Ma tha do chompanaidh a 'sgaoileadh no a' faighinn dàta pearsanta agus fiosrachadh dìomhair eile thairis air an lìonra a tha fo dhìon a rèir an lagha, feumar crioptachadh GOST a chleachdadh. An-diugh innsidh sinn dhut mar a chuir sinn an gnìomh crioptachadh mar sin stèidhichte air geata crypto S-Terra (CS) aig aon de na teachdaichean. Bidh an sgeulachd seo inntinneach do eòlaichean tèarainteachd fiosrachaidh, a bharrachd air innleadairean, dealbhadairean agus ailtirean. Cha bhith sinn a’ dàibheadh gu domhainn a-steach do nuances an rèiteachaidh theicnigeach san dreuchd seo; cuiridh sinn fòcas air prìomh phuingean an t-suidheachaidh bhunaiteach. Tha meud mòr de sgrìobhainnean mu bhith a’ stèidheachadh daemons Linux OS, air a bheil an S-Terra CS stèidhichte, rim faighinn gu saor air an eadar-lìn. Tha sgrìobhainnean airson bathar-bog seilbh S-Terra a stèidheachadh cuideachd rim faighinn gu poblach air saothraiche.
Beagan fhaclan mun phròiseact
Bha topology lìonra an neach-ceannach àbhaisteach - làn mhogal eadar an ionad agus na meuran. Bha feum air crioptachadh de shianalan iomlaid fiosrachaidh a thoirt a-steach eadar gach làrach, agus bha 8 dhiubh sin ann.
Mar as trice ann am pròiseactan mar seo tha a h-uile dad statach: tha slighean statach gu lìonra ionadail na làraich air an suidheachadh air geataichean crypto (CGs), tha liostaichean de sheòlaidhean IP (ACLs) airson crioptachadh air an clàradh. Ach, anns a 'chùis seo, chan eil smachd meadhanach aig na làraichean, agus faodaidh rud sam bith tachairt taobh a-staigh nan lìonraidhean ionadail aca: faodar lìonraidhean a chur ris, a dhubhadh às agus atharrachadh anns a h-uile dòigh a tha comasach. Gus casg a chuir air ath-dhealbhadh slighe agus ACL air an KS nuair a dh’ atharraicheas tu seòladh lìonraidhean ionadail aig na làraich, chaidh co-dhùnadh tunail GRE agus slighe fiùghantach OSPF a chleachdadh, a tha a’ toirt a-steach a h-uile KS agus a’ mhòr-chuid de routers aig prìomh ìre lìonra aig na làraich ( aig cuid de làraich, b’ fheàrr le luchd-rianachd bun-structair SNAT a chleachdadh gu KS air routers kernel).
Leig tunail GRE leinn dà dhuilgheadas fhuasgladh:
1. Cleachd seòladh IP eadar-aghaidh taobh a-muigh an CS airson a chrioptachadh san ACL, a tha a’ toirt a-steach a h-uile trafaic a thèid a chuir gu làraich eile.
2. Cuir air dòigh tunailean ptp eadar CSn, a leigeas leat slighe fiùghantach a rèiteachadh (anns a’ chùis againn, tha MPLS L3VPN an t-solaraiche air a chuir air dòigh eadar na làraich).
Dh'òrdaich an neach-dèiligidh cur an gnìomh crioptachadh mar sheirbheis. Rud eile, dh'fheumadh e chan e a-mhàin geataichean crypto a chumail suas no an cur a-mach gu buidheann air choreigin, ach cuideachd sùil a chumail gu neo-eisimeileach air cearcall-beatha teisteanasan crioptachaidh, an ùrachadh ann an àm agus feadhainn ùra a chuir a-steach.
Agus a-nis am fìor mheòrachan - ciamar agus dè a shuidhich sinn
Nota don chuspair CII: stèidheachadh geata crypto
Suidheachadh lìonra bunaiteach
An toiseach, bidh sinn a’ cur CS ùr air bhog agus a’ faighinn a-steach don chonsal rianachd. Bu chòir dhut tòiseachadh le bhith ag atharrachadh am facal-faire rianadair togte - àithne atharraich rianadair facal-faire neach-cleachdaidh. An uairsin feumaidh tu am modh tòiseachaidh a dhèanamh (òrdugh thòiseachadh) nuair a thèid an dàta cead a chuir a-steach agus an sensor àireamh air thuaiream (RNS) air a thòiseachadh.
