ప్రోహోస్టర్ > బ్లాగ్ > పరిపాలన > మేము GOST ప్రకారం గుప్తీకరిస్తాము: డైనమిక్ ట్రాఫిక్ రూటింగ్‌ని సెటప్ చేయడానికి ఒక గైడ్

మేము GOST ప్రకారం గుప్తీకరిస్తాము: డైనమిక్ ట్రాఫిక్ రూటింగ్‌ని సెటప్ చేయడానికి ఒక గైడ్

మేము GOST ప్రకారం గుప్తీకరిస్తాము: డైనమిక్ ట్రాఫిక్ రూటింగ్‌ని సెటప్ చేయడానికి ఒక గైడ్
మీ కంపెనీ వ్యక్తిగత డేటా మరియు ఇతర రహస్య సమాచారాన్ని నెట్‌వర్క్ ద్వారా ప్రసారం చేస్తే లేదా స్వీకరించినట్లయితే, అది చట్టం ప్రకారం రక్షణకు లోబడి ఉంటుంది, అది GOST గుప్తీకరణను ఉపయోగించడం అవసరం. కస్టమర్‌లలో ఒకరి వద్ద S-Terra క్రిప్టో గేట్‌వే (CS) ఆధారంగా అటువంటి ఎన్‌క్రిప్షన్‌ని మేము ఎలా అమలు చేసామో ఈరోజు మేము మీకు తెలియజేస్తాము. ఈ కథనం సమాచార భద్రతా నిపుణులతో పాటు ఇంజనీర్లు, డిజైనర్లు మరియు ఆర్కిటెక్ట్‌లకు ఆసక్తిని కలిగిస్తుంది. మేము ఈ పోస్ట్‌లోని సాంకేతిక కాన్ఫిగరేషన్ యొక్క సూక్ష్మ నైపుణ్యాలను లోతుగా డైవ్ చేయము; మేము ప్రాథమిక సెటప్ యొక్క ముఖ్య అంశాలపై దృష్టి పెడతాము. S-Terra CS ఆధారితమైన Linux OS డెమోన్‌లను సెటప్ చేయడంపై డాక్యుమెంటేషన్ యొక్క భారీ వాల్యూమ్‌లు ఇంటర్నెట్‌లో ఉచితంగా అందుబాటులో ఉన్నాయి. యాజమాన్య S-Terra సాఫ్ట్‌వేర్‌ను సెటప్ చేయడానికి డాక్యుమెంటేషన్ కూడా పబ్లిక్‌గా అందుబాటులో ఉంది పోర్టల్ తయారీదారు.

ప్రాజెక్ట్ గురించి కొన్ని మాటలు

కస్టమర్ యొక్క నెట్‌వర్క్ టోపోలాజీ ప్రామాణికమైనది - కేంద్రం మరియు శాఖల మధ్య పూర్తి మెష్. అన్ని సైట్‌ల మధ్య సమాచార మార్పిడి ఛానెల్‌ల ఎన్‌క్రిప్షన్‌ను ప్రవేశపెట్టడం అవసరం, వాటిలో 8 ఉన్నాయి.

