ProHoster > Blog > Administrasi > Urang énkripsi nurutkeun GOST: pituduh pikeun nyetel routing lalulintas dinamis

Urang énkripsi nurutkeun GOST: pituduh pikeun nyetel routing lalulintas dinamis

Urang énkripsi nurutkeun GOST: pituduh pikeun nyetel routing lalulintas dinamis
Upami perusahaan anjeun ngirimkeun atanapi nampi data pribadi sareng inpormasi rahasia sanés dina jaringan anu tunduk kana panangtayungan saluyu sareng undang-undang, anjeun kedah nganggo énkripsi GOST. Dinten ieu kami bakal ngabejaan ka maneh kumaha urang nerapkeun enkripsi misalna dumasar kana S-Terra crypto gateway (CS) di salah sahiji konsumén. Carita ieu bakal dipikaresep ku spesialis kaamanan inpormasi, ogé insinyur, desainer sareng arsiték. Kami moal teuleum jero kana nuansa konfigurasi téknis dina tulisan ieu; kami bakal difokuskeun titik-titik konci tina setelan dasar. Dokuméntasi anu ageung pikeun nyetél daemon Linux OS, anu didasarkeun ku S-Terra CS, sayogi gratis dina Internét. Dokuméntasi pikeun nyetél proprietary software S-Terra ogé sadia umum dina portal éta produsén.

Sababaraha kecap ngeunaan proyék

Topologi jaringan palanggan éta standar - bolong pinuh antara pusat sareng cabang. Ieu diperlukeun pikeun ngenalkeun enkripsi saluran bursa informasi antara sakabéh situs, nu aya 8.

Biasana dina proyék sapertos sadayana statik: rute statik ka jaringan lokal situs disetél dina gerbang crypto (CGs), daptar alamat IP (ACL) pikeun énkripsi didaptarkeun. Nanging, dina hal ieu, situs-situs éta henteu gaduh kontrol terpusat, sareng naon waé tiasa kajantenan di jero jaringan lokalna: jaringan tiasa nambihan, ngahapus, sareng ngarobih dina sagala cara anu mungkin. Pikeun ngahindarkeun reconfiguring routing sareng ACL dina KS nalika ngarobih alamat jaringan lokal di situs, éta mutuskeun pikeun ngagunakeun GRE tunneling sareng OSPF routing dinamis, anu kalebet sadayana KS sareng seueur router dina tingkat inti jaringan dina situs ( di sababaraha situs, pangurus infrastruktur resep ngagunakeun SNAT nuju KS on routers kernel).

GRE tunneling ngamungkinkeun urang pikeun ngajawab dua masalah:
1. Paké alamat IP tina panganteur éksternal CS pikeun enkripsi di ACL, nu encapsulates sakabeh lalulintas dikirimkeun ka situs séjén.
2. Atur torowongan p-t-p antara CB, anu ngamungkinkeun anjeun nyetél rute dinamis (bisi kami, panyadia MPLS L3VPN diatur antara situs).

Klién maréntahkeun palaksanaan enkripsi salaku jasa. Upami teu kitu, anjeunna kedah henteu ngan ngajaga gateways crypto atanapi outsource aranjeunna ka sababaraha organisasi, tapi ogé sacara mandiri ngawas daur hirup sertipikat enkripsi, renew aranjeunna dina waktu tur masang nu anyar.
Urang énkripsi nurutkeun GOST: pituduh pikeun nyetel routing lalulintas dinamis
Tur ayeuna mémo sabenerna - kumaha jeung naon urang ngonpigurasi

Catetan kana subjék CII: nyetél gateway crypto

Setélan jaringan dasar

Anu mimiti, urang ngaluncurkeun CS énggal sareng asup kana konsol administrasi. Anjeun kudu mimitian ku ngarobah diwangun-di sandi administrator - paréntah ngarobah administrator sandi pamaké. Teras anjeun kedah ngalaksanakeun prosedur inisialisasi (command initialize) salila data lisénsi diasupkeun jeung sensor angka acak (RNS) ieu initialized.

