Ja jÅ«su uzÅÄmums tÄ«klÄ nosÅ«ta vai saÅem personas datus un citu konfidenciÄlu informÄciju, kas ir pakļauta aizsardzÄ«bai saskaÅÄ ar likumu, tam ir jÄizmanto GOST Å”ifrÄÅ”ana. Å odien mÄs jums pastÄstÄ«sim, kÄ mÄs ieviesÄm Å”Ädu Å”ifrÄÅ”anu, pamatojoties uz S-Terra kriptogrÄfijas vÄrteju (CS) pie viena no klientiem. Å is stÄsts bÅ«s interesants informÄcijas droŔības speciÄlistiem, kÄ arÄ« inženieriem, dizaineriem un arhitektiem. Å ajÄ ierakstÄ mÄs neiedziļinÄsimies tehniskÄs konfigurÄcijas niansÄs; mÄs koncentrÄsimies uz pamata iestatÄ«Å”anas galvenajiem punktiem. InternetÄ ir brÄ«vi pieejams milzÄ«gs dokumentÄcijas apjoms par Linux OS dÄmonu iestatÄ«Å”anu, uz kuriem balstÄs S-Terra CS. DokumentÄcija patentÄtas S-Terra programmatÅ«ras iestatÄ«Å”anai ir arÄ« publiski pieejama vietnÄ
Daži vÄrdi par projektu
Klienta tÄ«kla topoloÄ£ija bija standarta - pilna acs starp centru un filiÄlÄm. Bija nepiecieÅ”ams ieviest informÄcijas apmaiÅas kanÄlu Å”ifrÄÅ”anu starp visÄm vietnÄm, no kurÄm bija 8.
Parasti Å”Ädos projektos viss ir statisks: kriptogrÄfijas vÄrtejÄs (CG) tiek iestatÄ«ti statiski marÅ”ruti uz vietnes vietÄjo tÄ«klu, tiek reÄ£istrÄti Å”ifrÄÅ”anas IP adreÅ”u (ACL) saraksti. TomÄr Å”ajÄ gadÄ«jumÄ vietnÄm nav centralizÄtas kontroles, un to lokÄlajos tÄ«klos var notikt jebkas: tÄ«klus var pievienot, dzÄst un modificÄt visos iespÄjamos veidos. Lai izvairÄ«tos no marÅ”rutÄÅ”anas un ACL pÄrkonfigurÄÅ”anas KS, mainot lokÄlo tÄ«klu adresÄÅ”anu vietnÄs, tika nolemts izmantot GRE tunelÄÅ”anu un OSPF dinamisko marÅ”rutÄÅ”anu, kas ietver visas KS un lielÄko daļu marÅ”rutÄtÄju tÄ«kla kodola lÄ«menÄ« vietnÄs ( dažÄs vietnÄs infrastruktÅ«ras administratori ieteica izmantot SNAT, nevis KS kodola marÅ”rutÄtÄjos).
GRE tunelÄÅ”ana ļÄva mums atrisinÄt divas problÄmas:
1. Izmantojiet CS ÄrÄjÄs saskarnes IP adresi Å”ifrÄÅ”anai ACL, kas ietver visu trafiku, kas tiek nosÅ«tÄ«ts uz citÄm vietnÄm.
2. OrganizÄjiet ptp tuneļus starp CS, kas ļauj konfigurÄt dinamisku marÅ”rutÄÅ”anu (mÅ«su gadÄ«jumÄ pakalpojumu sniedzÄja MPLS L3VPN tiek organizÄts starp vietnÄm).
Klients pasÅ«tÄ«ja Å”ifrÄÅ”anas ievieÅ”anu kÄ pakalpojumu. PretÄjÄ gadÄ«jumÄ viÅam nÄktos ne tikai uzturÄt kriptovÄrtejus vai nodot tos kÄdai organizÄcijai, bet arÄ« patstÄvÄ«gi uzraudzÄ«t Å”ifrÄÅ”anas sertifikÄtu dzÄ«ves ciklu, laicÄ«gi tos atjaunot un uzstÄdÄ«t jaunus.