సాధారణంగా ఇటువంటి ప్రాజెక్ట్‌లలో ప్రతిదీ స్థిరంగా ఉంటుంది: సైట్ యొక్క స్థానిక నెట్‌వర్క్‌కు స్టాటిక్ మార్గాలు క్రిప్టో గేట్‌వేలలో (CGలు) సెట్ చేయబడతాయి, ఎన్‌క్రిప్షన్ కోసం IP చిరునామాల (ACLలు) జాబితాలు నమోదు చేయబడ్డాయి. అయితే, ఈ సందర్భంలో, సైట్‌లు కేంద్రీకృత నియంత్రణను కలిగి ఉండవు మరియు వాటి స్థానిక నెట్‌వర్క్‌లలో ఏదైనా జరగవచ్చు: నెట్‌వర్క్‌లు సాధ్యమయ్యే ప్రతి విధంగా జోడించబడతాయి, తొలగించబడతాయి మరియు సవరించబడతాయి. సైట్‌లలో స్థానిక నెట్‌వర్క్‌ల చిరునామాను మార్చేటప్పుడు KSలో రూటింగ్ మరియు ACLని రీకాన్ఫిగర్ చేయడాన్ని నివారించడానికి, GRE టన్నెలింగ్ మరియు OSPF డైనమిక్ రూటింగ్‌లను ఉపయోగించాలని నిర్ణయించబడింది, ఇందులో అన్ని KS మరియు సైట్‌లలోని నెట్‌వర్క్ కోర్ స్థాయిలో చాలా రౌటర్లు ఉంటాయి ( కొన్ని సైట్‌లలో, మౌలిక సదుపాయాల నిర్వాహకులు కెర్నల్ రూటర్‌లలో KS వైపు SNATని ఉపయోగించడాన్ని ఇష్టపడతారు).

GRE టన్నెలింగ్ మాకు రెండు సమస్యలను పరిష్కరించడానికి అనుమతించింది:
1. ACLలో ఎన్‌క్రిప్షన్ కోసం CS యొక్క బాహ్య ఇంటర్‌ఫేస్ యొక్క IP చిరునామాను ఉపయోగించండి, ఇది ఇతర సైట్‌లకు పంపబడిన మొత్తం ట్రాఫిక్‌ను కలుపుతుంది.
2. CSల మధ్య ptp టన్నెల్‌లను నిర్వహించండి, ఇది డైనమిక్ రూటింగ్‌ను కాన్ఫిగర్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది (మా విషయంలో, ప్రొవైడర్ యొక్క MPLS L3VPN సైట్‌ల మధ్య నిర్వహించబడుతుంది).

క్లయింట్ ఎన్‌క్రిప్షన్‌ను సేవగా అమలు చేయమని ఆదేశించింది. లేకపోతే, అతను క్రిప్టో గేట్‌వేలను నిర్వహించడం లేదా వాటిని ఏదైనా సంస్థకు అవుట్‌సోర్స్ చేయడం మాత్రమే కాకుండా, ఎన్‌క్రిప్షన్ సర్టిఫికేట్‌ల జీవిత చక్రాన్ని స్వతంత్రంగా పర్యవేక్షించడం, సమయానికి వాటిని పునరుద్ధరించడం మరియు కొత్త వాటిని ఇన్‌స్టాల్ చేయడం.
మేము GOST ప్రకారం గుప్తీకరిస్తాము: డైనమిక్ ట్రాఫిక్ రూటింగ్‌ని సెటప్ చేయడానికి ఒక గైడ్
మరియు ఇప్పుడు అసలు మెమో - మేము ఎలా మరియు ఏమి కాన్ఫిగర్ చేసాము

CII సబ్జెక్ట్‌కి గమనిక: క్రిప్టో గేట్‌వేని సెటప్ చేయడం

ప్రాథమిక నెట్‌వర్క్ సెటప్

అన్నింటిలో మొదటిది, మేము కొత్త CSను ప్రారంభించాము మరియు అడ్మినిస్ట్రేషన్ కన్సోల్‌లోకి ప్రవేశిస్తాము. మీరు అంతర్నిర్మిత అడ్మినిస్ట్రేటర్ పాస్వర్డ్ను మార్చడం ద్వారా ప్రారంభించాలి - కమాండ్ వినియోగదారు పాస్‌వర్డ్ నిర్వాహకుడిని మార్చండి. అప్పుడు మీరు ప్రారంభ ప్రక్రియను నిర్వహించాలి (కమాండ్ ప్రారంభించడం) లైసెన్స్ డేటా నమోదు చేయబడుతుంది మరియు యాదృచ్ఛిక సంఖ్య సెన్సార్ (RNS) ప్రారంభించబడుతుంది.

