Nëse kompania juaj transmeton ose merr të dhëna personale dhe informacione të tjera konfidenciale përmes rrjetit që i nënshtrohen mbrojtjes në përputhje me ligjin, kërkohet të përdoret enkriptimi GOST. Sot do t'ju tregojmë se si e kemi zbatuar një kriptim të tillë bazuar në portën e kriptove S-Terra (CS) në një nga klientët. Kjo histori do të jetë me interes për specialistët e sigurisë së informacionit, si dhe inxhinierët, projektuesit dhe arkitektët. Ne nuk do të zhytemi thellë në nuancat e konfigurimit teknik në këtë postim; ne do të përqendrohemi në pikat kryesore të konfigurimit bazë. Vëllime të mëdha dokumentacioni për vendosjen e demonëve të Linux OS, mbi të cilat bazohet S-Terra CS, janë të disponueshme falas në internet. Dokumentacioni për konfigurimin e softuerit të pronarit S-Terra është gjithashtu i disponueshëm publikisht në prodhues.
Disa fjalë për projektin
Topologjia e rrjetit të klientit ishte standarde - rrjetë e plotë midis qendrës dhe degëve. Ishte e nevojshme të futej enkriptimi i kanaleve të shkëmbimit të informacionit midis të gjitha faqeve, nga të cilat ishin 8.
Zakonisht në projekte të tilla gjithçka është statike: rrugët statike në rrjetin lokal të sitit vendosen në portat e kriptove (CG), regjistrohen listat e adresave IP (ACL) për kriptim. Megjithatë, në këtë rast, faqet nuk kanë menaxhim të centralizuar dhe gjithçka mund të ndodhë brenda rrjeteve të tyre lokale: rrjetet mund të shtohen, fshihen dhe modifikohen në çdo mënyrë të mundshme. Për të shmangur rikonfigurimin e rrugëzimit dhe ACL në KS kur ndryshoni adresimin e rrjeteve lokale në site, u vendos të përdorej tunelizimi GRE dhe drejtimi dinamik OSPF, i cili përfshin të gjitha KS dhe shumicën e ruterave në nivelin bazë të rrjetit në site ( në disa vende, administratorët e infrastrukturës preferuan përdorimin e SNAT drejt KS në ruterat e kernelit).
Tuneli GRE na lejoi të zgjidhim dy probleme:
1. Përdorni adresën IP të ndërfaqes së jashtme të CS për kriptim në ACL, e cila përmbledh të gjithë trafikun e dërguar në sajte të tjera.
2. Organizoni tunele ptp midis CS-ve, të cilat ju lejojnë të konfiguroni rrugëzimin dinamik (në rastin tonë, MPLS L3VPN e ofruesit është e organizuar midis sajteve).
Klienti urdhëroi zbatimin e kriptimit si shërbim. Përndryshe, ai do të duhet jo vetëm të mbajë portat e kriptove ose t'i transferojë ato në një organizatë, por gjithashtu të monitorojë në mënyrë të pavarur ciklin e jetës së certifikatave të kriptimit, t'i rinovojë ato në kohë dhe të instalojë të reja.
Dhe tani memorandumi aktual - si dhe çfarë konfiguruam
Shënim për subjektin CII: vendosja e një porte kripto
Konfigurimi bazë i rrjetit
Para së gjithash, ne lëshojmë një CS të re dhe futemi në tastierën e administrimit. Ju duhet të filloni duke ndryshuar fjalëkalimin e integruar të administratorit - komandën ndryshoni administratorin e fjalëkalimit të përdoruesit. Pastaj ju duhet të kryeni procedurën e inicializimit (komandë inicializoj) gjatë së cilës futen të dhënat e licencës dhe inicializohet sensori i numrave të rastësishëm (RNS).
Kushtoj vëmendje! Kur S-Terra CC inicializohet, krijohet një politikë sigurie në të cilën ndërfaqet e portës së sigurisë nuk lejojnë kalimin e paketave. Ju ose duhet të krijoni politikën tuaj ose të përdorni komandën aktivizo csconf_mgr aktivizoni një politikë lejimi të paracaktuar.
