Raha mamindra na mahazo angon-drakitra manokana sy fampahalalana miafina hafa amin'ny tambajotra izay iharan'ny fiarovana mifanaraka amin'ny lalΓ na ny orinasanao, dia ilaina ny mampiasa encryption GOST. Androany dia holazainay aminao ny fomba nampiharana ny fanafenana toy izany mifototra amin'ny vavahadin'ny crypto S-Terra (CS) amin'ny iray amin'ireo mpanjifa. Ity tantara ity dia hahaliana ny manampahaizana manokana momba ny fiarovana ny fampahalalam-baovao, ary koa ny injeniera, ny mpamorona ary ny architects. Tsy hiditra lalina amin'ny nuances amin'ny fanamafisana ara-teknika amin'ity lahatsoratra ity isika; hifantoka amin'ireo hevi-dehibe amin'ny fananganana fototra. Betsaka ny antontan-taratasy momba ny fametrahana daemon Linux OS, izay iorenan'ny S-Terra CS, azo alaina maimaim-poana amin'ny Internet. Hita ampahibemaso ihany koa ny antontan-taratasy momba ny fananganana rindrambaiko S-Terra mpanamboatra.
Teny vitsivitsy momba ny tetikasa
Ny topolojian'ny tambajotran'ny mpanjifa dia manara-penitra - harato feno eo anelanelan'ny foibe sy ny sampana. Tsy maintsy nampidirina ny encryption ny fantsona fifanakalozana vaovao eo amin'ny tranokala rehetra, izay nisy 8.
Matetika amin'ny tetikasa toy izany dia static ny zava-drehetra: ny lalana static mankany amin'ny tambajotra eo an-toerana ao amin'ny tranokala dia napetraka amin'ny vavahady crypto (CGs), ny lisitry ny adiresy IP (ACL) ho an'ny encryption dia voasoratra anarana. Na izany aza, amin'ity tranga ity, tsy manana fanaraha-maso afovoany ireo tranonkala, ary mety hitranga na inona na inona ao anatin'ny tambajotra eo an-toerana: azo ampiana, fafana, ary ovaina amin'ny fomba rehetra ny tambajotra. Mba hialana amin'ny fanavaozana ny zotra sy ny ACL amin'ny KS rehefa manova ny adiresin'ny tambajotra eo an-toerana amin'ny tranokala, dia nanapa-kevitra ny hampiasa GRE tunneling sy OSPF dynamic routing, izay ahitana ny KS rehetra sy ny ankamaroan'ny router amin'ny haavon'ny tambajotra amin'ny tranokala ( amin'ny toerana sasany, ny mpitantana fotodrafitrasa dia naleon'ny mampiasa SNAT mankany KS amin'ny router kernel).
Ny tunneling GRE dia namela anay hamaha olana roa:
1. Ampiasao ny adiresy IP an'ny interface ivelany an'ny CS ho an'ny encryption ao amin'ny ACL, izay mandrakotra ny fifamoivoizana rehetra alefa any amin'ny tranokala hafa.
2. Mandamina tonelina ptp eo anelanelan'ny CSs, izay ahafahanao manitsy ny zotra mavitrika (raha ny anay, ny MPLS L3VPN an'ny mpamatsy dia voalamina eo anelanelan'ny tranokala).
Nandidy ny fampiharana ny encryption ho serivisy ny mpanjifa. Raha tsy izany dia tsy maintsy mitazona vavahady crypto fotsiny izy na mamoaka azy ireo amin'ny fikambanana sasany, fa manara-maso tsy miankina ihany koa ny tsingerin'ny fiainan'ny fanamarinana fanafenana, manavao azy ireo ara-potoana ary mametraka vaovao.
