Si societas tua transmittit vel accipit notitias personales et alia secreta informationes super retiaculis quae tutelae subiacent secundum legem, oportet uti encryptione GOST. Hodie narrabimus tibi quomodo talem encryptionem incessimus innixa in porta S-Terra crypto (CS) in uno ex clientibus. Haec narratio interneget ad informationes speciales securitatis, necnon fabrum, excogitatores et architectos. Nolumus profunde in technicae schematis nugas intendere, sed in cardinis praecipuorum paroeciarum versarimus. Ingens documentorum volumina Linux OS daemones constituentes, quibus S-Terra CS innititur, gratis in interreti praesto sunt. Documenta ad constituendum proprietaria S-Terra programmata etiam publice praesto sunt opificem.
Paucis verbis de project
Topologia retiacula emptoris erat vexillum - reticulum plenum inter centrum et ramos. Oportebat encryptionem informationis permutationis canales inter omnes sitas introducere, quarum erant VIII.
Plerumque in his inceptis omnia static sunt: itinera stabilia ad retis localis situs ponuntur in crypto portarum (CGs), tabulae inscriptionum IP (ACLs) pro encryption descripserunt. Attamen, hoc in casu, sites imperium centralizatum non habent, et aliquid in suis reticulis localibus accidere potest: retia addi, deleri, ac modificari omni modo possunt. Ut in KS et ACL in KS reconfigurando everteret, cum inscriptione reticulorum localium in sitibus mutaretur, placuit GRE cuniculis et OSPF fusis dynamicis uti, quae omnia KS ac maxime iter ad nucleum retis in locis involvit ( in quibusdam locis, administratores infrastructure praeferebant usum SNAT versus KS in iter nucleo).
GRE effosso duas difficultates nobis solvere permisit;
1. Utere IP inscriptione instrumenti externi CS pro encryptione in ACL, quae encapsulat omnes negotiationes ad alias sites missas.
2. Organize ptp cuniculos inter CSs, quae te dynamicam evertere sinunt (in nostro casu, provisor MPLS L3VPN inter situs ordinatur).
Cliens exsecutionem encryptionis iussit ut ministerium. Alioquin, oporteret non solum cryptas portas vel fons earum ad aliquam ordinationem conservare, sed etiam independenter monere vitae cycli libellorum encryptionum, eas in tempore renovare ac novas instituere.
Et nunc ipsum memo- riale quomodo et quid configuramur?
Nota ad CII subiectum erigens cryptam portae
Basic network setup
Imprimis novam CS deducimus et in administratione consolemur. Mutatione constructum-in administrator incipere debes password - imperium mutare user password administrator. Tunc debes facere rationem initialization (mandatum initialize) quo licentia data ingreditur et numerus temere sensorem (RNS) initialem facit.
Dant operam? Cum S-Terra CC initialized consilium securitatis constitutum est, in quo portae securitatis interfaces non patiuntur, facis transire. Aut debes consilium tuum creare aut imperio utere currere csconf_mgr activate eu praedefinitum consilium permittens.
Deinde interfaces externas et internas configurare debes, sicut et itineris defectus. Praestat operari cum configuratione retis CS et encryptionem configurare per cisco-similem consolatorium. Hoc console ordinatur ut Cisco IOS mandata inire iubet. Configuratio generata uti consolatorium Cisco-simile est, rursus in tabulas conformationes conformes quibus daemones OS laborant. Potes ire ad Cisco-sicut consolatorium de administratione consolandi cum mandato configurare.
Mutare passwords pro aedificatis in user cscons et da:
> Admitte
Password: csp (preinstalled)
#configure terminatio
#username cscons privilegium 15 secretum 0 #enable secretum 0 constituens fundamentalem retis configurationem:
#interface GigabitEthernet0/0
#ip address 10.111.21.3 255.255.255.0
#no shutdown
#interface GigabitEthernet0/1
#ip address 192.168.2.5 255.255.255.252
#no shutdown
#ip iter 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Exit Cisco-sicut consolatorium et vade ad corticem debian cum mandato ratio. Tua pone password pro user " radix bigas passwd.
In unaquaque cella potestate, cuniculum separatum pro unoquoque situ configuratur. Cuniculum interface in tabella configuratur / Etc / network / interfaces. IP cuniculi utilitas, inclusa in preinstalled iproute2 statuto, responsabilis est ad ipsam interfaciem creandam. Mandatum interface creationis in optione praecellenti scriptum est.
