Ti ile-iṣẹ rẹ ba tan kaakiri tabi gba data ti ara ẹni ati alaye asiri miiran lori nẹtiwọọki ti o wa labẹ aabo ni ibamu pẹlu ofin, o nilo lati lo fifi ẹnọ kọ nkan GOST. Loni a yoo sọ fun ọ bi a ṣe ṣe imuse iru fifi ẹnọ kọ nkan ti o da lori ẹnu-ọna S-Terra crypto (CS) ni ọkan ninu awọn alabara. Itan yii yoo jẹ iwulo si awọn alamọja aabo alaye, ati awọn ẹlẹrọ, awọn apẹẹrẹ ati awọn ayaworan. A kii yoo jinlẹ jinlẹ sinu awọn nuances ti iṣeto imọ-ẹrọ ni ifiweranṣẹ yii; a yoo dojukọ awọn aaye pataki ti iṣeto ipilẹ. Awọn ipele nla ti iwe lori siseto Linux OS daemons, lori eyiti S-Terra CS da, wa ni ọfẹ lori Intanẹẹti. Awọn iwe aṣẹ fun iṣeto sọfitiwia S-Terra ohun-ini jẹ tun wa ni gbangba lori olupese.
Awọn ọrọ diẹ nipa ise agbese na
Topology nẹtiwọọki alabara jẹ boṣewa - apapo kikun laarin aarin ati awọn ẹka. O jẹ dandan lati ṣafihan fifi ẹnọ kọ nkan ti awọn ikanni paṣipaarọ alaye laarin gbogbo awọn aaye, eyiti o jẹ 8.
Nigbagbogbo ninu iru awọn iṣẹ akanṣe ohun gbogbo jẹ aimi: awọn ọna aimi si nẹtiwọọki agbegbe ti aaye naa ti ṣeto lori awọn ẹnu-ọna crypto (CGs), awọn atokọ ti awọn adirẹsi IP (ACLs) fun fifi ẹnọ kọ nkan. Sibẹsibẹ, ninu ọran yii, awọn aaye naa ko ni iṣakoso aarin, ati pe ohunkohun le ṣẹlẹ ninu awọn nẹtiwọọki agbegbe wọn: awọn nẹtiwọọki le ṣafikun, paarẹ ati tunṣe ni gbogbo ọna ti o ṣeeṣe. Lati yago fun atunto ipa-ọna ati ACL lori KS nigbati o ba yipada adirẹsi ti awọn nẹtiwọọki agbegbe ni awọn aaye, o pinnu lati lo tunneling GRE ati ipa-ọna agbara OSPF, eyiti o pẹlu gbogbo KS ati awọn olulana pupọ julọ ni ipele ipilẹ nẹtiwọọki ni awọn aaye naa ( ni diẹ ninu awọn aaye, awọn alabojuto amayederun fẹ lati lo SNAT si ọna KS lori awọn olulana kernel).
Tunneling GRE gba wa laaye lati yanju awọn iṣoro meji:
1. Lo adiresi IP ti wiwo ita ti CS fun fifi ẹnọ kọ nkan ni ACL, eyiti o ṣafikun gbogbo ijabọ ti a firanṣẹ si awọn aaye miiran.
2. Ṣeto awọn eefin ptp laarin awọn CS, eyiti o gba ọ laaye lati tunto ipa-ọna ti o ni agbara (ninu ọran wa, MPLS L3VPN ti olupese ti ṣeto laarin awọn aaye naa).
Onibara paṣẹ imuse fifi ẹnọ kọ nkan bi iṣẹ kan. Bibẹẹkọ, kii yoo ni lati ṣetọju awọn ẹnu-ọna crypto nikan tabi ṣe alaye wọn si diẹ ninu awọn agbari, ṣugbọn tun ṣe atẹle ni ominira ni igbesi aye ti awọn iwe-ẹri fifi ẹnọ kọ nkan, tunse wọn ni akoko ati fi awọn tuntun sii.
