Afai e lafoina pe maua e lau kamupani faʻamatalaga patino ma isi faʻamatalaga faʻalilolilo i luga o le upega tafaʻilagi e noatia i le puipuiga e tusa ai ma le tulafono, e manaʻomia le faʻaogaina o le GOST encryption. O le asō o le a matou taʻu atu ia te oe pe faʻapefea ona matou faʻatinoina ia faʻamatalaga faʻavae i luga o le S-Terra crypto gateway (CS) i se tasi o tagata faʻatau. O lenei tala o le a fiafia i tagata tomai faapitoa mo le puipuiga o faʻamatalaga, faʻapea foʻi ma inisinia, mamanu ma tusiata. O le a tatou le sosolo loloto i nuances o le faʻatulagaina faʻapitoa i lenei pou; o le a tatou taulai atu i manatu autu o le seti faʻavae. Tele voluma o fa'amaumauga i le fa'atulagaina o Linux OS daemons, lea e fa'avae ai le S-Terra CS, e maua fua ile Initaneti. O lo'o avanoa fa'alaua'itele fo'i fa'amaumauga mo le fa'atulagaina o polokalama fa'apitoa S-Terra tagata gaosi.
O nai upu e uiga i le poloketi
O le fa'aogaina o feso'otaiga a le tagata fa'atau sa fa'ata'atia - fa'ato'a atoa i le va o le ogatotonu ma lala. Na mana'omia le fa'aofiina o fa'amatalaga o feso'ota'iga fa'amatalaga i le va o nofoaga uma, lea e 8.
E masani lava i ia galuega faatino mea uma e faʻamautu: auala faʻasolosolo i le fesoʻotaʻiga faʻapitonuʻu o le saite o loʻo faʻatulagaina i luga o faitotoa o le crypto (CGs), lisi o tuatusi IP (ACLs) mo faʻamatalaga ua resitalaina. Ae ui i lea, i lenei tulaga, o nofoaga e leai se faʻatonuga faʻapitoa, ma e mafai ona tupu soʻo se mea i totonu o latou fesoʻotaʻiga faʻapitonuʻu: fesoʻotaʻiga e mafai ona faʻaopoopo, tape, ma suia i auala uma. Ina ia aloese mai le toe fetuunaiga o le auala ma le ACL i luga o le KS pe a suia le tuatusi o fesoʻotaiga i le lotoifale i luga o nofoaga, na tonu ai e faʻaaoga le GRE tunneling ma le OSPF dynamic routing, lea e aofia ai KS uma ma le tele o routers i le tulaga autu o fesoʻotaʻiga i nofoaga ( i nisi o nofoaga, e sili atu le faʻaaogaina e le au pulega o le SNAT agai i le KS i luga o alalaupapa fatu).
GRE tunneling na mafai ai ona matou foia ni faafitauli se lua:
1. Fa'aoga le tuatusi IP o le fa'aoga i fafo o le CS mo fa'ailoga i le ACL, lea e fa'apipi'i uma ai fefa'ataua'iga na lafo i isi nofoaga.
2. Faʻatulaga ptp tunnels i le va o CSs, lea e faʻatagaina oe e faʻapipiʻi auala faʻamalosi (i la matou tulaga, o le MPLS L3VPN a le kamupani o loʻo faʻatulagaina i le va o nofoaga).
Na faʻatonuina e le kalani le faʻatinoina o faʻamatalaga o se auaunaga. A leai, e tatau ona ia le gata ina tausia crypto faitotoa poʻo fafo atu i latou i nisi faʻalapotopotoga, ae ia mataʻituina foi le ola tutoatasi o tusi faʻailoga, faʻafouina i le taimi ma faʻapipiʻi ni mea fou.
