Haddii shirkaddaadu ay gudbiso ama hesho xogta shakhsi ahaaneed iyo macluumaadka kale ee sirta ah ee shabakadda kaas oo ku xiran ilaalinta si waafaqsan sharciga, waxaa looga baahan yahay inay isticmaasho sirta GOST. Maanta waxaan kuu sheegi doonaa sida aan u hirgelinay sirta noocaas ah ee ku saleysan S-Terra crypto gateway (CS) mid ka mid ah macaamiisha. Sheekadani waxay xiiso u yeelan doontaa khabiirada amniga macluumaadka, iyo sidoo kale injineerada, naqshadeeyayaasha iyo naqshadeeyayaasha. Si qoto dheer uguma daadan doono nuxurka qaabaynta farsamada ee qoraalkan; waxaanu diirada saari doonaa qodobada muhiimka ah ee dejinta aasaasiga ah. Tiro badan oo dukumeenti ah oo ku saabsan dejinta Linux OS daemons, oo ay ku saleysan tahay S-Terra CS, ayaa si xor ah looga heli karaa internetka. Dukumeenti ku saabsan samaynta software-ka S-Terra ee iska leh ayaa sidoo kale si cad loo heli karaa soo saaraha.
Dhowr eray oo ku saabsan mashruuca
Shabakadda topology-ga macmiilku waxay ahayd heer - mesh buuxa oo u dhexeeya xarunta iyo laamaha. Waxa lama huraan noqotay in la soo bandhigo sir-is-weydaarsiga kanaalada macluumaadka ee u dhexeeya dhammaan goobaha, kuwaas oo ay ka mid yihiin 8.
Caadi ahaan mashaariicda noocan oo kale ah wax walbaa waa taagan yihiin: wadooyinka maxalli ah ee shabakada maxaliga ah ee goobta ayaa lagu dhejiyaa gateways crypto (CGs), liisaska cinwaanada IP (ACLs) ee sirta ah ayaa la diiwaangeliyaa. Si kastaba ha noqotee, kiiskan, goobuhu ma laha xakameyn dhexe, wax kastana waxay ku dhici karaan gudaha shabakadaha maxalliga ah: shabakadaha waa lagu dari karaa, tirtiri karaa, oo wax laga beddeli karaa si kasta oo suurtagal ah. Si looga fogaado dib u habeynta habaynta iyo ACL ee KS marka la beddelayo ciwaanka shabakadaha maxalliga ah ee goobaha, waxaa la go'aamiyay in la isticmaalo GRE tunneling iyo OSPF routing firfircoon, oo ay ku jiraan dhammaan KS iyo inta badan router-yada heerka asaasiga ah ee shabakadaha goobaha ( Goobaha qaarkood, maamulayaasha kaabayaasha ayaa doorbiday inay SNAT u adeegsadaan dhanka KS ee marinnada kernel-ka).
Tunnel-ka GRE wuxuu noo oggolaaday inaan xallino laba dhibaato:
1. Isticmaal ciwaanka IP-ga ee interneedka dibadda ee CS si aad u xafiddo ACL, kaas oo koobaya dhammaan taraafikada loo diro goobaha kale.
2. Abaabulaan p-t-p tunnels inta u dhaxaysa CB-yada, kaas oo kuu oggolaanaya inaad dejiso marin firfircoon (xaaladkeenna, bixiyaha MPLS L3VPN wuxuu u habaysan yahay inta u dhaxaysa bogagga).
Macmiilku wuxuu amray hirgelinta sirta adeeg ahaan. Haddii kale, ma aha inuu kaliya ilaaliyo gateways crypto ama uu u soo saaro hay'adaha qaarkood, laakiin sidoo kale si madax-bannaan ula socdo wareegga nolosha ee shahaadooyinka sirta ah, dib u cusboonaysii waqtiga oo ku rakib kuwo cusub.
