Ak vaša spoločnosť prenáša alebo prijíma osobné údaje a iné dôverné informácie cez sieť, ktorá podlieha ochrane v súlade so zákonom, je povinná používať šifrovanie GOST. Dnes vám prezradíme, ako sme takéto šifrovanie na báze kryptobrány S-Terra (CS) implementovali u jedného zo zákazníkov. Tento príbeh bude zaujímať špecialistov na informačnú bezpečnosť, ako aj inžinierov, dizajnérov a architektov. V tomto príspevku sa nebudeme hlboko ponoriť do nuancií technickej konfigurácie, zameriame sa na kľúčové body základného nastavenia. Obrovské množstvo dokumentácie o nastavení démonov OS Linux, na ktorých je S-Terra CS založené, je voľne dostupné na internete. Dokumentácia na nastavenie proprietárneho softvéru S-Terra je tiež verejne dostupná na výrobcom.
Pár slov o projekte
Topológia siete zákazníka bola štandardná – úplná sieť medzi centrom a pobočkami. Bolo potrebné zaviesť šifrovanie kanálov výmeny informácií medzi všetkými stránkami, ktorých bolo 8.
Zvyčajne je v takýchto projektoch všetko statické: statické trasy do lokálnej siete lokality sú nastavené na kryptobránach (CG), sú registrované zoznamy IP adries (ACL) na šifrovanie. V tomto prípade však lokality nemajú centralizované riadenie a v ich lokálnych sieťach sa môže stať čokoľvek: siete je možné pridávať, mazať a upravovať všetkými možnými spôsobmi. Aby sa predišlo prekonfigurovaniu smerovania a ACL na KS pri zmene adresovania lokálnych sietí na lokalitách, bolo rozhodnuté použiť GRE tunelovanie a OSPF dynamické smerovanie, ktoré zahŕňa všetky KS a väčšinu smerovačov na úrovni jadra siete na lokalitách ( na niektorých lokalitách správcovia infraštruktúry uprednostňovali používanie SNAT voči KS na smerovačoch jadra).
GRE tunelovanie nám umožnilo vyriešiť dva problémy:
1. Použite IP adresu externého rozhrania CS na šifrovanie v ACL, ktoré zahŕňa všetku komunikáciu odoslanú na iné stránky.
2. Organizujte ptp tunely medzi CS, ktoré vám umožňujú konfigurovať dynamické smerovanie (v našom prípade je MPLS L3VPN poskytovateľa organizovaná medzi lokalitami).
Klient si objednal implementáciu šifrovania ako službu. V opačnom prípade by musel kryptobrány nielen udržiavať alebo ich outsourcovať nejakej organizácii, ale aj samostatne sledovať životný cyklus šifrovacích certifikátov, včas ich obnovovať a inštalovať nové.
A teraz skutočná poznámka - ako a čo sme nakonfigurovali
Poznámka k predmetu CII: nastavenie krypto brány
Základné nastavenie siete
V prvom rade spustíme nový CS a dostaneme sa do administračnej konzoly. Mali by ste začať zmenou vstavaného hesla správcu - príkazu zmeniť heslo používateľa správcu. Potom musíte vykonať inicializačný postup (príkaz začať), počas ktorej sa zadávajú licenčné údaje a inicializuje sa snímač náhodných čísel (RNS).
Poznámka! Keď sa inicializuje S-Terra CC, vytvorí sa bezpečnostná politika, v ktorej rozhrania bezpečnostnej brány neumožňujú prechod paketov. Musíte si vytvoriť vlastnú politiku alebo použiť príkaz spustite csconf_mgr activate aktivovať preddefinovanú povoľovaciu politiku.
