ProHoster > Blog > Rianachd > Bidh sinn a’ crioptachadh a rèir GOST: stiùireadh mu bhith a’ stèidheachadh slighe trafaic fiùghantach

Bidh sinn a’ crioptachadh a rèir GOST: stiùireadh mu bhith a’ stèidheachadh slighe trafaic fiùghantach

Bidh sinn a’ crioptachadh a rèir GOST: stiùireadh mu bhith a’ stèidheachadh slighe trafaic fiùghantach
Ma bhios a’ chompanaidh agaibh a’ cur no a’ faighinn dàta pearsanta agus fiosrachadh dìomhair eile a tha fo dhìon an lagha thairis air an lìonra, tha e riatanach dhaibh crioptachadh a chleachdadh a tha a rèir inbhean GOST. An-diugh, roinnidh sinn mar a chuir sinn an gnìomh crioptachadh mar sin a’ cleachdadh geata crioptagrafach (CS) S-Terra aig aon de na teachdaichean againn. Bidh an sgeulachd seo inntinneach do eòlaichean tèarainteachd fiosrachaidh, a bharrachd air innleadairean, dealbhadairean agus ailtirean. Cha bhith sinn a’ sgrùdadh mion-fhiosrachadh teicnigeach an rèiteachaidh san dreuchd seo; cuiridh sinn fòcas air na prìomh phuingean den t-suidheachadh bunaiteach. Tha meudan mòra de sgrìobhainnean ann mu bhith a’ rèiteachadh daemons OS. Linux, air a bheil an S-Terra CS stèidhichte, ri fhaighinn an-asgaidh air-loidhne. Tha sgrìobhainnean airson am bathar-bog S-Terra seilbhe a stèidheachadh rim faighinn gu poblach cuideachd aig am portal saothraiche.

Beagan fhaclan mun phròiseact

Bha topology lĂŹonra an neach-ceannach Ă bhaisteach - lĂ n mhogal eadar an ionad agus na meuran. Bha feum air crioptachadh de shianalan iomlaid fiosrachaidh a thoirt a-steach eadar gach lĂ rach, agus bha 8 dhiubh sin ann.

Mar as trice ann am pròiseactan mar seo tha a h-uile dad statach: tha slighean statach gu lìonra ionadail na làraich air an suidheachadh air geataichean crypto (CGs), tha liostaichean de sheòlaidhean IP (ACLs) airson crioptachadh air an clàradh. Ach, anns a 'chùis seo, chan eil smachd meadhanach aig na làraichean, agus faodaidh rud sam bith tachairt taobh a-staigh nan lìonraidhean ionadail aca: faodar lìonraidhean a chur ris, a dhubhadh às agus atharrachadh anns a h-uile dòigh a tha comasach. Gus casg a chuir air ath-dhealbhadh slighe agus ACL air an KS nuair a dh’ atharraicheas tu seòladh lìonraidhean ionadail aig na làraich, chaidh co-dhùnadh tunail GRE agus slighe fiùghantach OSPF a chleachdadh, a tha a’ toirt a-steach a h-uile KS agus a’ mhòr-chuid de routers aig prìomh ìre lìonra aig na làraich ( aig cuid de làraich, b’ fheàrr le luchd-rianachd bun-structair SNAT a chleachdadh gu KS air routers kernel).

Leig tunail GRE leinn dĂ  dhuilgheadas fhuasgladh:
1. Cleachd seòladh IP eadar-aghaidh taobh a-muigh an CS airson a chrioptachadh san ACL, a tha a’ toirt a-steach a h-uile trafaic a thèid a chuir gu làraich eile.
2. Cuir air dòigh tunailean ptp eadar CSn, a leigeas leat slighe fiùghantach a rèiteachadh (anns a’ chùis againn, tha MPLS L3VPN an t-solaraiche air a chuir air dòigh eadar na làraich).

