Şirketinizin, kanun uyarınca korumaya tabi olan ağ üzerinden kişisel veri ve diğer gizli bilgileri iletmesi veya alması durumunda, GOST şifrelemesinin kullanılması gerekmektedir. Bugün size müşterilerden birinde S-Terra kripto ağ geçidini (CS) temel alarak böyle bir şifrelemeyi nasıl uyguladığımızı anlatacağız. Bu hikaye bilgi güvenliği uzmanlarının yanı sıra mühendislerin, tasarımcıların ve mimarların da ilgisini çekecek. Bu yazıda teknik konfigürasyonun nüanslarına derinlemesine dalmayacağız; temel kurulumun kilit noktalarına odaklanacağız. S-Terra CS'nin temelini oluşturan Linux işletim sistemi arka plan programlarının kurulumuna ilişkin çok sayıda belge internette ücretsiz olarak mevcuttur. Tescilli S-Terra yazılımının kurulumuna ilişkin belgeler ayrıca şu adreste kamuya açıktır: üreticisi.
Proje hakkında birkaç söz
Müşterinin ağ topolojisi standarttı; merkez ile şubeler arasında tam örgü. 8'i bulunan tüm siteler arasında bilgi alışverişi kanallarının şifrelenmesinin getirilmesi gerekiyordu.
Genellikle bu tür projelerde her şey statiktir: sitenin yerel ağına giden statik yollar kripto ağ geçitlerinde (CG'ler) ayarlanır, şifreleme için IP adres listeleri (ACL'ler) kaydedilir. Ancak bu durumda sitelerin merkezi yönetimi yoktur ve yerel ağlarında her şey olabilir: ağlar mümkün olan her şekilde eklenebilir, silinebilir ve değiştirilebilir. Sitelerdeki yerel ağların adreslemesini değiştirirken KS'de yönlendirmenin ve ACL'nin yeniden yapılandırılmasını önlemek için, sitelerdeki ağ çekirdeği düzeyinde tüm KS'yi ve çoğu yönlendiriciyi içeren GRE tünelleme ve OSPF dinamik yönlendirmenin kullanılmasına karar verildi ( bazı sitelerde altyapı yöneticileri çekirdek yönlendiricilerinde KS'ye yönelik SNAT kullanmayı tercih ediyordu).
GRE tüneli iki sorunu çözmemize olanak sağladı:
1. Diğer sitelere gönderilen tüm trafiği kapsayan ACL'de şifreleme için CS'nin harici arayüzünün IP adresini kullanın.
2. Dinamik yönlendirmeyi yapılandırmanıza olanak tanıyan CS'ler arasında ptp tünelleri düzenleyin (bizim durumumuzda, sağlayıcının MPLS L3VPN'i siteler arasında düzenlenmiştir).
Müşteri, şifrelemenin bir hizmet olarak uygulanmasını emretti. Aksi takdirde, yalnızca kripto ağ geçitlerinin bakımını yapmak veya bunları bir kuruluşa dış kaynak sağlamakla kalmayacak, aynı zamanda şifreleme sertifikalarının yaşam döngüsünü bağımsız olarak izlemek, bunları zamanında yenilemek ve yenilerini kurmak zorunda kalacaktı.
Ve şimdi asıl not; nasıl ve neyi yapılandırdığımız
CII konusuna not: kripto ağ geçidi kurma
Temel ağ kurulumu
Öncelikle yeni bir CS başlatıyoruz ve yönetim konsoluna giriyoruz. Yerleşik yönetici şifresini - komutunu değiştirerek başlamalısınız. kullanıcı şifresini değiştir yönetici. Daha sonra başlatma prosedürünü uygulamanız gerekir (komut başlatılamıyor) bu sırada lisans verileri girilir ve rastgele sayı sensörü (RNS) başlatılır.
Dikkat! S-Terra CC başlatıldığında, güvenlik ağ geçidi arayüzlerinin paketlerin geçişine izin vermediği bir güvenlik politikası oluşturulur. Ya kendi politikanızı oluşturmalı ya da komutu kullanmalısınız. csconf_mgr active komutunu çalıştırın önceden tanımlanmış bir izin verme politikasını etkinleştirin.