Më pas, duhet të konfiguroni adresimin e ndërfaqeve të jashtme dhe të brendshme, si dhe rrugën e paracaktuar. Preferohet të punoni me konfigurimin e rrjetit CS dhe të konfiguroni enkriptimin përmes një tastierë të ngjashme me Cisco. Kjo tastierë është krijuar për të futur komanda të ngjashme me komandat Cisco IOS. Konfigurimi i krijuar duke përdorur konsolën e ngjashme me Cisco-n, nga ana tjetër, konvertohet në skedarët përkatës të konfigurimit me të cilët punojnë demonët e OS. Mund të shkoni në tastierën e ngjashme me Cisco nga tastiera e administrimit me komandën konfiguroni.
Ndryshoni fjalëkalimet për cscon-et e integruara të përdoruesit dhe aktivizoni:
>aktivizo
Fjalëkalimi: csp (i parainstaluar)
#konfiguro terminalin
#username cscons privilegj 15 sekret 0 #aktivizo sekretin 0 Vendosja e konfigurimit bazë të rrjetit:
#interface GigabitEthernet0/0
adresa #ip 10.111.21.3 255.255.255.0
#pa mbyllje
#interface GigabitEthernet0/1
adresa #ip 192.168.2.5 255.255.255.252
#pa mbyllje
#ip route 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Dilni nga konsola e ngjashme me Cisco dhe shkoni te guaska debian me komandën sistem. Vendosni fjalëkalimin tuaj për përdoruesin rrënjë ekipi passwd.
Në çdo dhomë kontrolli, një tunel i veçantë është konfiguruar për çdo vend. Ndërfaqja e tunelit është konfiguruar në skedar / etj / rrjeti / ndërfaqet. Shërbimi i tunelit IP, i përfshirë në grupin e parainstaluar iproute2, është përgjegjës për krijimin e vetë ndërfaqes. Komanda e krijimit të ndërfaqes është shkruar në opsionin paraprak.
Shembull i konfigurimit të një ndërfaqe tipike tuneli:
faqe auto1
iface site1 inet statike
adresa 192.168.1.4
maskë neto 255.255.255.254
tuneli paraprak ip shto modalitetin e faqes1 gre lokale 10.111.21.3 në distancë 10.111.22.3 çelësi hfLYEg^vCh6p
Kushtoj vëmendje! Duhet të theksohet se cilësimet për ndërfaqet e tunelit duhet të vendosen jashtë seksionit
###netifcfg-fillon###
*****
###netifcfg-fund###
Përndryshe, këto cilësime do të mbishkruhen kur ndryshoni cilësimet e rrjetit të ndërfaqeve fizike përmes një tastierë të ngjashme me Cisco.
Drejtimi dinamik
Në S-Terra, drejtimi dinamik zbatohet duke përdorur paketën softuerike Quagga. Për të konfiguruar OSPF, duhet të aktivizojmë dhe konfigurojmë demonët zebër и ospfd. Daemon zebra është përgjegjës për komunikimin midis demonëve të rrugëzimit dhe sistemit operativ. Daemon ospfd, siç sugjeron emri, është përgjegjës për zbatimin e protokollit OSPF.
OSPF konfigurohet ose përmes tastierës së daemonit ose drejtpërdrejt përmes skedarit të konfigurimit /etc/quagga/ospfd.conf. Të gjitha ndërfaqet fizike dhe tunele që marrin pjesë në rrugëzimin dinamik shtohen në skedar dhe deklarohen gjithashtu rrjetet që do të reklamohen dhe do të marrin njoftime.
Një shembull i konfigurimit që duhet të shtohet ospfd.conf:
ndërfaqja eth0
!
ndërfaqja eth1
!
faqja e ndërfaqes 1
!
faqja e ndërfaqes 2
ruter ospf
ospf router-id 192.168.2.21
rrjeti 192.168.1.4/31 zona 0.0.0.0
rrjeti 192.168.1.16/31 zona 0.0.0.0
rrjeti 192.168.2.4/30 zona 0.0.0.0
Në këtë rast, adresat 192.168.1.x/31 janë të rezervuara për rrjetet ptp të tunelit ndërmjet sajteve, adresat 192.168.2.x/30 janë të rezervuara për rrjetet e tranzitit ndërmjet ruterëve CS dhe kernelit.
Kushtoj vëmendje! Për të reduktuar tabelën e rrugëtimit në instalimet e mëdha, mund të filtroni njoftimin e vetë rrjeteve të tranzitit duke përdorur konstruktet asnjë rishpërndarje e lidhur ose rishpërndani hartën e rrugës së lidhur.
