మీ కంపెనీ వ్యక్తిగత డేటా మరియు ఇతర రహస్య సమాచారాన్ని నెట్వర్క్ ద్వారా ప్రసారం చేస్తే లేదా స్వీకరించినట్లయితే, అది చట్టం ప్రకారం రక్షణకు లోబడి ఉంటుంది, అది GOST గుప్తీకరణను ఉపయోగించడం అవసరం. కస్టమర్లలో ఒకరి వద్ద S-Terra క్రిప్టో గేట్వే (CS) ఆధారంగా అటువంటి ఎన్క్రిప్షన్ని మేము ఎలా అమలు చేసామో ఈరోజు మేము మీకు తెలియజేస్తాము. ఈ కథనం సమాచార భద్రతా నిపుణులతో పాటు ఇంజనీర్లు, డిజైనర్లు మరియు ఆర్కిటెక్ట్లకు ఆసక్తిని కలిగిస్తుంది. మేము ఈ పోస్ట్లోని సాంకేతిక కాన్ఫిగరేషన్ యొక్క సూక్ష్మ నైపుణ్యాలను లోతుగా డైవ్ చేయము; మేము ప్రాథమిక సెటప్ యొక్క ముఖ్య అంశాలపై దృష్టి పెడతాము. S-Terra CS ఆధారితమైన Linux OS డెమోన్లను సెటప్ చేయడంపై డాక్యుమెంటేషన్ యొక్క భారీ వాల్యూమ్లు ఇంటర్నెట్లో ఉచితంగా అందుబాటులో ఉన్నాయి. యాజమాన్య S-Terra సాఫ్ట్వేర్ను సెటప్ చేయడానికి డాక్యుమెంటేషన్ కూడా పబ్లిక్గా అందుబాటులో ఉంది
ప్రాజెక్ట్ గురించి కొన్ని మాటలు
కస్టమర్ యొక్క నెట్వర్క్ టోపోలాజీ ప్రామాణికమైనది - కేంద్రం మరియు శాఖల మధ్య పూర్తి మెష్. అన్ని సైట్ల మధ్య సమాచార మార్పిడి ఛానెల్ల ఎన్క్రిప్షన్ను ప్రవేశపెట్టడం అవసరం, వాటిలో 8 ఉన్నాయి.
సాధారణంగా ఇటువంటి ప్రాజెక్ట్లలో ప్రతిదీ స్థిరంగా ఉంటుంది: సైట్ యొక్క స్థానిక నెట్వర్క్కు స్టాటిక్ మార్గాలు క్రిప్టో గేట్వేలలో (CGలు) సెట్ చేయబడతాయి, ఎన్క్రిప్షన్ కోసం IP చిరునామాల (ACLలు) జాబితాలు నమోదు చేయబడ్డాయి. అయితే, ఈ సందర్భంలో, సైట్లు కేంద్రీకృత నియంత్రణను కలిగి ఉండవు మరియు వాటి స్థానిక నెట్వర్క్లలో ఏదైనా జరగవచ్చు: నెట్వర్క్లు సాధ్యమయ్యే ప్రతి విధంగా జోడించబడతాయి, తొలగించబడతాయి మరియు సవరించబడతాయి. సైట్లలో స్థానిక నెట్వర్క్ల చిరునామాను మార్చేటప్పుడు KSలో రూటింగ్ మరియు ACLని రీకాన్ఫిగర్ చేయడాన్ని నివారించడానికి, GRE టన్నెలింగ్ మరియు OSPF డైనమిక్ రూటింగ్లను ఉపయోగించాలని నిర్ణయించబడింది, ఇందులో అన్ని KS మరియు సైట్లలోని నెట్వర్క్ కోర్ స్థాయిలో చాలా రౌటర్లు ఉంటాయి ( కొన్ని సైట్లలో, మౌలిక సదుపాయాల నిర్వాహకులు కెర్నల్ రూటర్లలో KS వైపు SNATని ఉపయోగించడాన్ని ఇష్టపడతారు).
