ΠΡΠ»ΠΈ Π²Π°ΡΠ° ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΡ ΠΏΠ΅ΡΠ΅Π΄Π°ΡΡ ΠΈΠ»ΠΈ ΠΏΠΎΠ»ΡΡΠ°Π΅Ρ ΠΏΠΎ ΡΠ΅ΡΠΈ ΠΏΠ΅ΡΡΠ΄Π°Π½Π½ΡΠ΅ ΠΈ Π΄ΡΡΠ³ΡΡ ΠΊΠΎΠ½ΡΠΈΠ΄Π΅Π½ΡΠΈΠ°Π»ΡΠ½ΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ, ΠΏΠΎΠ΄Π»Π΅ΠΆΠ°ΡΡΡ Π·Π°ΡΠΈΡΠ΅ Π² ΡΠΎΠΎΡΠ²Π΅ΡΡΡΠ²ΠΈΠΈ Ρ Π·Π°ΠΊΠΎΠ½ΠΎΠ΄Π°ΡΠ΅Π»ΡΡΡΠ²ΠΎΠΌ, ΡΡΠ΅Π±ΡΠ΅ΡΡΡ ΠΏΡΠΈΠΌΠ΅Π½ΡΡΡ ΡΠΈΡΡΠΎΠ²Π°Π½ΠΈΠ΅ ΠΏΠΎ ΠΠΠ‘Π’Ρ. Π‘Π΅Π³ΠΎΠ΄Π½Ρ ΠΌΡ ΡΠ°ΡΡΠΊΠ°ΠΆΠ΅ΠΌ, ΠΊΠ°ΠΊ Π²Π½Π΅Π΄ΡΠΈΠ»ΠΈ ΡΠ°ΠΊΠΎΠ΅ ΡΠΈΡΡΠΎΠ²Π°Π½ΠΈΠ΅ Π½Π° Π±Π°Π·Π΅ ΠΊΡΠΈΠΏΡΠΎΡΠ»ΡΠ·Π° (ΠΠ¨) S-Terra Ρ ΠΎΠ΄Π½ΠΎΠ³ΠΎ ΠΈΠ· Π·Π°ΠΊΠ°Π·ΡΠΈΠΊΠΎΠ². ΠΡΠ° ΠΈΡΡΠΎΡΠΈΡ Π±ΡΠ΄Π΅Ρ ΠΈΠ½ΡΠ΅ΡΠ΅ΡΠ½Π° ΠΠ-ΡΠΏΠ΅ΡΠΈΠ°Π»ΠΈΡΡΠ°ΠΌ, Π° ΡΠ°ΠΊΠΆΠ΅ ΠΈΠ½ΠΆΠ΅Π½Π΅ΡΠ°ΠΌ, ΠΏΡΠΎΠ΅ΠΊΡΠΈΡΠΎΠ²ΡΠΈΠΊΠ°ΠΌ ΠΈ Π°ΡΡ
ΠΈΡΠ΅ΠΊΡΠΎΡΠ°ΠΌ. ΠΠ»ΡΠ±ΠΎΠΊΠΎ ΠΏΠΎΠ³ΡΡΠΆΠ°ΡΡΡΡ Π² Π½ΡΠ°Π½ΡΡ ΡΠ΅Ρ
Π½ΠΈΡΠ΅ΡΠΊΠΎΠΉ ΠΊΠΎΠ½ΡΠΈΠ³ΡΡΠ°ΡΠΈΠΈ Π² Π΄Π°Π½Π½ΠΎΠΌ ΠΏΠΎΡΡΠ΅ ΠΌΡ Π½Π΅ Π±ΡΠ΄Π΅ΠΌ β ΠΎΡΡΠ°Π½ΠΎΠ²ΠΈΠΌΡΡ Π½Π° ΠΊΠ»ΡΡΠ΅Π²ΡΡ
ΠΌΠΎΠΌΠ΅Π½ΡΠ°Ρ
Π±Π°Π·ΠΎΠ²ΠΎΠΉ Π½Π°ΡΡΡΠΎΠΉΠΊΠΈ. ΠΠ³ΡΠΎΠΌΠ½ΡΠ΅ ΠΎΠ±ΡΠ΅ΠΌΡ Π΄ΠΎΠΊΡΠΌΠ΅Π½ΡΠ°ΡΠΈΠΈ ΠΏΠΎ Π½Π°ΡΡΡΠΎΠΉΠΊΠ΅ Π΄Π΅ΠΌΠΎΠ½ΠΎΠ² ΠΠ‘ Linux, Π½Π° ΠΊΠΎΡΠΎΡΠΎΠΉ Π±Π°Π·ΠΈΡΡΠ΅ΡΡΡ ΠΠ¨ S-Terra, Π΅ΡΡΡ Π² ΡΠ²ΠΎΠ±ΠΎΠ΄Π½ΠΎΠΌ Π΄ΠΎΡΡΡΠΏΠ΅ Π² ΠΈΠ½ΡΠ΅ΡΠ½Π΅ΡΠ΅. ΠΠΎΠΊΡΠΌΠ΅Π½ΡΠ°ΡΠΈΡ ΠΏΠΎ Π½Π°ΡΡΡΠΎΠΉΠΊΠ΅ ΠΏΡΠΎΠΏΡΠΈΠ΅ΡΠ°ΡΠ½ΠΎΠ³ΠΎ ΠΠ S-Terra ΡΠ°ΡΠΏΠΎΠ»Π°Π³Π°Π΅ΡΡΡ ΡΠ°ΠΊΠΆΠ΅ Π² ΠΎΡΠΊΡΡΡΠΎΠΌ Π΄ΠΎΡΡΡΠΏΠ΅ Π½Π° pengilang.
Sedikit perkataan mengenai projek itu
Topologi rangkaian pelanggan adalah standard - jaringan penuh antara pusat dan cawangan. Ia adalah perlu untuk memperkenalkan penyulitan saluran pertukaran maklumat antara semua tapak, yang mana terdapat 8.