Pas konfigurimit të demonëve, duhet të ndryshoni statusin e fillimit të demonëve në /etc/quagga/demonët. Në opsione zebër и ospfd asnjë ndryshim në po. Nisni daemon quagga dhe vendoseni në autorun kur filloni komandën KS update-rc.d quagga enable.
Nëse konfigurimi i tuneleve GRE dhe OSPF është bërë në mënyrë korrekte, atëherë rrugët në rrjetin e vendeve të tjera duhet të shfaqen në ruterët KSh dhe bazë dhe, kështu, lind lidhja e rrjetit midis rrjeteve lokale.
Ne kodojmë trafikun e transmetuar
Siç është shkruar tashmë, zakonisht kur kriptoni midis sajteve, ne specifikojmë vargjet e adresave IP (ACL) midis të cilave trafiku është i koduar: nëse adresat e burimit dhe të destinacionit bien brenda këtyre intervaleve, atëherë trafiku midis tyre është i koduar. Megjithatë, në këtë projekt struktura është dinamike dhe adresat mund të ndryshojnë. Meqenëse ne kemi konfiguruar tashmë tunelimin GRE, ne mund të specifikojmë adresat e jashtme KS si adresat e burimit dhe destinacionit për kodimin e trafikut - në fund të fundit, trafiku që tashmë është i kapsuluar nga protokolli GRE arrin për kriptim. Me fjalë të tjera, gjithçka që futet në CS nga rrjeti lokal i një siti drejt rrjeteve që janë shpallur nga sajte të tjera është i koduar. Dhe brenda secilit prej faqeve mund të kryhet çdo ridrejtim. Kështu, nëse ka ndonjë ndryshim në rrjetet lokale, administratori duhet vetëm të modifikojë njoftimet që vijnë nga rrjeti i tij drejt rrjetit dhe ai do të bëhet i disponueshëm për faqet e tjera.
Kriptimi në S-Terra CS kryhet duke përdorur protokollin IPSec. Ne përdorim algoritmin "Grasshopper" në përputhje me GOST R 34.12-2015, dhe për pajtueshmërinë me versionet më të vjetra mund të përdorni GOST 28147-89. Autentifikimi teknikisht mund të kryhet si në çelësat e paracaktuar (PSK) ashtu edhe në certifikata. Sidoqoftë, në funksionimin industrial është e nevojshme të përdoren certifikatat e lëshuara në përputhje me GOST R 34.10-2012.
Puna me certifikata, kontejnerë dhe CRL bëhet duke përdorur programin cert_mgr. Para së gjithash, duke përdorur komandën cert_mgr krijoni është e nevojshme të gjenerohet një kontejner i çelësit privat dhe një kërkesë për certifikatë, e cila do të dërgohet në Qendrën e Menaxhimit të Certifikatave. Pas marrjes së certifikatës, ajo duhet të importohet së bashku me certifikatën CA root dhe CRL (nëse përdoret) me komandën import cert_mgr. Mund të siguroheni që të gjitha certifikatat dhe CRL-të janë instaluar me komandën shfaqje cert_mgr.
Pasi të keni instaluar me sukses certifikatat, shkoni te tastiera e ngjashme me Cisco për të konfiguruar IPSec.
Ne krijojmë një politikë IKE që specifikon algoritmet dhe parametrat e dëshiruar të kanalit të sigurt që po krijohet, të cilat do t'i ofrohen partnerit për miratim.
Politika #kripto isakmp 1000
#encr gost341215k
#hash gost341112-512-tc26
#shenjë vërtetimi
#grupi vko2
#jete 3600
Kjo politikë zbatohet gjatë ndërtimit të fazës së parë të IPSec. Rezultati i përfundimit me sukses të fazës së parë është themelimi i SA (Security Association).
Më pas, ne duhet të përcaktojmë një listë të adresave IP të burimit dhe destinacionit (ACL) për kriptim, të gjenerojmë një grup transformimi, të krijojmë një hartë kriptografike (kriptohartë) dhe ta lidhim atë me ndërfaqen e jashtme të CS.
