GOSTに従って暗号化します：動的トラフィ​​ックルーティングの設定に関するメモ

あなたの会社が、法律に従って保護される個人データやその他の機密情報をネットワーク経由で送受信する場合、GOST 暗号化を使用する必要があります。 今日は、顧客の XNUMX つで S-Terra 暗号化ゲートウェイ (CS) に基づいてこのような暗号化をどのように実装したかについて説明します。 この話は、情報セキュリティの専門家だけでなく、エンジニア、デザイナー、建築家にとっても興味深いものとなるでしょう。 この投稿では、技術的な構成の微妙な違いには深く立ち入りません。基本的なセットアップの重要なポイントについて説明します。 S-Terra のベースとなる Linux デーモンのセットアップに関する膨大な量のドキュメントは、インターネット上で無料で入手できます。 独自の S-Terra ソフトウェアを構成するためのドキュメントも、次の場所で公開されています。 ポータル メーカー。

プロジェクトについて一言

お客様のネットワーク トポロジは典型的なもので、センターとブランチの間はフル メッシュでした。 すべてのサイト間の情報交換チャネルの暗号化を導入する必要があり、そのうち 8 個ありました。

通常、このようなプロジェクトではすべてが静的です。サイトのローカル エリア ネットワークへの静的ルートはクリプト ゲートウェイ (KSH) に設定され、暗号化用の IP アドレス (ACL) のリストが規定されています。 ただし、この場合、サイトには集中管理がなく、ローカル ネットワーク内であらゆることが発生する可能性があります。ネットワークはあらゆる方法で追加、削除、変更される可能性があります。 サイトでローカル ネットワーク アドレスを変更するときに KS 上でルーティングと ACL を再構成することを回避するために、GRE トンネリングと OSPF 動的ルーティングを使用することが決定されました。これには、サイトのすべての KS とほとんどのネットワーク コア ルーターが含まれます (一部のサイトでは、インフラストラクチャ管理者が使用を好む)コア ルータ上の KSh への SNAT)。

GRE トンネリングにより、次の XNUMX つの問題が解決されました。
1. KSh の外部インターフェイスの IP アドレスを暗号化するために ACL で使用します。他のサイトに送信されるすべてのトラフィックがカプセル化されます。
2. KS 間の ptp トンネルを編成します。これにより、動的ルーティングを構成できるようになります (この例では、プロバイダー MPLS L3VPN がサイト間で編成されています)。

クライアントは、サービスとしての暗号化の実装を注文しました。 そうしないと、暗号化ゲートウェイを保守したり、何らかの組織に委託したりするだけでなく、暗号化証明書のライフサイクルを独自に監視し、適時に更新し、新しい証明書をインストールする必要があります。

そして、実際のメモ - 何をどのように設定したか

CII 件名へのメモ: 暗号化ゲートウェイのセットアップ

基本的なネットワーク設定

まず、新しい KSh を起動し、管理コンソールにアクセスします。 まず、組み込み管理者のパスワードを変更する必要があります - コマンド ユーザーのパスワードを変更する 管理者。 次に、初期化手順（コマンド）を実行する必要があります。 初期化します) この間にライセンス データが入力され、乱数発生器 (RNG) が初期化されます。

注意！ S-Terra KSh の初期化時に、Security Gateway のインターフェースがパケットを通過させないセキュリティ ポリシーが設定されます。 独自のポリシーを作成するか、次のコマンドを使用する必要があります。 csconf_mgr を実行してアクティブ化します プリインストールされた寛容ポリシーをアクティブにします。
次に、外部インターフェイスと内部インターフェイスのアドレス指定と、デフォルト ルートを構成する必要があります。 KSh ネットワーク構成と暗号化設定は、Cisco のようなコンソールを使用して操作することをお勧めします。 このコンソールは、Cisco IOS コマンドと同様のコマンドを入力するためのものです。 Cisco のようなコンソールを使用して生成された設定は、OS デーモンが動作する適切な設定ファイルに変換されます。 次のコマンドを使用して、管理コンソールから Cisco のようなコンソールに移動できます。 configure.

組み込みユーザー cscons のパスワードを変更し、以下を有効にします。

>有効にする
パスワード: csp(プリセット)
#configureterminal
#username csconsprivilege 15 secret 0 #enable secret 0 基本的なネットワーク構成をセットアップします。

#インターフェイスギガビットイーサネット0/0
#IPアドレス 10.111.21.3 255.255.255.0
#シャットダウンなし
#インターフェイスギガビットイーサネット0/1
#IPアドレス 192.168.2.5 255.255.255.252
#シャットダウンなし
#ip ルート 0.0.0.0 0.0.0.0 10.111.21.254

