Эгерде сиздин компанияңыз мыйзамга ылайык коргоого алынган жеке маалыматтарды жана башка купуя маалыматты тармак аркылуу өткөрүп же кабыл алса, анда ГОСТ шифрлөөсүн колдонуу талап кылынат. Бүгүн биз кардарлардын биринде S-Terra крипто шлюзунун (CS) негизинде мындай шифрлөөнү кантип ишке ашырганыбызды айтып беребиз. Бул окуя маалыматтык коопсуздук боюнча адистерди, ошондой эле инженерлерди, дизайнерлерди жана архитекторлорду кызыктырат. Биз бул постто техникалык конфигурациянын нюанстарына тереңдеп кирбейбиз, биз негизги орнотуунун негизги пункттарына токтолобуз. S-Terra CS негизделген Linux OS демондорун орнотуу боюнча ири көлөмдөгү документтер Интернетте эркин жеткиликтүү. Менчик S-Terra программасын орнотуу үчүн документтер жалпыга жеткиликтүү өндүрүүчүсү.
Долбоор жөнүндө бир нече сөз
Кардардын тармак топологиясы стандарттуу болгон - борбор менен бутактардын ортосундагы толук тор. Бардык сайттардын ортосунда маалымат алмашуу каналдарын шифрлөө керек болчу, алардын ичинен 8.
Адатта, мындай долбоорлордо бардыгы статикалык болот: сайттын локалдык тармагына статикалык маршруттар крипто шлюздеринде (CGs) орнотулган, шифрлөө үчүн IP даректердин тизмелери (ACLs) катталган. Бирок, бул учурда, сайттар борборлоштурулган башкарууга ээ эмес жана алардын локалдык тармактарынын ичинде бардык нерсе болушу мүмкүн: тармактарды ар кандай жолдор менен кошууга, жок кылууга жана өзгөртүүгө болот. Сайттардагы локалдык тармактардын дарегин өзгөртүүдө KS боюнча маршрутизацияны жана ACLди кайра конфигурациялоону болтурбоо үчүн GRE туннелдерин жана сайттардагы тармактын негизги деңгээлиндеги бардык KS жана көпчүлүк роутерлерди камтыган OSPF динамикалык маршрутизациясын колдонуу чечими кабыл алынды ( кээ бир сайттарда инфраструктуранын администраторлору ядро роутерлеринде KSге карата SNAT колдонууну артык көрүшөт).
GRE туннелдери бизге эки маселени чечүүгө мүмкүндүк берди:
1. Башка сайттарга жөнөтүлгөн бардык трафикти камтыган ACLде шифрлөө үчүн CSтин тышкы интерфейсинин IP дарегин колдонуңуз.
2. CSs ортосунда ptp туннелдерин уюштуруңуз, алар динамикалык маршрутту конфигурациялоого мүмкүндүк берет (биздин учурда провайдердин MPLS L3VPN сайттар арасында уюштурулган).
кардар кызмат катары шифрлөө жүргүзүүгө буйрук берди. Болбосо, ал криптографиялык шлюздарды кармап турууга же аларды кандайдыр бир уюмга аутсорсингге гана тим болбостон, шифрлөө сертификаттарынын жашоо циклин өз алдынча көзөмөлдөп, аларды өз убагында жаңыртып, жаңыларын орнотууга туура келет.
Ал эми азыр чыныгы меморандум - кантип жана эмнени конфигурациялаганбыз
CII темасына эскертүү: крипто шлюзду орнотуу
Негизги тармак орнотуу
Биринчиден, биз жаңы CS ишке киргизип, башкаруу консолуна киребиз. Сиз камтылган администратор сырсөзүн өзгөртүү менен баштоо керек - буйрук колдонуучунун сырсөз администраторун өзгөртүү. Андан кийин инициализациялоо процедурасын аткарышыңыз керек (буйрук чыгаруу) анын жүрүшүндө лицензия маалыматтары киргизилет жана кокустук сандар сенсору (RNS) инициализацияланат.
Көңүл буруңуздар! S-Terra CC инициализацияланганда, коопсуздук шлюз интерфейстери пакеттердин өтүшүнө жол бербеген коопсуздук саясаты түзүлөт. Сиз өз саясатыңызды түзүшүңүз керек же буйрукту колдонушуңуз керек csconf_mgr иштетүүнү иштетиңиз алдын ала аныкталган уруксат берүү саясатын иштетүү.
