Ef fyrirtæki þitt sendir eða tekur við persónuupplýsingum og öðrum trúnaðarupplýsingum um netið sem eru háðar vernd í samræmi við lög, er það skylt að nota GOST dulkóðun. Í dag munum við segja þér hvernig við innleiddum slíka dulkóðun byggða á S-Terra dulritunargáttinni (CS) hjá einum af viðskiptavinunum. Þessi saga mun vekja áhuga upplýsingaöryggissérfræðinga, auk verkfræðinga, hönnuða og arkitekta. Við munum ekki kafa djúpt í blæbrigði tæknilegrar uppsetningar í þessari færslu; við munum einbeita okkur að lykilatriðum grunnuppsetningar. Mikið magn af skjölum um uppsetningu Linux OS púka, sem S-Terra CS er byggt á, er frjálst aðgengilegt á netinu. Skjöl til að setja upp sérstakt S-Terra hugbúnað er einnig aðgengilegt almenningi á framleiðanda.
Nokkur orð um verkefnið
Netkerfi viðskiptavinarins var staðlað - fullt möskva á milli miðju og útibúa. Nauðsynlegt var að taka upp dulkóðun upplýsingaskiptarása á milli allra vefsvæða, þar af voru 8 talsins.
Venjulega í slíkum verkefnum er allt kyrrstætt: truflanir leiðir til staðarnets síðunnar eru settar á dulmálsgáttir (CG), listar yfir IP tölur (ACL) fyrir dulkóðun eru skráðar. Hins vegar, í þessu tilfelli, hafa vefsvæðin ekki miðlæga stjórn og allt getur gerst innan staðarneta þeirra: hægt er að bæta við, eyða og breyta netkerfum á allan mögulegan hátt. Til þess að forðast endurstillingu leiðar og ACL á KS þegar breytt var að heimilisfangi staðarneta á stöðum var ákveðið að nota GRE göng og OSPF dynamic routing, sem inniheldur alla KS og flesta beina á netkjarnastigi á stöðvunum ( á sumum stöðum vildu innviðastjórnendur frekar nota SNAT gagnvart KS á kjarnabeinum).
GRE jarðgangagerð gerði okkur kleift að leysa tvö vandamál:
1. Notaðu IP tölu ytra viðmóts CS fyrir dulkóðun í ACL, sem umlykur alla umferð sem send er á aðrar síður.
2. Skipuleggðu ptp göng milli CSs, sem gera þér kleift að stilla kraftmikla leið (í okkar tilfelli er MPLS L3VPN þjónustuveitunnar skipulagt á milli vefsvæða).
Viðskiptavinurinn pantaði innleiðingu dulkóðunar sem þjónustu. Annars þyrfti hann ekki aðeins að viðhalda dulritunargáttum eða útvista þeim til einhverrar stofnunar, heldur einnig sjálfstætt fylgjast með líftíma dulkóðunarskírteina, endurnýja þau á réttum tíma og setja upp ný.
Og nú hið raunverulega minnisblað - hvernig og hvað við stilltum
Athugasemd um CII efni: setja upp dulritunargátt
Grunnuppsetning netkerfis
Í fyrsta lagi ræsum við nýja CS og komum inn í stjórnborðið. Þú ættir að byrja á því að breyta innbyggðu lykilorði stjórnanda - skipun breyta lykilorði notanda stjórnanda. Síðan þarftu að framkvæma frumstillingarferlið (skipun frumstilla) þar sem leyfisgögnin eru færð inn og slembitöluskynjarinn (RNS) er frumstilltur.
Borga eftirtekt! Þegar S-Terra CC er frumstillt er komið á öryggisstefnu þar sem viðmót öryggisgáttar leyfa ekki pökkum að fara í gegnum. Þú verður annað hvort að búa til þína eigin stefnu eða nota skipunina keyra csconf_mgr virkja virkja fyrirfram skilgreinda leyfisstefnu.
