Ukoliko Vaša tvrtka putem mreže prenosi ili prima osobne podatke i druge povjerljive informacije koje podliježu zaštiti u skladu sa zakonom, dužna je koristiti GOST enkripciju. Danas ćemo vam reći kako smo implementirali takvu enkripciju na temelju S-Terra crypto gatewaya (CS) kod jednog od kupaca. Ova će priča biti zanimljiva stručnjacima za informacijsku sigurnost, kao i inženjerima, dizajnerima i arhitektima. U ovom postu nećemo duboko ulaziti u nijanse tehničke konfiguracije; usredotočit ćemo se na ključne točke osnovnog postavljanja. Ogromne količine dokumentacije o postavljanju Linux OS demona, na kojima se temelji S-Terra CS, slobodno su dostupne na Internetu. Dokumentacija za postavljanje vlasničkog softvera S-Terra također je javno dostupna na proizvođač.
Nekoliko riječi o projektu
Mrežna topologija kupca bila je standardna - puna mreža između centra i grana. Bilo je potrebno uvesti enkripciju kanala razmjene informacija između svih stranica, kojih je bilo 8.
Obično je u takvim projektima sve statično: statičke rute do lokalne mreže stranice postavljene su na kripto pristupnicima (CG), popisi IP adresa (ACL) za enkripciju su registrirani. Međutim, u ovom slučaju stranice nemaju centraliziranu kontrolu i svašta se može dogoditi unutar njihovih lokalnih mreža: mreže se mogu dodavati, brisati i mijenjati na sve moguće načine. Kako bi se izbjeglo ponovno konfiguriranje usmjeravanja i ACL-a na KS-u prilikom promjene adresiranja lokalnih mreža na mjestima, odlučeno je koristiti GRE tuneliranje i OSPF dinamičko usmjeravanje, što uključuje sve KS-ove i većinu usmjerivača na razini jezgre mreže na mjestima ( na nekim stranicama administratori infrastrukture radije koriste SNAT prema KS-u na usmjerivačima kernela).
GRE tuneliranje nam je omogućilo da riješimo dva problema:
1. Koristite IP adresu vanjskog sučelja CS-a za enkripciju u ACL-u, koji enkapsulira sav promet poslan drugim stranicama.
2. Organizirajte ptp tunele između CS-ova, koji vam omogućuju konfiguriranje dinamičkog usmjeravanja (u našem slučaju, MPLS L3VPN pružatelja organiziran je između stranica).
Klijent je naručio implementaciju enkripcije kao usluge. U protivnom bi morao ne samo održavati kripto pristupnike ili ih prepustiti nekoj organizaciji, već i samostalno pratiti životni ciklus enkripcijskih certifikata, obnavljati ih na vrijeme i instalirati nove.
A sada stvarni dopis - kako i što smo konfigurirali
Napomena za predmet CII: postavljanje kripto pristupnika
Osnovno postavljanje mreže
Prije svega, pokrećemo novi CS i ulazimo u administracijsku konzolu. Trebali biste započeti promjenom ugrađene administratorske lozinke - naredbe promijeniti korisničku lozinku administrator. Zatim trebate provesti postupak inicijalizacije (naredba inicijalizirati) tijekom kojeg se unose podaci o licenci i inicijalizira senzor slučajnih brojeva (RNS).
Obratite pozornost! Kada se S-Terra CC inicijalizira, uspostavlja se sigurnosna politika u kojoj sučelja sigurnosnog pristupnika ne dopuštaju prolaz paketima. Morate ili stvoriti vlastitu politiku ili koristiti naredbu pokrenite csconf_mgr aktiviraj aktivirati unaprijed definiranu politiku dopuštanja.
Zatim trebate konfigurirati adresiranje vanjskih i internih sučelja, kao i zadanu rutu. Poželjno je raditi s CS mrežnom konfiguracijom i konfigurirati enkripciju putem konzole slične Ciscu. Ova je konzola dizajnirana za unos naredbi sličnih Cisco IOS naredbama. Konfiguracija generirana pomoću konzole nalik na Cisco se zauzvrat pretvara u odgovarajuće konfiguracijske datoteke s kojima OS demoni rade. Možete ići na konzolu nalik na Cisco s konzole za administraciju pomoću naredbe konfigurirati.
Promijenite lozinke za ugrađene korisničke cscons i omogućite:
> omogućiti
Lozinka: csp (predinstalirana)
#konfiguriraj terminal
#username cscons privilege 15 secret 0 #enable secret 0 Postavljanje osnovne konfiguracije mreže:
#sučelje GigabitEthernet0/0
#ip adresa 10.111.21.3 255.255.255.0
#bez isključivanja
#sučelje GigabitEthernet0/1
#ip adresa 192.168.2.5 255.255.255.252
#bez isključivanja
#ip ruta 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Izađite iz konzole nalik na Cisco i idite u debian shell s naredbom sistem. Postavite vlastitu lozinku za korisnika korijen Tim passwd.