Андан кийин, сиз тышкы жана ички интерфейстердин дарегин, ошондой эле демейки маршрутту конфигурациялашыңыз керек. CS тармагын конфигурациялоо менен иштөө жана Cisco сыяктуу консол аркылуу шифрлөө конфигурациялоо артык. Бул консол Cisco IOS буйруктарына окшош буйруктарды киргизүү үчүн иштелип чыккан. Cisco сыяктуу консолдун жардамы менен түзүлгөн конфигурация өз кезегинде OS демондору иштеген тиешелүү конфигурация файлдарына айландырылат. Сиз буйрук менен башкаруу консолунан Cisco окшош консолуна бара аласыз күүлөй.
Камтылган колдонуучу cscons үчүн сырсөздөрдү өзгөртүп, иштетиңиз:
>иштетүү
Сырсөз: csp (алдын ала орнотулган)
#конфигурациялоо терминалы
#username cscons privilege 15 secret 0 #enable secret 0 Негизги тармак конфигурациясын орнотуу:
#интерфейс GigabitEthernet0/0
#ip адрес 10.111.21.3 255.255.255.0
#өчүрүү жок
#интерфейс GigabitEthernet0/1
#ip адрес 192.168.2.5 255.255.255.252
#өчүрүү жок
#ip маршрут 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Cisco сыяктуу консолдон чыгып, команда менен debian кабыгына өтүңүз система. Колдонуучу үчүн өзүңүздүн сырсөзүңүздү коюңуз тамыр команда passwd.
Ар бир башкаруу бөлмөсүндө ар бир участок үчүн өзүнчө туннель конфигурацияланган. Туннелдин интерфейси файлда конфигурацияланган / etc / network / interfaces. Алдын ала орнотулган iproute2 топтомуна кирген IP туннель утилитасы интерфейстин өзүн түзүүгө жооптуу. Интерфейс түзүү буйругу алдын ала тандоого жазылган.
Типтүү туннель интерфейсинин конфигурациясынын мисалы:
авто сайт1
iface сайт1 inet статикалык
дареги 192.168.1.4
желе маскасы 255.255.255.254
алдын ала IP туннель кошуу сайт1 режими gre жергиликтүү 10.111.21.3 алыскы 10.111.22.3 ачкыч hfLYEg^vCh6p
Көңүл буруңуздар! Белгилей кетчү нерсе, туннель интерфейстеринин орнотуулары секциянын сыртында болушу керек
###netifcfg-begin###
*****
###netifcfg-end###
Болбосо, Cisco сыяктуу консол аркылуу физикалык интерфейстердин тармак орнотууларын өзгөртүүдө бул жөндөөлөр кайра жазылат.
Динамикалык маршруттоо
S-Terraда динамикалык маршрутизация Quagga программалык пакетин колдонуу менен ишке ашырылат. OSPF конфигурациялоо үчүн биз демондорду иштетип, конфигурациялашыбыз керек зебра и ospfd. Зебра демону маршруттук демондор менен ОСтин ортосундагы байланыш үчүн жооптуу. Ospfd демону, аты айтып тургандай, OSPF протоколун ишке ашыруу үчүн жооптуу.
OSPF демон консолу аркылуу же түз конфигурация файлы аркылуу конфигурацияланат /etc/quagga/ospfd.conf. Динамикалык маршрутизацияга катышкан бардык физикалык жана туннельдик интерфейстер файлга кошулат, ошондой эле жарнамалануучу жана кулактандырууларды кабыл ала турган тармактар да жарыяланды.
Кошулушу керек болгон конфигурациянын мисалы ospfd.conf:
интерфейс eth0
!
интерфейс eth1
!
интерфейс сайт1
!
интерфейс сайт2
роутер ospf
ospf роутер-id 192.168.2.21
тармак 192.168.1.4/31 аянты 0.0.0.0
тармак 192.168.1.16/31 аянты 0.0.0.0
тармак 192.168.2.4/30 аянты 0.0.0.0
Бул учурда, 192.168.1.x/31 даректери сайттар ортосундагы туннель ptp тармактары үчүн сакталган, 192.168.2.x/30 даректери CS жана ядро роутерлеринин ортосундагы транзиттик тармактар үчүн бөлүнгөн.
Көңүл буруңуздар! Чоң орнотуулардагы маршруттук таблицаны азайтуу үчүн сиз конструкцияларды колдонуп транзиттик тармактардын жарнамасын чыпкалай аласыз. кайра бөлүштүрүү байланышы жок же туташтырылган маршруттук картаны кайра бөлүштүрүү.
