Nếu công ty của bạn truyền hoặc nhận dữ liệu cá nhân và thông tin bí mật khác qua mạng được bảo vệ theo pháp luật thì bắt buộc phải sử dụng mã hóa GOST. Hôm nay chúng tôi sẽ cho bạn biết cách chúng tôi triển khai mã hóa như vậy dựa trên cổng mật mã S-Terra (CS) tại một trong các khách hàng. Câu chuyện này sẽ được các chuyên gia bảo mật thông tin cũng như các kỹ sư, nhà thiết kế và kiến trúc sư quan tâm. Chúng tôi sẽ không đi sâu vào các sắc thái của cấu hình kỹ thuật trong bài đăng này; chúng tôi sẽ tập trung vào những điểm chính của thiết lập cơ bản. Khối lượng lớn tài liệu về cách thiết lập các daemon của hệ điều hành Linux, nền tảng của S-Terra CS, được cung cấp miễn phí trên Internet. Tài liệu thiết lập phần mềm S-Terra độc quyền cũng được cung cấp công khai trên nhà sản xuất.
Một vài lời về dự án
Cấu trúc liên kết mạng của khách hàng là tiêu chuẩn - dạng lưới đầy đủ giữa trung tâm và các chi nhánh. Cần phải triển khai mã hóa các kênh trao đổi thông tin giữa tất cả các trang web, trong đó có 8 kênh.
Thông thường trong các dự án như vậy, mọi thứ đều tĩnh: các tuyến tĩnh đến mạng cục bộ của trang web được đặt trên cổng mật mã (CG), danh sách địa chỉ IP (ACL) để mã hóa được đăng ký. Tuy nhiên, trong trường hợp này, các trang web không có quyền kiểm soát tập trung và bất kỳ điều gì cũng có thể xảy ra bên trong mạng cục bộ của chúng: mạng có thể được thêm, xóa và sửa đổi theo mọi cách có thể. Để tránh phải cấu hình lại định tuyến và ACL trên KS khi thay đổi địa chỉ của mạng cục bộ tại các trang web, người ta đã quyết định sử dụng định tuyến động GRE và định tuyến động OSPF, bao gồm tất cả KS và hầu hết các bộ định tuyến ở cấp lõi mạng tại các trang web ( tại một số trang web, quản trị viên cơ sở hạ tầng ưu tiên sử dụng SNAT hơn KS trên bộ định tuyến hạt nhân).
Đường hầm GRE cho phép chúng tôi giải quyết hai vấn đề:
1. Sử dụng địa chỉ IP của giao diện bên ngoài của CS để mã hóa trong ACL, đóng gói tất cả lưu lượng truy cập được gửi đến các trang web khác.
2. Tổ chức các đường hầm ptp giữa các CS, cho phép bạn định cấu hình định tuyến động (trong trường hợp của chúng tôi, MPLS L3VPN của nhà cung cấp được tổ chức giữa các trang web).
Khách hàng đã yêu cầu thực hiện mã hóa như một dịch vụ. Nếu không, anh ta sẽ không chỉ phải duy trì các cổng tiền điện tử hoặc thuê chúng cho một số tổ chức mà còn phải giám sát độc lập vòng đời của chứng chỉ mã hóa, gia hạn chúng kịp thời và cài đặt những cái mới.
Và bây giờ là bản ghi nhớ thực tế - cách thức và nội dung chúng tôi thiết lập
Lưu ý đối với chủ đề CII: thiết lập cổng tiền điện tử
Thiết lập mạng cơ bản
Trước hết, chúng tôi khởi chạy CS mới và vào bảng điều khiển quản trị. Bạn nên bắt đầu bằng cách thay đổi mật khẩu quản trị viên tích hợp - lệnh thay đổi mật khẩu người dùng quản trị viên. Sau đó bạn cần thực hiện thủ tục khởi tạo (lệnh khởi tạo) trong đó dữ liệu giấy phép được nhập và cảm biến số ngẫu nhiên (RNS) được khởi tạo.
Chú ý! Khi S-Terra CC được khởi tạo, chính sách bảo mật được thiết lập trong đó các giao diện cổng bảo mật không cho phép các gói đi qua. Bạn phải tạo chính sách của riêng mình hoặc sử dụng lệnh chạy csconf_mgr kích hoạt kích hoạt chính sách cho phép được xác định trước.
