Inā hoʻouna a loaʻa paha kāu ʻikepili pilikino a me nā ʻike huna ʻē aʻe ma luna o ka pūnaewele i mālama ʻia e like me ke kānāwai, pono ia e hoʻohana i ka GOST encryption. I kēia lā, e haʻi mākou iā ʻoe pehea mākou i hoʻokō ai i kēlā hoʻopunipuni e pili ana i ka S-Terra crypto gateway (CS) ma kekahi o nā mea kūʻai. He mea hoihoi kēia moʻolelo i nā loea palekana ʻike, a me nā ʻenekinia, nā mea hoʻolālā a me nā mea hoʻolālā. ʻAʻole mākou e luʻu hohonu i nā nuances o ka hoʻonohonoho ʻenehana i kēia pou; e kālele mākou i nā kumu nui o ka hoʻonohonoho kumu. Nui nā puke o nā palapala e pili ana i ka hoʻonohonoho ʻana i nā daemons Linux OS, kahi i hoʻokumu ʻia ai ka S-Terra CS, loaʻa manuahi ma ka Pūnaewele. Loaʻa i ka lehulehu nā palapala no ka hoʻonohonoho ʻana i ka lako polokalamu S-Terra mea hana.
He mau hua'ōlelo e pili ana i ka papahana
He maʻamau ka topology pūnaewele o ka mea kūʻai - piha piha ma waena o ke kikowaena a me nā lālā. Pono e hoʻokomo i ka hoʻopili ʻana o nā ala hoʻololi ʻike ma waena o nā pūnaewele āpau, nona ka 8.
ʻO ka maʻamau i loko o ia mau papahana he paʻa nā mea a pau: ua hoʻonohonoho ʻia nā ala static i ka pūnaewele kūloko o ka pūnaewele ma nā puka crypto (CGs), nā papa inoa o nā IP address (ACLs) no ka hoʻopili ʻana. Eia nō naʻe, i kēia hihia, ʻaʻohe mana kikowaena o nā pūnaewele, a hiki i kekahi mea ke hana i loko o kā lākou pūnaewele kūloko: hiki ke hoʻohui ʻia, holoi ʻia a hoʻololi ʻia i nā ala āpau. I mea e pale aku ai i ka hoʻonohonoho hou ʻana i ka routing a me ka ACL ma ka KS i ka wā e hoʻololi ai i ka ʻōlelo ʻana o nā pūnaewele kūloko ma nā pūnaewele, ua hoʻoholo ʻia e hoʻohana i ka GRE tunneling a me ka OSPF dynamic routing, e komo pū ana me nā KS āpau a me ka hapa nui o nā mea hoʻokele ma ka pae kikowaena pūnaewele ma nā pūnaewele ( ma kekahi mau pūnaewele, makemake nā luna hoʻokele waiwai e hoʻohana i ka SNAT i ka KS ma nā mea hoʻokele kernel).
Ua ʻae ʻo GRE tunneling iā mākou e hoʻoponopono i nā pilikia ʻelua:
1. E hoʻohana i ka IP address o ka ʻaoʻao waho o ka CS no ka hoʻopili ʻana i ka ACL, kahi e hoʻopili ai i nā kaʻa āpau i hoʻouna ʻia i nā pūnaewele ʻē aʻe.
2. E hoʻonohonoho i nā tunnels ptp ma waena o nā CS, kahi e ʻae ai iā ʻoe e hoʻonohonoho i ka hoʻokele dynamic (i kā mākou hihia, hoʻonohonoho ʻia ka MPLS L3VPN o ka mea hoʻolako ma waena o nā pūnaewele).
Ua kauoha ka mea kūʻai aku i ka hoʻokō ʻana i ka hoʻopunipuni ma ke ʻano he lawelawe. A i ʻole, ʻaʻole pono ʻo ia e mālama i nā ʻīpuka crypto a i ʻole e hoʻokuʻu aku iā lākou i kekahi hui, akā e nānā kūʻokoʻa hoʻi i ka pōʻai ola o nā palapala hoʻopunipuni, hoʻololi iā lākou i ka manawa a hoʻokomo i nā mea hou.