శ్రద్ధ చెల్లించండి! S-Terra CC ప్రారంభించబడినప్పుడు, భద్రతా గేట్‌వే ఇంటర్‌ఫేస్‌లు ప్యాకెట్‌లను అనుమతించని భద్రతా విధానం ఏర్పాటు చేయబడింది. మీరు మీ స్వంత విధానాన్ని రూపొందించాలి లేదా ఆదేశాన్ని ఉపయోగించాలి csconf_mgr యాక్టివేట్‌ని అమలు చేయండి ముందుగా నిర్వచించిన అనుమతించే విధానాన్ని సక్రియం చేయండి.
తరువాత, మీరు బాహ్య మరియు అంతర్గత ఇంటర్‌ఫేస్‌ల చిరునామాను అలాగే డిఫాల్ట్ మార్గాన్ని కాన్ఫిగర్ చేయాలి. CS నెట్‌వర్క్ కాన్ఫిగరేషన్‌తో పని చేయడం మరియు సిస్కో లాంటి కన్సోల్ ద్వారా ఎన్‌క్రిప్షన్‌ను కాన్ఫిగర్ చేయడం ఉత్తమం. ఈ కన్సోల్ Cisco IOS ఆదేశాలకు సమానమైన ఆదేశాలను నమోదు చేయడానికి రూపొందించబడింది. Cisco-వంటి కన్సోల్‌ని ఉపయోగించి రూపొందించబడిన కాన్ఫిగరేషన్, OS డెమోన్‌లు పనిచేసే సంబంధిత కాన్ఫిగరేషన్ ఫైల్‌లుగా మార్చబడుతుంది. మీరు కమాండ్‌తో అడ్మినిస్ట్రేషన్ కన్సోల్ నుండి సిస్కో లాంటి కన్సోల్‌కి వెళ్లవచ్చు ఆకృతీకరించుటకు.

అంతర్నిర్మిత వినియోగదారు cscons కోసం పాస్‌వర్డ్‌లను మార్చండి మరియు ప్రారంభించండి:

> ప్రారంభించు
పాస్‌వర్డ్: csp(ప్రీఇన్‌స్టాల్ చేయబడింది)
#టెర్మినల్‌ని కాన్ఫిగర్ చేయండి
#username cscons ప్రివిలేజ్ 15 రహస్యం 0 #రహస్యాన్ని ప్రారంభించండి 0 ప్రాథమిక నెట్‌వర్క్ కాన్ఫిగరేషన్‌ను సెటప్ చేయడం:

#ఇంటర్ఫేస్ గిగాబిట్ ఈథర్నెట్0/0
#ip చిరునామా 10.111.21.3 255.255.255.0
#షట్‌డౌన్ లేదు
#ఇంటర్ఫేస్ గిగాబిట్ ఈథర్నెట్0/1
#ip చిరునామా 192.168.2.5 255.255.255.252
#షట్‌డౌన్ లేదు
#ip మార్గం 0.0.0.0 0.0.0.0 10.111.21.254

GRE

సిస్కో లాంటి కన్సోల్ నుండి నిష్క్రమించి, ఆదేశంతో డెబియన్ షెల్‌కి వెళ్లండి వ్యవస్థ. వినియోగదారు కోసం మీ స్వంత పాస్‌వర్డ్‌ను సెట్ చేయండి రూట్ జట్టు passwd.
ప్రతి కంట్రోల్ రూమ్ వద్ద, ప్రతి సైట్ కోసం ఒక ప్రత్యేక టన్నెల్ కాన్ఫిగర్ చేయబడింది. టన్నెల్ ఇంటర్‌ఫేస్ ఫైల్‌లో కాన్ఫిగర్ చేయబడింది / Etc / నెట్వర్క్ / ఇంటర్ఫేస్లు. ప్రీఇన్‌స్టాల్ చేసిన iproute2 సెట్‌లో చేర్చబడిన IP టన్నెల్ యుటిలిటీ, ఇంటర్‌ఫేస్‌ను రూపొందించడానికి బాధ్యత వహిస్తుంది. ఇంటర్‌ఫేస్ సృష్టి ఆదేశం ప్రీ-అప్ ఎంపికలో వ్రాయబడింది.

