Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под

84
Глава 3. Средства защиты при передаче данных через сети
Пример конфигурирования статических криптотуннелей
В качестве примера конфигурирования статических криптотуннелей рассмотрим схему построения VPN некоторой организации, офисы которой расположены в трех территориально удаленных городах – например, в
Москве, Краснодаре и Орле. Возможная схема организации связи в этом случае представлена на Рис. 3.13.
Каждый из офисов использует ЛВС, работающую в фиктивном адресном пространстве 10.x.0.0/16. Для связи между локальными сетями офисов в качестве транспортной сети используется сеть Internet, в качестве устройств, обеспечивающих защиту передаваемой по каналам связи информации пользователей ЛВС, изделия серии М-479Рх.
Примечание. Изделия серии М-479Рх могут обеспечивать защиту как на L3-уровне обмена данными (в качестве криптомаршрутизатора), так и на L2-уровне (в качестве средства организации
криптомоста). Для организации функционирования криптотуннелей можно выбрать механизмы TNL- интерфейсов или статических туннелей (на L3-уровне обмена данными), а также механизм L2–TNL- интерфейсов (на L2-уровне обмена данными).
Для решения предложенной в примере задачи используем изделия в качестве
криптомаршрутизаторов, применяя для организации криптотуннелей механизм статических
криптотуннелей.
IP-адреса внутренних и внешних сетевых интерфейсов изделий приведены на схеме.
Рис. 3.13 Схема организации связи, иллюстрирующая применение статических криптотуннелей
Ставится задача организации VPN таким образом, чтобы пользователи (абоненты) локальной сети любого офиса могли обращаться к информационным ресурсам всех остальных офисов.
Сначала следует определить топологию сети, обеспечивающей работу офисов организации. Наиболее эффективной в этом случае является организация связи по схеме «каждый с каждым», но она требует организации большого количества криптотуннелей между ЛВС каждого из офисов, а именно (n-1), где n – число взаимодействующих офисов в сети VPN (в нашем примере необходима организация двух туннелей между ЛВС каждого из офисов).
Если информационный обмен сосредоточен в основном на направлениях центральный офис – периферийный офис, то VPN целесообразно строить по топологии «звезда». В этом случае в каждом периферийном офисе необходима организация только одного туннеля с центром, при этом потоки информации между ЛВС периферийных офисов (Краснодар, Орел) будут проходить транзитом через центральный офис
(Москва), где будет выполняться процедура переупаковки данных из одного туннеля в другой.
После определения топологии сети необходимо спланировать криптографические параметры VPN, для чего следует получить ключевые документы с заданным номером серии ключей (серия 200 в нашем примере) и назначить криптографические номера для ЛВС каждого из офисов сети (в примере это: 100 – Москва,
123 – Краснодар, 157– Орел).

Глава 3. Средства защиты при передаче данных через сети 85
После уточнения топологии сети, структуры криптопараметров узлов связи, типа и структуры криптотуннелей следует настроить статические криптотуннели на направлениях Москва-Краснодар и Москва-Орел, пользуясь значениями параметров криптотуннелей, приведенными ниже в таблицах.
Туннель между офисами
Москва
Краснодар
Идентификатор туннеля
123
123
Локальный IP-адрес
217.107.209.6
214.15.57.4
Удаленный IP-адрес
214.15.57.4
217.107.209.6
Шифрование потока
ДА
ДА
Номер серии ключей
200
200
Локальный криптономер
100
123
Удаленный криптономер
123
100
Правила отбора
Москва
Краснодар
разрешить 10.0.0.0/8 10.123.0.0/16 ANY 0-0 запретить 0.0.0.0/00 10.123.0.0/16 ANY 0-0
разрешить 10.123.0.0/16 10.0.0.0/8 ANY 0-0
Туннель между офисами
Москва
Орел
Идентификатор туннеля
157
157
Локальный IP-адрес
217.107.209.6
195.156.63.1
Удаленный IP-адрес
195.156.63.1
217.107.209.6
Шифрование потока
ДА
ДА
Номер серии ключей
200
200
Локальный криптономер
100
157
Удаленный криптономер
157
100
Правила отбора
Москва
Орел
разрешить 10.0.0.0/8 10.157.0.0/16 ANY 0-0 запретить 0.0.0.0/00 10.157.0.0/16 ANY 0-0
разрешить 10.157.0.0/16 10.0.0.0/8 ANY 0-0
Особое внимание при настройке статических криптотуннелей следует уделить правилам
отбора в туннель. Ошибки в правилах отбора могут приводить к недоступности части офисов
VPN, а также к появлению информационных циклов (петель), приводящих к резкому возрастанию трафика через внешнюю сеть.
В нашем примере московский узел должен разрешить упаковку в соответствующий туннель IP-датаграмм, предназначенных только для конкретной периферийной сети.
