În cazul în care compania dumneavoastră transmite sau primește date cu caracter personal și alte informații confidențiale prin rețea care este supusă protecției în conformitate cu legea, este necesară utilizarea criptării GOST. Astăzi vă vom spune cum am implementat o astfel de criptare bazată pe gateway-ul criptografic S-Terra (CS) la unul dintre clienți. Această poveste va fi de interes pentru specialiștii în securitatea informațiilor, precum și pentru ingineri, designeri și arhitecți. Nu ne vom scufunda adânc în nuanțele configurației tehnice în această postare; ne vom concentra asupra punctelor cheie ale configurației de bază. Volume uriașe de documentație privind configurarea demonilor OS Linux, pe care se bazează S-Terra CS, sunt disponibile gratuit pe Internet. Documentația pentru configurarea software-ului proprietar S-Terra este, de asemenea, disponibilă public pe producător.
Câteva cuvinte despre proiect
Topologia de rețea a clientului a fost standard - plasă completă între centru și ramuri. A fost necesar să se introducă criptarea canalelor de schimb de informații între toate site-urile, dintre care au fost 8.
De obicei, în astfel de proiecte totul este static: rutele statice către rețeaua locală a site-ului sunt setate pe gateway-uri cripto (CG), sunt înregistrate liste de adrese IP (ACL) pentru criptare. Cu toate acestea, în acest caz, site-urile nu au control centralizat și orice se poate întâmpla în interiorul rețelelor locale: rețelele pot fi adăugate, șterse și modificate în orice mod posibil. Pentru a evita reconfigurarea rutare și ACL pe KS atunci când se schimbă adresarea rețelelor locale la site-uri, s-a decis să se utilizeze tunelul GRE și rutarea dinamică OSPF, care include toate KS și majoritatea routerelor la nivelul de bază al rețelei la site-uri ( pe unele site-uri, administratorii de infrastructură au preferat să folosească SNAT către KS pe routerele kernel).
Tuningul GRE ne-a permis să rezolvăm două probleme:
1. Utilizați adresa IP a interfeței externe a CS pentru criptare în ACL, care încapsulează tot traficul trimis către alte site-uri.
2. Organizați tuneluri ptp între CS, care vă permit să configurați rutarea dinamică (în cazul nostru, MPLS L3VPN al furnizorului este organizat între site-uri).
Clientul a ordonat implementarea criptării ca serviciu. În caz contrar, ar trebui nu numai să mențină gateway-uri cripto sau să le externalizeze unei organizații, ci și să monitorizeze în mod independent ciclul de viață al certificatelor de criptare, să le reînnoiască la timp și să instaleze altele noi.
Și acum memo-ul propriu-zis - cum și ce am configurat
Notă pentru subiectul CII: configurarea unui gateway cripto
Configurarea de bază a rețelei
În primul rând, lansăm un nou CS și intrăm în consola de administrare. Ar trebui să începeți prin a schimba parola de administrator încorporată - comanda schimba parola utilizatorului administrator. Apoi trebuie să efectuați procedura de inițializare (comandă inițializa) timp în care se introduc datele de licență și se inițializează senzorul de numere aleatorii (RNS).
Acorde o atenție! Când S-Terra CC este inițializat, se stabilește o politică de securitate în care interfețele gateway-ului de securitate nu permit trecerea pachetelor. Trebuie fie să vă creați propria politică, fie să utilizați comanda rulați csconf_mgr activate activați o politică de autorizare predefinită.
În continuare, trebuie să configurați adresarea interfețelor externe și interne, precum și ruta implicită. Este de preferat să lucrați cu configurația rețelei CS și să configurați criptarea printr-o consolă asemănătoare Cisco. Această consolă este concepută pentru a introduce comenzi similare cu comenzile Cisco IOS. Configurația generată folosind consola similară Cisco este, la rândul său, convertită în fișierele de configurare corespunzătoare cu care funcționează demonii OS. Puteți accesa consola similară Cisco din consola de administrare cu comanda configura.
Schimbați parolele pentru cscon-urile de utilizator încorporate și activați:
> activați
Parola: csp (preinstalat)
#configurează terminalul
#username cscons privilegiu 15 secret 0 #enable secret 0 Configurarea configurației de bază a rețelei:
#interfață GigabitEthernet0/0
#adresa ip 10.111.21.3 255.255.255.0
#fără oprire
#interfață GigabitEthernet0/1
#adresa ip 192.168.2.5 255.255.255.252
#fără oprire
#ip ruta 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Ieșiți din consola similară Cisco și accesați shell-ul debian cu comanda sistem. Setați-vă propria parolă pentru utilizator rădăcină echipă passwd.
La fiecare cameră de control, un tunel separat este configurat pentru fiecare amplasament. Interfața tunelului este configurată în fișier / etc / network / interfaces. Utilitarul tunel IP, inclus în setul iproute2 preinstalat, este responsabil pentru crearea interfeței în sine. Comanda de creare a interfeței este scrisă în opțiunea de pre-up.
