ProHoster > Օրագիր > Վարչակազմը > Մենք գաղտնագրում ենք ԳՕՍՏ-ի համաձայն՝ երթևեկության դինամիկ երթուղի ստեղծելու ուղեցույց

Մենք գաղտնագրում ենք ԳՕՍՏ-ի համաձայն՝ երթևեկության դինամիկ երթուղի ստեղծելու ուղեցույց

Մենք գաղտնագրում ենք ԳՕՍՏ-ի համաձայն՝ երթևեկության դինամիկ երթուղի ստեղծելու ուղեցույց
Եթե ​​ձեր ընկերությունը փոխանցում կամ ստանում է անձնական տվյալներ և այլ գաղտնի տեղեկատվություն ցանցի միջոցով, որը ենթակա է պաշտպանության օրենքին համապատասխան, ապա պահանջվում է օգտագործել ԳՕՍՏ կոդավորումը: Այսօր մենք ձեզ կպատմենք, թե ինչպես ենք մենք իրականացրել նման գաղտնագրում S-Terra կրիպտո դարպասի (CS) հիման վրա հաճախորդներից մեկի մոտ: Այս պատմությունը կհետաքրքրի տեղեկատվական անվտանգության մասնագետներին, ինչպես նաև ինժեներներին, դիզայներներին և ճարտարապետներին։ Այս գրառման մեջ մենք չենք խորանա տեխնիկական կոնֆիգուրացիայի նրբություններին, մենք կկենտրոնանանք հիմնական տեղադրման հիմնական կետերի վրա: Ինտերնետում ազատորեն հասանելի են Linux OS դեյմոնների ստեղծման վերաբերյալ փաստաթղթերի հսկայական ծավալներ, որոնց վրա հիմնված է S-Terra CS: S-Terra ծրագրային ապահովման ստեղծման փաստաթղթերը նույնպես հասանելի են հանրությանը պորտալը արտադրող

Մի քանի խոսք նախագծի մասին

Հաճախորդի ցանցի տոպոլոգիան ստանդարտ էր՝ ամբողջական ցանց կենտրոնի և մասնաճյուղերի միջև: Անհրաժեշտ էր ներդնել տեղեկատվության փոխանակման ուղիների գաղտնագրում բոլոր կայքերի միջև, որոնցից 8-ը կար։

Սովորաբար նման նախագծերում ամեն ինչ ստատիկ է. կայքի տեղական ցանցի ստատիկ երթուղիները տեղադրվում են կրիպտո դարպասների վրա (CG), գրանցվում են գաղտնագրման համար IP հասցեների (ACL) ցուցակները: Սակայն այս դեպքում կայքերը չունեն կենտրոնացված հսկողություն, և նրանց լոկալ ցանցերի ներսում ամեն ինչ կարող է պատահել՝ ցանցերը կարելի է ամեն կերպ ավելացնել, ջնջել և փոփոխել։ Կայքերում տեղական ցանցերի հասցեավորումը փոխելիս երթուղիչի և ACL-ի վերակազմավորումից խուսափելու համար որոշվել է օգտագործել GRE թունելավորումը և OSPF դինամիկ երթուղավորումը, որը ներառում է բոլոր KS-ները և շատ երթուղիչներ ցանցի հիմնական մակարդակում կայքերում ( որոշ կայքերում ենթակառուցվածքի ադմինիստրատորները գերադասում էին օգտագործել SNAT-ը KS-ի նկատմամբ միջուկի երթուղիչների վրա):

GRE թունելավորումը մեզ թույլ տվեց լուծել երկու խնդիր.
1. Օգտագործեք CS-ի արտաքին ինտերֆեյսի IP հասցեն ACL-ում գաղտնագրման համար, որն ամփոփում է այլ կայքեր ուղարկված ողջ տրաֆիկը:
2. Կազմակերպեք ptp թունելներ CS-ների միջև, որոնք թույլ են տալիս կարգավորել դինամիկ երթուղին (մեր դեպքում, մատակարարի MPLS L3VPN-ը կազմակերպված է կայքերի միջև):

Հաճախորդը պատվիրել է գաղտնագրման իրականացումը որպես ծառայություն: Հակառակ դեպքում, նա պետք է ոչ միայն պահպանի կրիպտո դարպասները կամ դրանք փոխանցի ինչ-որ կազմակերպության, այլև ինքնուրույն վերահսկի գաղտնագրման վկայագրերի կյանքի ցիկլը, ժամանակին թարմացնի դրանք և տեղադրեր նորերը:
Մենք գաղտնագրում ենք ԳՕՍՏ-ի համաձայն՝ երթևեկության դինամիկ երթուղի ստեղծելու ուղեցույց
Եվ հիմա իրական հուշագիրը՝ ինչպես և ինչ ենք մենք կազմաձևել