Oo hadda xusuus-qorka dhabta ah - sida iyo waxa aan u habeynay
Xusuusin mawduuca CII: dejinta marinka crypto
Dejinta shabakada aasaasiga ah
Ugu horreyntii, waxaan bilownay CS cusub oo aan galnay console-ka maamulka. Waa inaad ku bilowdaa beddelidda erayga sirta ah ee maamulaha - taliska beddel maamulaha erayga sirta ah ee isticmaalaha. Markaa waxaad u baahan tahay inaad fuliso nidaamka bilowga (command bilawga) inta lagu guda jiro xogta shatiga la gelinayo iyo dareemaha lambarka random (RNS) la bilaabay.
Feejignow! Marka S-Terra CC la bilaabo, siyaasad amni ayaa la dejiyaa kaas oo is-dhexgalada albaabka ammaanku aanu u oggolaan xidhmooyinku inay dhex maraan. Waa inaad abuurtaa siyaasad kuu gaar ah ama aad isticmaasho amarka ordi csconf_mgr activate dhaqaaji siyaasad ogolaansho hore loo qeexay.
Marka xigta, waxaad u baahan tahay inaad habayso ciwaanka gudaha iyo dibadda, iyo sidoo kale dariiqa caadiga ah. Way fiicantahay in lala shaqeeyo qaabaynta shabakada CS oo lagu habeeyo sirta iyada oo loo marayo konsole u eg Cisco. Console-kan waxa loogu talagalay inuu galo amarada la midka ah amarada Cisco IOS. Qaabaynta la sameeyay iyadoo la isticmaalayo konsole u eg Cisco ayaa, iyana, loo beddelay faylalka habaynta u dhigma ee ay OS daemons-ku ku shaqeeyaan. Waxaad aadi kartaa cisiko-u eg console-ka console-ka maamulka oo wata amarka isku hagaajin.
Beddel furaha sirta ah ee ku dhex jira isticmaale cscon oo awood:
> karti
Furaha sirta ah: csp (horay loo rakibay)
#Confireter terminal
#username cscons mudnaanta 15 sir 0 #karti sirta 0 Dejinta qaabeynta shabakada aasaasiga ah:
#interface GigabitEthernet0/0
Ciwaanka IP 10.111.21.3 255.255.255.0
#ma xidhidh
#interface GigabitEthernet0/1
Ciwaanka IP 192.168.2.5 255.255.255.252
#ma xidhidh
#IP wadada 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Ka bax konsole u eg Cisco oo tag qolofka debian amarka nidaamka. U deji eraygaaga sirta ah ee isticmaalaha xidid kooxda passwd.
Qol kasta oo kantaroolka ah, tunnel gaar ah ayaa loo habeeyey goob kasta. Isku xirka tunnel-ka waxaa lagu habeeyey faylka / Iwm / network / interfaces. Utility tunnel-ka IP-ga, oo lagu daray qalabka horay loo rakibay ee iproute2, ayaa mas'uul ka ah abuurista is-dhexgalka laftiisa. Amarka abuuritaanka interface wuxuu ku qoran yahay ikhtiyaarka hore.
Tusaale ahaan qaabaynta tunnel-ka caadiga ah:
goobta auto1
iface site1 inet static
cinwaanka 192.168.1.4
netmask 255.255.255.254
tunnel-ka hore ee ip ku dar site1 mode gre local 10.111.21.3 fog 10.111.22.3 furaha hfLYEg^vCh6p
Feejignow! Waa in la ogaadaa in goobaha isku xirka tunnel-ka waa in ay ku yaalliin meel ka baxsan qaybta
###netifcfg-bilow###
*****
###netifcfg-dhammaad###
Haddii kale, goobahan waa la beddeli doonaa marka la beddelo goobaha shabakadda ee is-dhexgalka jireed iyada oo loo marayo qalabka loo yaqaan 'Cisco-like console'.