Cakto ACL:
#ip access-list site i zgjeruar1
#permit gre host 10.111.21.3 host 10.111.22.3
Një grup transformimesh (njëlloj si për fazën e parë, ne përdorim algoritmin e kriptimit "Grasshopper" duke përdorur modalitetin e gjenerimit të insertit të simulimit):
#kripto ipsec transform-set GOST esp-gost341215k-mac
Ne krijojmë një hartë kripto, specifikojmë ACL, transformojmë grupin dhe adresën e kolegëve:
#kripto hartë KRYESORE 100 ipsec-isakmp
#match adresa sajti1
#set transform-set GOST
#set peer 10.111.22.3
Ne e lidhim kriptokartën me ndërfaqen e jashtme të arkës:
#interface GigabitEthernet0/0
adresa #ip 10.111.21.3 255.255.255.0
#kriptoharta KRYESORE
Për të kriptuar kanalet me sajte të tjera, duhet të përsërisni procedurën për krijimin e një karte ACL dhe kripto, duke ndryshuar emrin ACL, adresat IP dhe numrin e kartës së kriptos.
Kushtoj vëmendje! Nëse verifikimi i certifikatës CRL nuk përdoret, kjo duhet të specifikohet në mënyrë eksplicite:
#crypto pki trustpoint s-terra_technological_trustpoint
#revokim-kontrollo asnjë
Në këtë pikë, konfigurimi mund të konsiderohet i përfunduar. Në daljen e komandës së konsolës së ngjashme me Cisco trego kripto isakmp sa и trego crypto ipsec sa Fazat e para dhe të dyta të ndërtuara të IPSec duhet të pasqyrohen. I njëjti informacion mund të merret duke përdorur komandën sa_mgr shfaqje, ekzekutuar nga guaska debian. Në daljen e komandës shfaqje cert_mgr Duhet të shfaqen certifikatat e faqes në distancë. Statusi i certifikatave të tilla do të jetë i largët. Nëse tunelet nuk po ndërtohen, duhet të shikoni regjistrin e shërbimit VPN, i cili ruhet në skedar /var/log/cspvpngate.log. Një listë e plotë e skedarëve të regjistrit me një përshkrim të përmbajtjes së tyre është në dispozicion në dokumentacion.
Monitorimi i "shëndetit" të sistemit
S-Terra CC përdor demonin standard snmpd për monitorim. Përveç parametrave tipikë të Linux-it, S-Terra mbështet lëshimin e të dhënave për tunelet IPSec në përputhje me CISCO-IPSEC-FLOW-MONITOR-MIB, që është ajo që ne përdorim kur monitorojmë statusin e tuneleve IPSec. Mbështetet gjithashtu funksionaliteti i OID-ve me porosi që nxjerrin rezultatet e ekzekutimit të skriptit si vlera. Kjo veçori na lejon të gjurmojmë datat e skadimit të certifikatës. Skripti i shkruar analizon daljen e komandës shfaqje cert_mgr dhe si rezultat jep numrin e ditëve deri në skadimin e certifikatave lokale dhe rrënjësore. Kjo teknikë është e domosdoshme kur administrohet një numër i madh CABG.
Cili është përfitimi i një kriptimi të tillë?
I gjithë funksionaliteti i përshkruar më sipër mbështetet jashtë kutisë nga S-Terra KSh. Kjo do të thotë, nuk kishte nevojë të instalohej ndonjë modul shtesë që mund të ndikonte në certifikimin e portave të kriptove dhe në certifikimin e të gjithë sistemit të informacionit. Mund të ketë çdo kanal ndërmjet sajteve, madje edhe nëpërmjet internetit.
Për shkak të faktit se kur ndryshon infrastruktura e brendshme, nuk ka nevojë të rikonfiguroni portat e kriptove, sistemi funksionon si shërbim, i cili është shumë i përshtatshëm për klientin: ai mund të vendosë shërbimet e tij (klient dhe server) në çdo adresë, dhe të gjitha ndryshimet do të transferohen në mënyrë dinamike midis pajisjeve të kriptimit.
Natyrisht, kriptimi për shkak të kostove të përgjithshme (të përgjithshme) ndikon në shpejtësinë e transferimit të të dhënave, por vetëm pak - xhiroja e kanalit mund të ulet me një maksimum prej 5-10%. Në të njëjtën kohë, teknologjia është testuar dhe ka treguar rezultate të mira edhe në kanalet satelitore, të cilat janë mjaft të paqëndrueshme dhe kanë bandwidth të ulët.
Igor Vinokhodov, inxhinier i linjës së dytë të administrimit të Rostelecom-Solar
Burimi: www.habr.com