Ger pargîdaniya we daneyên kesane û agahdariyên din ên nepenî li ser torê ku li gorî qanûnê di bin parastinê de ye veguhezîne an distîne, pêdivî ye ku şîfrekirina GOST bikar bîne. Îro em ê ji we re vebêjin ka me çawa şîfrekirinek wusa li ser bingeha deriyê krîptoya S-Terra (CS) li yek ji xerîdaran bicîh kir. Ev çîrok dê ji pisporên ewlehiya agahdariyê, û hem jî endezyar, sêwiraner û mîmaran re balkêş be. Em ê di vê postê de hûrguliyên veavakirina teknîkî kûr neçin; em ê li ser xalên sereke yên sazkirina bingehîn bisekinin. Berhemên pir mezin ên belgeyên li ser sazkirina şeytanên Linux OS, ku S-Terra CS li ser bingeha wan e, li ser Înternetê bi serbestî têne peyda kirin. Belgekirina ji bo sazkirina nermalava xwedan S-Terra jî li ser gelemperî heye çêker.
Çend gotin li ser projeyê
Topolojiya torê ya xerîdar standard bû - tevna navend û şaxan. Pêwîst bû ku di navbera hemî malperan de, ku 8 jê hebûn, şîfrekirina kanalên danûstendina agahdarî were danîn.
Bi gelemperî di projeyên weha de her tişt statîk e: rêyên statîk ên tora herêmî ya malperê li ser dergehên krîpto (CG) têne danîn, navnîşên navnîşanên IP-yê (ACL) ji bo şîfrekirinê têne tomar kirin. Lêbelê, di vê rewşê de, malper ne xwedan kontrola navendî ne, û her tişt dikare di hundurê torên wan ên herêmî de biqewime: torên dikarin bi her awayê gengaz werin zêdekirin, jêbirin û guheztin. Ji bo ku ji nû veavakirina rê û ACL-ê li ser KS-ê dema ku navnîşana torên herêmî li malperan diguhezîne, biryar hat girtin ku tunekirina GRE û rêça dînamîkî ya OSPF-ê were bikar anîn, ku hemî KS û piraniya rêweran di asta bingehîn a torê de li malperan vedihewîne ( li hin malperan, rêvebirên binesaziyê tercîh dikin ku SNAT-ê ji KS-ê re li ser routerên kernel bikar bînin).
Tunela GRE destûr da me ku em du pirsgirêkan çareser bikin:
1. Ji bo şîfrekirina di ACL-ê de navnîşana IP-ya navbeynkariya derveyî ya CS-ê bikar bînin, ku hemî seyrûsefera ku ji malperên din re hatî şandin vedihewîne.
2. Di navbera CB-yan de tunelên p-t-p organîze bikin, ku dihêle hûn rêgezek dînamîkî saz bikin (di doza me de, pêşkêşker MPLS L3VPN di navbera malperan de tê organîze kirin).
Xerîdar pêkanîna şîfrekirinê wekî karûbar ferman kir. Wekî din, ew neçar e ku ne tenê deriyên krîptoyê bidomîne an wan ji hin rêxistinê re peyda bike, lê di heman demê de serbixwe jî çerxa jiyanê ya sertîfîkayên şîfrekirinê bişopîne, wan di wextê xwe de nû bike û yên nû saz bike.
Û naha bîranîna rastîn - me çawa û çi mîheng kir
Nîşe ji bo mijara CII: sazkirina dergehek krîpto
Sazkirina torê ya bingehîn
Berî her tiştî, em CS-yek nû dest pê dikin û têkevin konsolê rêveberiyê. Divê hûn bi guheztina şîfreya rêveberê ya çêkirî - ferman dest pê bikin rêveberê şîfreya bikarhêner biguherînin. Dûv re hûn hewce ne ku pêvajoya destpêkirinê (ferman destpêkirin) di dema ku daneya lîsansê tête navnîş kirin û senora jimareya rasthatî (RNS) dest pê dike.
Bawer bike! Dema ku S-Terra CC dest pê dike, polîtîkayek ewlehiyê tête saz kirin ku tê de navberên deriyê ewlehiyê nahêlin pakêt derbas bibin. Divê hûn polîtîkaya xwe biafirînin an jî fermanê bikar bînin csconf_mgr çalak bike sîyaseta destûrek ji berê diyarkirî çalak bikin.
