Егер сіздің компанияңыз желі арқылы заңға сәйкес қорғауға жататын жеке деректерді және басқа құпия ақпаратты жіберсе немесе алса, онда ГОСТ шифрлауын қолдану қажет. Бүгін біз S-Terra криптографиялық шлюзіне (CS) негізделген осындай шифрлауды тұтынушылардың бірінде қалай жүзеге асырғанымызды айтып береміз. Бұл оқиға ақпараттық қауіпсіздік мамандарын, сондай-ақ инженерлерді, дизайнерлерді және сәулетшілерді қызықтырады. Біз осы постта техникалық конфигурацияның нюанстарына терең бойлай бермейміз, біз негізгі орнатудың негізгі сәттеріне тоқталамыз. S-Terra CS негізделген Linux ОЖ демондарын орнату бойынша құжаттаманың үлкен көлемі Интернетте еркін қол жетімді. Меншікті S-Terra бағдарламалық құралын орнатуға арналған құжаттама да жалпыға қолжетімді өндіруші.
Жоба туралы бірнеше сөз
Тұтынушының желі топологиясы стандартты болды - орталық пен филиалдар арасындағы толық тор. Барлық сайттар арасында ақпарат алмасу арналарын шифрлауды енгізу қажет болды, оның ішінде 8 болды.
Әдетте мұндай жобаларда бәрі статикалық: сайттың жергілікті желісіне статикалық маршруттар криптографиялық шлюздерде (CG) орнатылады, шифрлауға арналған IP мекенжайларының (ACL) тізімдері тіркеледі. Дегенмен, бұл жағдайда сайттардың орталықтандырылған басқаруы жоқ және олардың жергілікті желілерінде кез келген нәрсе болуы мүмкін: желілерді барлық мүмкін жолмен қосуға, жоюға және өзгертуге болады. Сайттардағы жергілікті желілердің адресациясын өзгерту кезінде KS-де маршруттауды және ACL-ны қайта конфигурациялауды болдырмау үшін GRE туннельдеуін және сайттардағы желінің негізгі деңгейіндегі барлық KS және көптеген маршрутизаторларды қамтитын OSPF динамикалық маршруттауын пайдалану туралы шешім қабылданды ( кейбір тораптарда инфрақұрылым әкімшілері ядро маршрутизаторларында KS-ге қатысты SNAT-ты пайдаланғанды жөн көреді).
GRE туннельдері екі мәселені шешуге мүмкіндік берді:
1. Басқа сайттарға жіберілген барлық трафикті инкапсуляциялайтын ACL-де шифрлау үшін CS сыртқы интерфейсінің IP мекенжайын пайдаланыңыз.
2. Динамикалық маршруттауды конфигурациялауға мүмкіндік беретін CS арасында ptp туннельдерін ұйымдастырыңыз (біздің жағдайда провайдердің MPLS L3VPN тораптар арасында ұйымдастырылған).
Клиент қызмет ретінде шифрлауды енгізуге тапсырыс берді. Әйтпесе, ол криптографиялық шлюздерге қызмет көрсетуге немесе оларды қандай да бір ұйымға аутсорсингке беріп қана қоймай, шифрлау сертификаттарының өмірлік циклін өз бетінше бақылап, оларды уақытында жаңартып, жаңаларын орнатуы керек еді.
Ал енді нақты жадынама - біз қалай және нені конфигурацияладық
CII тақырыбына ескерту: криптографиялық шлюзді орнату
Негізгі желіні орнату
Ең алдымен, біз жаңа CS іске қосып, әкімшілік консоліне кіреміз. Кірістірілген әкімші құпия сөзін өзгертуден бастау керек - пәрмен пайдаланушы құпия сөзі әкімшісін өзгерту. Содан кейін инициализация процедурасын орындау керек (пәрмен баста) оның барысында лицензия деректері енгізіледі және кездейсоқ сандар сенсоры (RNS) инициализацияланады.
Назар аударыңыз! S-Terra CC инициализацияланған кезде қауіпсіздік шлюзі интерфейстері пакеттердің өтуіне мүмкіндік бермейтін қауіпсіздік саясаты орнатылады. Сіз өзіңіздің саясатыңызды жасауыңыз немесе пәрменді пайдалануыңыз керек csconf_mgr activate іске қосыңыз алдын ала анықталған рұқсат беру саясатын белсендіру.