GRE టన్నెలింగ్ మాకు రెండు సమస్యలను పరిష్కరించడానికి అనుమతించింది:
1. ACLలో ఎన్క్రిప్షన్ కోసం CS యొక్క బాహ్య ఇంటర్ఫేస్ యొక్క IP చిరునామాను ఉపయోగించండి, ఇది ఇతర సైట్లకు పంపబడిన మొత్తం ట్రాఫిక్ను కలుపుతుంది.
2. CSల మధ్య ptp టన్నెల్లను నిర్వహించండి, ఇది డైనమిక్ రూటింగ్ను కాన్ఫిగర్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది (మా విషయంలో, ప్రొవైడర్ యొక్క MPLS L3VPN సైట్ల మధ్య నిర్వహించబడుతుంది).
క్లయింట్ ఎన్క్రిప్షన్ను సేవగా అమలు చేయమని ఆదేశించింది. లేకపోతే, అతను క్రిప్టో గేట్వేలను నిర్వహించడం లేదా వాటిని ఏదైనా సంస్థకు అవుట్సోర్స్ చేయడం మాత్రమే కాకుండా, ఎన్క్రిప్షన్ సర్టిఫికేట్ల జీవిత చక్రాన్ని స్వతంత్రంగా పర్యవేక్షించడం, సమయానికి వాటిని పునరుద్ధరించడం మరియు కొత్త వాటిని ఇన్స్టాల్ చేయడం.
మరియు ఇప్పుడు అసలు మెమో - మేము ఎలా మరియు ఏమి కాన్ఫిగర్ చేసాము
CII సబ్జెక్ట్కి గమనిక: క్రిప్టో గేట్వేని సెటప్ చేయడం
ప్రాథమిక నెట్వర్క్ సెటప్
అన్నింటిలో మొదటిది, మేము కొత్త CSను ప్రారంభించాము మరియు అడ్మినిస్ట్రేషన్ కన్సోల్లోకి ప్రవేశిస్తాము. మీరు అంతర్నిర్మిత అడ్మినిస్ట్రేటర్ పాస్వర్డ్ను మార్చడం ద్వారా ప్రారంభించాలి - కమాండ్ వినియోగదారు పాస్వర్డ్ నిర్వాహకుడిని మార్చండి. అప్పుడు మీరు ప్రారంభ ప్రక్రియను నిర్వహించాలి (కమాండ్ ప్రారంభించడం) లైసెన్స్ డేటా నమోదు చేయబడుతుంది మరియు యాదృచ్ఛిక సంఖ్య సెన్సార్ (RNS) ప్రారంభించబడుతుంది.
శ్రద్ధ చెల్లించండి! S-Terra CC ప్రారంభించబడినప్పుడు, భద్రతా గేట్వే ఇంటర్ఫేస్లు ప్యాకెట్లను అనుమతించని భద్రతా విధానం ఏర్పాటు చేయబడింది. మీరు మీ స్వంత విధానాన్ని రూపొందించాలి లేదా ఆదేశాన్ని ఉపయోగించాలి csconf_mgr యాక్టివేట్ని అమలు చేయండి ముందుగా నిర్వచించిన అనుమతించే విధానాన్ని సక్రియం చేయండి.
తరువాత, మీరు బాహ్య మరియు అంతర్గత ఇంటర్ఫేస్ల చిరునామాను అలాగే డిఫాల్ట్ మార్గాన్ని కాన్ఫిగర్ చేయాలి. CS నెట్వర్క్ కాన్ఫిగరేషన్తో పని చేయడం మరియు సిస్కో లాంటి కన్సోల్ ద్వారా ఎన్క్రిప్షన్ను కాన్ఫిగర్ చేయడం ఉత్తమం. ఈ కన్సోల్ Cisco IOS ఆదేశాలకు సమానమైన ఆదేశాలను నమోదు చేయడానికి రూపొందించబడింది. Cisco-వంటి కన్సోల్ని ఉపయోగించి రూపొందించబడిన కాన్ఫిగరేషన్, OS డెమోన్లు పనిచేసే సంబంధిత కాన్ఫిగరేషన్ ఫైల్లుగా మార్చబడుతుంది. మీరు కమాండ్తో అడ్మినిస్ట్రేషన్ కన్సోల్ నుండి సిస్కో లాంటి కన్సోల్కి వెళ్లవచ్చు ఆకృతీకరించుటకు.
