Хэрэв танай компани хуулийн дагуу хамгаалагдсан хувийн мэдээлэл болон бусад нууц мэдээллийг сүлжээгээр дамжуулж, хүлээн авч байгаа бол ГОСТ шифрлэлтийг ашиглах шаардлагатай. Өнөөдөр бид үйлчлүүлэгчдийн аль нэгэнд S-Terra крипто гарц (CS) дээр суурилсан ийм шифрлэлтийг хэрхэн хэрэгжүүлсэн талаар танд хэлэх болно. Энэхүү түүх нь мэдээллийн аюулгүй байдлын мэргэжилтнүүдээс гадна инженер, дизайнер, архитекторуудад сонирхолтой байх болно. Бид энэ нийтлэлд техникийн тохиргооны нарийн ширийн зүйлийг гүнзгийрүүлэхгүй бөгөөд үндсэн тохиргооны гол цэгүүдэд анхаарлаа хандуулах болно. S-Terra CS дээр суурилсан Linux үйлдлийн системийн демонуудыг тохируулах асар их хэмжээний баримт бичгүүдийг интернетэд чөлөөтэй ашиглах боломжтой. Өмчлөлийн S-Terra программ хангамжийг суулгахад зориулсан баримт бичгийг олон нийтэд нээлттэй үйлдвэрлэгч.
Төслийн талаар хэдэн үг хэлье
Үйлчлүүлэгчийн сүлжээний топологи нь стандарт байсан - төв болон салбаруудын хооронд бүрэн сүлжээ. Бүх сайтуудын хооронд мэдээлэл солилцох сувгийг шифрлэх шаардлагатай байсан бөгөөд үүнээс 8 нь байдаг.
Ихэвчлэн ийм төслүүдэд бүх зүйл хөдөлгөөнгүй байдаг: сайтын дотоод сүлжээнд нэвтрэх статик чиглүүлэлтүүд нь крипто гарцууд (CGs) дээр тавигддаг, шифрлэлтийн IP хаягуудын жагсаалтыг (ACL) бүртгэдэг. Гэсэн хэдий ч, энэ тохиолдолд сайтууд төвлөрсөн хяналтгүй бөгөөд тэдний дотоод сүлжээнд юу ч тохиолдож болно: сүлжээг бүх аргаар нэмж, устгаж, өөрчлөх боломжтой. Сайтууд дахь локал сүлжээнүүдийн хаягийг өөрчлөхдөө KS дээрх чиглүүлэлт болон ACL-ийг дахин тохируулахаас зайлсхийхийн тулд сайтууд дахь сүлжээний үндсэн түвшинд бүх KS болон ихэнх чиглүүлэгчдийг багтаасан GRE туннель болон OSPF динамик чиглүүлэлт ашиглахаар шийдсэн. зарим сайтуудад дэд бүтцийн админууд цөмийн чиглүүлэгч дээр KS рүү SNAT ашиглахыг илүүд үздэг).
GRE туннел нь бидэнд хоёр асуудлыг шийдэх боломжийг олгосон:
1. Бусад сайт руу илгээсэн бүх урсгалыг багтаасан ACL-д шифрлэхэд CS-ийн гадаад интерфейсийн IP хаягийг ашиглана уу.
2. CS-ийн хооронд ptp туннелийг зохион байгуул, энэ нь динамик чиглүүлэлтийн тохиргоог хийх боломжийг олгодог (манай тохиолдолд үйлчилгээ үзүүлэгчийн MPLS L3VPN нь сайтуудын хооронд зохион байгуулагдсан).
Үйлчлүүлэгч нь шифрлэлтийг үйлчилгээ болгон хэрэгжүүлэхийг тушаасан. Үгүй бол тэрээр зөвхөн крипто гарцуудыг засварлах эсвэл зарим байгууллагад аутсорсинг хийхээс гадна шифрлэлтийн гэрчилгээний амьдралын мөчлөгийг бие даан хянаж, цаг тухайд нь шинэчилж, шинээр суулгах шаардлагатай болно.
