Ikiwa kampuni yako inasambaza au kupokea data ya kibinafsi na taarifa nyingine za siri kwenye mtandao ambazo ziko chini ya ulinzi kwa mujibu wa sheria, inahitajika kutumia usimbaji fiche wa GOST. Leo tutakuambia jinsi tulivyotekeleza usimbaji fiche kama huo kulingana na lango la S-Terra crypto (CS) kwa mmoja wa wateja. Hadithi hii itakuwa ya manufaa kwa wataalamu wa usalama wa habari, pamoja na wahandisi, wabunifu na wasanifu. Hatutazama kwa undani katika nuances ya usanidi wa kiufundi katika chapisho hili; tutazingatia vidokezo muhimu vya usanidi wa kimsingi. Idadi kubwa ya hati juu ya kusanidi daemoni za Linux OS, ambayo S-Terra CS inategemea, zinapatikana kwa uhuru kwenye Mtandao. Hati za kusanidi programu inayomilikiwa na S-Terra pia zinapatikana kwa umma mtengenezaji.
Maneno machache kuhusu mradi huo
Topolojia ya mtandao wa mteja ilikuwa ya kawaida - mesh kamili kati ya kituo na matawi. Ilihitajika kuanzisha usimbuaji wa njia za kubadilishana habari kati ya tovuti zote, ambazo zilikuwa 8.
Kawaida katika miradi kama hiyo kila kitu ni static: njia za tuli kwa mtandao wa ndani wa tovuti zimewekwa kwenye milango ya crypto (CGs), orodha za anwani za IP (ACLs) za encryption zimesajiliwa. Hata hivyo, katika kesi hii, tovuti hazina udhibiti wa kati, na chochote kinaweza kutokea ndani ya mitandao yao ya ndani: mitandao inaweza kuongezwa, kufutwa, na kurekebishwa kwa kila njia iwezekanavyo. Ili kuzuia kusanidi upya uelekezaji na ACL kwenye KS wakati wa kubadilisha anwani za mitandao ya ndani kwenye tovuti, iliamuliwa kutumia njia ya GRE na uelekezaji wa nguvu wa OSPF, ambayo inajumuisha KS zote na ruta nyingi kwenye kiwango cha msingi cha mtandao kwenye tovuti. katika baadhi ya tovuti, wasimamizi wa miundombinu walipendelea kutumia SNAT kuelekea KS kwenye vipanga njia vya kernel).
Ufungaji wa GRE ulituruhusu kutatua shida mbili:
1. Tumia anwani ya IP ya kiolesura cha nje cha CS kwa usimbaji fiche katika ACL, ambayo hujumuisha trafiki yote inayotumwa kwa tovuti zingine.
2. Panga vichuguu vya ppt kati ya CSs, vinavyokuruhusu kusanidi uelekezaji unaobadilika (kwa upande wetu, MPLS L3VPN ya mtoa huduma imepangwa kati ya tovuti).
Mteja aliamuru utekelezaji wa usimbaji fiche kama huduma. Vinginevyo, hangelazimika kudumisha lango la crypto tu au kuzitoa kwa shirika fulani, lakini pia kufuatilia kwa uhuru mzunguko wa maisha ya cheti cha usimbaji fiche, kuzisasisha kwa wakati na kusanikisha mpya.
Na sasa memo halisi - jinsi na nini sisi kuanzisha
Kumbuka kwa somo la CII: kuanzisha lango la crypto
Mpangilio wa msingi wa mtandao
Kwanza kabisa, tunazindua CS mpya na kuingia kwenye console ya utawala. Unapaswa kuanza kwa kubadilisha nenosiri la msimamizi lililojengwa - amri badilisha msimamizi wa nenosiri la mtumiaji. Kisha unahitaji kutekeleza utaratibu wa uanzishaji (amri initialize) wakati ambapo data ya leseni inaingizwa na sensor ya nambari ya nasibu (RNS) imeanzishwa.
Makini! S-Terra CC inapoanzishwa, sera ya usalama inaanzishwa ambapo miingiliano ya lango la usalama hairuhusu pakiti kupita. Lazima uunde sera yako mwenyewe au utumie amri endesha csconf_mgr kuamilisha wezesha sera ya kuruhusu iliyofafanuliwa awali.
