ພວກເຮົາເຂົ້າລະຫັດຕາມ GOST: ຄູ່ມືການກໍານົດເສັ້ນທາງການຈະລາຈອນແບບເຄື່ອນໄຫວ

ຖ້າບໍລິສັດຂອງທ່ານສົ່ງຫຼືໄດ້ຮັບຂໍ້ມູນສ່ວນບຸກຄົນແລະຂໍ້ມູນລັບອື່ນໆຜ່ານເຄືອຂ່າຍທີ່ມີການປົກປ້ອງຕາມກົດຫມາຍ, ມັນຈໍາເປັນຕ້ອງໃຊ້ການເຂົ້າລະຫັດ GOST. ມື້ນີ້ພວກເຮົາຈະບອກທ່ານກ່ຽວກັບວິທີທີ່ພວກເຮົາປະຕິບັດການເຂົ້າລະຫັດດັ່ງກ່າວໂດຍອີງໃສ່ S-Terra crypto gateway (CS) ຢູ່ຫນຶ່ງໃນລູກຄ້າ. ເລື່ອງນີ້ຈະເປັນຄວາມສົນໃຈຂອງຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພຂໍ້ມູນຂ່າວສານ, ເຊັ່ນດຽວກັນກັບວິສະວະກອນ, ນັກອອກແບບແລະສະຖາປະນິກ. ພວກ​ເຮົາ​ຈະ​ບໍ່​ລົງ​ເລິກ​ເຂົ້າ​ໄປ​ໃນ nuances ຂອງ​ການ​ຕັ້ງ​ຄ່າ​ທາງ​ດ້ານ​ວິ​ຊາ​ການ​ໃນ​ບົດ​ຄວາມ​ນີ້​; ພວກ​ເຮົາ​ຈະ​ສຸມ​ໃສ່​ຈຸດ​ສໍາ​ຄັນ​ຂອງ​ການ​ຕິດ​ຕັ້ງ​ພື້ນ​ຖານ​. ເອກະສານຈໍານວນຫຼວງຫຼາຍກ່ຽວກັບການຕັ້ງຄ່າ Linux OS daemons, ເຊິ່ງ S-Terra CS ອີງໃສ່, ແມ່ນສາມາດໃຊ້ໄດ້ໃນອິນເຕີເນັດ. ເອກະສານສຳລັບການຕັ້ງຄ່າຊອບແວ S-Terra ທີ່ເປັນກຳມະສິດຍັງມີໃຫ້ສາທາລະນະຢູ່ໃນ ປະຕູ ຜູ້ຜະລິດ.

ສອງສາມຄໍາກ່ຽວກັບໂຄງການ

topology ເຄືອຂ່າຍຂອງລູກຄ້າແມ່ນມາດຕະຖານ - ຕາຫນ່າງເຕັມລະຫວ່າງສູນກາງແລະສາຂາ. ມັນຈໍາເປັນຕ້ອງໄດ້ແນະນໍາການເຂົ້າລະຫັດຂອງຊ່ອງທາງການແລກປ່ຽນຂໍ້ມູນຂ່າວສານລະຫວ່າງສະຖານທີ່ທັງຫມົດ, ໃນນັ້ນມີ 8.

ປົກກະຕິແລ້ວໃນໂຄງການດັ່ງກ່າວທຸກສິ່ງທຸກຢ່າງແມ່ນ static: ເສັ້ນທາງ static ກັບເຄືອຂ່າຍທ້ອງຖິ່ນຂອງສະຖານທີ່ແມ່ນຕັ້ງຢູ່ໃນ crypto gateways (CGs), ບັນຊີລາຍຊື່ຂອງທີ່ຢູ່ IP (ACLs) ສໍາລັບການເຂົ້າລະຫັດໄດ້ຖືກລົງທະບຽນ. ຢ່າງໃດກໍ່ຕາມ, ໃນກໍລະນີນີ້, ສະຖານທີ່ບໍ່ມີການຄວບຄຸມສູນກາງ, ແລະສິ່ງໃດສາມາດເກີດຂື້ນພາຍໃນເຄືອຂ່າຍທ້ອງຖິ່ນຂອງພວກເຂົາ: ເຄືອຂ່າຍສາມາດຖືກເພີ່ມ, ລຶບ, ແລະແກ້ໄຂໃນທຸກໆທາງທີ່ເປັນໄປໄດ້. ເພື່ອຫຼີກເວັ້ນການ reconfigure routing ແລະ ACL ໃນ KS ໃນເວລາທີ່ມີການປ່ຽນແປງທີ່ຢູ່ຂອງເຄືອຂ່າຍທ້ອງຖິ່ນໃນສະຖານທີ່, ມັນໄດ້ຖືກຕັດສິນໃຈທີ່ຈະນໍາໃຊ້ GRE tunneling ແລະ OSPF routing ແບບເຄື່ອນໄຫວ, ເຊິ່ງປະກອບມີ KS ທັງຫມົດແລະ routers ສ່ວນໃຫຍ່ໃນລະດັບຫຼັກເຄືອຂ່າຍໃນສະຖານທີ່ (. ຢູ່ບາງບ່ອນ, ຜູ້ບໍລິຫານໂຄງສ້າງພື້ນຖານມັກໃຊ້ SNAT ຕໍ່ KS ໃນເຣົາເຕີ kernel).

