إذا كانت شركتك تنقل أو تتلقى عبر الشبكة البيانات الشخصية وغيرها من المعلومات السرية الخاضعة للحماية وفقًا للقانون ، فيجب عليها تطبيق التشفير وفقًا لـ GOST. سنخبرك اليوم كيف قدمنا هذا التشفير على أساس بوابة التشفير S-Terra (KS) لدى أحد العملاء. ستكون هذه القصة مثيرة للاهتمام لمتخصصي أمن المعلومات ، فضلاً عن المهندسين والمخططين والمهندسين المعماريين. لن نتعمق في الفروق الدقيقة للتكوين الفني في هذا المنشور - سنناقش النقاط الأساسية للإعداد الأساسي. يتوفر قدر كبير من الوثائق حول تكوين شياطين نظام التشغيل Linux ، والتي تستند إليها قاعدة بيانات S-Terra ، مجانًا على الإنترنت. وثائق تهيئة البرمجيات الاحتياطية الخاصة بـ S-Terra متاحة أيضًا للجمهور على
بوابة الشركة المصنعة.
بضع كلمات عن المشروع
كانت طوبولوجيا شبكة العميل نموذجية - شبكة كاملة بين المركز والفروع. كان مطلوبًا إدخال تشفير قنوات تبادل المعلومات بين جميع المواقع ، والتي كانت هناك 8 أجزاء.
عادة ، في مثل هذه المشروعات ، يكون كل شيء ثابتًا: في بوابات التشفير (KS) ، يتم تعيين التوجيهات الثابتة على شبكة المنطقة المحلية للموقع ، وتتم كتابة قوائم عناوين IP (ACL) للتشفير. ومع ذلك ، في هذه الحالة ، لا تملك المواقع إدارة مركزية ، ويمكن أن يحدث أي شيء داخل شبكاتها المحلية: يمكن إضافة الشبكات وحذفها وتعديلها بكل طريقة. من أجل تجنب إعادة تكوين التوجيه و ACLs إلى KS عند تغيير عنونة الشبكات المحلية على المواقع ، فقد تقرر استخدام نفق GRE والتوجيه الديناميكي OSPF ، والذي يشمل جميع KS ومعظم أجهزة التوجيه من المستوى الأساسي للشبكة على المواقع (في بعض المواقع ، يفضل مسؤولو البنية التحتية استخدام SNAT في اتجاه KS على أجهزة توجيه kernel).
نفق GRE حل مشكلتين:
1. استخدم في قائمة التحكم في الوصول (ACL) لتشفير عنوان IP لواجهة KS الخارجية ، حيث يتم تغليف كل حركة المرور المرسلة إلى مواقع أخرى.
2. قم بتنظيم أنفاق ptp بين KS ، والتي تتيح لك تكوين التوجيه الديناميكي (في حالتنا ، يتم تنظيم الموفر MPLS L3VPN بين المواقع).
طلب العميل تنفيذ التشفير كخدمة. وإلا ، فلن يتعين عليه دعم بوابات التشفير أو الاستعانة بمصادر خارجية لبعض المنظمات ، ولكن أيضًا مراقبة دورة حياة شهادات التشفير بشكل مستقل ، وتجديدها في الوقت المناسب وتثبيت شهادات جديدة.
والآن المذكرة نفسها - كيف وماذا أنشأنا
ملاحظة موضوع KII: نقوم بتكوين بوابة تشفير
إعداد الشبكة الأساسية
بادئ ذي بدء ، نطلق ذاكرة تخزين مؤقت جديدة وندخل إلى وحدة تحكم الإدارة. يجب أن تبدأ بتغيير كلمة مرور المسؤول المضمن - الأمر المسؤول عن
تغيير كلمة مرور المستخدم . بعد ذلك ، من الضروري تنفيذ إجراء التهيئة (أمر
التهيئة ) الذي يتم من خلاله إدخال بيانات الترخيص وتهيئة مستشعر الأرقام العشوائي (DSN).
انتبه! عند تهيئة S-Terra KS ، يتم وضع سياسة أمان لا تمر فيها واجهات بوابة الأمن بالحزم. يجب عليك إما إنشاء
سياستك الخاصة ، أو استخدام الأمر
run csconf_mgr activate لتنشيط سياسة إذن محددة مسبقًا.