Ifuatayo, unahitaji kusanidi anwani ya miingiliano ya nje na ya ndani, pamoja na njia ya msingi. Ni vyema kufanya kazi na usanidi wa mtandao wa CS na kusanidi usimbaji fiche kupitia koni inayofanana na Cisco. Console hii imeundwa kuingiza amri zinazofanana na amri za Cisco IOS. Usanidi unaozalishwa kwa kutumia kiweko kama cha Cisco, kwa upande wake, hubadilishwa kuwa faili za usanidi zinazolingana ambazo daemons za OS hufanya kazi nazo. Unaweza kwenda kwa koni kama ya Cisco kutoka kwa kiweko cha usimamizi kwa amri configure.
Badilisha manenosiri ya cscons za mtumiaji zilizojengewa ndani na uwashe:
> kuwezesha
Nenosiri: csp (imesakinishwa awali)
# Sanidi terminal
#jina la mtumiaji fursa ya cscons 15 siri 0 #wezesha siri 0 Kuweka usanidi msingi wa mtandao:
#interface GigabitEthernet0/0
#anwani ya ip 10.111.21.3 255.255.255.0
#hakuna kuzima
#interface GigabitEthernet0/1
#anwani ya ip 192.168.2.5 255.255.255.252
#hakuna kuzima
#ip njia 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Toka kwenye koni kama ya Cisco na uende kwenye ganda la debian kwa amri mfumo. Weka nenosiri lako mwenyewe kwa mtumiaji mizizi timu passwd.
Katika kila chumba cha kudhibiti, handaki tofauti imeundwa kwa kila tovuti. Kiolesura cha handaki kimesanidiwa kwenye faili / nk / mtandao / interfaces. Huduma ya IP ya handaki, iliyojumuishwa katika seti ya iproute2 iliyosakinishwa awali, inawajibika kuunda kiolesura chenyewe. Amri ya kuunda kiolesura imeandikwa katika chaguo la awali.
Mfano wa usanidi wa kiolesura cha kawaida cha handaki:
tovuti ya auto1
iface site1 inet tuli
anwani 192.168.1.4
netmask 255.255.255.254
kichuguu cha awali cha ip ongeza hali ya tovuti1 gre ya ndani 10.111.21.3 kidhibiti cha mbali 10.111.22.3 ufunguo hfLYEg^vCh6p
Makini! Ikumbukwe kwamba mipangilio ya miingiliano ya handaki lazima iwe iko nje ya sehemu
###netifcfg-anza###
*****
###netifcfg-end###
Vinginevyo, mipangilio hii itafutwa wakati wa kubadilisha mipangilio ya mtandao ya violesura halisi kupitia kiweko kama Cisco.
Uelekezaji wa nguvu
Katika S-Terra, uelekezaji wa nguvu unatekelezwa kwa kutumia kifurushi cha programu cha Quagga. Ili kusanidi OSPF tunahitaji kuwezesha na kusanidi daemoni pundamilia ΠΈ ospfd. Daemon ya pundamilia inawajibika kwa mawasiliano kati ya daemoni zinazoelekeza na Mfumo wa Uendeshaji. Daemon ya ospfd, kama jina linavyopendekeza, inawajibika kutekeleza itifaki ya OSPF.
OSPF imesanidiwa ama kupitia koni ya daemon au moja kwa moja kupitia faili ya usanidi /etc/quagga/ospfd.conf. Miingiliano yote ya kimwili na ya mifereji inayoshiriki katika uelekezaji unaobadilika huongezwa kwenye faili, na mitandao ambayo itatangazwa na kupokea matangazo pia hutangazwa.
Mfano wa usanidi ambao unahitaji kuongezwa ospfd.conf:
interface eth0
!
interface eth1
!
tovuti ya interface1
!
tovuti ya interface2
router ospf
ospf router-id 192.168.2.21
mtandao 192.168.1.4/31 eneo 0.0.0.0
mtandao 192.168.1.16/31 eneo 0.0.0.0
mtandao 192.168.2.4/30 eneo 0.0.0.0
Katika hali hii, anwani 192.168.1.x/31 zimehifadhiwa kwa mitandao ya ptp ya handaki kati ya tovuti, anwani 192.168.2.x/30 zimetengwa kwa mitandao ya usafiri kati ya CS na vipanga njia vya kernel.
Makini! Ili kupunguza jedwali la uelekezaji katika usakinishaji mkubwa, unaweza kuchuja tangazo la mitandao ya usafiri yenyewe kwa kutumia miundo. hakuna ugawaji upya uliounganishwa au sambaza upya ramani ya njia iliyounganishwa.