Демондорду конфигурациялагандан кийин, демондордун баштоо статусун өзгөртүү керек /etc/quagga/daemons. Опцияларда зебра и ospfd ообага өзгөрүү жок. Quagga демонун баштаңыз жана KS буйругун баштаганда аны автоматтык түрдө иштетиңиз update-rc.d quagga иштетүү.
Эгерде GRE туннелдеринин жана OSPF конфигурациясы туура аткарылса, анда башка сайттардын тармагындагы маршруттар KSh жана негизги роутерлерде пайда болушу керек жана ошентип, локалдык тармактардын ортосунда тармактык байланыш пайда болот.
Биз жөнөтүлгөн трафикти шифрлейбиз
Буга чейин жазылгандай, адатта сайттардын ортосунда шифрлөөдө биз IP дарек диапазондорун (ACL) белгилейбиз, алардын ортосунда трафик шифрленген: эгерде булак жана көздөгөн даректер бул диапазондорго туура келсе, анда алардын ортосундагы трафик шифрленген. Бирок бул долбоордо структура динамикалуу жана даректер өзгөрүшү мүмкүн. Биз GRE туннелдерин конфигурациялап койгондуктан, биз тышкы KS даректерин трафикти шифрлөө үчүн булак жана көздөгөн даректер катары көрсөтө алабыз - баарыдан кийин GRE протоколу менен капсулдалган трафик шифрлөө үчүн келет. Башкача айтканда, бир сайттын локалдык тармагынан башка сайттар жарыялаган тармактарга чейин CSге кирген нерселердин баары шифрленген. Жана ар бир сайттын ичинде кандайдыр бир багыттоо жүргүзүлүшү мүмкүн. Ошентип, эгерде локалдык тармактарда кандайдыр бир өзгөрүү болсо, администратор өзүнүн тармагынан тармакка келген кулактандырууларды гана өзгөртүшү керек жана ал башка сайттарга жеткиликтүү болот.
S-Terra CSдеги шифрлөө IPSec протоколу аркылуу ишке ашырылат. Биз ГОСТ Р 34.12-2015 боюнча "Чептир" алгоритмин колдонобуз, ал эми эски версиялары менен шайкеш келүү үчүн ГОСТ 28147-89 колдоно аласыз. Аутентификацияны техникалык жактан алдын ала аныкталган ачкычтар (PSK) жана сертификаттар боюнча жүргүзүүгө болот. Бирок, өнөр жай эксплуатациясында ГОСТ Р 34.10-2012 боюнча берилген сертификаттарды колдонуу зарыл.
Сертификаттар, контейнерлер жана CRLлер менен иштөө утилитаны колдонуу менен жүргүзүлөт cert_mgr. Биринчиден, буйрукту колдонуу cert_mgr түзүү купуя ачкычтын контейнерин жана сертификатка суроо-талапты түзүү зарыл, ал Сертификаттарды башкаруу борборуна жөнөтүлөт. Сертификатты алгандан кийин, ал түпкү CA сертификаты жана CRL (эгерде колдонулса) буйругу менен импорттолушу керек cert_mgr импорттоо. Сиз буйрук менен бардык сертификаттар жана CRL орнотулганын текшере аласыз cert_mgr көрсөтүү.
Сертификаттар ийгиликтүү орнотулгандан кийин, IPSec конфигурациялоо үчүн Cisco окшош консолуна өтүңүз.
Биз түзүлүп жаткан коопсуз каналдын керектүү алгоритмдерин жана параметрлерин белгилеген IKE саясатын түзөбүз, алар өнөктөшкө бекитүү үчүн сунушталат.
#crypto isakmp саясаты 1000
#encr gost341215k
#hash gost341112-512-tc26
#аныктыгын текшерүү белгиси
#группа vko2
#өмүр 3600
Бул саясат IPSec биринчи фазасын курууда колдонулат. Биринчи этаптын ийгиликтүү аякташынын натыйжасы болуп SA (Коопсуздук Ассоциациясы) түзүлдү.
Андан кийин, шифрлөө үчүн булак жана көздөгөн IP даректердин (ACL) тизмесин аныктап, трансформация топтомун түзүп, криптографиялык картаны (криптокарта) түзүп, аны CSтин тышкы интерфейсине байланыштырышыбыз керек.
