Si konpayi ou a transmèt oswa resevwa done pèsonèl ak lòt enfòmasyon konfidansyèl sou rezo a ki sijè a pwoteksyon an akò ak lwa a, li oblije itilize chifreman GOST. Jodi a nou pral di w ki jan nou aplike cryptage sa yo ki baze sou pòtay kripto S-Terra (CS) nan youn nan kliyan yo. Istwa sa a pral enterese espesyalis sekirite enfòmasyon yo, ansanm ak enjenyè, konsèpteur ak achitèk. Nou pa pral plonje pwofondman nan nuans yo nan konfigirasyon teknik nan pòs sa a; nou pral konsantre sou pwen kle yo nan konfigirasyon debaz la. Gwo kantite dokiman sou konfigirasyon Linux OS demon yo, ki baze sou S-Terra CS a, yo disponib gratis sou Entènèt la. Dokimantasyon pou mete sou pye lojisyèl propriétaires S-Terra disponib tou piblikman sou manifakti.
Kèk mo sou pwojè a
Topoloji rezo kliyan an te estanda - plen may ant sant lan ak branch yo. Li te nesesè yo prezante chifreman nan chanèl echanj enfòmasyon ant tout sit, nan ki te gen 8.
Anjeneral nan pwojè sa yo tout bagay se estatik: wout estatik nan rezo lokal la nan sit la yo mete sou pòtay kript (CGs), lis adrès IP (ACLs) pou chifreman yo anrejistre. Sepandan, nan ka sa a, sit yo pa gen kontwòl santralize, epi anyen ka rive andedan rezo lokal yo: rezo yo ka ajoute, efase, ak modifye nan tout fason posib. Pou evite rekonfigirasyon routage ak ACL sou KS a lè chanje adrès rezo lokal yo nan sit yo, li te deside sèvi ak GRE tinèl ak OSPF routage dinamik, ki gen ladann tout KS ak pifò routeurs nan nivo debaz rezo a nan sit yo ( nan kèk sit, administratè enfrastrikti prefere itilize SNAT nan direksyon KS sou routeurs nwayo).
Tunnel GRE pèmèt nou rezoud de pwoblèm:
1. Sèvi ak adrès IP la nan koòdone ekstèn nan CS a pou chifreman nan ACL a, ki ankapsule tout trafik voye nan lòt sit.
2. Òganize tinèl ptp ant CS yo, ki pèmèt ou konfigirasyon routage dinamik (nan ka nou an, MPLS L3VPN founisè a òganize ant sit yo).
Kliyan an te bay lòd aplikasyon an nan chifreman kòm yon sèvis. Sinon, li ta dwe pa sèlman kenbe pòtay kriptografik oswa konfye yo bay kèk òganizasyon, men tou poukont li kontwole sik lavi a nan sètifika chifreman, renouvle yo alè epi enstale nouvo.
Epi, koulye a memo aktyèl la - ki jan ak sa nou configuré
Remak sou sijè CII la: mete kanpe yon pòtay crypto
Konfigirasyon rezo debaz
Premye a tout, nou lanse yon nouvo CS epi antre nan konsole administrasyon an. Ou ta dwe kòmanse pa chanje modpas administratè entegre a - lòd chanje administratè modpas itilizatè. Lè sa a, ou bezwen fè pwosedi inisyalizasyon an (kòmand inisyalize) pandan ki done lisans yo antre epi detèktè nimewo o aza (RNS) inisyalize.
Peye atansyon! Lè S-Terra CC inisyalize, yo etabli yon politik sekirite kote entèfas pòtay sekirite yo pa pèmèt pake yo pase. Ou dwe swa kreye pwòp politik ou oswa itilize kòmandman an kouri csconf_mgr aktive aktive yon politik ki pèmèt predefini.