Dh'òrdaich an neach-dèiligidh cur an gnÏomh crioptachadh mar sheirbheis. Rud eile, dh'fheumadh e chan e a-mhàin geataichean crypto a chumail suas no an cur a-mach gu buidheann air choreigin, ach cuideachd sÚil a chumail gu neo-eisimeileach air cearcall-beatha teisteanasan crioptachaidh, an Úrachadh ann an àm agus feadhainn Úra a chuir a-steach.
Bidh sinn a’ crioptachadh a rèir GOST: stiùireadh mu bhith a’ stèidheachadh slighe trafaic fiùghantach
Agus a-nis am fÏor mheòrachan - ciamar agus dè a shuidhich sinn

Nota don chuspair CII: stèidheachadh geata crypto

Suidheachadh lĂŹonra bunaiteach

An toiseach, bidh sinn a’ cur CS ùr air bhog agus a’ faighinn a-steach don chonsal rianachd. Bu chòir dhut tòiseachadh le bhith ag atharrachadh am facal-faire rianadair togte - àithne atharraich rianadair facal-faire neach-cleachdaidh. An uairsin feumaidh tu am modh tòiseachaidh a dhèanamh (òrdugh thòiseachadh) nuair a thèid an dàta cead a chuir a-steach agus an sensor àireamh air thuaiream (RNS) air a thòiseachadh.

Thoir aire! Nuair a thèid S-Terra CC a thòiseachadh, thèid poileasaidh tèarainteachd a stèidheachadh anns nach leig eadar-aghaidh geata tèarainteachd le pacaidean a dhol troimhe. Feumaidh tu am poileasaidh agad fhèin a chruthachadh no an àithne a chleachdadh ruith csconf_mgr cuir an gnÏomh cuir an gnÏomh poileasaidh ceadachaidh ro-mhÏnichte.
An ath rud, feumaidh tu seòladh eadar-aghaidh taobh a-muigh agus a-staigh a rèiteachadh, a bharrachd air an t-slighe àbhaisteach. Tha e nas fheàrr obrachadh le rèiteachadh lìonra CS agus crioptachadh a rèiteachadh tro chonsail coltach ri Cisco. Tha an consol seo air a dhealbhadh gus òrdughan coltach ri òrdughan Cisco IOS a chuir a-steach. Tha an rèiteachadh a chaidh a chruthachadh a’ cleachdadh a’ chonsail coltach ri Cisco, an uair sin, air a thionndadh gu na faidhlichean rèiteachaidh co-fhreagarrach leis a bheil daemons an OS ag obair. Faodaidh tu a dhol chun consol coltach ri Cisco bhon consol rianachd leis an àithne configures.

Atharraich faclan-faire airson na cscons cleachdaiche togte agus cuir an comas:

> comasach
Facal-faire: csp (ro-stĂ laichte)
# rèiteachadh terminal
#username cscons privilege 15 secret 0 #enable secret 0 A’ stèidheachadh rèiteachadh bunaiteach an lìonraidh:

# eadar-aghaidh GigabitEthernet0/0
# seòladh ip 10.111.21.3 255.255.255.0
#gun dĂšnadh
# eadar-aghaidh GigabitEthernet0/1
# seòladh ip 192.168.2.5 255.255.255.252
#gun dĂšnadh
# slighe ip 0.0.0.0 0.0.0.0 10.111.21.254

GRE

Bidh sinn a’ fàgail a’ chonsail coltach ri Cisco agus a’ dol gu debian àithne slige siostam. Suidhich am facal-faire agad fhèin airson an neach-cleachdaidh freumh sgioba sgaoileadh.
Aig gach seòmar smachd, tha tunail air leth air a rèiteachadh airson gach làrach. Tha an eadar-aghaidh tunail air a rèiteachadh san fhaidhle / etc / network / interfaces. Tha uallach air a’ ghoireas tunail IP, a tha air a ghabhail a-steach san t-seata iproute2 ro-stàlaichte, airson an eadar-aghaidh fhèin a chruthachadh. Tha an àithne cruthachadh eadar-aghaidh air a sgrìobhadh a-steach don roghainn ro-làimh.

Eisimpleir de rèiteachadh de eadar-aghaidh tunail àbhaisteach:
làrach-lÏn fèin-ghluasadach 1
iface site1 neo-sheasmhach
seòladh 192.168.1.4
lĂŹn 255.255.255.254
tunail ip ro-Ă rd cuir modh site1 gu ionadail 10.111.21.3 iomallach 10.111.22.3 iuchair hfLYEg ^ vCh6p

Thoir aire! Bu chòir a thoirt fa-near gum feum na roghainnean airson eadar-aghaidh tunail a bhith suidhichte taobh a-muigh na h-earrainn

###netifcfg-tòiseachadh###
*****
###netifcfg-deireadh###

Rud eile, thèid na roghainnean sin ath-sgrìobhadh nuair a dh’ atharraicheas tu roghainnean lìonra eadar-aghaidh fiosaigeach tro chonsail coltach ri Cisco.

