Цикл статей: Континент 4.2 в инфраструктуре бизнеса: цикл статей с видеообзорами
Континент 4 + STerra
Введение
Приветствуем вас в новой статье цикла «Континент 4.2 в инфраструктуре бизнеса» на портале TS University!
В этом материале мы разберем практический сценарий настройки защищенного соединения между Континент 4 и S-Terra.
Пошагово рассмотрим:
В этом материале мы разберем практический сценарий настройки защищенного соединения между Континент 4 и S-Terra.
Пошагово рассмотрим:
- подготовку узла Континент 4
- выпуск и обмен сертификатами
- создание IPsec VPN
- базовую настройку S-Terra
- загрузку LSP-конфигурации и итоговую проверку работоспособности туннеля
Сценарий интеграции: Континент 4 + S-Terra
В рассматриваемом сценарии будет использоваться Policy-based VPN на основе VPN-политики. Для аутентификации сторон будут использоваться сертификаты.
Общая схема сети приведена на рисунке:
Общая схема сети приведена на рисунке:
Подготовка и базовая настройка Континент 4
В первую очередь на узле должен быть активирован компонент «L3VPN».
Перейдите в раздел «Интерфейсы». Для работы шифратора должны быть настроены внешний и внутренний интерфейсы.
Перейдите в раздел «Интерфейсы». Для работы шифратора должны быть настроены внешний и внутренний интерфейсы.
В разделе «Статические маршруты» укажите либо маршрут по умолчанию, либо отдельный маршрут до удаленного VPN-узла — в зависимости от используемой схемы подключения.
Далее перейдите на вкладку «IPsec VPN».
В разделе «Защищаемые ресурсы» укажите подсети, которые будут маршрутизироваться в VPN-туннель.
В разделе «Защищаемые ресурсы» укажите подсети, которые будут маршрутизироваться в VPN-туннель.
Для проверки доступности при настройке можно разрешить ICMP-сообщения из локальных сетей.
Настройки IPsec VPN
Для начала вам необходимо создать сертификаты.
В разделе «Администрирование/Сертификаты» создайте корневой сертификат с алгоритмом подписи ГОСТ.
Примечание: для шифрования по ГОСТ Вы можете использовать существующий корневой сертификат, созданный при инициализации ЦУС.
В разделе «Администрирование/Сертификаты» создайте корневой сертификат с алгоритмом подписи ГОСТ.
Примечание: для шифрования по ГОСТ Вы можете использовать существующий корневой сертификат, созданный при инициализации ЦУС.
После создания сертификата в разделе «Администрирование/Корневые сертификаты» экспортируйте корневой сертификат, использовавшийся для подписи сертификата ГОСТ IPSec, и передайте его другой стороне.
Он должен быть импортирован на шлюз S-Terra как доверенный, чтобы подписанный им для Континент 4 персональный сертификат мог использоваться для аутентификации нашего МЭ.
Для создания ГОСТ-IPSec сертификата перейдите в свойства УБ в раздел «Сертификаты», нажмите «Создать», заполните обязательные поля сертификата (такие как Организация и Подразделение).
Он должен быть импортирован на шлюз S-Terra как доверенный, чтобы подписанный им для Континент 4 персональный сертификат мог использоваться для аутентификации нашего МЭ.
Для создания ГОСТ-IPSec сертификата перейдите в свойства УБ в раздел «Сертификаты», нажмите «Создать», заполните обязательные поля сертификата (такие как Организация и Подразделение).
Полученный от другой стороны корневой и пользовательский сертификаты нужно импортировать в МК в разделе сертификатов.
Корневой сертификат S-Terra необходимо добавить в список доверенных сертификатов VPN-узла, а персональный будет привязан к совместимому устройству и будет использоваться для аутентификации второй стороны.
Корневой сертификат S-Terra необходимо добавить в список доверенных сертификатов VPN-узла, а персональный будет привязан к совместимому устройству и будет использоваться для аутентификации второй стороны.
В разделе «Список объектов ЦУС» нужно создать совместимое устройство. Для этого необходимо ввести внешний адрес устройства, его сертификат и защищаемые подсети.
Затем в разделе «Виртуальные частные сети», подразделе «IPsec VPN» создайте сеть с необходимой топологией.
В данном примере будет создана полносвязная сеть.
Выберите следующие параметры: тип VPN (Policy-based), тип туннеля.