Daha sonra, harici ve dahili arayüzlerin adreslemesinin yanı sıra varsayılan rotayı da yapılandırmanız gerekir. CS ağ yapılandırmasıyla çalışmak ve şifrelemeyi Cisco benzeri bir konsol aracılığıyla yapılandırmak tercih edilir. Bu konsol, Cisco IOS komutlarına benzer komutların girilmesi için tasarlanmıştır. Cisco benzeri konsol kullanılarak oluşturulan konfigürasyon, işletim sistemi arka plan programlarının birlikte çalıştığı ilgili konfigürasyon dosyalarına dönüştürülür. Yönetim konsolundan Cisco benzeri konsola şu komutla gidebilirsiniz: yapılandırmak.
Yerleşik kullanıcı cscon'larının şifrelerini değiştirin ve şunları etkinleştirin:
>etkinleştir
Şifre: csp(önceden yüklenmiş)
#terminali yapılandır
#kullanıcı adı cscons ayrıcalık 15 gizli 0 #enable gizli 0 Temel ağ yapılandırmasını ayarlama:
#arayüz GigabitEthernet0/0
#ip adresi 10.111.21.3 255.255.255.0
#kapanma yok
#arayüz GigabitEthernet0/1
#ip adresi 192.168.2.5 255.255.255.252
#kapanma yok
#ip rotası 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Cisco benzeri konsoldan çıkın ve şu komutla debian kabuğuna gidin sistem. Kullanıcı için kendi şifrenizi belirleyin kök takım passwd.
Her kontrol odasında, her saha için ayrı bir tünel yapılandırılmıştır. Tünel arayüzü dosyada yapılandırılmıştır / Etc / network / interfaces. Önceden yüklenmiş iproute2 setinde bulunan IP tüneli yardımcı programı, arayüzün kendisinin oluşturulmasından sorumludur. Arayüz oluşturma komutu ön yükleme seçeneğine yazılır.
Tipik bir tünel arayüzünün örnek konfigürasyonu:
otomobil sitesi1
iface site1 inet statik
192.168.1.4 adresi
ağ maskesi 255.255.255.254
ön kurulum ip tüneli site1 modunu ekle yerel 10.111.21.3 uzak 10.111.22.3 anahtarı hfLYEg^vCh6p
Dikkat! Tünel arayüzlerine ilişkin ayarların bölümün dışında yer alması gerektiğine dikkat edilmelidir.
###netifcfg-begin###
*****
###netifcfg-end###
Aksi takdirde Cisco benzeri bir konsol üzerinden fiziksel arayüzlerin ağ ayarları değiştirildiğinde bu ayarların üzerine yazılacaktır.
Dinamik yönlendirme
S-Terra'da dinamik yönlendirme Quagga yazılım paketi kullanılarak uygulanır. OSPF'yi yapılandırmak için arka plan programlarını etkinleştirmemiz ve yapılandırmamız gerekir. zebra и ospfd. Zebra arka plan programı, yönlendirme servisleri ile işletim sistemi arasındaki iletişimden sorumludur. Ospfd arka plan programı, adından da anlaşılacağı gibi, OSPF protokolünün uygulanmasından sorumludur.
OSPF, arka plan programı konsolu aracılığıyla veya doğrudan yapılandırma dosyası aracılığıyla yapılandırılır /etc/quagga/ospfd.conf. Dinamik yönlendirmeye katılan tüm fiziksel ve tünel arayüzleri dosyaya eklenerek reklam verilecek ve duyuru alınacak ağlar da bildirilir.
Eklenmesi gereken konfigürasyona bir örnek ospfd.conf:
arayüz eth0
!
arayüz eth1
!
arayüz sitesi1
!
arayüz sitesi2
yönlendirici ospf
ospf yönlendirici kimliği 192.168.2.21
ağ 192.168.1.4/31 alanı 0.0.0.0
ağ 192.168.1.16/31 alanı 0.0.0.0
ağ 192.168.2.4/30 alanı 0.0.0.0
Bu durumda 192.168.1.x/31 adresleri siteler arasındaki tünel ptp ağları için ayrılır, 192.168.2.x/30 adresleri ise CS ile çekirdek yönlendiricileri arasındaki geçiş ağları için ayrılır.
Dikkat! Büyük kurulumlarda yönlendirme tablosunu azaltmak için, toplu taşıma ağlarının duyurularını yapıları kullanarak filtreleyebilirsiniz. yeniden dağıtım bağlı değil veya bağlı rota haritasını yeniden dağıtın.
