Jekk il-kumpanija tiegħek tittrażmetti jew tirċievi data personali u informazzjoni kunfidenzjali oħra fuq in-netwerk li hija soġġetta għal protezzjoni skont il-liġi, hija meħtieġa li tuża l-kriptaġġ GOST. Illum se ngħidulek kif implimentajna kriptaġġ bħal dan ibbażat fuq il-portal kripto S-Terra (CS) f'wieħed mill-klijenti. Din l-istorja se tkun ta’ interess għall-ispeċjalisti tas-sigurtà tal-informazzjoni, kif ukoll għall-inġiniera, disinjaturi u periti. Mhux se ngħaddu fil-fond fl-sfumaturi tal-konfigurazzjoni teknika f'din il-kariga; se niffukaw fuq il-punti ewlenin tas-setup bażiku. Volumi kbar ta 'dokumentazzjoni dwar it-twaqqif ta' daemons tal-Linux OS, li fuqhom hija bbażata l-S-Terra CS, huma disponibbli b'mod liberu fuq l-Internet. Dokumentazzjoni għat-twaqqif ta' softwer proprjetarju S-Terra hija wkoll disponibbli pubblikament fuq manifattur.
Ftit kelmiet dwar il-proġett
It-topoloġija tan-netwerk tal-klijent kienet standard - malja sħiħa bejn iċ-ċentru u l-fergħat. Kien meħtieġ li jiġi introdott kriptaġġ ta 'kanali ta' skambju ta 'informazzjoni bejn is-siti kollha, li minnhom kien hemm 8.
Normalment fi proġetti bħal dawn kollox huwa statiku: rotot statiċi għan-netwerk lokali tas-sit huma stabbiliti fuq gateways kripto (CGs), listi ta 'indirizzi IP (ACLs) għall-encryption huma rreġistrati. Madankollu, f'dan il-każ, is-siti m'għandhomx ġestjoni ċentralizzata, u kollox jista 'jiġri ġewwa n-netwerks lokali tagħhom: in-netwerks jistgħu jiġu miżjuda, imħassra u modifikati b'kull mod possibbli. Sabiex tiġi evitata r-rikonfigurazzjoni tar-rotot u l-ACL fuq il-KS meta jinbidel l-indirizzar tan-netwerks lokali fis-siti, ġie deċiż li jintużaw tunneling GRE u routing dinamiku OSPF, li jinkludi l-KS kollha u l-biċċa l-kbira tar-routers fil-livell ċentrali tan-netwerk fis-siti ( f'xi siti, amministraturi tal-infrastruttura ppreferew jużaw SNAT lejn KS fuq routers tal-kernel).
GRE tunneling ippermetta li nsolvu żewġ problemi:
1. Uża l-indirizz IP tal-interface esterna tas-CS għall-encryption fl-ACL, li tiġbor it-traffiku kollu mibgħut lil siti oħra.
2. Organizza mini ptp bejn CSs, li jippermettulek tikkonfigura r-rotot dinamiku (fil-każ tagħna, l-MPLS L3VPN tal-fornitur huwa organizzat bejn is-siti).
Il-klijent ordna l-implimentazzjoni tal-kriptaġġ bħala servizz. Inkella, ikollu mhux biss iżomm gateways kripto jew jesternalizzahom lil xi organizzazzjoni, iżda wkoll jimmonitorja b'mod indipendenti ċ-ċiklu tal-ħajja taċ-ċertifikati ta 'encryption, iġeddedhom fil-ħin u jinstalla oħrajn ġodda.
U issa l-memo attwali - kif u x'konfigurajna
Nota għas-suġġett tas-CII: it-twaqqif ta 'portal kripto
Setup bażiku tan-netwerk
L-ewwelnett, inniedu CS ġdid u nidħlu fil-console tal-amministrazzjoni. Għandek tibda billi tbiddel il-password tal-amministratur integrat - kmand ibiddel l-amministratur tal-password tal-utent. Imbagħad għandek bżonn twettaq il-proċedura ta 'inizjalizzazzjoni (kmand initialize) li matulha tiddaħħal id-dejta tal-liċenzja u s-sensor tan-numru każwali (RNS) jiġi inizjalizzat.
Oqgħod attent! Meta S-Terra CC jiġi inizjalizzat, tiġi stabbilita politika ta' sigurtà li fiha l-interfaces tal-gateway tas-sigurtà ma jippermettux li jgħaddu l-pakketti. Int trid jew toħloq il-politika tiegħek jew tuża l-kmand run csconf_mgr attiva jattiva politika ta' permess predefinita.