Biasanya dalam projek sedemikian semuanya statik: laluan statik ke rangkaian tempatan tapak ditetapkan pada gerbang crypto (CG), senarai alamat IP (ACL) untuk penyulitan didaftarkan. Walau bagaimanapun, dalam kes ini, tapak tidak mempunyai pengurusan berpusat, dan apa-apa boleh berlaku dalam rangkaian tempatan mereka: rangkaian boleh ditambah, dipadam dan diubah suai dalam setiap cara yang mungkin. Untuk mengelakkan konfigurasi semula penghalaan dan ACL pada KS apabila menukar pengalamatan rangkaian tempatan di tapak, diputuskan untuk menggunakan terowong GRE dan penghalaan dinamik OSPF, yang merangkumi semua KS dan kebanyakan penghala di peringkat teras rangkaian di tapak ( di sesetengah tapak, pentadbir infrastruktur lebih suka menggunakan SNAT ke arah KS pada penghala kernel).
Terowong GRE membolehkan kami menyelesaikan dua masalah:
1. Gunakan alamat IP antara muka luaran CS untuk penyulitan dalam ACL, yang merangkumi semua trafik yang dihantar ke tapak lain.
2. Atur terowong ptp antara CS, yang membolehkan anda menyediakan penghalaan dinamik (dalam kes kami, MPLS L3VPN pembekal disusun antara tapak).
Pelanggan mengarahkan pelaksanaan penyulitan sebagai perkhidmatan. Jika tidak, dia bukan sahaja perlu menyelenggara gerbang kripto atau menyumber luarnya kepada beberapa organisasi, tetapi juga memantau kitaran hayat sijil penyulitan secara bebas, memperbaharuinya tepat pada masanya dan memasang yang baharu.
Dan kini memo sebenar - bagaimana dan apa yang kami sediakan
Nota kepada subjek CII: menyediakan gerbang kripto
Persediaan rangkaian asas
Pertama sekali, kami melancarkan CS baharu dan masuk ke konsol pentadbiran. Anda harus bermula dengan menukar kata laluan pentadbir terbina dalam - arahan tukar pentadbir kata laluan pengguna. Kemudian anda perlu menjalankan prosedur permulaan (command memulakan) semasa data lesen dimasukkan dan penderia nombor rawak (RNS) dimulakan.