Apre sa, ou bezwen configured adrès la nan entèfas ekstèn ak entèn, osi byen ke wout la default. Li pi bon pou travay ak konfigirasyon rezo CS la ak konfigirasyon chifreman atravè yon konsole ki sanble ak Cisco. Konsole sa a fèt pou antre kòmandman ki sanble ak kòmandman Cisco IOS. Konfigirasyon an ki te pwodwi lè l sèvi avèk konsole a ki sanble ak Cisco se, nan vire, konvèti nan dosye yo konfigirasyon korespondan ak ki demon yo OS travay. Ou ka ale nan konsole Cisco ki tankou nan konsole administrasyon an ak lòd la konfigirasyon.
Chanje modpas pou cscons itilizatè entegre yo epi pèmèt:
> pèmèt
Modpas: csp (preenstale)
#konfigirasyon tèminal
#username cscons privilèj 15 sekrè 0 #enable sekrè 0 Mete konfigirasyon rezo debaz la:
#koòdone GigabitEthernet0/0
#ip adrès 10.111.21.3 255.255.255.0
#pa gen fèmen
#koòdone GigabitEthernet0/1
#ip adrès 192.168.2.5 255.255.255.252
#pa gen fèmen
#ip wout 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Sòti konsole Cisco a epi ale nan koki Debian ak lòd la sistèm. Mete pwòp modpas ou pou itilizatè a rasin ekip Passwd.
Nan chak chanm kontwòl, yon tinèl separe se configuré pou chak sit. Se koòdone nan tinèl configuré nan dosye a / elatriye / rezo / interfaces. Itilite tinèl IP la, ki enkli nan seri iproute2 preinstallé a, responsab pou kreye koòdone nan tèt li. Se kòmandman an kreyasyon koòdone ekri nan opsyon nan pre-up.
Egzanp konfigirasyon yon koòdone tinèl tipik:
sit oto 1
iface site1 inet static
adrès 192.168.1.4
netmask 255.255.255.254
pre-up tinèl ip ajoute site1 mòd gre lokal 10.111.21.3 remote 10.111.22.3 kle hfLYEg^vCh6p
Peye atansyon! Li ta dwe remake ke anviwònman yo pou entèfas tinèl yo dwe lokalize deyò seksyon an
###netifcfg-begin###
*****
###netifcfg-end###
Sinon, paramèt sa yo pral ranplase lè w ap chanje paramèt rezo interfaces fizik yo atravè yon konsole ki sanble ak Cisco.
Routage dinamik
Nan S-Terra, routage dinamik aplike lè l sèvi avèk pake lojisyèl Quagga. Pou konfigirasyon OSPF nou bezwen pèmèt ak konfigirasyon demon yo zèb и ospfd. Demon zèb la responsab pou kominikasyon ant demon routage yo ak OS la. Daemon ospfd la, jan non an sijere, responsab pou aplike pwotokòl OSPF la.
OSPF konfigirasyon swa atravè konsole demon an oswa dirèkteman atravè dosye konfigirasyon an /etc/quagga/ospfd.conf. Tout koòdone fizik ak tinèl k ap patisipe nan routage dinamik yo ajoute nan fichye a, epi rezo yo pral fè piblisite ak resevwa anons yo tou deklare.
Yon egzanp nan konfigirasyon an ki bezwen ajoute nan ospfd.conf:
koòdone eth0
!
koòdone eth1
!
sit koòdone 1
!
sit koòdone 2
routeur ospf
ospf routeur-id 192.168.2.21
rezo 192.168.1.4/31 zòn 0.0.0.0
rezo 192.168.1.16/31 zòn 0.0.0.0
rezo 192.168.2.4/30 zòn 0.0.0.0
Nan ka sa a, adrès 192.168.1.x/31 yo rezève pou rezo ptp tinèl ant sit, adrès 192.168.2.x/30 yo atribye ba pou rezo transpò piblik ant CS ak routeurs nwayo.
Peye atansyon! Pou diminye tab routage nan enstalasyon gwo, ou ka filtre anons rezo transpò yo tèt yo lè l sèvi avèk konstriksyon yo. pa gen okenn redistribiye konekte oswa redistribye ki konekte wout-kat.