Tiếp theo, bạn cần định cấu hình địa chỉ của giao diện bên ngoài và bên trong, cũng như tuyến đường mặc định. Tốt nhất nên làm việc với cấu hình mạng CS và định cấu hình mã hóa thông qua bảng điều khiển giống như Cisco. Bảng điều khiển này được thiết kế để nhập các lệnh tương tự như các lệnh Cisco IOS. Lần lượt, cấu hình được tạo bằng bảng điều khiển giống như Cisco sẽ được chuyển đổi thành các tệp cấu hình tương ứng mà các trình nền hệ điều hành hoạt động. Bạn có thể truy cập bảng điều khiển giống Cisco từ bảng điều khiển quản trị bằng lệnh cấu hình.
Thay đổi mật khẩu cho cscons người dùng tích hợp và kích hoạt:
> kích hoạt
Mật khẩu: csp (được cài đặt sẵn)
#cấu hình thiết bị đầu cuối
#username cscons đặc quyền 15 bí mật 0 #bật bí mật 0 Thiết lập cấu hình mạng cơ bản:
#giao diện GigabitEthernet0/0
#địa chỉ ip 10.111.21.3 255.255.255.0
#không tắt máy
#giao diện GigabitEthernet0/1
#địa chỉ ip 192.168.2.5 255.255.255.252
#không tắt máy
#ip tuyến 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Thoát khỏi bảng điều khiển giống Cisco và đi tới debian shell bằng lệnh hệ thống. Đặt mật khẩu riêng cho người dùng nguồn gốc đội passwd.
Tại mỗi phòng điều khiển, một đường hầm riêng được cấu hình cho từng địa điểm. Giao diện đường hầm được cấu hình trong tệp / etc / network / interface. Tiện ích đường hầm IP, có trong bộ iproute2 được cài đặt sẵn, chịu trách nhiệm tự tạo giao diện. Lệnh tạo giao diện được ghi vào tùy chọn cài đặt sẵn.
Cấu hình ví dụ của giao diện đường hầm điển hình:
trang web ô tô1
iface site1 inet tĩnh
địa chỉ 192.168.1.4
mặt nạ mạng 255.255.255.254
cài đặt sẵn đường hầm ip thêm chế độ site1 gre local 10.111.21.3 remote 10.111.22.3 key hfLYEg^vCh6p
Chú ý! Cần lưu ý rằng các cài đặt cho giao diện đường hầm phải được đặt bên ngoài phần
###netifcfg-bắt đầu###
*****
###netifcfg-end###
Nếu không, các cài đặt này sẽ bị ghi đè khi thay đổi cài đặt mạng của giao diện vật lý thông qua bảng điều khiển giống như Cisco.
Định tuyến động
Trong S-Terra, định tuyến động được triển khai bằng gói phần mềm Quagga. Để định cấu hình OSPF, chúng ta cần kích hoạt và định cấu hình daemon ngựa vằn и ospfd. Daemon ngựa vằn chịu trách nhiệm liên lạc giữa các daemon định tuyến và HĐH. Daemon ospfd, như tên cho thấy, chịu trách nhiệm triển khai giao thức OSPF.
OSPF được cấu hình thông qua bảng điều khiển daemon hoặc trực tiếp thông qua tệp cấu hình /etc/quagga/ospfd.conf. Tất cả các giao diện vật lý và đường hầm tham gia định tuyến động đều được thêm vào tệp và các mạng sẽ được quảng cáo và nhận thông báo cũng được khai báo.
Một ví dụ về cấu hình cần được thêm vào ospfd.conf:
giao diện eth0
!
giao diện eth1
!
giao diện trang 1
!
giao diện trang 2
bộ định tuyến ospf
ospf bộ định tuyến-id 192.168.2.21
mạng 192.168.1.4/31 khu vực 0.0.0.0
mạng 192.168.1.16/31 khu vực 0.0.0.0
mạng 192.168.2.4/30 khu vực 0.0.0.0
Trong trường hợp này, địa chỉ 192.168.1.x/31 được dành riêng cho mạng ptp đường hầm giữa các trang web, địa chỉ 192.168.2.x/30 được phân bổ cho mạng chuyển tuyến giữa CS và bộ định tuyến hạt nhân.
Chú ý! Để giảm bảng định tuyến trong các cài đặt lớn, bạn có thể lọc quảng cáo của chính các mạng chuyển tuyến bằng cách sử dụng cấu trúc không có kết nối phân phối lại hoặc phân phối lại bản đồ lộ trình được kết nối.
