ProHoster > Π‘Π»ΠΎΠ³ > Administrasi > Enkripsi miturut GOST: pandhuan kanggo nyetel rute lalu lintas dinamis

Enkripsi miturut GOST: pandhuan kanggo nyetel rute lalu lintas dinamis

Enkripsi miturut GOST: pandhuan kanggo nyetel rute lalu lintas dinamis
Yen perusahaan ngirim utawa nampa data pribadhi lan informasi rahasia liyane liwat jaringan sing tundhuk pangayoman miturut hukum, iku kudu nggunakake enkripsi GOST. Dina iki kita bakal menehi pitutur marang kowe carane nindakake enkripsi kasebut adhedhasar gateway crypto S-Terra (CS) ing salah sawijining pelanggan. Crita iki bakal dadi kapentingan kanggo spesialis keamanan informasi, uga insinyur, perancang lan arsitek. Kita ora bakal nyilem kanthi jero babagan konfigurasi teknis ing postingan iki; kita bakal fokus ing poin-poin penting saka persiyapan dhasar. Dokumentasi volume akeh babagan nyetel daemon OS Linux, sing adhedhasar S-Terra CS, kasedhiya kanthi bebas ing Internet. Dokumentasi kanggo nyetel piranti lunak S-Terra kepemilikan uga kasedhiya kanggo umum portal pabrikan.

Sawetara tembung babagan proyek kasebut

Topologi jaringan pelanggan standar - bolong lengkap ing antarane pusat lan cabang. Perlu kanggo ngenalake enkripsi saluran ijol-ijolan informasi ing antarane kabeh situs, sing ana 8.

Biasane ing proyek kasebut kabeh statis: rute statis menyang jaringan lokal situs disetel ing gateway crypto (CGs), dhaptar alamat IP (ACL) kanggo enkripsi didaftar. Nanging, ing kasus iki, situs kasebut ora duwe kontrol terpusat, lan apa wae bisa kedadeyan ing jaringan lokal: jaringan bisa ditambah, dibusak, lan diowahi kanthi cara apa wae. Supaya ora reconfiguring nuntun lan ACL ing KS nalika ngganti alamat jaringan lokal ing situs, diputusake nggunakake GRE tunneling lan OSPF nuntun dinamis, kang kalebu kabeh KS lan paling router ing tingkat inti jaringan ing situs ( ing sawetara situs, administrator infrastruktur luwih seneng nggunakake SNAT menyang KS ing router kernel).

GRE tunneling ngidini kita ngrampungake rong masalah:
1. Gunakake alamat IP saka antarmuka njaba saka CS kanggo enkripsi ing ACL, kang encapsulates kabeh lalu lintas dikirim menyang situs liyane.
2. Ngatur terowongan ptp ing antarane CS, sing ngidini sampeyan ngatur rute dinamis (ing kasus kita, panyedhiya MPLS L3VPN diatur ing antarane situs kasebut).

Klien mrentahake implementasine enkripsi minangka layanan. Yen ora, dheweke kudu ora mung njaga gateway crypto utawa outsource menyang sawetara organisasi, nanging uga ngawasi siklus urip sertifikat enkripsi kanthi mandiri, gawe anyar kanthi tepat lan nginstal anyar.
Enkripsi miturut GOST: pandhuan kanggo nyetel rute lalu lintas dinamis
Lan saiki memo nyata - carane lan apa kita diatur

Cathetan kanggo subyek CII: nyetel gateway crypto

Persiyapan jaringan dhasar

Kaping pisanan, kita miwiti CS anyar lan mlebu ing konsol administrasi. Sampeyan kudu miwiti kanthi ngganti tembung sandhi administrator - printah ngganti administrator sandi pangguna. Banjur sampeyan kudu nindakake prosedur initialization (command initialize) sajrone data lisensi dilebokake lan sensor nomer acak (RNS) diwiwiti.