Seòladh fiÚghantach

Ann an S-Terra, tha slighe fiùghantach air a chuir an gnìomh a’ cleachdadh pasgan bathar-bog Quagga. Gus OSPF a rèiteachadh feumaidh sinn daemons a chomasachadh agus a rèiteachadh zebra и ospfd. Tha an daemon zebra an urra ri conaltradh eadar na daemons slighe agus an OS. Tha uallach air an daemon ospfd, mar a tha an t-ainm a’ moladh, airson protocol OSPF a bhuileachadh.
Tha OSPF air a rèiteachadh an dàrna cuid tro chonsail an daemon no gu dìreach tron ​​​​fhaidhle rèiteachaidh /etc/quagga/ospfd.conf. Thèid a h-uile eadar-aghaidh fiosaigeach agus tunail a tha a’ gabhail pàirt ann an slighe fiùghantach a chur ris an fhaidhle, agus thèid na lìonraidhean a thèid a shanasachadh agus a gheibh sanasan ainmeachadh cuideachd.

Eisimpleir den rèiteachadh ris am feumar cur ris ospfd.conf:
eadar-aghaidh eth0
!
eadar-aghaidh eth1
!
lĂ rach-lĂŹn eadar-aghaidh 1
!
lĂ rach-lĂŹn eadar-aghaidh 2
router ospf
ospf router-id 192.168.2.21
lĂŹonra 192.168.1.4 / 31 sgĂŹre 0.0.0.0
lĂŹonra 192.168.1.16 / 31 sgĂŹre 0.0.0.0
lĂŹonra 192.168.2.4 / 30 sgĂŹre 0.0.0.0

Anns a ’chùis seo, tha seòlaidhean 192.168.1.x/31 glèidhte airson lìonraidhean tunail ptp eadar làraich, tha seòlaidhean 192.168.2.x/30 air an riarachadh airson lìonraidhean gluasaid eadar CS agus routers kernel.

Thoir aire! Gus an clàr slighe a lughdachadh ann an ionadan mòra, faodaidh tu foillseachadh nan lìonraidhean gluasaid iad fhèin a shìoladh a ’cleachdadh na togalaichean chan eil ath-sgaoileadh ceangailte no ath-riarachadh mapa slighe ceangailte.

Às deidh dhut na daemons a rèiteachadh, feumaidh tu inbhe tòiseachaidh nan daemons atharrachadh /etc/quagga/daemons. Ann an roghainnean zebra и ospfd chan eil atharrachadh gu bheil. Tòisich an daemon quagga agus suidhich e gu autorun nuair a thòisicheas tu air an àithne KS update-rc.d quagga a chur an comas.

Ma thèid rèiteachadh tunailean GRE agus OSPF a dhèanamh ceart, bu chòir slighean ann an lÏonra làraich eile nochdadh air an KSh agus na prÏomh routers agus, mar sin, bidh ceangal lÏonra eadar lÏonraidhean ionadail ag èirigh.

Bidh sinn a’ cuairteachadh trafaic tar-chuir

Mar a chaidh a sgrìobhadh mu thràth, mar as trice nuair a bhios sinn a’ crioptachadh eadar làraich, bidh sinn a’ sònrachadh raointean seòlaidh IP (ACLs) eadar am bi trafaic air a chrioptachadh: ma tha an stòr agus na seòlaidhean ceann-uidhe taobh a-staigh nan raointean sin, tha an trafaic eatorra air a chrioptachadh. Ach, sa phròiseact seo tha an structar fiùghantach agus faodaidh seòlaidhean atharrachadh. Leis gu bheil sinn air tunail GRE a rèiteachadh mu thràth, is urrainn dhuinn seòlaidhean KS taobh a-muigh a shònrachadh mar na seòlaidhean stòr is ceann-uidhe airson trafaic a chrioptachadh - às deidh a h-uile càil, thig trafaic a tha air a chuairteachadh le protocol GRE mar-thà airson crioptachadh. Ann am faclan eile, tha a h-uile dad a thig a-steach don CS bhon lìonra ionadail de aon làrach gu lìonraidhean a chaidh ainmeachadh le làraich eile air a chrioptachadh. Agus taobh a-staigh gach làrach faodar ath-stiùireadh sam bith a dhèanamh. Mar sin, ma tha atharrachadh sam bith ann an lìonraidhean ionadail, chan fheum an rianaire ach na sanasan a thig bhon lìonra aige atharrachadh chun lìonra, agus bidh e ri fhaighinn air làraich eile.