A i kēia manawa ka memo maoli - pehea a me ka mea a mākou i hoʻonohonoho ai
E hoʻomaopopo i ke kumuhana CII: hoʻonohonoho i kahi puka crypto
Hoʻonohonoho pūnaewele kumu
ʻO ka mea mua, hoʻomaka mākou i kahi CS hou a komo i ka console hoʻokele. Pono ʻoe e hoʻomaka ma ka hoʻololi ʻana i ka ʻōlelo huna hoʻokele i kūkulu ʻia - kauoha hoʻololi i ka mea hoʻohana ʻōlelo huna luna. A laila pono ʻoe e hoʻokō i ke kaʻina hana hoʻomaka (kauoha hoʻopuka) i ka manawa e hoʻokomo ʻia ai ka ʻikepili laikini a hoʻomaka ʻia ka mea ʻike helu random (RNS).
E hoʻolohe. Ke hoʻomaka ʻia ʻo S-Terra CC, hoʻokumu ʻia kahi kulekele palekana kahi e ʻae ʻole ai nā ʻīpuka palekana i nā ʻeke e hele. Pono ʻoe e hana i kāu kulekele ponoʻī a hoʻohana paha i ke kauoha holo csconf_mgr activate e ho'ā i kahi kulekele ʻae i koho mua ʻia.
A laila, pono ʻoe e hoʻonohonoho i ka ʻōlelo ʻana o nā kikowaena waho a me loko, a me ke ala maʻamau. ʻOi aku ka maikaʻi o ka hana me ka hoʻonohonoho pūnaewele CS a hoʻonohonoho i ka hoʻopili ʻana ma o kahi console like Cisco. Hoʻolālā ʻia kēia console e hoʻokomo i nā kauoha e like me nā kauoha Cisco IOS. ʻO ka hoʻonohonoho i hana ʻia me ka Cisco-like console, ua hoʻololi ʻia i loko o nā faila hoʻonohonoho kūpono e hana ai nā daemons OS. Hiki iā ʻoe ke hele i ka console like Cisco mai ka console administration me ke kauoha hoʻonohonoho.
E hoʻololi i nā ʻōlelo huna no nā cscon mea hoʻohana i kūkulu ʻia a hiki iā:
> hiki
ʻŌlelo huna: csp (i hoʻokomo mua ʻia)
#hoʻonohonoho i ka pahu
#username cscons pono 15 huna 0 #enable huna 0 Hoʻonohonoho i ka hoʻonohonoho pūnaewele kumu:
#interface GigabitEthernet0/0
#ip helu 10.111.21.3 255.255.255.0
#ʻaʻohe pani
#interface GigabitEthernet0/1
#ip helu 192.168.2.5 255.255.255.252
#ʻaʻohe pani
#ip ala 0.0.0.0 0.0.0.0 10.111.21.254
GRE
E haʻalele i ka console like Cisco a hele i ka shell debian me ke kauoha nenoaiu. E hoʻonoho i kāu ʻōlelo huna no ka mea hoʻohana aa hui helena.
Ma kēlā me kēia lumi hoʻomalu, hoʻonohonoho ʻia kahi tunnel kaʻawale no kēlā me kēia pūnaewele. Hoʻonohonoho ʻia ka interface tunnel i ka faila / etc / network / interfaces. ʻO ka hāmeʻa tunnel IP, i hoʻokomo ʻia i ka set iproute2 preinstalled, ke kuleana no ka hana ʻana i ka interface ponoʻī. Ua kākau ʻia ke kauoha hana interface i ke koho pre-up.
ʻO ka laʻana o ka hoʻonohonoho hoʻonohonoho ʻana o kahi kikowaena tunnel maʻamau:
kahua kaʻa1
iface site1 inet static
helu wahi 192.168.1.4
netmask 255.255.255.254
ip tunnel e hoʻohui i ka pūnaewele1 mode gre kūloko 10.111.21.3 mamao 10.111.22.3 kī hfLYEg^vCh6p
E hoʻolohe. Pono e hoʻomaopopo ʻia e waiho ʻia nā hoʻonohonoho no nā pilina tunnel ma waho o ka ʻāpana
###netifcfg-hoʻomaka####
*****
###netifcfg-end###
A i ʻole, e hoʻopau ʻia kēia mau hoʻonohonoho i ka wā e hoʻololi ai i nā hoʻonohonoho pūnaewele o nā pilina kino ma o kahi console like Cisco.