Thoir aire! Nuair a thèid S-Terra CC a thòiseachadh, thèid poileasaidh tèarainteachd a stèidheachadh anns nach leig eadar-aghaidh geata tèarainteachd le pacaidean a dhol troimhe. Feumaidh tu am poileasaidh agad fhèin a chruthachadh no an àithne a chleachdadh ruith csconf_mgr cuir an gnìomh cuir an gnìomh poileasaidh ceadachaidh ro-mhìnichte.
An ath rud, feumaidh tu seòladh eadar-aghaidh taobh a-muigh agus a-staigh a rèiteachadh, a bharrachd air an t-slighe àbhaisteach. Tha e nas fheàrr obrachadh le rèiteachadh lìonra CS agus crioptachadh a rèiteachadh tro chonsail coltach ri Cisco. Tha an consol seo air a dhealbhadh gus òrdughan coltach ri òrdughan Cisco IOS a chuir a-steach. Tha an rèiteachadh a chaidh a chruthachadh a’ cleachdadh a’ chonsail coltach ri Cisco, an uair sin, air a thionndadh gu na faidhlichean rèiteachaidh co-fhreagarrach leis a bheil daemons an OS ag obair. Faodaidh tu a dhol chun consol coltach ri Cisco bhon consol rianachd leis an àithne configures.
Atharraich faclan-faire airson na cscons cleachdaiche togte agus cuir an comas:
> comasach
Facal-faire: csp (ro-stàlaichte)
# rèiteachadh terminal
#username cscons privilege 15 secret 0 #enable secret 0 A’ stèidheachadh rèiteachadh bunaiteach an lìonraidh:
# eadar-aghaidh GigabitEthernet0/0
# seòladh ip 10.111.21.3 255.255.255.0
#gun dùnadh
# eadar-aghaidh GigabitEthernet0/1
# seòladh ip 192.168.2.5 255.255.255.252
#gun dùnadh
# slighe ip 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Fàg an consol coltach ri Cisco agus rach chun t-slige debian leis an àithne siostam. Suidhich am facal-faire agad fhèin airson an neach-cleachdaidh freumh sgioba sgaoileadh.
Aig gach seòmar smachd, tha tunail air leth air a rèiteachadh airson gach làrach. Tha an eadar-aghaidh tunail air a rèiteachadh san fhaidhle / etc / network / interfaces. Tha uallach air a’ ghoireas tunail IP, a tha air a ghabhail a-steach san t-seata iproute2 ro-stàlaichte, airson an eadar-aghaidh fhèin a chruthachadh. Tha an àithne cruthachadh eadar-aghaidh air a sgrìobhadh a-steach don roghainn ro-làimh.
Eisimpleir de rèiteachadh de eadar-aghaidh tunail àbhaisteach:
làrach-lìn fèin-ghluasadach 1
iface site1 neo-sheasmhach
seòladh 192.168.1.4
lìn 255.255.255.254
tunail ip ro-àrd cuir modh site1 gu ionadail 10.111.21.3 iomallach 10.111.22.3 iuchair hfLYEg ^ vCh6p
Thoir aire! Bu chòir a thoirt fa-near gum feum na roghainnean airson eadar-aghaidh tunail a bhith suidhichte taobh a-muigh na h-earrainn
###netifcfg-tòiseachadh###
*****
###netifcfg-deireadh###
Rud eile, thèid na roghainnean sin ath-sgrìobhadh nuair a dh’ atharraicheas tu roghainnean lìonra eadar-aghaidh fiosaigeach tro chonsail coltach ri Cisco.