بعد ذلك ، تحتاج إلى تكوين عنونة الواجهات الخارجية والداخلية ، وكذلك المسار الافتراضي. من الأفضل العمل مع تكوين شبكة ذاكرة التخزين المؤقت وتكوين التشفير من خلال وحدة التحكم Cisco-like. تم تصميم وحدة التحكم هذه لإدخال أوامر مشابهة لأوامر Cisco IOS. التكوين الذي تم إنشاؤه باستخدام وحدة التحكم Cisco-like ، بدوره ، يتم تحويله إلى ملفات التكوين المقابلة التي تعمل معها الشياطين OS. يمكنك الانتقال إلى وحدة التحكم Cisco-like من وحدة تحكم الإدارة باستخدام الأمر config.
غيّر كلمات مرور رموز المستخدم المدمجة وقم بتمكين:
> تمكين
كلمة المرور: csp (محدد مسبقًا)
# تكوين محطة
#username cscons الامتياز 15 secret 0 #enable secret 0 قم بإعداد تكوين الشبكة الأساسي:
#interface GigabitEthernet0 / 0
#ip address 10.111.21.3 255.255.255.0
# لا الاغلاق
#interface GigabitEthernet0 / 1
#ip address 192.168.2.5 255.255.255.252
# لا الاغلاق
#ip route 0.0.0.0 0.0.0.0 10.111.21.254
GRE
نخرج من وحدة Cisco-like وننتقل إلى shell debian باستخدام أمر
النظام . قم بتعيين كلمة المرور الخاصة بك
للمستخدم الجذر باستخدام الأمر
passwd .
يتم تكوين نفق منفصل لكل موقع على كل KSh. تم تكوين واجهة النفق في ملف
/ etc / network / interfaces . الأداة المساعدة لنفق IP ، والتي تعد جزءًا من مجموعة iproute2 المحددة مسبقًا ، مسؤولة عن إنشاء الواجهة نفسها. تتم كتابة أمر إنشاء واجهة في خيار الإعداد المسبق.
مثال على تكوين واجهة النفق النموذجية:
موقع السيارات 1
iface site1 آينت ثابت
العنوان 192.168.1.4
قناع الشبكة 255.255.255.254
إضافة نفق IP pre-up إلى site1 mode gre local 10.111.21.3 remote 10.111.22.3 key hfLYEg ^ vCh6p
انتبه! تجدر الإشارة إلى أن إعدادات واجهة النفق يجب أن تكون موجودة خارج القسم
### netifcfg-start ###
*****
### netifcfg-end ###
وإلا ، سيتم مسح هذه الإعدادات عند تغيير إعدادات الشبكة للواجهات المادية من خلال وحدة التحكم Cisco-like.
التوجيه الديناميكي
في S-Terra ، يتم تنفيذ التوجيه الديناميكي باستخدام حزمة برامج Quagga. لتكوين OSPF ، نحتاج إلى تمكين وتكوين
شياطين zebra و
ospfd . الشيطان الوحشي مسؤول عن التفاعل بين شياطين التوجيه ونظام التشغيل. البرنامج الخفي ospfd ، كما يوحي الاسم ، مسؤول عن تنفيذ بروتوكول OSPF.
يتم تكوين OSPF إما من خلال وحدة التحكم الخفية أو مباشرة من خلال ملف التكوين
/etc/quagga/ospfd.conf . تتم إضافة جميع الواجهات المادية والنفقية المشاركة في التوجيه الديناميكي إلى الملف ، ويتم الإعلان عن الشبكات التي سيتم الإعلان عنها واستقبال الإعلانات.
تكوين مثال لإضافته إلى
ospfd.conf :
واجهة eth0
!
واجهة eth1
!
واجهة الموقع 1
!
واجهة الموقع 2
جهاز التوجيه ospf
ospf router-id 192.168.2.21
شبكة 192.168.1.4/31 منطقة 0.0.0.0
شبكة 192.168.1.16/31 منطقة 0.0.0.0
شبكة 192.168.2.4/30 منطقة 0.0.0.0
في هذه الحالة ، يتم حجز العناوين 192.168.1.x / 31 لشبكات نفق ptp بين المواقع ، ويتم تخصيص العناوين 192.168.2.x / 30 لشبكات النقل بين KS وأجهزة التوجيه kernel.
انتبه! لتقليل جدول التوجيه في عمليات التثبيت الكبيرة ، يمكنك تصفية الإعلان عن شبكات النقل نفسها باستخدام عمليات
إعادة تعيين خرائط المسارات المتصلة أو
إعادة توزيعها .