Одоо бодит тэмдэглэл - бид хэрхэн, юу тохируулсан бэ
CII сэдвийн талаархи тэмдэглэл: крипто гарцыг тохируулах
Сүлжээний үндсэн тохиргоо
Юуны өмнө бид шинэ CS ажиллуулж, удирдлагын консол руу орно. Та суулгасан администраторын нууц үг - командыг өөрчлөх замаар эхлэх хэрэгтэй хэрэглэгчийн нууц үг администраторыг өөрчлөх. Дараа нь та эхлүүлэх процедурыг хийх хэрэгтэй (команд Эхлүүлэх) энэ үед лицензийн өгөгдлийг оруулж, санамсаргүй тоо мэдрэгчийг (RNS) эхлүүлнэ.
Анхаар! S-Terra CC-г эхлүүлэх үед хамгаалалтын гарцын интерфейс нь пакетуудыг нэвтрүүлэхийг зөвшөөрдөггүй аюулгүй байдлын бодлогыг тогтоодог. Та өөрийн бодлогыг үүсгэх эсвэл тушаалыг ашиглах ёстой csconf_mgr идэвхжүүлэхийг ажиллуул урьдчилан тодорхойлсон зөвшөөрлийн бодлогыг идэвхжүүлэх.
Дараа нь та гадаад болон дотоод интерфэйсүүдийн хаяглалт, мөн анхдагч маршрутыг тохируулах хэрэгтэй. CS сүлжээний тохиргоотой ажиллаж, Cisco шиг консолоор шифрлэлтийг тохируулах нь дээр. Энэ консол нь Cisco IOS командуудтай төстэй командуудыг оруулах зориулалттай. Cisco-тэй төстэй консол ашиглан үүсгэсэн тохиргоо нь эргээд үйлдлийн системийн демонууд ажилладаг харгалзах тохиргооны файлууд руу хөрвүүлэгддэг. Та удирдлагын консолоос командын тусламжтайгаар Cisco шиг консол руу очиж болно тохируулна.
Суулгасан хэрэглэгчийн cscon-ийн нууц үгийг сольж, идэвхжүүлнэ үү:
>идэвхжүүлэх
Нууц үг: csp (урьдчилан суулгасан)
#терминал тохируулах
#username cscons privilege 15 secret 0 #enable secret 0 Сүлжээний үндсэн тохиргоог тохируулах:
#интерфейс GigabitEthernet0/0
#ip хаяг 10.111.21.3 255.255.255.0
#унтрахгүй
#интерфейс GigabitEthernet0/1
#ip хаяг 192.168.2.5 255.255.255.252
#унтрахгүй
#ip route 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Cisco-той төстэй консолоос гараад, тушаалаар debian shell рүү очно уу систем. Хэрэглэгчийн хувьд нууц үгээ тохируулна уу эх баг passwd.
Удирдлагын өрөө бүрт сайт бүрт тусдаа туннель суурилуулсан. Тунелийн интерфейсийг файлд тохируулсан / etc / network / интерфэйсүүд. Урьдчилан суулгасан iproute2 багцад багтсан IP туннелийн хэрэгсэл нь интерфэйсийг өөрөө үүсгэх үүрэгтэй. Интерфэйс үүсгэх командыг урьдчилан тохируулах сонголтод бичнэ.
Ердийн туннелийн интерфейсийн жишээ тохиргоо:
авто сайт1
iface site1 inet статик
192.168.1.4 хаяг
netmask 255.255.255.254
pre-up ip tunnel add site1 mode gre local 10.111.21.3 remote 10.111.22.3 key hfLYEg^vCh6p
Анхаар! Хонгилын интерфейсийн тохиргоо нь хэсгийн гадна талд байрлах ёстой гэдгийг тэмдэглэх нь зүйтэй
###netifcfg-эхлэх###
*****
###netifcfg-төгс###
Үгүй бол Cisco-той төстэй консолоор дамжуулан физик интерфэйсүүдийн сүлжээний тохиргоог өөрчлөх үед эдгээр тохиргоог дарж бичих болно.