అంతర్నిర్మిత వినియోగదారు cscons కోసం పాస్వర్డ్లను మార్చండి మరియు ప్రారంభించండి:
> ప్రారంభించు
పాస్వర్డ్: csp(ప్రీఇన్స్టాల్ చేయబడింది)
#టెర్మినల్ని కాన్ఫిగర్ చేయండి
#username cscons ప్రివిలేజ్ 15 రహస్యం 0 #రహస్యాన్ని ప్రారంభించండి 0 ప్రాథమిక నెట్వర్క్ కాన్ఫిగరేషన్ను సెటప్ చేయడం:
#ఇంటర్ఫేస్ గిగాబిట్ ఈథర్నెట్0/0
#ip చిరునామా 10.111.21.3 255.255.255.0
#షట్డౌన్ లేదు
#ఇంటర్ఫేస్ గిగాబిట్ ఈథర్నెట్0/1
#ip చిరునామా 192.168.2.5 255.255.255.252
#షట్డౌన్ లేదు
#ip మార్గం 0.0.0.0 0.0.0.0 10.111.21.254
GRE
సిస్కో లాంటి కన్సోల్ నుండి నిష్క్రమించి, ఆదేశంతో డెబియన్ షెల్కి వెళ్లండి వ్యవస్థ. వినియోగదారు కోసం మీ స్వంత పాస్వర్డ్ను సెట్ చేయండి రూట్ జట్టు passwd.
ప్రతి కంట్రోల్ రూమ్ వద్ద, ప్రతి సైట్ కోసం ఒక ప్రత్యేక టన్నెల్ కాన్ఫిగర్ చేయబడింది. టన్నెల్ ఇంటర్ఫేస్ ఫైల్లో కాన్ఫిగర్ చేయబడింది / Etc / నెట్వర్క్ / ఇంటర్ఫేస్లు. ప్రీఇన్స్టాల్ చేసిన iproute2 సెట్లో చేర్చబడిన IP టన్నెల్ యుటిలిటీ, ఇంటర్ఫేస్ను రూపొందించడానికి బాధ్యత వహిస్తుంది. ఇంటర్ఫేస్ సృష్టి ఆదేశం ప్రీ-అప్ ఎంపికలో వ్రాయబడింది.
సాధారణ టన్నెల్ ఇంటర్ఫేస్ యొక్క ఉదాహరణ కాన్ఫిగరేషన్:
ఆటో సైట్1
iface site1 inet స్టాటిక్
చిరునామా 192.168.1.4
నెట్మాస్క్ 255.255.255.254
ప్రీ-అప్ ip టన్నెల్ యాడ్ site1 మోడ్ gre లోకల్ 10.111.21.3 రిమోట్ 10.111.22.3 కీ hfLYEg^vCh6p
శ్రద్ధ చెల్లించండి! టన్నెల్ ఇంటర్ఫేస్ల సెట్టింగులు తప్పనిసరిగా విభాగం వెలుపల ఉండాలని గమనించాలి
###netifcfg-ప్రారంభం###
*****
###netifcfg-end###
లేకపోతే, సిస్కో లాంటి కన్సోల్ ద్వారా ఫిజికల్ ఇంటర్ఫేస్ల నెట్వర్క్ సెట్టింగ్లను మార్చినప్పుడు ఈ సెట్టింగ్లు ఓవర్రైట్ చేయబడతాయి.
డైనమిక్ రూటింగ్
S-Terraలో, Quagga సాఫ్ట్వేర్ ప్యాకేజీని ఉపయోగించి డైనమిక్ రూటింగ్ అమలు చేయబడుతుంది. OSPFని కాన్ఫిగర్ చేయడానికి మనం డెమన్లను ఎనేబుల్ చేసి కాన్ఫిగర్ చేయాలి జీబ్రా и ospfd. జీబ్రా డెమోన్ రూటింగ్ డెమోన్లు మరియు OS మధ్య కమ్యూనికేషన్కు బాధ్యత వహిస్తుంది. ospfd డెమోన్, పేరు సూచించినట్లుగా, OSPF ప్రోటోకాల్ను అమలు చేయడానికి బాధ్యత వహిస్తుంది.