بعد إعداد الشياطين ، تحتاج إلى تغيير حالة التشغيل الخفي في
/ etc / quagga / daemons . في خيارات
حمار وحشي و
ospfd لا يوجد حل لنعم. قم بتشغيل البرنامج الخفي quagga وقم بضبط التشغيل التلقائي عند بدء تشغيل ذاكرة التخزين المؤقت باستخدام الأمر
update-rc.d quagga enable .
إذا تم تكوين أنفاق GRE و OSPF بشكل صحيح ، فيجب أن تظهر الطرق المؤدية إلى شبكة المواقع الأخرى على أجهزة توجيه KS و kernel ، وبالتالي تنشأ اتصال الشبكة بين الشبكات المحلية.
نحن تشفير حركة المرور المنقولة
كما هو مكتوب بالفعل ، عند التشفير بين المواقع ، عادة ما نحدد نطاقات عناوين IP (ACL) التي يتم تشفير حركة المرور فيها: إذا كان عنوان المصدر والوجهة يقعان في هذه النطاقات ، فسيتم تشفير حركة المرور بينهما. ومع ذلك ، في هذا المشروع ، الهيكل ديناميكي ويمكن أن تتغير العناوين. نظرًا لأننا قمنا بالفعل بإعداد نفق GRE ، يمكننا تحديد عناوين KS الخارجية كعناوين المصدر والوجهة لتشفير حركة المرور - لأن التشفير يأتي لحركة المرور التي تم تغليفها بالفعل بواسطة بروتوكول GRE. بمعنى آخر ، يتم تشفير كل ما يدخل ذاكرة التخزين المؤقت من الشبكة المحلية لأحد المواقع إلى الشبكات التي تم الإعلان عنها بواسطة مواقع أخرى. وبالفعل داخل كل موقع من المواقع ، يمكن تنفيذ أي إعادة توجيه. وبالتالي ، مع أي تغيير في الشبكات المحلية ، يكفي المسؤول لتعديل الإعلانات التي تنتقل من شبكته إلى اتجاه المدرسة الثانوية ، وسوف تصبح متاحة للمواقع الأخرى.
يتم إجراء التشفير في S-Terra KS باستخدام بروتوكول IPSec. نستخدم خوارزمية Grasshopper وفقًا لـ GOST R 34.12-2015 ، وللتوافق مع الإصدارات الأقدم ، يمكن استخدام GOST 28147-89. يمكن إجراء المصادقة تقنيًا على كل من المفاتيح المحددة مسبقًا (PSK) والشهادات. ومع ذلك ، في العملية الصناعية ، من الضروري استخدام الشهادات الصادرة وفقًا لـ GOST R 34.10-2012.
يتم العمل مع الشهادات والحاويات و CRLs باستخدام الأداة المساعدة
cert_mgr . أولاً وقبل كل شيء ، باستخدام الأمر
cert_mgr create ،
فأنت بحاجة إلى
إنشاء حاوية مفتاح خاص وطلب شهادة ، والتي سيتم إرسالها إلى مركز إدارة الشهادات. بعد استلام الشهادة ، يجب استيرادها باستخدام أمر
الاستيراد cert_mgr جنبًا إلى جنب مع شهادة الجذر الخاصة بـ CA و CRL (في حالة استخدامها). يمكنك
التحقق من تثبيت جميع الشهادات و CRLs باستخدام الأمر
show cert_mgr .
بعد تثبيت الشهادات بنجاح ، انتقل إلى وحدة التحكم Cisco-like لتكوين IPSec.
نقوم بإنشاء سياسة IKE التي تحدد الخوارزميات والمعلمات المطلوبة للقناة الآمنة التي تم إنشاؤها ، والتي سيتم تقديمها إلى الشريك للموافقة عليها.
#crypto isakmp policy 1000
#encr gost341215k
#hash gost341112-512-tc26
# علامة المصادقة
#group vko2
# العمر 3600
تنطبق هذه السياسة عند بناء المرحلة الأولى من IPSec. الانتهاء بنجاح من المرحلة الأولى هو إنشاء SA (رابطة الأمن).
بعد ذلك ، نحتاج إلى تحديد قائمة بعناوين IP المصدر والوجهة للتشفير ، وتشكيل مجموعة تحويل ، وإنشاء خريطة تشفير (خريطة تشفير) وربطها بالواجهة الخارجية لـ CAB.
