Wann Är Firma perséinlech Donnéeën an aner vertraulech Informatioun iwwer d'Netz vermëttelt oder kritt, déi am Aklang mat dem Gesetz ënner Schutz ass, ass et néideg GOST Verschlësselung ze benotzen. Haut wäerte mir Iech soen wéi mir esou Verschlësselung implementéiert hunn baséiert op der S-Terra Krypto-Gateway (CS) bei engem vun de Clienten. Dës Geschicht wäert interessant sinn fir Informatiounssécherheetsspezialisten, souwéi Ingenieuren, Designer an Architekten. Mir wäerten net déif an d'Nuancen vun der technescher Konfiguratioun an dësem Post tauchen, mir konzentréieren eis op d'Schlësselpunkte vun der Basiskonfiguratioun. Enorme Volumen vun Dokumentatioun iwwer d'Opstellung vun Linux OS Daemonen, op deenen de S-Terra CS baséiert, sinn gratis um Internet verfügbar. Dokumentatioun fir propriétaire S-Terra Software opzestellen ass och ëffentlech verfügbar op Hiersteller.
E puer Wierder iwwert de Projet
D'Netztopologie vum Client war Standard - voll Mesh tëscht dem Zentrum a Filialen. Et war néideg Verschlësselung vun Informatiounsaustausch Channels tëscht all Siten aféieren, vun deenen et 8 waren.
Normalerweis an esou Projeten ass alles statesch: statesch Strecken op de lokalen Netzwierk vum Site sinn op Krypto-Gateways (CGs), Lëschte vun IP Adressen (ACLs) fir Verschlësselung registréiert. Wéi och ëmmer, an dësem Fall hunn d'Siten keng zentraliséiert Kontroll, an alles kann an hire lokalen Netzwierker geschéien: Netzwierker kënnen op all méiglech Manéier bäigefüügt, geläscht a geännert ginn. Fir d'Rekonfiguratioun vu Routing an ACL op der KS ze vermeiden wann Dir d'Adresséierung vu lokalen Netzwierker op de Siten ännert, gouf decidéiert GRE Tunneling an OSPF dynamesch Routing ze benotzen, déi all KS an déi meescht vun den Netzwierk Core Level Router op de Site enthält ( op e puer Siten, Infrastruktur Administrateuren léiwer SNAT Richtung KS op Kernel Router benotzen).
GRE Tunneling erlaabt eis zwee Probleemer ze léisen:
1. Benotzt d'IP Adress vun der externer Interface vum CS fir d'Verschlësselung am ACL, deen all Traffic, deen op aner Site geschéckt gëtt, encapsuléiert.
2. Organiséiert ptp-Tunnel tëscht CSs, déi Iech erlaben dynamesch Routing opzestellen (an eisem Fall ass den MPLS L3VPN vum Provider tëscht de Site organiséiert).
De Client huet d'Ëmsetzung vun der Verschlësselung als Service bestallt. Soss misst hien net nëmmen Krypto-Paarten erhalen oder se un eng Organisatioun outsourcen, awer och onofhängeg de Liewenszyklus vun de Verschlësselungszertifikater iwwerwaachen, se op Zäit erneieren an nei installéieren.
An elo den eigentleche Memo - wéi a wat mir konfiguréiert hunn
Notiz zum CII Thema: e Krypto-Paart opbauen
Basis Reseau Setup
Als éischt lancéiere mir en neien CS a kommen an d'Administratiounskonsole. Dir sollt ufänken andeems Dir dat agebaute Administratorpasswuert - Kommando z'änneren Benotzer Passwuert Administrateur änneren. Da musst Dir d'Initialiséierungsprozedur ausféieren (Kommando initialiséieren) während deenen d'Lizenzdaten aginn an den Zoufallsnummersensor (RNS) initialiséiert gëtt.
Opgepasst! Wann S-Terra CC initialiséiert ass, gëtt eng Sécherheetspolitik etabléiert, an där d'Sécherheetspaart-Interfaces net erlaben Päck duerch ze goen. Dir musst entweder Är eege Politik erstellen oder de Kommando benotzen lafen csconf_mgr aktivéieren aktivéieren eng virdefinéiert erlaabt Politik.