Әрі қарай, сізге сыртқы және ішкі интерфейстердің адресациясын, сондай-ақ әдепкі маршрутты конфигурациялау қажет. CS желі конфигурациясымен жұмыс істеу және Cisco тәрізді консоль арқылы шифрлауды конфигурациялау жақсырақ. Бұл консоль Cisco IOS командаларына ұқсас пәрмендерді енгізуге арналған. Cisco тәрізді консоль арқылы жасалған конфигурация, өз кезегінде, ОЖ демондары жұмыс істейтін сәйкес конфигурация файлдарына түрлендіріледі. Әкімшілік консолінен Cisco тәрізді консольге пәрмен арқылы өтуге болады теңшейді.
Кірістірілген пайдаланушы cscons үшін құпия сөздерді өзгертіңіз және қосыңыз:
>қосу
Құпия сөз: csp (алдын ала орнатылған)
#терминалды конфигурациялау
#username cscons privilege 15 secret 0 #enable secret 0 Негізгі желі конфигурациясын орнату:
#интерфейс GigabitEthernet0/0
#ip адрес 10.111.21.3 255.255.255.0
#өшіру жоқ
#интерфейс GigabitEthernet0/1
#ip адрес 192.168.2.5 255.255.255.252
#өшіру жоқ
#ip маршрут 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Cisco тәрізді консольден шығып, пәрменмен debian қабығына өтіңіз жүйе. Пайдаланушы үшін өзіңіздің құпия сөзіңізді орнатыңыз түбір командасы passwd.
Әрбір диспетчерлік пунктте әрбір учаске үшін жеке туннель конфигурацияланады. Туннель интерфейсі файлда конфигурацияланған / etc / network / интерфейстері. Алдын ала орнатылған iproute2 жинағына кіретін IP туннельдік қызметтік бағдарламасы интерфейстің өзін жасауға жауап береді. Интерфейс жасау пәрмені алдын ала орнату опциясына жазылады.
Әдеттегі туннель интерфейсінің мысалы конфигурациясы:
автосайт1
iface site1 inet статикалық
192.168.1.4 мекенжайы
netmask 255.255.255.254
алдын ала IP туннелі қосу сайт1 режимі gre жергілікті 10.111.21.3 қашықтан 10.111.22.3 пернесі hfLYEg^vCh6p
Назар аударыңыз! Айта кету керек, туннель интерфейстерінің параметрлері секциядан тыс жерде орналасуы керек
###netifcfg-бастауы###
*****
###netifcfg-соңы###
Әйтпесе, Cisco тәрізді консоль арқылы физикалық интерфейстердің желілік параметрлерін өзгерту кезінде бұл параметрлер қайта жазылады.
Динамикалық маршруттау
S-Terra жүйесінде динамикалық маршруттау Quagga бағдарламалық пакетін қолдану арқылы жүзеге асырылады. OSPF конфигурациялау үшін демондарды қосу және конфигурациялау қажет зебра и ospfd. Зебра демоны бағыттаушы демондар мен ОЖ арасындағы байланысқа жауап береді. Ospfd демоны, аты айтып тұрғандай, OSPF протоколын енгізуге жауапты.
OSPF демон консолі арқылы немесе тікелей конфигурация файлы арқылы конфигурацияланады /etc/quagga/ospfd.conf. Динамикалық маршруттауға қатысатын барлық физикалық және туннельдік интерфейстер файлға қосылады, сонымен қатар жарнамаланатын және хабарландыруларды алатын желілер де жарияланады.
Қосылуы қажет конфигурацияның мысалы ospfd.conf:
интерфейс eth0
!
интерфейс eth1
!
интерфейс сайты 1
!
интерфейс сайты 2
маршрутизатор ospf
ospf маршрутизаторының идентификаторы 192.168.2.21
желі 192.168.1.4/31 аймағы 0.0.0.0
желі 192.168.1.16/31 аймағы 0.0.0.0
желі 192.168.2.4/30 аймағы 0.0.0.0
Бұл жағдайда 192.168.1.x/31 мекенжайлары тораптар арасындағы туннельдік ptp желілері үшін сақталған, CS және ядро маршрутизаторлары арасындағы транзиттік желілер үшін 192.168.2.x/30 мекенжайлары бөлінген.
Назар аударыңыз! Үлкен қондырғылардағы маршруттау кестесін азайту үшін конструкцияларды пайдаланып транзиттік желілердің хабарландыруларын сүзуге болады. қайта бөлу қосылмаған немесе қосылған маршрут картасын қайта бөлу.