Exemplu de configurare a unei interfețe tipice de tunel:
site-ul auto1
iface site1 inet static
adresa 192.168.1.4
mască de rețea 255.255.255.254
pre-up tunel ip adăugare modul site1 gre local 10.111.21.3 la distanță 10.111.22.3 cheie hfLYEg^vCh6p
Acorde o atenție! Trebuie remarcat faptul că setările pentru interfețele tunelului trebuie să fie situate în afara secțiunii
###netifcfg-begin###
*****
###netifcfg-end###
În caz contrar, aceste setări vor fi suprascrise atunci când se schimbă setările de rețea ale interfețelor fizice printr-o consolă asemănătoare Cisco.
Dirijare dinamică
În S-Terra, rutarea dinamică este implementată folosind pachetul software Quagga. Pentru a configura OSPF, trebuie să activăm și să configurăm demonii zebră и ospfd. Demonul zebra este responsabil pentru comunicarea dintre demonii de rutare și sistemul de operare. Daemonul ospfd, după cum sugerează și numele, este responsabil pentru implementarea protocolului OSPF.
OSPF este configurat fie prin consola daemon, fie direct prin fișierul de configurare /etc/quagga/ospfd.conf. Toate interfețele fizice și tunel care participă la rutarea dinamică sunt adăugate la fișier, iar rețelele care vor fi anunțate și care vor primi anunțuri sunt, de asemenea, declarate.
Un exemplu de configurație la care trebuie adăugată ospfd.conf:
interfață eth0
!
interfață eth1
!
site-ul de interfață1
!
site-ul de interfață2
router ospf
ospf router-id 192.168.2.21
retea 192.168.1.4/31 zona 0.0.0.0
retea 192.168.1.16/31 zona 0.0.0.0
retea 192.168.2.4/30 zona 0.0.0.0
În acest caz, adresele 192.168.1.x/31 sunt rezervate pentru rețelele ptp tunel între site-uri, adresele 192.168.2.x/30 sunt alocate pentru rețelele de tranzit între CS și routerele kernel.
Acorde o atenție! Pentru a reduce tabelul de rutare în instalații mari, puteți filtra reclamele rețelelor de tranzit în sine folosind constructele nicio redistribuire conectată sau redistribuiți harta rutelor conectate.
După configurarea demonilor, trebuie să modificați starea de pornire a demonilor în /etc/quagga/daemons. În opțiuni zebră и ospfd nicio schimbare la da. Porniți demonul quagga și setați-l la rulare automată când porniți comanda KS update-rc.d quagga activa.
Dacă configurarea tunelurilor GRE și OSPF se face corect, atunci rutele din rețeaua altor site-uri ar trebui să apară pe routerele KSh și de bază și, astfel, apare conectivitatea la rețea între rețelele locale.
Criptăm traficul transmis
După cum s-a scris deja, de obicei la criptarea între site-uri, specificăm intervale de adrese IP (ACL) între care traficul este criptat: dacă adresele sursă și destinație se încadrează în aceste intervale, atunci traficul dintre ele este criptat. Cu toate acestea, în acest proiect structura este dinamică și adresele se pot schimba. Deoarece am configurat deja tunelul GRE, putem specifica adrese externe KS ca adrese sursă și destinație pentru criptarea traficului - la urma urmei, traficul care este deja încapsulat de protocolul GRE ajunge pentru criptare. Cu alte cuvinte, tot ceea ce intră în CS din rețeaua locală a unui site către rețelele care au fost anunțate de alte site-uri este criptat. Și în cadrul fiecărui site se poate efectua orice redirecționare. Astfel, dacă există vreo modificare în rețelele locale, administratorul trebuie doar să modifice anunțurile care vin din rețeaua sa către rețea, iar acestea vor deveni disponibile altor site-uri.
Criptarea în S-Terra CS se realizează folosind protocolul IPSec. Folosim algoritmul „Grasshopper” în conformitate cu GOST R 34.12-2015, iar pentru compatibilitate cu versiunile mai vechi, puteți folosi GOST 28147-89. Autentificarea poate fi efectuată din punct de vedere tehnic atât pe chei predefinite (PSK) cât și pe certificate. Cu toate acestea, în funcționarea industrială este necesar să se utilizeze certificate emise în conformitate cu GOST R 34.10-2012.
Lucrul cu certificate, containere și CRL-uri se face folosind utilitarul cert_mgr. În primul rând, folosind comanda cert_mgr create este necesar să se genereze un container de chei private și o cerere de certificat, care va fi trimisă la Centrul de management al certificatelor. După primirea certificatului, acesta trebuie importat împreună cu certificatul CA rădăcină și CRL (dacă este utilizat) cu comanda import cert_mgr. Vă puteți asigura că toate certificatele și CRL-urile sunt instalate cu comanda cert_mgr show.