Tha crioptachadh ann an S-Terra CS air a dhèanamh a’ cleachdadh protocol IPSec. Bidh sinn a’ cleachdadh an algairim “Grasshopper” a rèir GOST R 34.12-2015, agus airson co-chòrdalachd le dreachan nas sine faodaidh tu GOST 28147-89 a chleachdadh. Faodar dearbhadh gu teicnigeach a dhèanamh air gach cuid iuchraichean ro-mhìnichte (PSKn) agus teisteanasan. Ach, ann an gnìomhachd gnìomhachais feumar teisteanasan a chaidh a thoirt seachad a rèir GOST R 34.10-2012 a chleachdadh.

Bithear ag obair le teisteanasan, soithichean agus CRL a’ cleachdadh a’ ghoireas teiste_mgr. An toiseach, a 'cleachdadh an àithne cert_mgr cruthaich feumar soitheach iuchair phrìobhaideach agus iarrtas teisteanais a ghineadh, a thèid a chuir chun Ionad Riaghlaidh Teisteanas. Às deidh an teisteanas fhaighinn, feumaidh e a bhith air a thoirt a-steach còmhla ris an teisteanas root CA agus CRL (ma thèid a chleachdadh) leis an àithne cert_mgr ion-phortadh. Faodaidh tu dèanamh cinnteach gu bheil a h-uile teisteanas agus CRL air an stàladh leis an àithne cert_mgr taisbeanadh.

Às deidh dhut na teisteanasan a chuir a-steach gu soirbheachail, rachaibh gu consol coltach ri Cisco gus IPSec a rèiteachadh.
Bidh sinn a’ cruthachadh poileasaidh IKE a shònraicheas na h-algorithms agus na crìochan a thathar ag iarraidh airson an t-seanail thèarainte a thathar a’ cruthachadh, a thèid a thabhann don chom-pàirtiche airson aonta.

#crypto isakmp poileasaidh 1000
#encr gost341215k
#hash gost341112-512-tc26
# soidhne dearbhaidh
#buidheann vko2
#beatha 3600

Tha am poileasaidh seo ga chur an sàs nuair a thathar a’ togail a’ chiad ìre de IPSec. Is e toradh crìoch soirbheachail a’ chiad ìre stèidheachadh SA (Comann Tèarainteachd).
An ath rud, feumaidh sinn liosta de sheòlaidhean IP stòr is ceann-uidhe (ACL) a mhÏneachadh airson crioptachadh, seata cruth-atharrachaidh a ghineadh, mapa criptografach (mapa crypto) a chruthachadh agus a cheangal ri eadar-aghaidh taobh a-muigh an CS.

Suidhich ACL:
# ip access-list site leudaichte1
# cead gre host 10.111.21.3 aoigheachd 10.111.22.3

Seata de chruth-atharrachaidhean (coltach ris a’ chiad ìre, bidh sinn a’ cleachdadh an algairim crioptachaidh “Grasshopper” a’ cleachdadh modh ginealach cuir a-steach atharrais):

#crypto ipsec cruth-atharrachadh-set GOST esp-gost341215k-mac

Bidh sinn a’ cruthachadh mapa crypto, a’ sònrachadh an ACL, ag atharrachadh seata agus seòladh co-aoisean:

mapa #crypto PRÌOMH 100 ipsec-isakmp
# làrach seòladh maids1
# seata cruth-atharrachadh a rèir GOST
# suidhich an co-aoisean 10.111.22.3

Bidh sinn a’ ceangal a’ chairt crypto ri eadar-aghaidh taobh a-muigh a’ chlàr airgid:

# eadar-aghaidh GigabitEthernet0/0
# seòladh ip 10.111.21.3 255.255.255.0
# mapa crypto PRÌOMH

Gus seanalan a chrioptachadh le làraich eile, feumaidh tu an dòigh-obrach airson cairt ACL agus crypto a chruthachadh a-rithist, ag atharrachadh ainm ACL, seòlaidhean IP agus àireamh cairt crypto.

