Agar sizning kompaniyangiz qonunga muvofiq himoya qilinishi kerak bo'lgan shaxsiy ma'lumotlar va boshqa maxfiy ma'lumotlarni tarmoq orqali uzatsa yoki qabul qilsa, GOST shifrlashdan foydalanish talab qilinadi. Bugun biz mijozlardan birida S-Terra kripto shlyuzi (CS) asosida bunday shifrlashni qanday amalga oshirganimizni aytib beramiz. Ushbu hikoya axborot xavfsizligi bo'yicha mutaxassislar, shuningdek, muhandislar, dizaynerlar va arxitektorlar uchun qiziqarli bo'ladi. Biz ushbu postda texnik konfiguratsiyaning nuanslariga chuqur kirmaymiz, asosiy o'rnatishning asosiy nuqtalariga e'tibor qaratamiz. S-Terra CS asoslangan Linux OS demonlarini o'rnatish bo'yicha katta hajmdagi hujjatlar Internetda bepul mavjud. Xususiy S-Terra dasturiy ta'minotini o'rnatish uchun hujjatlar ham ochiq ishlab chiqaruvchi.
Loyiha haqida bir necha so'z
Mijozning tarmoq topologiyasi standart edi - markaz va filiallar o'rtasida to'liq tarmoq. Barcha saytlar o'rtasida ma'lumot almashish kanallarini shifrlashni joriy qilish kerak edi, ulardan 8 tasi bor edi.
Odatda bunday loyihalarda hamma narsa statik: saytning mahalliy tarmog'iga statik marshrutlar kripto shlyuzlarida (CG) o'rnatiladi, shifrlash uchun IP manzillar ro'yxati (ACL) ro'yxatga olinadi. Biroq, bu holda, saytlar markazlashtirilgan boshqaruvga ega emas va ularning mahalliy tarmoqlari ichida hamma narsa sodir bo'lishi mumkin: tarmoqlarni har qanday usulda qo'shish, o'chirish va o'zgartirish mumkin. Saytlarda mahalliy tarmoqlarning manzilini o'zgartirishda KSda marshrutlash va ACLni qayta sozlashni oldini olish uchun saytlardagi tarmoq yadrosi darajasidagi barcha KS va ko'pgina marshrutizatorlarni o'z ichiga olgan GRE tunnellash va OSPF dinamik marshrutlashdan foydalanishga qaror qilindi ( ba'zi saytlarda infratuzilma ma'murlari yadro routerlarida KSga nisbatan SNAT dan foydalanishni afzal ko'rishadi).
GRE tunneli bizga ikkita muammoni hal qilishga imkon berdi:
1. Boshqa saytlarga yuborilgan barcha trafikni qamrab oluvchi ACLda shifrlash uchun CS tashqi interfeysining IP manzilidan foydalaning.
2. CS-lar o'rtasida ptp tunnellarini tashkil qiling, bu sizga dinamik marshrutlashni sozlash imkonini beradi (bizning holatlarimizda provayderning MPLS L3VPN saytlar o'rtasida tashkil etilgan).
Mijoz xizmat sifatida shifrlashni amalga oshirishni buyurdi. Aks holda, u nafaqat kripto shlyuzlarini saqlab turishi yoki ularni biron bir tashkilotga topshirishi, balki shifrlash sertifikatlarining hayot aylanishini mustaqil ravishda kuzatishi, ularni o'z vaqtida yangilashi va yangilarini o'rnatishi kerak edi.
Va endi haqiqiy eslatma - biz qanday va nimani sozlaganmiz
CII mavzusiga eslatma: kripto shlyuzini o'rnatish
Asosiy tarmoqni sozlash
Avvalo, biz yangi CS-ni ishga tushiramiz va boshqaruv konsoliga kiramiz. Siz o'rnatilgan administrator parolini - buyrug'ini o'zgartirishdan boshlashingiz kerak foydalanuvchi paroli administratorini o'zgartirish. Keyin ishga tushirish jarayonini bajarishingiz kerak (buyruq ishga tushirish) uning davomida litsenziya ma'lumotlari kiritiladi va tasodifiy raqamlar sensori (RNS) ishga tushiriladi.
E'tibor bering! S-Terra CC ishga tushirilganda, xavfsizlik shlyuzi interfeyslari paketlarning o'tishiga yo'l qo'ymaydigan xavfsizlik siyosati o'rnatiladi. Siz o'z siyosatingizni yaratishingiz yoki buyruqni ishlatishingiz kerak csconf_mgr activate-ni ishga tushiring oldindan belgilangan ruxsat berish siyosatini faollashtirish.