Dûv re, hûn hewce ne ku navnîşana navgînên derveyî û hundurîn, û her weha riya xwerû mîheng bikin. Vebijêrk e ku hûn bi veavakirina torê CS re bixebitin û şîfrekirinê bi navgîniya konsolek mîna Cisco-yê vesaz bikin. Ev konsol hatiye dîzaynkirin ku emrên mîna fermanên Cisco IOS têkevin. Veavakirina ku bi karanîna konsolê-mîna Cisco-yê hatî çêkirin, di encamê de, vediguhezîne pelên vesazkirinê yên têkildar ên ku şeytanên OS-ê pê re dixebitin. Hûn dikarin ji konsolê rêveberiyê bi fermanê biçin konsolê wekî Cisco configures.
Şîfreyên ji bo csconên bikarhêner ên çêkirî biguherînin û çalak bikin:
> çalak bike
Şîfre: csp (pêşsazkirî)
#termînalê mîheng bike
#username cscons privilege 15 veşartî 0 #nepenî çalak bike 0 Veavakirina torê ya bingehîn saz bike:
#interface GigabitEthernet0/0
#IP navnîşana 10.111.21.3 255.255.255.0
#ne girtin
#interface GigabitEthernet0/1
#IP navnîşana 192.168.2.5 255.255.255.252
#ne girtin
#ip route 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Ji konsolê-mîna Cisco-yê derkevin û bi fermanê biçin şêlê debian sîstem. Ji bo bikarhêner şîfreya xwe saz bikin reh kom pispor.
Li her jûreya kontrolê, ji bo her malperê tunelek cûda tê mîheng kirin. Têkiliya tunelê di pelê de tête mîheng kirin / etc / network / interfaces. Karûbarên tunela IP-yê, ku di nav koma iproute2-ya pêş-sazkirî de tête navandin, berpirsiyariya afirandina navberê bixwe ye. Fermana çêkirina navberê di vebijarka pêş-up de tê nivîsandin.
Mînak veavakirina navberek tunelê ya tîpîk:
malpera otomatîk1
iface site1 inet statîk
navnîşan 192.168.1.4
maska net 255.255.255.254
ip-tunela pêş-up lê zêde bike moda site1 gre herêmî 10.111.21.3 dûr 10.111.22.3 key hfLYEg^vCh6p
Bawer bike! Pêdivî ye ku were zanîn ku mîhengên ji bo pêwendiyên tunelê divê li derveyî beşê bin
###netifcfg-destpêkirin###
*****
###netifcfg-end###
Wekî din, dema ku mîhengên torê yên navrûyên laşî bi navgîniya konsolek mîna Cisco-yê biguhezînin dê ev mîheng werin nivîsandin.
Rêvekirina dînamîk
Di S-Terra de, rêveçûna dînamîkî bi karanîna pakêta nermalava Quagga ve tête bicîh kirin. Ji bo veavakirina OSPF-ê pêdivî ye ku em şeytan çalak bikin û mîheng bikin hespê belek и ospfd. Zebra daemon berpirsiyariya danûstendina di navbera şeytanên rêvekirinê û OS-ê de ye. Daemon ospfd, wekî ku ji navê xwe diyar dike, berpirsiyariya pêkanîna protokola OSPF ye.
OSPF bi navgîniya konsolê daemon an rasterast bi pelê veavakirinê ve tê mîheng kirin /etc/quagga/ospfd.conf. Hemî navgînên fîzîkî û tunelê yên ku beşdarî rêgezkirina dînamîkî dibin li pelê têne zêdekirin, û torên ku dê bêne reklam kirin û ragihandinan bistînin jî têne ragihandin.
Mînakek veavakirina ku pêdivî ye lê were zêdekirin ospfd.conf:
pêwendiya eth0
!
pêwendiya eth1
!
malpera navberê1
!
malpera navberê2
ospf router
ospf router-id 192.168.2.21
tora 192.168.1.4/31 qada 0.0.0.0
tora 192.168.1.16/31 qada 0.0.0.0
tora 192.168.2.4/30 qada 0.0.0.0
Di vê rewşê de, navnîşanên 192.168.1.x/31 ji bo torên ptp yên tunelê yên di navbera malperan de têne veqetandin, navnîşanên 192.168.2.x/30 ji bo torên veguheztinê yên di navbera rêgezên CS û kernel de têne veqetandin.
Bawer bike! Ji bo kêmkirina tabloya rêvekirinê di sazgehên mezin de, hûn dikarin reklama torên veguhastinê bixwe bi karanîna avahiyan fîlter bikin. ne ji nû ve belav kirin girêdayî an nexşeya rê-girêdayî ji nû ve belav bike.