Exemplum figurae interfaciei typici cuniculi:
Auto site1
iface site1 inet static
oratio 192.168.1.4
netmask 255.255.255.254
pre-up ip tunnel add site1 mode gre local 10.111.21.3 remotis 10.111.22.3 key hfLYEg^vCh6p
Dant operam? Notandum est quod occasus cuniculi interfaces extra sectionem ponenda est
### netifcfg-incipio###
*****
### netifcfg-finem###
Alioquin hae uncinis overscripte erunt cum uncinis retis mutandis per cisco-similem consolatorium interfaces physicas.
Dynamic profectus
In S-Terra, excitatio dynamica inducitur utens sarcina programmarum Quagga. Configurare OSPF necesse est ut daemones configurare valeant et configurare Zebra и ospfd. Zebra daemon communicationis responsabilis est inter daemones fugatos et OS. Daemon ospfd, ut nomen monet, auctor est protocollo OSPF exsequendi.
OSPF configuratur vel per daemonem consolandum vel directe per fasciculi configurationem /etc/quagga/ospfd.conf. Omnes interfaces physicae et cuniculi dynamicae fugae participationes tabellae adduntur, et retiacula quae proscriptiones erunt et nuntia accipiuntur, etiam declarantur.
Exemplum figurae quae addenda est ospfd.conf:
interface eth0
!
interface eth1
!
interface site1
!
interface site2
iter ospf *
ospf iter-id 192.168.2.21
retis 192.168.1.4/31 area 0.0.0.0
retis 192.168.1.16/31 area 0.0.0.0
retis 192.168.2.4/30 area 0.0.0.0
In hoc casu, inscriptiones 192.168.1.x/31 reservantur in reticulis cuniculi ptp inter sites, inscriptiones 192.168.2.x/30 collocantur pro reticulis transeuntibus inter CS et iter nucleos.
Dant operam? Ad mensam excitandam in magnis officinarum reducendis, nuntiationem retiacula transitus se constructis utentes spargere potes non redistribuere connexa aut redistribuere connexum iter, map.
Configurans daemones, debes mutare statum daemonum in /etc/quagga/daemons. In optiones Zebra и ospfd nulla mutatio est sic. Quagga daemonis incipias et pone autorun cum committitur KS imperio update-rc.d quagga enable.
Si conformatio cuniculorum GRE et OSPF recte fiat, itinera in retis aliarum situum apparent in KSh et core iter et, sic, connectivity network inter retiacula localia oritur.
Nos encrypt traducitur negotiationis
Sicut iam scriptum est, plerumque cum inter sites encrypting, designamus electronica IP septa (ACLs) inter quas negotiationis encryptur: si fons et finis inscriptionum in his iugis cadunt, commercium inter eas encryptatur. Sed in hoc incepto structura dynamica est et oratio variari potest. Cum iam GRE effosso configurati sumus, possumus externas KS inscriptiones exprimere sicut fons et destinationem inscriptionum pro encrypting commercii - tamen, negotiatio quae iam encapsulata est per GRE protocollum ad encryptionem pervenit. Aliis verbis, omnia quae in CS excedunt retis localis unius situs versus retiacula quae ab aliis locis nuntiata sunt encrypta sunt. Et intra singulas sites quaelibet redirectio peragi potest. Ita, si aliqua mutatio in reticulis localibus est, Administrator tantum indiget nuntiis ab eius retis ad retia mutare, et aliis locis praesto fiet.
Encryption in S-Terra CS conficitur utens protocollo IPSec. Algorithmo "grasshopper" utimur ad normam GOST R 34.12-2015, et ad convenientiam cum vetustioribus versionibus uti potes GOST 28147-89. Authenticatio technice praestari potest tam praedefinitis clavibus (PSKs) ac testimonialibus. Attamen in operatione industriae opus est ut editis libellis ad normam GOST R 34.10-2012.
Operatio cum libellis, continentia et CRLs fit utens utilitate cert_mgr. Imprimis utens imperio cert_mgr creare necessarium est ad clavem privatam generandam et petitionem libellum, quae mittetur ad Centrum Management Certificatorium. Post libellum acceptum, una cum radice CA certificatorium et CRL (si adhibetur) importari debet cum mandato cert_mgr import. Facere potes omnia testimoniales et CRLs cum mandato installantur cert_mgr ostende.