OSPF డెమోన్ కన్సోల్ ద్వారా లేదా నేరుగా కాన్ఫిగరేషన్ ఫైల్ ద్వారా కాన్ఫిగర్ చేయబడింది /etc/quagga/ospfd.conf. డైనమిక్ రూటింగ్లో పాల్గొనే అన్ని భౌతిక మరియు టన్నెల్ ఇంటర్ఫేస్లు ఫైల్కి జోడించబడతాయి మరియు ప్రకటనలు మరియు ప్రకటనలను స్వీకరించే నెట్వర్క్లు కూడా ప్రకటించబడతాయి.
జోడించాల్సిన కాన్ఫిగరేషన్కు ఉదాహరణ ospfd.conf:
ఇంటర్ఫేస్ eth0
!
ఇంటర్ఫేస్ eth1
!
ఇంటర్ఫేస్ సైట్1
!
ఇంటర్ఫేస్ సైట్2
రూటర్ ospf
ospf రూటర్-id 192.168.2.21
నెట్వర్క్ 192.168.1.4/31 ప్రాంతం 0.0.0.0
నెట్వర్క్ 192.168.1.16/31 ప్రాంతం 0.0.0.0
నెట్వర్క్ 192.168.2.4/30 ప్రాంతం 0.0.0.0
ఈ సందర్భంలో, సైట్ల మధ్య టన్నెల్ ptp నెట్వర్క్ల కోసం 192.168.1.x/31 చిరునామాలు ప్రత్యేకించబడ్డాయి, CS మరియు కెర్నల్ రూటర్ల మధ్య ట్రాన్సిట్ నెట్వర్క్ల కోసం 192.168.2.x/30 చిరునామాలు కేటాయించబడతాయి.
శ్రద్ధ చెల్లించండి! పెద్ద ఇన్స్టాలేషన్లలో రూటింగ్ పట్టికను తగ్గించడానికి, మీరు నిర్మాణాలను ఉపయోగించి రవాణా నెట్వర్క్ల యొక్క ప్రకటనలను స్వయంగా ఫిల్టర్ చేయవచ్చు. పునఃపంపిణీ కనెక్ట్ చేయబడదు లేదా కనెక్ట్ చేయబడిన రూట్ మ్యాప్ను పునఃపంపిణీ చేయండి.
డెమోన్లను కాన్ఫిగర్ చేసిన తర్వాత, మీరు డెమోన్ల ప్రారంభ స్థితిని మార్చాలి /etc/quagga/daemons. ఎంపికలలో జీబ్రా и ospfd అవునుకి మార్పు లేదు. క్వాగ్గా డెమోన్ను ప్రారంభించండి మరియు మీరు KS ఆదేశాన్ని ప్రారంభించినప్పుడు దాన్ని ఆటోరన్కి సెట్ చేయండి update-rc.d quagga ఎనేబుల్.
GRE టన్నెల్స్ మరియు OSPF యొక్క కాన్ఫిగరేషన్ సరిగ్గా జరిగితే, ఇతర సైట్ల నెట్వర్క్లోని మార్గాలు KSh మరియు కోర్ రౌటర్లలో కనిపిస్తాయి మరియు అందువలన, స్థానిక నెట్వర్క్ల మధ్య నెట్వర్క్ కనెక్టివిటీ ఏర్పడుతుంది.