ضبط ACL:
#ip قائمة الوصول الموسعة site1
#permit gre host 10.111.21.3 host 10.111.22.3
مجموعة من التحولات (وكذلك للمرحلة الأولى ، نستخدم خوارزمية تشفير Grasshopper باستخدام وضع المحاكاة):
#crypto ipsec convert-set GOST esp-gost341215k-mac
قم بإنشاء خريطة تشفير ، وحدد ACL ، وتحويل مجموعة وعنوان الأقران:
#crypto map MAIN 100 ipsec-isakmp
#match address site1
# مجموعة تحويل مجموعة غوست
#set النظير 10.111.22.3
نعلق خريطة التشفير بالواجهة الخارجية لـ CABG:
#interface GigabitEthernet0 / 0
#ip address 10.111.21.3 255.255.255.0
#crypto map MAIN
لتشفير القنوات مع مواقع أخرى ، يجب عليك تكرار الإجراء الخاص بإنشاء قوائم ACL وبطاقات التشفير ، وتغيير اسم قائمة التحكم في الوصول (ACL) وعناوين IP ورقم بطاقة التشفير.
انتبه! إذا لم يتم استخدام التحقق من شهادة CRL ، فيجب تحديد ذلك بشكل صريح:
#crypto pki trustpoint s-terra_technological_trustpoint
# إبطال - تحقق لا شيء
في هذا الإعداد يمكن اعتبار كاملة. يُظهر إخراج أوامر وحدة التحكم Cisco-like
crypto isakmp sa وإظهار crypto ipsec sa يجب أن يعكس المرحلتين الأولى والثانية من IPSec. يمكن الحصول على نفس المعلومات باستخدام الأمر
sa_mgr show الذي تم تنفيذه من debian shell.
يجب أن يعرض إخراج الأمر
cert_mgr show شهادات الموقع البعيد. حالة هذه الشهادات ستكون
بعيدة . في حالة عدم بناء الأنفاق ، تحتاج إلى البحث في سجل خدمة VPN ، والذي يتم تخزينه في ملف
/var/log/cspvpngate.log . تتوفر قائمة كاملة بملفات السجل مع وصف محتوياتها في الوثائق.
مراقبة "صحة" النظام
يستخدم S-Terra KS البرنامج الخفي snmpd القياسي للمراقبة. بالإضافة إلى معلمات Linux النموذجية ، يدعم S-Terra خارج الصندوق إخراج أنفاق IPSec وفقًا CISCO-IPSEC-FLOW-MONITOR-MIB ، وهو ما نستخدمه لمراقبة حالة أنفاق IPSec. يتم دعم وظيفة OID المخصصة أيضًا ، مع إعطاء نتائج البرنامج النصي كقيم. تتيح لنا هذه الميزة تتبع تواريخ انتهاء صلاحية الشهادات. يقوم البرنامج النصي المكتوب بتوزيع إخراج الأمر
cert_mgr show ومن ثم يعطي عدد الأيام قبل انتهاء صلاحية الشهادات المحلية والجذر. هذه التقنية لا غنى عنها عند إدارة عدد كبير من CABGs.
ما هو المحاكاة لمثل هذا التشفير
جميع الوظائف المذكورة أعلاه مدعومة "خارج الصندوق" KS S-Terra. أي أنه لم يكن من الضروري تثبيت أي وحدات إضافية قد تؤثر على اعتماد بوابات التشفير وإصدار الشهادات لنظام المعلومات بأكمله. يمكن أن تكون القنوات بين المواقع موجودة ، حتى عبر الإنترنت.
نظرًا لحقيقة أنه عند تغيير البنية التحتية الداخلية ، ليس من الضروري إعادة تكوين بوابات التشفير ، فإن
النظام يعمل كخدمة ملائمة جدًا للعميل: يمكنه وضع خدماته (العميل والخادم) في أي عناوين ، ويتم نقل جميع التغييرات ديناميكيًا بين معدات التشفير.
بطبيعة الحال ، يؤثر التشفير الناتج عن الحمل على معدل نقل البيانات ، ولكن ليس بشكل كبير - يمكن أن يقل عرض النطاق الترددي للقناة بنسبة 5 إلى 10٪ كحد أقصى. علاوة على ذلك ، تم اختبار هذه التقنية وأظهرت نتائج جيدة حتى على القنوات الفضائية ، التي تعتبر غير مستقرة إلى حد ما ولها نطاق ترددي منخفض.
إيجور فينوخودوف ، مهندس الخط الثاني لإدارة Rostelecom Solar