Perhatikan! Apabila S-Terra CC dimulakan, dasar keselamatan diwujudkan di mana antara muka gerbang keselamatan tidak membenarkan paket melaluinya. Anda mesti sama ada membuat dasar anda sendiri atau menggunakan arahan jalankan csconf_mgr activate mengaktifkan dasar membenarkan yang telah ditetapkan.
Seterusnya, anda perlu mengkonfigurasi pengalamatan antara muka luaran dan dalaman, serta laluan lalai. Adalah lebih baik untuk bekerja dengan konfigurasi rangkaian CS dan mengkonfigurasi penyulitan melalui konsol seperti Cisco. Konsol ini direka untuk memasukkan arahan yang serupa dengan arahan Cisco IOS. Konfigurasi yang dijana menggunakan konsol seperti Cisco, seterusnya, ditukar kepada fail konfigurasi yang sepadan dengan daemon OS berfungsi. Anda boleh pergi ke konsol seperti Cisco dari konsol pentadbiran dengan arahan mengkonfigurasi.
Tukar kata laluan untuk cscon pengguna terbina dalam dan dayakan:
>membolehkan
Kata laluan: csp(dipasang)
#configure terminal
#username cscons privilege 15 rahsia 0 #dayakan rahsia 0 Menyediakan konfigurasi rangkaian asas:
#antaramuka GigabitEthernet0/0
#alamat ip 10.111.21.3 255.255.255.0
#tiada penutupan
#antaramuka GigabitEthernet0/1
#alamat ip 192.168.2.5 255.255.255.252
#tiada penutupan
#ip laluan 0.0.0.0 0.0.0.0 10.111.21.254
GrΔ
ΠΡΡ
ΠΎΠ΄ΠΈΠΌ ΠΈΠ· Cisco-like ΠΊΠΎΠ½ΡΠΎΠ»ΠΈ, ΠΈ ΠΏΠ΅ΡΠ΅Ρ
ΠΎΠ΄ΠΈΠΌ Π² debian shell ΠΊΠΎΠΌΠ°Π½Π΄ΠΎΠΉ sistem. Tetapkan kata laluan anda sendiri untuk pengguna akar pasukan passwd.
Di setiap bilik kawalan, terowong berasingan dikonfigurasikan untuk setiap tapak. Antara muka terowong dikonfigurasikan dalam fail / etc / network / interfaces. Utiliti terowong IP, termasuk dalam set iproute2 yang diprapasang, bertanggungjawab untuk mencipta antara muka itu sendiri. Perintah penciptaan antara muka ditulis ke dalam pilihan pra-up.
Contoh konfigurasi antara muka terowong biasa:
tapak auto1
tapak iface1 inet statik
alamat 192.168.1.4
255.255.255.254 netmask
terowong ip pra-siap tambah mod tapak1 gre tempatan 10.111.21.3 jauh 10.111.22.3 kunci hfLYEg^vCh6p
Perhatikan! Perlu diingatkan bahawa tetapan untuk antara muka terowong mesti terletak di luar bahagian
###netifcfg-begin####
*****
###netifcfg-end###
Jika tidak, tetapan ini akan ditimpa apabila menukar tetapan rangkaian antara muka fizikal melalui konsol seperti Cisco.
Penghalaan dinamik
Dalam S-Terra, penghalaan dinamik dilaksanakan menggunakan pakej perisian Quagga. Untuk mengkonfigurasi OSPF kita perlu mendayakan dan mengkonfigurasi daemon zebra ΠΈ ospfd. Daemon zebra bertanggungjawab untuk komunikasi antara daemon penghalaan dan OS. Daemon ospfd, seperti namanya, bertanggungjawab untuk melaksanakan protokol OSPF.