Nengetan! Nalika S-Terra CC diinisialisasi, kabijakan kaamanan ditetepkeun dimana antarmuka gerbang kaamanan henteu ngijinkeun pakét ngaliwat. Anjeun kedah ngadamel kawijakan anjeun nyalira atanapi nganggo paréntah ngajalankeun csconf_mgr aktip ngaktipkeun kawijakan ngidinan tos siap.
Salajengna, anjeun kedah ngonpigurasikeun alamat antarmuka éksternal sareng internal, ogé rute standar. Éta leuwih hade pikeun digawekeun ku konfigurasi jaringan CS jeung ngonpigurasikeun enkripsi ngaliwatan konsol Cisco-kawas. konsol ieu dirancang pikeun ngasupkeun paréntah sarupa jeung paréntah Cisco ios. Konfigurasi dihasilkeun maké konsol Cisco-kawas ieu, kahareupna dirobah jadi file konfigurasi pakait jeung nu OS daemons jalan. Anjeun tiasa buka Cisco-kawas konsol ti konsol administrasi kalayan paréntah ngonpigurasikeun.

Robah kecap akses pikeun cscons pangguna anu diwangun sareng aktipkeun:

> ngaktipkeun
Sandi: csp (dipasang)
# ngonpigurasikeun terminal
#username cscons privilege 15 rusiah 0 #ngaktipkeun rusiah 0 Nyetel konfigurasi jaringan dasar:

#interface GigabitEthernet0/0
# Alamat IP 10.111.21.3 255.255.255.0
#teu aya shutdown
#interface GigabitEthernet0/1
# Alamat IP 192.168.2.5 255.255.255.252
#teu aya shutdown
#ip route 0.0.0.0 0.0.0.0 10.111.21.254

GRE

Kaluar tina konsol Cisco-kawas tur buka cangkang debian kalawan paréntah sistim. Atur sandi anjeun sorangan pikeun pamaké akar tim passwd.
Di unggal kamar kontrol, torowongan anu misah dikonpigurasi pikeun unggal situs. Antarmuka torowongan dikonpigurasi dina file / jsb / jaringan / panganteur. Utilitas torowongan IP, kalebet dina set iproute2 anu tos dipasang, tanggung jawab pikeun nyiptakeun antarmuka sorangan. Paréntah nyiptakeun panganteur ditulis kana pilihan pre-up.

Conto konfigurasi antarmuka torowongan has:
situs otomatis1
iface site1 inet statik
alamat 192.168.1.4
netmask 255.255.255.254
torowongan ip pre-up nambahkeun site1 mode gre lokal 10.111.21.3 jauh 10.111.22.3 konci hfLYEg^vCh6p

Nengetan! Ieu kudu dicatet yén setélan pikeun interfaces torowongan kudu ayana di luar bagian

###netifcfg-mimiti####
*****
##netifcfg-tungtung###

Upami teu kitu, setelan ieu bakal overwritten nalika ngarobah setelan jaringan tina interfaces fisik ngaliwatan konsol Cisco-kawas.

Routing dinamis

Dina S-Terra, routing dinamis dilaksanakeun ngagunakeun pakét software Quagga. Pikeun ngonpigurasikeun OSPF urang kudu ngaktipkeun jeung ngonpigurasikeun daemons zebra и ospfd. Daemon zebra tanggung jawab pikeun komunikasi antara daemon routing sareng OS. Daemon ospfd, sakumaha ngaranna nunjukkeun, tanggung jawab pikeun nerapkeun protokol OSPF.
OSPF geus ngonpigurasi boh ngaliwatan konsol daemon atawa langsung ngaliwatan file konfigurasi /etc/quagga/ospfd.conf. Kabéh interfaces fisik sarta torowongan milu dina routing dinamis ditambahkeun kana file, sarta jaringan anu bakal diémbarkeun sarta narima announcements ogé dinyatakeun.

Conto konfigurasi nu kudu ditambahkeun kana ospfd.conf:
panganteur eth0
!
panganteur eth1
!
situs panganteur1
!
situs panganteur2
router ospf
ospf router-id 192.168.2.21
jaringan 192.168.1.4/31 wewengkon 0.0.0.0
jaringan 192.168.1.16/31 wewengkon 0.0.0.0
jaringan 192.168.2.4/30 wewengkon 0.0.0.0

Dina hal ieu, alamat 192.168.1.x/31 ditangtayungan pikeun jaringan ptp torowongan antara situs, alamat 192.168.2.x/30 disadiakeun pikeun jaringan transit antara CS jeung routers kernel.