Seòladh fiùghantach
Ann an S-Terra, tha slighe fiùghantach air a chuir an gnìomh a’ cleachdadh pasgan bathar-bog Quagga. Gus OSPF a rèiteachadh feumaidh sinn daemons a chomasachadh agus a rèiteachadh zebra и ospfd. Tha an daemon zebra an urra ri conaltradh eadar na daemons slighe agus an OS. Tha uallach air an daemon ospfd, mar a tha an t-ainm a’ moladh, airson protocol OSPF a bhuileachadh.
Tha OSPF air a rèiteachadh an dàrna cuid tro chonsail an daemon no gu dìreach tron fhaidhle rèiteachaidh /etc/quagga/ospfd.conf. Thèid a h-uile eadar-aghaidh fiosaigeach agus tunail a tha a’ gabhail pàirt ann an slighe fiùghantach a chur ris an fhaidhle, agus thèid na lìonraidhean a thèid a shanasachadh agus a gheibh sanasan ainmeachadh cuideachd.
Eisimpleir den rèiteachadh ris am feumar cur ris ospfd.conf:
eadar-aghaidh eth0
!
eadar-aghaidh eth1
!
làrach-lìn eadar-aghaidh 1
!
làrach-lìn eadar-aghaidh 2
router ospf
ospf router-id 192.168.2.21
lìonra 192.168.1.4 / 31 sgìre 0.0.0.0
lìonra 192.168.1.16 / 31 sgìre 0.0.0.0
lìonra 192.168.2.4 / 30 sgìre 0.0.0.0
Anns a ’chùis seo, tha seòlaidhean 192.168.1.x/31 glèidhte airson lìonraidhean tunail ptp eadar làraich, tha seòlaidhean 192.168.2.x/30 air an riarachadh airson lìonraidhean gluasaid eadar CS agus routers kernel.
Thoir aire! Gus an clàr slighe a lughdachadh ann an ionadan mòra, faodaidh tu foillseachadh nan lìonraidhean gluasaid iad fhèin a shìoladh a ’cleachdadh na togalaichean chan eil ath-sgaoileadh ceangailte no ath-riarachadh mapa slighe ceangailte.
Às deidh dhut na daemons a rèiteachadh, feumaidh tu inbhe tòiseachaidh nan daemons atharrachadh /etc/quagga/daemons. Ann an roghainnean zebra и ospfd chan eil atharrachadh gu bheil. Tòisich an daemon quagga agus suidhich e gu autorun nuair a thòisicheas tu air an àithne KS update-rc.d quagga a chur an comas.
Ma thèid rèiteachadh tunailean GRE agus OSPF a dhèanamh ceart, bu chòir slighean ann an lìonra làraich eile nochdadh air an KSh agus na prìomh routers agus, mar sin, bidh ceangal lìonra eadar lìonraidhean ionadail ag èirigh.
Bidh sinn a’ cuairteachadh trafaic tar-chuir
Mar a chaidh a sgrìobhadh mu thràth, mar as trice nuair a bhios sinn a’ crioptachadh eadar làraich, bidh sinn a’ sònrachadh raointean seòlaidh IP (ACLs) eadar am bi trafaic air a chrioptachadh: ma tha an stòr agus na seòlaidhean ceann-uidhe taobh a-staigh nan raointean sin, tha an trafaic eatorra air a chrioptachadh. Ach, sa phròiseact seo tha an structar fiùghantach agus faodaidh seòlaidhean atharrachadh. Leis gu bheil sinn air tunail GRE a rèiteachadh mu thràth, is urrainn dhuinn seòlaidhean KS taobh a-muigh a shònrachadh mar na seòlaidhean stòr is ceann-uidhe airson trafaic a chrioptachadh - às deidh a h-uile càil, thig trafaic a tha air a chuairteachadh le protocol GRE mar-thà airson crioptachadh. Ann am faclan eile, tha a h-uile dad a thig a-steach don CS bhon lìonra ionadail de aon làrach gu lìonraidhean a chaidh ainmeachadh le làraich eile air a chrioptachadh. Agus taobh a-staigh gach làrach faodar ath-stiùireadh sam bith a dhèanamh. Mar sin, ma tha atharrachadh sam bith ann an lìonraidhean ionadail, chan fheum an rianaire ach na sanasan a thig bhon lìonra aige atharrachadh chun lìonra, agus bidh e ri fhaighinn air làraich eile.