Демондарды конфигурациялаудан кейін демондарды іске қосу күйін өзгерту керек /etc/quagga/demons. Опцияларда зебра и ospfd иә дегенге өзгеріс жоқ. Quagga демонын іске қосыңыз және KS пәрменін іске қосқан кезде оны автоматты іске қосуға орнатыңыз update-rc.d quagga қосу.
Егер GRE туннельдері мен OSPF конфигурациясы дұрыс орындалса, онда басқа тораптар желісіндегі маршруттар KSh және негізгі маршрутизаторларда пайда болуы керек және осылайша жергілікті желілер арасында желілік байланыс пайда болады.
Біз жіберілген трафикті шифрлаймыз
Бұрын жазылғандай, әдетте сайттар арасында шифрлау кезінде біз трафик шифрланатын IP мекенжай диапазондарын (ACL) көрсетеміз: егер бастапқы және тағайындалған мекенжайлар осы ауқымдарға түссе, онда олардың арасындағы трафик шифрланады. Дегенмен, бұл жобада құрылым динамикалық және мекенжайлар өзгеруі мүмкін. Біз GRE туннельдеуді конфигурациялағандықтан, біз сыртқы KS мекенжайларын трафикті шифрлау үшін бастапқы және тағайындау мекенжайлары ретінде көрсете аламыз - сайып келгенде, GRE протоколымен инкапсуляцияланған трафик шифрлауға келеді. Басқаша айтқанда, бір сайттың жергілікті желісінен басқа сайттар жариялаған желілерге дейінгі CS-ге түсетін барлық нәрсе шифрланады. Және сайттардың әрқайсысында кез келген қайта бағыттауды орындауға болады. Осылайша, егер жергілікті желілерде қандай да бір өзгеріс болса, әкімші өз желісінен желіге қарай келетін хабарландыруларды өзгертуі керек және ол басқа сайттарға қолжетімді болады.
S-Terra CS жүйесінде шифрлау IPSec хаттамасы арқылы орындалады. Біз ГОСТ R 34.12-2015 сәйкес «Шегіртке» алгоритмін қолданамыз, ал ескі нұсқалармен үйлесімділік үшін ГОСТ 28147-89 қолдануға болады. Аутентификация техникалық түрде алдын ала анықталған кілттерде (PSK) және сертификаттарда орындалуы мүмкін. Дегенмен, өнеркәсіптік пайдалануда ГОСТ Р 34.10-2012 сәйкес берілген сертификаттарды пайдалану қажет.
Сертификаттармен, контейнерлермен және CRL-мен жұмыс утилита арқылы жүзеге асырылады cert_mgr. Ең алдымен, пәрменді пайдалану cert_mgr жасау жеке кілт контейнерін және сертификатты басқару орталығына жіберілетін сертификат сұрауын жасау қажет. Куәлікті алғаннан кейін оны CA түбірлік куәлігімен және CRL (қолданылған жағдайда) пәрменімен бірге импорттау керек. cert_mgr импорты. Пәрмен арқылы барлық сертификаттар мен CRL орнатылғанына көз жеткізуге болады cert_mgr көрсету.
Сертификаттарды сәтті орнатқаннан кейін IPSec конфигурациялау үшін Cisco тәрізді консольге өтіңіз.
Біз серіктеске бекітуге ұсынылатын құрылатын қауіпсіз арнаның қажетті алгоритмдері мен параметрлерін көрсететін IKE саясатын жасаймыз.
#crypto isakmp саясаты 1000
#encr gost341215k
#хэш gost341112-512-tc26
#аутентификация белгісі
#Vko2 тобы
#өмір 3600
Бұл саясат IPSec бірінші кезеңін құру кезінде қолданылады. Бірінші кезеңнің сәтті аяқталуының нәтижесі SA (Қауіпсіздік қауымдастығы) құру болып табылады.
Әрі қарай, шифрлау үшін бастапқы және тағайындалған IP мекенжайларының (ACL) тізімін анықтау, түрлендіру жиынын генерациялау, криптографиялық картаны (криптокарта) жасау және оны CS сыртқы интерфейсімен байланыстыру керек.