Ma o lenei o le faʻamanatuga moni - faʻafefea ma mea na matou faʻatulagaina
Fa'aaliga i le mataupu CII: fa'atūina se faitotoa crypto
Fa'atonu feso'ota'iga autu
Muamua, matou te tatalaina se CS fou ma ulufale i totonu o le pulega faʻamafanafanaga. E tatau ona e amata i le suia o le faʻapipiʻiina o le faʻaupuga faʻatonu - faʻatonuga sui tagata fa'aoga upu faataga pule. Ona e manaʻomia lea e faʻatino le faiga o le amataina (poloaiga faʻanatinati) lea e fa'aulu ai fa'amaumauga laisene ma fa'amataina ai le numera fa'afuase'i (RNS).
Faʻalogo lelei! A amata le S-Terra CC, e fa'atūina se faiga fa'avae mo le puipuiga lea e le fa'atagaina ai e feso'ota'iga faitoto'a o le puipuiga e ui atu ai pepa. E tatau ona e faia lau oe lava faiga faʻavae pe faʻaaoga le poloaiga tamoe csconf_mgr activate fa'agaoioia se faiga fa'ataga fa'ataga.
Le isi, e manaʻomia le faʻatulagaina o le faʻaogaina o fesoʻotaʻiga i fafo ma totonu, faʻapea foʻi ma le ala faʻaletonu. E sili atu le galulue faatasi ma le CS network configuration ma configure encryption e ala i se Cisco-pei o le faamafanafanaga. O lenei faamafanafanaga ua mamanuina e ulufale ai i poloaiga e tutusa ma Cisco IOS poloaiga. O le faʻatulagaga e faʻaaogaina e faʻaoga ai le Cisco-pei o le faʻamafanafanaga, i le isi itu, ua liua i faila faʻatulagaina tutusa lea e galue ai le OS daemons. E mafai ona e alu i le Cisco-pei o le faʻamafanafanaga mai le faʻamafanafanaga pulega ma le faʻatonuga configures.
Suia upu fa'aoga mo cscons o lo'o fausia i totonu ma mafai ai:
> mafai
Upu faataga: csp(mua'i fa'apipi'i)
#configure laina
#username cscons privilege 15 mealilo 0 #enable mealilo 0 Fa'atulaga le fa'atūlagaga autu o feso'otaiga:
#interface GigabitEthernet0/0
#ip address 10.111.21.3 255.255.255.0
#leai se tapunia
#interface GigabitEthernet0/1
#ip address 192.168.2.5 255.255.255.252
#leai se tapunia
#ip ala 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Alu ese mai le Cisco-pei o le faʻamafanafanaga ma alu i le atigi debian ma le faʻatonuga faiga. Seti lau lava password mo le tagata fa'aoga aʻa 'au sese.
I potu taʻitasi taʻitasi, o loʻo faʻatulagaina se alavai eseese mo nofoaga taʻitasi. O le tunnel interface o loʻo faʻatulagaina i le faila / etc / network / interfaces. O le aoga tunnel IP, o loʻo aofia i le seti iproute2 na faʻapipiʻiina, e nafa ma le fatuina o le atinaʻe lava ia. O le fa'atonuga o le fa'atulagaina o feso'ota'iga ua tusia i le filifiliga muamua.
Fa'ata'ita'iga fa'atonuga o se fa'aoga tunnel masani:
nofoaga taavale1
iface site1 inet static
tuatusi 192.168.1.4
netmask 255.255.255.254
mua'i luga ip alavai fa'aopoopo site1 mode gre fa'apitonu'u 10.111.21.3 mamao 10.111.22.3 ki hfLYEg^vCh6p
Faʻalogo lelei! E tatau ona maitauina o tulaga mo fesoʻotaʻiga tunnel e tatau ona tu i fafo atu o le vaega
###netifcfg-amata####
*****
###netifcfg-end####
A leai, o nei faʻatulagaga o le a suia pe a suia le fesoʻotaʻiga o fesoʻotaʻiga o fesoʻotaʻiga faaletino e ala i se faʻamafanafanaga Cisco.
