Ọ bụrụ na ụlọ ọrụ gị na-ebufe ma ọ bụ nata data nkeonwe yana ozi nzuzo ndị ọzọ na netwọk nke na-echekwa nchedo dịka iwu siri dị, a chọrọ iji izo ya ezo GOST. Taa, anyị ga-agwa gị otu anyị siri mejuputa ụdị nzuzo a dabere na S-Terra crypto gateway (CS) n'otu n'ime ndị ahịa. Akụkọ a ga-amasị ndị ọkachamara nchekwa ozi, yana ndị injinia, ndị na-emepụta ihe na ndị na-ese ụkpụrụ ụlọ. Anyị agaghị amaba n'ime nuances nke nhazi teknụzụ na post a; anyị ga-elekwasị anya na isi ihe nke ntọala ntọala. Nnukwu akwụkwọ maka ịtọlite Linux OS daemons, nke S-Terra CS dabere na ya, dị na ịntanetị n'efu. Akwụkwọ maka ịtọlite ngwanrọ S-Terra nke nwe ya dịkwa n'ihu ọha na ya emeputa.
Okwu ole na ole gbasara oru ngo
Topology netwọk ndị ahịa bụ ọkọlọtọ - ntupu zuru oke n'etiti etiti na alaka. Ọ dị mkpa iwebata izo ya ezo nke ọwa mgbanwe ozi n'etiti saịtị niile, nke nwere 8.
Ọtụtụ mgbe n'ime ọrụ ndị dị otú ahụ, ihe niile kwụ ọtọ: a na-edobe ụzọ static na netwọkụ mpaghara nke saịtị ahụ na ọnụ ụzọ ámá crypto (CG), ndebanye aha adreesị IP (ACL) maka izo ya ezo. Agbanyeghị, na nke a, saịtị ndị ahụ enweghị njikwa etiti, na ihe ọ bụla nwere ike ime n'ime netwọkụ mpaghara ha: enwere ike ịgbakwunye netwọkụ, ihichapụ, ma gbanwee n'ụzọ ọ bụla enwere ike. Iji zere ịhazigharị ụzọ na ACL na KS mgbe ị na-agbanwe adreesị nke netwọkụ mpaghara na saịtị ahụ, e kpebiri iji GRE tunneling na OSPF dynamic routing, nke gụnyere KS niile na ọtụtụ ndị na-anya ụgbọ ala na ọkwa netwọkụ dị na saịtị ahụ. na saịtị ụfọdụ, ndị na-ahụ maka akụrụngwa na-ahọrọ iji SNAT kwupụta KS na ndị na-anya kernel).
Ọwara GRE nyere anyị ohere idozi nsogbu abụọ:
1. Jiri adreesị IP nke mpụta interface nke CS maka izo ya ezo na ACL, nke na-ekpuchi okporo ụzọ niile ezigara na saịtị ndị ọzọ.
2. Hazie p-t-p tunnels n'etiti CBs, nke na-enye gị ohere ịtọlite ụzọ ntụgharị (n'ọnọdụ anyị, MPLS L3VPN na-eweta na-ahazi n'etiti saịtị).
Onye ahịa ahụ nyere iwu ka emejuputa ezoro ezo dị ka ọrụ. Ma ọ bụghị ya, ọ ga-abụrịrị na ọ ga-edobe ọnụ ụzọ crypto ma ọ bụ nyefee ha na ụlọ ọrụ ụfọdụ, kamakwa na-enyocha usoro ndụ nke asambodo nzuzo, megharịa ha n'oge ma wụnye ndị ọhụrụ.
Ma ugbu a n'ezie memo - otú na ihe anyị ahazi
Mara na isiokwu CII: ịtọlite ọnụ ụzọ crypto
Ntọala netwọkụ bụ isi
Nke mbụ, anyị na-ewepụta CS ọhụrụ wee banye na njikwa njikwa. Ị ga-amalite site n'ịgbanwe paswọọdụ nchịkwa arụnyere arụnyere - iwu gbanwee njikwa paswọọdụ onye ọrụ. Mgbe ahụ ịkwesịrị ịme usoro mmalite (iwu nhazi) n'oge a na-abanye data ikike ma malite ihe mmetụta ọnụọgụ ọnụọgụ (RNS).
Lezienụ anya! Mgbe etinyere S-Terra CC, e hibere amụma nchekwa nke ọnụ ụzọ ámá nchekwa anaghị ekwe ka ngwugwu gafere. Ị ga-emerịrị iwu nke gị ma ọ bụ jiri iwu ahụ Gbaa csconf_mgr rụọ ọrụ mee ka atumatu inye ohere rụọ ọrụ.
