Če vaše podjetje posreduje ali prejema osebne podatke in druge zaupne informacije po omrežju, ki so predmet varovanja v skladu z zakonodajo, mora uporabljati šifriranje GOST. Danes vam bomo povedali, kako smo takšno šifriranje implementirali na osnovi S-Terra crypto gateway (CS) pri eni od strank. Ta zgodba bo zanimiva tako za strokovnjake za informacijsko varnost kot tudi za inženirje, oblikovalce in arhitekte. V tej objavi se ne bomo poglobili v nianse tehnične konfiguracije, osredotočili se bomo na ključne točke osnovne nastavitve. Ogromne količine dokumentacije o nastavitvi demonov OS Linux, na katerih temelji S-Terra CS, so prosto dostopne na internetu. Dokumentacija za postavitev lastniške programske opreme S-Terra je javno dostopna tudi na proizvajalec.
Nekaj besed o projektu
Naročnikova omrežna topologija je bila standardna - polna mreža med centrom in vejami. Treba je bilo uvesti šifriranje kanalov za izmenjavo informacij med vsemi stranmi, ki jih je bilo 8.
Običajno je v takih projektih vse statično: statične poti do lokalnega omrežja spletnega mesta so nastavljene na kripto prehodih (CG), registrirani so seznami naslovov IP (ACL) za šifriranje. Vendar v tem primeru spletna mesta nimajo centraliziranega nadzora in znotraj njihovih lokalnih omrežij se lahko zgodi karkoli: omrežja je mogoče dodajati, brisati in spreminjati na vse možne načine. Da bi se izognili ponovni konfiguraciji usmerjanja in ACL na KS pri spreminjanju naslavljanja lokalnih omrežij na mestih, je bilo odločeno, da uporabimo tuneliranje GRE in dinamično usmerjanje OSPF, ki vključuje vse KS in večino usmerjevalnikov na ravni jedra omrežja na mestih ( na nekaterih mestih so skrbniki infrastrukture raje uporabljali SNAT proti KS na usmerjevalnikih jedra).
Tuneliranje GRE nam je omogočilo rešitev dveh težav:
1. Uporabite naslov IP zunanjega vmesnika CS za šifriranje v ACL, ki zajema ves promet, poslan na druga mesta.
2. Organizirajte ptp tunele med CS-ji, ki vam omogočajo konfiguracijo dinamičnega usmerjanja (v našem primeru je MPLS L3VPN ponudnika organiziran med mesti).
Naročnik je naročil izvedbo šifriranja kot storitve. V nasprotnem primeru bi moral ne samo vzdrževati kriptoprehode ali jih oddati kakšni organizaciji, temveč tudi samostojno spremljati življenjski cikel šifrirnih certifikatov, jih pravočasno obnavljati in nameščati nove.
In zdaj dejanska opomba - kako in kaj smo konfigurirali
Opomba za subjekt CII: nastavitev kripto prehoda
Osnovna nastavitev omrežja
Najprej zaženemo nov CS in vstopimo v skrbniško konzolo. Začeti morate s spremembo vgrajenega skrbniškega gesla - ukaz spremeni uporabniško geslo administrator. Nato morate izvesti postopek inicializacije (ukaz inicializacijo), med katerim se vnesejo podatki o licenci in inicializira senzor naključnih števil (RNS).
Bodite pozorni! Ko je S-Terra CC inicializiran, je vzpostavljena varnostna politika, v kateri vmesniki varnostnih prehodov ne dovolijo prehoda paketov. Ustvariti morate svoj pravilnik ali uporabiti ukaz zaženite csconf_mgr activate aktivirajte vnaprej določeno dovoljeno politiko.
Nato morate konfigurirati naslavljanje zunanjih in notranjih vmesnikov ter privzeto pot. Bolje je delati z omrežno konfiguracijo CS in konfigurirati šifriranje prek konzole, podobne Ciscu. Ta konzola je zasnovana za vnos ukazov, podobnih ukazom Cisco IOS. Konfiguracija, ustvarjena s konzolo, podobno Ciscu, se nato pretvori v ustrezne konfiguracijske datoteke, s katerimi delujejo demoni OS. Z ukazom lahko greste na konzolo, podobno Ciscu, iz skrbniške konzole nastavite.
Spremenite gesla za vgrajene uporabniške cscons in omogočite:
> omogočiti
Geslo: csp (prednameščeno)
#configure terminal
#username cscons privilege 15 secret 0 #enable secret 0 Nastavitev osnovne konfiguracije omrežja:
#vmesnik GigabitEthernet0/0
#ip naslov 10.111.21.3 255.255.255.0
#brez izklopa
#vmesnik GigabitEthernet0/1
#ip naslov 192.168.2.5 255.255.255.252
#brez izklopa
#ip route 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Zapustite Cisco podobno konzolo in pojdite na lupino debian z ukazom sistem. Nastavite svoje geslo za uporabnika koren ekipa passwd.