GRE tunneling ອະນຸຍາດໃຫ້ພວກເຮົາແກ້ໄຂບັນຫາສອງຢ່າງ:
1. ໃຊ້ທີ່ຢູ່ IP ຂອງການໂຕ້ຕອບພາຍນອກຂອງ CS ສໍາລັບການເຂົ້າລະຫັດໃນ ACL, ເຊິ່ງ encapsulates ການຈະລາຈອນທັງຫມົດທີ່ຖືກສົ່ງໄປຫາສະຖານທີ່ອື່ນໆ.
2. ຈັດຕັ້ງອຸໂມງ p-t-p ລະຫວ່າງ CBs, ເຊິ່ງຊ່ວຍໃຫ້ທ່ານສາມາດກໍານົດເສັ້ນທາງແບບເຄື່ອນໄຫວ (ໃນກໍລະນີຂອງພວກເຮົາ, ຜູ້ໃຫ້ບໍລິການ MPLS L3VPN ແມ່ນຈັດລະຫວ່າງສະຖານທີ່).

ລູກຄ້າສັ່ງໃຫ້ປະຕິບັດການເຂົ້າລະຫັດເປັນບໍລິການ. ຖ້າບໍ່ດັ່ງນັ້ນ, ລາວຈະຕ້ອງບໍ່ພຽງແຕ່ຮັກສາປະຕູ crypto ຫຼື outsource ໃຫ້ເຂົາເຈົ້າກັບອົງການຈັດຕັ້ງຈໍານວນຫນຶ່ງ, ແຕ່ຍັງເປັນເອກະລາດຕິດຕາມກວດກາວົງຈອນຊີວິດຂອງໃບຢັ້ງຢືນການເຂົ້າລະຫັດ, ຕໍ່ອາຍຸໃຫ້ເຂົາເຈົ້າທັນເວລາແລະຕິດຕັ້ງໃຫມ່.

ແລະໃນປັດຈຸບັນບັນທຶກຕົວຈິງ - ວິທີການແລະສິ່ງທີ່ພວກເຮົາ configured

ຫມາຍເຫດກ່ຽວກັບຫົວຂໍ້ CII: ການຕັ້ງຄ່າປະຕູທາງ crypto

ການຕັ້ງຄ່າເຄືອຂ່າຍພື້ນຖານ

ກ່ອນອື່ນ ໝົດ, ພວກເຮົາເປີດຕົວ CS ໃໝ່ ແລະເຂົ້າໄປໃນ console ບໍລິຫານ. ທ່ານຄວນເລີ່ມຕົ້ນໂດຍການປ່ຽນລະຫັດຜ່ານຂອງຜູ້ເບິ່ງແຍງລະບົບ - ຄໍາສັ່ງ ປ່ຽນຜູ້ເບິ່ງແຍງລະຫັດຜ່ານຂອງຜູ້ໃຊ້. ຫຼັງຈາກນັ້ນ, ທ່ານຈໍາເປັນຕ້ອງໄດ້ດໍາເນີນຂັ້ນຕອນການເລີ່ມຕົ້ນ (ຄໍາສັ່ງ ເລີ່ມຕົ້ນ) ໃນ​ລະ​ຫວ່າງ​ທີ່​ຂໍ້​ມູນ​ໃບ​ອະ​ນຸ​ຍາດ​ໄດ້​ຖືກ​ປ້ອນ​ແລະ​ເຊັນ​ເຊີ​ຈໍາ​ນວນ Random (RNS​) ແມ່ນ​ໄດ້​ເລີ່ມ​ຕົ້ນ​.