Ati-ati! Nalika S-Terra CC diwiwiti, kabijakan keamanan ditetepake ing antarmuka gateway keamanan ora ngidini paket bisa dilewati. Sampeyan kudu nggawe kebijakan dhewe utawa nggunakake perintah kasebut mbukak csconf_mgr ngaktifake ngaktifake kabijakan ngidini sing wis ditemtokake.
Sabanjure, sampeyan kudu ngatur alamat antarmuka eksternal lan internal, uga rute standar. Iku luwih apik kanggo bisa karo konfigurasi jaringan CS lan ngatur enkripsi liwat console Cisco-kaya. console iki dirancang kanggo ngetik printah padha Cisco IOS printah. Konfigurasi sing digawe nggunakake console kaya Cisco, banjur diowahi dadi file konfigurasi sing cocog karo daemon OS. Sampeyan bisa pindhah menyang console Cisco-kaya saka console administrasi karo printah ngatur.

Ganti tembung sandhi kanggo cscon pangguna sing dibangun lan aktifake:

> ngaktifake
Sandi: csp (prainstal)
#konfigurasi terminal
#username cscons privilege 15 rahasia 0 #aktifake rahasia 0 Nyetel konfigurasi jaringan dhasar:

#interface GigabitEthernet0/0
#Alamat IP 10.111.21.3 255.255.255.0
#ora mati
#interface GigabitEthernet0/1
#Alamat IP 192.168.2.5 255.255.255.252
#ora mati
#rute ip 0.0.0.0 0.0.0.0 10.111.21.254

GRE

Metu saka console Cisco-kaya lan pindhah menyang cangkang debian karo printah sistem. Setel sandhi sampeyan dhewe kanggo pangguna ROOT tim passwd.
Ing saben kamar kontrol, trowongan kapisah dikonfigurasi kanggo saben situs. Antarmuka trowongan dikonfigurasi ing file kasebut / etc / jaringan / antarmuka. Utilitas terowongan IP, kalebu ing set iproute2 sing wis diinstal, tanggung jawab kanggo nggawe antarmuka kasebut dhewe. Printah nggawe antarmuka ditulis ing pilihan pra-up.

Conto konfigurasi antarmuka terowongan khas:
situs otomatis1
iface site1 inet statis
alamat 192.168.1.4
netmask 255.255.255.254
terowongan ip pra-munggah nambah mode site1 gre lokal 10.111.21.3 remot 10.111.22.3 kunci hfLYEg^vCh6p

Ati-ati! Perlu dicathet yen setelan kanggo antarmuka terowongan kudu ana ing njaba bagean kasebut

###netifcfg-mulai###
*****
###netifcfg-end###

Yen ora, setelan iki bakal ditindhes nalika ngganti setelan jaringan antarmuka fisik liwat console Cisco-kaya.

Nuntun dinamis

Ing S-Terra, rute dinamis dileksanakake nggunakake paket piranti lunak Quagga. Kanggo ngatur OSPF kita kudu ngaktifake lan ngatur daemons zebra ΠΈ ospfd. Daemon zebra tanggung jawab kanggo komunikasi antarane daemon routing lan OS. Daemon ospfd, minangka jeneng tabet, tanggung jawab kanggo ngleksanakake protokol OSPF.
OSPF diatur liwat console daemon utawa langsung liwat file konfigurasi /etc/quagga/ospfd.conf. Kabeh antarmuka fisik lan terowongan sing melu rute dinamis ditambahake menyang file, lan jaringan sing bakal diiklanake lan nampa pengumuman uga diumumake.

Conto konfigurasi sing kudu ditambahake ospfd.conf:
antarmuka eth0
!
antarmuka eth1
!
situs antarmuka 1
!
situs antarmuka 2
router ospf
ospf router-id 192.168.2.21
jaringan 192.168.1.4/31 area 0.0.0.0
jaringan 192.168.1.16/31 area 0.0.0.0
jaringan 192.168.2.4/30 area 0.0.0.0

Ing kasus iki, alamat 192.168.1.x/31 dilindhungi undhang-undhang kanggo jaringan ptp trowongan antarane situs, alamat 192.168.2.x/30 diparengake kanggo jaringan transit antarane CS lan router kernel.