Ծանոթագրություն CII առարկայի համար. կրիպտո դարպասի ստեղծում

Հիմնական ցանցի կարգավորում

Առաջին հերթին մենք գործարկում ենք նոր CS և մտնում ենք վարչակազմի վահանակ: Դուք պետք է սկսեք փոխել ներկառուցված ադմինիստրատորի գաղտնաբառը՝ հրամանը փոխել օգտվողի գաղտնաբառը ադմինիստրատորին. Այնուհետև դուք պետք է կատարեք սկզբնավորման ընթացակարգը (հրաման initialize) որի ընթացքում մուտքագրվում են լիցենզիայի տվյալները և սկզբնավորվում է պատահական թվերի սենսորը (RNS):

Ուշադրություն դարձրեք. Երբ S-Terra CC-ն սկզբնավորվում է, սահմանվում է անվտանգության քաղաքականություն, որի դեպքում անվտանգության դարպասների միջերեսները թույլ չեն տալիս փաթեթներին անցնել: Դուք կամ պետք է ստեղծեք ձեր սեփական քաղաքականությունը կամ օգտագործեք հրամանը գործարկել csconf_mgr ակտիվացնել ակտիվացնել նախապես սահմանված թույլտվության քաղաքականությունը:
Հաջորդը, դուք պետք է կարգավորեք արտաքին և ներքին ինտերֆեյսերի հասցեավորումը, ինչպես նաև լռելյայն երթուղին: Նախընտրելի է աշխատել CS ցանցի կոնֆիգուրացիայի հետ և կարգավորել կոդավորումը Cisco-ի նման վահանակի միջոցով: Այս վահանակը նախատեսված է Cisco IOS հրամաններին նման հրամաններ մուտքագրելու համար: Cisco-ի նման կոնսոլի միջոցով ստեղծված կոնֆիգուրացիան, իր հերթին, վերածվում է համապատասխան կազմաձևման ֆայլերի, որոնց հետ աշխատում են ՕՀ-ի դևերը: Դուք կարող եք գնալ Cisco-ի նման կոնսոլ ադմինիստրատիվ վահանակից հրամանի միջոցով կազմաձեւել.

Փոխեք ներկառուցված օգտվողի cscon-ների գաղտնաբառերը և միացրեք՝

>միացնել
Գաղտնաբառ՝ csp (նախապես տեղադրված)
#կարգավորել տերմինալը
#username cscons արտոնություն 15 գաղտնի 0 #enable secret 0 Ցանցի հիմնական կազմաձևի կարգավորում.

#ինտերֆեյս GigabitEthernet0/0
#ip հասցե 10.111.21.3 255.255.255.0
#անջատում չկա
#ինտերֆեյս GigabitEthernet0/1
#ip հասցե 192.168.2.5 255.255.255.252
#անջատում չկա
#ip երթուղի 0.0.0.0 0.0.0.0 10.111.21.254

GRE

Դուրս եկեք Cisco-ի նման վահանակից և հրամանով գնացեք debian shell համակարգ. Սահմանեք ձեր սեփական գաղտնաբառը օգտագործողի համար արմատ թիմը passwd.
Յուրաքանչյուր կառավարման սենյակում յուրաքանչյուր տեղամասի համար կազմաձևված է առանձին թունել: Թունելի միջերեսը կազմաձևված է ֆայլում / etc / network / ինտերֆեյս. IP թունելային ծրագիրը, որը ներառված է նախապես տեղադրված iproute2 հավաքածուի մեջ, պատասխանատու է ինքնին ինտերֆեյսի ստեղծման համար: Ինտերֆեյսի ստեղծման հրամանը գրված է նախնական տարբերակում:

Տիպիկ թունելի ինտերֆեյսի կազմաձևման օրինակ.
ավտոմատ կայք 1
iface site1 inet static
հասցեն `192.168.1.4
netmask 255.255.255.254
նախնական ip թունել ավելացնել site1 ռեժիմ gre local 10.111.21.3 հեռավոր 10.111.22.3 բանալի hfLYEg^vCh6p

Ուշադրություն դարձրեք. Հարկ է նշել, որ թունելի միջերեսների կարգավորումները պետք է տեղակայվեն հատվածից դուրս