Baada ya kusanidi damoni, unahitaji kubadilisha hali ya kuanza kwa damoni /etc/quagga/daemons. Katika chaguzi pundamilia ΠΈ ospfd hakuna mabadiliko ya ndiyo. Anzisha daemon ya quagga na uiweke kwa autorun unapoanzisha amri ya KS update-rc.d quagga wezesha.
Ikiwa usanidi wa vichuguu vya GRE na OSPF unafanywa kwa usahihi, basi njia katika mtandao wa tovuti nyingine zinapaswa kuonekana kwenye KSh na ruta za msingi na, hivyo, uunganisho wa mtandao kati ya mitandao ya ndani hutokea.
Tunasimba trafiki inayopitishwa kwa njia fiche
Kama ilivyoandikwa tayari, kwa kawaida wakati wa kusimba kati ya tovuti, tunabainisha safu za anwani za IP (ACLs) kati ya ambayo trafiki imesimbwa: ikiwa anwani za chanzo na lengwa ziko ndani ya safu hizi, basi trafiki kati yao imesimbwa. Hata hivyo, katika mradi huu muundo ni wa nguvu na anwani zinaweza kubadilika. Kwa kuwa tayari tumesanidi kichuguu cha GRE, tunaweza kubainisha anwani za KS za nje kama chanzo na anwani za kulengwa kwa usimbaji wa trafiki - baada ya yote, trafiki ambayo tayari imeambatanishwa na itifaki ya GRE hufika kwa usimbaji fiche. Kwa maneno mengine, kila kitu kinachoingia kwenye CS kutoka kwa mtandao wa ndani wa tovuti moja kuelekea mitandao ambayo imetangazwa na tovuti nyingine imesimbwa kwa njia fiche. Na ndani ya kila tovuti uelekeo wowote unaweza kufanywa. Kwa hivyo, ikiwa kuna mabadiliko yoyote katika mitandao ya ndani, msimamizi anahitaji tu kurekebisha matangazo kutoka kwa mtandao wake kuelekea mtandao, na itapatikana kwa tovuti zingine.
Usimbaji fiche katika S-Terra CS unafanywa kwa kutumia itifaki ya IPSec. Tunatumia algorithm ya "Grasshopper" kwa mujibu wa GOST R 34.12-2015, na kwa utangamano na matoleo ya zamani unaweza kutumia GOST 28147-89. Uthibitishaji unaweza kufanywa kiufundi kwa vitufe vilivyoainishwa awali (PSK) na vyeti. Hata hivyo, katika uendeshaji wa viwanda ni muhimu kutumia vyeti iliyotolewa kwa mujibu wa GOST R 34.10-2012.
Kufanya kazi na vyeti, vyombo na CRLs hufanywa kwa kutumia matumizi cert_mgr. Kwanza kabisa, kwa kutumia amri cert_mgr kuunda ni muhimu kuzalisha chombo muhimu cha kibinafsi na ombi la cheti, ambalo litatumwa kwa Kituo cha Usimamizi wa Cheti. Baada ya kupokea cheti, lazima iingizwe pamoja na cheti cha CA cha mizizi na CRL (ikiwa inatumiwa) na amri cert_mgr kuagiza. Unaweza kuhakikisha kuwa vyeti na CRL zote zimesakinishwa kwa amri cert_mgr onyesho.
Baada ya kusakinisha vyeti kwa ufanisi, nenda kwenye kiweko kama cha Cisco ili kusanidi IPSec.
Tunaunda sera ya IKE inayobainisha kanuni na vigezo vinavyohitajika vya kituo salama kinachoundwa, ambacho kitatolewa kwa mshirika ili aidhinishwe.
Sera ya #crypto isakmp 1000
#ingiza gost341215k
#hash gost341112-512-tc26
#alama ya uthibitishaji
#kikundi vko2
#maisha 3600
Sera hii inatumika wakati wa kuunda awamu ya kwanza ya IPSec. Matokeo ya kukamilika kwa mafanikio ya awamu ya kwanza ni kuanzishwa kwa SA (Chama cha Usalama).
Ifuatayo, tunahitaji kufafanua orodha ya chanzo na anwani za IP (ACL) kwa usimbaji fiche, toa seti ya kubadilisha, unda ramani ya kriptografia (ramani ya crypto) na uifunge kwa kiolesura cha nje cha CS.