Ati-ati! Kanggo nyuda tabel rute ing instalasi gedhe, sampeyan bisa nyaring pariwara jaringan transit dhewe nggunakake konstruksi ora mbagekke disambungake utawa mbagekke disambungake route-map.

Sawise ngatur daemon, sampeyan kudu ngganti status wiwitan daemon ing /etc/quagga/daemons. Ing pilihan zebra ΠΈ ospfd ora owah dadi ya. Miwiti daemon quagga lan nyetel autorun nalika sampeyan miwiti printah KS nganyari-rc.d quagga ngaktifake.

Yen konfigurasi terowongan GRE lan OSPF wis rampung kanthi bener, banjur rute ing jaringan situs liyane kudu katon ing KSh lan router inti lan, kanthi mangkono, konektivitas jaringan antarane jaringan lokal muncul.

We encrypt lalu lintas ditularakΓ©

Kaya sing wis ditulis, biasane nalika ndhelik ing antarane situs, kita nemtokake kisaran alamat IP (ACL) ing antarane lalu lintas sing dienkripsi: yen alamat sumber lan tujuan ana ing kisaran kasebut, banjur lalu lintas ing antarane dheweke dienkripsi. Nanging, ing proyek iki struktur dinamis lan alamat bisa diganti. Awit kita wis ngatur tunneling GRE, kita bisa nemtokake alamat KS external minangka sumber lan alamat tujuan kanggo lalu lintas enkripsi - sawise kabeh, lalu lintas sing wis encapsulated dening protokol GRE teka kanggo enkripsi. Ing tembung liya, kabeh sing mlebu ing CS saka jaringan lokal siji situs menyang jaringan sing wis diumumake dening situs liyane dienkripsi. Lan ing saben situs, pangalihan bisa ditindakake. Dadi, yen ana owah-owahan ing jaringan lokal, administrator mung kudu ngowahi pengumuman sing teka saka jaringan menyang jaringan, lan bakal kasedhiya ing situs liyane.

Enkripsi ing S-Terra CS ditindakake kanthi nggunakake protokol IPSec. Kita nggunakake algoritma "Grasshopper" miturut GOST R 34.12-2015, lan kanggo kompatibilitas karo versi lawas sampeyan bisa nggunakake GOST 28147-89. Otentikasi sacara teknis bisa ditindakake ing kunci sing wis ditemtokake (PSK) lan sertifikat. Nanging, ing operasi industri perlu nggunakake sertifikat sing diterbitake miturut GOST R 34.10-2012.

Nggarap sertifikat, wadhah lan CRL rampung nggunakake sarana kasebut sertifikat_mgr. Kaping pisanan, nggunakake printah cert_mgr nggawe iku perlu kanggo generate wadhah kunci pribadi lan request certificate, kang bakal dikirim menyang Certificate Management Center. Sawise nampa sertifikat kasebut, kudu diimpor bebarengan karo sertifikat CA ROOT lan CRL (yen digunakake) kanthi prentah cert_mgr ngimpor. Sampeyan bisa nggawe manawa kabeh sertifikat lan CRL wis diinstal nganggo printah cert_mgr nuduhake.

Sawise kasil nginstal sertifikat, pindhah menyang console Cisco-kaya kanggo ngatur IPSec.
Kita nggawe kabijakan IKE sing nemtokake algoritma lan paramèter sing dikarepake saka saluran aman sing digawe, sing bakal ditawakake mitra kanggo disetujoni.

#crypto isakmp policy 1000
#encr gost341215k
# hash gost341112-512-tc26
#tandha otentikasi
#grup vko2
#umur 3600

Kabijakan iki ditrapake nalika mbangun tahap pertama IPSec. Asil saka sukses ngrampungake tahap pisanan yaiku panyiapan SA (Asosiasi Keamanan).
Sabanjure, kita kudu nemtokake dhaptar alamat IP sumber lan tujuan (ACL) kanggo enkripsi, ngasilake set transformasi, nggawe peta kriptografi (peta crypto) lan ikatan menyang antarmuka eksternal CS.