###netifcfg-սկիզբ###
*****
###netifcfg-վերջ###

Հակառակ դեպքում, այս կարգավորումները կվերագրվեն, երբ փոխեք ֆիզիկական ինտերֆեյսերի ցանցային կարգավորումները Cisco-ի նման վահանակի միջոցով:

Դինամիկ երթուղի

S-Terra-ում դինամիկ երթուղավորումն իրականացվում է Quagga ծրագրային փաթեթի միջոցով: OSPF-ը կարգավորելու համար մենք պետք է միացնենք և կարգավորենք դևոնները զեբրա и ospfd. Զեբրա դեյմոնը պատասխանատու է երթուղային դեմոնների և ՕՀ-ի միջև հաղորդակցության համար: ospfd daemon-ը, ինչպես ենթադրում է անունը, պատասխանատու է OSPF արձանագրության իրականացման համար:
OSPF-ը կազմաձևվում է կա՛մ daemon կոնսոլի միջոցով, կա՛մ ուղղակիորեն կազմաձևման ֆայլի միջոցով /etc/quagga/ospfd.conf. Ֆայլին ավելացվում են դինամիկ երթուղիներին մասնակցող բոլոր ֆիզիկական և թունելային ինտերֆեյսները, և հայտարարագրված են նաև ցանցերը, որոնք գովազդվելու և հայտարարություններ են ստանալու։

Կազմաձևի օրինակ, որը պետք է ավելացվի ospfd.conf:
ինտերֆեյս eth0
!
ինտերֆեյս eth1
!
ինտերֆեյսի կայք 1
!
ինտերֆեյսի կայք 2
երթուղիչ ospf
ospf երթուղիչ-id 192.168.2.21
ցանց 192.168.1.4/31 տարածք 0.0.0.0
ցանց 192.168.1.16/31 տարածք 0.0.0.0
ցանց 192.168.2.4/30 տարածք 0.0.0.0

Այս դեպքում 192.168.1.x/31 հասցեները վերապահված են կայքէջերի միջև թունելային ptp ցանցերի համար, 192.168.2.x/30 հասցեները հատկացվում են CS և միջուկային երթուղիչների միջև տարանցիկ ցանցերի համար:

Ուշադրություն դարձրեք. Մեծ տեղակայանքներում երթուղային աղյուսակը նվազեցնելու համար դուք կարող եք զտել տարանցիկ ցանցերի գովազդն իրենք՝ օգտագործելով կոնստրուկցիաները: միացված վերաբաշխում չկա կամ վերաբաշխել կապակցված երթուղի-քարտեզը.

Դեմոնները կարգավորելուց հետո դուք պետք է փոխեք դևերի գործարկման կարգավիճակը /etc/quagga/demons. Ընտրանքներում զեբրա и ospfd ոչ մի փոփոխություն դեպի այո: Սկսեք quagga daemon-ը և դրեք այն autorun-ի, երբ սկսեք KS հրամանը update-rc.d quagga միացնել.

Եթե ​​GRE թունելների և OSPF-ի կոնֆիգուրացիան ճիշտ է արված, ապա այլ կայքերի ցանցում երթուղիները պետք է հայտնվեն KSh և հիմնական երթուղիչների վրա և, հետևաբար, ցանցային միացում առաջանա տեղական ցանցերի միջև:

Մենք գաղտնագրում ենք փոխանցված տրաֆիկը

Ինչպես արդեն գրվել է, սովորաբար կայքերի միջև գաղտնագրելիս մենք նշում ենք IP հասցեների միջակայքերը (ACL), որոնց միջև գաղտնագրված է երթևեկությունը. Այնուամենայնիվ, այս նախագծում կառուցվածքը դինամիկ է, և հասցեները կարող են փոխվել: Քանի որ մենք արդեն կազմաձևել ենք GRE թունելավորումը, մենք կարող ենք նշել արտաքին KS հասցեները որպես երթևեկության գաղտնագրման աղբյուր և նպատակակետ հասցեներ. ի վերջո, երթևեկությունը, որն արդեն պարփակված է GRE արձանագրությամբ, գալիս է գաղտնագրման: Այլ կերպ ասած, այն ամենը, ինչ մտնում է CS մեկ կայքի տեղական ցանցից դեպի ցանցեր, որոնք հայտարարվել են այլ կայքերի կողմից, կոդավորված է: Եվ կայքերից յուրաքանչյուրի ներսում կարող է կատարվել ցանկացած վերահղում։ Այսպիսով, եթե տեղական ցանցերում որևէ փոփոխություն լինի, ապա ադմինիստրատորին պետք է միայն փոփոխել ցանցից եկող հայտարարությունները դեպի ցանց, և այն հասանելի կդառնա այլ կայքերի համար։