Ati nisisiyi akọsilẹ gangan - bawo ati kini a tunto
Akiyesi si koko-ọrọ CII: ṣeto ẹnu-ọna crypto kan
Eto nẹtiwọki ipilẹ
Ni akọkọ, a ṣe ifilọlẹ CS tuntun kan ati wọle sinu console iṣakoso naa. O yẹ ki o bẹrẹ nipasẹ yiyipada ọrọ igbaniwọle alabojuto ti a ṣe sinu - pipaṣẹ yi olumulo ọrọigbaniwọle administrator. Lẹhinna o nilo lati ṣe ilana ibẹrẹ (aṣẹ initialize) lakoko eyiti data iwe-aṣẹ ti wa ni titẹ ati sensọ nọmba ID (RNS) ti wa ni ibẹrẹ.
San ifojusi! Nigbati S-Terra CC ti wa ni ipilẹṣẹ, eto imulo aabo ti fi idi mulẹ ninu eyiti awọn atọkun ẹnu-ọna aabo ko gba laaye awọn apo-iwe lati kọja. O gbọdọ ṣẹda eto imulo tirẹ tabi lo aṣẹ naa mu csconf_mgr ṣiṣẹ mu eto imulo gbigba ti a ti pinnu tẹlẹ ṣiṣẹ.
Nigbamii ti, o nilo lati tunto adirẹsi ti ita ati awọn atọkun inu, bakanna bi ọna aiyipada. O ti wa ni preferable lati ṣiṣẹ pẹlu awọn CS nẹtiwọki iṣeto ni ati tunto ìsekóòdù nipasẹ a Sisiko-bi console. A ṣe apẹrẹ console yii lati tẹ awọn aṣẹ ti o jọra si awọn aṣẹ Sisiko IOS. Iṣeto ti ipilẹṣẹ nipa lilo Sisiko-bi console ti wa ni, ni Tan, iyipada sinu awọn ti o baamu iṣeto ni awọn faili pẹlu eyi ti OS daemons ṣiṣẹ. O le lọ si Cisco-like console lati console iṣakoso pẹlu aṣẹ naa tunto.
Yi awọn ọrọ igbaniwọle pada fun awọn cscons olumulo ti a ṣe sinu rẹ ki o mu ṣiṣẹ:
> jeki
Ọrọigbaniwọle: csp (ti fi sii tẹlẹ)
# tunto ebute
#username cscons anfaani 15 asiri 0 #ṣiṣẹ aṣiri 0 Ṣiṣeto iṣeto ni ipilẹ nẹtiwọki:
# ni wiwo GigabitEthernet0/0
# ip adirẹsi 10.111.21.3 255.255.255.0
# ko si tiipa
# ni wiwo GigabitEthernet0/1
# ip adirẹsi 192.168.2.5 255.255.255.252
# ko si tiipa
#ip ọna 0.0.0.0 0.0.0.0 10.111.21.254
GRE
Jade kuro ni Sisiko-bi console ki o lọ si ikarahun debian pẹlu aṣẹ naa eto. Ṣeto ọrọ igbaniwọle tirẹ fun olumulo root egbe passwd.
Ni yara iṣakoso kọọkan, eefin lọtọ ti tunto fun aaye kọọkan. Ni wiwo oju eefin ti tunto ninu faili naa / ati be be lo / nẹtiwọọki / awọn atọkun. IwUlO oju eefin IP, ti o wa ninu eto iproute2 ti a ti fi sii tẹlẹ, jẹ iduro fun ṣiṣẹda wiwo funrararẹ. Aṣẹ ẹda wiwo ni a kọ sinu aṣayan iṣaaju-soke.
Iṣeto apẹẹrẹ ti wiwo oju eefin aṣoju:
laifọwọyi ojula1
iface site1 inet aimi
adirẹsi 192.168.1.4
netmask 255.255.255.254
oju eefin ip ti tẹlẹ fi aaye1 ipo gre agbegbe 10.111.21.3 latọna jijin 10.111.22.3 bọtini hfLYEg^vCh6p
San ifojusi! O yẹ ki o ṣe akiyesi pe awọn eto fun awọn atọkun oju eefin gbọdọ wa ni ita ita apakan
###netifcfg-bẹrẹ###
*****
###netifcfg-opin###
Bibẹẹkọ, awọn eto wọnyi yoo jẹ kọkọ nigba iyipada awọn eto nẹtiwọọki ti awọn atọkun ti ara nipasẹ Sisiko-bi console.