Un tagad faktiskÄ piezÄ«me - kÄ un ko mÄs konfigurÄjÄm
PiezÄ«me CII tÄmai: kriptogrÄfijas vÄrtejas iestatÄ«Å”ana
Tīkla pamata iestatīŔana
PirmkÄrt, mÄs palaižam jaunu CS un nokļūstam administrÄcijas konsolÄ. Jums vajadzÄtu sÄkt, mainot iebÅ«vÄto administratora paroli - komandu mainÄ«t lietotÄja paroli administrators. PÄc tam jums ir jÄveic inicializÄcijas procedÅ«ra (komanda inicializÄt), kuras laikÄ tiek ievadÄ«ti licences dati un inicializÄts nejauÅ”o skaitļu sensors (RNS).
PievÄrsiet uzmanÄ«bu! InicializÄjot S-Terra CC, tiek izveidota droŔības politika, kurÄ droŔības vÄrtejas saskarnes neļauj paketÄm iziet cauri. Jums ir jÄizveido sava politika vai jÄizmanto komanda palaidiet csconf_mgr activate aktivizÄt iepriekÅ” definÄtu atļauÅ”anas politiku.
TÄlÄk jums jÄkonfigurÄ ÄrÄjo un iekÅ”Äjo saskarÅu adresÄÅ”ana, kÄ arÄ« noklusÄjuma marÅ”ruts. VÄlams strÄdÄt ar CS tÄ«kla konfigurÄciju un konfigurÄt Å”ifrÄÅ”anu, izmantojot Cisco lÄ«dzÄ«gu konsoli. Å Ä« konsole ir paredzÄta Cisco IOS komandÄm lÄ«dzÄ«gu komandu ievadÄ«Å”anai. KonfigurÄcija, kas Ä£enerÄta, izmantojot Cisco lÄ«dzÄ«gu konsoli, savukÄrt tiek pÄrveidota par atbilstoÅ”ajiem konfigurÄcijas failiem, ar kuriem darbojas OS dÄmoni. JÅ«s varat doties uz Cisco lÄ«dzÄ«gu konsoli no administrÄÅ”anas konsoles ar komandu konfigurÄt.
Mainiet iebÅ«vÄto lietotÄju cscons paroles un iespÄjojiet:
> iespÄjot
Parole: csp (iepriekÅ” instalÄta)
#konfigurÄt terminÄli
#username cscons privilÄÄ£ija 15 secret 0 #enable secret 0 TÄ«kla pamata konfigurÄcijas iestatÄ«Å”ana:
#interface GigabitEthernet0/0
#ip adrese 10.111.21.3 255.255.255.0
#bez izslÄgÅ”anas
#interface GigabitEthernet0/1
#ip adrese 192.168.2.5 255.255.255.252
#bez izslÄgÅ”anas
#ip marŔruts 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Izejiet no Cisco lÄ«dzÄ«gÄs konsoles un dodieties uz debian Äaulu ar komandu sistÄma. Iestatiet lietotÄjam savu paroli sakne komanda passwd.
KatrÄ vadÄ«bas telpÄ katrai vietai ir konfigurÄts atseviŔķs tunelis. Tuneļa interfeiss ir konfigurÄts failÄ / etc / network / interfeisi. IP tuneļa utilÄ«ta, kas iekļauta iepriekÅ” instalÄtajÄ iproute2 komplektÄ, ir atbildÄ«ga par paÅ”as saskarnes izveidi. Saskarnes izveides komanda ir ierakstÄ«ta pirms-up opcijÄ.
Tipiska tuneļa saskarnes konfigurÄcijas piemÄrs:
auto vietne1
iface site1 inet statisks
adrese 192.168.1.4
netmask 255.255.255.254
pirms-up ip tunel pievienot vietnes1 režīms gre lokÄlais 10.111.21.3 tÄlvadÄ«bas 10.111.22.3 atslÄga hfLYEg^vCh6p
PievÄrsiet uzmanÄ«bu! JÄÅem vÄrÄ, ka tuneļa saskarÅu iestatÄ«jumiem jÄatrodas Ärpus sekcijas
###netifcfg-begin###
*****
###netifcfg-end###
PretÄjÄ gadÄ«jumÄ Å”ie iestatÄ«jumi tiks pÄrrakstÄ«ti, mainot fizisko saskarÅu tÄ«kla iestatÄ«jumus, izmantojot Cisco lÄ«dzÄ«gu konsoli.
