🥇Mēs esam šifrēti saskaņā ar GOST: atgādinājums par dinamiskas trafika maršrutēšanas iestatīšanu

Ja jūsu uzņēmums tīklā nosūta vai saņem personas datus un citu konfidenciālu informāciju, kas ir pakļauta aizsardzībai saskaņā ar likumu, tam ir jāizmanto GOST šifrēšana. Šodien mēs jums pastāstīsim, kā mēs ieviesām šādu šifrēšanu, pamatojoties uz S-Terra kriptogrāfijas vārteju (CS) pie viena no klientiem. Šis stāsts būs interesants informācijas drošības speciālistiem, kā arī inženieriem, dizaineriem un arhitektiem. Šajā ierakstā mēs neiedziļināsimies tehniskās konfigurācijas niansēs; mēs koncentrēsimies uz pamata iestatīšanas galvenajiem punktiem. Internetā ir brīvi pieejams milzīgs dokumentācijas apjoms par Linux OS dēmonu iestatīšanu, uz kuriem balstās S-Terra CS. Dokumentācija patentētas S-Terra programmatūras iestatīšanai ir arī publiski pieejama vietnē portāls ražotājs.

Daži vārdi par projektu

Klienta tīkla topoloģija bija standarta - pilna acs starp centru un filiālēm. Bija nepieciešams ieviest informācijas apmaiņas kanālu šifrēšanu starp visām vietnēm, no kurām bija 8.

Parasti šādos projektos viss ir statisks: kriptogrāfijas vārtejās (CG) tiek iestatīti statiski maršruti uz vietnes vietējo tīklu, tiek reģistrēti šifrēšanas IP adrešu (ACL) saraksti. Tomēr šajā gadījumā vietnēm nav centralizētas kontroles, un to lokālajos tīklos var notikt jebkas: tīklus var pievienot, dzēst un modificēt visos iespējamos veidos. Lai izvairītos no maršrutēšanas un ACL pārkonfigurēšanas KS, mainot lokālo tīklu adresēšanu vietnēs, tika nolemts izmantot GRE tunelēšanu un OSPF dinamisko maršrutēšanu, kas ietver visas KS un lielāko daļu maršrutētāju tīkla kodola līmenī vietnēs ( dažās vietnēs infrastruktūras administratori ieteica izmantot SNAT, nevis KS kodola maršrutētājos).

GRE tunelēšana ļāva mums atrisināt divas problēmas:
1. Izmantojiet CS ārējās saskarnes IP adresi šifrēšanai ACL, kas ietver visu trafiku, kas tiek nosūtīts uz citām vietnēm.
2. Organizējiet ptp tuneļus starp CS, kas ļauj konfigurēt dinamisku maršrutēšanu (mūsu gadījumā pakalpojumu sniedzēja MPLS L3VPN tiek organizēts starp vietnēm).

Klients pasūtīja šifrēšanas ieviešanu kā pakalpojumu. Pretējā gadījumā viņam nāktos ne tikai uzturēt kriptovārtejus vai nodot tos kādai organizācijai, bet arī patstāvīgi uzraudzīt šifrēšanas sertifikātu dzīves ciklu, laicīgi tos atjaunot un uzstādīt jaunus.

Un tagad faktiskā piezīme - kā un ko mēs konfigurējām

Piezīme CII tēmai: kriptogrāfijas vārtejas iestatīšana

Tīkla pamata iestatīšana

Pirmkārt, mēs palaižam jaunu CS un nokļūstam administrācijas konsolē. Jums vajadzētu sākt, mainot iebūvēto administratora paroli - komandu mainīt lietotāja paroli administrators. Pēc tam jums ir jāveic inicializācijas procedūra (komanda inicializēt), kuras laikā tiek ievadīti licences dati un inicializēts nejaušo skaitļu sensors (RNS).