సాధారణ టన్నెల్ ఇంటర్‌ఫేస్ యొక్క ఉదాహరణ కాన్ఫిగరేషన్:
ఆటో సైట్1
iface site1 inet స్టాటిక్
చిరునామా 192.168.1.4
నెట్మాస్క్ 255.255.255.254
ప్రీ-అప్ ip టన్నెల్ యాడ్ site1 మోడ్ gre లోకల్ 10.111.21.3 రిమోట్ 10.111.22.3 కీ hfLYEg^vCh6p

శ్రద్ధ చెల్లించండి! టన్నెల్ ఇంటర్‌ఫేస్‌ల సెట్టింగులు తప్పనిసరిగా విభాగం వెలుపల ఉండాలని గమనించాలి

###netifcfg-ప్రారంభం###
*****
###netifcfg-end###

లేకపోతే, సిస్కో లాంటి కన్సోల్ ద్వారా ఫిజికల్ ఇంటర్‌ఫేస్‌ల నెట్‌వర్క్ సెట్టింగ్‌లను మార్చినప్పుడు ఈ సెట్టింగ్‌లు ఓవర్‌రైట్ చేయబడతాయి.

డైనమిక్ రూటింగ్

S-Terraలో, Quagga సాఫ్ట్‌వేర్ ప్యాకేజీని ఉపయోగించి డైనమిక్ రూటింగ్ అమలు చేయబడుతుంది. OSPFని కాన్ఫిగర్ చేయడానికి మనం డెమన్‌లను ఎనేబుల్ చేసి కాన్ఫిగర్ చేయాలి జీబ్రా и ospfd. జీబ్రా డెమోన్ రూటింగ్ డెమోన్‌లు మరియు OS మధ్య కమ్యూనికేషన్‌కు బాధ్యత వహిస్తుంది. ospfd డెమోన్, పేరు సూచించినట్లుగా, OSPF ప్రోటోకాల్‌ను అమలు చేయడానికి బాధ్యత వహిస్తుంది.
OSPF డెమోన్ కన్సోల్ ద్వారా లేదా నేరుగా కాన్ఫిగరేషన్ ఫైల్ ద్వారా కాన్ఫిగర్ చేయబడింది /etc/quagga/ospfd.conf. డైనమిక్ రూటింగ్‌లో పాల్గొనే అన్ని భౌతిక మరియు టన్నెల్ ఇంటర్‌ఫేస్‌లు ఫైల్‌కి జోడించబడతాయి మరియు ప్రకటనలు మరియు ప్రకటనలను స్వీకరించే నెట్‌వర్క్‌లు కూడా ప్రకటించబడతాయి.

జోడించాల్సిన కాన్ఫిగరేషన్‌కు ఉదాహరణ ospfd.conf:
ఇంటర్ఫేస్ eth0
!
ఇంటర్ఫేస్ eth1
!
ఇంటర్ఫేస్ సైట్1
!
ఇంటర్ఫేస్ సైట్2
రూటర్ ospf
ospf రూటర్-id 192.168.2.21
నెట్వర్క్ 192.168.1.4/31 ప్రాంతం 0.0.0.0
నెట్వర్క్ 192.168.1.16/31 ప్రాంతం 0.0.0.0
నెట్వర్క్ 192.168.2.4/30 ప్రాంతం 0.0.0.0

ఈ సందర్భంలో, సైట్‌ల మధ్య టన్నెల్ ptp నెట్‌వర్క్‌ల కోసం 192.168.1.x/31 చిరునామాలు ప్రత్యేకించబడ్డాయి, CS మరియు కెర్నల్ రూటర్‌ల మధ్య ట్రాన్సిట్ నెట్‌వర్క్‌ల కోసం 192.168.2.x/30 చిరునామాలు కేటాయించబడతాయి.