Na-esote, ịkwesịrị ịhazi adreesị adreesị nke mpụga na nke ime, yana ụzọ ndabara. Ọ ka mma ịrụ ọrụ na nhazi netwọkụ CS wee hazie izo ya ezo site na ihe njikwa dị ka Cisco. Emebere njikwa njikwa a iji tinye iwu yiri iwu Cisco IOS. Nhazi a na-eme site na iji ihe njikwa dị ka Cisco bụ, n'aka nke ya, na-atụgharị na faịlụ nhazi kwekọrọ nke OS daemons na-arụ ọrụ. Ị nwere ike ịga na Cisco-dị ka njikwa site na njikwa njikwa na iwu hazie.
Gbanwee okwuntughe maka cscon onye ọrụ arụnyere wee mee:
> nwee ike
Okwuntughe: csp (bụ nke etinyere ya)
# nhazi ọnụ
#username cscons privilege 15 secret 0 #enable secret 0 Ịmelite nhazi netwọkụ bụ isi:
# interface GigabitEthernet0/0
adreesị IP 10.111.21.3 255.255.255.0
# enweghị nkwụsị
# interface GigabitEthernet0/1
adreesị IP 192.168.2.5 255.255.255.252
# enweghị nkwụsị
#ip ụzọ 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Wepụ ihe njikwa dị ka Cisco wee gaa na shei debian na iwu usoro. Tọọ paswọọdụ nke gị maka onye ọrụ mgbọrọgwụ otu passwd.
N'ime ụlọ njikwa ọ bụla, a na-ahazi ọwara dị iche iche maka saịtị ọ bụla. A haziri interface ọwara na faịlụ ahụ / wdg / netwọk / ihu. Ọrụ ọwara IP, gụnyere na ntọala iproute2 etinyegoro, bụ maka imepụta interface ahụ n'onwe ya. Edere iwu okike interface n'ime nhọrọ tupu elu.
Nhazi ihe atụ nke interface ọwara a na-ahụkarị:
ebe akpaaka1
iface site1 inet static
Adreesị 192.168.1.4
netmask 255.255.255.254
ip tunnel tinye site1 mode gre local 10.111.21.3 remote 10.111.22.3 igodo hfLYEg^vCh6p
Lezienụ anya! Ekwesiri iburu n'uche na ntọala maka oghere ọwara ga-adịrịrị na mpụga ngalaba
###netifcfg-mmalite###
*****
###netifcfg-njedebe###
Ma ọ bụghị ya, a ga-edegharị ntọala ndị a mgbe ị na-agbanwe ntọala netwọkụ nke ihu anụ ahụ site na ihe njikwa Cisco yiri.
Ntugharị na-agbanwe agbanwe
Na S-Terra, a na-eji ngwungwu sọftụwia Quagga arụ ọrụ ịkwọ ụgbọ mmiri. Iji hazie OSPF anyị kwesịrị ime ma hazie daemons zebra и ospfd. Zebra daemon na-ahụ maka nkwukọrịta n'etiti daemons na-ebugharị na OS. Ospfd daemon, dị ka aha ahụ na-egosi, na-ahụ maka imejuputa ụkpụrụ OSPF.
A na-ahazi OSPF site na daemon console ma ọ bụ ozugbo site na faịlụ nhazi /etc/quagga/ospfd.conf. A na-agbakwunye oghere anụ ahụ na ọwara niile na-ekere òkè na ntụgharị dị ike na faịlụ ahụ, na-ekwupụtakwa netwọkụ ndị a ga-akpọsa ma nata ọkwa.
Ihe atụ nke nhazi nke kwesịrị ịgbakwunye na ospfd.conf:
interface eth0
!
interface eth1
!
saịtị interface1
!
saịtị interface2
rawụta ospf
ospf rawụta-id 192.168.2.21
netwọk 192.168.1.4/31 mpaghara 0.0.0.0
netwọk 192.168.1.16/31 mpaghara 0.0.0.0
netwọk 192.168.2.4/30 mpaghara 0.0.0.0
N'okwu a, a na-edobe adreesị 192.168.1.x/31 maka netwọk ptp ọwara n'etiti saịtị, adreesị 192.168.2.x/30 ka ekenyela maka netwọk ndị na-ebugharị n'etiti CS na kernel routers.
Lezienụ anya! Iji belata okpokoro ntụgharị na nnukwu nrụnye, ị nwere ike nyochaa ọkwa nke netwọk ndị na-ebugharị n'onwe ha site na iji ihe nrụpụta. enweghị redistribution ejikọrọ ma ọ bụ kesaa ụzọ-map ejikọrọ.
Mgbe ịhazi daemons, ịkwesịrị ịgbanwe ọkwa mmalite nke daemons na /etc/quagga/daemons. Na nhọrọ zebra и ospfd enweghị mgbanwe na ee. Bido quagga daemon wee tọọ ya ka ọ bụrụ autorun mgbe ịmalitere iwu KS update-rc.d ike.