Ary ankehitriny ny tena memo - ny fomba sy ny zavatra namboarinay
Fanamarihana momba ny lohahevitra CII: fametrahana vavahady crypto
Fametrahana tambajotra fototra
Voalohany indrindra, manomboka CS vaovao izahay ary miditra ao amin'ny console administration. Tokony hanomboka amin'ny fanovana ny tenimiafina mpitantana naorina - baiko hanova ny mpitantana ny tenimiafina mpampiasa. Avy eo dia mila manatanteraka ny dingana fanombohana (command initialize) izay ampidirana ny angon-drakitra momba ny fahazoan-dΓ lana ary manomboka ny sensor isa kisendrasendra (RNS).
Mitandrema! Rehefa natomboka ny S-Terra CC, dia napetraka ny politikan'ny fiarovana izay tsy ahafahan'ny vavahadin-tseranana fiarovana ny fonosana mandalo. Tsy maintsy mamorona ny politikanao manokana ianao na mampiasa ny baiko mihazakazaka csconf_mgr activate manetsika politika manome alalana efa voafaritra mialoha.
Manaraka, mila manitsy ny adiresin'ny interface ivelany sy anatiny ianao, ary koa ny lalana default. Tsara kokoa ny miara-miasa amin'ny fandrindrana ny tambajotra CS ary manitsy ny encryption amin'ny alΓ lan'ny console mitovy amin'ny Cisco. Ity console ity dia natao hampidirana baiko mitovy amin'ny baiko Cisco IOS. Ny fanamafisam-peo vokarina amin'ny alΓ lan'ny console sahala amin'ny Cisco dia avadika ho fisie fanamafisana mifanaraka amin'izany izay iasan'ny daemon OS. Azonao atao ny mandeha any amin'ny console tahaka ny Cisco avy amin'ny console administration miaraka amin'ny baiko configures.
Ovay ny tenimiafina ho an'ny cscon mpampiasa naorina ary avelao:
> afaka
Password: csp (voapetraka mialoha)
#configure ny terminal
#username cscons privilege 15 secret 0 #enable secret 0 Mametraka ny rafitra fototra tambajotra:
#interface GigabitEthernet0/0
#adiresy ip 10.111.21.3 255.255.255.0
#tsy misy fanakatonana
#interface GigabitEthernet0/1
#adiresy ip 192.168.2.5 255.255.255.252
#tsy misy fanakatonana
#ip route 0.0.0.0 0.0.0.0 10.111.21.254
GRE
MialΓ amin'ny console mitovy amin'ny Cisco ary mandehana any amin'ny shell debian miaraka amin'ny baiko rafitra. Mametraha ny tenimiafinao manokana ho an'ny mpampiasa faka ny ekipa passwd.
Ao amin'ny efitrano fanaraha-maso tsirairay dia misy tonelina mitokana ho an'ny tranokala tsirairay. Ny interface tonelina dia namboarina ao amin'ny rakitra / sns / tambajotra / interface. Ny fampiasa tonelina IP, izay tafiditra ao amin'ny set iproute2 efa napetraka, dia tompon'andraikitra amin'ny famoronana ny interface. Ny baiko famoronana interface tsara dia voasoratra ao amin'ny safidy mialoha.
Ohatra fanefena amin'ny interface tsara tonelina:
auto site1
iface site1 inet static
adiresy 192.168.1.4
netmask 255.255.255.254
tonelina ip mialoha ampio site1 mode gre local 10.111.21.3 lavitr'ezaka 10.111.22.3 lakile hfLYEg^vCh6p
Mitandrema! Marihina fa tsy maintsy eo ivelan'ny fizarana ny firafitry ny fifandraisan'ny tonelina
###netifcfg-manomboka####
*****
##netifcfg-end###
Raha tsy izany dia hosoloina ireo fanovana ireo rehefa manova ny firafitry ny tambajotra amin'ny fifandraisana ara-batana amin'ny alΓ lan'ny console mitovy amin'ny Cisco.