Als nächst musst Dir d'Adresséierung vun externen an internen Interfaces konfiguréieren, souwéi de Standardroute. Et ass léiwer mat der CS Netzwierkkonfiguratioun ze schaffen an d'Verschlësselung duerch eng Cisco-ähnlech Konsole ze konfiguréieren. Dës Konsole ass entwéckelt fir Kommandoen ähnlech wéi Cisco IOS Kommandoen anzeginn. D'Konfiguratioun, déi mat der Cisco-ähnlecher Konsole generéiert gëtt, gëtt ofwiesselnd an déi entspriechend Konfiguratiounsdateien ëmgewandelt, mat deenen d'OS-Dämone schaffen. Dir kënnt op d'Cisco-ähnlech Konsole vun der Administratiounskonsole mam Kommando goen konfiguréieren.
Ännert Passwierder fir déi agebaute Benotzer cscons an aktivéiert:
> aktivéieren
Passwuert: csp (virinstalléiert)
#configuréieren Terminal
#username cscons privileg 15 secret 0 #enable secret 0 Astellung vun der Basis Netzwierkkonfiguratioun:
# Interface GigabitEthernet0/0
IP Adress 10.111.21.3 255.255.255.0
#kee Ausschalten
# Interface GigabitEthernet0/1
IP Adress 192.168.2.5 255.255.255.252
#kee Ausschalten
#ip route 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Gitt d'Cisco-ähnlech Konsol aus a gitt op d'Debian Shell mam Kommando System. Setzt Äert eegent Passwuert fir de Benotzer root Equipe passwd.
An all Kontrollraum ass fir all Site e separaten Tunnel konfiguréiert. Den Tunnel Interface ass an der Datei konfiguréiert / etc / Netz / Interfaces. D'IP Tunnel Utility, abegraff am virinstalléierten iproute2 Set, ass verantwortlech fir d'Interface selwer ze kreéieren. Den Interface Kreatioun Kommando ass an d'Pre-up Optioun geschriwwe ginn.
Beispill Konfiguratioun vun engem typeschen Tunnel Interface:
Auto Site 1
iface Site1 inet statesch
Adress 192.168.1.4
Netzmask 255.255.255.254
pre-up ip Tunnel add site1 mode gre local 10.111.21.3 Fernbedienung 10.111.22.3 Schlëssel hfLYEg^vCh6p
Opgepasst! Et sollt bemierkt datt d'Astellunge fir Tunnelinterfaces ausserhalb vun der Sektioun musse sinn
###netifcfg-begin###
*****
###netifcfg-end###
Soss ginn dës Astellungen iwwerschriwwe wann Dir d'Netzwierksastellunge vu kierperlechen Interfaces duerch eng Cisco-ähnlech Konsole ännert.
Dynamesch Routing
Am S-Terra gëtt dynamesch Routing mam Quagga Software Package implementéiert. Fir OSPF ze konfiguréieren musse mir Daemonen aktivéieren an konfiguréieren zebra и ospfd. Den Zebra Daemon ass verantwortlech fir d'Kommunikatioun tëscht de Routing Daemonen an dem OS. Den ospfd Daemon, wéi den Numm et scho seet, ass verantwortlech fir den OSPF Protokoll ëmzesetzen.
OSPF gëtt entweder duerch d'Daemonkonsole oder direkt duerch d'Konfiguratiounsdatei konfiguréiert /etc/quagga/ospfd.conf. All physesch an Tunnel-Interfaces, déi un dynamesche Routing deelhuelen, ginn an d'Datei bäigefüügt, an d'Netzwierker, déi ugekënnegt ginn an Ukënnegung kréien, ginn och deklaréiert.
E Beispill vun der Konfiguratioun déi muss bäigefüügt ginn ospfd.conf:
Interface eth0
!
Interface eth1
!
Interface Site 1
!
Interface Site 2
ospf router
ospf router-id 192.168.2.21
Reseau 192.168.1.4/31 Beräich 0.0.0.0
Reseau 192.168.1.16/31 Beräich 0.0.0.0
Reseau 192.168.2.4/30 Beräich 0.0.0.0
An dësem Fall sinn Adressen 192.168.1.x/31 reservéiert fir Tunnel ptp Netzwierker tëscht Siten, Adressen 192.168.2.x/30 gi fir Transit Netzwierker tëscht CS a Kernel Router zougewisen.
Opgepasst! Fir d'Routing-Tabelle bei groussen Installatiounen ze reduzéieren, kënnt Dir d'Ukënnegung vun den Transitnetzer selwer filteren mat de Konstruktiounen keng ëmverdeelen verbonnen oder verbonne Route-Kaart ëmverdeelen.