V vsaki kontrolni sobi je za vsako lokacijo konfiguriran ločen tunel. Vmesnik tunela je konfiguriran v datoteki / etc / omrežje / vmesniki. Pripomoček IP tunnel, ki je vključen v prednameščenem naboru iproute2, je odgovoren za ustvarjanje samega vmesnika. Ukaz za ustvarjanje vmesnika je zapisan v možnosti pred-up.
Primer konfiguracije tipičnega vmesnika tunela:
avto stran1
iface site1 inet static
naslov 192.168.1.4
netmask 255.255.255.254
pred-up ip tunel add site1 mode gre local 10.111.21.3 remote 10.111.22.3 key hfLYEg^vCh6p
Bodite pozorni! Upoštevati je treba, da morajo biti nastavitve za tunelske vmesnike zunaj odseka
###netifcfg-begin###
*****
###netifcfg-end###
V nasprotnem primeru bodo te nastavitve prepisane pri spreminjanju omrežnih nastavitev fizičnih vmesnikov prek konzole, podobne Ciscu.
Dinamično usmerjanje
V S-Terra je dinamično usmerjanje implementirano s programskim paketom Quagga. Za konfiguracijo OSPF moramo omogočiti in konfigurirati demone zebra и ospfd. Demon zebra je odgovoren za komunikacijo med demoni usmerjanja in OS. Demon ospfd, kot že ime pove, je odgovoren za implementacijo protokola OSPF.
OSPF je konfiguriran prek konzole daemon ali neposredno prek konfiguracijske datoteke /etc/quagga/ospfd.conf. V datoteko so dodani vsi fizični in tunelski vmesniki, ki sodelujejo pri dinamičnem usmerjanju, navedena pa so tudi omrežja, ki bodo oglaševana in prejemala obvestila.
Primer konfiguracije, ki jo je treba dodati ospfd.conf:
vmesnik eth0
!
vmesnik eth1
!
vmesnik spletno mesto1
!
vmesnik spletno mesto2
usmerjevalnik ospf
ospf usmerjevalnik-id 192.168.2.21
omrežje 192.168.1.4/31 območje 0.0.0.0
omrežje 192.168.1.16/31 območje 0.0.0.0
omrežje 192.168.2.4/30 območje 0.0.0.0
V tem primeru so naslovi 192.168.1.x/31 rezervirani za tunelska ptp omrežja med mesti, naslovi 192.168.2.x/30 pa so dodeljeni za tranzitna omrežja med CS in usmerjevalniki jedra.
Bodite pozorni! Če želite zmanjšati usmerjevalno tabelo v velikih namestitvah, lahko filtrirate napoved samih tranzitnih omrežij z uporabo konstruktov brez prerazporeditve ali prerazporedite povezani zemljevid poti.
Ko konfigurirate demone, morate spremeniti stanje zagona demonov v /etc/quagga/daemons. V možnostih zebra и ospfd brez spremembe v da. Zaženite demon quagga in ga nastavite na samodejni zagon, ko zaženete ukaz KS posodobitev-rc.d quagga omogoči.
Če je konfiguracija tunelov GRE in OSPF izvedena pravilno, se morajo poti v omrežju drugih mest pojaviti na KSh in osrednjih usmerjevalnikih, s čimer se pojavi omrežna povezljivost med lokalnimi omrežji.
Preneseni promet šifriramo
Kot je bilo že napisano, običajno pri šifriranju med spletnimi mesti določimo obsege IP naslovov (ACL), med katerimi je promet šifriran: če izvorni in ciljni naslov spadata v ta obsega, je promet med njima šifriran. Vendar je v tem projektu struktura dinamična in naslovi se lahko spreminjajo. Ker smo že konfigurirali tuneliranje GRE, lahko določimo zunanje naslove KS kot izvorne in ciljne naslove za šifriranje prometa – navsezadnje promet, ki je že enkapsuliran s protokolom GRE, prispe v šifriranje. Z drugimi besedami, vse, kar pride v CS od lokalnega omrežja enega mesta do omrežij, ki so jih napovedala druga spletna mesta, je šifrirano. Znotraj vsakega od spletnih mest je mogoče izvesti kakršno koli preusmeritev. Če torej pride do kakršnih koli sprememb v lokalnih omrežjih, mora skrbnik samo spremeniti obvestila, ki prihajajo iz njegovega omrežja proti omrežju, in to bo na voljo drugim stranem.
Šifriranje v S-Terra CS se izvaja s protokolom IPSec. Uporabljamo algoritem "Grasshopper" v skladu z GOST R 34.12-2015, za združljivost s starejšimi različicami pa lahko uporabite GOST 28147-89. Avtentikacijo je tehnično mogoče izvesti na vnaprej določenih ključih (PSK) in potrdilih. Vendar pa je v industrijskem obratovanju potrebno uporabiti certifikate, izdane v skladu z GOST R 34.10-2012.
Delo s potrdili, vsebniki in CRL-ji poteka s pomočjo pripomočka cert_mgr. Najprej z uporabo ukaza cert_mgr ustvari potrebno je ustvariti vsebnik zasebnega ključa in zahtevo za potrdilo, ki bo poslana v Center za upravljanje potrdil. Po prejemu potrdila ga je treba uvoziti skupaj s korenskim potrdilom CA in CRL (če se uporablja) z ukazom uvoz cert_mgr. Z ukazom se lahko prepričate, da so nameščeni vsi certifikati in CRL-ji prikaz cert_mgr.