Næst þarftu að stilla heimilisfang ytri og innri viðmóta, sem og sjálfgefna leið. Æskilegt er að vinna með CS netstillingu og stilla dulkóðun í gegnum Cisco-líka leikjatölvu. Þessi leikjatölva er hönnuð til að slá inn skipanir svipaðar Cisco IOS skipunum. Stillingunni sem myndast með því að nota Cisco-líka leikjatölvuna er aftur á móti breytt í samsvarandi stillingarskrár sem stýrikerfispúkarnir vinna með. Þú getur farið í Cisco-líka stjórnborðið frá stjórnborðinu með skipuninni stilla.
Breyttu lykilorðum fyrir innbyggðu notandann cscons og virkjaðu:
> virkja
Lykilorð: csp (foruppsett)
#stilla flugstöð
#username cscons privilege 15 secret 0 #enable secret 0 Uppsetning grunnstillingar netkerfis:
#interface GigabitEthernet0/0
#ip tölu 10.111.21.3 255.255.255.0
#engin lokun
#interface GigabitEthernet0/1
#ip tölu 192.168.2.5 255.255.255.252
#engin lokun
#ip leið 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Farðu úr Cisco-líka vélinni og farðu í debian skelina með skipuninni kerfið. Stilltu þitt eigið lykilorð fyrir notandann rót teymið passwd.
Í hverju stjórnherbergi eru sérstök göng stillt fyrir hvern stað. Göngviðmótið er stillt í skránni / etc / net / tengi. IP göng tólið, sem er innifalið í foruppsettu iproute2 settinu, ber ábyrgð á að búa til viðmótið sjálft. Skipunin um að búa til viðmót er skrifuð inn í forstillingarvalkostinn.
Dæmi um uppsetningu á dæmigerðu gangnaviðmóti:
sjálfvirk síða1
iface site1 inet static
heimilisfang 192.168.1.4
netmaski 255.255.255.254
pre-up ip tunnel add site1 mode gre local 10.111.21.3 fjarstýring 10.111.22.3 lykill hfLYEg^vCh6p
Borga eftirtekt! Tekið skal fram að stillingar fyrir viðmót jarðganga verða að vera utan kaflans
###netifcfg-begin###
*****
###netifcfg-end###
Að öðrum kosti verður þessum stillingum skrifað yfir þegar netstillingum líkamlegra viðmóta er breytt í gegnum Cisco-líka leikjatölvu.
Dýnamísk leið
Í S-Terra er kraftmikil leið útfærð með Quagga hugbúnaðarpakkanum. Til að stilla OSPF þurfum við að virkja og stilla púka Zebra и ospfd. Zebrapúkinn ber ábyrgð á samskiptum milli leiðarpúkanna og stýrikerfisins. Ospfd púkinn, eins og nafnið gefur til kynna, er ábyrgur fyrir innleiðingu OSPF samskiptareglunnar.
OSPF er stillt annað hvort í gegnum púkaborðið eða beint í gegnum stillingarskrána /etc/quagga/ospfd.conf. Öll líkamleg og jarðgangaviðmót sem taka þátt í kraftmikilli leið er bætt við skrána og einnig er lýst yfir netkerfin sem verða auglýst og fá tilkynningar.
Dæmi um uppsetninguna sem þarf að bæta við ospfd.conf:
viðmót eth0
!
viðmót eth1
!
viðmótssíða 1
!
viðmótssíða 2
bein ospf
ospf leið-auðkenni 192.168.2.21
net 192.168.1.4/31 svæði 0.0.0.0
net 192.168.1.16/31 svæði 0.0.0.0
net 192.168.2.4/30 svæði 0.0.0.0
Í þessu tilviki eru heimilisföng 192.168.1.x/31 frátekin fyrir göng PTP net á milli staða, heimilisföngum 192.168.2.x/30 er úthlutað fyrir flutningsnet milli CS og kjarnabeina.
Borga eftirtekt! Til að draga úr leiðartöflunni í stórum uppsetningum geturðu síað tilkynningar um flutningsnetin sjálf með því að nota smíðarnar engin endurdreifing tengd eða endurdreifa tengdu leiðarkorti.