ACL орнату:
#ip кіру тізімі кеңейтілген сайт1
#рұқсат gre хост 10.111.21.3 хост 10.111.22.3
Трансформациялар жинағы (бірінші кезеңдегі сияқты, біз модельдеу кірістіру генерациялау режимін пайдалана отырып, «Шегіртке» шифрлау алгоритмін қолданамыз):
#crypto ipsec түрлендіру жиынтығы ГОСТ esp-gost341215k-mac
Біз криптографиялық карта жасаймыз, ACL көрсетеміз, жиынтықты және тең мекенжайды түрлендіреміз:
#crypto map MAIN 100 ipsec-isakmp
#сәйкестік мекенжай сайты1
#set transform-set GOST
#құрдастар 10.111.22.3
Біз криптокартаны кассаның сыртқы интерфейсіне байланыстырамыз:
#интерфейс GigabitEthernet0/0
#ip адрес 10.111.21.3 255.255.255.0
#криптографиялық карта НЕГІЗГІ
Арналарды басқа сайттармен шифрлау үшін ACL және крипто картасын жасау, ACL атауын, IP мекенжайларын және криптокарта нөмірін өзгерту процедурасын қайталау керек.
Назар аударыңыз! Егер CRL сертификатын тексеру пайдаланылмаса, бұл анық көрсетілуі керек:
#crypto pki сенім нүктесі s-terra_technological_trustpoint
#қайтару-тексеру жоқ
Бұл кезде орнату аяқталды деп санауға болады. Cisco тәрізді консоль пәрменінің шығысында isakmp криптосын көрсету и крипто ipsec sa көрсету IPSec құрастырылған бірінші және екінші фазалары көрсетілуі керек. Дәл осындай ақпаратты пәрмен арқылы алуға болады sa_mgr шоуы, debian қабығынан орындалған. Пәрмен шығысында cert_mgr көрсету Қашықтағы торап сертификаттары пайда болуы керек. Мұндай сертификаттардың мәртебесі болады алыстатылған. Егер туннельдер салынбаса, файлда сақталған VPN қызмет журналын қарау керек /var/log/cspvpngate.log. Мазмұнының сипаттамасы бар журнал файлдарының толық тізімі құжаттамада қолжетімді.
Жүйенің «денсаулығын» бақылау
S-Terra CC бақылау үшін стандартты snmpd демонын пайдаланады. Әдеттегі Linux параметрлеріне қоса, S-Terra CISCO-IPSEC-FLOW-MONITOR-MIB сәйкес IPSec туннельдері туралы деректерді шығаруды қолдайды, бұл біз IPSec туннельдерінің күйін бақылау кезінде қолданатын нәрсе. Сценарийдің орындалу нәтижелерін мәндер ретінде шығаратын теңшелетін OID функцияларына да қолдау көрсетіледі. Бұл мүмкіндік сертификаттың жарамдылық мерзімін бақылауға мүмкіндік береді. Жазбаша сценарий пәрмен шығысын талдайды cert_mgr көрсету және нәтижесінде жергілікті және түбірлік куәліктердің мерзімі біткенше күндер санын береді. Бұл әдіс көптеген CABGs енгізу кезінде таптырмас.
Мұндай шифрлаудың қандай пайдасы бар?
Жоғарыда сипатталған барлық функцияларға S-Terra KSh қораптан тыс қолдау көрсетіледі. Яғни, криптографиялық шлюздерді сертификаттауға және бүкіл ақпараттық жүйені сертификаттауға әсер ететін қосымша модульдерді орнатудың қажеті болмады. Сайттар арасында, тіпті Интернет арқылы да кез келген арналар болуы мүмкін.
Ішкі инфрақұрылым өзгерген кезде криптографиялық шлюздерді қайта конфигурациялаудың қажеті жоқ болғандықтан, жүйе қызмет ретінде жұмыс істейді, бұл тұтынушы үшін өте ыңғайлы: ол өз қызметтерін (клиент пен сервер) кез келген мекенжайға орналастыра алады және барлық өзгерістер шифрлау жабдығы арасында динамикалық түрде тасымалданады.
Әрине, үстеме шығындар (үстеме шығындар) есебінен шифрлау деректерді беру жылдамдығына әсер етеді, бірақ аз ғана - арнаның өткізу қабілеті максимум 5-10% төмендеуі мүмкін. Бұл ретте технология әбден тұрақсыз және өткізу қабілеті төмен спутниктік арналарда да сынақтан өтіп, жақсы нәтиже көрсетті.
Игорь Виноходов, Ростелеком-Солар әкімшілігінің 2-ші желісінің инженері
Ақпарат көзі: www.habr.com