U svakoj kontrolnoj sobi konfiguriran je zaseban tunel za svako mjesto. Sučelje tunela je konfigurirano u datoteci / etc / network / sučelja. Uslužni program za IP tunel, uključen u predinstalirani set iproute2, odgovoran je za kreiranje samog sučelja. Naredba za kreiranje sučelja zapisana je u pre-up opciji.
Primjer konfiguracije tipičnog sučelja tunela:
auto stranica1
iface site1 inet static
adresa 192.168.1.4
mrežna maska 255.255.255.254
pre-up ip tunel add site1 mode gre local 10.111.21.3 remote 10.111.22.3 key hfLYEg^vCh6p
Obratite pozornost! Treba napomenuti da se postavke za tunelska sučelja moraju nalaziti izvan odjeljka
###netifcfg-begin###
*****
###netifcfg-end###
U suprotnom, ove će postavke biti prebrisane prilikom promjene mrežnih postavki fizičkih sučelja putem konzole slične Ciscu.
Dinamičko usmjeravanje
U S-Terra je dinamičko usmjeravanje implementirano pomoću softverskog paketa Quagga. Za konfiguraciju OSPF-a moramo omogućiti i konfigurirati demone zebra и ospfd. Zebra demon je odgovoran za komunikaciju između demona usmjeravanja i OS-a. Ospfd demon, kao što ime sugerira, odgovoran je za implementaciju OSPF protokola.
OSPF se konfigurira ili putem daemon konzole ili izravno putem konfiguracijske datoteke /etc/quagga/ospfd.conf. U datoteku se dodaju sva fizička i tunelska sučelja koja sudjeluju u dinamičkom usmjeravanju, a deklariraju se i mreže koje će se oglašavati i primati najave.
Primjer konfiguracije koju treba dodati ospfd.conf:
sučelje eth0
!
sučelje eth1
!
sučelje site1
!
sučelje site2
usmjerivač ospf
ospf id usmjerivača 192.168.2.21
mreža 192.168.1.4/31 područje 0.0.0.0
mreža 192.168.1.16/31 područje 0.0.0.0
mreža 192.168.2.4/30 područje 0.0.0.0
U ovom slučaju, adrese 192.168.1.x/31 su rezervirane za tunelske ptp mreže između stranica, adrese 192.168.2.x/30 su dodijeljene za tranzitne mreže između CS-a i rutera kernela.
Obratite pozornost! Kako biste smanjili tablicu usmjeravanja u velikim instalacijama, možete filtrirati najavu samih tranzitnih mreža pomoću konstrukcija bez redistribucije povezano ili redistribuirati povezanu mapu rute.
Nakon konfiguriranja demona, trebate promijeniti status pokretanja demona u /etc/quagga/daemons. U opcijama zebra и ospfd nema promjene u da. Pokrenite quagga daemon i postavite ga na automatsko pokretanje kada pokrenete KS naredbu update-rc.d omogući quagga.
Ako je konfiguracija GRE tunela i OSPF-a učinjena ispravno, tada bi se rute u mreži drugih mjesta trebale pojaviti na KSh i jezgrenim usmjerivačima i, stoga, nastaje mrežna povezanost između lokalnih mreža.
Šifriramo preneseni promet
Kao što je već napisano, obično kod šifriranja između stranica, specificiramo raspone IP adresa (ACL) između kojih je promet šifriran: ako su izvorna i odredišna adresa unutar tih raspona, tada je promet između njih šifriran. Međutim, u ovom projektu struktura je dinamična i adrese se mogu mijenjati. Budući da smo već konfigurirali GRE tuneliranje, možemo navesti vanjske KS adrese kao izvorišnu i odredišnu adresu za enkripciju prometa – uostalom, promet koji je već enkapsuliran GRE protokolom stiže na enkripciju. Drugim riječima, sve što ulazi u CS od lokalne mreže jedne stranice prema mrežama koje su najavile druge stranice je kriptirano. A unutar svake od stranica moguće je izvršiti bilo koje preusmjeravanje. Dakle, ako dođe do bilo kakve promjene u lokalnim mrežama, administrator treba samo modificirati obavijesti koje dolaze iz njegove mreže prema mreži i one će postati dostupne drugim stranicama.
Enkripcija u S-Terra CS-u se vrši pomoću IPSec protokola. Koristimo algoritam "Skakavac" u skladu s GOST R 34.12-2015, a za kompatibilnost sa starijim verzijama možete koristiti GOST 28147-89. Autentifikacija se tehnički može izvesti i na unaprijed definiranim ključevima (PSK) i na certifikatima. Međutim, u industrijskom radu potrebno je koristiti certifikate izdane u skladu s GOST R 34.10-2012.
Rad s certifikatima, spremnicima i CRL-ovima obavlja se pomoću uslužnog programa cert_mgr. Prije svega, pomoću naredbe cert_mgr stvoriti potrebno je generirati spremnik privatnog ključa i zahtjev za certifikat koji će biti poslan u Centar za upravljanje certifikatima. Nakon primitka certifikata, mora se uvesti zajedno s korijenskim CA certifikatom i CRL-om (ako se koristi) s naredbom uvoz cert_mgr. Pomoću naredbe možete provjeriti jesu li svi certifikati i CRL-ovi instalirani cert_mgr pokazati.