Yiyi afisona
Ni S-Terra, ipa-ọna agbara ti wa ni imuse nipa lilo package sọfitiwia Quagga. Lati tunto OSPF a nilo lati mu ṣiṣẹ ati tunto daemons abila и ospfd. Daemon abila jẹ iduro fun ibaraẹnisọrọ laarin awọn daemons afisona ati OS. Ospfd daemon, gẹgẹbi orukọ ṣe daba, jẹ iduro fun imuse ilana Ilana OSPF.
OSPF ti wa ni tunto boya nipasẹ awọn daemon console tabi taara nipasẹ awọn iṣeto ni faili /etc/quagga/ospfd.conf. Gbogbo awọn atọkun ti ara ati oju eefin ti o kopa ninu ipa-ọna agbara ni a ṣafikun si faili naa, ati pe awọn nẹtiwọọki ti yoo ṣe ipolowo ati gba awọn ikede ni a tun kede.
Apeere ti iṣeto ti o nilo lati fi kun si ospfd.conf:
ni wiwo eth0
!
ni wiwo eth1
!
ni wiwo site1
!
ni wiwo site2
olulana ospf
ospf olulana-id 192.168.2.21
nẹtiwọki 192.168.1.4/31 agbegbe 0.0.0.0
nẹtiwọki 192.168.1.16/31 agbegbe 0.0.0.0
nẹtiwọki 192.168.2.4/30 agbegbe 0.0.0.0
Ni idi eyi, awọn adirẹsi 192.168.1.x/31 wa ni ipamọ fun awọn nẹtiwọọki ptp oju eefin laarin awọn aaye, awọn adirẹsi 192.168.2.x/30 jẹ ipin fun awọn nẹtiwọọki irekọja laarin CS ati awọn olulana kernel.
San ifojusi! Lati dinku tabili afisona ni awọn fifi sori ẹrọ nla, o le ṣe àlẹmọ ikede ti awọn nẹtiwọọki irekọja funrararẹ nipa lilo awọn itumọ ko si redistribute ti sopọ tabi tun pin ti a ti sopọ ipa-map.
Lẹhin atunto awọn daemons, o nilo lati yi ipo ibẹrẹ ti awọn daemons pada /etc/quagga/daemons. Ni awọn aṣayan abila и ospfd ko si iyipada si bẹẹni. Bẹrẹ quagga daemon ki o ṣeto si autorun nigbati o bẹrẹ aṣẹ KS imudojuiwọn-rc.d quagga ṣiṣẹ.
Ti iṣeto ti awọn tunnels GRE ati OSPF ti ṣe ni deede, lẹhinna awọn ipa-ọna ninu nẹtiwọọki ti awọn aaye miiran yẹ ki o han lori KSh ati awọn onimọ ipa-ọna ati, nitorinaa, Asopọmọra nẹtiwọọki laarin awọn nẹtiwọọki agbegbe dide.
A encrypt zqwq ijabọ
Gẹgẹbi a ti kọ tẹlẹ, nigbagbogbo nigba fifi ẹnọ kọ nkan laarin awọn aaye, a pato awọn sakani adiresi IP (ACLs) laarin eyiti o jẹ fifipamọ ijabọ: ti orisun ati awọn adirẹsi opin irin ajo ba ṣubu laarin awọn sakani wọnyi, lẹhinna ijabọ laarin wọn jẹ fifipamọ. Bibẹẹkọ, ninu iṣẹ akanṣe yii eto naa ni agbara ati awọn adirẹsi le yipada. Niwọn igba ti a ti tunto tunneling GRE tẹlẹ, a le pato awọn adirẹsi KS ita bi orisun ati awọn adirẹsi ibi-afẹde fun fifi ẹnọ kọ nkan ijabọ - lẹhinna, ijabọ ti o ti ni ifipamo tẹlẹ nipasẹ ilana GRE de fun fifi ẹnọ kọ nkan. Ni awọn ọrọ miiran, ohun gbogbo ti o wọle sinu CS lati nẹtiwọọki agbegbe ti aaye kan si awọn nẹtiwọọki ti o ti kede nipasẹ awọn aaye miiran jẹ fifipamọ. Ati laarin kọọkan ninu awọn ojula eyikeyi redirection le ṣee ṣe. Nitorinaa, ti iyipada eyikeyi ba wa ninu awọn nẹtiwọọki agbegbe, oludari nikan nilo lati yipada awọn ikede ti nbọ lati nẹtiwọọki rẹ si nẹtiwọọki, ati pe yoo wa si awọn aaye miiran.