Fandrosoana mavitrika
Ao amin'ny S-Terra, ny zotra mavitrika dia ampiharina amin'ny alΓ lan'ny fonosana rindrambaiko Quagga. Mba hanitsiana ny OSPF dia mila mamela sy manamboatra daemon isika zebra ΠΈ ospfd. Ny daemon zebra dia tompon'andraikitra amin'ny fifandraisana misy eo amin'ny daemon routing sy ny OS. Ny daemon ospfd, araka ny soso-kevitry ny anarana, dia tompon'andraikitra amin'ny fampiharana ny protocol OSPF.
OSPF dia namboarina na amin'ny alΓ lan'ny console daemon na mivantana amin'ny alΓ lan'ny rakitra fanamafisana /etc/quagga/ospfd.conf. Ny fifandraisana ara-batana sy ny tonelina rehetra mandray anjara amin'ny zotra mavitrika dia ampidirina ao amin'ny rakitra, ary ny tambajotra izay hatao doka sy hahazo fanambarana dia ambara ihany koa.
Ohatra iray amin'ny fanamafisana izay mila ampiana ospfd.conf:
interface tsara 0
!
interface tsara 1
!
tranonkala interface1
!
tranonkala interface2
ny router ospf
ospf router-id 192.168.2.21
tambajotra 192.168.1.4/31 faritra 0.0.0.0
tambajotra 192.168.1.16/31 faritra 0.0.0.0
tambajotra 192.168.2.4/30 faritra 0.0.0.0
Amin'ity tranga ity, ny adiresy 192.168.1.x/31 dia natokana ho an'ny tambajotra ptp tonelina eo anelanelan'ny tranokala, ny adiresy 192.168.2.x/30 dia natokana ho an'ny tambajotram-pitaterana eo amin'ny CS sy ny kernel router.
Mitandrema! Mba hampihenana ny latabatra fitetezana amin'ny fametrahana lehibe dia azonao atao ny manivana ny dokam-barotra amin'ny tambajotra fitaterana amin'ny alΓ lan'ny fananganana tsy misy fifampizarana mifandray na avereno zaraina ny sari-dalana mifandray.
Aorian'ny fametrahana ny daemons dia mila manova ny satan'ny fanombohana ny daemons ianao /etc/quagga/daemons. Amin'ny safidy zebra ΠΈ ospfd tsy misy fiovana ho eny. Atombohy ny daemon quagga ary apetraho amin'ny autorun rehefa manomboka KS miaraka amin'ny baiko ianao update-rc.d quagga enable.
Raha toa ka vita tsara ny fanamafisana ny tonelina GRE sy OSPF, dia tokony hiseho amin'ny KSh sy ny router fototra ny lalana ao amin'ny tambajotran'ny tranokala hafa ary, noho izany, ny fifandraisan'ny tambajotra eo amin'ny tambajotra eo an-toerana.
Manao encryption ny fifamoivoizana nampitaina izahay
Araka ny efa voasoratra, matetika rehefa manao encryption eo anelanelan'ny vohikala, dia mamaritra ny adiresin'ny adiresy IP (ACLs) eo anelanelan'ny fifamoivoizana misy encryption: raha toa ka tafiditra ao anatin'ireo faritra ireo ny adiresy loharano sy ny toerana haleha, dia voarakotra ny fifamoivoizana eo anelanelan'izy ireo. Na izany aza, amin'ity tetikasa ity dia mavitrika ny rafitra ary mety hiova ny adiresy. Koa satria efa nanamboatra tonelina GRE izahay, dia afaka mamaritra ny adiresy KS ivelany ho loharano sy adiresy ahatongavana amin'ny encryption ny fifamoivoizana - na izany aza, ny fifamoivoizana izay efa voafehin'ny protocol GRE dia tonga ho an'ny encryption. Raha lazaina amin'ny teny hafa, ny zavatra rehetra miditra ao amin'ny CS avy amin'ny tambajotra eo an-toerana amin'ny tranokala iray mankany amin'ireo tambajotra izay nambaran'ny tranokala hafa dia voarakotra. Ary ao anatin'ny tranokala tsirairay dia azo atao ny fanovana rehetra. Noho izany, raha misy fiovana eo amin'ny tambajotra eo an-toerana, ny mpandrindra dia mila manova ny fanambarana avy amin'ny tambajotrany mankany amin'ny tambajotra, ary ho hita amin'ny tranokala hafa izany.