Динамик чиглүүлэлт
S-Terra-д Quagga програм хангамжийн багцыг ашиглан динамик чиглүүлэлт хийдэг. OSPF-г тохируулахын тулд бид демонуудыг идэвхжүүлж, тохируулах хэрэгтэй тахө и ospfd. Зебра демон нь чиглүүлэлтийн демонууд болон үйлдлийн систем хоорондын харилцаа холбоог хариуцдаг. Ospfd дэмон нь нэрнээс нь харахад OSPF протоколыг хэрэгжүүлэх үүрэгтэй.
OSPF нь дэмон консолоор эсвэл тохиргооны файлаар шууд тохируулагддаг /etc/quagga/ospfd.conf. Динамик чиглүүлэлтэд оролцдог бүх физик болон туннелийн интерфейсийг файлд нэмж, сурталчлах, зарлал хүлээн авах сүлжээг мөн зарласан болно.
Нэмэх шаардлагатай тохиргооны жишээ ospfd.conf:
интерфейс eth0
!
интерфейс eth1
!
интерфейсийн сайт1
!
интерфейсийн сайт2
чиглүүлэгч ospf
ospf чиглүүлэгчийн дугаар 192.168.2.21
сүлжээ 192.168.1.4/31 талбай 0.0.0.0
сүлжээ 192.168.1.16/31 талбай 0.0.0.0
сүлжээ 192.168.2.4/30 талбай 0.0.0.0
Энэ тохиолдолд 192.168.1.x/31 хаягууд нь сайтуудын хоорондох туннелийн ptp сүлжээнд зориулагдсан бөгөөд 192.168.2.x/30 хаягууд нь CS болон цөмийн чиглүүлэгчдийн хооронд дамжин өнгөрөх сүлжээнд зориулагдсан болно.
Анхаар! Томоохон суурилуулалтанд чиглүүлэлтийн хүснэгтийг багасгахын тулд та транзит сүлжээнүүдийн сурталчилгааг бүтцийг ашиглан шүүж болно. дахин хуваарилалт холбогдоогүй байна буюу холбогдсон маршрутын газрын зургийг дахин хуваарилах.
Демонуудыг тохируулсны дараа та демонуудын эхлүүлэх статусыг өөрчлөх хэрэгтэй /etc/quagga/demons. Сонголтуудад тахө и ospfd тийм гэж өөрчлөхгүй. Quagga демоныг эхлүүлж, KS командыг эхлүүлэхдээ автоматаар ажиллуулахаар тохируулна уу update-rc.d quagga идэвхжүүлэх.
Хэрэв GRE туннель болон OSPF-ийн тохиргоо зөв хийгдсэн бол бусад сайтуудын сүлжээн дэх маршрутууд KSh болон үндсэн чиглүүлэгчид гарч ирэх бөгөөд ингэснээр дотоод сүлжээнүүдийн хооронд сүлжээний холболт үүсдэг.
Бид дамжуулсан урсгалыг шифрлэдэг
Өмнө нь бичсэнчлэн сайтуудын хооронд шифрлэхдээ бид траффик шифрлэгдсэн IP хаягийн мужийг (ACL) зааж өгдөг: хэрэв эх сурвалж болон очих хаягууд эдгээр мужид багтаж байвал тэдгээрийн хоорондох урсгалыг шифрлэсэн болно. Гэсэн хэдий ч, энэ төсөлд бүтэц нь динамик бөгөөд хаяг өөрчлөгдөж болно. Бид GRE туннелчлалыг аль хэдийн тохируулсан тул бид гадаад KS хаягуудыг траффикийг шифрлэх эх сурвалж болон очих хаяг болгон зааж өгч болно - эцэст нь GRE протоколоор бүрхэгдсэн траффик нь шифрлэхэд ирдэг. Өөрөөр хэлбэл, нэг сайтын дотоод сүлжээнээс бусад сайтын зарласан сүлжээ хүртэл CS-д орж байгаа бүх зүйл шифрлэгдсэн байдаг. Мөн сайт бүрт ямар ч дахин чиглүүлэлт хийх боломжтой. Тиймээс хэрэв дотоод сүлжээнд ямар нэгэн өөрчлөлт гарвал администратор зөвхөн өөрийн сүлжээнээс сүлжээнд ирж буй мэдэгдлүүдийг өөрчлөх шаардлагатай бөгөөд энэ нь бусад сайтуудад боломжтой болно.