ຈ່າຍເອົາໃຈໃສ່! ເມື່ອ S-Terra CC ຖືກເລີ່ມຕົ້ນ, ນະໂຍບາຍຄວາມປອດໄພຖືກສ້າງຕັ້ງຂຶ້ນເຊິ່ງສ່ວນຕິດຕໍ່ປະຕູຄວາມປອດໄພບໍ່ອະນຸຍາດໃຫ້ແພັກເກັດຜ່ານ. ທ່ານຕ້ອງສ້າງນະໂຍບາຍຂອງທ່ານເອງຫຼືໃຊ້ຄໍາສັ່ງ ເປີດໃຊ້ csconf_mgr ເປີດໃຊ້ ເປີດໃຊ້ນະໂຍບາຍການອະນຸຍາດທີ່ກຳນົດໄວ້ລ່ວງໜ້າ.
ຕໍ່ໄປ, ທ່ານຈໍາເປັນຕ້ອງໄດ້ກໍານົດທີ່ຢູ່ຂອງການໂຕ້ຕອບພາຍນອກແລະພາຍໃນ, ເຊັ່ນດຽວກັນກັບເສັ້ນທາງເລີ່ມຕົ້ນ. ມັນດີກວ່າທີ່ຈະເຮັດວຽກກັບການຕັ້ງຄ່າເຄືອຂ່າຍ CS ແລະຕັ້ງຄ່າການເຂົ້າລະຫັດຜ່ານ console ຄ້າຍຄື Cisco. console ນີ້ຖືກອອກແບບມາເພື່ອໃສ່ຄໍາສັ່ງທີ່ຄ້າຍຄືກັນກັບຄໍາສັ່ງ Cisco IOS. ການຕັ້ງຄ່າທີ່ສ້າງຂຶ້ນໂດຍໃຊ້ console ຄ້າຍຄື Cisco ແມ່ນ, ໃນທາງກັບກັນ, ປ່ຽນເປັນໄຟລ໌ການຕັ້ງຄ່າທີ່ສອດຄ້ອງກັນທີ່ daemons OS ເຮັດວຽກ. ທ່ານສາມາດໄປຫາ console ຄ້າຍຄື Cisco ຈາກ console ບໍລິຫານດ້ວຍຄໍາສັ່ງ configure.

ປ່ຽນລະຫັດຜ່ານສໍາລັບ cscons ຜູ້ໃຊ້ໃນຕົວແລະເປີດໃຊ້:

>ເປີດໃຊ້ງານ
ລະຫັດຜ່ານ: csp (ຕິດຕັ້ງໄວ້ລ່ວງໜ້າ)
# ຕັ້ງຄ່າ terminal
#username cscons privilege 15 secret 0 #enable secret 0 ການຕັ້ງຄ່າການຕັ້ງຄ່າເຄືອຂ່າຍພື້ນຖານ:

#ການໂຕ້ຕອບ GigabitEthernet0/0
#ip ທີ່ຢູ່ 10.111.21.3 255.255.255.0
#ບໍ່ມີການປິດ
#ການໂຕ້ຕອບ GigabitEthernet0/1
#ip ທີ່ຢູ່ 192.168.2.5 255.255.255.252
#ບໍ່ມີການປິດ
#ip ເສັ້ນທາງ 0.0.0.0 0.0.0.0 10.111.21.254

GRE

ອອກຈາກ console ຄ້າຍຄື Cisco ແລະໄປທີ່ debian shell ດ້ວຍຄໍາສັ່ງ ລະບົບ. ຕັ້ງລະຫັດຜ່ານຂອງທ່ານເອງສໍາລັບຜູ້ໃຊ້ ຮາກ ທີມງານ passwd.
ໃນແຕ່ລະຫ້ອງຄວບຄຸມ, ອຸໂມງແຍກຕ່າງຫາກໄດ້ຖືກຕັ້ງຄ່າສໍາລັບແຕ່ລະສະຖານທີ່. ອິນເຕີເຟດ tunnel ຖືກຕັ້ງຄ່າໃນໄຟລ໌ / etc / network / ອິນເຕີເຟດ. ຜົນປະໂຫຍດອຸໂມງ IP, ລວມຢູ່ໃນຊຸດ iproute2 ທີ່ຕິດຕັ້ງໄວ້ລ່ວງໜ້າ, ຮັບຜິດຊອບໃນການສ້າງສ່ວນຕິດຕໍ່ຂອງຕົວມັນເອງ. ຄໍາສັ່ງການສ້າງການໂຕ້ຕອບແມ່ນຂຽນເຂົ້າໄປໃນຕົວເລືອກກ່ອນ.