Piştî mîhengkirina daemonan, hûn hewce ne ku statûya destpêkirina daemonan tê de biguhezînin /etc/quagga/daemon. Di vebijarkan de hespê belek и ospfd tu guhertin ji bo erê. Dema ku hûn fermana KS-ê dest pê bikin quagga daemon dest pê bikin û wê saz bikin ku bixweber bike update-rc.d quagga çalak bike.
Ger veavakirina tunelên GRE û OSPF rast were kirin, wê hingê divê rêçên di tora malperên din de li ser KSh û rêgezên bingehîn xuya bibin û, bi vî rengî, girêdana torê di navbera torên herêmî de çêdibe.
Em seyrûsefera hatî şandin şîfre dikin
Wekî ku jixwe hatî nivîsandin, bi gelemperî dema şîfrekirina di navbera malperan de, em rêzikên navnîşana IP-yê (ACL) yên ku di navbera wan de seyrûsefera şîfrekirî ye diyar dikin: heke navnîşanên çavkanî û mebest di van rêzan de bin, wê hingê seyrûsefera di navbera wan de tê şîfre kirin. Lêbelê, di vê projeyê de avahî dînamîk e û dibe ku navnîşan biguhere. Ji ber ku me berê tunekirina GRE-ê mîheng kiriye, em dikarin navnîşanên KS yên derveyî wekî navnîşanên çavkanî û mebestê ji bo şîfrekirina seyrûseferê diyar bikin - her tiştî, seyrûsefera ku jixwe ji hêla protokola GRE ve hatî vegirtin ji bo şîfrekirinê tê. Bi gotineke din, her tiştê ku ji tora herêmî ya yek malperê berbi torên ku ji hêla malperên din ve hatine ragihandin di CS-yê de tê şîfrekirin. Û di nav her yek ji malperan de her verastkirin dikare were kirin. Bi vî rengî, heke di torên herêmî de guherînek çêbibe, rêveber tenê hewce dike ku daxuyaniyên ku ji tora xwe ber bi torê ve têne biguhezîne, û ew ê ji malperên din re peyda bibe.
Şîfrekirin di S-Terra CS de bi karanîna protokola IPSec ve tête kirin. Em algorîtmaya "Grasshopper" li gorî GOST R 34.12-2015 bikar tînin, û ji bo lihevhatina bi guhertoyên kevn re hûn dikarin GOST 28147-89 bikar bînin. Nasname ji hêla teknîkî ve hem li ser bişkojkên pêşwext (PSK) hem jî li ser sertîfîkayan dikare were kirin. Lêbelê, di xebata pîşesaziyê de pêdivî ye ku sertîfîkayên ku li gorî GOST R 34.10-2012 hatine derxistin bikar bînin.
Karkirina bi sertîfîkayan, konteynir û CRL-an re bi karanîna karûbar re tête kirin cert_mgr. Berî her tiştî, emrê bikar bînin cert_mgr biafirîne Pêdivî ye ku konteynerek mifteya taybet û daxwaznameyek sertîfîkayê were çêkirin, ku dê ji Navenda Rêvebiriya Sertîfîkayê re were şandin. Piştî wergirtina sertîfîkayê, pêdivî ye ku ew digel sertîfîkaya CA ya root û CRL (heke were bikar anîn) bi fermanê were şandin cert_mgr import. Hûn dikarin piştrast bikin ku hemî sertîfîka û CRL bi fermanê têne saz kirin cert_mgr nîşan bide.
Piştî ku sertîfîkayan bi serfirazî saz kirin, biçin konsolê-mîna Cisco da ku IPSec-ê mîheng bikin.
Em polîtîkayek IKE-yê diafirînin ku algorîtma û pîvanên xwestî yên kanala ewle ya ku hatî afirandin diyar dike, ku dê ji bo pejirandinê ji hevalbendê re were pêşkêş kirin.
Siyaseta #crypto isakmp 1000
#encr gost341215k
#hash gost341112-512-tc26
#nîşana pejirandinê
#koma vko2
#jiyanê 3600
Ev polîtîka di dema avakirina qonaxa yekem a IPSec de tê sepandin. Encama serketî qedandina qonaxa yekem damezrandina SA (Komeleya Ewlekariyê) ye.
Dûv re, pêdivî ye ku em navnîşek navnîşanên IP-ya çavkanî û armancê (ACL) ji bo şîfrekirinê diyar bikin, komek veguheztinê biafirînin, nexşeyek krîptografîk (nexşeya krîpto) biafirînin û wê bi navgîniya derveyî ya CS-ê ve girêdin.