Nodeems Dir d'Dämonen konfiguréiert hutt, musst Dir de Startupstatus vun den Dämonen änneren /etc/quagga/daemons. An Optiounen zebra и ospfd keng Ännerung op jo. Fänkt de Quagga-Daemon un a setzt se op Autorun wann Dir de KS Kommando start update-rc.d quagga aktivéieren.
Wann d'Konfiguratioun vu GRE Tunnelen an OSPF korrekt gemaach gëtt, da sollten d'Strecken am Netz vun anere Site op de KSh a Kärrouter erschéngen an domat entstinn d'Netzverbindung tëscht lokalen Netzwierker.
Mir verschlësselen iwwerdroen Traffic
Wéi scho geschriwwe gouf, normalerweis beim Verschlësselung tëscht Siten, spezifizéiere mir IP Adressbereich (ACLs) tëscht deenen de Traffic verschlësselt ass: wann d'Quell- an Destinatiounsadressen an dëse Beräicher falen, da gëtt de Verkéier tëscht hinnen verschlësselt. Wéi och ëmmer, an dësem Projet ass d'Struktur dynamesch an d'Adresse kënnen änneren. Well mir scho GRE Tunneling konfiguréiert hunn, kënne mir extern KS Adressen als Quell an Destinatiounsadressen spezifizéieren fir de Verkéier ze verschlësselen - schliisslech kënnt de Traffic dee scho vum GRE Protokoll verschlësselt ass fir d'Verschlësselung. An anere Wierder, alles wat an de CS vum lokalen Netzwierk vun engem Site a Richtung Netzwierker kënnt, déi vun anere Site ugekënnegt goufen, ass verschlësselt. A bannent jiddereng vun de Siten kann all Viruleedung duerchgefouert ginn. Also, wann et iergendeng Ännerung an de lokalen Netzwierker gëtt, brauch den Administrateur nëmmen d'Ukënnegung, déi aus sengem Netzwierk an d'Netz kommen, z'änneren, an et gëtt op aner Siten verfügbar.
Verschlësselung am S-Terra CS gëtt mam IPSec Protokoll duerchgefouert. Mir benotzen den "Grasshopper" Algorithmus am Aklang mat GOST R 34.12-2015, a fir Kompatibilitéit mat eelere Versioune kënnt Dir GOST 28147-89 benotzen. Authentifikatioun kann technesch op béide virdefinéierte Schlësselen (PSKs) an Zertifikater ausgefouert ginn. Wéi och ëmmer, an der industrieller Operatioun ass et néideg Certificaten ze benotzen, déi am Aklang mat GOST R 34.10-2012 erausginn sinn.
Schafft mat Certificaten, Container a CRLs gëtt mam Utility gemaach cert_mgr. Éischt vun all, benotzt de Kommando cert_mgr erstellen et ass néideg fir e private Schlësselbehälter an eng Zertifika Ufro ze generéieren, déi un den Certificate Management Center geschéckt gëtt. Nodeems Dir de Certificat kritt hutt, muss et zesumme mam root CA Zertifikat an CRL (wann benotzt) mam Kommando importéiert ginn cert_mgr import. Dir kënnt sécher sinn datt all Certificaten an CRLs mat dem Kommando installéiert sinn cert_mgr weisen.
Nodeems Dir d'Zertifikater erfollegräich installéiert hutt, gitt op d'Cisco-ähnlech Konsole fir IPSec ze konfiguréieren.
Mir kreéieren eng IKE-Politik déi déi gewënschte Algorithmen a Parameteren vum séchere Kanal spezifizéiert, deen erstallt gëtt, deen dem Partner fir d'Zustimmung ugebuede gëtt.
#crypto isakmp Politik 1000
#encr gost341215k
#hash gost341112-512-tc26
#Authentifikatioun Zeechen
#group vko2
#Liewensdauer 3600
Dës Politik gëtt applizéiert wann Dir déi éischt Phas vun IPSec baut. D'Resultat vun der erfollegräicher Réalisatioun vun der éischter Phase ass d'Grënnung vun der SA (Security Association).
Als nächst musse mir eng Lëscht vu Quell- an Destinatiouns-IP Adressen (ACL) fir Verschlësselung definéieren, en Transformatiounsset generéieren, eng kryptografesch Kaart (Kryptokaart) erstellen an et un d'extern Interface vum CS binden.