В данном примере будет создана полносвязная сеть.
Выберите следующие параметры: тип VPN (Policy-based), тип туннеля.
На вкладке «Состав сети» укажите список узлов VPN-сети. В графе «Адрес» укажите адреса внешних интерфейсов узлов, а в графе «Защищаемые ресурсы» - локальные сети.
Обратите внимание: следующие настройки должны совпадать на обоих узлах, иначе связь между ними установить не получится.
На вкладке «Шифрование» укажите тип алгоритма (ГОСТ), версию (IKEv2), а также алгоритмы шифрования и целостности для 1 и 2 фазы VPN-соединения.
На вкладке «Шифрование» укажите тип алгоритма (ГОСТ), версию (IKEv2), а также алгоритмы шифрования и целостности для 1 и 2 фазы VPN-соединения.
На вкладке «Дополнительно» укажите время жизни ключей для 1 и 2 фазы.
А также при необходимости:
А также при необходимости:
- замену ключа после шифрования определенного объема данных
- использование протокола сжатия
- отключение NAT внутри VPN-сети
- использование NAT-Traversal.
Для работоспособности сети разрешите в правилах межсетевого экрана пользовательский трафик между локальной и удаленной сетями.
В примере был разрешен любой трафик между подсетями.
В примере был разрешен любой трафик между подсетями.
Если не была включена опция «Отключение NAT внутри частной сети», то в правилах трансляции для указанных подсетей создайте правило с действием «Не транслировать», так как данный трафик будет направляться в VPN-туннель.
Базовая настройка S-Terra
После подготовки параметров на стороне Континент 4 переходим к базовой настройке S-Terra и импорту необходимых сертификатов.
Примечание: приведенная инструкция и файл конфигурации служат лишь примером, более подробно с настройками S-Terra Вы можете ознакомиться в документации вендора.
Интерфейсы на S-Terra должны быть настроены перед началом работы.
После этого нужно выполнить следующую последовательность действий:
Разберём каждое из действий:
1. Входим в консоль администрирования S-Terra. Логин – administrator, пароль по умолчанию – s-terra.
2. Выпускаем запрос на сертификат IPsec на съемный носитель. Определяем имя носителя, на который будет записываться запрос сертификата командой
administrator@sterragate] dir media:
3. Выполняем команду на создание запроса на подпись сертификата:
administrator@sterragate] run cert_mgr create -subj "C=RU,L=SPB,O=TS,OU=SC,CN=Terra-IPSec" -GOST_R341012_256_TC26 -fb64 media:Носитель/Название.request
4. Выпущенный запрос необходимо подписать в УЦ. Также необходимо скачать корневой сертификат УЦ и подписанный им сертификат IPSec, экспортировать из МК корневой сертификат Континент 4, и провести их импорт в S-Terra.
Импорт выполняется командой:
administrator@sterragate] run cert_mgr import -f media:Носитель/Сертификат.cer -t
Где: -f это название файла, -t это импорт сертификата как доверенного.
Внимание: важно импортировать корневые сертификаты именно как доверенные, используя опцию -t, иначе установить связь не получится.
5. Нужно отключить проверку CRL, иначе статус сертификатов будет can’t verify. В консоли администратора вводим conf, имя пользователя – cscons, пароль по умолчанию – csp.
sterragate#conf t
sterragate(config)# crypto pki trustpoint s-terra_technological_trustpoint
sterragate(ca-trustpoint)# revocation-check none
sterragate(ca-trustpoint)#end
После этого можно проверить статус сертификатов, у всех должно быть State: Active.
administrator@sterragate] run cert_mgr check
Для дальнейшей настройки мы воспользуемся конфигурационным файлом LSP, с форматом которого вы можете ознакомиться по ссылке. Пример файла будет приведен ниже.
6. Проверим конфигурационный файл:
administrator@sterragate] run lsp_mgr check -f
media:Носитель/Конфигурация_LSP.txt
Результатом должно быть LSP was verified successfully.
7. Загружаем конфигурацию LSP
administrator@sterragate] run lsp_mgr load -f
media:Носитель/Конфигурация_LSP.txt
Результатом должно быть LSP successfully loaded from file "/media/USB1/terra-ipsec.txt".
Примечание: приведенная инструкция и файл конфигурации служат лишь примером, более подробно с настройками S-Terra Вы можете ознакомиться в документации вендора.