ACL saz bikin:
#ip access-list malpera dirêjkirî1
#permit gre host 10.111.21.3 host 10.111.22.3
Komek veguherînan (wek ji bo qonaxa yekem, em algorîtmaya şîfrekirinê ya "Grasshopper" bi karanîna moda hilberîna têketina simulasyonê bikar tînin):
#crypto ipsec veguherîn-set GOST esp-gost341215k-mac
Em nexşeyek krîptoyê diafirînin, ACL-ê diyar dikin, set û navnîşana peer veguherînin:
#nexşeya krîpto MAIN 100 ipsec-isakmp
#match navnîşana malpera1
#set transform-set GOST
#set peer 10.111.22.3
Em qerta krîptoyê bi navgîniya derveyî ya kasê ve girêdidin:
#interface GigabitEthernet0/0
#IP navnîşana 10.111.21.3 255.255.255.0
#nexşeya krîpto SEREKE
Ji bo şîfrekirina kanalan bi malperên din re, divê hûn prosedurê ji bo afirandina karta ACL û krîpto, guhertina navê ACL, navnîşanên IP-yê û hejmara qerta krîpto dubare bikin.
Bawer bike! Ger verastkirina sertîfîkayê ji hêla CRL ve neyê bikar anîn, divê ev bi eşkere were destnîşan kirin:
#crypto pki trustpoint s-terra_technological_trustpoint
#revocation-check tune
Di vê nuqteyê de, sazkirin dikare bêkêmasî were hesibandin. Di derketina fermana konsolê ya mîna Cisco de crypto isakmp sa nîşan bide и crypto ipsec sa nîşan bide Divê qonaxên yekem û duyemîn ên çêkirî yên IPSec bêne xuyang kirin. Heman agahdarî bi karanîna fermanê dikare were bidestxistin sa_mgr nîşan bide, ji şêlê debian ve hatî darve kirin. Di derketina fermanê de cert_mgr nîşan bide Divê sertîfîkayên malpera dûr xuya bibin. Rewşa sertîfîkayên weha dê bibe dûr. Ger tunel nayên çêkirin, hûn hewce ne ku li têketina karûbarê VPN, ku di pelê de hatî hilanîn, binihêrin. /var/log/cspvpngate.log. Lîsteya bêkêmasî ya pelên têketinê digel ravekirina naveroka wan di belgeyê de heye.
Şopandina "tenduristiya" pergalê
S-Terra CC ji bo çavdêriyê snmpd daemon standard bikar tîne. Ji bilî pîvanên Linux-ê yên tîpîk, ji derveyî S-Terra piştgirî dide derxistina daneyan di derbarê tunelên IPSec de li gorî CISCO-IPSEC-FLOW-MONITOR-MIB, ya ku em dema çavdêriya rewşa tunelên IPSec bikar tînin. Karbidestiya OID-ên xwerû yên ku encamên cîbicîkirina nivîsê wekî nirx derdixin jî tê piştgirî kirin. Ev taybetmendî dihêle ku em tarîxên qedandina sertîfîkayê bişopînin. Nivîsara nivîskî derana fermanê pars dike cert_mgr nîşan bide û di encamê de hejmara rojan dide heya ku sertîfîkayên herêmî û root biqede. Dema ku hejmareke mezin a CABG têne rêvebirin ev teknîk neçar e.
Feydeya şîfrekirina weha çi ye?
Hemî fonksiyonên ku li jor hatine destnîşan kirin ji hêla S-Terra KSh ve ji qutiyê ve têne piştgirî kirin. Ango, ne hewce bû ku modulên din ên ku bandorê li ser pejirandina dergehên krîpto û pejirandina tevahiya pergala agahdariyê bike saz bikin. Dibe ku di navbera malperan de her kanal hebin, tewra bi riya Înternetê.
Ji ber vê rastiyê ku dema ku binesaziya navxweyî diguhere, ne hewce ye ku ji nû ve veavakirina deriyên krîptoyê, sîstem wek xizmetê dixebite, ku ji bo xerîdar pir rehet e: ew dikare karûbarên xwe (muwekîl û server) li her navnîşan bi cîh bike, û hemî guhertin dê bi dînamîk di navbera alavên şîfrekirinê de werin veguheztin.
Bê guman, şîfrekirina ji ber lêçûnên sererd (serserî) bandorê li leza veguheztina daneyê dike, lê tenê hinekî - berbi kanalê dikare herî zêde 5-10% kêm bibe. Di heman demê de, teknolojî hatiye ceribandin û encamên baş li ser kanalên satelîtê jî, yên ku pir bêîstîkrar in û xwedan berfê kêm in, hatine ceribandin.
Igor Vinokhodov, endezyarê rêza 2. ya rêveberiya Rostelecom-Solar
Source: www.habr.com