که ستاسو شرکت په شبکه کې شخصي معلومات او نور محرم معلومات لیږدوي یا ترلاسه کوي چې د قانون سره سم د محافظت تابع دي، نو د GOST کوډ کولو کارولو ته اړتیا ده. نن ورځ موږ به تاسو ته ووایو چې موږ څنګه په یو پیرودونکي کې د S-Terra کریپټو ګیټ وے (CS) پراساس دا ډول کوډ کول پلي کړل. دا کیسه به د معلوماتو امنیت متخصصینو او همدارنګه انجینرانو ، ډیزاینرانو او معمارانو لپاره په زړه پوري وي. موږ به پدې پوسټ کې د تخنیکي تشکیلاتو باریکیو ته ژور نه ګورو؛ موږ به د لومړني ترتیب کلیدي ټکو باندې تمرکز وکړو. د لینکس OS ډیمونونو تنظیم کولو په اړه د اسنادو لوی مقدار ، په کوم کې چې د S-Terra CS اساس دی ، په انټرنیټ کې په وړیا ډول شتون لري. د ملکیت S-Terra سافټویر ترتیب کولو اسناد هم په عامه توګه شتون لري جوړونکی
د پروژې په اړه یو څو خبرې
د پیرودونکي شبکې ټوپولوژي معیاري وه - د مرکز او څانګو ترمینځ بشپړ میش. دا اړینه وه چې د ټولو سایټونو تر مینځ د معلوماتو تبادلې چینلونو کوډ کول معرفي کړئ، چې له هغې څخه 8 وو.
معمولا په داسې پروژو کې هرڅه جامد دي: د سایټ ځایی شبکې ته جامد لارې په کریپټو ګیټ ویز (CGs) کې تنظیم شوي ، د کوډ کولو لپاره د IP پتې (ACLs) لیست ثبت شوي. په هرصورت، پدې حالت کې، سایټونه مرکزي کنټرول نلري، او هرڅه د دوی په محلي شبکو کې واقع کیدی شي: شبکې په هره ممکنه طریقه کې اضافه، حذف او ترمیم کیدی شي. د دې لپاره چې په KS کې د روټینګ او ACL له سره تنظیم کولو څخه مخنیوی وشي کله چې په سایټونو کې د ځایی شبکو پته بدله شي، پریکړه وشوه چې د GRE تونلینګ او OSPF متحرک روټینګ وکاروئ، کوم چې په سایټونو کې د شبکې په اصلي کچه ټول KS او ډیری روټرونه شامل دي ( په ځینو سایټونو کې، د زیربنا مدیرانو د KS په لور د کرنل روټرونو لپاره د SNAT کارول غوره کړل).
د GRE تونل کول موږ ته اجازه راکړه چې دوه ستونزې حل کړو:
1. په ACL کې د کوډ کولو لپاره د CS د بهرني انٹرفیس IP پته وکاروئ ، کوم چې نورو سایټونو ته لیږل شوي ټول ټرافیک پوښي.
2. د CSs ترمینځ د ptp تونلونه تنظیم کړئ ، کوم چې تاسو ته اجازه درکوي متحرک روټینګ تنظیم کړئ (زموږ په قضیه کې ، د چمتو کونکي MPLS L3VPN د سایټونو ترمینځ تنظیم شوی).
پیرودونکي د خدمت په توګه د کوډ کولو پلي کولو امر وکړ. که نه نو، هغه باید نه یوازې د کریپټو ګیټ ویز ساتي یا ځینې سازمان ته یې بهر کړي، بلکې په خپلواکه توګه د کوډ کولو سندونو ژوند دوره وڅاري، په وخت یې نوي کړي او نوي نصب کړي.