శ్రద్ధ చెల్లించండి! పెద్ద ఇన్‌స్టాలేషన్‌లలో రూటింగ్ పట్టికను తగ్గించడానికి, మీరు నిర్మాణాలను ఉపయోగించి రవాణా నెట్‌వర్క్‌ల యొక్క ప్రకటనలను స్వయంగా ఫిల్టర్ చేయవచ్చు. పునఃపంపిణీ కనెక్ట్ చేయబడదు లేదా కనెక్ట్ చేయబడిన రూట్ మ్యాప్‌ను పునఃపంపిణీ చేయండి.

డెమోన్‌లను కాన్ఫిగర్ చేసిన తర్వాత, మీరు డెమోన్‌ల ప్రారంభ స్థితిని మార్చాలి /etc/quagga/daemons. ఎంపికలలో జీబ్రా и ospfd అవునుకి మార్పు లేదు. క్వాగ్గా డెమోన్‌ను ప్రారంభించండి మరియు మీరు KS ఆదేశాన్ని ప్రారంభించినప్పుడు దాన్ని ఆటోరన్‌కి సెట్ చేయండి update-rc.d quagga ఎనేబుల్.

GRE టన్నెల్స్ మరియు OSPF యొక్క కాన్ఫిగరేషన్ సరిగ్గా జరిగితే, ఇతర సైట్‌ల నెట్‌వర్క్‌లోని మార్గాలు KSh మరియు కోర్ రౌటర్లలో కనిపిస్తాయి మరియు అందువలన, స్థానిక నెట్‌వర్క్‌ల మధ్య నెట్‌వర్క్ కనెక్టివిటీ ఏర్పడుతుంది.

మేము ప్రసార ట్రాఫిక్‌ను గుప్తీకరిస్తాము

ఇప్పటికే వ్రాసినట్లుగా, సాధారణంగా సైట్‌ల మధ్య గుప్తీకరించేటప్పుడు, ట్రాఫిక్ గుప్తీకరించబడిన IP చిరునామా పరిధులను (ACLలు) మేము పేర్కొంటాము: మూలం మరియు గమ్యం చిరునామాలు ఈ పరిధులలోకి వస్తే, వాటి మధ్య ట్రాఫిక్ గుప్తీకరించబడుతుంది. అయితే, ఈ ప్రాజెక్ట్‌లో నిర్మాణం డైనమిక్ మరియు చిరునామాలు మారవచ్చు. మేము ఇప్పటికే GRE టన్నెలింగ్‌ను కాన్ఫిగర్ చేసినందున, ట్రాఫిక్‌ను గుప్తీకరించడానికి మూలం మరియు గమ్యస్థాన చిరునామాలుగా మేము బాహ్య KS చిరునామాలను పేర్కొనవచ్చు - అన్నింటికంటే, GRE ప్రోటోకాల్ ద్వారా ఇప్పటికే సంగ్రహించబడిన ట్రాఫిక్ ఎన్‌క్రిప్షన్ కోసం చేరుకుంటుంది. మరో మాటలో చెప్పాలంటే, ఇతర సైట్‌ల ద్వారా ప్రకటించబడిన నెట్‌వర్క్‌ల వైపు ఒక సైట్ యొక్క స్థానిక నెట్‌వర్క్ నుండి CSలోకి వచ్చే ప్రతిదీ ఎన్‌క్రిప్ట్ చేయబడింది. మరియు ప్రతి సైట్‌లో ఏదైనా దారి మళ్లింపు చేయవచ్చు. అందువల్ల, స్థానిక నెట్‌వర్క్‌లలో ఏదైనా మార్పు ఉంటే, నిర్వాహకుడు తన నెట్‌వర్క్ నుండి నెట్‌వర్క్ వైపు వచ్చే ప్రకటనలను మాత్రమే సవరించాలి మరియు అది ఇతర సైట్‌లకు అందుబాటులో ఉంటుంది.