DinamiskÄ marÅ”rutÄÅ”ana
S-Terra dinamiskÄ marÅ”rutÄÅ”ana tiek Ä«stenota, izmantojot Quagga programmatÅ«ras pakotni. Lai konfigurÄtu OSPF, mums ir jÄiespÄjo un jÄkonfigurÄ dÄmoni zebra Šø ospfd. Zebras dÄmons ir atbildÄ«gs par saziÅu starp marÅ”rutÄÅ”anas dÄmoniem un OS. ospfd dÄmons, kÄ norÄda nosaukums, ir atbildÄ«gs par OSPF protokola ievieÅ”anu.
OSPF tiek konfigurÄts, izmantojot dÄmona konsoli, vai tieÅ”i caur konfigurÄcijas failu /etc/quagga/ospfd.conf. Failam tiek pievienotas visas fiziskÄs un tuneļu saskarnes, kas piedalÄs dinamiskajÄ marÅ”rutÄÅ”anÄ, un tiek deklarÄti arÄ« tÄ«kli, kas tiks reklamÄti un saÅems paziÅojumus.
KonfigurÄcijas piemÄrs, kas jÄpievieno ospfd.conf:
interfeiss eth0
!
interfeiss eth1
!
interfeisa vietne1
!
interfeisa vietne2
marÅ”rutÄtÄjs ospf
ospf router-id 192.168.2.21
tīkls 192.168.1.4/31 apgabals 0.0.0.0
tīkls 192.168.1.16/31 apgabals 0.0.0.0
tīkls 192.168.2.4/30 apgabals 0.0.0.0
Å ajÄ gadÄ«jumÄ adreses 192.168.1.x/31 ir rezervÄtas tuneļu ptp tÄ«kliem starp vietnÄm, adreses 192.168.2.x/30 tiek pieŔķirtas tranzÄ«ta tÄ«kliem starp CS un kodola marÅ”rutÄtÄjiem.
PievÄrsiet uzmanÄ«bu! Lai samazinÄtu marÅ”rutÄÅ”anas tabulu lielÄs instalÄcijÄs, varat filtrÄt paÅ”u tranzÄ«ta tÄ«klu paziÅojumus, izmantojot konstrukcijas nav pievienota pÄrdalÄ«Å”ana vai pÄrdalÄ«t pievienoto marÅ”ruta karti.
PÄc dÄmonu konfigurÄÅ”anas jums ir jÄmaina dÄmonu startÄÅ”anas statuss /etc/quagga/daemons. OpcijÄs zebra Šø ospfd nav izmaiÅu uz jÄ. Palaidiet quagga dÄmonu un iestatiet to uz automÄtisko palaiÅ”anu, kad sÄkat KS komandu update-rc.d quagga enable.
Ja GRE tuneļu un OSPF konfigurÄcija ir veikta pareizi, marÅ”rutiem citu vietÅu tÄ«klÄ jÄparÄdÄs KSh un galvenajos marÅ”rutÄtÄjos, un tÄdÄjÄdi rodas tÄ«kla savienojamÄ«ba starp vietÄjiem tÄ«kliem.
MÄs Å”ifrÄjam pÄrraidÄ«to trafiku
KÄ jau tika rakstÄ«ts, parasti, Å”ifrÄjot starp vietnÄm, mÄs norÄdÄm IP adreÅ”u diapazonus (ACL), starp kuriem tiek Å”ifrÄta trafika: ja avota un galamÄrÄ·a adrese ietilpst Å”ajos diapazonos, tad satiksme starp tÄm tiek Å”ifrÄta. TaÄu Å”ajÄ projektÄ struktÅ«ra ir dinamiska un adreses var mainÄ«ties. TÄ kÄ mÄs jau esam konfigurÄjuÅ”i GRE tunelÄÅ”anu, mÄs varam norÄdÄ«t ÄrÄjÄs KS adreses kÄ avota un galamÄrÄ·a adreses trafika Å”ifrÄÅ”anai - galu galÄ satiksme, kas jau ir iekapsulÄta ar GRE protokolu, nonÄk Å”ifrÄÅ”anai. Citiem vÄrdiem sakot, viss, kas nokļūst CS no vienas vietnes lokÄlÄ tÄ«kla uz tÄ«kliem, par kuriem ir paziÅojuÅ”as citas vietnes, tiek Å”ifrÄts. Un katrÄ no vietnÄm var veikt jebkuru novirzÄ«Å”anu. TÄdÄjÄdi, ja notiek izmaiÅas lokÄlajos tÄ«klos, administratoram tikai jÄmaina paziÅojumi, kas nÄk no viÅa tÄ«kla uz tÄ«klu, un tie kļūs pieejami citÄm vietnÄm.