ຕົວຢ່າງການຕັ້ງຄ່າຂອງອິນເຕີເຟດອຸໂມງແບບປົກກະຕິ:
auto site1
iface site1 inet static
ທີ່ຢູ່ 192.168.1.4
netmask 255.255.255.254
pre-up ip tunnel ເພີ່ມ site1 mode gre local 10.111.21.3 remote 10.111.22.3 key hfLYEg^vCh6p

ຈ່າຍເອົາໃຈໃສ່! ຄວນສັງເກດວ່າການຕັ້ງຄ່າສໍາລັບການໂຕ້ຕອບ tunnel ຕ້ອງຕັ້ງຢູ່ນອກພາກ

###netifcfg-ເລີ່ມຕົ້ນ###
*****
###netifcfg-end###

ຖ້າບໍ່ດັ່ງນັ້ນ, ການຕັ້ງຄ່າເຫຼົ່ານີ້ຈະຖືກຂຽນທັບເມື່ອປ່ຽນການຕັ້ງຄ່າເຄືອຂ່າຍຂອງການໂຕ້ຕອບທາງກາຍະພາບຜ່ານ console ຄ້າຍຄື Cisco.

ການກຳນົດເສັ້ນທາງແບບໄດນາມິກ

ໃນ S-Terra, ການຈັດເສັ້ນທາງແບບໄດນາມິກຖືກປະຕິບັດໂດຍໃຊ້ຊຸດຊອບແວ Quagga. ເພື່ອຕັ້ງຄ່າ OSPF ພວກເຮົາຈໍາເປັນຕ້ອງເປີດໃຊ້ງານ ແລະຕັ້ງຄ່າ daemons zebra и ospfd. zebra daemon ແມ່ນຮັບຜິດຊອບສໍາລັບການສື່ສານລະຫວ່າງ daemon routing ແລະ OS. ospfd daemon, ຕາມຊື່ແນະນໍາ, ມີຄວາມຮັບຜິດຊອບໃນການປະຕິບັດອະນຸສັນຍາ OSPF.
OSPF ຖືກປັບຕັ້ງຜ່ານ daemon console ຫຼືໂດຍກົງຜ່ານໄຟລ໌ການຕັ້ງຄ່າ /etc/quagga/ospfd.conf. ທຸກໆຕົວເຊື່ອມຕໍ່ທາງກາຍະພາບແລະອຸໂມງທີ່ເຂົ້າຮ່ວມໃນເສັ້ນທາງໄດນາມິກໄດ້ຖືກເພີ່ມເຂົ້າໃນໄຟລ໌, ແລະເຄືອຂ່າຍທີ່ຈະໄດ້ຮັບການໂຄສະນາແລະໄດ້ຮັບການປະກາດຍັງຖືກປະກາດ.

ຕົວຢ່າງຂອງການຕັ້ງຄ່າທີ່ຕ້ອງການເພີ່ມໃສ່ ospfd.conf:
ການໂຕ້ຕອບ eth0
!
ການໂຕ້ຕອບ eth1
!
ອິນເຕີເຟດ site1
!
ອິນເຕີເຟດ site2
ospf router
ospf router-id 192.168.2.21
ເຄືອຂ່າຍ 192.168.1.4/31 ພື້ນທີ່ 0.0.0.0
ເຄືອຂ່າຍ 192.168.1.16/31 ພື້ນທີ່ 0.0.0.0
ເຄືອຂ່າຍ 192.168.2.4/30 ພື້ນທີ່ 0.0.0.0

ໃນກໍລະນີນີ້, ທີ່ຢູ່ 192.168.1.x/31 ຖືກສະຫງວນໄວ້ສໍາລັບເຄືອຂ່າຍ tunnel ptp ລະຫວ່າງສະຖານທີ່, ທີ່ຢູ່ 192.168.2.x/30 ຖືກຈັດສັນສໍາລັບເຄືອຂ່າຍການຂົນສົ່ງລະຫວ່າງ CS ແລະ kernel routers.

ຈ່າຍເອົາໃຈໃສ່! ເພື່ອຫຼຸດຜ່ອນຕາຕະລາງເສັ້ນທາງໃນການຕິດຕັ້ງຂະຫນາດໃຫຍ່, ທ່ານສາມາດກັ່ນຕອງການໂຄສະນາຂອງເຄືອຂ່າຍການຂົນສົ່ງດ້ວຍຕົນເອງໂດຍໃຊ້ໂຄງສ້າງ. ບໍ່ມີການເຊື່ອມຕໍ່ການແຈກຢາຍຄືນ ຫຼື ແຈກຢາຍແຜນທີ່ເສັ້ນທາງທີ່ເຊື່ອມຕໍ່ຄືນໃໝ່.