Sau khi định cấu hình các daemon, bạn cần thay đổi trạng thái khởi động của các daemon trong /etc/quagga/daemon. Trong tùy chọn ngựa vằn и ospfd không thay đổi thành có. Khởi động daemon quagga và đặt nó ở chế độ tự động chạy khi bạn khởi động lệnh KS kích hoạt update-rc.d quagga.
Nếu cấu hình của đường hầm GRE và OSPF được thực hiện chính xác thì các tuyến trong mạng của các trang web khác sẽ xuất hiện trên KSH và bộ định tuyến lõi, do đó, kết nối mạng giữa các mạng cục bộ sẽ phát sinh.
Chúng tôi mã hóa lưu lượng truyền
Như đã viết, thông thường khi mã hóa giữa các trang web, chúng tôi chỉ định dải địa chỉ IP (ACL) giữa lưu lượng được mã hóa: nếu địa chỉ nguồn và đích nằm trong các phạm vi này thì lưu lượng giữa chúng sẽ được mã hóa. Tuy nhiên, trong dự án này cấu trúc là động và địa chỉ có thể thay đổi. Vì chúng tôi đã định cấu hình đường hầm GRE nên chúng tôi có thể chỉ định các địa chỉ KS bên ngoài làm địa chỉ nguồn và đích để mã hóa lưu lượng - xét cho cùng, lưu lượng đã được giao thức GRE đóng gói sẽ đến để mã hóa. Nói cách khác, mọi thứ vào CS từ mạng cục bộ của một trang web tới các mạng đã được các trang web khác công bố đều được mã hóa. Và trong mỗi trang web, mọi chuyển hướng đều có thể được thực hiện. Do đó, nếu có bất kỳ thay đổi nào trong mạng cục bộ, quản trị viên chỉ cần sửa đổi các thông báo từ mạng của mình tới mạng và thông báo đó sẽ có sẵn trên các trang web khác.
Mã hóa trong S-Terra CS được thực hiện bằng giao thức IPSec. Chúng tôi sử dụng thuật toán “Grasshopper” theo GOST R 34.12-2015 và để tương thích với các phiên bản cũ hơn, bạn có thể sử dụng GOST 28147-89. Về mặt kỹ thuật, việc xác thực có thể được thực hiện trên cả khóa xác định trước (PSK) và chứng chỉ. Tuy nhiên, trong hoạt động công nghiệp cần sử dụng các chứng chỉ được cấp theo GOST R 34.10-2012.
Làm việc với các chứng chỉ, vùng chứa và CRL được thực hiện bằng tiện ích chứng chỉ_mgr. Trước hết dùng lệnh cert_mgr tạo cần phải tạo vùng chứa khóa riêng và yêu cầu chứng chỉ, chúng sẽ được gửi đến Trung tâm quản lý chứng chỉ. Sau khi nhận được chứng chỉ, nó phải được nhập cùng với chứng chỉ CA gốc và CRL (nếu được sử dụng) bằng lệnh nhập cert_mgr. Bạn có thể đảm bảo rằng tất cả các chứng chỉ và CRL đều được cài đặt bằng lệnh hiển thị cert_mgr.
Sau khi cài đặt thành công chứng chỉ, hãy chuyển đến bảng điều khiển giống như Cisco để định cấu hình IPSec.
Chúng tôi tạo chính sách IKE chỉ định các thuật toán và tham số mong muốn của kênh bảo mật đang được tạo, chính sách này sẽ được cung cấp cho đối tác để phê duyệt.
#crypto chính sách isakmp 1000
#encr gost341215k
#băm gost341112-512-tc26
#dấu hiệu xác thực
#nhóm vko2
#cuộc đời 3600
Chính sách này được áp dụng khi xây dựng giai đoạn đầu tiên của IPSec. Kết quả hoàn thành thành công giai đoạn XNUMX là việc thành lập SA (Hiệp hội An ninh).
Tiếp theo, chúng ta cần xác định danh sách địa chỉ IP nguồn và đích (ACL) để mã hóa, tạo bộ biến đổi, tạo bản đồ mật mã (bản đồ mật mã) và liên kết nó với giao diện bên ngoài của CS.