Dariiq toosan
Gudaha S-Terra, jiheynta firfircoon ayaa laga hirgaliyay iyadoo la adeegsanayo xirmada software Quagga. Si loo habeeyo OSPF waxaan u baahanahay inaan awoodno oo aan habeyno daemons gabayga ΠΈ ospfd. Zebra daemon ayaa mas'uul ka ah xiriirka ka dhexeeya daemons-ka iyo OS-ka. Ospfd daemon, sida magacu soo jeediyo, ayaa mas'uul ka ah hirgelinta nidaamka OSPF.
OSPF waxaa lagu habeeyey iyada oo loo marayo console daemon ama si toos ah iyada oo loo marayo faylka qaabeynta /etc/quagga/ospfd.conf. Dhammaan is-dhexgalka jirka iyo tunnel-ka ee ka qaybqaadanaya jiheynta firfircoon ayaa lagu daraa faylka, shabakadaha la xayeysiin doono oo heli doona ogeysiisyada ayaa sidoo kale lagu dhawaaqay.
Tusaale qaabaynta u baahan in lagu daro ospfd.conf:
interface eth0
!
interface eth1
!
goobta interface1
!
goobta interface2
router ospf
ospf router-id 192.168.2.21
shabakada 192.168.1.4/31 aagga 0.0.0.0
shabakada 192.168.1.16/31 aagga 0.0.0.0
shabakada 192.168.2.4/30 aagga 0.0.0.0
Xaaladdan oo kale, ciwaanada 192.168.1.x/31 ayaa loo qoondeeyay shabakadaha tunnel ptp ee u dhexeeya goobaha, ciwaanada 192.168.2.x/30 ayaa loo qoondeeyay shabakadaha gaadiidka ee u dhexeeya CS iyo kernel router.
Feejignow! Si loo dhimo miiska dajinta ee rakibaadda waaweyn, waxaad shaandhayn kartaa xayaysiisyada shabakadaha gaadiidka laftooda adigoo isticmaalaya dhismooyinka dib u qaybin ku xidhan ma jiro ama dib u qaybi khariidad-maabka ku xidhan.
Kadib habeynta daemons-ka, waxaad u baahan tahay inaad bedesho heerka bilowga ee daemons-ka gudaha /etc/quagga/daemons. Ikhtiyaarada gabayga ΠΈ ospfd waxba iskama bedelin haa. Bilow quagga daemon oo u deji si otomaatig ah markaad bilowdo amarka KS update-rc.d quagga awood.
Haddii qaabeynta tunnel-yada GRE iyo OSPF si sax ah loo sameeyo, dariiqyada shabakadaha goobaha kale waa inay ka muuqdaan KSh iyo router-yada asaasiga ah, sidaas darteed, isku xirka shabakadaha shabakadaha maxalliga ah ayaa soo baxa.
Waxaan sir saarnay gaadiidka la kala qaado
Sida horeyba loo qoray, badanaa marka la sireeyo inta u dhaxaysa goobaha, waxaan ku qeexnaa kala duwanaanshaha ciwaanka IP (ACLs) ee u dhexeeya taraafikada sirta ah: haddii ciwaanka isha iyo meesha loo socdo ay ku dhacaan xadkan, ka dibna taraafikada dhexdooda waa sir. Si kastaba ha ahaatee, mashruucan qaabdhismeedku waa mid firfircoon oo ciwaanadu way isbedeli karaan. Maadaama aan horeyba u habeynay tunneling GRE, waxaan u qeexi karnaa ciwaanada KS ee dibadda inay yihiin isha iyo ciwaanka loo socdo si loo sireeyo taraafikada - intaas ka dib, taraafikada uu horey u soo koobay nidaamka GRE ayaa u imaanaya sirta. Si kale haddii loo dhigo, wax kasta oo ka soo gala CS-ga shabakada maxaliga ah ee hal goob oo ku wajahan shabakadaha ay ku dhawaaqeen goobaha kale waa la sir ah. Mid kasta oo ka mid ah goobahaas waxaa lagu samayn karaa dib u hagitaan kasta. Sidaa darteed, haddii ay jiraan wax isbeddel ah oo ku yimaadda shabakadaha maxalliga ah, maamuluhu wuxuu u baahan yahay oo kaliya inuu wax ka beddelo ogeysiisyada ka imanaya shabakadiisa ee shabakadda, waxayna noqon doontaa mid la heli karo goobaha kale.