S-Terra CS дахь шифрлэлтийг IPSec протокол ашиглан гүйцэтгэдэг. Бид "Царцаа" алгоритмыг ГОСТ R 34.12-2015 стандартын дагуу ашигладаг бөгөөд хуучин хувилбаруудтай нийцүүлэхийн тулд та ГОСТ 28147-89-ийг ашиглаж болно. Баталгаажуулалтыг техникийн хувьд урьдчилан тодорхойлсон түлхүүр (PSK) болон гэрчилгээний аль алинд нь хийж болно. Гэсэн хэдий ч үйлдвэрлэлийн үйл ажиллагаанд ГОСТ R 34.10-2012 стандартын дагуу олгосон гэрчилгээг ашиглах шаардлагатай.
Сертификат, контейнер, CRL-тэй ажиллах нь уг хэрэгслийг ашиглан хийгддэг cert_mgr. Юуны өмнө командыг ашиглана уу cert_mgr үүсгэх хувийн түлхүүрийн сав болон гэрчилгээний хүсэлтийг үүсгэх шаардлагатай бөгөөд үүнийг гэрчилгээний удирдлагын төвд илгээнэ. Гэрчилгээг хүлээн авсны дараа үүнийг үндсэн CA гэрчилгээ болон CRL (хэрэв ашигласан бол) тушаалын хамт импортлох ёстой. cert_mgr импорт. Та тушаалаар бүх гэрчилгээ болон CRL суулгасан эсэхийг шалгах боломжтой cert_mgr шоу.
Сертификатуудыг амжилттай суулгасны дараа IPSec-ийг тохируулахын тулд Cisco-тэй төстэй консол руу очно уу.
Бид бүтээж буй аюулгүй сувгийн хүссэн алгоритм, параметрүүдийг тодорхойлсон IKE бодлогыг бий болгож, үүнийг түншдээ санал болгож батлуулах болно.
#crypto isakmp бодлого 1000
#encr gost341215k
#хэш gost341112-512-tc26
#баталгаажуулах тэмдэг
# групп vko2
#насан туршдаа 3600
Энэ бодлогыг IPSec-ийн эхний үе шатыг бүтээхэд хэрэглэнэ. Эхний үе шат амжилттай дууссаны үр дүн бол SA (Аюулгүй байдлын холбоо) байгуулагдсан явдал юм.
Дараа нь бид шифрлэлтийн эх сурвалж болон очих IP хаягийн жагсаалтыг (ACL) тодорхойлж, хувиргах багц үүсгэж, криптографийн газрын зураг (крипто газрын зураг) үүсгэж, CS-ийн гадаад интерфейстэй холбох хэрэгтэй.
ACL тохируулах:
#ip хандалтын жагсаалт өргөтгөсөн сайт1
#permit gre host 10.111.21.3 хост 10.111.22.3
Өөрчлөлтийн багц (эхний үе шаттай адил бид симуляцийн оруулга үүсгэх горимыг ашиглан "Царцаа" шифрлэлтийн алгоритмыг ашигладаг):
#crypto ipsec transform-set GOST esp-gost341215k-mac
Бид крипто газрын зураг үүсгэж, ACL-ийг зааж, багц болон үе тэнгийн хаягийг хувиргадаг.
#crypto map MAIN 100 ipsec-isakmp
# сайтын хаягийг тааруулах
#set transform-set GOST
#тогтоох peer 10.111.22.3
Бид крипто картыг кассын гадаад интерфейстэй холбодог.
#интерфейс GigabitEthernet0/0
#ip хаяг 10.111.21.3 255.255.255.0
#крипто газрын зураг ҮНДСЭН
Бусад сайтуудтай сувгийг шифрлэхийн тулд та ACL болон крипто карт үүсгэх, ACL нэр, IP хаяг, крипто картын дугаарыг өөрчлөх процедурыг давтах ёстой.