Ny encryption amin'ny S-Terra CS dia atao amin'ny alΓ lan'ny protocol IPSec. Mampiasa ny algorithm "Grasshopper" izahay mifanaraka amin'ny GOST R 34.12-2015, ary ho an'ny fifanarahana amin'ny dikan-teny taloha dia azonao atao ny mampiasa GOST 28147-89. Ny fanamarinana dia azo atao ara-teknika amin'ny lakile efa voafaritra mialoha (PSK) sy ny fanamarinana. Na izany aza, amin'ny asa indostrialy dia ilaina ny mampiasa taratasy fanamarinana navoaka mifanaraka amin'ny GOST R 34.10-2012.
Ny fiasana amin'ny taratasy fanamarinana, kaontenera ary CRL dia atao amin'ny fampiasana ny fitaovana cert_mgr. Voalohany indrindra, mampiasa ny baiko cert_mgr mamorona ilaina ny mamorona kaontenera fanalahidy manokana sy fangatahana taratasy fanamarinana, izay halefa any amin'ny Centre Management Certificate. Rehefa avy nahazo ny taratasy fanamarinana dia tsy maintsy ampidirina miaraka amin'ny taratasy fanamarinana CA root sy CRL (raha ampiasaina) miaraka amin'ny baiko cert_mgr import. Azonao atao ny mahazo antoka fa napetraka miaraka amin'ny baiko ny fanamarinana sy CRL rehetra cert_mgr fampisehoana.
Rehefa vita ny fametrahana ireo mari-pankasitrahana dia mankanesa any amin'ny Console mitovy amin'ny Cisco hanamboatra IPSec.
Mamorona politikan'ny IKE izahay izay mamaritra ny algorithm sy ny mari-pamantarana tiana ho an'ny fantsona azo antoka noforonina, izay hatolotra ny mpiara-miombon'antoka mba hahazoana fankatoavana.
#crypto isakmp politika 1000
#encr gost341215k
#hash gost341112-512-tc26
# famantarana fanamarinana
#vondrona vko2
#fiainana 3600
Ity politika ity dia ampiharina amin'ny fananganana ny dingana voalohany amin'ny IPSec. Vokatry ny fahavitanβny dingana voalohany dia ny fananganana ny SA (Security Association).
Manaraka, mila mamaritra ny lisitry ny loharano sy ny toerana adiresy IP (ACL) ho an'ny encryption, mamorona andian-dahatsoratra, mamorona sarintany cryptographic (crypto sarintany) ary mamatotra azy amin'ny interface ivelany ny CS.
Mametraka ACL:
#ip fidirana-lisitra miitatra site1
#permit gre host 10.111.21.3 host 10.111.22.3
Fiovan'ny fanovana (mitovy amin'ny dingana voalohany, mampiasa ny algorithm fanafenana "Grasshopper" izahay amin'ny alΓ lan'ny fomba famokarana fampidirana simulation):
#crypto ipsec transform-set GOST esp-gost341215k-mac
Mamorona sari-tany crypto izahay, mamaritra ny ACL, manova ny setroka ary ny adiresin'ny namana:
#crypto map MAIN 100 ipsec-isakmp
# toerana adiresin'ny lalao1
#mametraha fanovana-mametraka GOST
#set peer 10.111.22.3
Mamatotra ny karatra crypto amin'ny interface ivelany amin'ny rejisitra vola izahay:
#interface GigabitEthernet0/0
#adiresy ip 10.111.21.3 255.255.255.0
#crypto map MAIN
Mba hanafenana fantsona amin'ny tranokala hafa dia tsy maintsy mamerina ny fomba famoronana karatra ACL sy crypto ianao, manova ny anarana ACL, adiresy IP ary laharan'ny karatra crypto.