ACL коюу:
#ip кирүү тизмеси кеңейтилген сайт1
#permit gre host 10.111.21.3 хост 10.111.22.3
Трансформациялардын жыйындысы (биринчи фазадагыдай эле, биз симуляциялык кыстаруу генерациялоо режимин колдонуу менен "Чептир" шифрлөө алгоритмин колдонобуз):
#crypto ipsec трансформациясы ГОСТ esp-gost341215k-mac
Биз крипто картасын түзөбүз, ACLди аныктайбыз, топтомун жана тең дарегин өзгөртөбүз:
#crypto карта MAIN 100 ipsec-isakmp
# дал келген дарек сайт1
#set transform-set ГОСТ
#set peer 10.111.22.3
Биз криптокартаны кассалык аппараттын тышкы интерфейсине байлайбыз:
#интерфейс GigabitEthernet0/0
#ip адрес 10.111.21.3 255.255.255.0
#крипто карта НЕГИЗГИ
Каналдарды башка сайттар менен шифрлөө үчүн сиз ACL жана криптокартаны түзүү процедурасын кайталашыңыз керек, ACL атын, IP даректерин жана крипто картанын номерин өзгөртүү.
Көңүл буруңуздар! Эгерде CRL тарабынан тастыктаманы текшерүү колдонулбаса, анда бул так көрсөтүлүшү керек:
#crypto pki Trustpoint s-terra_technological_trustpoint
#revocation-текшерүү жок
Бул учурда, орнотуу аяктады деп эсептесе болот. Cisco окшош консолунда буйрук чыгаруу көрсөтүү крипто isakmp sa и крипто ipsec sa көрсөтүү IPSecтин курулган биринчи жана экинчи фазалары чагылдырылышы керек. Ошол эле маалыматты буйрукту колдонуу менен алууга болот sa_mgr шоу, debian кабыгынан аткарылган. Буйрук чыгарууда cert_mgr көрсөтүү Алыскы сайттын сертификаттары пайда болушу керек. Мындай күбөлүктөрдүн статусу болот алыскы. Туннелдер курулбай жаткан болсо, файлда сакталган VPN кызмат журналын карап чыгышыңыз керек /var/log/cspvpngate.log. Документте алардын мазмунунун сүрөттөлүшү менен журнал файлдарынын толук тизмеси бар.
Системанын "ден соолугуна" мониторинг жүргүзүү
S-Terra CC мониторинг үчүн стандарттуу snmpd демону колдонот. Кадимки Linux параметрлеринен тышкары, S-Terra CISCO-IPSEC-FLOW-MONITOR-MIB ылайык IPSec туннелдери жөнүндө маалыматтарды берүүнү колдойт, бул биз IPSec туннелдеринин абалына мониторинг жүргүзүүдө колдонот. Скрипттин аткарылышынын натыйжаларын баалуулуктар катары чыгарган ыңгайлаштырылган OIDлердин функционалдуулугу да колдоого алынат. Бул функция бизге сертификаттын жарактуулук мөөнөтүн көзөмөлдөөгө мүмкүндүк берет. Жазылган скрипт буйрук чыгарууну талдайт cert_mgr көрсөтүү жана натыйжада жергиликтүү жана түпкү сертификаттардын мөөнөтү бүткүчө күндөрдүн санын берет. Бул ыкма CABG көп сандагы башкаруу үчүн зарыл болуп саналат.
Мындай шифрлөөнүн кандай пайдасы бар?
Жогоруда сүрөттөлгөн бардык функциялар S-Terra KSh тарабынан колдоого алынат. Башкача айтканда, крипто шлюздардын сертификациясына жана бүтүндөй маалыматтык системанын сертификациясына таасир эте турган кошумча модулдарды орнотуунун кереги жок болчу. Сайттардын ортосунда ар кандай каналдар болушу мүмкүн, ал тургай Интернет аркылуу.
Ички инфраструктура өзгөргөндө, крипто шлюздарын кайра конфигурациялоонун кереги жок болгондуктан, система кызмат катары иштейт, бул кардар үчүн абдан ыңгайлуу: ал өз кызматтарын (кардар жана сервер) каалаган даректерге жайгаштыра алат жана бардык өзгөртүүлөр шифрлөөчү жабдуулардын ортосунда динамикалык түрдө өткөрүлүп берилет.
Албетте, кошумча чыгымдардын эсебинен шифрлөө маалыматтарды берүү ылдамдыгына таасир этет, бирок бир аз гана - каналдын өткөрүү жөндөмдүүлүгү максимум 5-10% га төмөндөшү мүмкүн. Ошол эле учурда технология бир топ туруксуз жана өткөрүү жөндөмдүүлүгү төмөн спутниктик каналдарда да сыналган жана жакшы натыйжаларды көрсөткөн.
Игорь Виноходов, Ростелеком-Солар администрациясынын 2-линиясынын инженери
Source: www.habr.com