Thoir aire! Mura tèid dearbhadh teisteanais le CRL a chleachdadh, feumaidh seo a bhith air a shònrachadh gu soilleir:

#crypto pki trustpoint s-terra_technological_trustpoint
# cĂšl-ghairm - thoir sĂšil air gin

Aig an ìre seo, faodar beachdachadh air an stèidheachadh coileanta. Ann an toradh àithne tòcan coltach ri Cisco seall crypto isakmp sa и sealltainn crypto ipsec sa Bu chòir a’ chiad agus an dàrna ìre de IPSec a chaidh a thogail a nochdadh. Gheibhear an aon fhiosrachadh a’ cleachdadh an àithne sa_mgr taisbeanadh, air a dhèanamh de debian slige. Anns an toradh àithne cert_mgr taisbeanadh Bu chòir na teisteanasan làraich iomallach nochdadh. Bidh inbhe teisteanasan mar sin IomallachMura h-eil na tunailean gan togail, feumaidh tu sùil a thoirt air a’ chlàr-fiodha. VPN-seirbheis a tha air a stòradh ann am faidhle /var/log/cspvpngate.log. Tha liosta iomlan de fhaidhlichean log le tuairisgeul air na th’ annta ri fhaighinn anns na sgrìobhainnean.

A’ cumail sùil air “slàinte” an t-siostam

Bidh an S-Terra CS a’ cleachdadh an daemon snmpd àbhaisteach airson sgrùdadh. A bharrachd air an fheadhainn àbhaisteach Linux Tha S-Terra a’ toirt taic do thoradh dàta tunail IPSec a rèir CISCO-IPSEC-FLOW-MONITOR-MIB dìreach às a’ bhogsa, a bhios sinn a’ cleachdadh gus sùil a chumail air inbhe tunail IPSec. Tha e cuideachd a’ toirt taic do OIDan gnàthaichte a bhios a’ toirt a-mach toraidhean cur an gnìomh sgriobta. Leigidh an gnìomh seo leinn sùil a chumail air cinn-latha crìochnachaidh teisteanas. Bidh an sgriobt a’ dèanamh mion-sgrùdadh air toradh an àithne. cert_mgr taisbeanadh agus mar thoradh air an sin a 'toirt seachad an àireamh de làithean gus an tig na teisteanasan ionadail agus freumh gu crìch. Tha an dòigh seo riatanach nuair a thathar a’ rianachd àireamh mhòr de CABGn.
Bidh sinn a’ crioptachadh a rèir GOST: stiùireadh mu bhith a’ stèidheachadh slighe trafaic fiùghantach

Dè a’ bhuannachd a th’ ann an leithid de chrioptachadh?

Tha a h-uile gnìomh a tha air a mhìneachadh gu h-àrd a’ faighinn taic a-mach às a ’bhogsa leis an S-Terra KSh. Is e sin, cha robh feum air modalan a bharrachd a chuir a-steach a dh'fhaodadh buaidh a thoirt air dearbhadh geataichean crypto agus dearbhadh an t-siostam fiosrachaidh gu lèir. Faodaidh seanalan sam bith a bhith eadar làraich, eadhon tron ​​​​eadar-lìn.

Air sgàth ‘s nuair a dh’ atharraicheas am bun-structar a-staigh, chan eil feum air geataichean crypto ath-dhealbhadh, tha an siostam ag obair mar sheirbheis, a tha gu math goireasach don neach-ceannach: faodaidh e na seirbheisean aige (neach-dèiligidh agus frithealaiche) a chuir aig seòlaidhean sam bith, agus thèid a h-uile atharrachadh a ghluasad gu dinamach eadar uidheamachd crioptachaidh.

Gu dearbh, tha crioptachadh mar thoradh air cosgaisean os cionn (os cionn) a 'toirt buaidh air astar gluasad dàta, ach dÏreach beagan - faodaidh an t-sianal a bhith air a lÚghdachadh le 5-10% aig a' char as àirde. Aig an aon àm, chaidh an teicneòlas a dhearbhadh agus deagh thoraidhean a nochdadh eadhon air seanalan saideal, a tha gu math neo-sheasmhach agus aig a bheil leud-bann Ïosal.

Igor Vinokhodov, innleadair an dĂ rna loidhne de rianachd Rostelecom-Solar

Source: www.habr.com

Ceannaich aoigheachd earbsach airson làraich le dìon DDoS, frithealaichean VPS VDS 🔥 Ceannaich aoigheachd làrach-lìn earbsach le dìon DDoS, frithealaichean VPS VDS | ProHoster