Å ifrÄÅ”ana S-Terra CS tiek veikta, izmantojot IPSec protokolu. MÄs izmantojam āGrasshopperā algoritmu saskaÅÄ ar GOST R 34.12-2015, un saderÄ«bai ar vecÄkÄm versijÄm varat izmantot GOST 28147-89. AutentificÄÅ”anu tehniski var veikt gan iepriekÅ” definÄtÄm atslÄgÄm (PSK), gan sertifikÄtiem. TomÄr rÅ«pnieciskajÄ darbÄ«bÄ ir jÄizmanto sertifikÄti, kas izdoti saskaÅÄ ar GOST R 34.10-2012.
Darbs ar sertifikÄtiem, konteineriem un CRL tiek veikts, izmantojot utilÄ«tu cert_mgr. PirmkÄrt, izmantojot komandu cert_mgr izveidot nepiecieÅ”ams Ä£enerÄt privÄtÄs atslÄgas konteineru un sertifikÄta pieprasÄ«jumu, kas tiks nosÅ«tÄ«ts uz SertifikÄtu pÄrvaldÄ«bas centru. PÄc sertifikÄta saÅemÅ”anas tas ir jÄimportÄ kopÄ ar saknes CA sertifikÄtu un CRL (ja tiek izmantots) ar komandu cert_mgr importÄÅ”ana. Varat pÄrliecinÄties, ka visi sertifikÄti un CRL ir instalÄti ar komandu cert_mgr Å”ovs.
PÄc veiksmÄ«gas sertifikÄtu instalÄÅ”anas dodieties uz Cisco lÄ«dzÄ«gu konsoli, lai konfigurÄtu IPSec.
MÄs izveidojam IKE politiku, kurÄ ir norÄdÄ«ti vÄlamie veidojamÄ droÅ”Ä kanÄla algoritmi un parametri, kas tiks piedÄvÄti partnerim apstiprinÄÅ”anai.
#crypto isakmp politika 1000
#encr gost341215k
#hash gost341112-512-tc26
#autentifikÄcijas zÄ«me
#grupa vko2
#lifetime 3600
Å Ä« politika tiek piemÄrota, veidojot IPSec pirmo posmu. PirmÄ posma veiksmÄ«gas pabeigÅ”anas rezultÄts ir SA (DroŔības asociÄcijas) izveide.
TÄlÄk mums ir jÄdefinÄ avota un galamÄrÄ·a IP adreÅ”u (ACL) saraksts Å”ifrÄÅ”anai, jÄÄ£enerÄ transformÄcijas kopa, jÄizveido kriptogrÄfiskÄ karte (kriptogrÄfijas karte) un jÄsaista tÄ ar CS ÄrÄjo saskarni.
Iestatīt ACL:
#ip piekļuves saraksta paplaÅ”inÄtÄ vietne1
#atļaut gre saimniekdators 10.111.21.3 resursdators 10.111.22.3
TransformÄciju kopa (tÄpat kÄ pirmajÄ fÄzÄ, mÄs izmantojam Grasshopper Å”ifrÄÅ”anas algoritmu, izmantojot simulÄcijas ievietoÅ”anas Ä£enerÄÅ”anas režīmu):
#crypto ipsec transform-set GOST esp-gost341215k-mac
MÄs izveidojam kriptokarti, norÄdÄm ACL, transformÄcijas kopu un vienÄdranga adresi:
#kriptokarte GALVENÄ 100 ipsec-isakmp
#atbilst adreses vietnei1
#set transform-set GOST
#set peer 10.111.22.3
MÄs saistÄm kriptokarti ar kases aparÄta ÄrÄjo saskarni:
#interface GigabitEthernet0/0
#ip adrese 10.111.21.3 255.255.255.0
#kriptokarte GALVENÄ
Lai Å”ifrÄtu kanÄlus ar citÄm vietnÄm, jums ir jÄatkÄrto ACL un kriptokartes izveides procedÅ«ra, mainot ACL nosaukumu, IP adreses un kriptokartes numuru.