Arka plan programlarını yapılandırdıktan sonra, arka plan programlarının başlangıç durumunu değiştirmeniz gerekir. /etc/quagga/daemon'lar. Seçeneklerde zebra и ospfd evet'te değişiklik yok. Quagga arka plan programını başlatın ve KS komutunu başlattığınızda otomatik çalıştırmaya ayarlayın update-rc.d quagga'yı etkinleştir.
GRE tünellerinin ve OSPF'nin konfigürasyonu doğru yapılırsa, diğer sitelerin ağındaki rotalar KSh ve çekirdek yönlendiricilerde görünmeli ve böylece yerel ağlar arasında ağ bağlantısı ortaya çıkmalıdır.
İletilen trafiği şifreliyoruz
Daha önce yazıldığı gibi, genellikle siteler arasında şifreleme yaparken, aralarındaki trafiğin şifrelendiği IP adresi aralıklarını (ACL'ler) belirtiriz: kaynak ve hedef adresleri bu aralıkların içindeyse, aralarındaki trafik şifrelenir. Ancak bu projede yapı dinamik olup adresler değişebilir. GRE tünellemeyi zaten yapılandırdığımız için, trafiği şifrelemek için kaynak ve hedef adresler olarak harici KS adreslerini belirtebiliriz; sonuçta GRE protokolü tarafından zaten kapsüllenmiş olan trafik şifreleme için gelir. Başka bir deyişle, bir sitenin yerel ağından diğer siteler tarafından duyurulan ağlara kadar CS'ye giren her şey şifrelenir. Ve sitelerin her birinde herhangi bir yönlendirme gerçekleştirilebilir. Böylece yerel ağlarda herhangi bir değişiklik olması durumunda yöneticinin yalnızca kendi ağından ağa gelen duyuruları değiştirmesi yeterli olacaktır ve bu duyurular diğer sitelerin kullanımına açılacaktır.
S-Terra CS'de şifreleme IPSec protokolü kullanılarak gerçekleştirilir. GOST R 34.12-2015'e uygun olarak “Çekirge” algoritmasını kullanıyoruz ve eski sürümlerle uyumluluk için GOST 28147-89'u kullanabilirsiniz. Kimlik doğrulama teknik olarak hem önceden tanımlanmış anahtarlar (PSK'ler) hem de sertifikalar üzerinde gerçekleştirilebilir. Ancak endüstriyel işletmede GOST R 34.10-2012'ye uygun olarak verilen sertifikaların kullanılması gerekmektedir.
Sertifikalar, kapsayıcılar ve CRL'lerle çalışmak yardımcı program kullanılarak yapılır sertifika_mgr. Her şeyden önce, komutu kullanarak cert_mgr oluştur Sertifika Yönetim Merkezi'ne gönderilecek özel bir anahtar kabı ve bir sertifika talebi oluşturmak gerekir. Sertifikayı aldıktan sonra, kök CA sertifikası ve (kullanılıyorsa) CRL ile birlikte komutla içe aktarılmalıdır. cert_mgr içe aktarma. Komutu ile tüm sertifikaların ve CRL’lerin kurulu olduğundan emin olabilirsiniz. cert_mgr gösterisi.
Sertifikaları başarıyla yükledikten sonra IPSec'i yapılandırmak için Cisco benzeri konsola gidin.
İş ortağının onayına sunulacak, oluşturulan güvenli kanalın istenen algoritmalarını ve parametrelerini belirten bir IKE politikası oluşturuyoruz.
#crypto isakmp politikası 1000
#encr gost341215k
#hash gost341112-512-tc26
#kimlik doğrulama işareti
#grup vko2
#ömür boyu 3600
Bu politika, IPSec'in ilk aşamasını oluştururken uygulanır. İlk aşamanın başarıyla tamamlanmasının sonucu SA'nın (Güvenlik Derneği) kurulmasıdır.
Daha sonra, şifreleme için kaynak ve hedef IP adreslerinin (ACL) bir listesini tanımlamamız, bir dönüşüm kümesi oluşturmamız, bir şifreleme haritası (kripto haritası) oluşturmamız ve bunu CS'nin harici arayüzüne bağlamamız gerekiyor.