ຫຼັງຈາກການຕັ້ງຄ່າ daemon, ທ່ານຈໍາເປັນຕ້ອງປ່ຽນສະຖານະເລີ່ມຕົ້ນຂອງ daemon ໃນ /etc/quagga/daemon. ໃນທາງເລືອກ zebra и ospfd ບໍ່ມີການປ່ຽນແປງແມ່ນແລ້ວ. ເລີ່ມ quagga daemon ແລະຕັ້ງມັນເປັນ autorun ເມື່ອທ່ານເລີ່ມຕົ້ນຄໍາສັ່ງ KS update-rc.d quagga ເປີດໃຊ້ງານ.

ຖ້າການຕັ້ງຄ່າອຸໂມງ GRE ແລະ OSPF ຖືກປະຕິບັດຢ່າງຖືກຕ້ອງ, ເສັ້ນທາງໃນເຄືອຂ່າຍຂອງສະຖານທີ່ອື່ນໆຄວນຈະປາກົດຢູ່ໃນ Router KSh ແລະຫຼັກແລະດັ່ງນັ້ນ, ການເຊື່ອມຕໍ່ເຄືອຂ່າຍລະຫວ່າງເຄືອຂ່າຍທ້ອງຖິ່ນເກີດຂື້ນ.

ພວກເຮົາເຂົ້າລະຫັດການຈະລາຈອນທີ່ສົ່ງຜ່ານ

ດັ່ງທີ່ໄດ້ຂຽນໄວ້ແລ້ວ, ໂດຍປົກກະຕິເມື່ອເຂົ້າລະຫັດລະຫວ່າງເວັບໄຊທ໌, ພວກເຮົາກໍານົດຂອບເຂດທີ່ຢູ່ IP (ACLs) ລະຫວ່າງການຈະລາຈອນທີ່ຖືກເຂົ້າລະຫັດ: ຖ້າແຫຼ່ງແລະທີ່ຢູ່ປາຍທາງຕົກຢູ່ໃນຂອບເຂດເຫຼົ່ານີ້, ການຈະລາຈອນລະຫວ່າງພວກມັນຈະຖືກເຂົ້າລະຫັດ. ຢ່າງໃດກໍຕາມ, ໃນໂຄງການນີ້ໂຄງສ້າງແມ່ນແບບເຄື່ອນໄຫວແລະທີ່ຢູ່ອາດຈະມີການປ່ຽນແປງ. ເນື່ອງຈາກພວກເຮົາໄດ້ຕັ້ງຄ່າ GRE tunneling ແລ້ວ, ພວກເຮົາສາມາດລະບຸທີ່ຢູ່ KS ພາຍນອກເປັນທີ່ຢູ່ແຫຼ່ງແລະທີ່ຢູ່ປາຍທາງສໍາລັບການເຂົ້າລະຫັດລັບ - ຫຼັງຈາກທີ່ທັງຫມົດ, ການຈະລາຈອນທີ່ຖືກ encapsulated ໂດຍ GRE protocol ມາຮອດສໍາລັບການເຂົ້າລະຫັດ. ໃນຄໍາສັບຕ່າງໆອື່ນໆ, ທຸກສິ່ງທຸກຢ່າງທີ່ເຂົ້າໄປໃນ CS ຈາກເຄືອຂ່າຍທ້ອງຖິ່ນຂອງເວັບໄຊທ໌ຫນຶ່ງໄປສູ່ເຄືອຂ່າຍທີ່ໄດ້ຮັບການປະກາດໂດຍສະຖານທີ່ອື່ນໆແມ່ນຖືກເຂົ້າລະຫັດ. ແລະພາຍໃນແຕ່ລະສະຖານທີ່ການປ່ຽນເສັ້ນທາງສາມາດປະຕິບັດໄດ້. ດັ່ງນັ້ນ, ຖ້າມີການປ່ຽນແປງໃດໆໃນເຄືອຂ່າຍທ້ອງຖິ່ນ, ຜູ້ບໍລິຫານພຽງແຕ່ຕ້ອງດັດແປງການປະກາດທີ່ມາຈາກເຄືອຂ່າຍຂອງລາວໄປສູ່ເຄືອຂ່າຍ, ແລະມັນຈະມີຢູ່ໃນເວັບໄຊທ໌ອື່ນໆ.