PievÄrsiet uzmanÄ«bu! Ja sertifikÄta verifikÄcija ar CRL netiek izmantota, tas ir skaidri jÄnorÄda:
#crypto pki trustpoint s-terra_technological_trustpoint
#revocation-pÄrbaudÄ«t nav
Å ajÄ brÄ«dÄ« iestatÄ«Å”anu var uzskatÄ«t par pabeigtu. Cisco lÄ«dzÄ«gajÄ konsoles komandu izvadÄ parÄdÄ«t crypto isakmp sa Šø rÄdÄ«t crypto ipsec sa JÄatspoguļo izveidotÄ IPSec pirmÄ un otrÄ fÄze. To paÅ”u informÄciju var iegÅ«t, izmantojot komandu sa_mgr Å”ovs, izpildÄ«ts no debian Äaulas. Komandas izvadÄ cert_mgr Å”ovs Ir jÄparÄdÄs attÄlÄs vietnes sertifikÄtiem. Å Ädu sertifikÄtu statuss bÅ«s tÄlvadÄ«bas. Ja tuneļi netiek bÅ«vÄti, jums ir jÄaplÅ«ko VPN pakalpojuma žurnÄls, kas tiek saglabÄts failÄ /var/log/cspvpngate.log. Pilns žurnÄlfailu saraksts ar to satura aprakstu ir pieejams dokumentÄcijÄ.
SistÄmas āveselÄ«basā uzraudzÄ«ba
S-Terra CC uzraudzÄ«bai izmanto standarta snmpd dÄmonu. Papildus tipiskajiem Linux parametriem S-Terra atbalsta datu izsniegÅ”anu par IPSec tuneļiem saskaÅÄ ar CISCO-IPSEC-FLOW-MONITOR-MIB, ko mÄs izmantojam, uzraugot IPSec tuneļu statusu. Tiek atbalstÄ«ta arÄ« pielÄgoto OID funkcionalitÄte, kas skripta izpildes rezultÄtus izvada kÄ vÄrtÄ«bas. Å Ä« funkcija ļauj mums izsekot sertifikÄtu derÄ«guma termiÅiem. RakstÄ«tais skripts parsÄ komandas izvadi cert_mgr Å”ovs un rezultÄtÄ dod dienu skaitu lÄ«dz vietÄjo un saknes sertifikÄtu derÄ«guma termiÅa beigÄm. Å is paÅÄmiens ir neaizstÄjams, ievadot lielu skaitu CABG.
KÄds ir Å”Ädas Å”ifrÄÅ”anas ieguvums?
Visas iepriekÅ” aprakstÄ«tÄs funkcionalitÄtes S-Terra KSh atbalsta. Proti, nebija jÄinstalÄ nekÄdi papildu moduļi, kas varÄtu ietekmÄt kriptovÄrteju sertifikÄciju un visas informÄcijas sistÄmas sertifikÄciju. Starp vietnÄm var bÅ«t jebkÄdi kanÄli, pat izmantojot internetu.
SakarÄ ar to, ka, mainoties iekÅ”Äjai infrastruktÅ«rai, nav nepiecieÅ”ams pÄrkonfigurÄt kriptogrÄfijas vÄrtejas, sistÄma darbojas kÄ pakalpojums, kas ir ļoti Ärti klientam: viÅÅ” var izvietot savus pakalpojumus (klientu un serveri) jebkurÄ adresÄ, un visas izmaiÅas tiks dinamiski pÄrsÅ«tÄ«tas starp Å”ifrÄÅ”anas iekÄrtÄm.
Protams, Å”ifrÄÅ”ana pieskaitÄmo izmaksu (overhead) dÄļ ietekmÄ datu pÄrraides Ätrumu, taÄu tikai nedaudz ā kanÄla caurlaidspÄja var samazinÄties maksimÄli par 5-10%. TajÄ paÅ”Ä laikÄ tehnoloÄ£ija ir pÄrbaudÄ«ta un uzrÄdÄ«jusi labus rezultÄtus pat satelÄ«ta kanÄlos, kas ir diezgan nestabili un kuriem ir mazs joslas platums.
Igors Vinohodovs, Rostelecom-Solar 2. vadības līnijas inženieris
Avots: www.habr.com