ACL'yi ayarlayın:
#ip erişim listesi genişletilmiş site1
#permit gre ana bilgisayarı 10.111.21.3 ana bilgisayarı 10.111.22.3
Bir dizi dönüşüm (ilk aşamada olduğu gibi, simülasyon ekleme oluşturma modunu kullanarak "Çekirge" şifreleme algoritmasını kullanıyoruz):
#crypto ipsec dönüşüm seti GOST esp-gost341215k-mac
Bir kripto haritası oluşturuyoruz, ACL'yi belirliyoruz, dönüşüm kümesini ve eş adresini belirliyoruz:
#kripto haritası ANA 100 ipsec-isakmp
#eşleşme adresi site1
#set dönüşüm seti GOST
#eşi ayarla 10.111.22.3
Kripto kartını yazar kasanın harici arayüzüne bağlarız:
#arayüz GigabitEthernet0/0
#ip adresi 10.111.21.3 255.255.255.0
#kripto haritası ANA
Kanalları diğer sitelerle şifrelemek için ACL ve kripto kartı oluşturma, ACL adını, IP adreslerini ve kripto kartı numarasını değiştirme prosedürünü tekrarlamanız gerekir.
Dikkat! CRL sertifika doğrulaması kullanılmıyorsa bunun açıkça belirtilmesi gerekir:
#crypto pki güven noktası s-terra_technological_trustpoint
#revation-check hiçbiri
Bu noktada kurulum tamamlanmış sayılabilir. Cisco benzeri konsol komut çıkışında kripto isakmp sa'yı göster и göster kripto ipsec sa IPSec'in oluşturulan birinci ve ikinci aşamaları yansıtılmalıdır. Aynı bilgi komut kullanılarak da elde edilebilir. sa_mgr gösterisi, debian kabuğundan çalıştırıldı. Komut çıkışında cert_mgr gösterisi Uzak site sertifikaları görünmelidir. Bu tür sertifikaların durumu şu şekilde olacaktır: uzak. Tüneller inşa edilmiyorsa dosyada saklanan VPN hizmet günlüğüne bakmanız gerekir. /var/log/cspvpngate.log. Günlük dosyalarının tam listesi ve içeriklerinin açıklaması belgelerde mevcuttur.
Sistemin “sağlığının” izlenmesi
S-Terra CC, izleme için standart snmpd arka plan programını kullanır. Tipik Linux parametrelerine ek olarak S-Terra, IPSec tünellerinin durumunu izlerken kullandığımız CISCO-IPSEC-FLOW-MONITOR-MIB'ye uygun olarak IPSec tünelleri hakkında veri yayınlamayı destekler. Komut dosyası yürütme sonuçlarını değer olarak çıkaran özel OID'lerin işlevselliği de desteklenir. Bu özellik sertifikanın son kullanma tarihlerini takip etmemizi sağlar. Yazılı komut dosyası komut çıktısını ayrıştırır cert_mgr gösterisi ve sonuç olarak yerel ve kök sertifikaların süresinin dolmasına kadar geçen gün sayısını verir. Bu teknik, çok sayıda KABG uygulanırken vazgeçilmezdir.
Böyle bir şifrelemenin faydası nedir?
Yukarıda açıklanan tüm işlevler, S-Terra KSh tarafından kutudan çıktığı haliyle desteklenir. Yani kripto ağ geçitlerinin sertifikasyonunu ve tüm bilgi sisteminin sertifikasyonunu etkileyebilecek herhangi bir ek modül kurulmasına gerek yoktu. Siteler arasında herhangi bir kanal olabilir, hatta internet üzerinden de olabilir.
Dahili altyapı değiştiğinde kripto ağ geçitlerinin yeniden yapılandırılmasına gerek kalmaması nedeniyle, sistem bir hizmet olarak çalışırBu, müşteri için çok uygundur: Hizmetlerini (istemci ve sunucu) herhangi bir adrese yerleştirebilir ve tüm değişiklikler, şifreleme ekipmanı arasında dinamik olarak aktarılacaktır.
Elbette, genel masraflar (yük) nedeniyle şifreleme, veri aktarım hızını etkiler, ancak çok az - kanal verimi maksimum% 5-10 oranında azalabilir. Aynı zamanda teknoloji oldukça kararsız ve düşük bant genişliğine sahip uydu kanallarında bile test edilmiş ve iyi sonuçlar vermiştir.
Igor Vinokhodov, Rostelecom-Solar'ın 2. yönetim hattının mühendisi
Kaynak: habr.com