Ìsekóòdù ni S-Terra CS ni a ṣe pẹlu lilo ilana IPSec. A lo algorithm "Grasshopper" ni ibamu pẹlu GOST R 34.12-2015, ati fun ibamu pẹlu awọn ẹya agbalagba o le lo GOST 28147-89. Ijeri le ṣee ṣe ni imọ-ẹrọ lori awọn bọtini ti a ti yan tẹlẹ (PSK) ati awọn iwe-ẹri. Sibẹsibẹ, ni iṣẹ ile-iṣẹ o jẹ dandan lati lo awọn iwe-ẹri ti a fun ni ibamu pẹlu GOST R 34.10-2012.
Ṣiṣẹ pẹlu awọn iwe-ẹri, awọn apoti ati awọn CRL ti wa ni lilo ohun elo naa ijẹrisi_mgr. Ni akọkọ, lilo aṣẹ naa Cert_mgr ṣẹda o jẹ dandan lati ṣe agbejade apoti bọtini ikọkọ ati ibeere ijẹrisi kan, eyiti yoo firanṣẹ si Ile-iṣẹ Iṣakoso Iwe-ẹri. Lẹhin gbigba ijẹrisi naa, o gbọdọ gbe wọle pẹlu ijẹrisi CA root ati CRL (ti o ba lo) pẹlu aṣẹ naa agbewọle cert_mgr. O le rii daju pe gbogbo awọn iwe-ẹri ati awọn CRL ti fi sori ẹrọ pẹlu aṣẹ naa ifihan cert_mgr.
Lẹhin fifi sori awọn iwe-ẹri ni ifijišẹ, lọ si Sisiko-bi console lati tunto IPSec.
A ṣẹda eto imulo IKE kan ti o ṣalaye awọn algoridimu ti o fẹ ati awọn ipilẹ ti ikanni to ni aabo ti a ṣẹda, eyiti yoo funni si alabaṣepọ fun ifọwọsi.
Ilana #crypto isakmp 1000
#encr gost341215k
# elile gost341112-512-tc26
# ami ijẹrisi
# ẹgbẹ vko2
#igbesi aye 3600
Ilana yii lo nigbati o ba kọ ipele akọkọ ti IPSec. Abajade ti aṣeyọri aṣeyọri ti ipele akọkọ jẹ idasile SA (Aabo Aabo).
Nigbamii ti, a nilo lati ṣalaye atokọ ti orisun ati awọn adirẹsi IP opin irin ajo (ACL) fun fifi ẹnọ kọ nkan, ṣe agbekalẹ eto iyipada kan, ṣẹda maapu cryptographic kan ( maapu crypto) ati dipọ si wiwo ita ti CS.
Ṣeto ACL:
#ip wiwọle-akojọ aaye ti o gbooro sii1
#aaye gre ogun 10.111.21.3 ogun 10.111.22.3
Eto awọn iyipada (kanna fun ipele akọkọ, a lo algorithm fifi ẹnọ kọ nkan “Grasshopper” ni lilo ipo iran kikopa simulation):
#crypto ipsec yipada-ṣeto GOST esp-gost341215k-mac
A ṣẹda maapu crypto kan, pato ACL, ṣeto iyipada ati adirẹsi ẹlẹgbẹ:
#crypto maapu PATAKI 100 ipsec-isakmp
#baramu adirẹsi ojula1
# ṣeto iyipada-ṣeto GOST
# ṣeto ẹlẹgbẹ 10.111.22.3
A di kaadi crypto si wiwo ita ti iforukọsilẹ owo:
# ni wiwo GigabitEthernet0/0
# ip adirẹsi 10.111.21.3 255.255.255.0
#crypto maapu PATAKI
Lati encrypt awọn ikanni pẹlu awọn aaye miiran, o gbọdọ tun ilana fun ṣiṣẹda ACL ati kaadi crypto, yiyipada orukọ ACL, awọn adirẹsi IP ati nọmba kaadi crypto.