Weka ACL:
#ip ufikiaji-orodha tovuti iliyopanuliwa1
#permit gre host 10.111.21.3 mwenyeji 10.111.22.3
Seti ya mabadiliko (sawa na awamu ya kwanza, tunatumia algoriti ya usimbaji fiche ya "Panzi" kwa kutumia modi ya uzalishaji wa kuiga):
#crypto ipsec kubadilisha-set GOST esp-gost341215k-mac
Tunaunda ramani ya crypto, taja ACL, badilisha seti na anwani ya rika:
#crypto map MAIN 100 ipsec-isakmp
#match anwani tovuti1
#weka badilisha-weka GOST
#weka rika 10.111.22.3
Tunafunga kadi ya crypto kwenye kiolesura cha nje cha rejista ya pesa:
#interface GigabitEthernet0/0
#anwani ya ip 10.111.21.3 255.255.255.0
#crypto ramani MAIN
Ili kusimba chaneli na tovuti zingine, lazima urudia utaratibu wa kuunda ACL na kadi ya crypto, kubadilisha jina la ACL, anwani za IP na nambari ya kadi ya crypto.
Makini! Ikiwa uthibitishaji wa cheti na CRL hautumiki, hii lazima ibainishwe wazi:
#crypto pki trustpoint s-terra_technological_trustpoint
#kubatilisha-usiangalie hata moja
Katika hatua hii, usanidi unaweza kuchukuliwa kuwa kamili. Katika pato la amri ya kiweko cha Cisco onyesha crypto isakmp sa ΠΈ onyesha crypto ipsec sa Awamu ya kwanza na ya pili iliyojengwa ya IPSec inapaswa kuonyeshwa. Taarifa sawa inaweza kupatikana kwa kutumia amri sa_mgr show, iliyotekelezwa kutoka kwa ganda la debian. Katika pato la amri cert_mgr onyesho Vyeti vya tovuti ya mbali vinapaswa kuonekana. Hali ya vyeti hivyo itakuwa kijijini. Ikiwa vichuguu hazijajengwa, unahitaji kutazama logi ya huduma ya VPN, ambayo imehifadhiwa kwenye faili /var/log/cspvpngate.log. Orodha kamili ya faili za kumbukumbu na maelezo ya yaliyomo inapatikana katika nyaraka.
Kufuatilia "afya" ya mfumo
S-Terra CC hutumia daemon ya kawaida ya snmpd kwa ufuatiliaji. Kando na vigezo vya kawaida vya Linux, nje ya kisanduku S-Terra inasaidia kutoa data kuhusu vichuguu vya IPSec kwa mujibu wa CISCO-IPSEC-FLOW-MONITOR-MIB, ambayo ndiyo tunayotumia tunapofuatilia hali ya vichuguu vya IPSec. Utendakazi wa OID maalum zinazotoa matokeo ya utekelezaji wa hati kama maadili pia unatumika. Kipengele hiki huturuhusu kufuatilia tarehe za mwisho wa matumizi ya cheti. Hati iliyoandikwa huchanganua pato la amri cert_mgr onyesho na matokeo yake inatoa idadi ya siku hadi vyeti vya ndani na mizizi kuisha. Mbinu hii ni ya lazima wakati wa kusimamia idadi kubwa ya CABGs.
Je, ni faida gani ya usimbaji fiche kama huo?
Utendaji wote ulioelezwa hapo juu unatumika nje ya kisanduku na S-Terra KSh. Hiyo ni, hapakuwa na haja ya kufunga modules yoyote ya ziada ambayo inaweza kuathiri vyeti vya milango ya crypto na uthibitisho wa mfumo mzima wa habari. Kunaweza kuwa na njia zozote kati ya tovuti, hata kupitia mtandao.
Kwa sababu ya ukweli kwamba wakati miundombinu ya ndani inabadilika, hakuna haja ya kurekebisha malango ya crypto, mfumo hufanya kazi kama huduma, ambayo ni rahisi sana kwa mteja: anaweza kuweka huduma zake (mteja na seva) kwenye anwani yoyote, na mabadiliko yote yatahamishwa kwa nguvu kati ya vifaa vya encryption.
Bila shaka, usimbaji fiche kutokana na gharama za uendeshaji (overhead) huathiri kasi ya uhamisho wa data, lakini kidogo tu - upitishaji wa kituo unaweza kupungua kwa kiwango cha juu cha 5-10%. Wakati huo huo, teknolojia imejaribiwa na kuonyeshwa matokeo mazuri hata kwenye njia za satelaiti, ambazo hazina utulivu kabisa na zina bandwidth ya chini.
Igor Vinokhodov, mhandisi wa mstari wa 2 wa utawala wa Rostelecom-Solar
Chanzo: mapenzi.com