ການເຂົ້າລະຫັດໃນ S-Terra CS ແມ່ນດໍາເນີນການໂດຍໃຊ້ໂປໂຕຄອນ IPSec. ພວກເຮົາໃຊ້ສູດການຄິດໄລ່ "Grassshopper" ຕາມ GOST R 34.12-2015, ແລະເພື່ອຄວາມເຂົ້າກັນໄດ້ກັບຮຸ່ນເກົ່າ, ທ່ານສາມາດນໍາໃຊ້ GOST 28147-89. ການກວດສອບຄວາມຖືກຕ້ອງສາມາດປະຕິບັດໄດ້ທາງດ້ານເຕັກນິກໃນທັງສອງກະແຈທີ່ກໍານົດໄວ້ກ່ອນ (PSKs) ແລະໃບຢັ້ງຢືນ. ຢ່າງໃດກໍ່ຕາມ, ໃນການດໍາເນີນງານອຸດສາຫະກໍາມັນຈໍາເປັນຕ້ອງໃຊ້ໃບຢັ້ງຢືນທີ່ອອກໃຫ້ສອດຄ່ອງກັບ GOST R 34.10-2012.

ການເຮັດວຽກກັບໃບຢັ້ງຢືນ, ຕູ້ຄອນເທນເນີແລະ CRLs ແມ່ນເຮັດໂດຍໃຊ້ປະໂຫຍດ cert_mgr. ກ່ອນອື່ນ ໝົດ, ໃຊ້ ຄຳ ສັ່ງ cert_mgr ສ້າງ ມັນເປັນສິ່ງຈໍາເປັນທີ່ຈະສ້າງຖັງກະແຈສ່ວນຕົວແລະການຮ້ອງຂໍໃບຢັ້ງຢືນ, ເຊິ່ງຈະຖືກສົ່ງໄປຫາສູນການຄຸ້ມຄອງໃບຢັ້ງຢືນ. ຫຼັງຈາກໄດ້ຮັບໃບຢັ້ງຢືນ, ມັນຕ້ອງຖືກນໍາເຂົ້າພ້ອມກັບໃບຢັ້ງຢືນ CA ຮາກແລະ CRL (ຖ້າໃຊ້) ດ້ວຍຄໍາສັ່ງ cert_mgr ນໍາເຂົ້າ. ທ່ານສາມາດໃຫ້ແນ່ໃຈວ່າໃບຢັ້ງຢືນແລະ CRLs ທັງຫມົດຖືກຕິດຕັ້ງດ້ວຍຄໍາສັ່ງ cert_mgr ສະແດງ.

ຫຼັງຈາກການຕິດຕັ້ງໃບຮັບຮອງສຳເລັດແລ້ວ, ໃຫ້ໄປທີ່ຄອນໂຊທີ່ຄ້າຍ Cisco ເພື່ອຕັ້ງຄ່າ IPSec.
ພວກເຮົາສ້າງນະໂຍບາຍ IKE ທີ່ລະບຸສູດການຄິດໄລ່ທີ່ຕ້ອງການ ແລະພາລາມິເຕີຂອງຊ່ອງທີ່ປອດໄພທີ່ກຳລັງຖືກສ້າງ, ເຊິ່ງຈະຖືກສະເໜີໃຫ້ຄູ່ຮ່ວມງານເພື່ອອະນຸມັດ.

ນະໂຍບາຍ #crypto isakmp 1000
#encr gost341215k
#hash gost341112-512-tc26
#ເຄື່ອງໝາຍຢືນຢັນ
#ກຸ່ມ vko2
#ຕະຫຼອດຊີວິດ 3600

ນະໂຍບາຍນີ້ຖືກນຳໃຊ້ເມື່ອສ້າງໄລຍະທຳອິດຂອງ IPSec. ໝາກຜົນ​ແຫ່ງ​ການ​ປະຕິບັດ​ສຳ​ເລັດ​ໄລຍະ​ທຳ​ອິດ​ແມ່ນ​ການ​ສ້າງ​ຕັ້ງ SA (ສະມາຄົມ​ຄວາມ​ໝັ້ນຄົງ).
ຕໍ່ໄປ, ພວກເຮົາຈໍາເປັນຕ້ອງກໍານົດບັນຊີລາຍຊື່ຂອງທີ່ຢູ່ IP ແຫຼ່ງແລະປາຍທາງ (ACL) ສໍາລັບການເຂົ້າລະຫັດ, ສ້າງຊຸດການຫັນປ່ຽນ, ສ້າງແຜນທີ່ cryptographic (ແຜນທີ່ crypto) ແລະຜູກມັດມັນກັບການໂຕ້ຕອບພາຍນອກຂອງ CS.