Keyinchalik, siz tashqi va ichki interfeyslarning manzillarini, shuningdek, standart marshrutni sozlashingiz kerak. CS tarmoq konfiguratsiyasi bilan ishlash va Cisco-ga o'xshash konsol orqali shifrlashni sozlash afzalroqdir. Ushbu konsol Cisco IOS buyruqlariga o'xshash buyruqlarni kiritish uchun mo'ljallangan. Cisco-ga o'xshash konsol yordamida yaratilgan konfiguratsiya, o'z navbatida, OS demonlari ishlaydigan mos keladigan konfiguratsiya fayllariga aylantiriladi. Buyruq bilan boshqaruv konsolidan Cisco-ga o'xshash konsolga o'tishingiz mumkin yapΔ±landΔ±rΔ±r.
O'rnatilgan foydalanuvchi cscon'lari uchun parollarni o'zgartiring va quyidagilarni yoqing:
>yoqish
Parol: csp (oldindan o'rnatilgan)
#terminalni sozlash
#username cscons privilege 15 secret 0 #enable secret 0 Asosiy tarmoq konfiguratsiyasini sozlash:
#interfeys GigabitEthernet0/0
#ip manzil 10.111.21.3 255.255.255.0
#o'chirish yo'q
#interfeys GigabitEthernet0/1
#ip manzil 192.168.2.5 255.255.255.252
#o'chirish yo'q
#ip marshruti 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Cisco-ga o'xshash konsoldan chiqing va buyruq bilan debian qobig'iga o'ting tizim. Foydalanuvchi uchun o'z parolingizni o'rnating ildiz jamoa passwd.
Har bir nazorat xonasida har bir uchastka uchun alohida tunnel tuzilgan. Tunnel interfeysi faylda sozlangan / etc / network / interfeyslari. Oldindan o'rnatilgan iproute2 to'plamiga kiritilgan IP tunnel yordam dasturi interfeysning o'zini yaratish uchun javobgardir. Interfeys yaratish buyrug'i oldindan opsiyaga yoziladi.
Oddiy tunnel interfeysi konfiguratsiyasiga misol:
avtomatik sayt 1
iface sayt1 inet statik
192.168.1.4 manzili
tarmoq niqobi 255.255.255.254
pre-up ip tunnel qo'shish sayt1 rejimi gre mahalliy 10.111.21.3 masofaviy 10.111.22.3 kalit hfLYEg^vCh6p
E'tibor bering! Shuni ta'kidlash kerakki, tunnel interfeyslari uchun sozlamalar bo'limdan tashqarida joylashgan bo'lishi kerak
###netifcfg-begin###
*****
###netifcfg-end###
Aks holda, Cisco-ga o'xshash konsol orqali jismoniy interfeyslarning tarmoq sozlamalarini o'zgartirganda ushbu sozlamalar qayta yoziladi.
Dinamik marshrutlash
S-Terra-da dinamik marshrutlash Quagga dasturiy paketi yordamida amalga oshiriladi. OSPFni sozlash uchun biz demonlarni yoqishimiz va sozlashimiz kerak Zopakda ΠΈ ospfd. Zebra demoni marshrutlash demonlari va OT o'rtasidagi aloqa uchun javobgardir. Ospfd demoni, nomidan ko'rinib turibdiki, OSPF protokolini amalga oshirish uchun javobgardir.
OSPF daemon konsoli orqali yoki to'g'ridan-to'g'ri konfiguratsiya fayli orqali sozlanadi /etc/quagga/ospfd.conf. Dinamik marshrutlashda ishtirok etadigan barcha jismoniy va tunnel interfeyslari faylga qo'shiladi va reklama qilinadigan va e'lonlarni qabul qiladigan tarmoqlar ham e'lon qilinadi.
Qo'shilishi kerak bo'lgan konfiguratsiyaga misol ospfd.conf:
eth0 interfeysi
!
eth1 interfeysi
!
interfeys sayti 1
!
interfeys sayti 2
router ospf
ospf router-identifikatori 192.168.2.21
tarmoq 192.168.1.4/31 maydoni 0.0.0.0
tarmoq 192.168.1.16/31 maydoni 0.0.0.0
tarmoq 192.168.2.4/30 maydoni 0.0.0.0
Bunday holda, 192.168.1.x/31 manzillari saytlar orasidagi tunnel ptp tarmoqlari uchun ajratilgan, 192.168.2.x/30 manzillari CS va yadro routerlari orasidagi tranzit tarmoqlar uchun ajratilgan.
E'tibor bering! Katta o'rnatishlarda marshrutlash jadvalini kamaytirish uchun siz konstruktsiyalar yordamida tranzit tarmoqlarning o'zlari e'lonlarini filtrlashingiz mumkin. qayta tarqatish ulanmagan yoki ulangan marshrut xaritasini qayta taqsimlash.