S-Terra CSలో ఎన్‌క్రిప్షన్ IPSec ప్రోటోకాల్‌ని ఉపయోగించి నిర్వహించబడుతుంది. మేము GOST R 34.12-2015 ప్రకారం "గొల్లభామ" అల్గోరిథంను ఉపయోగిస్తాము మరియు పాత సంస్కరణలతో అనుకూలత కోసం మీరు GOST 28147-89ని ఉపయోగించవచ్చు. ప్రామాణీకరణ సాంకేతికంగా ముందే నిర్వచించిన కీలు (PSKలు) మరియు సర్టిఫికేట్‌లు రెండింటిలోనూ నిర్వహించబడుతుంది. అయితే, పారిశ్రామిక ఆపరేషన్లో GOST R 34.10-2012 ప్రకారం జారీ చేయబడిన సర్టిఫికేట్లను ఉపయోగించడం అవసరం.

సర్టిఫికెట్లు, కంటైనర్లు మరియు CRLలతో పని చేయడం యుటిలిటీని ఉపయోగించి జరుగుతుంది cert_mgr. అన్నింటిలో మొదటిది, ఆదేశాన్ని ఉపయోగించడం cert_mgr సృష్టించు ఒక ప్రైవేట్ కీ కంటైనర్ మరియు సర్టిఫికేట్ అభ్యర్థనను రూపొందించడం అవసరం, ఇది సర్టిఫికేట్ మేనేజ్‌మెంట్ సెంటర్‌కు పంపబడుతుంది. సర్టిఫికేట్ అందుకున్న తర్వాత, అది తప్పనిసరిగా రూట్ CA సర్టిఫికేట్ మరియు CRL (ఉపయోగిస్తే)తో పాటు కమాండ్‌తో దిగుమతి చేసుకోవాలి. cert_mgr దిగుమతి. మీరు అన్ని ప్రమాణపత్రాలు మరియు CRLలు కమాండ్‌తో ఇన్‌స్టాల్ చేయబడినట్లు నిర్ధారించుకోవచ్చు cert_mgr షో.

సర్టిఫికేట్‌లను విజయవంతంగా ఇన్‌స్టాల్ చేసిన తర్వాత, IPSecని కాన్ఫిగర్ చేయడానికి Cisco లాంటి కన్సోల్‌కి వెళ్లండి.
మేము సృష్టించబడుతున్న సురక్షిత ఛానెల్ యొక్క కావలసిన అల్గారిథమ్‌లు మరియు పారామితులను పేర్కొనే IKE విధానాన్ని రూపొందిస్తాము, ఇది భాగస్వామి ఆమోదం కోసం అందించబడుతుంది.

#crypto isakmp పాలసీ 1000
#encr gost341215k
#hash gost341112-512-tc26
#ధృవీకరణ గుర్తు
#సమూహం vko2
#జీవితకాలం 3600

IPSec మొదటి దశను నిర్మించేటప్పుడు ఈ విధానం వర్తించబడుతుంది. మొదటి దశ విజయవంతంగా పూర్తయిన ఫలితం SA (సెక్యూరిటీ అసోసియేషన్) స్థాపన.
తరువాత, మేము గుప్తీకరణ కోసం మూలం మరియు గమ్యం IP చిరునామాల (ACL) జాబితాను నిర్వచించాలి, పరివర్తన సెట్‌ను రూపొందించాలి, క్రిప్టోగ్రాఫిక్ మ్యాప్ (క్రిప్టో మ్యాప్) సృష్టించాలి మరియు దానిని CS యొక్క బాహ్య ఇంటర్‌ఫేస్‌కు బంధించాలి.

