Агар ширкати шумо маълумоти шахсӣ ва дигар маълумоти махфиро тавассути шабака интиқол диҳад ё қабул кунад, ки мувофиқи қонун муҳофизат карда мешавад, истифодаи рамзгузории ГОСТ талаб карда мешавад. Имрӯз мо ба шумо мегӯям, ки чӣ гуна мо чунин рамзгузориро дар асоси дарвозаи криптографии S-Terra (CS) дар яке аз муштариён амалӣ кардем. Ин ҳикоя барои мутахассисони амнияти иттилоотӣ, инчунин муҳандисон, конструкторҳо ва меъморон ҷолиб хоҳад буд. Мо дар ин паём ба нозукиҳои конфигуратсияи техникӣ амиқ намеравем; мо ба нуктаҳои асосии танзимоти асосӣ тамаркуз хоҳем кард. Ҳаҷми бузурги ҳуҷҷатҳо оид ба танзими демонҳои Linux OS, ки ба онҳо S-Terra CS асос ёфтааст, дар Интернет ба таври ройгон дастрасанд. Ҳуҷҷатҳо барои таъсиси нармафзори хусусии S-Terra инчунин дар дастрас дастрас мебошанд истеҳсолкунанда.
Якчанд сухан дар бораи лоиҳа
Топологияи шабакаи муштарӣ стандартӣ буд - шабакаи пурра байни марказ ва филиалҳо. Зарур буд, ки рамзгузории каналҳои мубодилаи иттилоот дар байни ҳамаи сайтҳо ҷорӣ карда шавад, ки аз онҳо 8 адад мавҷуд буд.
Одатан дар чунин лоиҳаҳо ҳама чиз статикӣ аст: масирҳои статикӣ ба шабакаи маҳаллии сайт дар шлюзи криптографӣ (CGs) муқаррар карда мешаванд, рӯйхати суроғаҳои IP (ACL) барои рамзгузорӣ ба қайд гирифта мешаванд. Аммо, дар ин ҳолат, сайтҳо назорати мутамарказ надоранд ва дар дохили шабакаҳои маҳаллии онҳо ҳама чиз рӯй дода метавонад: шабакаҳоро бо ҳар роҳ илова кардан, нест кардан ва тағир додан мумкин аст. Барои роҳ надодан ба аз нав танзимкунии масир ва ACL дар KS ҳангоми тағир додани адреси шабакаҳои маҳаллӣ дар сайтҳо, тасмим гирифта шуд, ки туннелинги GRE ва масири динамикии OSPF, ки ҳамаи KS ва аксари роутерҳоро дар сатҳи асосии шабака дар сайтҳо дар бар мегирад ( дар баъзе сайтҳо, маъмурони инфрасохтор SNAT-ро нисбат ба KS дар роутерҳои ядроӣ бартарӣ медиҳанд).
Нақби GRE ба мо имкон дод, ки ду мушкилотро ҳал кунем:
1. Суроғаи IP-и интерфейси берунии CS-ро барои рамзгузорӣ дар ACL истифода баред, ки тамоми трафики ба сайтҳои дигар фиристодашударо фаро мегирад.
2. Дар байни CS-ҳо нақбҳои ptp-ро ташкил кунед, ки ба шумо имкон медиҳанд масири динамикиро танзим кунед (дар ҳолати мо, MPLS L3VPN-и провайдер дар байни сайтҳо ташкил карда шудааст).
Муштарӣ барои татбиқи рамзгузорӣ ҳамчун хидмат фармоиш дод. Дар акси ҳол, ӯ бояд на танҳо шлюзҳои криптографиро нигоҳ дорад ё онҳоро ба ягон созмон супорад, балки мустақилона давраи ҳаёти сертификатҳои рамзгузориро назорат кунад, онҳоро сари вақт тамдид кунад ва навашро насб кунад.