Setel ACL:
#ip akses-dhaftar situs lengkap1
#permit gre host 10.111.21.3 host 10.111.22.3

Sakumpulan transformasi (padha kanggo fase pisanan, kita nggunakake algoritma enkripsi "Grasshopper" nggunakake mode generasi insert simulasi):

#crypto ipsec transform-set GOST esp-gost341215k-mac

Kita nggawe peta crypto, nemtokake ACL, ngowahi set lan alamat peer:

#crypto map MAIN 100 ipsec-isakmp
#cocog alamat situs1
#set transformasi-set GOST
#set peer 10.111.22.3

Kita ngiket kertu crypto menyang antarmuka eksternal saka kasir:

#interface GigabitEthernet0/0
#Alamat IP 10.111.21.3 255.255.255.0
#crypto map UTAMA

Kanggo encrypt saluran karo situs liyane, sampeyan kudu mbaleni prosedur kanggo nggawe kertu ACL lan crypto, ngganti jeneng ACL, alamat IP lan nomer kertu crypto.

Ati-ati! Yen verifikasi sertifikat dening CRL ora digunakake, iki kudu kasebut kanthi jelas:

#crypto pki trustpoint s-terra_technological_trustpoint
#revocation-check none

Ing wektu iki, persiyapan bisa dianggep rampung. Ing output printah console Cisco-kaya nuduhake crypto isakmp sa ΠΈ nuduhake crypto ipsec sa Fase pisanan lan kapindho IPSec sing dibangun kudu dibayangke. Informasi sing padha bisa dipikolehi nggunakake printah sa_mgr nuduhake, dieksekusi saka cangkang debian. Ing output printah cert_mgr nuduhake Sertifikat situs remot kudu katon. Status sertifikat kasebut bakal dadi Remot. Yen trowongan ora dibangun, sampeyan kudu ndeleng log layanan VPN, sing disimpen ing file kasebut /var/log/cspvpngate.log. Dhaptar lengkap file log kanthi katrangan isine kasedhiya ing dokumentasi.

Ngawasi "kesehatan" sistem

S-Terra CC nggunakake daemon snmpd standar kanggo ngawasi. Saliyane paramèter Linux sing khas, metu saka kothak S-Terra ndhukung nerbitake data babagan trowongan IPSec sesuai karo CISCO-IPSEC-FLOW-MONITOR-MIB, sing digunakake nalika ngawasi status trowongan IPSec. Fungsi OID khusus sing ngasilake asil eksekusi skrip minangka nilai uga didhukung. Fitur iki ngidini kita nglacak tanggal kadaluwarsa sertifikat. Skrip ditulis parses output printah cert_mgr nuduhake lan minangka asil menehi nomer dina nganti sertifikat lokal lan ROOT kadaluwarsa. Teknik iki penting banget nalika ngatur CABG sing akeh.
Enkripsi miturut GOST: pandhuan kanggo nyetel rute lalu lintas dinamis

Apa keuntungan saka enkripsi kasebut?

Kabeh fungsi sing diterangake ing ndhuwur didhukung metu saka kothak dening S-Terra KSh. Yaiku, ora perlu nginstal modul tambahan sing bisa mengaruhi sertifikasi gateway crypto lan sertifikasi kabeh sistem informasi. Bisa uga ana saluran ing antarane situs, sanajan liwat Internet.

Amarga kasunyatan manawa nalika infrastruktur internal diganti, ora perlu ngonfigurasi ulang gateway crypto, sistem dianggo minangka layanan, sing trep banget kanggo pelanggan: dheweke bisa nyelehake layanan (klien lan server) ing sembarang alamat, lan kabeh owah-owahan bakal ditransfer kanthi dinamis antarane peralatan enkripsi.

Mesthi, enkripsi amarga biaya overhead (overhead) mengaruhi kacepetan transfer data, nanging mung rada - throughput saluran bisa nyuda maksimal 5-10%. Ing wektu sing padha, teknologi kasebut wis diuji lan nuduhake asil sing apik sanajan ing saluran satelit, sing cukup ora stabil lan bandwidth sing kurang.

Igor Vinokhodov, insinyur baris 2 administrasi Rostelecom-Solar

Source: www.habr.com

Add a comment