His feliciter inauguratis libellis, ad Cisco-similem consolatorium ad IPSec configurandum.
Consilium IKE creamus quod algorithms desideratos et parametri canalis secure creatos designat, quod socium pro approbatione offeretur.
#crypto isakmp consilium 1000
#encr gost341215k
#hash gost341112-512-tc26
#authentication signum
#group vko2
# vita 3600
Hoc consilium applicatur cum primum IPSec aedificandum tempus. Effectus effectus felicitatis primae periodi est constitutio SA (Consociationis Securitatis).
Deinde, necesse est ut indices fontium et destinationum IP inscriptionum (ACL) definire pro encryption, speciem transformationis gignere, mappam crypto- graphicam (crypto geographicam) definire et ad interfaciem CS externam ligare.
Pone ACL:
# IP accessum, album extenso site1
#permittere exercitum 10.111.21.3 exercitum 10.111.22.3
Statuto transformationum (sicut in prima periodo, utimur "grasshopper" encryption algorithmus utens simulationis modum generationis insertum);
#crypto ipsec transform-set GOST esp-gost341215k-mac
Cryptam tabulam creamus, ACL specificamus, paroem ac parem electronicam transformamus:
#crypto MAIN C ipsec-isakmp
#match oratio site1
# Set transform-set GOST
#set parem 10.111.22.3
Cryptam schedulam ligamus ad instrumenti externi nummi actis;
#interface GigabitEthernet0/0
#ip address 10.111.21.3 255.255.255.0
#crypto map MAIN
Ad canales encryptas cum aliis locis, rationem repetere debes pro card crypto ACL creandi, mutato nomine ACL, IP inscriptionibus et numero crypto.
Dant operam? Si certificatorium testimonium per CRL non adhibetur, hoc explicite specificari debet;
#crypto pki trustpoint s-terra_technological_trustpoint
# Revocatio-reprehendo non
Hoc loco propositio perfecta considerari potest. In Cisco-sicut consolatorium mandatum output ostende crypto isakmp sa и ostende crypto ipsec sa Primus et secundus gradus constructus IPSec reflecti debet. Eadem notitia haberi potest per mandatum sa_mgr ostendee debian testa. In imperio output cert_mgr ostende Testimoniarum situs remoti videntur. Status talium testimonialium erit remote. Si cuniculis constructa non sunt, opus stipendii VPN, quod in tabella repositum est, intueri debes /var/log/cspvpngate.log. Integram tabularum tabularum indicem cum descriptione earum contentorum in documentis praesto est.
Cras "salutem" systematis
S-Terra CC vexillum snmpd daemonis ad vigilantiam adhibet. Praeter parametros typicos Linux, e cistae S-Terra subsidia notitias circa IPSec cuniculos emittentes, iuxta CISCO-IPSEC-FUNDUM-MONITOR-MIB, id est quod adhibemus cum vigilantia status cuniculorum IPSec. Munus consuetudinis OIDs quae outputant eventus scriptionis exsecutionis sicut valores confirmatur. Haec factura nobis permittit ut certificales dies expirationis indagant. Scriptum est parses mandatum output cert_mgr ostende et consequenter dat numerum dierum donec locales et radix testimoniales exhalent. Haec ars necessaria est, cum magnum numerum CABGs administrat.
Quid prodest talis encryption?
Omnes functiones supra scriptae sustentantur e capsula S-Terra KSh. Hoc est, non opus erat ut modulos additos aliquos instituere qui certificationem cryptarum portarum ac certificationem totius systematis informatici afficerent. Nulla sit amet cursus lorem, vel cursus lorem.
Ob hoc quod, cum mutationes infrastructurae internae, non opus est portas cryptas reconfigurare; ratio operatur in servitioquod valde commodum est emptori: potest sua officia (cliens et ministrans) ponere in quibusvis inscriptionibus, et omnes mutationes dynamice transferentur inter apparatum encryption.
Scilicet, encryption propter caput gratuita (supra caput) notitia translationis celeritatem afficit, sed leviter - canalis throughput maximum 5-10% decrescere potest. Eodem tempore, technicae artes probatae sunt et boni eventus etiam in rivis satellitibus probata sunt, quae admodum instabiles sunt et band humilem habent.
Igor Vinokhodov, architectus 2nd lineae administrationis Rostelecom-solaris
Source: www.habr.com