Ва ҳоло ёддошти воқеӣ - мо чӣ гуна ва чӣ гуна танзим кардем
Эзоҳ ба мавзӯи CII: насб кардани шлюзи криптографӣ
Танзимоти асосии шабака
Пеш аз ҳама, мо CS-и навро оғоз мекунем ва ба консоли маъмурият ворид мешавем. Шумо бояд бо тағир додани пароли администратори дарунсохт - фармон оғоз кунед мудири пароли корбарро иваз кунед. Пас шумо бояд тартиби оғозёбиро иҷро кунед (фармони пешниҳод кардан) дар давоми он маълумоти иҷозатнома ворид карда мешавад ва сенсори рақами тасодуфӣ (RNS) оғоз карда мешавад.
Диққат диҳед! Вақте ки S-Terra CC оғоз карда мешавад, сиёсати амният муқаррар карда мешавад, ки дар он интерфейсҳои шлюзи амниятӣ ба убури бастаҳо имкон намедиҳанд. Шумо бояд сиёсати шахсии худро эҷод кунед ё фармонро истифода баред csconf_mgr фаъол кунед сиёсати иҷозатдиҳии пешакӣ муайяншударо фаъол созед.
Баъдан, шумо бояд суроғаи интерфейсҳои беруна ва дохилӣ, инчунин масири пешфарзро танзим кунед. Кор бо конфигуратсияи шабакаи CS ва танзими рамзгузорӣ тавассути консоли ба Cisco монанд беҳтар аст. Ин консол барои ворид кардани фармонҳои монанд ба фармонҳои Cisco IOS тарҳрезӣ шудааст. Конфигуратсияе, ки бо истифода аз консоли ба Cisco монанд тавлид шудааст, дар навбати худ ба файлҳои конфигуратсияи мувофиқ, ки демонҳои ОС кор мекунанд, табдил дода мешавад. Шумо метавонед аз консоли маъмурият бо фармон ба консолии Cisco монанд равед танзим кунед.
Паролҳоро барои cscon-ҳои корбари дарунсохт иваз кунед ва фаъол созед:
>фаъол
Рамз: csp (пеш насбшуда)
#конфигуратсияи терминал
#username cscons privilege 15 secret 0 #enable secret 0 Насб кардани конфигуратсияи асосии шабака:
#интерфейси GigabitEthernet0/0
#ip суроғаи 10.111.21.3 255.255.255.0
#хомӯш нест
#интерфейси GigabitEthernet0/1
#ip суроғаи 192.168.2.5 255.255.255.252
#хомӯш нест
#ip масири 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Аз консолии монанд ба Cisco хориҷ шавед ва бо фармон ба қабати debian равед система. Барои корбар пароли шахсии худро таъин кунед реша даста passwd.
Дар ҳар як утоқи назоратӣ нақби алоҳида барои ҳар як сайт танзим карда мешавад. Интерфейси нақб дар файл танзим карда шудааст / etc / network / interfaces. Утилитаи нақби IP, ки ба маҷмӯи қаблан насбшудаи iproute2 дохил карда шудааст, барои эҷоди худи интерфейс масъул аст. Фармони эҷоди интерфейс ба варианти пешакӣ навишта шудааст.
Намунаи конфигуратсияи интерфейси нақби маъмулӣ:
сайти худкор1
iface site1 inet статикӣ
суроғаи 192.168.1.4
шабакаи ниқоб 255.255.255.254
туннели пешакии IP илова кардани сайт1 режими gre маҳаллӣ 10.111.21.3 дурдаст 10.111.22.3 калид hfLYEg^vCh6p
Диққат диҳед! Бояд қайд кард, ки танзимоти интерфейсҳои нақб бояд берун аз қисмат ҷойгир карда шаванд
###netifcfg-begin###
*****
###netifcfg-end###
Дар акси ҳол, ин танзимот ҳангоми тағир додани танзимоти шабакавии интерфейсҳои физикӣ тавассути консоле, ки ба Cisco монанд аст, баргардонида мешаванд.
Масири динамикӣ
Дар S-Terra, масири динамикӣ бо истифода аз бастаи нармафзори Quagga амалӣ карда мешавад. Барои танзим кардани OSPF мо бояд демонҳоро фаъол созем ва танзим кунем зебра и ospfd. Демони зебра барои иртибот байни демонҳои масир ва ОС масъул аст. Демони ospfd, тавре ки аз ном бармеояд, барои татбиқи протоколи OSPF масъул аст.