ACL setzen:
#ip Zougangslëscht erweidert Site1
#permit gre host 10.111.21.3 host 10.111.22.3
Eng Rei vun Transformatiounen (d'selwecht wéi fir déi éischt Phas, benotze mir den "Grasshopper" Verschlësselungsalgorithmus mam Simulatiouns-Insert Generatiounsmodus):
#crypto ipsec transforméiert GOST esp-gost341215k-mac
Mir kreéieren eng Krypto Kaart, spezifizéieren den ACL, transforméiert Set a Peer Adress:
#crypto Kaart MAIN 100 ipsec-isakmp
# Match Adress Site1
#set transforméieren-set GOST
#set peer 10.111.22.3
Mir binden d'Krypto Kaart un d'extern Interface vum Keesseberäich:
# Interface GigabitEthernet0/0
IP Adress 10.111.21.3 255.255.255.0
#Krypto Kaart MAIN
Fir Channels mat anere Siten ze verschlësselen, musst Dir d'Prozedur widderhuelen fir eng ACL- a Krypto-Kaart ze kreéieren, den ACL-Numm, d'IP Adressen an d'Kryptokaartnummer z'änneren.
Opgepasst! Wann d'Zertifikaverifizéierung duerch CRL net benotzt gëtt, muss dëst explizit spezifizéiert ginn:
#crypto pki trustpoint s-terra_technological_trustpoint
#revocation-check keen
Zu dësem Zäitpunkt kann de Setup als komplett ugesi ginn. An Cisco-wëll Konsol Kommando Ausgang weisen Krypto isakmp sa и weisen Krypto ipsec sa Déi konstruéiert éischt an zweet Phase vun IPSec solle reflektéiert ginn. Déi selwecht Informatioun kann mat dem Kommando kritt ginn sa_mgr weisen, ausgefouert vun debian Shell. Am Kommando Ausgang cert_mgr weisen D'Remote Site Certificaten solle schéngen. De Status vun esou Certificaten wäert sinn Fernzuch. Wann Tunnel net gebaut ginn, musst Dir de VPN Service Log kucken, deen an der Datei gespäichert ass /var/log/cspvpngate.log. Eng komplett Lëscht vu Logbicher mat enger Beschreiwung vun hiren Inhalter ass an der Dokumentatioun verfügbar.
Iwwerwaachung vun der "Gesondheet" vum System
De S-Terra CC benotzt de Standard snmpd Daemon fir Iwwerwaachung. Zousätzlech zu typesche Linux-Parameteren, ënnerstëtzt aus der Këscht S-Terra d'Ausgab vun Daten iwwer IPSec-Tunnelen am Aklang mat dem CISCO-IPSEC-FLOW-MONITOR-MIB, dat ass wat mir benotze wann Dir de Status vun IPSec-Tunnelen iwwerwaacht. D'Funktionalitéit vu personaliséierten OIDs, déi d'Resultater vun der Skriptausféierung als Wäerter ausginn, gëtt och ënnerstëtzt. Dës Fonktioun erlaabt eis Zertifikat Verfallsdatum ze verfollegen. De schrëftleche Skript parséiert de Kommandoausgang cert_mgr weisen an als Resultat gëtt d'Zuel vun Deeg bis déi lokal a root Certificaten oflafen. Dës Technik ass onverzichtbar wann Dir eng grouss Zuel vu CABGs administréiert.
Wat ass de Virdeel vun esou Verschlësselung?
All déi uewe beschriwwe Funktionalitéit gëtt aus der Këscht vum S-Terra KSh ënnerstëtzt. Dat ass, et war kee Besoin fir zousätzlech Moduler z'installéieren, déi d'Zertifizéierung vu Krypto-Gateways an d'Zertifizéierung vum ganzen Informatiounssystem beaflosse kënnen. Et kann all Channels tëscht Siten ginn, och iwwer den Internet.
Wéinst der Tatsaach, datt wann d'intern Infrastruktur ännert, et net néideg ass, Krypto-Paarten nei ze konfiguréieren, de System funktionnéiert als Service, wat fir de Client ganz bequem ass: hie kann seng Servicer (Client a Server) op all Adressen placéieren, an all Ännerungen ginn dynamesch tëscht Verschlësselungsausrüstung transferéiert.
Natierlech beaflosst d'Verschlësselung wéinst Overheadkäschten (Overhead) d'Datentransfergeschwindegkeet, awer nëmme liicht - de Kanalduerchgang kann maximal 5-10% erofgoen. Zur selwechter Zäit gouf d'Technologie getest a gutt Resultater gewisen och op Satellitekanäl, déi zimlech onbestänneg sinn an eng kleng Bandbreedung hunn.
Igor Vinokhodov, Ingenieur vun der 2. Linn vun der Verwaltung vu Rostelecom-Solar
Source: will.com