او اوس اصلي میمو - څنګه او څه چې موږ تنظیم کړل
د CII موضوع ته یادونه: د کریپټو دروازې تنظیم کول
د شبکې بنسټیز تنظیم کول
له هرڅه دمخه ، موږ یو نوی CS پیل کوو او اداري کنسول ته ورسیږو. تاسو باید د جوړ شوي مدیر پاسورډ بدلولو سره پیل کړئ - کمانډ د کارن پاسورډ مدیر بدل کړئ. بیا تاسو اړتیا لرئ د پیل کولو پروسه ترسره کړئ (کمانډ پېل کول) په کوم کې چې د جواز ډیټا داخلیږي او د تصادفي شمیرې سینسر (RNS) پیل کیږي.
پاملرنه وکړئ! کله چې د S-Terra CC پیل شي، یو امنیتي پالیسي رامینځته کیږي په کوم کې چې د امنیت دروازې انٹرفیسونه پاکټونو ته د تیریدو اجازه نه ورکوي. تاسو باید یا خپله پالیسي جوړه کړئ یا کمانډ وکاروئ csconf_mgr فعال کړئ د مخکینۍ ټاکل شوې اجازې پالیسي فعاله کړئ.
بیا ، تاسو اړتیا لرئ د بهرني او داخلي انٹرفیس پته تنظیم کړئ ، په بیله بیا ډیفالټ لاره. دا غوره ده چې د CS شبکې ترتیب سره کار وکړئ او د سیسکو په څیر کنسول له لارې کوډ کول تنظیم کړئ. دا کنسول د سیسکو IOS کمانډونو ته ورته کمانډونو ته د ننوتلو لپاره ډیزاین شوی. د سیسکو په څیر کنسول په کارولو سره رامینځته شوی ترتیب په بدل کې د اړونده ترتیب فایلونو ته بدل شوی چې د OS ډیمونونو سره کار کوي. تاسو کولی شئ د کمانډ سره د ادارې کنسول څخه د سیسکو په څیر کنسول ته لاړ شئ سمبالول.
د جوړ شوي کارونکي cscons لپاره پاسورډونه بدل کړئ او فعال کړئ:
> فعال کړئ
پټنوم: csp (پخوا نصب شوی)
#ترمینل تنظیم کړئ
#username cscons privilege 15 secret 0 #enable secret 0 د شبکې بنسټیز ترتیب ترتیب کول:
#انټرفیس GigabitEthernet0/0
#IP پته 10.111.21.3 255.255.255.0
#بندول نشته
#انټرفیس GigabitEthernet0/1
#IP پته 192.168.2.5 255.255.255.252
#بندول نشته
#IP لاره 0.0.0.0 0.0.0.0 10.111.21.254
GRE
د سیسکو په څیر کنسول پریږدئ او د کمانډ سره دبیان شیل ته لاړشئ سيستم. د کارونکي لپاره خپل پټنوم تنظیم کړئ د ريښي ډله پاسورډ.
په هر کنټرول خونه کې، د هر سایټ لپاره جلا تونل ترتیب شوی. د تونل انٹرفیس په فایل کې ترتیب شوی / نور / شبکې / interfaces. د IP تونل افادیت، چې مخکې نصب شوي iproute2 سیټ کې شامل دی، پخپله د انٹرفیس جوړولو مسولیت لري. د انٹرفیس جوړولو کمانډ د پری اپ اختیار کې لیکل شوی.
د یو عادي تونل انٹرفیس ترتیب بیلګه:
اتومات سایټ1
iface site1 inet جامد
پته 192.168.1.4
خالص ماسک 255.255.255.254
مخکینۍ ip تونل اضافه کړئ site1 mode gre local 10.111.21.3 ریموټ 10.111.22.3 کلید hfLYEg^vCh6p
پاملرنه وکړئ! دا باید په یاد ولرئ چې د تونل انٹرفیسونو تنظیمات باید د برخې څخه بهر موقعیت ولري
###netifcfg-پیل###
*****
###netifcfg-end###
که نه نو، دا تنظیمات به له سره لیکل کیږي کله چې د سیسکو په څیر کنسول له لارې د فزیکي انٹرفیسونو شبکې ترتیبات بدل کړئ.