Hoʻolāʻau ala
Ma S-Terra, hoʻokō ʻia ka hoʻokele ikaika me ka hoʻohana ʻana i ka polokalamu lako polokalamu Quagga. No ka hoʻonohonoho ʻana i ka OSPF pono mākou e ʻae a hoʻonohonoho i nā daemons zebra и ospfd. ʻO ka zebra daemon ke kuleana no ke kamaʻilio ma waena o nā daemons routing a me ka OS. ʻO ka daemon ospfd, e like me ka manaʻo o ka inoa, ke kuleana no ka hoʻokō ʻana i ka protocol OSPF.
Hoʻonohonoho ʻia ʻo OSPF ma o ka console daemon a i ʻole ma o ka faila hoʻonohonoho /etc/quagga/ospfd.conf. Hoʻohui ʻia nā mea pili kino a me ka tunnel e komo ana i ka routing dynamic i ka faila, a ua haʻi pū ʻia nā pūnaewele e hoʻolaha ʻia a loaʻa nā hoʻolaha.
He laʻana o ka hoʻonohonoho pono e hoʻohui ʻia ospfd.conf:
interface eth0
!
interface eth1
!
kahua kikowaena1
!
kahua kikowaena2
router ospf
ospf router-id 192.168.2.21
pūnaewele 192.168.1.4/31 wahi 0.0.0.0
pūnaewele 192.168.1.16/31 wahi 0.0.0.0
pūnaewele 192.168.2.4/30 wahi 0.0.0.0
I kēia hihia, mālama ʻia nā helu helu 192.168.1.x/31 no nā pūnaewele ptp tunnel ma waena o nā pūnaewele, ua hoʻokaʻawale ʻia nā helu 192.168.2.x/30 no nā pūnaewele transit ma waena o CS a me nā mea hoʻokele kernel.
E hoʻolohe. No ka ho'ēmiʻana i ka papaʻaina i nā hoʻonohonoho nui, hiki iāʻoe ke kānana i ka hoʻolahaʻana o nā pūnaewele transit me ka hoʻohanaʻana i nā kūkulu. ʻaʻohe puʻunaue pili ai ole ia, e puunaue hou i pili ala-palapala.
Ma hope o ka hoʻonohonoho ʻana i nā daemons, pono ʻoe e hoʻololi i ke kūlana hoʻomaka o nā daemons i loko /etc/quagga/daemons. Ma nā koho zebra и ospfd ʻaʻohe hoʻololi i ka ʻae. E hoʻomaka i ka quagga daemon a hoʻonoho iā ia i autorun ke hoʻomaka ʻoe iā KS me ke kauoha hiki i ka update-rc.d quagga.
Inā hana pololei ka hoʻonohonoho ʻana o nā tunnels GRE a me OSPF, a laila e ʻike ʻia nā ala i ka pūnaewele o nā pūnaewele ʻē aʻe ma ka KSh a me nā mea hoʻokele koʻikoʻi, a no laila, ala mai ka pilina pūnaewele ma waena o nā pūnaewele kūloko.
Hoʻopili mākou i nā kaʻa i hoʻouna ʻia
E like me ka mea i kākau mua ʻia, maʻamau i ka wā e hoʻopili ai ma waena o nā pūnaewele, hōʻike mākou i nā pae helu IP (ACL) ma waena o ka hoʻopili ʻia ʻana o ke kaʻa: inā hāʻule ke kumu a me nā helu wahi e hele ai i loko o kēia mau pae, a laila hoʻopili ʻia ka huakaʻi ma waena o lākou. Eia nō naʻe, i loko o kēia pāhana ua ikaika ka hoʻolālā a hiki ke loli nā ʻōlelo. No ka mea ua hoʻonohonoho mua mākou i ka tunneling GRE, hiki iā mākou ke kuhikuhi i nā helu KS waho ma ke ʻano he kumu a me nā wahi e hele ai no ka hoʻopili ʻana i nā kaʻa - ma hope o nā mea a pau, hiki mai ke kaʻa i hoʻopili ʻia e ka protocol GRE no ka hoʻopili ʻana. I nā huaʻōlelo ʻē aʻe, ua hoʻopili ʻia nā mea a pau i komo i ka CS mai ka pūnaewele kūloko o kahi pūnaewele i nā pūnaewele i hoʻolaha ʻia e nā pūnaewele ʻē aʻe. A i loko o kēlā me kēia pūnaewele hiki ke hana ʻia kahi hoʻohuli. No laila, inā loaʻa kekahi hoʻololi i nā pūnaewele kūloko, pono wale ka luna hoʻoponopono e hoʻololi i nā hoʻolaha e hele mai ana mai kāna pūnaewele i ka pūnaewele, a hiki ke loaʻa i nā pūnaewele ʻē aʻe.