GRE

Cisco のようなコンソールを終了し、次のコマンドを使用して debian シェルに移動します。 　。 ユーザーに独自のパスワードを設定する ルート チーム passwd.
各 KSh では、サイトごとに別個のトンネルが構成されます。 トンネルインターフェイスはファイルで設定されます / etc / network / interfaces。 iproute2 プリインストール セットに含まれる IP トンネル ユーティリティは、インターフェイス自体の作成を担当します。 インターフェース作成コマンドはpre-upオプションに記述されます。

一般的なトンネル インターフェイスの設定例:
オートサイト1
iface site1 inet 静的
アドレス192.168.1.4
ネット255.255.255.254
プレアップ IP トンネル追加 site1 モード gre ローカル 10.111.21.3 リモート 10.111.22.3 キー hfLYEg^vCh6p

注意！ トンネルインターフェースの設定はセクションの外側に配置する必要があることに注意してください。

###netifcfg-begin###
*****
###netifcfg-end###

そうしないと、Cisco のようなコンソールを通じて物理インターフェイスのネットワーク設定を変更するときに、これらの設定が上書きされます。

動的ルーティング

S-Terra では、動的ルーティングは Quagga ソフトウェア パッケージを使用して実装されます。 OSPFを構成するには、デーモンを有効にして構成する必要があります シマウマ и ospfd。 zebra デーモンは、ルーティング デーモンと OS の間の対話を担当します。 ospfd デーモンは、名前が示すように、OSPF プロトコルの実装を担当します。
OSPF は、デーモン コンソールを通じて、または構成ファイルを通じて直接構成されます。 /etc/quagga/ospfd.conf。 動的ルーティングに参加しているすべての物理インターフェイスとトンネル インターフェイスがファイルに追加され、アドバタイズされてアナウンスを受信するネットワークが宣言されます。

追加する構成例 ospfd.conf:
インターフェイス eth0
!
インターフェイス eth1
!
インターフェースサイト1
!
インターフェースサイト2
ルーターospf
ospf ルーター ID 192.168.2.21
ネットワーク 192.168.1.4/31 エリア 0.0.0.0
ネットワーク 192.168.1.16/31 エリア 0.0.0.0
ネットワーク 192.168.2.4/30 エリア 0.0.0.0

この場合、アドレス 192.168.1.x/31 はサイト間のトンネル PTP ネットワーク用に予約され、アドレス 192.168.2.x/30 は KSh とコア ルーター間の中継ネットワーク用に予約されます。

注意！ 大規模なインストールでルーティング テーブルを削減するには、次の構成を使用してトランジット ネットワーク自体のアナウンスメントをフィルタリングできます。 再配布が接続されていません または 接続されたルートマップを再配布します.

デーモンを構成した後、デーモンの起動ステータスを次のように変更する必要があります。 /etc/quagga/デーモン。 オプションで シマウマ и ospfd 「はい」に変更はありません。 quagga デーモンを起動し、KSh がコマンドで起動するときに自動起動するように設定します。 update-rc.d quagga-enable.

GRE トンネルと OSPF が正しく設定されている場合、他のサイトのネットワーク内のルートが KSh およびコア ルーターに表示されるため、ローカル ネットワーク間のネットワーク接続が確立されます。

送信トラフィックを暗号化します

すでに述べたように、サイト間を暗号化する場合、通常、トラフィックを暗号化する IP アドレスの範囲 (ACL) を指定します。送信元アドレスと宛先アドレスがこれらの範囲に該当する場合、それらの間のトラフィックは暗号化されます。 ただし、このプロジェクトの構造は動的であり、アドレスは変更される可能性があります。 すでに GRE トンネリングを設定しているため、トラフィック暗号化の送信元および宛先アドレスとして外部 KSh アドレスを指定できます。結局のところ、GRE プロトコルによってすでにカプセル化されたトラフィックが暗号化されます。 言い換えれば、あるサイトのローカル ネットワークから KSh に入るすべてのものは、他のサイトによって発表されたネットワークの方向で暗号化されます。 また、各サイト内ではすでにリダイレクトを実行できます。 したがって、ローカル ネットワークに変更があった場合、管理者は自分のネットワークから KSh に送信されるアナウンスを変更するだけで十分であり、他のサイトでもそのアナウンスを利用できるようになります。

S-Terra KSh の暗号化は IPSec プロトコルを使用して実行されます。 GOST R 34.12-2015 に準拠した Grasshopper アルゴリズムを使用しており、古いバージョンとの互換性のために GOST 28147-89 を使用できます。 技術的には、認証は事前共有キー (PSK) と証明書の両方で実行できます。 それにもかかわらず、産業上の運用では、GOST R 34.10-2012 に従って発行された証明書を使用する必要があります。

証明書、コンテナ、CRL の操作は、ユーティリティを使用して実行されます。 証明書マネージャー。 まず、コマンドで cert_mgr 作成 秘密キー コンテナーと証明書要求を生成する必要があり、これらは証明書管理センターに送信されます。 証明書を受信したら、CA ルート証明書および CRL (使用されている場合) とともに、次のコマンドを使用してインポートする必要があります。 cert_mgr インポート。 次のコマンドを使用して、すべての証明書と CRL がインストールされていることを確認できます。 cert_mgr ショー.