Eftir að hafa stillt púkana þarftu að breyta ræsingarstöðu púkanna í /etc/quagga/daemons. Í valmöguleikum Zebra и ospfd engin breyting á já. Ræstu quagga púkann og stilltu hann á sjálfvirka keyrslu þegar þú byrjar KS skipunina update-rc.d quagga virkja.
Ef stillingar á GRE göngum og OSPF eru gerðar á réttan hátt, ættu leiðir á neti annarra vefsvæða að birtast á KSh og kjarna leiðum og þannig myndast nettenging milli staðarneta.
Við dulkóðum senda umferð
Eins og þegar hefur verið skrifað, þá tilgreinum við venjulega IP-tölusvið (ACL) sem umferð er dulkóðuð á milli, venjulega þegar dulkóðun er á milli vefsvæða: ef uppruna- og áfangaföngin falla innan þessara sviða, þá er umferðin á milli þeirra dulkóðuð. Hins vegar í þessu verkefni er uppbyggingin kraftmikil og heimilisföng geta breyst. Þar sem við höfum þegar stillt GRE jarðgangagerð, getum við tilgreint ytri KS vistföng sem uppruna- og áfangaföng til að dulkóða umferð - þegar allt kemur til alls, þá kemur umferð sem þegar er hjúpuð af GRE samskiptareglunum til dulkóðunar. Með öðrum orðum, allt sem kemst inn í CS frá staðarneti einnar síðu í átt að netum sem hafa verið tilkynnt af öðrum síðum er dulkóðað. Og innan hverrar síðu er hægt að framkvæma hvaða tilvísun sem er. Þannig, ef einhver breyting verður á staðarnetum, þarf stjórnandinn aðeins að breyta tilkynningum sem koma frá neti hans í átt að netkerfinu og það verður aðgengilegt öðrum síðum.
Dulkóðun í S-Terra CS er framkvæmd með IPSec samskiptareglum. Við notum „Grasshopper“ reikniritið í samræmi við GOST R 34.12-2015, og fyrir samhæfni við eldri útgáfur geturðu notað GOST 28147-89. Auðkenning er tæknilega hægt að framkvæma á bæði fyrirfram skilgreindum lyklum (PSK) og vottorðum. Hins vegar, í iðnaðarrekstri, er nauðsynlegt að nota vottorð gefin út í samræmi við GOST R 34.10-2012.
Vinna með skírteini, gáma og CRL er gert með því að nota tólið vottorð_mgr. Fyrst af öllu, með því að nota skipunina cert_mgr búa til það er nauðsynlegt að búa til einkalykilílát og vottorðsbeiðni, sem verður send til skírteinastjórnunarmiðstöðvarinnar. Eftir að hafa fengið vottorðið verður að flytja það inn ásamt rót CA vottorðinu og CRL (ef það er notað) með skipuninni cert_mgr innflutningur. Þú getur gengið úr skugga um að öll vottorð og CRL séu uppsett með skipuninni cert_mgr sýning.
Eftir að hafa sett upp vottorðin skaltu fara í Cisco-líka stjórnborðið til að stilla IPSec.
Við búum til IKE-stefnu sem tilgreinir æskilega reiknirit og færibreytur öruggrar rásar sem verið er að búa til, sem verður boðin samstarfsaðilanum til samþykkis.
#crypto isakmp stefna 1000
#encr gost341215k
#hash gost341112-512-tc26
#auðkenningarmerki
#hópur vko2
#líftími 3600
Þessari stefnu er beitt þegar fyrsta áfanga IPSec er smíðað. Niðurstaðan af því að fyrsta áfangann er farsæll er stofnun SA (Security Association).
Næst þurfum við að skilgreina lista yfir uppruna- og áfangastað IP tölur (ACL) fyrir dulkóðun, búa til umbreytingarsett, búa til dulmálskort (dulkóðunarkort) og binda það við ytra viðmót CS.