Pievērsiet uzmanību! Inicializējot S-Terra CC, tiek izveidota drošības politika, kurā drošības vārtejas saskarnes neļauj paketēm iziet cauri. Jums ir jāizveido sava politika vai jāizmanto komanda palaidiet csconf_mgr activate aktivizēt iepriekš definētu atļaušanas politiku.
Tālāk jums jākonfigurē ārējo un iekšējo saskarņu adresēšana, kā arī noklusējuma maršruts. Vēlams strādāt ar CS tīkla konfigurāciju un konfigurēt šifrēšanu, izmantojot Cisco līdzīgu konsoli. Šī konsole ir paredzēta Cisco IOS komandām līdzīgu komandu ievadīšanai. Konfigurācija, kas ģenerēta, izmantojot Cisco līdzīgu konsoli, savukārt tiek pārveidota par atbilstošajiem konfigurācijas failiem, ar kuriem darbojas OS dēmoni. Jūs varat doties uz Cisco līdzīgu konsoli no administrēšanas konsoles ar komandu konfigurēt.

Mainiet iebūvēto lietotāju cscons paroles un iespējojiet:

> iespējot
Parole: csp (iepriekš instalēta)
#konfigurēt termināli
#username cscons privilēģija 15 secret 0 #enable secret 0 Tīkla pamata konfigurācijas iestatīšana:

#interface GigabitEthernet0/0
#ip adrese 10.111.21.3 255.255.255.0
#bez izslēgšanas
#interface GigabitEthernet0/1
#ip adrese 192.168.2.5 255.255.255.252
#bez izslēgšanas
#ip maršruts 0.0.0.0 0.0.0.0 10.111.21.254

GRE

Izejiet no Cisco līdzīgās konsoles un dodieties uz debian čaulu ar komandu sistēma. Iestatiet lietotājam savu paroli sakne komanda passwd.
Katrā vadības telpā katrai vietai ir konfigurēts atsevišķs tunelis. Tuneļa interfeiss ir konfigurēts failā / etc / network / interfeisi. IP tuneļa utilīta, kas iekļauta iepriekš instalētajā iproute2 komplektā, ir atbildīga par pašas saskarnes izveidi. Saskarnes izveides komanda ir ierakstīta pirms-up opcijā.

Tipiska tuneļa saskarnes konfigurācijas piemērs:
auto vietne1
iface site1 inet statisks
adrese 192.168.1.4
netmask 255.255.255.254
pirms-up ip tunel pievienot vietnes1 režīms gre lokālais 10.111.21.3 tālvadības 10.111.22.3 atslēga hfLYEg^vCh6p

Pievērsiet uzmanību! Jāņem vērā, ka tuneļa saskarņu iestatījumiem jāatrodas ārpus sekcijas

###netifcfg-begin###
*****
###netifcfg-end###

Pretējā gadījumā šie iestatījumi tiks pārrakstīti, mainot fizisko saskarņu tīkla iestatījumus, izmantojot Cisco līdzīgu konsoli.

Dinamiskā maršrutēšana

S-Terra dinamiskā maršrutēšana tiek īstenota, izmantojot Quagga programmatūras pakotni. Lai konfigurētu OSPF, mums ir jāiespējo un jākonfigurē dēmoni zebra и ospfd. Zebras dēmons ir atbildīgs par saziņu starp maršrutēšanas dēmoniem un OS. ospfd dēmons, kā norāda nosaukums, ir atbildīgs par OSPF protokola ieviešanu.
OSPF tiek konfigurēts, izmantojot dēmona konsoli, vai tieši caur konfigurācijas failu /etc/quagga/ospfd.conf. Failam tiek pievienotas visas fiziskās un tuneļu saskarnes, kas piedalās dinamiskajā maršrutēšanā, un tiek deklarēti arī tīkli, kas tiks reklamēti un saņems paziņojumus.

Konfigurācijas piemērs, kas jāpievieno ospfd.conf:
interfeiss eth0
!
interfeiss eth1
!
interfeisa vietne1
!
interfeisa vietne2
maršrutētājs ospf
ospf router-id 192.168.2.21
tīkls 192.168.1.4/31 apgabals 0.0.0.0
tīkls 192.168.1.16/31 apgabals 0.0.0.0
tīkls 192.168.2.4/30 apgabals 0.0.0.0

Šajā gadījumā adreses 192.168.1.x/31 ir rezervētas tuneļu ptp tīkliem starp vietnēm, adreses 192.168.2.x/30 tiek piešķirtas tranzīta tīkliem starp CS un kodola maršrutētājiem.

Pievērsiet uzmanību! Lai samazinātu maršrutēšanas tabulu lielās instalācijās, varat filtrēt pašu tranzīta tīklu paziņojumus, izmantojot konstrukcijas nav pievienota pārdalīšana vai pārdalīt pievienoto maršruta karti.