OSPF ё тавассути консоли демон ё бевосита тавассути файли конфигуратсия танзим карда мешавад /etc/quagga/ospfd.conf. Ҳама интерфейсҳои физикӣ ва нақбӣ, ки дар масири динамикӣ иштирок мекунанд, ба файл илова карда мешаванд ва шабакаҳое, ки таблиғ карда мешаванд ва эълонҳо мегиранд, низ эълон карда мешаванд.
Намунаи конфигуратсияе, ки бояд ба он илова карда шавад ospfd.conf:
интерфейси eth0
!
интерфейси eth1
!
сайти интерфейси 1
!
сайти интерфейси 2
роутер ospf
ospf роутер-id 192.168.2.21
шабака 192.168.1.4/31 майдони 0.0.0.0
шабака 192.168.1.16/31 майдони 0.0.0.0
шабака 192.168.2.4/30 майдони 0.0.0.0
Дар ин ҳолат, суроғаҳои 192.168.1.x/31 барои шабакаҳои туннели ptp байни сайтҳо, суроғаҳои 192.168.2.x/30 барои шабакаҳои транзитӣ байни CS ва роутерҳои ядро ҷудо карда шудаанд.
Диққат диҳед! Барои кам кардани ҷадвали масир дар насбҳои калон, шумо метавонед бо истифода аз конструксияҳо таблиғи худи шабакаҳои транзитиро филтр кунед тақсимоти дубора пайваст нест ё аз нав таксим кардани маршрут-харитаи пайвастшуда.
Пас аз танзим кардани демонҳо, шумо бояд ҳолати оғози демонҳоро дар /etc/quagga/demons. Дар вариантҳо зебра и ospfd тағирот ба ҳа. Вақте ки шумо фармони KS-ро оғоз мекунед, демони quagga-ро оғоз кунед ва онро ба худкор танзим кунед update-rc.d quagga имкон медиҳад.
Агар конфигуратсияи нақбҳои GRE ва OSPF дуруст анҷом дода шавад, пас масирҳо дар шабакаи сайтҳои дигар бояд дар KSh ва роутерҳои аслӣ пайдо шаванд ва ҳамин тавр, пайвасти шабакавӣ байни шабакаҳои маҳаллӣ ба вуҷуд меояд.
Мо трафики интиқолшударо рамзгузорӣ мекунем
Тавре ки аллакай навишта шудааст, одатан ҳангоми рамзгузорӣ байни сайтҳо, мо диапазони суроғаҳои IP-ро (ACLs) муайян мекунем, ки дар байни онҳо трафик рамзгузорӣ мешавад: агар суроғаҳои манбаъ ва таъинот ба ин диапазонҳо дохил шаванд, пас трафики байни онҳо рамзгузорӣ мешавад. Аммо, дар ин лоиҳа сохтор динамикӣ аст ва суроғаҳо метавонанд тағир ёбанд. Азбаски мо аллакай туннели GRE-ро танзим кардаем, мо метавонем суроғаҳои KS-и берунаро ҳамчун суроғаи манбаъ ва таъинот барои рамзгузории трафик муайян кунем - дар ниҳоят, трафике, ки аллакай бо протоколи GRE фаро гирифта шудааст, барои рамзгузорӣ меояд. Ба ибораи дигар, ҳама чизе, ки аз шабакаи маҳаллии як сайт ба CS ворид мешавад, ба шабакаҳое, ки сайтҳои дигар эълон кардаанд, рамзгузорӣ мешавад. Ва дар дохили ҳар як сайт ҳама гуна масир мумкин аст анҷом дода шавад. Ҳамин тариқ, агар дар шабакаҳои маҳаллӣ ягон тағйирот ба амал ояд, ба администратор танҳо лозим аст, ки эълонҳои аз шабакаи худ ба шабака воридшавандаро тағир диҳад ва он барои дигар сайтҳо дастрас мегардад.