ຕັ້ງ ACL:
#ip access-list extension site1
#permit gre host 10.111.21.3 ເຈົ້າພາບ 10.111.22.3

ຊຸດຂອງການຫັນປ່ຽນ (ເຊັ່ນດຽວກັນກັບໄລຍະທໍາອິດ, ພວກເຮົາໃຊ້ "Grassshopper" algorithm ການເຂົ້າລະຫັດໂດຍໃຊ້ຮູບແບບການສ້າງການໃສ່ລະຫັດ simulation):

#crypto ipsec transform-set GOST esp-gost341215k-mac

ພວກເຮົາສ້າງແຜນທີ່ crypto, ລະບຸ ACL, ປ່ຽນຊຸດແລະທີ່ຢູ່ peer:

ແຜນທີ່ #crypto ຫຼັກ 100 ipsec-isakmp
#ທີ່​ຢູ່​ທີ່​ກົງ​ກັນ 1
#set transform-set GOST
#set peer 10.111.22.3

ພວກເຮົາຜູກມັດບັດ crypto ກັບສ່ວນຕິດຕໍ່ພາຍນອກຂອງທະບຽນເງິນສົດ:

#ການໂຕ້ຕອບ GigabitEthernet0/0
#ip ທີ່ຢູ່ 10.111.21.3 255.255.255.0
ແຜນທີ່ #crypto ຫຼັກ

ເພື່ອເຂົ້າລະຫັດຊ່ອງກັບສະຖານທີ່ອື່ນໆ, ທ່ານຕ້ອງເຮັດຊ້ໍາຂັ້ນຕອນການສ້າງ ACL ແລະບັດ crypto, ປ່ຽນຊື່ ACL, ທີ່ຢູ່ IP ແລະເລກບັດ crypto.

ຈ່າຍເອົາໃຈໃສ່! ຖ້າການຢັ້ງຢືນໃບຢັ້ງຢືນໂດຍ CRL ບໍ່ໄດ້ຖືກນໍາໃຊ້, ນີ້ຕ້ອງໄດ້ຮັບການລະບຸຢ່າງຊັດເຈນ:

#crypto pki trustpoint s-terra_technological_trustpoint
#revocation-check none

ໃນຈຸດນີ້, ການຕິດຕັ້ງສາມາດຖືກພິຈາລະນາສໍາເລັດ. ໃນ Cisco-like console command output ສະແດງໃຫ້ເຫັນ crypto isakmp sa и ສະແດງ crypto ipsec sa ການກໍ່ສ້າງໄລຍະທໍາອິດແລະທີສອງຂອງ IPSec ຄວນສະທ້ອນໃຫ້ເຫັນ. ຂໍ້ມູນດຽວກັນສາມາດໄດ້ຮັບໂດຍໃຊ້ຄໍາສັ່ງ sa_mgr ສະແດງ, ປະຕິບັດຈາກ debian shell. ໃນ​ການ​ອອກ​ຄໍາ​ສັ່ງ​ cert_mgr ສະແດງ ໃບຢັ້ງຢືນສະຖານທີ່ຫ່າງໄກສອກຫຼີກຄວນຈະປາກົດ. ສະຖານະພາບຂອງໃບຢັ້ງຢືນດັ່ງກ່າວຈະເປັນ ໄລຍະໄກ. ຖ້າອຸໂມງບໍ່ໄດ້ຖືກສ້າງ, ທ່ານຈໍາເປັນຕ້ອງເບິ່ງບັນທຶກການບໍລິການ VPN, ເຊິ່ງຖືກເກັບໄວ້ໃນໄຟລ໌ /var/log/cspvpngate.log. ບັນຊີລາຍຊື່ເຕັມຂອງໄຟລ໌ບັນທຶກທີ່ມີຄໍາອະທິບາຍກ່ຽວກັບເນື້ອໃນຂອງພວກເຂົາແມ່ນມີຢູ່ໃນເອກະສານ.