متحرک لاره
په S-Terra کې، متحرک روټینګ د کواګا سافټویر کڅوړې په کارولو سره پلي کیږي. د OSPF تنظیم کولو لپاره موږ اړتیا لرو چې ډیمون فعال او تنظیم کړو زبرا и ospfd. زیبرا ډیمون د روټینګ ډیمونونو او OS ترمینځ د ارتباط مسؤلیت لري. د ospfd ډیمون، لکه څنګه چې نوم وړاندیز کوي، د OSPF پروتوکول پلي کولو مسولیت لري.
OSPF یا د ډیمون کنسول له لارې یا مستقیم د ترتیب کولو فایل له لارې تنظیم شوی /etc/quagga/ospfd.conf. ټول فزیکي او تونل انٹرفیسونه چې په متحرک روټینګ کې برخه اخلي فایل ته اضافه شوي ، او هغه شبکې چې اعلان کیږي او اعلانونه ترلاسه کوي هم اعلان شوي.
د تشکیلاتو یوه بیلګه چې باید اضافه شي ospfd.conf:
انٹرفیس eth0
!
انٹرفیس eth1
!
د انٹرفیس سایټ 1
!
د انٹرفیس سایټ 2
روټر ospf
ospf راوټر id 192.168.2.21
شبکه 192.168.1.4/31 ساحه 0.0.0.0
شبکه 192.168.1.16/31 ساحه 0.0.0.0
شبکه 192.168.2.4/30 ساحه 0.0.0.0
په دې حالت کې، پتې 192.168.1.x/31 د سایټونو ترمنځ د تونل ptp شبکې لپاره ساتل شوي، پتې 192.168.2.x/30 د CS او کرنل روټرونو ترمنځ د لیږد شبکې لپاره ځانګړي شوي.
پاملرنه وکړئ! په لویو تاسیساتو کې د روټینګ جدول کمولو لپاره ، تاسو کولی شئ پخپله د ساختمانونو په کارولو سره د لیږد شبکې اعلان فلټر کړئ د بیا توزیع سره تړلی ندی او یا د تړلې لارې نقشه بیا توزیع کړئ.
د ډیمونونو تنظیم کولو وروسته ، تاسو اړتیا لرئ د ډیمونونو د پیل حالت بدل کړئ /etc/quagga/daemons. په اختیارونو کې زبرا и ospfd په هو کې هیڅ بدلون نشته. کواګا ډیمون پیل کړئ او په اتوماتیک ډول یې تنظیم کړئ کله چې تاسو د KS کمانډ پیل کړئ update-rc.d quagga enable.
که چیرې د GRE تونلونو او OSPF ترتیب په سمه توګه ترسره شي، نو د نورو سایټونو شبکې لارې باید په KSh او اصلي روټرونو کې ښکاره شي او په دې توګه، د ځایی شبکو ترمنځ د شبکې ارتباط رامنځته کیږي.
موږ لیږدول شوي ترافیک کوډ کوو
لکه څنګه چې مخکې لیکل شوي، معمولا کله چې د سایټونو ترمنځ کوډ کول، موږ د IP پتې سلسلې (ACLs) مشخص کوو چې تر منځ یې ټرافيک کوډ شوی دی: که چیرې سرچینه او د منزل پته په دې حدودو کې راشي، نو د دوی ترمنځ ټرافيک کوډ شوی. په هرصورت، پدې پروژه کې جوړښت متحرک دی او پتې کیدای شي بدلون ومومي. له هغه ځایه چې موږ دمخه د GRE تونل تنظیم کړی دی ، موږ کولی شو بهرني KS پتې د ټرافیک کوډ کولو لپاره د سرچینې او منزل پتې په توګه مشخص کړو - په هرصورت ، هغه ترافیک چې دمخه د GRE پروتوکول لخوا پوښل شوی د کوډ کولو لپاره راځي. په بل عبارت، هر هغه څه چې د یوې سایټ له محلي شبکې څخه CS ته رسیږي د هغو شبکو په لور چې د نورو سایټونو لخوا اعلان شوي کوډ شوي دي. او په هر سایټ کې هر ډول ریډیریکشن ترسره کیدی شي. په دې توګه، که چیرې په محلي شبکو کې کوم بدلون راشي، مدیر یوازې اړتیا لري چې د هغې شبکې څخه د شبکې په لور د اعلاناتو بدلون بدل کړي، او دا به نورو سایټونو ته د لاسرسي وړ وي.