Анхаар! Хэрэв CRL-ийн гэрчилгээний баталгаажуулалтыг ашиглаагүй бол үүнийг тодорхой зааж өгөх ёстой:
#crypto pki Trustpoint s-terra_technological_trustpoint
#цуцлах-шалгахгүй
Энэ үед тохиргоог дууссан гэж үзэж болно. Cisco шиг консолын командын гаралт crypto isakmp sa харуулах и Crypto ipsec sa харуулах IPSec-ийн бүтээгдсэн эхний болон хоёрдугаар үе шатыг тусгах хэрэгтэй. Үүнтэй ижил мэдээллийг тушаалыг ашиглан авч болно sa_mgr шоу, debian shell-ээс гүйцэтгэсэн. Тушаалын гаралтанд cert_mgr шоу Алсын сайтын гэрчилгээ гарч ирэх ёстой. Ийм гэрчилгээний статус нь байх болно алсын. Хэрэв хонгил баригдаагүй бол файлд хадгалагдсан VPN үйлчилгээний бүртгэлийг үзэх хэрэгтэй /var/log/cspvpngate.log. Бүртгэлийн файлуудын бүрэн жагсаалтыг агуулгын тайлбар бүхий баримт бичигт авах боломжтой.
Системийн "эрүүл мэнд" -ийг хянах
S-Terra CC нь мониторинг хийхэд стандарт snmpd дэмоныг ашигладаг. Линуксийн ердийн параметрүүдээс гадна S-Terra нь CISCO-IPSEC-FLOW-MONITOR-MIB-ийн дагуу IPSec хонгилын тухай мэдээлэл гаргахыг дэмждэг бөгөөд үүнийг бид IPSec туннелийн төлөвийг хянахдаа ашигладаг. Скриптийн гүйцэтгэлийн үр дүнг утга болгон гаргадаг захиалгат OID-ийн функцийг мөн дэмждэг. Энэ функц нь гэрчилгээний хугацаа дуусах хугацааг хянах боломжийг бидэнд олгодог. Бичсэн скрипт нь тушаалын гаралтыг задлан шинжилдэг cert_mgr шоу Үүний үр дүнд орон нутгийн болон үндсэн гэрчилгээний хугацаа дуусах хүртэлх өдрийн тоог өгдөг. Энэ техник нь олон тооны CABG хийх үед зайлшгүй шаардлагатай.
Ийм шифрлэлтийн ашиг тус юу вэ?
Дээр дурдсан бүх функцийг S-Terra KSh нь хайрцагнаас нь дэмждэг. Өөрөөр хэлбэл, крипто гарцын баталгаажуулалт, мэдээллийн системийг бүхэлд нь баталгаажуулахад нөлөөлөх нэмэлт модулиудыг суулгах шаардлагагүй байв. Сайтуудын хооронд ямар ч суваг байж болно, тэр ч байтугай Интернетээр дамжуулан.
Дотоод дэд бүтэц өөрчлөгдөхөд крипто гарцыг дахин тохируулах шаардлагагүй тул систем нь үйлчилгээний хэлбэрээр ажилладаг, энэ нь үйлчлүүлэгчийн хувьд маш тохиромжтой: тэрээр өөрийн үйлчилгээг (үйлчлүүлэгч ба сервер) ямар ч хаягаар байрлуулж болох бөгөөд бүх өөрчлөлтийг шифрлэлтийн төхөөрөмж хооронд динамикаар шилжүүлэх болно.
Мэдээжийн хэрэг, нэмэлт зардал (нэмэлт зардал) -аас үүдэлтэй шифрлэлт нь өгөгдөл дамжуулах хурдад нөлөөлдөг боловч бага зэрэг - сувгийн нэвтрүүлэх чадвар дээд тал нь 5-10% -иар буурч болно. Үүний зэрэгцээ энэ технологийг нэлээд тогтворгүй, бага зурвасын өргөнтэй хиймэл дагуулын сувгууд дээр ч туршиж үзээд сайн үр дүн үзүүлсэн.
Игорь Виноходов, Ростелеком-Солар компанийн удирдлагын 2-р шугамын инженер
Эх сурвалж: www.habr.com