S-Terra CS-ում գաղտնագրումն իրականացվում է IPSec արձանագրության միջոցով: Մենք օգտագործում ենք «Grasshopper» ալգորիթմը ԳՕՍՏ Ռ 34.12-2015-ի համաձայն, իսկ ավելի հին տարբերակների հետ համատեղելիության համար կարող եք օգտագործել ԳՕՍՏ 28147-89: Նույնականացումը տեխնիկապես կարող է իրականացվել ինչպես նախապես սահմանված ստեղների (PSK) և վկայագրերի վրա: Այնուամենայնիվ, արդյունաբերական շահագործման ընթացքում անհրաժեշտ է օգտագործել ԳՕՍՏ Ռ 34.10-2012-ի համաձայն տրված վկայագրեր:

Վկայականների, բեռնարկղերի և CRL-ների հետ աշխատելը կատարվում է կոմունալ ծրագրի միջոցով cert_mgr. Առաջին հերթին, օգտագործելով հրամանը cert_mgr ստեղծել անհրաժեշտ է ստեղծել մասնավոր բանալիների կոնտեյներ և վկայականի հարցում, որը կուղարկվի Վկայականների կառավարման կենտրոն: Վկայագիրը ստանալուց հետո այն պետք է ներմուծվի արմատային CA վկայագրի և CRL-ի (եթե օգտագործվում է) հրամանով cert_mgr ներմուծում. Հրամանով կարող եք համոզվել, որ բոլոր վկայագրերը և CRL-ները տեղադրված են cert_mgr շոու.

Վկայականները հաջողությամբ տեղադրելուց հետո անցեք Cisco-ի նման վահանակ՝ IPSec-ը կարգավորելու համար:
Մենք ստեղծում ենք IKE քաղաքականություն, որը սահմանում է ստեղծվող անվտանգ ալիքի ցանկալի ալգորիթմներն ու պարամետրերը, որոնք կառաջարկվեն գործընկերոջը հաստատման համար:

#կրիպտո isakmp քաղաքականություն 1000
#encr gost341215k
#hash gost341112-512-tc26
#նույնականացման նշան
#խումբ vko2
#ցմահ 3600

Այս քաղաքականությունը կիրառվում է IPSec-ի առաջին փուլը կառուցելիս: Առաջին փուլի հաջող ավարտի արդյունքը SA-ի (Անվտանգության ասոցիացիա) ստեղծումն է:
Հաջորդը, մենք պետք է սահմանենք սկզբնաղբյուրի և նպատակակետի IP հասցեների (ACL) ցուցակը գաղտնագրման համար, գեներացնենք փոխակերպման հավաքածու, ստեղծենք ծածկագրային քարտեզ (կրիպտո քարտեզ) և կապենք այն CS-ի արտաքին ինտերֆեյսին:

Սահմանել ACL:
#ip access-list ընդլայնված կայք1
#permit gre host 10.111.21.3 host 10.111.22.3

Փոխակերպումների մի շարք (նույնը, ինչ առաջին փուլում, մենք օգտագործում ենք «Grasshopper» գաղտնագրման ալգորիթմը, օգտագործելով սիմուլյացիոն ներդիրի ստեղծման ռեժիմը).

#crypto ipsec transform-set GOST esp-gost341215k-mac

Մենք ստեղծում ենք կրիպտո քարտեզ, նշում ենք ACL-ը, փոխակերպում ենք հավաքածուն և հասակակից հասցեները.

#կրիպտո քարտեզ ՀԻՄՆԱԿԱՆ 100 ipsec-isakmp
#match հասցեի կայք1
#set transform-set GOST
#set peer 10.111.22.3

Մենք կրիպտո քարտը կապում ենք դրամարկղի արտաքին ինտերֆեյսին.

#ինտերֆեյս GigabitEthernet0/0
#ip հասցե 10.111.21.3 255.255.255.0
#կրիպտո քարտեզ ՀԻՄՆԱԿԱՆ

Այլ կայքերի հետ ալիքները գաղտնագրելու համար դուք պետք է կրկնեք ACL և կրիպտո քարտ ստեղծելու ընթացակարգը, փոխելով ACL անունը, IP հասցեները և կրիպտո քարտի համարը:

Ուշադրություն դարձրեք. Եթե ​​վկայագրի ստուգումը CRL-ով չի օգտագործվում, սա պետք է հստակորեն նշվի.