Apre konfigirasyon demon yo, ou bezwen chanje estati demaraj demon yo nan /etc/quagga/daemons. Nan opsyon zèb и ospfd pa gen okenn chanjman nan wi. Kòmanse demon quagga a epi mete l sou otorun lè ou kòmanse kòmandman KS la update-rc.d quagga pèmèt.
Si konfigirasyon tinèl GRE ak OSPF yo fè kòrèkteman, lè sa a wout nan rezo lòt sit yo ta dwe parèt sou KSh ak routeurs debaz yo epi, kidonk, koneksyon rezo ant rezo lokal yo rive.
Nou ankripte trafik transmèt
Jan sa te deja ekri a, anjeneral lè chifreman ant sit, nou presize seri adrès IP (ACLs) ant ki trafik yo ankripte: si adrès sous ak destinasyon yo tonbe nan chenn sa yo, Lè sa a, trafik ki genyen ant yo ankripte. Sepandan, nan pwojè sa a estrikti a se dinamik ak adrès yo ka chanje. Depi nou te deja configuré GRE tunneling, nou ka presize adrès ekstèn KS kòm adrès sous ak destinasyon pou kode trafik - apre tout, trafik ki deja ankapsule pa pwotokòl GRE a rive pou cryptage. Nan lòt mo, tout bagay ki antre nan CS a soti nan rezo lokal la nan yon sit nan direksyon pou rezo ki te anonse pa lòt sit yo chiffres. Ak nan chak nan sit yo nenpòt redireksyon ka fèt. Kidonk, si gen nenpòt chanjman nan rezo lokal yo, administratè a sèlman bezwen modifye anons ki soti nan rezo l 'nan direksyon rezo a, epi li pral vin disponib nan lòt sit.
Chidere nan S-Terra CS fèt lè l sèvi avèk pwotokòl la IPSec. Nou itilize algorithm "Grasshopper" an akò ak GOST R 34.12-2015, epi pou konpatibilite ak ansyen vèsyon ou ka itilize GOST 28147-89. Otantifikasyon ka teknikman fèt sou tou de kle predefini (PSK) ak sètifika. Sepandan, nan operasyon endistriyèl li nesesè yo sèvi ak sètifika yo bay an akò ak GOST R 34.10-2012.
Travay ak sètifika, kontenè ak CRL yo fè lè l sèvi avèk sèvis piblik la cert_mgr. Premye a tout, lè l sèvi avèk lòd la cert_mgr kreye li nesesè pou jenere yon veso kle prive ak yon demann sètifika, ki pral voye bay Sant Jesyon Sètifika. Apre ou fin resevwa sètifika a, li dwe enpòte ansanm ak sètifika rasin CA ak CRL (si yo itilize) ak kòmandman an. cert_mgr enpòte. Ou ka asire w ke tout sètifika ak CRL yo enstale ak lòd la cert_mgr montre.
Apre w fin enstale sètifika yo avèk siksè, ale nan konsole Cisco a pou konfigirasyon IPSec.
Nou kreye yon politik IKE ki espesifye algorithm yo ak paramèt yo vle nan chanèl an sekirite yo te kreye, ki pral ofri bay patnè a pou apwobasyon.
#crypto isakmp politik 1000
#encr gost341215k
#hash gost341112-512-tc26
#siy otantifikasyon
#gwoup vko2
#lavi 3600
Règleman sa a aplike lè bati premye faz IPSec. Rezilta a nan konplete avèk siksè nan premye faz la se etablisman an nan SA (Asosyasyon Sekirite).
Apre sa, nou bezwen defini yon lis adrès IP sous ak destinasyon (ACL) pou chifreman, jenere yon seri transfòmasyon, kreye yon kat kriptografik (kript kat jeyografik) ak mare li nan koòdone ekstèn nan CS la.