Рамзгузорӣ дар S-Terra CS бо истифода аз протоколи IPSec анҷом дода мешавад. Мо алгоритми "Грасшопер"-ро мувофиқи ГОСТ Р 34.12-2015 истифода мебарем ва барои мувофиқат бо версияҳои кӯҳна шумо метавонед ГОСТ 28147-89-ро истифода баред. Аутентификатсия метавонад аз ҷиҳати техникӣ ҳам дар калидҳои пешакӣ муайяншуда (PSK) ва ҳам сертификатҳо анҷом дода шавад. Бо вуҷуди ин, ҳангоми истифодаи саноатӣ бояд шаҳодатномаҳои мувофиқи ГОСТ Р 34.10-2012 додашуда истифода шаванд.
Кор бо сертификатҳо, контейнерҳо ва CRLҳо бо истифода аз утилита анҷом дода мешавад cert_mgr. Пеш аз ҳама, бо истифода аз фармон cert_mgr эҷод кунед як контейнери калиди хусусӣ ва дархости сертификатро тавлид кардан лозим аст, ки он ба Маркази идоракунии сертификатҳо фиристода мешавад. Пас аз гирифтани сертификат, он бояд дар якҷоягӣ бо сертификати решаи CA ва CRL (агар истифода шавад) бо фармон ворид карда шавад. воридоти cert_mgr. Шумо метавонед боварӣ ҳосил кунед, ки ҳамаи сертификатҳо ва CRL-ҳо бо фармон насб карда шудаанд cert_mgr нишон медиҳад.
Пас аз бомуваффақият насб кардани сертификатҳо, ба консолии Cisco монанд барои танзими IPSec гузаред.
Мо сиёсати IKE-ро эҷод мекунем, ки алгоритмҳо ва параметрҳои канали бехатари сохташавандаро муайян мекунад, ки барои тасдиқ ба шарик пешниҳод карда мешавад.
Сиёсати #crypto isakmp 1000
#encr gost341215k
# hash gost341112-512-tc26
#аломати тасдиқи
#гурӯҳи vko2
# умри 3600
Ин сиёсат ҳангоми сохтани марҳилаи якуми IPSec истифода мешавад. Натиҷаи анҷоми бомуваффақияти марҳилаи аввал таъсиси SA (Ассотсиатсияи амният) мебошад.
Минбаъд, мо бояд рӯйхати IP-адресҳои манбаъ ва таъинотро (ACL) барои рамзгузорӣ муайян кунем, маҷмӯи трансформатсияро тавлид кунем, харитаи криптографиро (харитаи крипто) созем ва онро ба интерфейси берунии CS пайваст кунем.
Танзими ACL:
#ip дастрасӣ-рӯйхати сайти васеъшуда1
#иҷозат gre host 10.111.21.3 мизбон 10.111.22.3
Маҷмӯи тағиротҳо (монанди марҳилаи аввал, мо алгоритми рамзгузории "Grasshopper"-ро бо истифода аз режими тавлиди симулятсияи симулятор истифода мебарем):
#crypto ipsec transform-set GOST esp-gost341215k-mac
Мо харитаи криптографиро эҷод мекунем, ACL-ро муайян мекунем, маҷмӯа ва суроғаи ҳамсолро табдил медиҳем:
#харитаи крипто АСОСӢ 100 ipsec-isakmp
#мувофиқи суроғаи сайт1
#set transform-set GOST
#танзими ҳамсол 10.111.22.3
Мо корти крипторо ба интерфейси берунии касса пайваст мекунем:
#интерфейси GigabitEthernet0/0
#ip суроғаи 10.111.21.3 255.255.255.0
#харитаи крипто АСОСӢ
Барои рамзгузории каналҳо бо сайтҳои дигар, шумо бояд тартиби эҷоди корти ACL ва крипто, тағир додани номи ACL, суроғаҳои IP ва рақами корти крипторо такрор кунед.