په S-Terra CS کې کوډ کول د IPSec پروتوکول په کارولو سره ترسره کیږي. موږ د GOST R 34.12-2015 سره سم د "Grasshopper" الګوریتم کاروو، او د زړو نسخو سره مطابقت لپاره تاسو کولی شئ GOST 28147-89 وکاروئ. تصدیق په تخنیکي ډول په دواړو مخکینۍ تعریف شوي کیلي (PSKs) او سندونو کې ترسره کیدی شي. په هرصورت، په صنعتي عملیاتو کې دا اړینه ده چې د GOST R 34.10-2012 سره سم صادر شوي سندونه وکاروئ.
د سندونو ، کانټینرونو او CRLs سره کار کول د یوټیلیټ په کارولو سره ترسره کیږي cert_mgr. لومړی، د کمانډ په کارولو سره cert_mgr جوړ کړئ دا اړینه ده چې یو شخصي کیلي کانټینر او د سند غوښتنه رامینځته کړئ ، کوم چې به د سند مدیریت مرکز ته واستول شي. د سند ترلاسه کولو وروسته ، دا باید د کمانډ سره د روټ CA سند او CRL (که کارول کیږي) سره وارد شي cert_mgr واردول. تاسو کولی شئ ډاډ ترلاسه کړئ چې ټول سندونه او CRLs د کمانډ سره نصب شوي cert_mgr شو.
د سندونو په بریالیتوب سره نصبولو وروسته ، د IPSec تنظیم کولو لپاره د سیسکو په څیر کنسول ته لاړشئ.
موږ د IKE پالیسي رامینځته کوو چې د خوندي چینل رامینځته شوي مطلوب الګوریتمونه او پیرامیټونه مشخص کوي ، کوم چې به د تصویب لپاره ملګري ته وړاندیز کیږي.
#crypto isakmp پالیسي 1000
#encr gost341215k
#hash gost341112-512-tc26
#د تصدیق نښه
# ګروپ vko2
#ژوند 3600
دا پالیسي د IPSec د لومړي پړاو جوړولو په وخت کې پلي کیږي. د لومړي پړاو د بریالیتوب پایله د SA (امنیتي ټولنې) تاسیس دی.
بیا ، موږ اړتیا لرو د کوډ کولو لپاره د سرچینې او منزل IP پتې (ACL) لیست تعریف کړو ، د بدلون سیټ رامینځته کړئ ، کریپټوګرافیک نقشه (کریپټو نقشه) رامینځته کړئ او دا د CS بهرني انٹرفیس سره وتړئ.
ACL تنظیم کړئ:
#IP د لاسرسي لیست پراخ شوی سایټ1
#پرمټ gre کوربه 10.111.21.3 کوربه 10.111.22.3
د بدلونونو یوه ټولګه (د لومړي مرحلې په څیر، موږ د سمولیشن داخلولو نسل حالت په کارولو سره د "ګراس شاپر" کوډ کولو الګوریتم کاروو):
#crypto ipsec transform-set GOST esp-gost341215k-mac
موږ یو کریپټو نقشه رامینځته کوو ، ACL مشخص کوو ، سیټ او پییر پته بدلوو:
# کریپټو نقشه MAIN 100 ipsec-isakmp
# د میچ پته سایټ 1
#set transform-set GOST
#set peer 10.111.22.3
موږ د نغدو راجستر بهرني انٹرفیس ته د کریپټو کارت وتړو:
#انټرفیس GigabitEthernet0/0
#IP پته 10.111.21.3 255.255.255.0
# کریپټو نقشه MAIN
د نورو سایټونو سره د چینلونو کوډ کولو لپاره، تاسو باید د ACL او کریپټو کارت جوړولو لپاره پروسیجر تکرار کړئ، د ACL نوم، IP پتې او د کریپټو کارت شمیره بدل کړئ.