Ọ bụrụ na a na-eme nhazi nke GRE tunnels na OSPF n'ụzọ ziri ezi, mgbe ahụ, ụzọ na netwọk nke saịtị ndị ọzọ kwesịrị ịpụta na KSh na ndị na-akwọ ụgbọ mmiri na, ya mere, njikọ netwọk n'etiti netwọk mpaghara bilitere.
Anyị ezoro ezo okporo ụzọ ebugharị
Dịka edewororịrị, ọ na-abụkarị mgbe ị na-ezoro ezo n'etiti saịtị, anyị na-akọwapụta ọnụọgụ adreesị IP (ACLs) n'etiti ebe ezoro ezoro okporo ụzọ: ọ bụrụ na adreesị isi na ebe a na-aga na-adaba na mpaghara ndị a, mgbe ahụ, okporo ụzọ dị n'etiti ha na-ezoro ezo. Otú ọ dị, n'ime oru ngo a, nhazi ahụ dị ike na adreesị nwere ike ịgbanwe. Ebe ọ bụ na anyị ahazilarị tunneling GRE, anyị nwere ike ịkọwapụta adreesị KS dị na mpụga dị ka isi mmalite na adreesị ebe ị ga-esi ezoro okporo ụzọ - ka emechara, okporo ụzọ nke GRE protocol kpuchirirị ya na-abịarute maka izo ya ezo. N'ikwu ya n'ụzọ ọzọ, ihe ọ bụla na-abanye na CS site na netwọk mpaghara nke otu saịtị gaa na netwọk nke saịtị ndị ọzọ mara ọkwa na-ezoro ezo. Na n'ime saịtị ọ bụla enwere ike ịmegharị ntụgharị ọ bụla. Ya mere, ọ bụrụ na enwere mgbanwe ọ bụla na netwọk mpaghara, onye nchịkwa kwesịrị ịgbanwe naanị ọkwa na-abịa site na netwọk ya na netwọk, ọ ga-adịkwa na saịtị ndị ọzọ.
A na-eme ihe nzuzo na S-Terra CS site na iji usoro IPSec. Anyị na-eji algorithm "Ahịhịa" dị ka GOST R 34.12-2015 si dị, na maka ndakọrịta na nsụgharị ochie ị nwere ike iji GOST 28147-89. Enwere ike ịme nyocha nke ọma na igodo eburu ụzọ kọwaa (PSK) yana asambodo. Otú ọ dị, n'ime ọrụ mmepụta ihe, ọ dị mkpa iji asambodo enyere dịka GOST R 34.10-2012 si dị.
A na-arụ ọrụ na asambodo, arịa na CRL site na iji akụrụngwa akwụkwọ_mgr. Nke mbụ, iji iwu ahụ cert_mgr mepụta ọ dị mkpa ka ịmepụta akpa igodo nzuzo na arịrịọ akwụkwọ, nke a ga-ezigara na Ụlọ Ọrụ Nlekọta Asambodo. Mgbe ị nwetachara akwụkwọ ahụ, a ga-ebubata ya na akwụkwọ mgbọrọgwụ CA na CRL (ọ bụrụ na ejiri ya) na iwu ahụ mbubata cert_mgr. Ị nwere ike hụ na ejiri iwu ahụ arụnyere asambodo na CRL niile ihe ngosi cert_mgr.
Mgbe ị wụnyechara asambodo nke ọma, gaa na ihe njikwa dị ka Cisco ka hazie IPSec.
Anyị na-emepụta amụma IKE nke na-akọwapụta algọridim chọrọ na paramita nke ọwa echekwara, nke a ga-enye onye mmekọ maka nkwado.
#crypto Isakmp amụma 1000
#encr gost341215k
#hash gost341112-512-tc26
# akara ngosi
# otu vko2
# Ndụ ndụ 3600
A na-etinye iwu a mgbe ị na-ewu akụkụ mbụ nke IPSec. Nsonaazụ nke mmecha nke ọma nke akụkụ mbụ bụ nguzobe SA (Security Association).
Ọzọ, anyị kwesịrị ịkọwapụta ndepụta isi mmalite na adreesị IP (ACL) maka izo ya ezo, mepụta nhazi mgbanwe, mepụta maapụ cryptographic (maapụ crypto) wee kechie ya na mpụga mpụga nke CS.