Fa'aola fa'aola
I le S-Terra, o loʻo faʻatinoina le faʻaogaina o auala e faʻaaoga ai le Quagga software package. Ina ia faʻapipiʻi le OSPF matou te manaʻomia le faʻatagaina ma faʻapipiʻi daemons zebra и ospfd. O le zebra daemon e nafa ma fesoʻotaʻiga i le va o taʻavale faʻasolosolo ma le OS. O le ospfd daemon, e pei ona taʻu mai e le igoa, e nafa ma le faʻatinoina o le OSPF protocol.
O lo'o fa'atulaga le OSPF e ala i le fa'amafanafanaga daemon po'o sa'o fo'i i le faila fa'atulagaina /etc/quagga/ospfd.conf. O feso'ota'iga fa'aletino uma ma tunnel o lo'o auai i ta'avale malosi e fa'aopoopo i le faila, ma o feso'ota'iga o le a fa'asalalauina ma maua fa'asalalauga e fa'ailoa mai fo'i.
O se faʻataʻitaʻiga o le faʻatulagaga e manaʻomia ona faʻaopoopo i ospfd.conf:
fa'aoga eth0
!
fa'aoga eth1
!
nofoaga fa'aoga1
!
nofoaga fa'aoga2
ospf router
ospf router-id 192.168.2.21
feso'ota'iga 192.168.1.4/31 vaega 0.0.0.0
feso'ota'iga 192.168.1.16/31 vaega 0.0.0.0
feso'ota'iga 192.168.2.4/30 vaega 0.0.0.0
I lenei tulaga, o tuatusi 192.168.1.x/31 ua fa'aagaga mo feso'ota'iga tunnel ptp i le va o nofoaga, o tuatusi 192.168.2.x/30 ua fa'asoaina mo feso'ota'iga femalagaiga i le va o CS ma kernel routers.
Faʻalogo lelei! Ina ia faʻaitiitia le laulau faʻataʻavalevale i faʻapipiʻi tetele, e mafai ona e faʻamama le faʻasalalauga o fesoʻotaʻiga feʻaveaʻi latou lava e faʻaaoga ai faufale. leai se toe tufaina feso'ota'i poʻo toe tufatufa fa'afanua ala feso'ota'i.
A maeʻa le faʻatulagaina o daemons, e tatau ona e suia le tulaga amata o daemons i totonu /etc/quagga/daemons. I filifiliga zebra и ospfd leai se suiga i le ioe. Amata le quagga daemon ma seti i le autorun pe ae amata le KS poloaiga faafou-rc.d quagga mafai.
Afai e saʻo le faʻatulagaina o GRE tunnels ma le OSPF, ona faʻaalia lea o auala i le fesoʻotaʻiga o isi nofoaga i luga o le KSh ma 'auala autu ma, o lea, o fesoʻotaʻiga fesoʻotaʻiga i le va o fesoʻotaʻiga i le lotoifale e tulaʻi mai.
Matou te faʻailogaina felauaiga feʻaveaʻi
E pei ona uma ona tusia, e masani lava pe a faʻapipiʻi i le va o nofoaga, matou te faʻamaonia tulaga o tuatusi IP (ACLs) i le va o fefaʻatauaiga o loʻo faʻailoga: afai o le punavai ma tuatusi o loʻo i ai i totonu o nei laina, ona faʻailogaina lea o fefaʻatauaiga i le va oi latou. Ae ui i lea, i lenei poloketi e malosi le fausaga ma e mafai ona suia tuatusi. Talu ai ua uma ona matou faʻapipiʻiina le GRE tunneling, e mafai ona matou faʻamaonia tuatusi KS i fafo e avea ma faʻapogai ma tuatusi tuatusi mo le faʻailogaina o fefaʻatauaiga - pe a uma, o fefaʻatauaiga ua uma ona faʻapipiʻiina e le GRE protocol e oʻo mai mo faʻamatalaga. I se isi faaupuga, o mea uma e oʻo i totonu o le CS mai le fesoʻotaʻiga faʻapitonuʻu o le tasi nofoaga agai i fesoʻotaʻiga na faʻasalalau e isi nofoaga o loʻo faʻailogaina. Ma i totonu o nofoaga ta'itasi e mafai ona faia so'o se suiga. O lea la, afai ei ai se suiga i fesoʻotaʻiga faʻapitonuʻu, naʻo le pule e manaʻomia le suia o faʻasalalauga e sau mai lana fesoʻotaʻiga agai i le fesoʻotaʻiga, ma o le a avanoa i isi nofoaga.