Ďalej je potrebné nakonfigurovať adresovanie externých a interných rozhraní, ako aj predvolenú cestu. Je vhodnejšie pracovať s konfiguráciou siete CS a konfigurovať šifrovanie prostredníctvom konzoly podobnej Cisco. Táto konzola je navrhnutá na zadávanie príkazov podobných príkazom Cisco IOS. Konfigurácia vygenerovaná pomocou konzoly podobnej Cisco sa následne prevedie do zodpovedajúcich konfiguračných súborov, s ktorými pracujú démoni OS. Do konzoly podobnej Cisco môžete prejsť z administračnej konzoly pomocou príkazu konfigurovať.
Zmeňte heslá pre vstavané používateľské cscons a povoľte:
> povoliť
Heslo: csp (predinštalované)
#konfigurácia terminálu
#username cscons privilégium 15 secret 0 #enable secret 0 Nastavenie základnej konfigurácie siete:
#interface GigabitEthernet0/0
#ip adresa 10.111.21.3 255.255.255.0
#žiadne vypnutie
#interface GigabitEthernet0/1
#ip adresa 192.168.2.5 255.255.255.252
#žiadne vypnutie
#ip route 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Ukončite konzolu podobnú Cisco a prejdite do shellu debianu s príkazom systém. Nastavte si vlastné heslo pre používateľa koreň tímom passwd.
V každej riadiacej miestnosti je pre každé miesto nakonfigurovaný samostatný tunel. Rozhranie tunela je nakonfigurované v súbore / Etc / network / interfaces. Pomôcka tunela IP, ktorá je súčasťou predinštalovanej sady iproute2, je zodpovedná za vytvorenie samotného rozhrania. Príkaz na vytvorenie rozhrania je zapísaný vo voľbe pre-up.
Príklad konfigurácie typického tunelového rozhrania:
auto stránka1
iface site1 inet static
adresu 192.168.1.4
Netmask 255.255.255.254
predbežný ip tunel pridať režim site1 gre local 10.111.21.3 vzdialený 10.111.22.3 kľúč hfLYEg^vCh6p
Poznámka! Treba poznamenať, že nastavenia pre tunelové rozhrania musia byť umiestnené mimo sekcie
###netifcfg-begin###
*****
###netifcfg-end###
V opačnom prípade budú tieto nastavenia prepísané pri zmene sieťových nastavení fyzických rozhraní prostredníctvom konzoly podobnej Cisco.
Dynamické smerovanie
V S-Terra je dynamické smerovanie implementované pomocou softvérového balíka Quagga. Ak chcete nakonfigurovať OSPF, musíme povoliť a nakonfigurovať démonov zebra и ospfd. Démon zebra je zodpovedný za komunikáciu medzi smerovacími démonmi a OS. Démon ospfd, ako už názov napovedá, je zodpovedný za implementáciu protokolu OSPF.
OSPF sa konfiguruje buď cez konzolu démona alebo priamo cez konfiguračný súbor /etc/quagga/ospfd.conf. Všetky fyzické a tunelové rozhrania zúčastňujúce sa dynamického smerovania sa pridajú do súboru a deklarujú sa aj siete, ktoré budú inzerované a prijímajú oznámenia.
Príklad konfigurácie, ktorú je potrebné pridať ospfd.conf:
rozhranie eth0
!
rozhranie eth1
!
stránka rozhrania1
!
stránka rozhrania2
smerovač ospf
ospf router-id 192.168.2.21
sieť 192.168.1.4/31 oblasť 0.0.0.0
sieť 192.168.1.16/31 oblasť 0.0.0.0
sieť 192.168.2.4/30 oblasť 0.0.0.0
V tomto prípade sú adresy 192.168.1.x/31 vyhradené pre tunelové ptp siete medzi lokalitami, adresy 192.168.2.x/30 sú alokované pre tranzitné siete medzi CS a kernel routermi.
Poznámka! Ak chcete zmenšiť smerovaciu tabuľku vo veľkých inštaláciách, môžete filtrovať oznamovanie samotných tranzitných sietí pomocou konštrukcií nie je pripojené žiadne prerozdeľovanie alebo prerozdeliť mapu pripojenej trasy.