Диққат диҳед! Агар тасдиқи сертификат аз ҷониби CRL истифода нашавад, ин бояд ба таври возеҳ нишон дода шавад:
#crypto pki боварии s-terra_technological_trustpoint
#бекоркунӣ - ҳеҷ касро тафтиш накунед
Дар ин лаҳза, танзимотро ба итмом расонидан мумкин аст. Дар баромади фармони консол ба монанди Cisco нишон додани крипто isakmp sa и нишон додани крипто ipsec sa Марҳилаҳои сохташудаи якум ва дуюми IPSec бояд инъикос карда шаванд. Ҳамин гуна маълумотро бо ёрии фармон ба даст овардан мумкин аст sa_mgr намоиш, аз shell debian иҷро шудааст. Дар баромади фармон cert_mgr нишон медиҳад Шаҳодатномаҳои сайти дурдаст бояд пайдо шаванд. Ҳолати чунин шаҳодатномаҳо хоҳад буд Дурдаст. Агар нақбҳо сохта нашаванд, шумо бояд ба гузориши хидмати VPN, ки дар файл сабт шудааст, назар кунед /var/log/cspvpngate.log. Рӯйхати пурраи файлҳои журнал бо тавсифи мундариҷаи онҳо дар ҳуҷҷатҳо мавҷуд аст.
Мониторинги "саломатии" система
S-Terra CC барои мониторинг демони стандартии snmpd-ро истифода мебарад. Илова ба параметрҳои маъмулии Linux, берун аз қуттӣ S-Terra додани маълумотро дар бораи нақбҳои IPSec мувофиқи CISCO-IPSEC-FLOW-MONITOR-MIB дастгирӣ мекунад, ки мо ҳангоми мониторинги ҳолати нақбҳои IPSec истифода мебарем. Функсияи OID-ҳои фармоишӣ, ки натиҷаҳои иҷрои скриптро ҳамчун арзишҳо мебароранд, дастгирӣ карда мешавад. Ин хусусият ба мо имкон медиҳад, ки санаи анҷоми сертификатро пайгирӣ кунем. Скрипти хаттӣ баромади фармонро таҳлил мекунад cert_mgr нишон медиҳад ва дар натиҷа шумораи рӯзҳоро то ба охир расидани мӯҳлати шаҳодатномаҳои маҳаллӣ ва реша медиҳад. Ин техника ҳангоми идоракунии миқдори зиёди CABG ҳатмист.
Чунин рамзгузорӣ чӣ фоида дорад?
Ҳама функсияҳои дар боло тавсифшуда аз ҷониби S-Terra KSh дастгирӣ карда мешаванд. Яъне ба насб кардани ягон модули иловагӣ, ки метавонад ба сертификатсияи шлюзҳои криптографӣ ва сертификатсияи тамоми системаи иттилоотӣ таъсир расонад, лозим набуд. Дар байни сайтҳо ҳама гуна каналҳо вуҷуд доранд, ҳатто тавассути Интернет.
Аз сабаби он, ки ҳангоми тағир додани инфрасохтори дохилӣ, зарурати аз нав танзим кардани шлюзҳои крипто вуҷуд надорад, система ҳамчун хидмат кор мекунад, ки барои муштарӣ хеле қулай аст: ӯ метавонад хидматҳои худро (мизоҷ ва сервер) дар ҳама суроғаҳо ҷойгир кунад ва ҳама тағиротҳо ба таври динамикӣ байни таҷҳизоти рамзгузорӣ интиқол дода мешаванд.
Албатта, рамзгузорӣ аз ҳисоби хароҷоти изофӣ (сари изофӣ) ба суръати интиқоли маълумот таъсир мерасонад, аммо танҳо каме - интиқоли канал метавонад ҳадди аксар 5-10% кам шавад. Дар баробари ин, технология ҳатто дар каналҳои моҳвораӣ, ки хеле ноустувор ва паҳнои маҷрои паст доранд, санҷида шуд ва натиҷаҳои хуб нишон дод.
Игорь Виноходов, инженери радами 2-и управленияи «Ростелеком-Солар».
Манбаъ: will.com