OSPF dikonfigurasikan sama ada melalui konsol daemon atau terus melalui fail konfigurasi /etc/quagga/ospfd.conf. Semua antara muka fizikal dan terowong yang mengambil bahagian dalam penghalaan dinamik ditambahkan pada fail, dan rangkaian yang akan diiklankan dan menerima pengumuman juga diisytiharkan.
Contoh konfigurasi yang perlu ditambah ospfd.conf:
antara muka eth0
!
antara muka eth1
!
tapak antara muka1
!
tapak antara muka2
penghala ospf
id penghala ospf 192.168.2.21
rangkaian 192.168.1.4/31 kawasan 0.0.0.0
rangkaian 192.168.1.16/31 kawasan 0.0.0.0
rangkaian 192.168.2.4/30 kawasan 0.0.0.0
Dalam kes ini, alamat 192.168.1.x/31 dikhaskan untuk rangkaian ptp terowong antara tapak, alamat 192.168.2.x/30 dikhaskan untuk rangkaian transit antara penghala CS dan kernel.
Perhatikan! Untuk mengurangkan jadual penghalaan dalam pemasangan yang besar, anda boleh menapis iklan rangkaian transit itu sendiri menggunakan binaan tiada agihan semula disambungkan atau mengagihkan semula peta laluan yang disambungkan.
Selepas mengkonfigurasi daemon, anda perlu menukar status permulaan daemon masuk /etc/quagga/daemons. Dalam pilihan zebra ΠΈ ospfd tiada perubahan kepada ya. Mulakan daemon quagga dan tetapkannya kepada autorun apabila anda memulakan arahan KS update-rc.d quagga enable.
Jika konfigurasi terowong GRE dan OSPF dilakukan dengan betul, maka laluan dalam rangkaian tapak lain akan muncul pada KSh dan penghala teras dan, dengan itu, sambungan rangkaian antara rangkaian tempatan timbul.
Kami menyulitkan trafik yang dihantar
Seperti yang telah ditulis, biasanya apabila menyulitkan antara tapak, kami menentukan julat alamat IP (ACL) antara trafik yang disulitkan: jika alamat sumber dan destinasi berada dalam julat ini, maka trafik antara mereka disulitkan. Walau bagaimanapun, dalam projek ini strukturnya adalah dinamik dan alamat mungkin berubah. Memandangkan kami telah pun mengkonfigurasikan terowong GRE, kami boleh menentukan alamat KS luaran sebagai alamat sumber dan destinasi untuk menyulitkan trafik - lagipun, trafik yang telah dirangkumkan oleh protokol GRE tiba untuk penyulitan. Dalam erti kata lain, semua yang masuk ke dalam CS daripada rangkaian tempatan satu tapak ke arah rangkaian yang telah diumumkan oleh tapak lain disulitkan. Dan dalam setiap tapak, sebarang pengalihan boleh dilakukan. Oleh itu, jika terdapat sebarang perubahan dalam rangkaian tempatan, pentadbir hanya perlu mengubah suai pengumuman yang datang dari rangkaiannya ke arah rangkaian, dan ia akan tersedia untuk tapak lain.
Penyulitan dalam S-Terra CS dilakukan menggunakan protokol IPSec. Kami menggunakan algoritma "Grasshopper" mengikut GOST R 34.12-2015, dan untuk keserasian dengan versi lama anda boleh menggunakan GOST 28147-89. Pengesahan secara teknikal boleh dilakukan pada kedua-dua kunci yang dipratentukan (PSK) dan sijil. Walau bagaimanapun, dalam operasi perindustrian adalah perlu untuk menggunakan sijil yang dikeluarkan mengikut GOST R 34.10-2012.
Bekerja dengan sijil, bekas dan CRL dilakukan menggunakan utiliti cert_mgr. Pertama sekali, menggunakan arahan cert_mgr buat adalah perlu untuk menjana bekas kunci peribadi dan permintaan sijil, yang akan dihantar ke Pusat Pengurusan Sijil. Selepas menerima sijil, ia mesti diimport bersama sijil CA akar dan CRL (jika digunakan) dengan arahan cert_mgr import. Anda boleh memastikan bahawa semua sijil dan CRL dipasang dengan arahan cert_mgr show.