Sussegwentement, għandek bżonn tikkonfigura l-indirizzar tal-interfaces esterni u interni, kif ukoll ir-rotta default. Huwa preferibbli li taħdem mal-konfigurazzjoni tan-netwerk CS u tikkonfigura l-encryption permezz ta 'console bħal Cisco. Dan il-console huwa ddisinjat biex jidħol kmandi simili għall-kmandi Cisco IOS. Il-konfigurazzjoni ġġenerata bl-użu tal-console bħal Cisco hija, min-naħa tagħha, konvertita fil-fajls ta 'konfigurazzjoni korrispondenti li magħhom jaħdmu d-daemons tal-OS. Tista 'tmur għall-console bħal Cisco mill-console tal-amministrazzjoni bil-kmand kkonfigurat.
Ibdel il-passwords għall-cscons tal-utent integrati u ppermetti:
> jippermettu
Password: csp (installat minn qabel)
#konfigura t-terminal
#username cscons privilege 15 sigriet 0 #enable secret 0 Twaqqif tal-konfigurazzjoni bażika tan-netwerk:
#interface GigabitEthernet0/0
#indirizz ip 10.111.21.3 255.255.255.0
#l-ebda għeluq
#interface GigabitEthernet0/1
#indirizz ip 192.168.2.5 255.255.255.252
#l-ebda għeluq
#ip rotta 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Oħroġ mill-console bħal Cisco u mur fil-qoxra debian bil-kmand sistema. Issettja l-password tiegħek għall-utent għeruq tim passwd.
F'kull kamra tal-kontroll, mina separata hija kkonfigurata għal kull sit. L-interface tal-mina hija kkonfigurata fil-fajl / eċċ / netwerk / interfaces. L-utilità tal-mina IP, inkluża fis-sett iproute2 installat minn qabel, hija responsabbli għall-ħolqien tal-interface innifsu. Il-kmand tal-ħolqien tal-interface huwa miktub fl-għażla ta 'qabel.
Eżempju ta' konfigurazzjoni ta' interface ta' mina tipika:
sit tal-karozzi1
iface site1 inet statiku
indirizz 192.168.1.4
netmask 255.255.255.254
pre-up ip tunnel add site1 mode gre local 10.111.21.3 remote 10.111.22.3 key hfLYEg^vCh6p
Oqgħod attent! Għandu jiġi nnutat li s-settings għall-interfaces tal-mini għandhom ikunu jinsabu barra s-sezzjoni
###netifcfg-begin###
*****
###netifcfg-end###
Inkella, dawn is-settings jinkitbu fuqhom meta jinbidlu s-settings tan-netwerk ta 'interfaces fiżiċi permezz ta' console bħal Cisco.
Rotot dinamiku
F'S-Terra, ir-rotot dinamiku huwa implimentat bl-użu tal-pakkett tas-softwer Quagga. Biex tikkonfigura l-OSPF irridu nattivaw u kkonfiguraw id-daemons zebra и ospfd. Id-demon zebra huwa responsabbli għall-komunikazzjoni bejn id-daemons tar-routing u l-OS. Id-daemon ospfd, kif jissuġġerixxi l-isem, huwa responsabbli għall-implimentazzjoni tal-protokoll OSPF.
OSPF huwa kkonfigurat jew permezz tad-daemon console jew direttament permezz tal-fajl tal-konfigurazzjoni /etc/quagga/ospfd.conf. L-interfaces fiżiċi u tal-mini kollha li jipparteċipaw fir-routing dinamiku huma miżjuda mal-fajl, u n-netwerks li se jiġu reklamati u li jirċievu avviżi huma ddikjarati wkoll.
Eżempju tal-konfigurazzjoni li jeħtieġ li tiżdied magħha ospfd.conf:
interface eth0
!
interface eth1
!
sit tal-interface1
!
sit tal-interface2
router ospf
ospf router-id 192.168.2.21
netwerk 192.168.1.4/31 żona 0.0.0.0
netwerk 192.168.1.16/31 żona 0.0.0.0
netwerk 192.168.2.4/30 żona 0.0.0.0
F'dan il-każ, l-indirizzi 192.168.1.x/31 huma riżervati għal netwerks ptp ta 'mina bejn is-siti, l-indirizzi 192.168.2.x/30 huma allokati għal netwerks ta' transitu bejn CS u kernel routers.
Oqgħod attent! Biex tnaqqas it-tabella tar-rotot f'installazzjonijiet kbar, tista 'tiffiltra r-reklam tan-netwerks ta' transitu nfushom billi tuża l-kostruzzjonijiet ebda redistribute konnessi jew qassam mill-ġdid il-mappa tar-rotta konnessa.
Wara li kkonfigurat id-daemons, trid tibdel l-istatus tal-istartjar tad-daemons fi /etc/quagga/daemons. Fl-għażliet zebra и ospfd ebda bidla għal iva. Ibda d-daemon quagga u ssettjah għal awtorun meta tibda l-kmand KS update-rc.d quagga enable.
