithe beartas ceadaithe réamhshainithe a ghníomhachtú.
Ansin, ní mór duit seoladh na gcomhéadan seachtracha agus inmheánacha a chumrú, chomh maith leis an mbealach réamhshocraithe. Is fearr oibriú le cumraíocht líonra CS agus criptiú a chumrú trí chonsól cosúil le Cisco. Tá an consól seo deartha chun orduithe cosúil le horduithe Cisco IOS a chur isteach. Déantar an chumraíocht a ghintear trí úsáid a bhaint as consól cosúil le Cisco a thiontú ina chomhaid chumraíochta comhfhreagracha lena n-oibríonn na deamhan OS. Is féidir leat dul go dtí an consól Cisco-mhaith ón consól riaracháin leis an ordú chumrú.
Athraigh pasfhocail do na cscons úsáideora ionsuite agus cumasaigh:
>chumas
Pasfhocal: csp (réamhshuiteáilte)
# teirminéal a chumrú
#username cscons pribhléid 15 rún 0 #enable secret 0 Cumraíocht bhunúsach an líonra a shocrú:
#comhéadan GigabitEthernet0/0
# seoladh IP 10.111.21.3 255.255.255.0
#gan múchadh
#comhéadan GigabitEthernet0/1
# seoladh IP 192.168.2.5 255.255.255.252
#gan múchadh
# bealach IP 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Scoir an consól Cisco-mhaith agus téigh go dtí an bhlaosc debian leis an ordú córas. Socraigh do phasfhocal féin don úsáideoir root an fhoireann passwd.
Ag gach seomra rialaithe, tá tollán ar leith cumraithe do gach suíomh. Tá comhéadan an tolláin cumraithe sa chomhad / etc / líonra / comhéadain. Tá an fóntais tollán IP, atá san áireamh sa tacar iproute2 réamhshuiteáilte, freagrach as an comhéadan féin a chruthú. Tá an t-ordú cruthú comhéadan scríofa isteach sa rogha réamh-suas.
Cumraíocht shamplach de ghnáthchomhéadan tollán:
suíomh uathoibríoch 1
iface site1 inet statach
seoladh 192.168.1.4
masc glan 255.255.255.254
tollán ip réamh-suas cuir mód site1 gre logánta 10.111.21.3 cianda 10.111.22.3 eochair hfLYEg^vCh6p
Tabhair aire! Ba chóir a thabhairt faoi deara go gcaithfidh na socruithe le haghaidh comhéadain tolláin a bheith suite lasmuigh den chuid
###netifcfg-tosaigh###
*****
###netifcfg-deireadh###
Seachas sin, déanfar na socruithe seo a fhorscríobh nuair a athraítear socruithe líonra na gcomhéadan fisiceach trí chonsól cosúil le Cisco.
Ródú dinimiciúil
In S-Terra, cuirtear ródú dinimiciúil i bhfeidhm ag baint úsáide as pacáiste bogearraí Quagga. Chun OSPF a chumrú ní mór dúinn deamhan a chumasú agus a chumrú séabra и ospfd. Tá an deamhan séabra freagrach as cumarsáid idir na deamhan ródaithe agus an OS. Tá an deamhan ospfd, mar a thugann an t-ainm le tuiscint, freagrach as prótacal OSPF a chur i bhfeidhm.
Tá OSPF cumraithe tríd an gconsól deamhan nó go díreach tríd an gcomhad cumraíochta /etc/quagga/ospfd.conf. Cuirtear na comhéadain fhisiceacha agus tolláin go léir a ghlacann páirt i ródú dinimiciúil leis an gcomhad, agus dearbhaítear freisin na líonraí a fhógrófar agus a gheobhaidh fógraí.
Sampla den chumraíocht ar gá cur leis ospfd.conf:
comhéadan eth0
!
comhéadan eth1
!
suíomh comhéadan1
!
suíomh comhéadan2
ródaire ospf
ospf ródaire-id 192.168.2.21
líonra 192.168.1.4/31 limistéar 0.0.0.0
líonra 192.168.1.16/31 limistéar 0.0.0.0
líonra 192.168.2.4/30 limistéar 0.0.0.0
Sa chás seo, cuirtear seoltaí 192.168.1.x/31 in áirithe do líonraí ptp tolláin idir láithreáin, cuirtear seoltaí 192.168.2.x/30 in áirithe do líonraí idirthurais idir an CS agus ródairí eithne.
Tabhair aire! Chun an tábla ródaithe i suiteálacha móra a laghdú, is féidir leat fógairt na ngréasán idirthurais iad féin a scagadh ag baint úsáide as na tógálacha gan aon athdháileadh ceangailte nó léarscáil bealaigh nasctha a athdháileadh.