ACLని సెట్ చేయండి:
#ip యాక్సెస్-జాబితా విస్తరించిన సైట్1
#పర్మిట్ గ్రే హోస్ట్ 10.111.21.3 హోస్ట్ 10.111.22.3

పరివర్తనల సమితి (మొదటి దశ మాదిరిగానే, మేము అనుకరణ ఇన్సర్ట్ జనరేషన్ మోడ్‌ను ఉపయోగించి “గ్రాస్‌షాపర్” ఎన్‌క్రిప్షన్ అల్గారిథమ్‌ను ఉపయోగిస్తాము):

#crypto ipsec రూపాంతరం-సెట్ GOST esp-gost341215k-mac

మేము క్రిప్టో మ్యాప్‌ను సృష్టిస్తాము, ACLని పేర్కొనండి, పరివర్తన సెట్ మరియు పీర్ చిరునామా:

#క్రిప్టో మ్యాప్ MAIN 100 ipsec-isakmp
#మ్యాచ్ అడ్రస్ సైట్1
#సెట్ ట్రాన్స్ఫార్మ్-సెట్ GOST
#సెట్ పీర్ 10.111.22.3

మేము క్రిప్టో కార్డ్‌ను నగదు రిజిస్టర్ యొక్క బాహ్య ఇంటర్‌ఫేస్‌కు బంధిస్తాము:

#ఇంటర్ఫేస్ గిగాబిట్ ఈథర్నెట్0/0
#ip చిరునామా 10.111.21.3 255.255.255.0
#క్రిప్టో మ్యాప్ MAIN

ఇతర సైట్‌లతో ఛానెల్‌లను గుప్తీకరించడానికి, మీరు తప్పనిసరిగా ACL మరియు క్రిప్టో కార్డ్‌ని సృష్టించే విధానాన్ని పునరావృతం చేయాలి, ACL పేరు, IP చిరునామాలు మరియు క్రిప్టో కార్డ్ నంబర్‌ను మార్చాలి.

శ్రద్ధ చెల్లించండి! CRL ద్వారా సర్టిఫికేట్ ధృవీకరణ ఉపయోగించబడకపోతే, ఇది స్పష్టంగా పేర్కొనబడాలి:

#crypto pki ట్రస్ట్‌పాయింట్ s-టెర్రా_టెక్నాలజికల్_ట్రస్ట్‌పాయింట్
#ఉపసంహరణ-ఏదీ తనిఖీ చేయవద్దు

ఈ సమయంలో, సెటప్ పూర్తయినట్లు పరిగణించవచ్చు. సిస్కో లాంటి కన్సోల్ కమాండ్ అవుట్‌పుట్‌లో చూపించు crypto isakmp sa и క్రిప్టో ipsec sa చూపించు IPSec యొక్క నిర్మించిన మొదటి మరియు రెండవ దశలు ప్రతిబింబించాలి. అదే సమాచారాన్ని కమాండ్ ఉపయోగించి పొందవచ్చు sa_mgr షో, డెబియన్ షెల్ నుండి అమలు చేయబడింది. కమాండ్ అవుట్‌పుట్‌లో cert_mgr షో రిమోట్ సైట్ సర్టిఫికెట్లు కనిపించాలి. అటువంటి సర్టిఫికెట్ల స్థితి ఉంటుంది రిమోట్. సొరంగాలు నిర్మించబడకపోతే, మీరు ఫైల్‌లో నిల్వ చేయబడిన VPN సేవా లాగ్‌ను చూడాలి /var/log/cspvpngate.log. లాగ్ ఫైల్‌ల పూర్తి జాబితా వాటి కంటెంట్‌ల వివరణతో డాక్యుమెంటేషన్‌లో అందుబాటులో ఉంది.