Jekk il-konfigurazzjoni tal-mini GRE u l-OSPF issir b'mod korrett, allura r-rotot fin-netwerk ta 'siti oħra għandhom jidhru fuq il-KSh u r-routers ewlenin u, għalhekk, tinħoloq konnettività tan-netwerk bejn in-netwerks lokali.
Aħna nikkriptaw it-traffiku trażmess
Kif diġà nkiteb, ġeneralment meta nikkriptaw bejn is-siti, aħna nispeċifikaw firxiet ta 'indirizzi IP (ACLs) li bejnhom it-traffiku huwa kkodifikat: jekk l-indirizzi tas-sors u tad-destinazzjoni jaqgħu f'dawn il-firxiet, allura t-traffiku bejniethom ikun encrypted. Madankollu, f'dan il-proġett l-istruttura hija dinamika u l-indirizzi jistgħu jinbidlu. Peress li diġà kkonfigurajna GRE tunneling, nistgħu nispeċifikaw indirizzi esterni KS bħala l-indirizzi tas-sors u tad-destinazzjoni għall-encrypting tat-traffiku - wara kollox, it-traffiku li huwa diġà inkapsulat mill-protokoll GRE jasal għall-encryption. Fi kliem ieħor, dak kollu li jidħol fis-CS min-netwerk lokali ta 'sit wieħed lejn netwerks li ġew imħabbra minn siti oħra huwa encrypted. U f'kull wieħed mis-siti jista 'jitwettaq kwalunkwe direzzjoni mill-ġdid. Għalhekk, jekk ikun hemm xi bidla fin-netwerks lokali, l-amministratur jeħtieġ biss li jimmodifika l-avviżi li ġejjin min-netwerk tiegħu lejn in-netwerk, u jsir disponibbli għal siti oħra.
Encryption f'S-Terra CS titwettaq bl-użu tal-protokoll IPSec. Aħna nużaw l-algoritmu "Grasshopper" skont GOST R 34.12-2015, u għall-kompatibilità ma 'verżjonijiet eqdem tista' tuża GOST 28147-89. L-awtentikazzjoni tista' ssir teknikament kemm fuq ċwievet predefiniti (PSKs) kif ukoll fuq iċ-ċertifikati. Madankollu, fl-operazzjoni industrijali huwa meħtieġ li jintużaw ċertifikati maħruġa skont GOST R 34.10-2012.
Ix-xogħol ma 'ċertifikati, kontenituri u CRLs isir bl-użu ta' l-utilità cert_mgr. L-ewwelnett, bl-użu tal-kmand cert_mgr toħloq huwa meħtieġ li jiġi ġġenerat kontenitur taċ-ċavetta privata u talba għal ċertifikat, li se jintbagħtu liċ-Ċentru ta 'Ġestjoni taċ-Ċertifikati. Wara li tirċievi ċ-ċertifikat, għandu jiġi importat flimkien maċ-ċertifikat CA root u CRL (jekk użat) mal-kmand cert_mgr importazzjoni. Tista' tiżgura li ċ-ċertifikati u CRLs kollha huma installati bil-kmand cert_mgr juru.
Wara li tinstalla b'suċċess iċ-ċertifikati, mur fil-console bħal Cisco biex tikkonfigura IPSec.
Noħolqu politika IKE li tispeċifika l-algoritmi u l-parametri mixtieqa tal-kanal sikur li qed jinħoloq, li se jiġi offrut lis-sieħeb għall-approvazzjoni.
#crypto isakmp policy 1000
#encr gost341215k
#hash gost341112-512-tc26
#sinjal ta' awtentikazzjoni
#grupp vko2
#ħajja 3600
Din il-politika tiġi applikata meta tinbena l-ewwel fażi tal-IPSec. Ir-riżultat tat-tlestija b'suċċess tal-ewwel fażi huwa t-twaqqif ta' SA (Assoċjazzjoni tas-Sigurtà).
Sussegwentement, irridu niddefinixxu lista ta 'indirizzi IP tas-sors u tad-destinazzjoni (ACL) għall-encryption, niġġeneraw sett ta' trasformazzjoni, noħolqu mappa kriptografika (mappa kriptografika) u torbotha mal-interface esterna tas-CS.