మేము ప్రసార ట్రాఫిక్ను గుప్తీకరిస్తాము
ఇప్పటికే వ్రాసినట్లుగా, సాధారణంగా సైట్ల మధ్య గుప్తీకరించేటప్పుడు, ట్రాఫిక్ గుప్తీకరించబడిన IP చిరునామా పరిధులను (ACLలు) మేము పేర్కొంటాము: మూలం మరియు గమ్యం చిరునామాలు ఈ పరిధులలోకి వస్తే, వాటి మధ్య ట్రాఫిక్ గుప్తీకరించబడుతుంది. అయితే, ఈ ప్రాజెక్ట్లో నిర్మాణం డైనమిక్ మరియు చిరునామాలు మారవచ్చు. మేము ఇప్పటికే GRE టన్నెలింగ్ను కాన్ఫిగర్ చేసినందున, ట్రాఫిక్ను గుప్తీకరించడానికి మూలం మరియు గమ్యస్థాన చిరునామాలుగా మేము బాహ్య KS చిరునామాలను పేర్కొనవచ్చు - అన్నింటికంటే, GRE ప్రోటోకాల్ ద్వారా ఇప్పటికే సంగ్రహించబడిన ట్రాఫిక్ ఎన్క్రిప్షన్ కోసం చేరుకుంటుంది. మరో మాటలో చెప్పాలంటే, ఇతర సైట్ల ద్వారా ప్రకటించబడిన నెట్వర్క్ల వైపు ఒక సైట్ యొక్క స్థానిక నెట్వర్క్ నుండి CSలోకి వచ్చే ప్రతిదీ ఎన్క్రిప్ట్ చేయబడింది. మరియు ప్రతి సైట్లో ఏదైనా దారి మళ్లింపు చేయవచ్చు. అందువల్ల, స్థానిక నెట్వర్క్లలో ఏదైనా మార్పు ఉంటే, నిర్వాహకుడు తన నెట్వర్క్ నుండి నెట్వర్క్ వైపు వచ్చే ప్రకటనలను మాత్రమే సవరించాలి మరియు అది ఇతర సైట్లకు అందుబాటులో ఉంటుంది.
S-Terra CSలో ఎన్క్రిప్షన్ IPSec ప్రోటోకాల్ని ఉపయోగించి నిర్వహించబడుతుంది. మేము GOST R 34.12-2015 ప్రకారం "గొల్లభామ" అల్గోరిథంను ఉపయోగిస్తాము మరియు పాత సంస్కరణలతో అనుకూలత కోసం మీరు GOST 28147-89ని ఉపయోగించవచ్చు. ప్రామాణీకరణ సాంకేతికంగా ముందే నిర్వచించిన కీలు (PSKలు) మరియు సర్టిఫికేట్లు రెండింటిలోనూ నిర్వహించబడుతుంది. అయితే, పారిశ్రామిక ఆపరేషన్లో GOST R 34.10-2012 ప్రకారం జారీ చేయబడిన సర్టిఫికేట్లను ఉపయోగించడం అవసరం.
సర్టిఫికెట్లు, కంటైనర్లు మరియు CRLలతో పని చేయడం యుటిలిటీని ఉపయోగించి జరుగుతుంది cert_mgr. అన్నింటిలో మొదటిది, ఆదేశాన్ని ఉపయోగించడం cert_mgr సృష్టించు ఒక ప్రైవేట్ కీ కంటైనర్ మరియు సర్టిఫికేట్ అభ్యర్థనను రూపొందించడం అవసరం, ఇది సర్టిఫికేట్ మేనేజ్మెంట్ సెంటర్కు పంపబడుతుంది. సర్టిఫికేట్ అందుకున్న తర్వాత, అది తప్పనిసరిగా రూట్ CA సర్టిఫికేట్ మరియు CRL (ఉపయోగిస్తే)తో పాటు కమాండ్తో దిగుమతి చేసుకోవాలి. cert_mgr దిగుమతి. మీరు అన్ని ప్రమాణపత్రాలు మరియు CRLలు కమాండ్తో ఇన్స్టాల్ చేయబడినట్లు నిర్ధారించుకోవచ్చు cert_mgr షో.
సర్టిఫికేట్లను విజయవంతంగా ఇన్స్టాల్ చేసిన తర్వాత, IPSecని కాన్ఫిగర్ చేయడానికి Cisco లాంటి కన్సోల్కి వెళ్లండి.
మేము సృష్టించబడుతున్న సురక్షిత ఛానెల్ యొక్క కావలసిన అల్గారిథమ్లు మరియు పారామితులను పేర్కొనే IKE విధానాన్ని రూపొందిస్తాము, ఇది భాగస్వామి ఆమోదం కోసం అందించబడుతుంది.