Hana ʻia ka hoʻopunipuni ma S-Terra CS me ka hoʻohana ʻana i ka protocol IPSec. Hoʻohana mākou i ka algorithm "Grasshopper" e like me GOST R 34.12-2015, a no ka hoʻohālikelike ʻana me nā mana kahiko hiki iā ʻoe ke hoʻohana iā GOST 28147-89. Hiki ke hana ʻia ka hōʻoia ʻana ma nā kī ʻelua i koho mua ʻia (PSK) a me nā palapala hōʻoia. Eia nō naʻe, i ka hana ʻoihana pono e hoʻohana i nā palapala i hāʻawi ʻia e like me GOST R 34.10-2012.
Hana ʻia ka hana me nā palapala hōʻoia, nā ipu a me nā CRL me ka hoʻohana ʻana i ka pono palapala_mgr. ʻO ka mea mua, e hoʻohana i ke kauoha cert_mgr hana pono e hana i kahi pahu kī pilikino a me kahi noi palapala, e hoʻouna ʻia i ka Certificate Management Center. Ma hope o ka loaʻa ʻana o ka palapala hōʻoia, pono e lawe ʻia me ka palapala kumu CA a me CRL (inā hoʻohana ʻia) me ke kauoha. cert_mgr lawe mai. Hiki iā ʻoe ke hōʻoia ua hoʻokomo ʻia nā palapala hōʻoia a me nā CRL me ke kauoha hōʻike cert_mgr.
Ma hope o ka hoʻokomo pono ʻana i nā palapala hōʻoia, e hele i ka console like Cisco e hoʻonohonoho i ka IPSec.
Hoʻokumu mākou i kahi kulekele IKE e hōʻike ana i nā algorithms i makemake ʻia a me nā ʻāpana o ke kahawai paʻa i hana ʻia, e hāʻawi ʻia i ka hoa no ka ʻae ʻia.
#crypto isakmp kulekele 1000
#encr gost341215k
#hash gost341112-512-tc26
#hōʻailona hōʻoia
#hui vko2
#ola 3600
Hoʻohana ʻia kēia kulekele i ke kūkulu ʻana i ka pae mua o IPSec. ʻO ka hopena o ka hoʻokō kūleʻa o ka pae mua ka hoʻokumu ʻana o SA (Security Association).
Ma hope aʻe, pono mākou e wehewehe i kahi papa inoa o nā kumu a me nā wahi IP address (ACL) no ka hoʻopili ʻana, hana i kahi hoʻonohonoho hoʻololi, hana i kahi palapala cryptographic (crypto map) a hoʻopaʻa iā ia i ka interface waho o ka CS.
E hoʻonoho i ka ACL:
#ip access-list i hoʻonui ʻia i ka pūnaewele1
#ʻae gre host 10.111.21.3 host 10.111.22.3
ʻO kahi hoʻololi o nā hoʻololi (e like me ka hana mua, hoʻohana mākou i ka algorithm encryption "Grasshopper" me ka hoʻohana ʻana i ke ʻano hana hoʻokomo simulation):
#crypto ipsec transform-hoʻonohonoho GOST esp-gost341215k-mac
Hana mākou i kahi palapala crypto, kuhikuhi i ka ACL, hoʻololi i ka hoʻonohonoho a me ka helu o nā hoa:
#crypto map MAIN 100 ipsec-isakmp
#kahua helu wahi1
#hoʻonohonoho hoʻololi-hoʻonoho GOST
#hoʻonoho hoa 10.111.22.3
Hoʻopaʻa mākou i ke kāleka crypto i ka interface waho o ka waihona kālā:
#interface GigabitEthernet0/0
#ip helu 10.111.21.3 255.255.255.0
#crypto map MAIN
No ka hoʻopili ʻana i nā kahawai me nā pūnaewele ʻē aʻe, pono ʻoe e hana hou i ke kaʻina hana no ka hana ʻana i kahi kāleka ACL a me crypto, hoʻololi i ka inoa ACL, nā helu IP a me ka helu kāleka crypto.