Demonlarni sozlaganingizdan so'ng, demonlarning ishga tushirish holatini o'zgartirishingiz kerak /etc/quagga/daemons. Variantlar ichida Zopakda ΠΈ ospfd ha ga o'zgarish yo'q. Quagga demonini ishga tushiring va KS buyrug'ini ishga tushirganingizda uni autorunga o'rnating update-rc.d quagga yoqish.
Agar GRE tunnellari va OSPF konfiguratsiyasi to'g'ri bajarilgan bo'lsa, u holda boshqa saytlar tarmog'idagi marshrutlar KSh va asosiy routerlarda paydo bo'lishi kerak va shu bilan mahalliy tarmoqlar o'rtasida tarmoq ulanishi paydo bo'ladi.
Biz uzatilgan trafikni shifrlaymiz
Yuqorida aytib o'tilganidek, odatda saytlar o'rtasida shifrlashda biz trafik shifrlangan IP-manzil diapazonlarini (ACL) belgilaymiz: agar manba va maqsad manzillari ushbu diapazonlarga kirsa, ular orasidagi trafik shifrlangan. Biroq, ushbu loyihada struktura dinamik va manzillar o'zgarishi mumkin. Biz allaqachon GRE tunnelini sozlaganimiz sababli, trafikni shifrlash uchun manba va maqsad manzillari sifatida tashqi KS manzillarini belgilashimiz mumkin - axir, GRE protokoli bilan allaqachon qamrab olingan trafik shifrlash uchun keladi. Boshqacha qilib aytadigan bo'lsak, bitta saytning mahalliy tarmog'idan boshqa saytlar tomonidan e'lon qilingan tarmoqlargacha CS-ga kiradigan hamma narsa shifrlangan. Va har bir sayt ichida har qanday qayta yo'naltirish amalga oshirilishi mumkin. Shunday qilib, agar mahalliy tarmoqlarda biron bir o'zgarish bo'lsa, administrator faqat o'z tarmog'idan tarmoqqa kelayotgan e'lonlarni o'zgartirishi kerak va u boshqa saytlar uchun ham mavjud bo'ladi.
S-Terra CS da shifrlash IPSec protokoli yordamida amalga oshiriladi. Biz GOST R 34.12-2015 ga muvofiq "Grasshopper" algoritmidan foydalanamiz va eski versiyalar bilan muvofiqligi uchun siz GOST 28147-89 dan foydalanishingiz mumkin. Autentifikatsiya texnik jihatdan ham oldindan belgilangan kalitlarda (PSK) ham, sertifikatlarda ham amalga oshirilishi mumkin. Biroq, sanoat ekspluatatsiyasida GOST R 34.10-2012 bo'yicha berilgan sertifikatlardan foydalanish kerak.
Sertifikatlar, konteynerlar va CRLlar bilan ishlash yordamchi dastur yordamida amalga oshiriladi cert_mgr. Avvalo, buyruq yordamida cert_mgr yaratish shaxsiy kalit konteynerini va sertifikat so'rovini yaratish kerak, ular Sertifikatlarni boshqarish markaziga yuboriladi. Sertifikatni olgandan so'ng, uni ildiz CA sertifikati va CRL (agar foydalanilgan bo'lsa) buyruq bilan birga import qilish kerak. cert_mgr import. Buyruq yordamida barcha sertifikatlar va CRLlar o'rnatilganligiga ishonch hosil qilishingiz mumkin cert_mgr ko'rsatish.
Sertifikatlarni muvaffaqiyatli o'rnatganingizdan so'ng, IPSec-ni sozlash uchun Cisco-ga o'xshash konsolga o'ting.
Biz yaratilayotgan xavfsiz kanalning kerakli algoritmlari va parametrlarini belgilaydigan IKE siyosatini yaratamiz, u hamkorga tasdiqlash uchun taklif etiladi.
#crypto isakmp siyosati 1000
#encr gost341215k
#xesh gost341112-512-tc26
#autentifikatsiya belgisi
#guruh vko2
# umrbod 3600
Ushbu siyosat IPSec birinchi bosqichini yaratishda qo'llaniladi. Birinchi bosqichning muvaffaqiyatli yakunlanishi natijasi SA (Xavfsizlik Assotsiatsiyasi) ning tashkil etilishidir.
Keyinchalik, shifrlash uchun manba va maqsad IP manzillari (ACL) ro'yxatini aniqlashimiz, transformatsiyalar to'plamini yaratishimiz, kriptografik xaritani (kripto xarita) yaratishimiz va uni CS ning tashqi interfeysiga ulashimiz kerak.