Nengetan! Pikeun ngurangan tabel routing dina pamasangan badag, anjeun tiasa nyaring pengumuman tina jaringan transit sorangan ngagunakeun constructs. euweuh redistribute disambungkeun atawa redistribute disambungkeun rute-peta.

Saatos ngonpigurasikeun daemons, anjeun kedah ngarobih status ngamimitian daemon di /etc/quagga/daemons. Dina pilihan zebra и ospfd euweuh robah jadi enya. Mimitian daemon quagga sareng setel ka autorun nalika anjeun ngamimitian paréntah KS update-rc.d quagga ngaktipkeun.

Upami konfigurasi torowongan GRE sareng OSPF dilakukeun leres, maka rute dina jaringan situs sanés kedah muncul dina KSh sareng router inti sareng, ku kituna, konektipitas jaringan antara jaringan lokal timbul.

Urang encrypt lalulintas dikirimkeun

Sakumaha anu parantos diserat, biasana nalika énkripsi antara situs, urang netepkeun kisaran alamat IP (ACL) antara anu lalu lintas énkripsi: upami alamat sumber sareng tujuan digolongkeun dina rentang ieu, maka lalu lintas di antara aranjeunna énkripsi. Nanging, dina proyék ieu strukturna dinamis sareng alamatna tiasa robih. Kusabab urang geus ngonpigurasi GRE tunneling, urang bisa nangtukeun alamat KS éksternal salaku sumber jeung tujuan alamat pikeun encrypting lalulintas - sanggeus kabeh, lalulintas anu geus encapsulated ku protokol GRE datang pikeun enkripsi. Dina basa sejen, sagalana nu asup kana CS ti jaringan lokal hiji situs nuju jaringan nu geus diumumkeun ku situs séjén énkripsi. Sareng dina unggal situs tiasa waé alihan tiasa dilakukeun. Janten, upami aya parobihan dina jaringan lokal, administrator ngan ukur kedah ngarobih pengumuman anu asalna tina jaringanna nuju jaringan, sareng éta bakal sayogi ka situs sanés.

Énkripsi dina S-Terra CS dilaksanakeun nganggo protokol IPSec. Kami nganggo algoritma "Grasshopper" saluyu sareng GOST R 34.12-2015, sareng pikeun kasaluyuan sareng versi anu langkung lami anjeun tiasa nganggo GOST 28147-89. Auténtikasi sacara téknis tiasa dilakukeun dina konci anu tos disetel (PSK) sareng sertipikat. Nanging, dina operasi industri kedah nganggo sertipikat anu dikaluarkeun saluyu sareng GOST R 34.10-2012.

Gawe sareng sertipikat, wadah sareng CRL parantos dilakukeun nganggo utilitas cert_mgr. Anu mimiti, ngagunakeun paréntah cert_mgr nyieun perlu pikeun ngahasilkeun wadahna konci swasta sarta pamundut sertipikat, nu bakal dikirim ka Center Manajemén bijil. Saatos nampi sertipikat, éta kedah diimpor sareng sertipikat CA akar sareng CRL (upami dianggo) kalayan paréntah cert_mgr impor. Anjeun tiasa mastikeun yén sadaya sertipikat sareng CRL dipasang nganggo paréntah cert_mgr acara.

Saatos suksés masang sertipikat, angkat ka konsol sapertos Cisco pikeun ngonpigurasikeun IPSec.
Urang nyieun kawijakan IKE nu nangtukeun algoritma nu dipikahoyong tur parameter tina saluran aman keur dijieun, nu bakal ditawarkeun ka pasangan pikeun persetujuan.

#crypto isakmp kawijakan 1000
#encr gost341215k
#hash gost341112-512-tc26
# tanda auténtikasi
#grup vko2
#hirupna 3600

Kawijakan ieu diterapkeun nalika ngawangun fase kahiji IPSec. Hasil parantosan suksés fase kahiji nyaéta ngadegna SA (Asosiasi Kaamanan).
Salajengna, urang kedah netepkeun daptar sumber sareng alamat IP tujuan (ACL) pikeun enkripsi, ngahasilkeun set transformasi, ngadamel peta kriptografi (peta crypto) sareng ngabeungkeut kana antarmuka éksternal CS.