Интерфейсы на S-Terra должны быть настроены перед началом работы.
После этого нужно выполнить следующую последовательность действий:
- Выпустить запрос на сертификат IPsec на съемный носитель;
- Подписать запрос на сертификат IPsec во внешнем УЦ (в примере использовался тестовый УЦ КриптоПро);
- Импортировать корневой сертификат (в примере – корневой сертификат тестового УЦ КриптоПро) и подписанный им сертификат IPsec в S-Terra;
- Импортировать корневой сертификат Континент 4, которым был подписан сертификат IPsec Континент 4;
- Отключить проверку CRL для сертификатов;
- Импортировать ранее подготовленную конфигурацию LSP (в рамках текущей инструкции сделаем это позднее);
Разберём каждое из действий:
1. Входим в консоль администрирования S-Terra. Логин – administrator, пароль по умолчанию – s-terra.
2. Выпускаем запрос на сертификат IPsec на съемный носитель. Определяем имя носителя, на который будет записываться запрос сертификата командой
administrator@sterragate] dir media:
3. Выполняем команду на создание запроса на подпись сертификата:
administrator@sterragate] run cert_mgr create -subj "C=RU,L=SPB,O=TS,OU=SC,CN=Terra-IPSec" -GOST_R341012_256_TC26 -fb64 media:Носитель/Название.request
- C = RU – страна;
- L = SPB – город;
- O = TS – организация;
- OU = SC – отдел;
- CN = Terra-IPSec – имя сертификата;
- GOST_R341012_256_TC26 – криптоалгоритм по ГОСТ 34.10-2012 (256) ТК26
- fb64 – формат создания сертификата
- Носитель – название носителя, например USB1
- Название – название файла запроса, например IPSec
4. Выпущенный запрос необходимо подписать в УЦ. Также необходимо скачать корневой сертификат УЦ и подписанный им сертификат IPSec, экспортировать из МК корневой сертификат Континент 4, и провести их импорт в S-Terra.
Импорт выполняется командой:
administrator@sterragate] run cert_mgr import -f media:Носитель/Сертификат.cer -t
Где: -f это название файла, -t это импорт сертификата как доверенного.
Внимание: важно импортировать корневые сертификаты именно как доверенные, используя опцию -t, иначе установить связь не получится.
5. Нужно отключить проверку CRL, иначе статус сертификатов будет can’t verify. В консоли администратора вводим conf, имя пользователя – cscons, пароль по умолчанию – csp.
sterragate#conf t
sterragate(config)# crypto pki trustpoint s-terra_technological_trustpoint
sterragate(ca-trustpoint)# revocation-check none
sterragate(ca-trustpoint)#end
После этого можно проверить статус сертификатов, у всех должно быть State: Active.
administrator@sterragate] run cert_mgr check
Для дальнейшей настройки мы воспользуемся конфигурационным файлом LSP, с форматом которого вы можете ознакомиться по ссылке. Пример файла будет приведен ниже.
6. Проверим конфигурационный файл:
administrator@sterragate] run lsp_mgr check -f
media:Носитель/Конфигурация_LSP.txt
Результатом должно быть LSP was verified successfully.
7. Загружаем конфигурацию LSP
administrator@sterragate] run lsp_mgr load -f
media:Носитель/Конфигурация_LSP.txt
Результатом должно быть LSP successfully loaded from file "/media/USB1/terra-ipsec.txt".
Проверка работы
Последний шаг: проверяем работоспособность нашей интеграции.
Континент 4:
Континент 4:
S-Terra:
Заключение
Интеграция Континент 4 и S-Terra в сценарии site-to-site VPN требует аккуратной настройки обеих сторон, но при корректной подготовке сертификатов, маршрутов, параметров шифрования и правил прохождения трафика позволяет построить стабильный защищенный канал между сегментами сети.
На практике мы видим, что ключевыми моментами становятся не только сами IPsec-параметры, но и правильная работа с доверенными сертификатами, адресацией, LSP-конфигурацией и исключением лишней трансляции трафика внутри VPN.
До встречи в следующей статье цикла!
На практике мы видим, что ключевыми моментами становятся не только сами IPsec-параметры, но и правильная работа с доверенными сертификатами, адресацией, LSP-конфигурацией и исключением лишней трансляции трафика внутри VPN.
До встречи в следующей статье цикла!