E hoʻolohe. Inā ʻaʻole hoʻohana ʻia ka hōʻoia hōʻoia e CRL, pono e wehewehe pono ʻia kēia:
#crypto pki trustpoint s-terra_technological_trustpoint
#revocation-check ʻaʻohe
I kēia manawa, hiki ke noʻonoʻo ʻia ka hoʻonohonoho ʻana. Ma Cisco-like console kauoha hoʻopuka hōʻike crypto isakmp sa и hōʻike crypto ipsec sa Pono e hōʻike ʻia nā hana mua a me ka lua o IPSec. Hiki ke loaʻa ka ʻike like me ka hoʻohana ʻana i ke kauoha sa_mgr hōʻike, hoʻokō ʻia mai ka shell debian. Ma ka puka kauoha hōʻike cert_mgr Pono e hōʻike ʻia nā palapala hōʻoia pūnaewele mamao. ʻO ke kūlana o ia mau palapala hōʻoia Mamao. Inā ʻaʻole i kūkulu ʻia nā tunnels, pono ʻoe e nānā i ka log service VPN, i mālama ʻia i ka faila /var/log/cspvpngate.log. Loaʻa ka papa inoa piha o nā faila log me ka wehewehe ʻana i kā lākou ʻike ma ka palapala.
Ke nānā nei i ka "ola" o ka ʻōnaehana
Hoʻohana ka S-Terra CC i ka daemon snmpd maʻamau no ka nānā ʻana. Ma kahi o nā ʻāpana Linux maʻamau, ma waho o ka pahu S-Terra kākoʻo i ka hoʻopuka ʻana i ka ʻikepili e pili ana i nā tunnels IPSec e like me ka CISCO-IPSEC-FLOW-MONITOR-MIB, ʻo ia ka mea a mākou e hoʻohana ai i ka nānā ʻana i ke kūlana o nā tunnels IPSec. Kākoʻo ʻia ka hana o nā OID maʻamau e hoʻopuka i nā hopena o ka hoʻokō ʻana i ka palapala e like me nā waiwai. Hāʻawi kēia hiʻohiʻona iā mākou e nānā i nā lā pau o ka palapala hōʻoia. Hoʻopili ka palapala i kākau ʻia i ka puka kauoha hōʻike cert_mgr a ʻo ka hopena e hāʻawi i ka helu o nā lā a hiki i ka pau ʻana o nā palapala kūloko a me ke kumu. Pono kēia ʻenehana i ka wā e lawelawe ana i kahi helu nui o CABG.
He aha ka pōmaikaʻi o ia hoʻopunipuni?
Kākoʻo ʻia nā hana āpau i hōʻike ʻia ma luna o ka pahu e ka S-Terra KSh. ʻO ia hoʻi, ʻaʻohe pono e hoʻokomo i nā modula ʻē aʻe e hiki ke hoʻopili i ka hōʻoia o nā puka crypto a me ka hōʻoia ʻana o ka ʻōnaehana ʻike holoʻokoʻa. Hiki ke loaʻa nā ala ma waena o nā pūnaewele, ʻoiai ma o ka Pūnaewele.
Ma muli o ka hoʻololi ʻana o ka ʻōnaehana kūloko, ʻaʻohe pono e hoʻonohonoho hou i nā puka crypto, hana ka ʻōnaehana ma ke ʻano he lawelawe, He mea maʻalahi loa ia no ka mea kūʻai aku: hiki iā ia ke kau i kāna mau lawelawe (ka mea kūʻai aku a me ka server) ma nā wahi āpau, a e hoʻololi ʻia nā hoʻololi āpau ma waena o nā lako hoʻopunipuni.
ʻOiaʻiʻo, hoʻopili ʻia ka hoʻopili ʻana ma muli o nā kumukūʻai overhead (overhead) i ka wikiwiki o ka hoʻoili ʻana i ka ʻikepili, akā liʻiliʻi wale nō - hiki ke hoʻemi ʻia ke kahawai throughput e ka nui o 5-10%. I ka manawa like, ua hoʻāʻo ʻia ka ʻenehana a hōʻike ʻia i nā hopena maikaʻi ʻoiai ma nā kaha ukali, ʻaʻole paʻa a loaʻa ka bandwidth haʻahaʻa.
ʻO Igor Vinokhodov, ʻenekinia o ka laina ʻelua o ka hoʻokele o Rostelecom-Solar
Source: www.habr.com