Fa'ailoga i le S-Terra CS o lo'o fa'atinoina ile fa'aogaina ole IPSec protocol. Matou te faʻaogaina le "Grasshopper" algorithm e tusa ai ma le GOST R 34.12-2015, ma mo le fetaui ma lomiga tuai e mafai ona e faʻaogaina GOST 28147-89. O le fa'amaoni e mafai ona fa'atino fa'apitoa i ki na mua'i fa'auigaina (PSK) ma tusi pasi. Ae ui i lea, i galuega faʻapisinisi e manaʻomia le faʻaaogaina o tusi faamaonia na tuʻuina atu e tusa ai ma le GOST R 34.10-2012.
O le galue ma tusi faamaonia, containers ma CRLs e faia ile fa'aogaina ole aoga cert_mgr. Muamua, faʻaaoga le poloaiga cert_mgr fatu e mana'omia le fa'atupuina o se atigipusa autu patino ma se talosaga tusi pasi, lea o le a tu'uina atu i le Nofoaga Autu mo le Pulega. A maeʻa ona maua le tusi faamaonia, e tatau ona faʻaulufale mai faʻatasi ma le aʻa CA tusi faamaonia ma CRL (pe a faʻaaogaina) ma le poloaiga cert_mgr faaulufale mai. E mafai ona e mautinoa o loʻo faʻapipiʻi uma tusi pasi ma CRL i le faʻatonuga fa'aaliga cert_mgr.
A maeʻa ona faʻapipiʻi lelei tusi pasi, alu i le Cisco-pei faʻamafanafanaga e faʻapipiʻi le IPSec.
Matou te fatuina se faiga faʻavae IKE e faʻamaonia ai algorithms manaʻomia ma faʻamaufaʻailoga o le auala malupuipuia o loʻo faia, lea o le a ofoina atu i le paaga mo le faʻatagaina.
#crypto isakmp policy 1000
#encr gost341215k
#hash gost341112-512-tc26
#faailoga fa'amaonia
#vaega vko2
#ola 3600
O lenei faiga faʻavae e faʻaaogaina pe a fausia le vaega muamua o le IPSec. O le taunuuga o le faʻamaeʻaina manuia o le vaega muamua o le faʻavaeina lea o le SA (Security Association).
O le isi, e manaʻomia le faʻamalamalamaina o se lisi o punaʻoa ma tuatusi IP (ACL) mo faʻamatalaga, faʻatupuina se seti suiga, fatuina se faʻafanua cryptographic (crypto map) ma faʻapipiʻi i le atinaʻe fafo o le CS.
Seti le ACL:
#ip avanoa-lisi fa'alautele site1
#permit gre talimalo 10.111.21.3 talimalo 10.111.22.3
Se seti o suiga (tutusa mo le vaega muamua, matou te faʻaogaina le "Grasshopper" encryption algorithm e faʻaaoga ai le faʻasologa faʻapipiʻi faʻavae faʻavae):
#crypto ipsec transform-set GOST esp-gost341215k-mac
Matou te fatuina se faʻafanua crypto, faʻamaonia le ACL, suiga seti ma tuatusi a tupulaga:
#crypto faafanua MAIN 100 ipsec-isakmp
#faafetaui tuatusi nofoaga1
#set transform-set GOST
#set peer 10.111.22.3
Matou te fusifusia le kata crypto i le atinaʻe fafo o le resitala tupe:
#interface GigabitEthernet0/0
#ip address 10.111.21.3 255.255.255.0
#crypto faafanua AUTAU
Ina ia faʻailoga auala ma isi nofoaga, e tatau ona e toe faia le faiga mo le fatuina o se ACL ma le crypto card, suia le igoa ACL, tuatusi IP ma le numera o le kata crypto.