Po nakonfigurovaní démonov musíte zmeniť stav spúšťania démonov v /etc/quagga/daemons. V možnostiach zebra и ospfd žiadna zmena na áno. Spustite démona quagga a nastavte ho na automatické spustenie, keď spustíte príkaz KS update-rc.d quagga povoliť.
Ak je konfigurácia GRE tunelov a OSPF vykonaná správne, tak by sa na KSh a core routeroch mali objaviť trasy v sieti iných lokalít a tým vznikne sieťová konektivita medzi lokálnymi sieťami.
Prenášanú komunikáciu šifrujeme
Ako už bolo napísané, zvyčajne pri šifrovaní medzi stránkami uvádzame rozsahy IP adries (ACL), medzi ktorými je šifrovaná prevádzka: ak zdrojová a cieľová adresa spadajú do týchto rozsahov, potom je šifrovaná prevádzka medzi nimi. V tomto projekte je však štruktúra dynamická a adresy sa môžu meniť. Keďže už máme nakonfigurované GRE tunelovanie, môžeme určiť externé KS adresy ako zdrojové a cieľové adresy pre šifrovanie prevádzky – na šifrovanie totiž prichádza prevádzka, ktorá je už zapuzdrená protokolom GRE. Inými slovami, všetko, čo sa dostane do CS z lokálnej siete jedného webu smerom k sieťam, ktoré boli oznámené inými webmi, je šifrované. A v rámci každej z lokalít je možné vykonať akékoľvek presmerovanie. Ak teda dôjde k akejkoľvek zmene v lokálnych sieťach, administrátorovi stačí upraviť hlásenia prichádzajúce z jeho siete smerom k sieti a tie sa sprístupnia aj iným stránkam.
Šifrovanie v S-Terra CS sa vykonáva pomocou protokolu IPSec. Používame algoritmus „Grasshopper“ v súlade s GOST R 34.12-2015 a pre kompatibilitu so staršími verziami môžete použiť GOST 28147-89. Autentifikáciu je možné technicky vykonať na preddefinovaných kľúčoch (PSK) aj certifikátoch. V priemyselnej prevádzke je však potrebné používať certifikáty vydané v súlade s GOST R 34.10-2012.
Práca s certifikátmi, kontajnermi a zoznamami CRL sa vykonáva pomocou pomôcky cert_mgr. V prvom rade pomocou príkazu vytvoriť cert_mgr je potrebné vygenerovať kontajner súkromných kľúčov a žiadosť o certifikát, ktorá bude odoslaná do Centra správy certifikátov. Po prijatí certifikátu je potrebné ho importovať spolu s certifikátom koreňovej CA a CRL (ak sa používa) s príkazom import cert_mgr. Pomocou príkazu sa môžete uistiť, že všetky certifikáty a zoznamy CRL sú nainštalované cert_mgr show.
Po úspešnej inštalácii certifikátov prejdite do konzoly Cisco a nakonfigurujte IPSec.
Vytvárame politiku IKE, ktorá špecifikuje požadované algoritmy a parametre vytvoreného zabezpečeného kanála, ktorý bude ponúknutý partnerovi na schválenie.
#crypto isakmp policy 1000
#encr gost341215k
#hash gost341112-512-tc26
#autentizačný znak
#skupina vko2
#životnosť 3600
Táto politika sa aplikuje pri budovaní prvej fázy IPSec. Výsledkom úspešného ukončenia prvej fázy je založenie SA (Security Association).
Ďalej musíme definovať zoznam zdrojových a cieľových IP adries (ACL) pre šifrovanie, vygenerovať transformačnú množinu, vytvoriť kryptografickú mapu (kryptografickú mapu) a naviazať ju na externé rozhranie CS.