Selepas berjaya memasang sijil, pergi ke konsol seperti Cisco untuk mengkonfigurasi IPSec.
Kami mencipta dasar IKE yang menentukan algoritma dan parameter yang dikehendaki bagi saluran selamat yang dibuat, yang akan ditawarkan kepada rakan kongsi untuk kelulusan.
#crypto isakmp polisi 1000
#encr gost341215k
#hash gost341112-512-tc26
#tanda pengesahan
#kumpulan vko2
#seumur hidup 3600
Dasar ini digunakan semasa membina fasa pertama IPSec. Hasil kejayaan menyiapkan fasa pertama ialah penubuhan SA (Security Association).
Seterusnya, kita perlu mentakrifkan senarai alamat IP sumber dan destinasi (ACL) untuk penyulitan, menjana set transformasi, mencipta peta kriptografi (peta kriptografi) dan mengikatnya pada antara muka luaran CS.
Tetapkan ACL:
#ip akses-senarai tapak lanjutan1
#permit gre hos 10.111.21.3 hos 10.111.22.3
Satu set transformasi (sama seperti untuk fasa pertama, kami menggunakan algoritma penyulitan "Grasshopper" menggunakan mod penjanaan sisipan simulasi):
#crypto ipsec transform-set GOST esp-gost341215k-mac
Kami mencipta peta kripto, menentukan ACL, mengubah set dan alamat rakan sebaya:
#crypto map UTAMA 100 ipsec-isakmp
#padanan alamat tapak1
#set transform-set GOST
#set rakan sebaya 10.111.22.3
Kami mengikat kad kripto ke antara muka luar daftar tunai:
#antaramuka GigabitEthernet0/0
#alamat ip 10.111.21.3 255.255.255.0
#crypto map UTAMA
Untuk menyulitkan saluran dengan tapak lain, anda mesti mengulangi prosedur untuk mencipta kad ACL dan crypto, menukar nama ACL, alamat IP dan nombor kad crypto.
Perhatikan! Jika pengesahan sijil oleh CRL tidak digunakan, ini mesti dinyatakan dengan jelas:
#crypto pki trustpoint s-terra_technological_trustpoint
#pembatalan-semak tiada
Pada ketika ini, persediaan boleh dianggap selesai. Dalam output arahan konsol seperti Cisco tunjukkan crypto isakmp sa ΠΈ tunjukkan crypto ipsec sa Fasa pertama dan kedua IPSec yang dibina harus dicerminkan. Maklumat yang sama boleh diperoleh menggunakan arahan rancangan sa_mgr, Π²ΡΠΏΠΎΠ»Π½Π΅Π½Π½ΠΎΠΉ ΠΈΠ· debian shΠ΅ll. Π Π²ΡΠ²ΠΎΠ΄Π΅ ΠΊΠΎΠΌΠ°Π½Π΄Ρ cert_mgr show Sijil tapak jauh akan muncul. Status sijil tersebut adalah jauhJika terowong tidak dibina, anda perlu melihat kayu balak tersebut. VPN-perkhidmatan yang disimpan dalam fail /var/log/cspvpngate.log. Senarai lengkap fail log dengan penerangan kandungannya tersedia dalam dokumentasi.