Faʻalogo lelei! Afai e le'o fa'aogaina le fa'amaoniga o le tusi pasi CRL, e tatau ona fa'ailoa manino mai:
#crypto pki trustpoint s-terra_technological_trustpoint
#revocation-check leai se tasi
I lenei tulaga, o le seti e mafai ona manatu ua maeʻa. I Cisco-pei fa'amafanafanaga fa'atonuga fa'atonuga faaali crypto isakmp sa и faaali crypto ipsec sa Ole vaega muamua ma le lua na fausia ole IPSec e tatau ona atagia. E mafai ona maua faʻamatalaga tutusa e faʻaaoga ai le faʻatonuga sa_mgr fa'aaliga, fa'atinoina mai le atigi debian. I le fa'atonuga o galuega fa'aaliga cert_mgr E tatau ona aliali mai tusi faamaonia nofoaga mamao. O le tulaga o ia tusi pasi o le a mamao tele. Afai e le o fausia ni tunnels, e tatau ona e vaʻai i le VPN service log, o loʻo teuina i le faila /var/log/cspvpngate.log. O se lisi atoa o faila ogalaau ma se faʻamatalaga o latou mea o loʻo maua i totonu o faʻamaumauga.
Mataituina le "soifua maloloina" o le faiga
O le S-Terra CC faʻaaogaina le snmpd daemon masani mo le mataʻituina. I le faʻaopoopoga i faʻasologa masani a Linux, S-Terra mai le pusa e lagolagoina le tuʻuina atu o faʻamatalaga e uiga i tunnels IPSec e tusa ai ma le CISCO-IPSEC-FLOW-MONITOR-MIB, o le mea lea tatou te faʻaogaina pe a mataʻituina le tulaga o IPSec tunnels. O faʻatinoga o OID masani e faʻaalia ai taunuʻuga o le faʻatinoina o tusitusiga e pei o tau e lagolagoina foi. O lenei vaega e mafai ai ona matou siaki aso e muta ai tusi faamaonia. O fa'amaumauga tusitusia e fa'avasega le fa'atonuga fa'aaliga cert_mgr ma o se taunuuga e maua ai le aofaʻi o aso seʻia oʻo ina faʻamutaina tusi pasi faʻapitonuʻu ma aʻa. O lenei metotia e taua tele pe a faʻatautaia se numera tele o CABGs.
O le a le aoga o ia faʻailoga?
O galuega uma o loʻo faʻamatalaina i luga o loʻo lagolagoina mai le pusa e le S-Terra KSh. O lona uiga, e leʻi manaʻomia le faʻapipiʻiina o soʻo se modules faaopoopo e mafai ona aʻafia ai le faʻamaoniaina o faitotoa o le crypto ma le faʻamaoniaina o le faʻamatalaga atoa. E mafai ona i ai soʻo se auala i le va o saite, e oʻo lava ile Initaneti.
Ona o le mea moni pe a suia le atinaʻe i totonu, e leai se manaʻoga e toe faʻaleleia faitotoa o le crypto, e galue le faiga o se auaunaga, lea e faigofie tele mo le tagata faʻatau: e mafai ona ia tuʻuina ana auaunaga (tagata faʻatau ma le server) i soʻo se tuatusi, ma o suiga uma o le a faʻafeiloaʻi malosi i le va o meafaigaluega faʻailoga.
O le mea moni, o faʻamalamalamaga ona o tau i luga ole laiga (overhead) e aʻafia ai le saoasaoa o le fesiitaiga o faʻamatalaga, ae na o sina laʻititi - o le auala e mafai ona faʻaititia i le maualuga ole 5-10%. I le taimi lava e tasi, o le tekinolosi ua faʻataʻitaʻiina ma faʻaalia iʻuga lelei e oʻo lava i luga o laina satelite, e fai lava si le mautu ma maualalo le bandwidth.
Igor Vinokhodov, inisinia o le laina lona lua o le pulega a Rostelecom-Solar
puna: www.habr.com