Tọọ ACL:
#IP nweta-ndepụta saịtị agbatịla 1
#ikike gre host 10.111.21.3 onye ọbịa 10.111.22.3
Otu mgbanwe (otu dị ka nke mbụ, anyị na-eji algorithm nzuzo "Ahịhịa" site na iji usoro ntinye ọgbọ simulation):
#crypto ipsec transform-set GOST esp-gost341215k-mac
Anyị na-emepụta map crypto, kọwaa ACL, gbanwee ntọala na adreesị ndị ọgbọ:
#crypto map MAIN 100 ipsec-isakmp
# saịtị adreesị egwuregwu 1
# setịpụrụ ihe ntụgharị GOST
# setịpụrụ ndị ọgbọ 10.111.22.3
Anyị na-ekekọta kaadị crypto na mpụga mpụga nke ndekọ ego:
# interface GigabitEthernet0/0
adreesị IP 10.111.21.3 255.255.255.0
#crypto map MAIN
Iji zoo ọwa na saịtị ndị ọzọ, ị ga-emeghachi usoro maka ịmepụta ACL na kaadị crypto, gbanwee aha ACL, adreesị IP na nọmba kaadị crypto.
Lezienụ anya! Ọ bụrụ na ejighị nkwenye nke CRL, nke a ga-akọwarịrị nke ọma:
#crypto pki trustpoint s-terra_technological_trustpoint
# mwepu-elele ọ nweghị
N'oge a, enwere ike iwere ntọlite zuo oke. Na mmepụta iwu njikwa dị ka Cisco gosi crypto isakmp sa и gosi crypto ipsec sa Ekwesịrị igosipụta akụkụ mbụ na nke abụọ e wuru nke IPSec. Enwere ike nweta otu ozi ahụ site na iji iwu ihe ngosi sa_mgr, egburu site na shei debian. Na mmepụta iwu ihe ngosi cert_mgr Asambodo saịtị dịpụrụ adịpụ kwesịrị ịpụta. Ọkwa nke asambodo ndị dị otú ahụ ga-abụ Obodo. Ọ bụrụ na a naghị arụ tunnels, ịkwesịrị ileba anya na ndekọ ọrụ VPN, nke echekwara na faịlụ ahụ /var/log/cspvpngate.log. Ndepụta faịlụ ndekọ zuru ezu nwere nkọwa nke ọdịnaya ha dị na akwụkwọ ahụ.
Nyochaa "ahụike" nke usoro ahụ
S-Terra CC na-eji ọkọlọtọ snmpd daemon maka nleba anya. Na mgbakwunye na paramita Linux ndị a na-ahụkarị, n'ime igbe S-Terra na-akwado ịnye data gbasara ọwara IPSec dịka CISCO-IPSEC-FLOW-MONITOR-MIB siri dị, nke bụ ihe anyị na-eji mgbe anyị na-elele ọkwa nke ọwara IPSec. Arụ ọrụ nke OID omenala nke na-ewepụta nsonaazụ nke mkpochapụ ederede dịka ụkpụrụ na-akwadokwa. Njirimara a na-enye anyị ohere soro ụbọchị ngafe akwụkwọ. Edemede edere na-atụgharị mmepụta iwu ihe ngosi cert_mgr na n'ihi na-enye ọnụ ọgụgụ nke ụbọchị ruo mgbe obodo na mgbọrọgwụ asambodo kubie ume. Usoro a dị mkpa mgbe ị na-elekọta ọnụ ọgụgụ buru ibu nke CABG.
Gịnị bụ uru nzuzo dị otú ahụ?
Ọrụ niile akọwara n'elu bụ nke S-Terra KSh na-akwado site na igbe ahụ. Nke ahụ bụ, ọ dịghị mkpa ịwụnye modul ọ bụla ọzọ nke nwere ike imetụta nkwenye nke ọnụ ụzọ crypto na asambodo nke usoro ozi niile. Enwere ike ịnwe ọwa ọ bụla n'etiti saịtị, ọbụlagodi na ịntanetị.
N'ihi n'eziokwu na mgbe akụrụngwa nke ime na-agbanwe, ọ dịghị mkpa ịmegharị ọnụ ụzọ crypto, usoro na-arụ ọrụ dị ka ọrụ, nke dị nnọọ mma maka onye ahịa: ọ nwere ike tinye ọrụ ya (onye ahịa na ihe nkesa) na adreesị ọ bụla, a ga-ebufe mgbanwe niile n'etiti ngwa nzuzo.
N'ezie, izo ya ezo n'ihi ụgwọ ndị dị n'elu (n'elu) na-emetụta ọsọ ọsọ data, ma ọ bụ naanị ntakịrị - ntinye ọwa nwere ike ibelata site na 5-10%. N'otu oge ahụ, a nwalere nkà na ụzụ ma gosipụta nsonaazụ dị mma ọbụna na ọwa satịlaịtị, nke na-akwụghị ụgwọ nke ukwuu ma nwee obere bandwit.
Igor Vinokhodov, engineer nke abụọ akara nchịkwa nke Rostelecom-Solar
isi: www.habr.com