ຕິດຕາມກວດກາ "ສຸຂະພາບ" ຂອງລະບົບ

S-Terra CC ໃຊ້ daemon snmpd ມາດຕະຖານສໍາລັບການຕິດຕາມ. ນອກເຫນືອໄປຈາກຕົວກໍານົດການ Linux ປົກກະຕິ, ອອກຈາກກ່ອງ S-Terra ສະຫນັບສະຫນູນການອອກຂໍ້ມູນກ່ຽວກັບອຸໂມງ IPSec ຕາມ CISCO-IPSEC-FLOW-MONITOR-MIB, ເຊິ່ງເປັນສິ່ງທີ່ພວກເຮົາໃຊ້ໃນເວລາທີ່ຕິດຕາມກວດກາສະຖານະການຂອງອຸໂມງ IPSec. ການທໍາງານຂອງ OIDs ແບບກໍານົດເອງທີ່ຜົນໄດ້ຮັບຂອງການປະຕິບັດສະຄິບເປັນຄ່າແມ່ນສະຫນັບສະຫນູນ. ຄຸນສົມບັດນີ້ອະນຸຍາດໃຫ້ພວກເຮົາຕິດຕາມວັນໝົດອາຍຸຂອງໃບຢັ້ງຢືນ. ສະຄຣິບທີ່ຂຽນຈະວິເຄາະຜົນອອກຄຳສັ່ງ cert_mgr ສະແດງ ແລະເປັນຜົນໃຫ້ຈໍານວນມື້ຈົນກ່ວາໃບຢັ້ງຢືນທ້ອງຖິ່ນແລະຮາກຫມົດອາຍຸ. ເຕັກນິກນີ້ແມ່ນຂາດບໍ່ໄດ້ໃນເວລາທີ່ບໍລິຫານ CABGs ຈໍານວນຫລາຍ.

ຜົນປະໂຫຍດຂອງການເຂົ້າລະຫັດດັ່ງກ່າວແມ່ນຫຍັງ?

ການທໍາງານທັງຫມົດທີ່ອະທິບາຍຂ້າງເທິງນີ້ແມ່ນສະຫນັບສະຫນູນອອກຈາກກ່ອງໂດຍ S-Terra KSh. ນັ້ນແມ່ນ, ບໍ່ຈໍາເປັນຕ້ອງຕິດຕັ້ງໂມດູນເພີ່ມເຕີມທີ່ສາມາດສົ່ງຜົນກະທົບຕໍ່ການຢັ້ງຢືນຂອງ crypto gateways ແລະການຢັ້ງຢືນຂອງລະບົບຂໍ້ມູນທັງຫມົດ. ສາມາດມີຊ່ອງທາງຕ່າງໆລະຫວ່າງສະຖານທີ່, ເຖິງແມ່ນວ່າຜ່ານອິນເຕີເນັດ.

ເນື່ອງຈາກຄວາມຈິງທີ່ວ່າໃນເວລາທີ່ໂຄງສ້າງພື້ນຖານພາຍໃນມີການປ່ຽນແປງ, ບໍ່ຈໍາເປັນຕ້ອງ configure gateways crypto, ລະບົບເຮັດວຽກເປັນການບໍລິການ, ເຊິ່ງສະດວກຫຼາຍສໍາລັບລູກຄ້າ: ລາວສາມາດຈັດວາງການບໍລິການຂອງລາວ (ລູກຄ້າແລະເຄື່ອງແມ່ຂ່າຍ) ທີ່ຢູ່ໃດໆ, ແລະການປ່ຽນແປງທັງຫມົດຈະຖືກໂອນແບບເຄື່ອນໄຫວລະຫວ່າງອຸປະກອນການເຂົ້າລະຫັດ.

ແນ່ນອນ, ການເຂົ້າລະຫັດເນື່ອງຈາກຄ່າໃຊ້ຈ່າຍເກີນ (overhead) ຜົນກະທົບຕໍ່ຄວາມໄວໃນການໂອນຂໍ້ມູນ, ແຕ່ວ່າພຽງແຕ່ເລັກນ້ອຍ - ຊ່ອງທາງຜ່ານສາມາດຫຼຸດລົງໄດ້ສູງສຸດ 5-10%. ໃນເວລາດຽວກັນ, ເຕັກໂນໂລຢີໄດ້ຖືກທົດສອບແລະສະແດງໃຫ້ເຫັນຜົນໄດ້ຮັບທີ່ດີເຖິງແມ່ນວ່າຢູ່ໃນຊ່ອງທາງດາວທຽມ, ເຊິ່ງຂ້ອນຂ້າງບໍ່ຫມັ້ນຄົງແລະມີແບນວິດຕ່ໍາ.

Igor Vinokhodov, ວິສະວະກອນຂອງສາຍທີ 2 ຂອງການບໍລິຫານ Rostelecom-Solar

ແຫຼ່ງຂໍ້ມູນ: www.habr.com