Pēc dēmonu konfigurēšanas jums ir jāmaina dēmonu startēšanas statuss /etc/quagga/daemons. Opcijās zebra и ospfd nav izmaiņu uz jā. Palaidiet quagga dēmonu un iestatiet to uz automātisko palaišanu, kad sākat KS komandu update-rc.d quagga enable.

Ja GRE tuneļu un OSPF konfigurācija ir veikta pareizi, maršrutiem citu vietņu tīklā jāparādās KSh un galvenajos maršrutētājos, un tādējādi rodas tīkla savienojamība starp vietējiem tīkliem.

Mēs šifrējam pārraidīto trafiku

Kā jau tika rakstīts, parasti, šifrējot starp vietnēm, mēs norādām IP adrešu diapazonus (ACL), starp kuriem tiek šifrēta trafika: ja avota un galamērķa adrese ietilpst šajos diapazonos, tad satiksme starp tām tiek šifrēta. Taču šajā projektā struktūra ir dinamiska un adreses var mainīties. Tā kā mēs jau esam konfigurējuši GRE tunelēšanu, mēs varam norādīt ārējās KS adreses kā avota un galamērķa adreses trafika šifrēšanai - galu galā satiksme, kas jau ir iekapsulēta ar GRE protokolu, nonāk šifrēšanai. Citiem vārdiem sakot, viss, kas nokļūst CS no vienas vietnes lokālā tīkla uz tīkliem, par kuriem ir paziņojušas citas vietnes, tiek šifrēts. Un katrā no vietnēm var veikt jebkuru novirzīšanu. Tādējādi, ja notiek izmaiņas lokālajos tīklos, administratoram tikai jāmaina paziņojumi, kas nāk no viņa tīkla uz tīklu, un tie kļūs pieejami citām vietnēm.

Šifrēšana S-Terra CS tiek veikta, izmantojot IPSec protokolu. Mēs izmantojam “Grasshopper” algoritmu saskaņā ar GOST R 34.12-2015, un saderībai ar vecākām versijām varat izmantot GOST 28147-89. Autentificēšanu tehniski var veikt gan iepriekš definētām atslēgām (PSK), gan sertifikātiem. Tomēr rūpnieciskajā darbībā ir jāizmanto sertifikāti, kas izdoti saskaņā ar GOST R 34.10-2012.

Darbs ar sertifikātiem, konteineriem un CRL tiek veikts, izmantojot utilītu cert_mgr. Pirmkārt, izmantojot komandu cert_mgr izveidot nepieciešams ģenerēt privātās atslēgas konteineru un sertifikāta pieprasījumu, kas tiks nosūtīts uz Sertifikātu pārvaldības centru. Pēc sertifikāta saņemšanas tas ir jāimportē kopā ar saknes CA sertifikātu un CRL (ja tiek izmantots) ar komandu cert_mgr importēšana. Varat pārliecināties, ka visi sertifikāti un CRL ir instalēti ar komandu cert_mgr šovs.

Pēc veiksmīgas sertifikātu instalēšanas dodieties uz Cisco līdzīgu konsoli, lai konfigurētu IPSec.
Mēs izveidojam IKE politiku, kurā ir norādīti vēlamie veidojamā drošā kanāla algoritmi un parametri, kas tiks piedāvāti partnerim apstiprināšanai.

#crypto isakmp politika 1000
#encr gost341215k
#hash gost341112-512-tc26
#autentifikācijas zīme
#grupa vko2
#lifetime 3600

Šī politika tiek piemērota, veidojot IPSec pirmo posmu. Pirmā posma veiksmīgas pabeigšanas rezultāts ir SA (Drošības asociācijas) izveide.
Tālāk mums ir jādefinē avota un galamērķa IP adrešu (ACL) saraksts šifrēšanai, jāģenerē transformācijas kopa, jāizveido kriptogrāfiskā karte (kriptogrāfijas karte) un jāsaista tā ar CS ārējo saskarni.