#crypto isakmp పాలసీ 1000
#encr gost341215k
#hash gost341112-512-tc26
#ధృవీకరణ గుర్తు
#సమూహం vko2
#జీవితకాలం 3600
IPSec మొదటి దశను నిర్మించేటప్పుడు ఈ విధానం వర్తించబడుతుంది. మొదటి దశ విజయవంతంగా పూర్తయిన ఫలితం SA (సెక్యూరిటీ అసోసియేషన్) స్థాపన.
తరువాత, మేము గుప్తీకరణ కోసం మూలం మరియు గమ్యం IP చిరునామాల (ACL) జాబితాను నిర్వచించాలి, పరివర్తన సెట్ను రూపొందించాలి, క్రిప్టోగ్రాఫిక్ మ్యాప్ (క్రిప్టో మ్యాప్) సృష్టించాలి మరియు దానిని CS యొక్క బాహ్య ఇంటర్ఫేస్కు బంధించాలి.
ACLని సెట్ చేయండి:
#ip యాక్సెస్-జాబితా విస్తరించిన సైట్1
#పర్మిట్ గ్రే హోస్ట్ 10.111.21.3 హోస్ట్ 10.111.22.3
పరివర్తనల సమితి (మొదటి దశ మాదిరిగానే, మేము అనుకరణ ఇన్సర్ట్ జనరేషన్ మోడ్ను ఉపయోగించి “గ్రాస్షాపర్” ఎన్క్రిప్షన్ అల్గారిథమ్ను ఉపయోగిస్తాము):
#crypto ipsec రూపాంతరం-సెట్ GOST esp-gost341215k-mac
మేము క్రిప్టో మ్యాప్ను సృష్టిస్తాము, ACLని పేర్కొనండి, పరివర్తన సెట్ మరియు పీర్ చిరునామా:
#క్రిప్టో మ్యాప్ MAIN 100 ipsec-isakmp
#మ్యాచ్ అడ్రస్ సైట్1
#సెట్ ట్రాన్స్ఫార్మ్-సెట్ GOST
#సెట్ పీర్ 10.111.22.3
మేము క్రిప్టో కార్డ్ను నగదు రిజిస్టర్ యొక్క బాహ్య ఇంటర్ఫేస్కు బంధిస్తాము:
#ఇంటర్ఫేస్ గిగాబిట్ ఈథర్నెట్0/0
#ip చిరునామా 10.111.21.3 255.255.255.0
#క్రిప్టో మ్యాప్ MAIN
ఇతర సైట్లతో ఛానెల్లను గుప్తీకరించడానికి, మీరు తప్పనిసరిగా ACL మరియు క్రిప్టో కార్డ్ని సృష్టించే విధానాన్ని పునరావృతం చేయాలి, ACL పేరు, IP చిరునామాలు మరియు క్రిప్టో కార్డ్ నంబర్ను మార్చాలి.
శ్రద్ధ చెల్లించండి! CRL ద్వారా సర్టిఫికేట్ ధృవీకరణ ఉపయోగించబడకపోతే, ఇది స్పష్టంగా పేర్కొనబడాలి:
#crypto pki ట్రస్ట్పాయింట్ s-టెర్రా_టెక్నాలజికల్_ట్రస్ట్పాయింట్
#ఉపసంహరణ-ఏదీ తనిఖీ చేయవద్దు
ఈ సమయంలో, సెటప్ పూర్తయినట్లు పరిగణించవచ్చు. సిస్కో లాంటి కన్సోల్ కమాండ్ అవుట్పుట్లో చూపించు crypto isakmp sa и క్రిప్టో ipsec sa చూపించు IPSec యొక్క నిర్మించిన మొదటి మరియు రెండవ దశలు ప్రతిబింబించాలి. అదే సమాచారాన్ని కమాండ్ ఉపయోగించి పొందవచ్చు sa_mgr షో, డెబియన్ షెల్ నుండి అమలు చేయబడింది. కమాండ్ అవుట్పుట్లో cert_mgr షో రిమోట్ సైట్ సర్టిఫికెట్లు కనిపించాలి. అటువంటి సర్టిఫికెట్ల స్థితి ఉంటుంది రిమోట్. సొరంగాలు నిర్మించబడకపోతే, మీరు ఫైల్లో నిల్వ చేయబడిన VPN సేవా లాగ్ను చూడాలి /var/log/cspvpngate.log. లాగ్ ఫైల్ల పూర్తి జాబితా వాటి కంటెంట్ల వివరణతో డాక్యుమెంటేషన్లో అందుబాటులో ఉంది.