ACL sozlash:
#ip kirish ro'yxati kengaytirilgan sayt1
#permit gre host 10.111.21.3 xost 10.111.22.3
O'zgartirishlar to'plami (birinchi bosqichda bo'lgani kabi, biz simulyatsiya qo'shishni yaratish rejimidan foydalangan holda "Grasshopper" shifrlash algoritmidan foydalanamiz):
#crypto ipsec transform-set GOST esp-gost341215k-mac
Biz kripto xaritasini yaratamiz, ACLni belgilaymiz, to'plamni va tengdosh manzilini o'zgartiramiz:
#crypto map MAIN 100 ipsec-isakmp
#1-sayt manziliga mos keladi
#set transform-set GOST
#peer 10.111.22.3 ni o'rnating
Biz kripto kartani kassa apparatining tashqi interfeysiga bog'laymiz:
#interfeys GigabitEthernet0/0
#ip manzil 10.111.21.3 255.255.255.0
#kripto xaritasi ASOSIY
Boshqa saytlar bilan kanallarni shifrlash uchun siz ACL va kripto kartasini yaratish, ACL nomini, IP manzillarini va kripto karta raqamini o'zgartirish tartibini takrorlashingiz kerak.
E'tibor bering! Agar CRL tomonidan sertifikat tekshiruvi ishlatilmasa, bu aniq ko'rsatilishi kerak:
#crypto pki ishonch nuqtasi s-terra_technological_trustpoint
#revocation-hech birini tekshiring
Shu nuqtada, sozlash tugallangan deb hisoblanishi mumkin. Cisco-ga o'xshash konsolda buyruq chiqishi kripto isakmp sa ko'rsatish ΠΈ kripto ipsec sa ko'rsatish IPSec ning qurilgan birinchi va ikkinchi bosqichlari aks ettirilishi kerak. Xuddi shu ma'lumotni buyruq yordamida olish mumkin sa_mgr ko'rsatish, debian qobig'idan bajarilgan. Buyruqning chiqishida cert_mgr ko'rsatish Masofaviy sayt sertifikatlari paydo bo'lishi kerak. Bunday sertifikatlarning holati bo'ladi Masofadan turib. Agar tunnellar qurilmasa, faylda saqlanadigan VPN xizmati jurnaliga qarashingiz kerak /var/log/cspvpngate.log. Jurnal fayllarining to'liq ro'yxati ularning mazmuni tavsifi bilan hujjatlarda mavjud.
Tizimning "sog'lig'ini" kuzatish
S-Terra CC monitoring uchun standart snmpd demonidan foydalanadi. Oddiy Linux parametrlariga qo'shimcha ravishda, S-Terra CISCO-IPSEC-FLOW-MONITOR-MIB-ga muvofiq IPSec tunnellari haqida ma'lumotlarni chiqarishni qo'llab-quvvatlaydi, biz IPSec tunnellari holatini kuzatishda foydalanamiz. Skriptni bajarish natijalarini qiymat sifatida chiqaradigan maxsus OIDlarning funksionalligi ham qo'llab-quvvatlanadi. Bu xususiyat bizga sertifikatning amal qilish muddatini kuzatish imkonini beradi. Yozilgan skript buyruq chiqishini tahlil qiladi cert_mgr ko'rsatish va natijada mahalliy va ildiz sertifikatlari muddati tugaguniga qadar kunlar sonini beradi. Ko'p sonli CABGlarni qo'llashda ushbu usul ajralmas hisoblanadi.
Bunday shifrlashning foydasi nimada?
Yuqorida tavsiflangan barcha funksiyalar S-Terra KSh tomonidan qo'llab-quvvatlanadi. Ya'ni, kripto shlyuzlarini sertifikatlash va butun axborot tizimini sertifikatlashtirishga ta'sir qilishi mumkin bo'lgan qo'shimcha modullarni o'rnatishga hojat yo'q edi. Saytlar o'rtasida, hatto Internet orqali ham har qanday kanal bo'lishi mumkin.
Ichki infratuzilma o'zgarganda kripto shlyuzlarini qayta sozlashning hojati yo'qligi sababli, tizim xizmat sifatida ishlaydi, bu mijoz uchun juda qulay: u o'z xizmatlarini (mijoz va server) istalgan manzilga joylashtirishi mumkin va barcha o'zgarishlar shifrlash uskunalari o'rtasida dinamik ravishda uzatiladi.
Albatta, qo'shimcha xarajatlar (qo'shimcha xarajatlar) tufayli shifrlash ma'lumotlarni uzatish tezligiga ta'sir qiladi, ammo ozgina - kanalning o'tkazuvchanligi maksimal 5-10% ga kamayishi mumkin. Shu bilan birga, texnologiya ancha beqaror va past o'tkazish qobiliyatiga ega bo'lgan sun'iy yo'ldosh kanallarida ham sinovdan o'tkazildi va yaxshi natijalarni ko'rsatdi.
Igor Vinoxodov, Rostelecom-Solar boshqaruvining 2-liniyasi muhandisi
Manba: www.habr.com