#կրիպտո pki վստահության կետ s-terra_technological_trustpoint
#չեղյալ-ստուգել ոչ մեկը

Այս պահին կարգավորումը կարելի է համարել ավարտված: Cisco-ի նման վահանակի հրամանի ելքում ցույց տալ ծպտյալ իսակմփ սա и ցույց տալ crypto ipsec sa IPSec-ի կառուցված առաջին և երկրորդ փուլերը պետք է արտացոլվեն: Նույն տեղեկատվությունը կարելի է ձեռք բերել հրամանի միջոցով sa_mgr շոու, կատարված debian shell-ից։ Հրամանի ելքում cert_mgr շոու Հեռավոր կայքի վկայականները պետք է հայտնվեն: Նման վկայականների կարգավիճակը կլինի հեռավոր. Եթե ​​թունելներ չեն կառուցվում, դուք պետք է նայեք VPN ծառայության մատյան, որը պահվում է ֆայլում։ /var/log/cspvpngate.log. Գրանցամատյանների ամբողջական ցանկը՝ դրանց բովանդակության նկարագրությամբ, հասանելի է փաստաթղթերում:

Համակարգի «առողջության» մոնիտորինգ

S-Terra CC-ն օգտագործում է ստանդարտ snmpd դաեմոն մոնիտորինգի համար: Բացի Linux-ի տիպիկ պարամետրերից, S-Terra-ն աջակցում է IPSec թունելների վերաբերյալ տվյալների թողարկումը՝ համաձայն CISCO-IPSEC-FLOW-MONITOR-MIB-ի, ինչը մենք օգտագործում ենք IPSec թունելների կարգավիճակը վերահսկելիս: Աջակցվում է նաև սովորական OID-ների ֆունկցիոնալությունը, որոնք թողարկում են սցենարի կատարման արդյունքները որպես արժեքներ: Այս հատկությունը մեզ թույլ է տալիս հետևել վկայագրի գործողության ժամկետներին: Գրված սցենարը վերլուծում է հրամանի ելքը cert_mgr շոու և արդյունքում տալիս է օրերի քանակը, մինչև տեղական և արմատային վկայագրերի ժամկետի ավարտը: Այս տեխնիկան անփոխարինելի է մեծ քանակությամբ CABG-ների կիրառման ժամանակ:
Մենք գաղտնագրում ենք ԳՕՍՏ-ի համաձայն՝ երթևեկության դինամիկ երթուղի ստեղծելու ուղեցույց

Ո՞րն է նման գաղտնագրման առավելությունը:

Վերևում նկարագրված բոլոր գործառույթներն ապահովված են S-Terra KSh-ի կողմից: Այսինքն՝ կարիք չկար տեղադրել լրացուցիչ մոդուլներ, որոնք կարող էին ազդել կրիպտո դարպասների հավաստագրման և ամբողջ տեղեկատվական համակարգի հավաստագրման վրա։ Կայքերի միջև կարող են լինել ցանկացած ալիք, նույնիսկ ինտերնետի միջոցով:

Հաշվի առնելով այն հանգամանքը, որ երբ ներքին ենթակառուցվածքը փոխվում է, կրիպտո դարպասները վերակազմավորելու կարիք չկա, համակարգը աշխատում է որպես ծառայություն, ինչը շատ հարմար է հաճախորդի համար՝ նա կարող է իր ծառայությունները (հաճախորդ և սերվեր) տեղադրել ցանկացած հասցեում, և բոլոր փոփոխությունները դինամիկ կերպով կփոխանցվեն կոդավորման սարքավորումների միջև։

Իհարկե, վերադիր ծախսերի (օդային) պատճառով գաղտնագրումը ազդում է տվյալների փոխանցման արագության վրա, բայց միայն մի փոքր - ալիքի թողունակությունը կարող է նվազել առավելագույնը 5-10% -ով: Միևնույն ժամանակ, տեխնոլոգիան փորձարկվել և լավ արդյունքներ է ցույց տվել նույնիսկ արբանյակային ալիքների վրա, որոնք բավականին անկայուն են և ունեն ցածր թողունակություն։

Իգոր Վինոխոդով, Ռոստելեկոմ-Սոլարի կառավարման 2-րդ գծի ինժեներ

Source: www.habr.com

Добавить комментарий