На периферийных концах туннелей должны быть заданы правила отбора для сетей всех остальных офисов (в
Краснодаре – для Москвы и Орла). Однако такой подход резко увеличивает количество правил отбора в туннели периферийных узлов при увеличении количества взаимодействующих офисов. Поэтому в примере рассмотрен другой подход к формированию правил отбора в туннели на периферийных узлах.
Сначала запрещается отбор в туннель на Москву IP-датаграмм, адресованных станциям внутренней ЛВС офиса, а затем разрешается упаковка в туннель IP-датаграмм, адресованных всем остальным узлам VPN-сети. Другими словами, вместо перечисления IP-адресов всех соседних офисов дается общее разрешение на всю VPN, за вычетом адресатов собственной сети.
3.1.1.3.
Создание и настройка TNL-интерфейсов
Процедуры создания и настройки TNL-интерфейсов, обеспечивающих защиту трафика IP-датаграмм, передаваемого через сети общего пользования на L3-уровне, приведены в разделе 2.4.2, с. 39.
3.1.1.4.
Организация защиты трафика IP-датаграмм на L3-уровне
Для обеспечения функционирования технологии защиты обмена IP-датаграммами на L3-уровне изделие применяется как криптомаршрутизатор.

86
Глава 3. Средства защиты при передаче данных через сети
Для организации функционирования изделия в этом режиме необходимо:
- создать и настроить, руководствуясь схемой организации связи, необходимое число сетевых физических Ethernet-интерфейсов на БВМ и БНМ изделия (см. раздел 2.3.1, с. 25) – как основу для телекоммуникационного обмена изделия с удаленными сегментами ЛВС Пользователя и сетями общего пользования;
- создать и настроить необходимые криптотуннели, руководствуясь схемой организации связи и используя исходные данные Администрации ЗСПД о криптопараметрах сети, для чего:
- выбрать предпочтительный способ организации криптотуннелей для защиты обмена
IP-датаграммами на заданном направлении – с помощью статических криптотуннелей или с помощью TNL-интерфейсов;
- создать и настроить статические криптотуннели (см. раздел 3.1.1.2, с. 78) на заданных направлениях обмена – при необходимости;
- создать и настроить TNL-интерфейсы (раздел 2.4.2, с. 39) на заданных направлениях обмена – при необходимости;
- создать и настроить виртуальные VLAN-интерфейсы (см. раздел 2.4.1, с. 36) и GRE-интерфейсы (см. раздел 2.4.3, с. 43), обеспечивающие дополнительную необходимую обработку проходящего через базовый Ethernet-интерфейс трафика – при необходимости.
Приведенная последовательность действий по использованию предоставленного изделием инструментария обеспечивает решение задачи организации защиты трафика IP-датаграмм, передаваемого между субъектами обмена через сети общего пользования.
3.1.2.
Криптотуннели для защиты обмена Ethernet-кадрами на L2-уровне
Защита трафика Ethernet-кадров с информацией Пользователя, передаваемого на L2-уровне через сети общего пользования, осуществляется изделиями с помощью L2–TNL-интерфейсов. Настоящий подраздел содержит сведения о принципах работы L2–TNL-интерфейсов и возможных вариантах их применения.
3.1.2.1.
Принципы работы криптотуннелей на L2-уровне
Общая схема организации функционирования криптографического туннеля, устанавливаемого между локальным и удаленным изделиями и выполняющего криптозащиту передаваемого на L2-уровне через IP-сети общего пользования трафика Ethernet-кадров, представлена на Рис. 3.14.
БВМ
БВМ
Шифратор
Шифратор
БНМ
2 4
3 1
БНМ
5
L2-Eth
Исходящий трафик
Входящий трафик
L2-Eth
Сети
общего
пользования
L2-TNL
Локальное изделие
Удаленное изделие
Рис. 3.14 Схема функционирования криптотуннеля при передаче Ethernet-кадров на L2-уровне
Такой криптотуннель можно представить в виде конструкции, состоящей из двух трубок (двух стволов), каждая из которых обрабатывает исходящий или входящий трафик изделия на данном направлении обмена (Рис. 3.14).
Пакеты с информацией передаются между образующими криптотуннель изделиями по каждому из стволов криптотуннеля только в одном направлении: от изделия-отправителя пакета к изделию-получателю.
Тракт обработки трафика защищаемых Ethernet-кадров каждым из однонаправленных стволов криптотуннеля начинается в БВМ изделия-отправителя, проходит через его шифратор и БНМ, продолжается далее через оборудование сетей общего пользования и оканчивается в БНМ изделия-получателя.
В своей основе тракт передачи Ethernet-кадров между изделиями защиты через сети общего пользования на L2- уровне представляет собой простую цепочку: L2–Eth-интерфейс БВМ изделия-отправителя – криптотуннель, образованный L2–TNL-интерфейсами изделия-отправителя и изделия-получателя – L2–Eth-интерфейс БВМ изделия-получателя.