Nastaviť ACL:
#ip access-list rozšírená lokalita1
#permit gre host 10.111.21.3 host 10.111.22.3
Sada transformácií (rovnako ako v prvej fáze, používame šifrovací algoritmus „Grasshopper“ s použitím režimu generovania vloženia simulácie):
#crypto ipsec transform-set GOST esp-gost341215k-mac
Vytvárame kryptomapu, špecifikujeme ACL, transformačný súbor a partnerskú adresu:
#crypto map HLAVNÁ 100 ipsec-isakmp
#match address site1
#set transform-set GOST
#set peer 10.111.22.3
Naviažeme krypto kartu na externé rozhranie pokladnice:
#interface GigabitEthernet0/0
#ip adresa 10.111.21.3 255.255.255.0
#kryptomapa HLAVNÁ
Ak chcete zašifrovať kanály s inými stránkami, musíte zopakovať postup vytvorenia ACL a krypto karty, zmeniť názov ACL, IP adresy a číslo krypto karty.
Poznámka! Ak sa nepoužíva overenie certifikátu pomocou CRL, musí to byť výslovne uvedené:
#crypto pki trustpoint s-terra_technological_trustpoint
#revocation-check none
V tomto bode možno nastavenie považovať za dokončené. Vo výstupe príkazov konzoly podobnej Cisco zobraziť krypto isakmp sa и zobraziť krypto ipsec sa Mala by sa zohľadniť vybudovaná prvá a druhá fáza IPSec. Rovnaké informácie možno získať pomocou príkazu sa_mgr show, spustený z debian shellu. Vo výstupe príkazu cert_mgr show Mali by sa zobraziť certifikáty vzdialenej lokality. Stav takýchto certifikátov bude diaľkový. Ak sa tunely nevybudujú, musíte sa pozrieť na protokol služby VPN, ktorý je uložený v súbore /var/log/cspvpngate.log. Kompletný zoznam protokolových súborov s popisom ich obsahu je dostupný v dokumentácii.
Monitorovanie „zdravia“ systému
S-Terra CC používa na monitorovanie štandardného démona snmpd. Okrem typických linuxových parametrov podporuje S-Terra ihneď vydávanie údajov o IPSec tuneloch v súlade s CISCO-IPSEC-FLOW-MONITOR-MIB, čo používame pri monitorovaní stavu IPSec tunelov. Podporovaná je aj funkčnosť vlastných OID, ktoré vydávajú výsledky spustenia skriptu ako hodnoty. Táto funkcia nám umožňuje sledovať dátumy vypršania platnosti certifikátu. Napísaný skript analyzuje výstup príkazu cert_mgr show a ako výsledok uvádza počet dní do vypršania platnosti lokálneho a koreňového certifikátu. Táto technika je nevyhnutná pri podávaní veľkého počtu CABG.
Aká je výhoda takéhoto šifrovania?
Všetky vyššie popísané funkcie podporuje S-Terra KSh hneď po vybalení. To znamená, že nebolo potrebné inštalovať žiadne dodatočné moduly, ktoré by mohli ovplyvniť certifikáciu kryptobrán a certifikáciu celého informačného systému. Medzi stránkami môžu byť akékoľvek kanály, dokonca aj cez internet.
Vzhľadom na to, že pri zmene vnútornej infraštruktúry nie je potrebné prekonfigurovať kryptografické brány, systém funguje ako služba, čo je pre zákazníka veľmi výhodné: svoje služby (klient a server) môže umiestniť na ľubovoľné adresy a všetky zmeny sa budú dynamicky prenášať medzi šifrovacím zariadením.
Šifrovanie z dôvodu režijných nákladov (režijných nákladov) samozrejme ovplyvňuje rýchlosť prenosu dát, ale len mierne - priepustnosť kanála sa môže znížiť maximálne o 5-10%. Súčasne bola technológia testovaná a vykazuje dobré výsledky aj na satelitných kanáloch, ktoré sú dosť nestabilné a majú malú šírku pásma.
Igor Vinokhodov, inžinier 2. línie správy Rostelecom-Solar
Zdroj: hab.com