Mete ACL:
#ip aksè-lis pwolonje sit1
#permit gre host 10.111.21.3 host 10.111.22.3
Yon seri transfòmasyon (menm jan ak premye faz la, nou itilize algorithm chifreman "Sotrèl" lè l sèvi avèk mòd jenerasyon insert simulation):
#crypto ipsec transform-set GOST esp-gost341215k-mac
Nou kreye yon kat kriptografik, presize ACL a, transfòme seri ak adrès kanmarad:
#crypto map MAIN 100 ipsec-isakmp
#matche adrès sit1
#set transform-set GOST
#set peer 10.111.22.3
Nou mare kat kript la nan koòdone ekstèn nan kach enskripsyon an:
#koòdone GigabitEthernet0/0
#ip adrès 10.111.21.3 255.255.255.0
#crypto kat jeyografik MAIN
Pou ankripte chanèl ak lòt sit, ou dwe repete pwosedi a pou kreye yon ACL ak yon kat kript, chanje non ACL, adrès IP ak nimewo kat kript.
Peye atansyon! Si yo pa itilize verifikasyon sètifika pa CRL, sa a dwe espesifye klèman:
#crypto pki trustpoint s-terra_technological_trustpoint
#revocation-check okenn
Nan pwen sa a, konfigirasyon an ka konsidere kòm konplè. Nan Cisco-tankou konsole pwodiksyon lòd montre crypto isakmp sa и montre crypto ipsec sa Konstwi premye ak dezyèm faz IPSec ta dwe reflete. Menm enfòmasyon an ka jwenn lè l sèvi avèk kòmandman an sa_mgr montre, egzekite soti nan koki Debian. Nan pwodiksyon an kòmand cert_mgr montre Sètifika sit aleka yo ta dwe parèt. Estati sètifika sa yo pral lwen. Si tinèl yo pa bati, ou bezwen gade nan boutèy sèvis VPN, ki estoke nan dosye a /var/log/cspvpngate.log. Gen yon lis konplè dosye log ki gen yon deskripsyon sa ki disponib nan dokiman an.
Siveyans "sante" nan sistèm nan
S-Terra CC la sèvi ak demon snmpd estanda pou siveyans. Anplis de paramèt Linux tipik, soti nan bwat la S-Terra sipòte bay done sou tinèl IPSec an akò ak CISCO-IPSEC-FLOW-MONITOR-MIB la, ki se sa nou itilize lè nou kontwole estati tinèl IPSec yo. Fonksyonalite OID koutim ki bay rezilta ekzekisyon script kòm valè yo sipòte tou. Karakteristik sa a pèmèt nou swiv dat ekspirasyon sètifika yo. Script ekri a analize pwodiksyon lòd la cert_mgr montre epi kòm yon rezilta bay kantite jou jiskaske sètifika lokal yo ak rasin ekspire. Teknik sa a endispansab lè w ap administre yon gwo kantite CABG.
Ki benefis nan chifreman sa yo?
Tout fonksyonalite ki dekri anwo a sipòte soti nan bwat la pa S-Terra KSh la. Sa vle di, pa t 'gen bezwen enstale nenpòt modil adisyonèl ki ta ka afekte sètifikasyon an nan pòtay kriptografik ak sètifikasyon an nan tout sistèm enfòmasyon an. Ka gen nenpòt chanèl ant sit, menm atravè entènèt la.
Akòz lefèt ke lè enfrastrikti entèn yo chanje, pa gen okenn nesesite pou rekonfigire pòtay kriptografik yo, sistèm nan travay kòm yon sèvis, ki trè pratik pou kliyan an: li ka mete sèvis li (kliyan ak sèvè) nan nenpòt adrès, ak tout chanjman yo pral dinamik transfere ant ekipman chifreman.
Natirèlman, chifreman akòz depans anlè (anlè) afekte vitès transfè done a, men se sèlman yon ti kras - debi kanal la ka diminye pa yon maksimòm de 5-10%. An menm tan an, teknoloji a te teste ak montre bon rezilta menm sou chanèl satelit yo, ki se byen enstab epi ki gen ba Pleasant.
Igor Vinokhodov, enjenyè nan 2yèm liy administrasyon Rostelecom-Solè
Sous: www.habr.com