Po uspešni namestitvi potrdil pojdite na Ciscovo podobno konzolo in konfigurirajte IPSec.
Izdelamo politiko IKE, ki določa želene algoritme in parametre varnega kanala, ki se ustvarja, kar bo ponujeno partnerju v odobritev.
#crypto isakmp pravilnik 1000
#encr gost341215k
#hash gost341112-512-tc26
#znak za preverjanje pristnosti
#skupina vko2
#življenjska doba 3600
Ta pravilnik se uporablja pri gradnji prve faze IPSec. Rezultat uspešnega zaključka prve faze je ustanovitev SA (Security Association).
Nato moramo definirati seznam izvornih in ciljnih naslovov IP (ACL) za šifriranje, ustvariti transformacijski niz, ustvariti kriptografski zemljevid (kripto zemljevid) in ga povezati z zunanjim vmesnikom CS.
Nastavi ACL:
#ip access-list razširjeno mesto1
#permit gre host 10.111.21.3 host 10.111.22.3
Niz transformacij (enako kot za prvo fazo, uporabljamo šifrirni algoritem "Grasshopper" z uporabo načina generiranja simulacijskih vstavkov):
#crypto ipsec transform-set GOST esp-gost341215k-mac
Ustvarimo kripto zemljevid, določimo ACL, nabor transformacij in enakovredni naslov:
#crypto zemljevid MAIN 100 ipsec-isakmp
#ujema naslov site1
#set transform-set GOST
#set peer 10.111.22.3
Kripto kartico vežemo na zunanji vmesnik blagajne:
#vmesnik GigabitEthernet0/0
#ip naslov 10.111.21.3 255.255.255.0
#crypto map MAIN
Če želite šifrirati kanale z drugimi mesti, morate ponoviti postopek za ustvarjanje ACL in kripto kartice, spremeniti ime ACL, naslove IP in številko kripto kartice.
Bodite pozorni! Če se preverjanje potrdila s CRL ne uporablja, mora biti to izrecno navedeno:
#crypto pki trustpoint s-terra_technological_trustpoint
#preklic-preveri brez
Na tej točki se lahko šteje, da je namestitev končana. V izhodu ukazov konzole, podobnem Ciscu pokaži kripto isakmp sa и pokaži kripto ipsec sa Odražati je treba konstruirano prvo in drugo fazo IPSec. Iste informacije lahko dobite z ukazom sa_mgr oddaja, izveden iz lupine debian. V izhodu ukaza prikaz cert_mgr Prikazati bi se morala potrdila oddaljenega mesta. Status takšnih potrdil bo daljinsko. Če se tuneli ne gradijo, morate pogledati dnevnik storitve VPN, ki je shranjen v datoteki /var/log/cspvpngate.log. Celoten seznam dnevniških datotek z opisom njihove vsebine je na voljo v dokumentaciji.
Spremljanje "zdravja" sistema
S-Terra CC za spremljanje uporablja standardni demon snmpd. Poleg tipičnih parametrov Linuxa S-Terra takoj po namestitvi podpira izdajanje podatkov o tunelih IPSec v skladu s CISCO-IPSEC-FLOW-MONITOR-MIB, kar uporabljamo pri spremljanju statusa tunelov IPSec. Podprta je tudi funkcionalnost prilagojenih OID-jev, ki izpišejo rezultate izvajanja skripta kot vrednosti. Ta funkcija nam omogoča sledenje datumom poteka potrdila. Napisani skript razčleni izhod ukaza prikaz cert_mgr in kot rezultat podaja število dni do poteka veljavnosti lokalnih in korenskih potrdil. Ta tehnika je nepogrešljiva pri izvajanju velikega števila CABG.
Kakšna je korist takšnega šifriranja?
Vse zgoraj opisane funkcionalnosti S-Terra KSh podpira že takoj. To pomeni, da ni bilo treba nameščati dodatnih modulov, ki bi lahko vplivali na certificiranje kripto prehodov in certificiranje celotnega informacijskega sistema. Med stranmi so lahko kakršni koli kanali, tudi prek interneta.
Zaradi dejstva, da ob spremembi notranje infrastrukture ni potrebe po ponovni konfiguraciji kripto prehodov, sistem deluje kot storitev, kar je zelo priročno za stranko: svoje storitve (odjemalec in strežnik) lahko postavi na poljubne naslove, vse spremembe pa se bodo dinamično prenašale med opremo za šifriranje.
Seveda šifriranje zaradi režijskih stroškov (overhead) vpliva na hitrost prenosa podatkov, vendar le malo - prepustnost kanala se lahko zmanjša za največ 5-10%. Hkrati je bila tehnologija testirana in je pokazala dobre rezultate tudi na satelitskih kanalih, ki so precej nestabilni in imajo nizko pasovno širino.
Igor Vinokhodov, inženir 2. linije uprave Rostelecom-Solar
Vir: www.habr.com