Memantau "kesihatan" sistem
Π ΠΠ¨ S-Terra Π΄Π»Ρ ΠΌΠΎΠ½ΠΈΡΠΎΡΠΈΠ½Π³Π° ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΠ΅ΡΡΡ ΡΡΠ°Π½Π΄Π°ΡΡΠ½ΡΠΉ Π΄Π΅ΠΌΠΎΠ½ snmpd. ΠΠΎΠΌΠΈΠΌΠΎ ΡΠΈΠΏΠΈΡΠ½ΡΡ
Π΄Π»Ρ Linux ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΠΎΠ², S-Terra Β«ΠΈΠ· ΠΊΠΎΡΠΎΠ±ΠΊΠΈΒ» ΠΏΠΎΠ΄Π΄Π΅ΡΠΆΠΈΠ²Π°Π΅Ρ Π²ΡΠ΄Π°ΡΡ Π΄Π°Π½Π½ΡΡ
ΠΎΠ± IPSec-ΡΡΠ½Π½Π΅Π»ΡΡ
ΡΠΎΠ³Π»Π°ΡΠ½ΠΎ CISCO-IPSEC-FLOW-MONITOR-MIB, ΡΠ΅ΠΌ ΠΌΡ ΠΈ ΠΏΠΎΠ»ΡΠ·ΡΠ΅ΠΌΡΡ, ΠΎΡΡΠ»Π΅ΠΆΠΈΠ²Π°Ρ ΡΠΎΡΡΠΎΡΠ½ΠΈΠ΅ IPSec-ΡΡΠ½Π½Π΅Π»Π΅ΠΉ. Π’Π°ΠΊΠΆΠ΅ ΠΏΠΎΠ΄Π΄Π΅ΡΠΆΠΈΠ²Π°Π΅ΡΡΡ ΡΡΠ½ΠΊΡΠΈΠΎΠ½Π°Π» ΠΊΠ°ΡΡΠΎΠΌΠ½ΡΡ
OIDβΠΎΠ² Π²ΡΠ΄Π°ΡΡΠΈΡ
Π² ΠΊΠ°ΡΠ΅ΡΡΠ²Π΅ Π·Π½Π°ΡΠ΅Π½ΠΈΠΉ ΡΠ΅Π·ΡΠ»ΡΡΠ°ΡΡ Π²ΡΠΏΠΎΠ»Π½Π΅Π½ΠΈΡ ΡΠΊΡΠΈΠΏΡΠ°. ΠΡΠ° Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡΡ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ΅Ρ Π½Π°ΠΌ ΠΎΡΡΠ»Π΅ΠΆΠΈΠ²Π°ΡΡ ΡΡΠΎΠΊΠΈ ΠΈΡΡΠ΅ΡΠ΅Π½ΠΈΡ ΡΠ΅ΡΡΠΈΡΠΈΠΊΠ°ΡΠΎΠ². ΠΠ°ΠΏΠΈΡΠ°Π½Π½ΡΠΉ ΡΠΊΡΠΈΠΏΡ ΠΏΠ°ΡΡΠΈΡ Π²ΡΠ²ΠΎΠ΄ ΠΊΠΎΠΌΠ°Π½Π΄Ρ cert_mgr show dan sebagai hasilnya memberikan bilangan hari sehingga sijil tempatan dan akar tamat tempoh. Teknik ini amat diperlukan apabila mentadbir sejumlah besar CABG.
Apakah faedah penyulitan sedemikian?
Semua fungsi yang diterangkan di atas disokong di luar kotak oleh S-Terra KSh. Iaitu, tidak perlu memasang sebarang modul tambahan yang boleh menjejaskan pensijilan gerbang crypto dan pensijilan keseluruhan sistem maklumat. Boleh ada sebarang saluran antara tapak, walaupun melalui Internet.
Disebabkan fakta bahawa apabila infrastruktur dalaman berubah, tidak perlu mengkonfigurasi semula gerbang crypto, sistem berfungsi sebagai perkhidmatan, yang sangat mudah untuk pelanggan: dia boleh meletakkan perkhidmatannya (klien dan pelayan) di mana-mana alamat, dan semua perubahan akan dipindahkan secara dinamik antara peralatan penyulitan.
Sudah tentu, penyulitan disebabkan kos overhed (overhed) menjejaskan kelajuan pemindahan data, tetapi hanya sedikit - daya pengeluaran saluran boleh berkurangan maksimum 5-10%. Pada masa yang sama, teknologi ini telah diuji dan menunjukkan hasil yang baik walaupun pada saluran satelit, yang agak tidak stabil dan mempunyai lebar jalur yang rendah.
Igor Vinokhodov, jurutera barisan ke-2 pentadbiran Rostelecom-Solar
Sumber: www.habr.com