După instalarea cu succes a certificatelor, mergeți la consola similară Cisco pentru a configura IPSec.
Creăm o politică IKE care specifică algoritmii și parametrii doriti ai canalului securizat care se creează, care va fi oferit partenerului spre aprobare.
Politica #crypto isakmp 1000
#encr gost341215k
#hash gost341112-512-tc26
#semn de autentificare
#grupul vko2
#lifetime 3600
Această politică se aplică la construirea primei faze a IPSec. Rezultatul finalizării cu succes a primei faze este înființarea SA (Asociația de Securitate).
În continuare, trebuie să definim o listă de adrese IP sursă și destinație (ACL) pentru criptare, să generăm un set de transformare, să creăm o hartă criptografică (hartă criptografică) și să o legăm la interfața externă a CS.
Setați ACL:
#ip acces-list extins site1
#permit gre gazdă 10.111.21.3 gazdă 10.111.22.3
Un set de transformări (la fel ca și pentru prima fază, folosim algoritmul de criptare „Grasshopper” folosind modul de generare a inserției de simulare):
#crypto ipsec transform-set GOST esp-gost341215k-mac
Creăm o hartă cripto, specificăm ACL-ul, setul de transformări și adresa peer:
#crypto map MAIN 100 ipsec-isakmp
#match adresa site1
#set transform-set GOST
#set peer 10.111.22.3
Legăm cardul cripto la interfața externă a casei de marcat:
#interfață GigabitEthernet0/0
#adresa ip 10.111.21.3 255.255.255.0
#crypto map MAIN
Pentru a cripta canalele cu alte site-uri, trebuie să repetați procedura de creare a unui ACL și a unui card cripto, schimbând numele ACL, adresele IP și numărul cardului cripto.
Acorde o atenție! Dacă nu se utilizează verificarea certificatului de către CRL, aceasta trebuie specificată în mod explicit:
#crypto pki trustpoint s-terra_technological_trustpoint
#revocare-verificare niciunul
În acest moment, configurarea poate fi considerată completă. În ieșirea comenzii consolei de tip Cisco arata crypto isakmp sa и arata crypto ipsec sa Prima și a doua fază construită a IPSec ar trebui să fie reflectate. Aceleași informații pot fi obținute folosind comanda sa_mgr show, executat din shell debian. În ieșirea comenzii cert_mgr show Ar trebui să apară certificatele de site la distanță. Statutul acestor certificate va fi la distanta. Dacă tunelurile nu sunt construite, trebuie să vă uitați la jurnalul de servicii VPN, care este stocat în fișier /var/log/cspvpngate.log. O listă completă a fișierelor jurnal cu o descriere a conținutului acestora este disponibilă în documentație.
Monitorizarea „sănătății” sistemului
S-Terra CC utilizează demonul standard snmpd pentru monitorizare. În plus față de parametrii tipici Linux, S-Terra din cutie acceptă emiterea de date despre tunelurile IPSec în conformitate cu CISCO-IPSEC-FLOW-MONITOR-MIB, care este ceea ce folosim atunci când monitorizăm starea tunelurilor IPSec. De asemenea, este acceptată funcționalitatea OID-urilor personalizate care scot rezultatele execuției scriptului ca valori. Această caracteristică ne permite să urmărim datele de expirare a certificatelor. Scriptul scris analizează rezultatul comenzii cert_mgr show și, ca rezultat, oferă numărul de zile până la expirarea certificatelor locale și rădăcină. Această tehnică este indispensabilă atunci când se administrează un număr mare de CABG.
Care este beneficiul unei astfel de criptări?
Toate funcționalitățile descrise mai sus sunt susținute din cutie de S-Terra KSh. Adică, nu a fost nevoie să se instaleze module suplimentare care ar putea afecta certificarea cripto gateway-urilor și certificarea întregului sistem informațional. Pot exista orice canale între site-uri, chiar și prin Internet.
Datorită faptului că atunci când infrastructura internă se modifică, nu este nevoie să reconfigurați gateway-urile cripto, sistemul funcționează ca un serviciu, ceea ce este foarte convenabil pentru client: acesta își poate plasa serviciile (client și server) la orice adresă, iar toate modificările vor fi transferate dinamic între echipamentele de criptare.
Desigur, criptarea din cauza costurilor generale (overhead) afectează viteza de transfer de date, dar doar ușor - debitul canalului poate scădea cu maximum 5-10%. În același timp, tehnologia a fost testată și a arătat rezultate bune chiar și pe canalele prin satelit, care sunt destul de instabile și au lățime de bandă redusă.
Igor Vinokhodov, inginer al liniei a 2-a de administrare a Rostelecom-Solar
Sursa: www.habr.com