Iestatīt ACL:
#ip piekļuves saraksta paplašinātā vietne1
#atļaut gre saimniekdators 10.111.21.3 resursdators 10.111.22.3

Transformāciju kopa (tāpat kā pirmajā fāzē, mēs izmantojam Grasshopper šifrēšanas algoritmu, izmantojot simulācijas ievietošanas ģenerēšanas režīmu):

#crypto ipsec transform-set GOST esp-gost341215k-mac

Mēs izveidojam kriptokarti, norādām ACL, transformācijas kopu un vienādranga adresi:

#kriptokarte GALVENĀ 100 ipsec-isakmp
#atbilst adreses vietnei1
#set transform-set GOST
#set peer 10.111.22.3

Mēs saistām kriptokarti ar kases aparāta ārējo saskarni:

#interface GigabitEthernet0/0
#ip adrese 10.111.21.3 255.255.255.0
#kriptokarte GALVENĀ

Lai šifrētu kanālus ar citām vietnēm, jums ir jāatkārto ACL un kriptokartes izveides procedūra, mainot ACL nosaukumu, IP adreses un kriptokartes numuru.

Pievērsiet uzmanību! Ja sertifikāta verifikācija ar CRL netiek izmantota, tas ir skaidri jānorāda:

#crypto pki trustpoint s-terra_technological_trustpoint
#revocation-pārbaudīt nav

Šajā brīdī iestatīšanu var uzskatīt par pabeigtu. Cisco līdzīgajā konsoles komandu izvadē parādīt crypto isakmp sa и rādīt crypto ipsec sa Jāatspoguļo izveidotā IPSec pirmā un otrā fāze. To pašu informāciju var iegūt, izmantojot komandu sa_mgr šovs, izpildīts no debian čaulas. Komandas izvadē cert_mgr šovs Ir jāparādās attālās vietnes sertifikātiem. Šādu sertifikātu statuss būs tālvadības. Ja tuneļi netiek būvēti, jums ir jāaplūko VPN pakalpojuma žurnāls, kas tiek saglabāts failā /var/log/cspvpngate.log. Pilns žurnālfailu saraksts ar to satura aprakstu ir pieejams dokumentācijā.

Sistēmas “veselības” uzraudzība

S-Terra CC uzraudzībai izmanto standarta snmpd dēmonu. Papildus tipiskajiem Linux parametriem S-Terra atbalsta datu izsniegšanu par IPSec tuneļiem saskaņā ar CISCO-IPSEC-FLOW-MONITOR-MIB, ko mēs izmantojam, uzraugot IPSec tuneļu statusu. Tiek atbalstīta arī pielāgoto OID funkcionalitāte, kas skripta izpildes rezultātus izvada kā vērtības. Šī funkcija ļauj mums izsekot sertifikātu derīguma termiņiem. Rakstītais skripts parsē komandas izvadi cert_mgr šovs un rezultātā dod dienu skaitu līdz vietējo un saknes sertifikātu derīguma termiņa beigām. Šis paņēmiens ir neaizstājams, ievadot lielu skaitu CABG.

Kāds ir šādas šifrēšanas ieguvums?

Visas iepriekš aprakstītās funkcionalitātes S-Terra KSh atbalsta. Proti, nebija jāinstalē nekādi papildu moduļi, kas varētu ietekmēt kriptovārteju sertifikāciju un visas informācijas sistēmas sertifikāciju. Starp vietnēm var būt jebkādi kanāli, pat izmantojot internetu.

Sakarā ar to, ka, mainoties iekšējai infrastruktūrai, nav nepieciešams pārkonfigurēt kriptogrāfijas vārtejas, sistēma darbojas kā pakalpojums, kas ir ļoti ērti klientam: viņš var izvietot savus pakalpojumus (klientu un serveri) jebkurā adresē, un visas izmaiņas tiks dinamiski pārsūtītas starp šifrēšanas iekārtām.

Protams, šifrēšana pieskaitāmo izmaksu (overhead) dēļ ietekmē datu pārraides ātrumu, taču tikai nedaudz – kanāla caurlaidspēja var samazināties maksimāli par 5-10%. Tajā pašā laikā tehnoloģija ir pārbaudīta un uzrādījusi labus rezultātus pat satelīta kanālos, kas ir diezgan nestabili un kuriem ir mazs joslas platums.

Igors Vinohodovs, Rostelecom-Solar 2. vadības līnijas inženieris

Avots: www.habr.com

Mēs šifrējam saskaņā ar GOST: ceļvedis dinamiskas trafika maršrutēšanas iestatīšanai