Nakon uspješne instalacije certifikata, idite na konzolu nalik na Cisco kako biste konfigurirali IPSec.
Kreiramo IKE politiku koja specificira željene algoritme i parametre sigurnog kanala koji se kreira, a koji će biti ponuđen partneru na odobrenje.
#crypto isakmp pravilo 1000
#encr gost341215k
#hash gost341112-512-tc26
#znak provjere autentičnosti
#grupa vko2
#životni vijek 3600
Ova se politika primjenjuje prilikom izgradnje prve faze IPSec-a. Rezultat uspješnog završetka prve faze je osnivanje SA (Security Association).
Zatim moramo definirati popis izvorišnih i odredišnih IP adresa (ACL) za enkripciju, generirati transformacijski skup, stvoriti kriptografsku mapu (kripto mapu) i vezati je na vanjsko sučelje CS-a.
Postavi ACL:
#ip access-list prošireno mjesto1
#permit gre host 10.111.21.3 host 10.111.22.3
Skup transformacija (isto kao i za prvu fazu, koristimo algoritam šifriranja "Skakavac" koristeći način generiranja umetka simulacije):
#crypto ipsec transform-set GOST esp-gost341215k-mac
Stvaramo kripto mapu, specificiramo ACL, skup transformacija i peer adresu:
#crypto mapa MAIN 100 ipsec-isakmp
#podudaranje adrese site1
#set transform-set GOST
#postavi peer 10.111.22.3
Kripto karticu vežemo na vanjsko sučelje blagajne:
#sučelje GigabitEthernet0/0
#ip adresa 10.111.21.3 255.255.255.0
#crypto mapa GLAVNA
Za šifriranje kanala s drugim stranicama, morate ponoviti postupak za stvaranje ACL-a i kripto kartice, mijenjajući naziv ACL-a, IP adrese i broj kripto kartice.
Obratite pozornost! Ako se ne koristi provjera certifikata CRL-om, to mora biti izričito navedeno:
#crypto pki trustpoint s-terra_technological_trustpoint
#opoziv-provjeri ništa
U ovom trenutku, postavljanje se može smatrati završenim. U izlazu naredbe konzole sličnom Cisco-u pokazati kripto isakmp sa и pokazati kripto ipsec sa Konstruirana prva i druga faza IPSec-a bi se trebale odražavati. Iste informacije mogu se dobiti pomoću naredbe sa_mgr emisija, izveden iz debian ljuske. U izlazu naredbe cert_mgr pokazati Trebali bi se pojaviti certifikati udaljenog mjesta. Status takvih potvrda bit će daljinski. Ako se tuneli ne grade, trebate pogledati zapisnik VPN usluge koji je pohranjen u datoteci /var/log/cspvpngate.log. Potpuni popis log datoteka s opisom njihovog sadržaja dostupan je u dokumentaciji.
Praćenje "zdravlja" sustava
S-Terra CC koristi standardni snmpd demon za nadzor. Osim tipičnih Linux parametara, S-Terra izvan kutije podržava izdavanje podataka o IPSec tunelima u skladu sa CISCO-IPSEC-FLOW-MONITOR-MIB, što je ono što koristimo kada nadgledamo status IPSec tunela. Također je podržana funkcionalnost prilagođenih OID-ova koji izlaze rezultate izvršavanja skripte kao vrijednosti. Ova nam značajka omogućuje praćenje datuma isteka certifikata. Napisana skripta analizira izlaz naredbe cert_mgr pokazati i kao rezultat daje broj dana do isteka lokalnih i korijenskih certifikata. Ova tehnika je nezamjenjiva kod primjene velikog broja CABG.
Koja je korist od takve enkripcije?
S-Terra KSh podržava sve gore opisane funkcije. Odnosno, nije bilo potrebe za ugradnjom dodatnih modula koji bi mogli utjecati na certifikaciju kripto pristupnika i certificiranje cjelokupnog informacijskog sustava. Mogu postojati bilo koji kanali između stranica, čak i putem interneta.
Zbog činjenice da kada se interna infrastruktura promijeni, nema potrebe za rekonfiguracijom kripto pristupnika, sustav radi kao usluga, što je vrlo zgodno za kupca: on može postaviti svoje usluge (klijent i poslužitelj) na bilo kojoj adresi, a sve promjene će se dinamički prenositi između opreme za šifriranje.
Naravno, enkripcija zbog režijskih troškova (overhead) utječe na brzinu prijenosa podataka, ali samo malo - propusnost kanala može se smanjiti za najviše 5-10%. U isto vrijeme, tehnologija je testirana i pokazala je dobre rezultate čak i na satelitskim kanalima koji su dosta nestabilni i imaju malu propusnost.
Igor Vinokhodov, inženjer 2. linije uprave Rostelecom-Solar
Izvor: www.habr.com