Tar éis duit na daemons a chumrú, ní mór duit stádas tosaithe na ndeamhan a athrú i /etc/quagga/daemons. I roghanna séabra и ospfd aon athrú ar yes. Tosaigh an deamhan quagga agus socraigh go huathoibríoch é nuair a thosaíonn tú an t-ordú KS update-rc.d quagga a chumasú.
Má dhéantar cumraíocht na dtollán GRE agus an OSPF i gceart, ba cheart go mbeadh bealaí sa líonra de shuímh eile le feiceáil ar an KSh agus ar na croí-ródairí agus, mar sin, go n-eascraíonn nascacht líonra idir líonraí áitiúla.
Criptímid trácht tarchurtha
Mar a scríobhadh cheana, de ghnáth nuair a dhéantar criptiú idir láithreáin, sonraímid raonta seoltaí IP (ACLanna) a bhfuil trácht criptithe eatarthu: má thagann seoltaí foinse agus ceann scríbe laistigh de na raonta sin, ansin criptítear an trácht eatarthu. Mar sin féin, sa tionscadal seo tá an struchtúr dinimiciúil agus d'fhéadfadh seoltaí athrú. Ós rud é go bhfuil tollánú GRE cumraithe againn cheana féin, is féidir linn seoltaí seachtracha KS a shonrú mar na seoltaí foinse agus cinn scríbe chun trácht a chriptiú - tar éis an tsaoil, tagann trácht atá cuimsithe cheana féin ag an bprótacal GRE le haghaidh criptithe. I bhfocail eile, tá gach rud a fhaigheann isteach sa CS ó líonra áitiúil láithreán amháin i dtreo líonraí atá fógartha ag láithreáin eile criptithe. Agus laistigh de gach ceann de na suímh is féidir aon atreorú a dhéanamh. Mar sin, má tá aon athrú ar líonraí áitiúla, ní gá don riarthóir ach na fógraí a thagann óna líonra a mhodhnú i dtreo an líonra, agus beidh sé ar fáil do shuímh eile.
Déantar criptiú i S-Terra CS trí úsáid a bhaint as prótacal IPSec. Bainimid úsáid as an algartam “Grasshopper” de réir GOST R 34.12-2015, agus le haghaidh comhoiriúnacht le leaganacha níos sine is féidir leat GOST 28147-89 a úsáid. Is féidir fíordheimhniú a dhéanamh go teicniúil ar eochracha réamhshainithe (PSKanna) agus deimhnithe araon. Mar sin féin, in oibríocht thionsclaíoch is gá úsáid a bhaint as deimhnithe arna n-eisiúint de réir GOST R 34.10-2012.
Baintear úsáid as an bhfóntas ag obair le deimhnithe, coimeádáin agus CRLanna teastas_mgr. Gcéad dul síos, ag baint úsáide as an ordú cert_mgr cruthaigh is gá coimeádán eochair phríobháideach a ghiniúint agus iarratas ar dheimhniú, a sheolfar chuig an Lárionad Bainistíochta Teastas. Tar éis an deimhniú a fháil, ní mór é a allmhairiú mar aon leis an teastas root CA agus CRL (má úsáidtear é) leis an ordú allmhairiú cert_mgr. Is féidir leat a chinntiú go bhfuil gach teastas agus CRL suiteáilte leis an ordú cert_mgr seó.
Tar éis duit na deimhnithe a shuiteáil go rathúil, téigh go dtí an consól Cisco-mhaith chun IPSec a chumrú.
Cruthaímid beartas IKE a shonraíonn na halgartaim agus na paraiméadair atá ag teastáil don chainéal slán atá á chruthú, a thairgfear don chomhpháirtí lena cheadú.
Beartas #crypto isakmp 1000
#encr gost341215k
#hash gost341112-512-tc26
#comhartha fíordheimhnithe
#grúpa vko2
#saolré 3600
Cuirtear an polasaí seo i bhfeidhm agus an chéad chéim de IPSec á tógáil. Is é an toradh ar chríochnú rathúil na chéad chéime ná bunú SA (Cumann Slándála).
Ansin, ní mór dúinn liosta seoltaí IP foinse agus ceann scríbe (ACL) a shainiú le haghaidh criptithe, sraith claochlaithe a ghiniúint, léarscáil cripteagrafach (léarscáil crypto) a chruthú agus é a cheangal le comhéadan seachtrach an CS.