Sireeynta gudaha S-Terra CS waxaa lagu sameeyaa iyadoo la adeegsanayo nidaamka IPSec. Waxaan u isticmaalnaa "Grasshopper" algorithm si waafaqsan GOST R 34.12-2015, iyo waafaqsanaanta noocyadii hore waxaad isticmaali kartaa GOST 28147-89. Xaqiijinta si farsamo ahaan waxaa lagu samayn karaa furayaasha horay loo sii qeexay (PSK) iyo shahaadooyinka. Si kastaba ha noqotee, hawlgalka warshadaha waxaa lagama maarmaan ah in la isticmaalo shahaadooyinka la bixiyay si waafaqsan GOST R 34.10-2012.
Ku shaqeynta shahaadooyinka, weelasha iyo CRL-yada waxaa lagu sameeyaa isticmaalka tamarta shahaado_mgr. Marka hore, adoo isticmaalaya amarka Cert_mgr samee waa lagama maarmaan in la sameeyo weel muhiim ah oo gaar ah iyo codsi shahaado ah, kaas oo loo diri doono Xarunta Maareynta Shahaadada. Ka dib markii la helo shahaadada, waa in lala soo dejiyo oo ay la socoto shahaadada CA xididka iyo CRL (haddii la isticmaalo) oo leh amarka cert_mgr soo dejinta. Waxaad hubin kartaa in dhammaan shahaadooyinka iyo CRL-yada lagu rakibay amarka show_mgr.
Ka dib markii si guul leh loo rakibo shahaadooyinka, aad Cisco-like console si aad u habayso IPSec.
Waxaan abuurnaa siyaasad IKE oo qeexaysa algorithms-yada la doonayo iyo cabbirrada kanaalka sugan ee la abuurayo, kaas oo la siin doono lammaanaha si uu u ansixiyo.
Siyaasadda #crypto Isakmp 1000
#encr gost341215k
#hash gost341112-512-tc26
#calaamadaha aqoonsiga
#kooxda vko2
# cimrigiisa 3600
Siyaasaddan waxaa lagu dabaqaa marka la dhisayo wejiga koowaad ee IPSec. Natiijadii ka soo baxday si guul leh oo lagu dhammaystiray wejiga koowaad waa aasaaska SA (Ururka Amniga).
Marka xigta, waxaan u baahanahay inaan qeexno liiska ilaha iyo ciwaanka IP-ga (ACL) ee sirta ah, abuurno qaab beddelaad, abuurno khariidad cryptographic (khariidad crypto) oo ku xidho interface-ka dibadda ee CS.
Deji ACL:
Liiska gelida-IP ee goobta la fidiyay1
#ogolaansho gre host 10.111.21.3 martida loo yahay 10.111.22.3
Qayb isbeddello ah (oo la mid ah wejiga koowaad, waxaan isticmaalnaa sirta algorithm-ka "Grasshopper" iyadoo la adeegsanayo habka jilitaanka jilitaanka):
#crypto ipsec transform-set GOST esp-gost341215k-mac
Waxaan abuurnaa khariidad crypto, cadee ACL, beddelka qaabeynta iyo ciwaanka asxaabta:
#crypto map MAIN 100 ipsec-isakmp
#goobta ciwaanka ciyaarta1
#Gostada u dejisay beddelka
# dhig dhig 10.111.22.3
Waxaan ku xireynaa kaarka crypto xiriirka dibadda ee diiwaanka lacagta caddaanka ah:
#interface GigabitEthernet0/0
Ciwaanka IP 10.111.21.3 255.255.255.0
#crypto map MAIN
Si aad u sirayso kanaalada bogagga kale, waa inaad ku celisaa nidaamka abuurista ACL iyo kaarka crypto, beddelka magaca ACL, ciwaanka IP-ga iyo lambarka kaarka crypto.