Stilltu ACL:
#ip aðgangslista útvíkkuð síða1
#permit gre gestgjafi 10.111.21.3 gestgjafi 10.111.22.3
Safn umbreytinga (sama og fyrir fyrsta áfanga, við notum „Grasshopper“ dulkóðunaralgrímið með því að nota uppgerð innsetningarstillingar):
#crypto ipsec umbreytingarsett GOST esp-gost341215k-mac
Við búum til dulmálskort, tilgreinum ACL, umbreytingarsett og jafningjavistfang:
#crypto map MAIN 100 ipsec-isakmp
#match heimilisfang síða1
#setja umbreytingarsett GOST
#sett jafningi 10.111.22.3
Við bindum dulritunarkortið við ytra viðmót sjóðsins:
#interface GigabitEthernet0/0
#ip tölu 10.111.21.3 255.255.255.0
#crypto kort AÐALA
Til að dulkóða rásir með öðrum síðum verður þú að endurtaka ferlið við að búa til ACL og dulritunarkort, breyta ACL nafni, IP tölum og dulritunarkortanúmeri.
Borga eftirtekt! Ef vottorðsstaðfesting með CRL er ekki notuð verður þetta að vera sérstaklega tilgreint:
#crypto pki trustpoint s-terra_technological_trustpoint
#afturköllun-athugaðu ekkert
Á þessum tímapunkti getur uppsetningin talist lokið. Í Cisco-eins vélinni stjórn framleiðsla sýna crypto isakmp sa и sýna crypto ipsec sa Uppbyggður fyrsti og annar áfangi IPSec ætti að endurspeglast. Sömu upplýsingar er hægt að fá með skipuninni sa_mgr sýna, keyrt úr debian skel. Í stjórn úttak cert_mgr sýning Fjarlæg síðuvottorð ættu að birtast. Staða slíkra skírteina verður fjarlægur. Ef ekki er verið að byggja göng þarftu að skoða VPN þjónustuskrána sem er geymdur í skránni /var/log/cspvpngate.log. Heildarlisti yfir annálaskrár með lýsingu á innihaldi þeirra er að finna í skjölunum.
Eftirlit með „heilsu“ kerfisins
S-Terra CC notar staðlaða snmpd púkann til að fylgjast með. Til viðbótar við dæmigerða Linux breytur, styður S-Terra út úr kassanum útgáfu gagna um IPSec göng í samræmi við CISCO-IPSEC-FLOW-MONITOR-MIB, sem er það sem við notum þegar við vöktum stöðu IPSec ganganna. Virkni sérsniðinna OIDs sem gefa út niðurstöður handritsframkvæmdar sem gildi er einnig studd. Þessi eiginleiki gerir okkur kleift að fylgjast með gildistíma vottorða. Skrifaða handritið flokkar skipanaúttakið cert_mgr sýning og gefur þar af leiðandi fjölda daga þar til staðbundin og rótarskírteini renna út. Þessi tækni er ómissandi þegar verið er að gefa mikinn fjölda CABG.
Hver er ávinningurinn af slíkri dulkóðun?
Öll virkni sem lýst er hér að ofan er studd strax af S-Terra KSh. Það er, það var engin þörf á að setja upp neinar viðbótareiningar sem gætu haft áhrif á vottun dulritunargátta og vottun alls upplýsingakerfisins. Það geta verið hvaða rásir sem er á milli vefsvæða, jafnvel í gegnum internetið.
Vegna þess að þegar innri innviðir breytast er engin þörf á að endurstilla dulritunargáttir, kerfið virkar sem þjónusta, sem er mjög þægilegt fyrir viðskiptavininn: hann getur sett þjónustu sína (viðskiptavin og netþjón) á hvaða heimilisföng sem er og allar breytingar verða fluttar á virkan hátt á milli dulkóðunarbúnaðar.
Auðvitað hefur dulkóðun vegna kostnaðar (overhead) áhrif á gagnaflutningshraða, en aðeins lítillega - rásafköst geta að hámarki minnkað um 5-10%. Á sama tíma hefur tæknin verið prófuð og sýnt góðan árangur jafnvel á gervihnattarásum, sem eru frekar óstöðugar og hafa litla bandbreidd.
Igor Vinokhodov, verkfræðingur í 2. línu stjórnsýslu Rostelecom-Solar
Heimild: www.habr.com