Issettja ACL:
#ip aċċess-lista estiż sit1
#permit gre host 10.111.21.3 host 10.111.22.3
Sett ta 'trasformazzjonijiet (l-istess bħal għall-ewwel fażi, nużaw l-algoritmu ta' encryption "Grasshopper" bl-użu tal-modalità ta 'ġenerazzjoni ta' inserzjoni ta 'simulazzjoni):
#crypto ipsec transform-set GOST esp-gost341215k-mac
Aħna noħolqu mappa kripto, speċifika l-ACL, nittrasformaw is-sett u l-indirizz tal-pari:
#crypto map MAIN 100 ipsec-isakmp
#match indirizz sit1
#set transform-set GOST
#sett peer 10.111.22.3
Aħna torbot il-karta kripto mal-interface esterna tal-cash register:
#interface GigabitEthernet0/0
#indirizz ip 10.111.21.3 255.255.255.0
#crypto map MAIN
Biex tikkodifika kanali ma 'siti oħra, trid tirrepeti l-proċedura għall-ħolqien ta' ACL u karta kripto, billi tbiddel l-isem ACL, l-indirizzi IP u n-numru tal-karta kripto.
Oqgħod attent! Jekk il-verifika taċ-ċertifikat minn CRL ma tintużax, dan għandu jiġi speċifikat b'mod espliċitu:
#crypto pki trustpoint s-terra_technological_trustpoint
#revokazzjoni-check xejn
F'dan il-punt, is-setup tista 'titqies kompluta. Fl-output tal-kmand tal-console simili Cisco uri crypto isakmp sa и uri crypto ipsec sa L-ewwel u t-tieni fażi mibnija tal-IPSec għandhom jiġu riflessi. L-istess informazzjoni tista 'tinkiseb bl-użu tal-kmand sa_mgr juru, esegwit minn debian shell. Fl-output tal-kmand cert_mgr juru Iċ-ċertifikati tas-sit remot għandhom jidhru. L-istatus ta 'dawn iċ-ċertifikati se jkun remoti. Jekk il-mini mhumiex qed jinbnew, trid tħares lejn ir-reġistru tas-servizz VPN, li huwa maħżun fil-fajl /var/log/cspvpngate.log. Lista kompluta ta' log files b'deskrizzjoni tal-kontenut tagħhom hija disponibbli fid-dokumentazzjoni.
Monitoraġġ tas-"saħħa" tas-sistema
L-S-Terra CC juża d-daemon snmpd standard għall-monitoraġġ. Minbarra l-parametri tipiċi tal-Linux, barra mill-kaxxa S-Terra jappoġġja l-ħruġ ta 'dejta dwar mini IPSec skont il-CISCO-IPSEC-FLOW-MONITOR-MIB, li huwa dak li nużaw meta nissorveljaw l-istatus tal-mini IPSec. Il-funzjonalità tal-OIDs tad-dwana li joħorġu r-riżultati tal-eżekuzzjoni tal-iskript bħala valuri hija appoġġjata wkoll. Din il-karatteristika tippermettilna nsegwu d-dati tal-iskadenza taċ-ċertifikat. L-iskrittura bil-miktub teżamina l-output tal-kmand cert_mgr juru u bħala riżultat jagħti n-numru ta 'jiem sakemm jiskadu ċ-ċertifikati lokali u ta' l-għeruq. Din it-teknika hija indispensabbli meta tamministra numru kbir ta 'CABGs.
X'inhu l-benefiċċju ta 'kriptaġġ bħal dan?
Il-funzjonalità kollha deskritta hawn fuq hija appoġġjata barra mill-kaxxa mill-S-Terra KSh. Jiġifieri, ma kienx hemm bżonn li jiġu installati moduli addizzjonali li jistgħu jaffettwaw iċ-ċertifikazzjoni tal-bieb kripto u ċ-ċertifikazzjoni tas-sistema ta 'informazzjoni kollha. Jista 'jkun hemm kwalunkwe kanali bejn is-siti, anke permezz tal-Internet.
Minħabba l-fatt li meta l-infrastruttura interna tinbidel, m'hemmx bżonn li jiġu kkonfigurati mill-ġdid il-gateways tal-kripto, is-sistema taħdem bħala servizz, li huwa konvenjenti ħafna għall-klijent: jista 'jqiegħed is-servizzi tiegħu (klijent u server) fi kwalunkwe indirizz, u l-bidliet kollha se jiġu trasferiti b'mod dinamiku bejn it-tagħmir ta' encryption.
Naturalment, l-encryption minħabba l-ispejjeż ġenerali (overhead) taffettwa l-veloċità tat-trasferiment tad-dejta, iżda ftit biss - il-fluss tal-kanal jista 'jonqos b'massimu ta' 5-10%. Fl-istess ħin, it-teknoloġija ġiet ittestjata u wriet riżultati tajbin anke fuq kanali tas-satellita, li huma pjuttost instabbli u għandhom bandwidth baxx.
Igor Vinokhodov, inġinier tat-tieni linja ta 'amministrazzjoni ta' Rostelecom-Solar
Sors: www.habr.com