వ్యవస్థ యొక్క "ఆరోగ్యం" పర్యవేక్షణ

S-Terra CC పర్యవేక్షణ కోసం ప్రామాణిక snmpd డెమోన్‌ని ఉపయోగిస్తుంది. సాధారణ Linux పారామీటర్‌లతో పాటు, CISCO-IPSEC-FLOW-MONITOR-MIBకి అనుగుణంగా IPSec సొరంగాల గురించి డేటాను జారీ చేయడానికి S-Terra మద్దతు ఇస్తుంది, IPSec సొరంగాల స్థితిని పర్యవేక్షించేటప్పుడు మేము దీనిని ఉపయోగిస్తాము. స్క్రిప్ట్ ఎగ్జిక్యూషన్ ఫలితాలను విలువలుగా అవుట్‌పుట్ చేసే అనుకూల OIDల కార్యాచరణకు కూడా మద్దతు ఉంది. ఈ ఫీచర్ సర్టిఫికేట్ గడువు తేదీలను ట్రాక్ చేయడానికి అనుమతిస్తుంది. వ్రాసిన స్క్రిప్ట్ కమాండ్ అవుట్‌పుట్‌ను అన్వయిస్తుంది cert_mgr షో మరియు ఫలితంగా స్థానిక మరియు రూట్ సర్టిఫికెట్ల గడువు ముగిసే వరకు రోజుల సంఖ్యను అందిస్తుంది. పెద్ద సంఖ్యలో CABGలను నిర్వహించేటప్పుడు ఈ సాంకేతికత ఎంతో అవసరం.
మేము GOST ప్రకారం గుప్తీకరిస్తాము: డైనమిక్ ట్రాఫిక్ రూటింగ్‌ని సెటప్ చేయడానికి ఒక గైడ్

అటువంటి ఎన్క్రిప్షన్ వల్ల ప్రయోజనం ఏమిటి?

పైన వివరించిన అన్ని కార్యాచరణలకు S-Terra KSh ద్వారా బాక్స్ వెలుపల మద్దతు ఉంది. అంటే, క్రిప్టో గేట్‌వేల ధృవీకరణ మరియు మొత్తం సమాచార వ్యవస్థ యొక్క ధృవీకరణను ప్రభావితం చేసే అదనపు మాడ్యూల్‌లను ఇన్‌స్టాల్ చేయవలసిన అవసరం లేదు. ఇంటర్నెట్ ద్వారా కూడా సైట్‌ల మధ్య ఏవైనా ఛానెల్‌లు ఉండవచ్చు.

అంతర్గత మౌలిక సదుపాయాలు మారినప్పుడు, క్రిప్టో గేట్‌వేలను పునర్నిర్మించాల్సిన అవసరం లేదు, సిస్టమ్ ఒక సేవగా పనిచేస్తుంది, ఇది కస్టమర్‌కు చాలా సౌకర్యవంతంగా ఉంటుంది: అతను తన సేవలను (క్లయింట్ మరియు సర్వర్) ఏదైనా చిరునామాలలో ఉంచవచ్చు మరియు అన్ని మార్పులు ఎన్‌క్రిప్షన్ పరికరాల మధ్య డైనమిక్‌గా బదిలీ చేయబడతాయి.

వాస్తవానికి, ఓవర్ హెడ్ ఖర్చులు (ఓవర్ హెడ్) కారణంగా ఎన్క్రిప్షన్ డేటా బదిలీ వేగాన్ని ప్రభావితం చేస్తుంది, కానీ కొంచెం మాత్రమే - ఛానెల్ నిర్గమాంశ గరిష్టంగా 5-10% తగ్గుతుంది. అదే సమయంలో, సాంకేతికత పరీక్షించబడింది మరియు ఉపగ్రహ ఛానెల్‌లలో కూడా మంచి ఫలితాలను చూపింది, ఇవి చాలా అస్థిరంగా ఉంటాయి మరియు తక్కువ బ్యాండ్‌విడ్త్ కలిగి ఉంటాయి.

ఇగోర్ వినోఖోడోవ్, రోస్టెలెకామ్-సోలార్ యొక్క 2వ లైన్ అడ్మినిస్ట్రేషన్ ఇంజనీర్

మూలం: www.habr.com

ఒక వ్యాఖ్యను జోడించండి