San ifojusi! Ti ijẹrisi ijẹrisi nipasẹ CRL ko ba lo, eyi gbọdọ jẹ pato ni pato:
#crypto pki trustpoint s-terra_technological_trustpoint
#fagilee-ṣayẹwo ko si
Ni aaye yii, iṣeto le jẹ pe o ti pari. Ni Sisiko-bi console o wu fihan crypto isakmp sa и han crypto ipsec sa Awọn ipele akọkọ ati keji ti a ṣe ti IPSec yẹ ki o ṣe afihan. Alaye kanna le ṣee gba nipa lilo aṣẹ naa sa_mgr ifihan, ti a pa lati ikarahun debian. Ni awọn pipaṣẹ o wu ifihan cert_mgr Awọn iwe-ẹri aaye latọna jijin yẹ ki o han. Awọn ipo ti iru awọn iwe-ẹri yoo jẹ Latọna jijin. Ti a ko ba kọ awọn oju eefin, o nilo lati wo akọọlẹ iṣẹ VPN, eyiti o fipamọ sinu faili naa /var/log/cspvpngate.log. Atokọ pipe ti awọn faili log pẹlu apejuwe awọn akoonu wọn wa ninu iwe.
Mimojuto “ilera” ti eto naa
S-Terra CC nlo daemon snmpd boṣewa fun ibojuwo. Ni afikun si awọn paramita Linux aṣoju, lati inu apoti S-Terra ṣe atilẹyin ipinfunni data nipa awọn tunnels IPSec ni ibamu pẹlu CISCO-IPSEC-FLOW-MONITOR-MIB, eyiti o jẹ ohun ti a lo nigbati o n ṣe abojuto ipo awọn tunnels IPSec. Iṣẹ ṣiṣe ti awọn OID aṣa ti o ṣejade awọn abajade ti ipaniyan iwe afọwọkọ bi awọn iye tun ṣe atilẹyin. Ẹya yii n gba wa laaye lati tọpa awọn ọjọ ipari ijẹrisi. Iwe afọwọkọ ti o kọ silẹ n ṣalaye abajade pipaṣẹ ifihan cert_mgr ati bi abajade yoo fun nọmba awọn ọjọ titi ti agbegbe ati awọn iwe-ẹri root yoo pari. Ilana yii jẹ pataki nigbati o nṣakoso nọmba nla ti CABG.
Kini anfani ti iru fifi ẹnọ kọ nkan?
Gbogbo iṣẹ ṣiṣe ti a ṣalaye loke ni atilẹyin lati inu apoti nipasẹ S-Terra KSh. Iyẹn ni, ko si iwulo lati fi sori ẹrọ eyikeyi awọn modulu afikun ti o le ni ipa lori iwe-ẹri ti awọn ẹnu-ọna crypto ati iwe-ẹri ti gbogbo eto alaye. Awọn ikanni eyikeyi le wa laarin awọn aaye, paapaa nipasẹ Intanẹẹti.
Nitori otitọ pe nigbati awọn amayederun inu ba yipada, ko si iwulo lati tunto awọn ẹnu-ọna crypto, eto ṣiṣẹ bi iṣẹ kan, eyiti o rọrun pupọ fun alabara: o le gbe awọn iṣẹ rẹ (alabara ati olupin) si awọn adirẹsi eyikeyi, ati pe gbogbo awọn ayipada yoo gbe ni agbara laarin awọn ohun elo fifi ẹnọ kọ nkan.
Nitoribẹẹ, fifi ẹnọ kọ nkan nitori awọn idiyele ti o ga julọ (oke) ni ipa lori iyara gbigbe data, ṣugbọn diẹ diẹ - iṣelọpọ ikanni le dinku nipasẹ iwọn 5-10%. Ni akoko kanna, imọ-ẹrọ ti ni idanwo ati ṣafihan awọn abajade to dara paapaa lori awọn ikanni satẹlaiti, eyiti o jẹ riru pupọ ati pe o ni bandiwidi kekere.
Igor Vinokhodov, ẹlẹrọ ti ila keji ti iṣakoso ti Rostelecom-Solar
orisun: www.habr.com