Tha crioptachadh ann an S-Terra CS air a dhèanamh a’ cleachdadh protocol IPSec. Bidh sinn a’ cleachdadh an algairim “Grasshopper” a rèir GOST R 34.12-2015, agus airson co-chòrdalachd le dreachan nas sine faodaidh tu GOST 28147-89 a chleachdadh. Faodar dearbhadh gu teicnigeach a dhèanamh air gach cuid iuchraichean ro-mhìnichte (PSKn) agus teisteanasan. Ach, ann an gnìomhachd gnìomhachais feumar teisteanasan a chaidh a thoirt seachad a rèir GOST R 34.10-2012 a chleachdadh.
Bithear ag obair le teisteanasan, soithichean agus CRL a’ cleachdadh a’ ghoireas teiste_mgr. An toiseach, a 'cleachdadh an àithne cert_mgr cruthaich feumar soitheach iuchair phrìobhaideach agus iarrtas teisteanais a ghineadh, a thèid a chuir chun Ionad Riaghlaidh Teisteanas. Às deidh an teisteanas fhaighinn, feumaidh e a bhith air a thoirt a-steach còmhla ris an teisteanas root CA agus CRL (ma thèid a chleachdadh) leis an àithne cert_mgr ion-phortadh. Faodaidh tu dèanamh cinnteach gu bheil a h-uile teisteanas agus CRL air an stàladh leis an àithne cert_mgr taisbeanadh.
Às deidh dhut na teisteanasan a chuir a-steach gu soirbheachail, rachaibh gu consol coltach ri Cisco gus IPSec a rèiteachadh.
Bidh sinn a’ cruthachadh poileasaidh IKE a shònraicheas na h-algorithms agus na crìochan a thathar ag iarraidh airson an t-seanail thèarainte a thathar a’ cruthachadh, a thèid a thabhann don chom-pàirtiche airson aonta.
#crypto isakmp poileasaidh 1000
#encr gost341215k
#hash gost341112-512-tc26
# soidhne dearbhaidh
#buidheann vko2
#beatha 3600
Tha am poileasaidh seo ga chur an sàs nuair a thathar a’ togail a’ chiad ìre de IPSec. Is e toradh crìoch soirbheachail a’ chiad ìre stèidheachadh SA (Comann Tèarainteachd).
An ath rud, feumaidh sinn liosta de sheòlaidhean IP stòr is ceann-uidhe (ACL) a mhìneachadh airson crioptachadh, seata cruth-atharrachaidh a ghineadh, mapa criptografach (mapa crypto) a chruthachadh agus a cheangal ri eadar-aghaidh taobh a-muigh an CS.
Suidhich ACL:
# ip access-list site leudaichte1
# cead gre host 10.111.21.3 aoigheachd 10.111.22.3
Seata de chruth-atharrachaidhean (coltach ris a’ chiad ìre, bidh sinn a’ cleachdadh an algairim crioptachaidh “Grasshopper” a’ cleachdadh modh ginealach cuir a-steach atharrais):
#crypto ipsec cruth-atharrachadh-set GOST esp-gost341215k-mac
Bidh sinn a’ cruthachadh mapa crypto, a’ sònrachadh an ACL, ag atharrachadh seata agus seòladh co-aoisean:
mapa #crypto PRÌOMH 100 ipsec-isakmp
# làrach seòladh maids1
# seata cruth-atharrachadh a rèir GOST
# suidhich an co-aoisean 10.111.22.3
Bidh sinn a’ ceangal a’ chairt crypto ri eadar-aghaidh taobh a-muigh a’ chlàr airgid:
# eadar-aghaidh GigabitEthernet0/0
# seòladh ip 10.111.21.3 255.255.255.0
# mapa crypto PRÌOMH
Gus seanalan a chrioptachadh le làraich eile, feumaidh tu an dòigh-obrach airson cairt ACL agus crypto a chruthachadh a-rithist, ag atharrachadh ainm ACL, seòlaidhean IP agus àireamh cairt crypto.