Mitandrema! Raha tsy ampiasaina ny fanamarinana fanamarinana avy amin'ny CRL, dia tokony hofaritana mazava izany:
#crypto pki trustpoint s-terra_technological_trustpoint
#fanafoanana-tsy misy manamarina
Amin'ity tranga ity, ny fametrahana dia azo heverina ho vita. Ao amin'ny Output baikon'ny console toy ny Cisco asehoy crypto isakmp sa ΠΈ asehoy crypto ipsec sa Tokony ho hita taratra ny dingana voalohany sy faharoa vita amin'ny IPSec. Ny fampahalalana mitovy dia azo alaina amin'ny alΓ lan'ny baiko sa_mgr show, novonoina avy amin'ny shell debian. Ao amin'ny baiko output cert_mgr fampisehoana Tokony hiseho ireo mari-pankasitrahana toerana lavitra. Ny satan'ny fanamarinana toy izany dia ho mitokana. Raha tsy namboarina ny tonelina dia mila mijery ny log service VPN ianao, izay voatahiry ao anaty rakitra /var/log/cspvpngate.log. Hita ao amin'ny tahirin-kevitra ny lisitra feno amin'ny rakitra log miaraka amin'ny famaritana ny ao anatiny.
Fanaraha-maso ny "fahasalamana" ny rafitra
Ny S-Terra CC dia mampiasa ny daemon snmpd mahazatra amin'ny fanaraha-maso. Ho fanampin'ny mari-pamantarana Linux mahazatra, ivelan'ny boaty ny S-Terra dia manohana ny famoahana angon-drakitra momba ny tonelina IPSec mifanaraka amin'ny CISCO-IPSEC-FLOW-MONITOR-MIB, izay ampiasainay rehefa manara-maso ny satan'ny tonelina IPSec. Ny fiasan'ny OID mahazatra izay mamoaka ny valin'ny famonoana script ho sanda dia tohana ihany koa. Ity endri-javatra ity dia ahafahantsika manara-maso ny daty lany daty fanamarinana. Ny script an-tsoratra dia mamadika ny vokatra baiko cert_mgr fampisehoana ary vokatr'izany dia manome ny isan'ny andro mandra-pahatapitry ny fanamarinana eo an-toerana sy ny fakany. Tena ilaina io teknika io rehefa mitantana CABG marobe.
Inona no tombony azo amin'ny encryption toy izany?
Ny fiasa rehetra voalaza etsy ambony dia tohanan'ny S-Terra KSh ivelan'ny boaty. Izany hoe, tsy ilaina ny mametraka modules fanampiny izay mety hisy fiantraikany amin'ny fanamarinana ny vavahadin'ny crypto sy ny fanamarinana ny rafitra fampahalalana manontolo. Mety misy fantsona eo anelanelan'ny tranokala, na amin'ny Internet aza.
Noho ny zava-misy fa rehefa miova ny fotodrafitrasa anatiny, dia tsy ilaina ny manavao ny vavahadin'ny crypto, miasa toy ny serivisy ny rafitra, izay tena mety ho an'ny mpanjifa: afaka mametraka ny serivisiny (mpanjifa sy mpizara) amin'ny adiresy rehetra izy, ary ny fanovana rehetra dia hafindra amin'ny fomba mavitrika eo anelanelan'ny fitaovana fanafenana.
Mazava ho azy fa misy fiantraikany amin'ny hafainganam-pandehan'ny angon-drakitra ny encryption noho ny vidin'ny overhead (overhead), saingy kely fotsiny - ny fatran'ny fantsona dia mety hihena amin'ny 5-10% ambony indrindra. Mandritra izany fotoana izany, ny teknolojia dia nosedraina ary naneho vokatra tsara na dia tamin'ny fantsona zanabolana aza, izay somary tsy milamina ary manana bandwidth ambany.
Igor Vinokhodov, injeniera amin'ny laharana faha-2 amin'ny fitantanana ny Rostelecom-Solar
Source: www.habr.com