వ్యవస్థ యొక్క "ఆరోగ్యం" పర్యవేక్షణ
S-Terra CC పర్యవేక్షణ కోసం ప్రామాణిక snmpd డెమోన్ని ఉపయోగిస్తుంది. సాధారణ Linux పారామీటర్లతో పాటు, CISCO-IPSEC-FLOW-MONITOR-MIBకి అనుగుణంగా IPSec సొరంగాల గురించి డేటాను జారీ చేయడానికి S-Terra మద్దతు ఇస్తుంది, IPSec సొరంగాల స్థితిని పర్యవేక్షించేటప్పుడు మేము దీనిని ఉపయోగిస్తాము. స్క్రిప్ట్ ఎగ్జిక్యూషన్ ఫలితాలను విలువలుగా అవుట్పుట్ చేసే అనుకూల OIDల కార్యాచరణకు కూడా మద్దతు ఉంది. ఈ ఫీచర్ సర్టిఫికేట్ గడువు తేదీలను ట్రాక్ చేయడానికి అనుమతిస్తుంది. వ్రాసిన స్క్రిప్ట్ కమాండ్ అవుట్పుట్ను అన్వయిస్తుంది cert_mgr షో మరియు ఫలితంగా స్థానిక మరియు రూట్ సర్టిఫికెట్ల గడువు ముగిసే వరకు రోజుల సంఖ్యను అందిస్తుంది. పెద్ద సంఖ్యలో CABGలను నిర్వహించేటప్పుడు ఈ సాంకేతికత ఎంతో అవసరం.
అటువంటి ఎన్క్రిప్షన్ వల్ల ప్రయోజనం ఏమిటి?
పైన వివరించిన అన్ని కార్యాచరణలకు S-Terra KSh ద్వారా బాక్స్ వెలుపల మద్దతు ఉంది. అంటే, క్రిప్టో గేట్వేల ధృవీకరణ మరియు మొత్తం సమాచార వ్యవస్థ యొక్క ధృవీకరణను ప్రభావితం చేసే అదనపు మాడ్యూల్లను ఇన్స్టాల్ చేయవలసిన అవసరం లేదు. ఇంటర్నెట్ ద్వారా కూడా సైట్ల మధ్య ఏవైనా ఛానెల్లు ఉండవచ్చు.
అంతర్గత మౌలిక సదుపాయాలు మారినప్పుడు, క్రిప్టో గేట్వేలను పునర్నిర్మించాల్సిన అవసరం లేదు, సిస్టమ్ ఒక సేవగా పనిచేస్తుంది, ఇది కస్టమర్కు చాలా సౌకర్యవంతంగా ఉంటుంది: అతను తన సేవలను (క్లయింట్ మరియు సర్వర్) ఏదైనా చిరునామాలలో ఉంచవచ్చు మరియు అన్ని మార్పులు ఎన్క్రిప్షన్ పరికరాల మధ్య డైనమిక్గా బదిలీ చేయబడతాయి.
వాస్తవానికి, ఓవర్ హెడ్ ఖర్చులు (ఓవర్ హెడ్) కారణంగా ఎన్క్రిప్షన్ డేటా బదిలీ వేగాన్ని ప్రభావితం చేస్తుంది, కానీ కొంచెం మాత్రమే - ఛానెల్ నిర్గమాంశ గరిష్టంగా 5-10% తగ్గుతుంది. అదే సమయంలో, సాంకేతికత పరీక్షించబడింది మరియు ఉపగ్రహ ఛానెల్లలో కూడా మంచి ఫలితాలను చూపింది, ఇవి చాలా అస్థిరంగా ఉంటాయి మరియు తక్కువ బ్యాండ్విడ్త్ కలిగి ఉంటాయి.
ఇగోర్ వినోఖోడోవ్, రోస్టెలెకామ్-సోలార్ యొక్క 2వ లైన్ అడ్మినిస్ట్రేషన్ ఇంజనీర్
మూలం: www.habr.com