Thoir aire! Mura tèid dearbhadh teisteanais le CRL a chleachdadh, feumaidh seo a bhith air a shònrachadh gu soilleir:
#crypto pki trustpoint s-terra_technological_trustpoint
# cùl-ghairm - thoir sùil air gin
Aig an ìre seo, faodar beachdachadh air an stèidheachadh coileanta. Ann an toradh àithne tòcan coltach ri Cisco seall crypto isakmp sa и sealltainn crypto ipsec sa Bu chòir a’ chiad agus an dàrna ìre de IPSec a chaidh a thogail a nochdadh. Gheibhear an aon fhiosrachadh a’ cleachdadh an àithne sa_mgr taisbeanadh, air a chur gu bàs bho shlige debian. Ann an toradh an àithne cert_mgr taisbeanadh Bu chòir na teisteanasan làraich iomallach nochdadh. Bidh inbhe teisteanasan mar sin Iomallach. Mura h-eil tunailean gan togail, feumaidh tu coimhead air log seirbheis VPN, a tha air a stòradh san fhaidhle /var/log/cspvpngate.log. Tha liosta iomlan de fhaidhlichean log le tuairisgeul air na th’ annta ri fhaighinn anns na sgrìobhainnean.
A’ cumail sùil air “slàinte” an t-siostam
Bidh an S-Terra CC a’ cleachdadh an deamhan snmpd àbhaisteach airson sgrùdadh. A bharrachd air paramadairean àbhaisteach Linux, a-mach às a ’bhogsa tha S-Terra a’ toirt taic do bhith a ’toirt a-mach dàta mu thunailean IPSec a rèir an CISCO-IPSEC-FLOW-MONITOR-MIB, is e sin a bhios sinn a’ cleachdadh nuair a bhios sinn a ’cumail sùil air inbhe tunailean IPSec. Thathas cuideachd a’ toirt taic do ghnìomhachd OIDn àbhaisteach a bheir a-mach toraidhean coileanadh sgriobt mar luachan. Leigidh am feart seo leinn sùil a chumail air cinn-latha crìochnachaidh teisteanasan. Bidh an sgriobt sgrìobhte a’ parsadh toradh an àithne cert_mgr taisbeanadh agus mar thoradh air an sin a 'toirt seachad an àireamh de làithean gus an tig na teisteanasan ionadail agus freumh gu crìch. Tha an dòigh seo riatanach nuair a thathar a’ rianachd àireamh mhòr de CABGn.
Dè a’ bhuannachd a th’ ann an leithid de chrioptachadh?
Tha a h-uile gnìomh a tha air a mhìneachadh gu h-àrd a’ faighinn taic a-mach às a ’bhogsa leis an S-Terra KSh. Is e sin, cha robh feum air modalan a bharrachd a chuir a-steach a dh'fhaodadh buaidh a thoirt air dearbhadh geataichean crypto agus dearbhadh an t-siostam fiosrachaidh gu lèir. Faodaidh seanalan sam bith a bhith eadar làraich, eadhon tron eadar-lìn.
Air sgàth ‘s nuair a dh’ atharraicheas am bun-structar a-staigh, chan eil feum air geataichean crypto ath-dhealbhadh, tha an siostam ag obair mar sheirbheis, a tha gu math goireasach don neach-ceannach: faodaidh e na seirbheisean aige (neach-dèiligidh agus frithealaiche) a chuir aig seòlaidhean sam bith, agus thèid a h-uile atharrachadh a ghluasad gu dinamach eadar uidheamachd crioptachaidh.
Gu dearbh, tha crioptachadh mar thoradh air cosgaisean os cionn (os cionn) a 'toirt buaidh air astar gluasad dàta, ach dìreach beagan - faodaidh an t-sianal a bhith air a lùghdachadh le 5-10% aig a' char as àirde. Aig an aon àm, chaidh an teicneòlas a dhearbhadh agus deagh thoraidhean a nochdadh eadhon air seanalan saideal, a tha gu math neo-sheasmhach agus aig a bheil leud-bann ìosal.
Igor Vinokhodov, innleadair an dàrna loidhne de rianachd Rostelecom-Solar
Source: www.habr.com