پاملرنه وکړئ! که د CRL لخوا د سند تصدیق نه کارول کیږي، دا باید په واضح ډول مشخص شي:
#crypto pki Trustpoint s-terra_technological_trustpoint
# رد کول - هیڅ شی چیک کړئ
په دې وخت کې، تنظیم کول بشپړ ګڼل کیدی شي. د سیسکو په څیر کنسول کمانډ محصول کې crypto isakmp sa ښکاره کړئ и د کریپټو ipsec sa ښودل د IPSec جوړ شوي لومړی او دویم پړاوونه باید منعکس شي. ورته معلومات د کمانډ په کارولو سره ترلاسه کیدی شي sa_mgr شو، د دیبین شیل څخه اعدام شوی. د کمانډ محصول کې cert_mgr شو د ریموټ سایټ سندونه باید څرګند شي. د دې ډول سندونو حالت به وي لرې پرتو. که تونلونه نه جوړیږي ، تاسو اړتیا لرئ د VPN خدمت لاګ وګورئ ، کوم چې په فایل کې زیرمه شوی /var/log/cspvpngate.log. د لاګ فایلونو بشپړ لیست د دوی د مینځپانګو توضیحاتو سره په اسنادو کې شتون لري.
د سیسټم "روغتیا" څارنه
د S-Terra CC د څارنې لپاره معیاري snmpd ډیمون کاروي. د عادي لینکس پیرامیټونو سربیره، د بکس څخه بهر S-Terra د CISCO-IPSEC-FLOW-MONITOR-MIB سره سم د IPSec تونلونو په اړه د معلوماتو خپرولو ملاتړ کوي، دا هغه څه دي چې موږ یې د IPSec تونلونو وضعیت څارلو کې کاروو. د دودیز OIDs فعالیت چې د سکریپټ اجرا کولو پایلې د ارزښتونو په توګه تولیدوي هم ملاتړ کیږي. دا خصوصیت موږ ته اجازه راکوي چې د سند پای نیټې تعقیب کړو. لیکل شوی سکریپټ د کمانډ محصول تجزیه کوي cert_mgr شو او د پایلې په توګه د ورځو شمیر ورکوي تر هغه چې ځایی او روټ سندونه پای ته ورسیږي. دا تخنیک اړین دی کله چې د CABGs لوی شمیر اداره کوي.
د دې ډول کوډ کولو ګټه څه ده؟
پورته تشریح شوي ټول فعالیت د S-Terra KSh لخوا د بکس څخه بهر ملاتړ کیږي. دا دی، د کوم اضافي ماډلونو نصبولو ته اړتیا نشته چې د کریپټو ګیټ ویز تصدیق او د ټول معلوماتو سیسټم تصدیق اغیزه کولی شي. د سایټونو ترمینځ هر ډول چینلونه کیدی شي حتی د انټرنیټ له لارې.
د دې حقیقت له امله چې کله داخلي زیربنا بدلیږي، د کریپټو ګیټ ویز بیا تنظیمولو ته اړتیا نشته، سیسټم د خدمت په توګه کار کوي، کوم چې د پیرودونکي لپاره خورا اسانه دی: هغه کولی شي خپل خدمات (پیرودونکي او سرور) په هر ادرس کې ځای په ځای کړي ، او ټول بدلونونه به په متحرک ډول د کوډ کولو تجهیزاتو ترمینځ لیږدول کیږي.
البته، د سر لګښتونو (زیات سر) له امله کوډ کول د ډیټا لیږد سرعت اغیزه کوي، مګر یوازې یو څه - د چینل انډول پیټ کولی شي د اعظمي حد څخه 5-10٪ کم شي. په ورته وخت کې، ټیکنالوژي ازموینه شوې او حتی په سپوږمکۍ چینلونو کې هم ښه پایلې ښودل شوي، کوم چې خورا بې ثباته دي او ټیټ بینډ ویت لري.
ایګور وینوخودوف، د Rostelecom-Solar د ادارې د دویمې کرښې انجنیر
سرچینه: www.habr.com