Đặt ACL:
#ip danh sách truy cập trang web mở rộng1
#permit g máy chủ 10.111.21.3 máy chủ 10.111.22.3
Một tập hợp các phép biến đổi (giống như giai đoạn đầu tiên, chúng tôi sử dụng thuật toán mã hóa “Grasshopper” bằng chế độ tạo mô phỏng chèn):
#crypto ipsec bộ chuyển đổi GOST Esp-gost341215k-mac
Chúng tôi tạo bản đồ mật mã, chỉ định ACL, bộ biến đổi và địa chỉ ngang hàng:
#bản đồ tiền điện tử MAIN 100 ipsec-isakmp
#khớp địa chỉ site1
#set biến đổi-set GOST
#đặt ngang hàng 10.111.22.3
Chúng tôi liên kết thẻ mật mã với giao diện bên ngoài của máy tính tiền:
#giao diện GigabitEthernet0/0
#địa chỉ ip 10.111.21.3 255.255.255.0
#bản đồ tiền điện tử CHÍNH
Để mã hóa kênh với các trang web khác, bạn phải lặp lại quy trình tạo ACL và thẻ mật mã, thay đổi tên ACL, địa chỉ IP và số thẻ mật mã.
Chú ý! Nếu xác minh chứng chỉ bằng CRL không được sử dụng thì điều này phải được chỉ định rõ ràng:
#crypto pki Trustpoint s-terra_technological_trustpoint
#thu hồi-không kiểm tra
Tại thời điểm này, việc thiết lập có thể được coi là hoàn tất. Trong đầu ra lệnh của bảng điều khiển giống như Cisco hiển thị isakmp sa tiền điện tử и hiển thị ipsec mật mã sa Giai đoạn đầu tiên và thứ hai được xây dựng của IPSec phải được phản ánh. Thông tin tương tự có thể được lấy bằng lệnh chương trình sa_mgr, được thực thi từ debian shell. Trong đầu ra lệnh hiển thị cert_mgr Chứng chỉ trang web từ xa sẽ xuất hiện. Tình trạng của các chứng chỉ đó sẽ được xa. Nếu đường hầm không được xây dựng, bạn cần xem nhật ký dịch vụ VPN được lưu trong tệp /var/log/cspvpngate.log. Danh sách đầy đủ các tệp nhật ký kèm theo mô tả nội dung của chúng có sẵn trong tài liệu.
Theo dõi “sức khỏe” của hệ thống
S-Terra CC sử dụng daemon snmpd tiêu chuẩn để giám sát. Ngoài các tham số Linux thông thường, S-Terra hỗ trợ phát hành dữ liệu về đường hầm IPSec theo CISCO-IPSEC-FLOW-MONITOR-MIB, đây là những gì chúng tôi sử dụng khi giám sát trạng thái của đường hầm IPSec. Chức năng của OID tùy chỉnh xuất ra kết quả thực thi tập lệnh dưới dạng giá trị cũng được hỗ trợ. Tính năng này cho phép chúng tôi theo dõi ngày hết hạn chứng chỉ. Kịch bản viết phân tích đầu ra lệnh hiển thị cert_mgr và kết quả là đưa ra số ngày cho đến khi chứng chỉ gốc và chứng chỉ cục bộ hết hạn. Kỹ thuật này là không thể thiếu khi thực hiện một số lượng lớn CABG.
Lợi ích của việc mã hóa như vậy là gì?
Tất cả chức năng được mô tả ở trên đều được S-Terra KSh hỗ trợ ngay lập tức. Nghĩa là không cần cài đặt thêm bất kỳ mô-đun nào có thể ảnh hưởng đến việc chứng nhận cổng tiền điện tử và chứng nhận của toàn bộ hệ thống thông tin. Có thể có bất kỳ kênh nào giữa các trang web, thậm chí thông qua Internet.
Do thực tế là khi cơ sở hạ tầng nội bộ thay đổi, không cần phải cấu hình lại các cổng tiền điện tử, hệ thống hoạt động như một dịch vụ, điều này rất thuận tiện cho khách hàng: anh ta có thể đặt dịch vụ của mình (máy khách và máy chủ) tại bất kỳ địa chỉ nào và mọi thay đổi sẽ được chuyển động giữa các thiết bị mã hóa.
Tất nhiên, mã hóa do chi phí chung (overhead) ảnh hưởng đến tốc độ truyền dữ liệu, nhưng chỉ một chút - thông lượng kênh có thể giảm tối đa 5-10%. Đồng thời, công nghệ này đã được thử nghiệm và cho kết quả tốt ngay cả trên các kênh vệ tinh vốn khá không ổn định và có băng thông thấp.
Igor Vinokhodov, kỹ sư quản lý tuyến thứ 2 của Rostelecom-Solar
Nguồn: www.habr.com