証明書が正常にインストールされたら、Cisco のようなコンソールに移動して IPSec を設定します。
作成されたセキュア チャネルの必要なアルゴリズムとパラメータを指定する IKE ポリシーを作成します。これは、ネゴシエーションのためにパートナーに提供されます。

#crypto isakmp ポリシー 1000
#encr gost341215k
#ハッシュ gost341112-512-tc26
#認証サイン
#グループvko2
#生涯3600

このポリシーは、IPSec の最初のフェーズを構築するときに適用されます。 第 XNUMX フェーズが正常に完了した結果、SA (セキュリティ アソシエーション) が設立されました。
次に、暗号化用の送信元 IP アドレスと宛先 IP アドレス（ACL）のリストを定義し、トランスフォーム セットを形成し、暗号マップ（クリプト マップ）を作成して、それを KSh の外部インターフェイスにバインドする必要があります。

ACL を設定します。
#ip アクセスリスト拡張サイト 1
#permit gre ホスト 10.111.21.3 ホスト 10.111.22.3

一連の変換 (最初のフェーズと同様に、模倣挿入生成モードを使用して「Grasshopper」暗号化アルゴリズムを使用します):

#crypto ipsec トランスフォームセット GOST esp-gost341215k-mac

暗号マップを作成し、ACL、トランスフォーム セット、およびピア アドレスを指定します。

#crypto マップ メイン 100 ipsec-isakmp
#アドレスサイト1に一致
#set 変換セット GOST
#ピア10.111.22.3を設定します

クリプトマップを KSh の外部インターフェイスにバインドします。

#インターフェイスギガビットイーサネット0/0
#IPアドレス 10.111.21.3 255.255.255.0
#クリプトマップメイン

他のサイトとのチャネルを暗号化するには、ACL とクリプト マップを作成し、ACL 名、IP アドレス、およびクリプト マップ番号を変更する手順を繰り返す必要があります。

注意！ CRL による証明書検証が使用されない場合は、これを明示的に指定する必要があります。

#crypto pki トラストポイント s-terra_technological_trustpoint
#失効チェックなし

これで設定は完了したと考えられます。 Cisco のようなコンソール コマンドの出力内 暗号化 isakmp sa を表示 и 暗号化 IPsec SA を表示 構築された IPSec の第 XNUMX フェーズと第 XNUMX フェーズが反映される必要があります。 コマンドを使用して同じ情報を取得できます。 sa_mgr ショーdebian シェルから実行されます。 コマンド出力内 cert_mgr ショー リモート サイトの証明書が表示されるはずです。 そのような証明書のステータスは次のようになります。 リモート。 トンネルが構築されていない場合は、ファイルに保存されている VPN サービス ログを調べる必要があります。 /var/log/cspvpngate.log。 ログ ファイルの完全なリストとその内容の説明は、ドキュメントで参照できます。

システムの「健全性」を監視します

S-Terra KSh は、監視に標準の snmpd デーモンを使用します。 一般的な Linux パラメータに加えて、S-Terra はすぐに使用できる、CISCO-IPSEC-FLOW-MONITOR-MIB に従って IPSec トンネルでのデータの発行をサポートします。これは、IPSec トンネルのステータスを監視するために使用されます。 また、スクリプトの実行結果を値として返すカスタム OID の機能もサポートします。 この機能により、証明書の有効期限を追跡できます。 書かれたスクリプトがコマンド出力を解析する cert_mgr ショー ローカル証明書とルート証明書の有効期限が切れるまでの日数を返します。 大量のKShを投与する場合には、この技術は不可欠です。

そのような暗号化のcimusとは何ですか

上記のすべての機能は、KSh S-Terra によってそのままサポートされています。 つまり、暗号化ゲートウェイの認証や情報システム全体の認証に影響を与える可能性のある追加のモジュールをインストールする必要はありませんでした。 サイト間のチャネルは、インターネット経由でも構いません。

内部インフラストラクチャを変更する場合、暗号化ゲートウェイを再構成する必要がないという事実により、 システムはサービスとして機能しますこれは顧客にとって非常に便利です。顧客はサービス (クライアントとサーバー) を任意のアドレスに配置でき、すべての変更が暗号化装置間で動的に転送されます。

もちろん、オーバーヘッド コスト (オーバーヘッド) を犠牲にして暗号化を行うと、データ転送速度に影響しますが、チャネル スループットは最大 5 ～ 10% 低下する可能性があり、ほんのわずかです。 同時に、この技術はテストされており、かなり不安定で帯域幅が狭い衛星チャネルでも良好な結果が示されています。

イゴール・ヴィノホドフ氏、ロステレコム・ソーラー社第二管理部門のエンジニア

出所： habr.com