Socraigh ACL:
# láithreán breisithe liosta rochtana ip1
# cead gre óstach 10.111.21.3 óstach 10.111.22.3
Sraith claochluithe (mar a chéile leis an gcéad chéim, bainimid úsáid as an algartam criptithe “Grasshopper” ag baint úsáide as an modh giniúna cuir isteach insamhalta):
#crypto ipsec trasfhoirmiú GOST esp-gost341215k-mac
Cruthaímid léarscáil criptithe, sonraimid an ACL, athraímid an tacar agus an seoladh piaraí:
# léarscáil crypto PRÍOMH 100 ipsec-isakmp
#suíomh seoladh meaitseála1
#socraithe-sraith GOST a leagan síos
#socraigh piaraí 10.111.22.3
Déanaimid an cárta cripte a cheangal le comhéadan seachtrach an chláir airgid:
#comhéadan GigabitEthernet0/0
# seoladh IP 10.111.21.3 255.255.255.0
# léarscáil crypto PRÍOMH
Chun cainéil a chriptiú le suíomhanna eile, ní mór duit an nós imeachta a dhéanamh arís maidir le cárta ACL agus crypto a chruthú, ag athrú ainm ACL, seoltaí IP agus uimhir chárta crypto.
Tabhair aire! Mura n-úsáidtear fíorú teastais le CRL, ní mór é seo a shonrú go sainráite:
#crypto pki trustpoint s-terra_technological_trustpoint
#cúlghairm-seiceáil aon cheann
Ag an bpointe seo, is féidir a mheas go bhfuil an socrú críochnaithe. In aschur ordú consól cosúil le Cisco taispeáin crypto isakmp sa и taispeáin crypto ipsec sa Ba cheart an chéad chéim agus an dara céim de IPSec tógtha a léiriú. Is féidir an fhaisnéis chéanna a fháil tríd an ordú sa_mgr seó, a fhorghníomhófar ó bhlaosc debian. Sa aschur ordú cert_mgr seó Ba cheart go mbeadh na deimhnithe cianláithreáin le feiceáil. Beidh stádas deimhnithe den sórt sin iargúlta. Mura bhfuil tolláin á dtógáil, ní mór duit breathnú ar an logáil seirbhíse VPN, atá stóráilte sa chomhad /var/log/cspvpngate.log. Tá liosta iomlán de chomhaid logála le cur síos ar a bhfuil iontu ar fáil sna doiciméid.
Monatóireacht ar “shláinte” an chórais
Úsáideann an S-Terra CC an deamhan snmpd caighdeánach le haghaidh monatóireachta. Chomh maith le gnáthpharaiméadair Linux, tacaíonn S-Terra amach as an mbosca le sonraí a eisiúint faoi tholláin IPSec de réir an CISCO-IPSEC-FLOW-MONITOR-MIB, agus is é sin a úsáidimid nuair a dhéanaimid monatóireacht ar stádas tolláin IPSec. Tacaítear freisin le feidhmiúlacht OIDanna saincheaptha a aschuireann torthaí forghníomhaithe script mar luachanna. Ligeann an ghné seo dúinn dátaí éaga teastais a rianú. Déanann an script scríofa aschur an ordaithe a pharsáil cert_mgr seó agus mar thoradh air sin tugann sé líon na laethanta go dtí go rachaidh na deimhnithe áitiúla agus fréamhacha in éag. Tá an teicníc seo fíor-riachtanach nuair a bhíonn líon mór CABG á riaradh.
Cad é an leas a bhaineann le criptiú den sórt sin?
Tacaíonn an S-Terra KSh leis an bhfeidhmiúlacht a bhfuil cur síos déanta uirthi thuas as an mbosca. Is é sin, ní raibh gá le haon mhodúil bhreise a shuiteáil a d'fhéadfadh tionchar a bheith acu ar dheimhniú geataí cripte agus ar dheimhniú an chórais faisnéise ar fad. Is féidir go mbeadh aon bhealaí idir láithreáin, fiú tríd an Idirlíon.
Mar gheall ar an bhfíric, nuair a athraíonn an bonneagar inmheánach, ní gá geataí cripte a athchumrú, oibríonn an córas mar sheirbhís, atá an-áisiúil don chustaiméir: is féidir leis a chuid seirbhísí (cliant agus freastalaí) a chur ag aon seoltaí, agus déanfar gach athrú a aistriú go dinimiciúil idir trealamh criptithe.
Ar ndóigh, bíonn tionchar ag criptiú mar gheall ar fhorchostais (forchostais) ar an luas aistrithe sonraí, ach níl ach beagán - is féidir le tréchur an chainéil laghdú 5-10% ar a mhéad. Ag an am céanna, rinneadh tástáil ar an teicneolaíocht agus léiríodh torthaí maithe fiú ar chainéil satailíte, atá sách éagobhsaí agus a bhfuil bandaleithead íseal acu.
Igor Vinokhodov, innealtóir 2ú líne riaracháin Rostelecom-Solar
Foinse: will.com