Setel ACL:
#ip aksés-daftar situs diperpanjang1
#permit gre host 10.111.21.3 host 10.111.22.3

Sakumpulan transformasi (sarua sareng fase kahiji, kami nganggo algoritma enkripsi "Grasshopper" nganggo mode generasi sisipan simulasi):

#crypto ipsec transform-set GOST esp-gost341215k-mac

Urang nyieun peta crypto, tangtukeun ACL, ngarobah susunan jeung alamat peer:

#crypto peta UTAMA 100 ipsec-isakmp
#cocog alamat situs1
#set transformasi-set GOST
# Nyetél peer 10.111.22.3

Kami meungkeut kartu crypto kana antarmuka éksternal kasir:

#interface GigabitEthernet0/0
# Alamat IP 10.111.21.3 255.255.255.0
#crypto map UTAMA

Pikeun énkripsi saluran sareng situs sanés, anjeun kedah ngulang prosedur pikeun nyiptakeun kartu ACL sareng crypto, ngarobih nami ACL, alamat IP sareng nomer kartu crypto.

Nengetan! Upami verifikasi sertipikat ku CRL henteu dianggo, ieu kedah dijelaskeun sacara eksplisit:

#crypto pki trustpoint s-terra_technological_trustpoint
#panyabutan-pariksa euweuh

Dina titik ieu, setelan tiasa dianggap lengkep. Dina kaluaran paréntah konsol Cisco-kawas némbongkeun crypto isakmp sa и némbongkeun crypto ipsec sa Fase kahiji sareng kadua IPSec anu diwangun kedah ditingali. Inpormasi anu sami tiasa didapet nganggo paréntah sa_mgr acara, dieksekusi tina cangkang debian. Dina kaluaran paréntah cert_mgr acara Sertipikat situs jauh kedah muncul. Status sertipikat sapertos kitu bakal kapencil. Upami torowongan teu diwangun, anjeun kedah ningali log jasa VPN, anu disimpen dina file /var/log/cspvpngate.log. Daptar lengkep file log sareng pedaran eusina sayogi dina dokuméntasi.

Ngawaskeun "kaséhatan" sistem

S-Terra CC nganggo daemon snmpd standar pikeun ngawaskeun. Salian parameter Linux anu khas, out of the box S-Terra ngadukung ngaluarkeun data ngeunaan torowongan IPSec saluyu sareng CISCO-IPSEC-FLOW-MONITOR-MIB, anu kami anggo nalika ngawaskeun status torowongan IPSec. Fungsionalitas OIDs khusus anu ngahasilkeun hasil palaksanaan naskah salaku nilai ogé dirojong. Fitur ieu ngamungkinkeun urang pikeun ngalacak tanggal béakna sertipikat. Skrip ditulis parses kaluaran paréntah cert_mgr acara sareng salaku hasilna masihan jumlah dinten dugi ka sertipikat lokal sareng akar tamat. Téhnik ieu penting pisan nalika ngokolakeun sajumlah CABG.
Urang énkripsi nurutkeun GOST: pituduh pikeun nyetel routing lalulintas dinamis

Naon mangpaatna énkripsi sapertos kitu?

Sadaya pungsionalitas anu dijelaskeun di luhur dirojong out of the box ku S-Terra KSh. Nyaéta, teu kedah masang modul tambahan anu tiasa mangaruhan sertifikasi gateway crypto sareng sertifikasi sadaya sistem inpormasi. Aya tiasa saluran naon waé antara situs, bahkan ngalangkungan Internét.

Kusabab kanyataan yén nalika infrastruktur internal robih, henteu kedah ngonpigurasikeun deui gerbang crypto, sistem jalan salaku jasa, nu pohara merenah pikeun nasabah: anjeunna tiasa nempatkeun jasa na (klien jeung server) dina sagala alamat, sarta sagala parobahan bakal dinamis ditransfer antara parabot enkripsi.

Tangtu, énkripsi alatan waragad overhead (overhead) mangaruhan laju mindahkeun data, tapi ngan saeutik - throughput channel bisa ngurangan ku maksimum 5-10%. Dina waktos anu sami, téknologi parantos diuji sareng nunjukkeun hasil anu saé bahkan dina saluran satelit, anu rada teu stabil sareng bandwidth anu rendah.

Igor Vinokhodov, insinyur tina garis 2nd administrasi Rostelecom-Solar

sumber: www.habr.com

Tambahkeun komentar