Feejignow! Haddii caddaynta caddaynta CRL aan la isticmaalin, tani waa in si cad loo qeexaa:
#crypto pki trustpoint s-terra_technological_trustpoint
#kala noqoshada-midna iska hubi
Halkaa marka ay marayso, dejinta waxa loo qaadan karaa mid dhamaystiran. In Cisco-sida soo saarida amarka console show crypto isakmp sa ΠΈ show crypto ipsec sa Wajiyada koowaad iyo labaad ee la dhisay ee IPSec waa in ay ka muuqdaan. Xog isku mid ah ayaa lagu heli karaa iyadoo la adeegsanayo amarka sa_mgr show, oo laga fuliyay qolof debian In wax soo saarka amarka show_mgr Shahaadooyinka goobta fog waa inay muuqdaan. Heerka shahaadooyinka noocan oo kale ah ayaa noqon doona fog. Haddii tunnel-ka aan la dhisin, waxaad u baahan tahay inaad fiiriso diiwaanka adeegga VPN, kaas oo ku kaydsan faylka /var/log/cspvpngate.log. Liis dhammaystiran oo galalka log-ga ah oo leh sharraxaad waxa ku jira ayaa laga helayaa dukumeentiga.
La socodka "caafimaadka" nidaamka
S-Terra CC waxay isticmaashaa snmpd daemon caadiga ah si ay ula socoto. Marka lagu daro xuduudaha caadiga ah ee Linux, S-Terra oo ka baxsan sanduuqa waxay taageertaa soo saarista xogta ku saabsan tunnel-yada IPSec si waafaqsan CISCO-IPSEC-FOW-MONITOR-MIB, taas oo ah waxa aan isticmaalno marka aan la soconno heerka IPSec tunnels. Shaqada OID-yada caadiga ah ee soo saara natiijooyinka fulinta qoraalka sida qiyamka sidoo kale waa la taageeray. Habkaani wuxuu noo ogolaanayaa inaan la soconno taariikhaha ay dhacayso shahaadada. Qoraalka qoraalka ah wuxuu qeexayaa soo-saarka amarka show_mgr oo natiijadu waxay siinaysaa tirada maalmaha ilaa shahaadooyinka deegaanka iyo xididku ay dhacayaan. Farsamadan waa lama huraan marka la maamulayo tiro badan oo CABGs ah.
Waa maxay faa'iidada sirta noocaas ah?
Dhammaan hawlaha kor lagu sifeeyay waxaa taageeray S-Terra KSh. Taasi waa, ma jirin baahi loo qabo in lagu rakibo cutubyo dheeraad ah oo saameyn kara shahaadada gateways crypto iyo shahaado nidaamka macluumaadka oo dhan. Waxaa jiri kara kanaalo kasta oo u dhexeeya boggaga, xitaa internetka.
Sababtoo ah xaqiiqda ah in marka kaabayaasha gudaha isbedelaan, looma baahna in dib loo habeeyo gateways crypto, nidaamku wuxuu u shaqeeyaa adeeg ahaan, taas oo aad ugu habboon macaamilka: wuxuu dhigi karaa adeegyadiisa (macmiilka iyo server-ka) cinwaan kasta, dhammaan isbeddelada ayaa si firfircoon loogu wareejin doonaa inta u dhaxaysa qalabka sirta ah.
Dabcan, sirta ah ee ay sabab u tahay kharashyada dheeraadka ah (sare) waxay saameeyaan xawaaraha wareejinta xogta, laakiin wax yar uun - wax soo saarka kanaalka ayaa hoos u dhigi kara ugu badnaan 5-10%. Isla mar ahaantaana, tignoolajiyada ayaa la tijaabiyay oo muujiyay natiijooyin wanaagsan xitaa kanaalada dayax-gacmeedka, kuwaas oo aan deganayn oo leh xajmi yar.
Igor Vinokhodov, injineerka khadka 2aad ee maamulka Rostelecom-Solar
Source: www.habr.com