Примечание. Вопросы более сложной организации защищенного тракта передачи на L2-уровне и обработки потока Ethernet-кадров в нем с учетом применения L2–VLAN-интерфейсов и использования настроек L3-уровня в L2–Eth-интерфейсах рассмотрены в соответствующих разделах настоящего РНУ.
Передача данных по криптотуннелю на L2-уровне. Каждый правильный Ethernet-кадр, принятый из
ЛВС Пользователя L2–Eth-интерфейсом БВМ локального изделия, направляется на L2–TNL-интерфейс, имя

Глава 3. Средства защиты при передаче данных через сети 87
которого было указано в качестве значения параметра Имя L2-туннеля при настройке L2–Eth-интерфейса
(см. Рис. 2.15, с. 33). При этом не выполняется никаких процедур обработки − весь поток Ethernet-кадров направляется в L2–TNL-интерфейс (связанный с L2–Eth-интерфейсом) напрямую, минуя маршрутизацию в
БВМ.
Далее выполняется обработка Ethernet-кадра L2–TNL-интерфейсом БВМ локального изделия, включающая составление задания для шифратора на обработку исходного входящего Ethernet-кадра (с учетом значений криптопараметров криптотуннеля, образованного с помощью соответствующего L2–TNL-интерфейса), предусматривающее зашифрование всего кадра с имитозащитой, а также передачу кадра вместе с заданием шифратору (шаг 1 на схеме Рис. 3.14, с. 86). Шифратор выполняет криптообработку исходного Ethernet-кадра согласно полученному заданию и результат своей работы передает далее в БНМ локального изделия (шаг 2 на схеме Рис. 3.14, с. 86).
Далее БНМ упаковывает (инкапсулирует) поступившие из шифратора данные в IP-датаграмму в транспортном формате (см. Рис. 3.3, с. 74), добавляя к поступившим данным заголовок туннеля, заголовок UDP (если необходимо) и транспортный IP-заголовок. Сформированная транспортная IP-датаграмма передается на маршрутизацию БНМ и через соответствующий наружный физический Ethernet-интерфейс отправляется в IP- сеть общего пользования (шаг 3 на схеме Рис. 3.14, с. 86).
Прием данных по криптотуннелю на L2-уровне. Если на интерфейс БНМ изделия поступила входящая
туннелированная IP-датаграмма (т.е. поле Protocol IP-датаграммы имеет значения 4 или 17), то БНМ начинает поиск обрабатывающего IP-датаграмму криптотуннеля, соответствующего данным из заголовка криптотуннеля принятой IP-датаграммы (идентификатору криптотуннеля и IP-адресам).
После того как L2-криптотуннель найден, БНМ извлекает из транспортной IP-датаграммы исходный Ethernet- кадр в зашифрованном виде и оформляет задание шифратору на его обработку. Исходный Ethernet-кадр в зашифрованном виде вместе с заданием отправляются в шифратор (шаг 4 на схеме Рис. 3.14, с. 86). Шифратор выполняет восстановление переданных через сеть исходных данных (расшифрование и проверку имитозащиты), после чего извлеченный из L2–TNL-интерфейса Ethernet-кадр в исходном виде передается в
БВМ (шаг 5 на схеме Рис. 3.14, с. 86), где он, минуя маршрутизатор, перенаправляется в связанный с L2–TNL- интерфейсом (через значение параметра Имя L2-туннеля) физический L2-Eth-интерфейс, непосредственно подключенный к удаленному сегменту ЛВС, в котором находится получатель исходного Ethernet-кадра.
Если принадлежность принятой туннелированной IP-датаграммы к криптотуннелю на удаленном изделии не обнаружена, считается, что эта IP-датаграмма предназначена не для криптотуннелей данного изделия, поэтому ее обработка продолжается на общих основаниях – IP-датаграмма отправляется на маршрутизацию в БНМ для дальнейшего продвижения по сетям общего пользования (это, например, может быть транзитная для данного изделия IP-датаграмма).
Подводя итог, можно выделить следующие фазы в работе каждого из стволов криптографического туннеля изделия для защищенной передачи Ethernet-кадров на L2-уровне:
- на локальном (передающем) изделии внутренняя часть L2-криптотуннеля (на БВМ), получив очередной
исходный Ethernet-кадр от L2–Eth-интерфейса, выполняет для него формирование задания на обработку передаваемых данных, отправку их в шифратор (шаг 1 на схеме Рис. 3.14);
- на локальном (передающем) изделии внутренняя часть криптотуннеля средствами шифратора выполняет необходимые согласно заданию от БВМ преобразования передаваемых данных и отправку их в БНМ изделия (шаг 2 на схеме Рис. 3.14);
- на локальном (передающем) изделии наружная часть криптотуннеля (на БНМ) выполняет упаковку обработанных шифратором зашифрованных передаваемых данных в IP-датаграмму транспортного формата и выполняет ее отправку через маршрутизатор и соответствующий наружный интерфейс БНМ в сеть (шаг 3 на схеме Рис. 3.14);
- на удаленном (принимающем) изделии наружная часть криптотуннеля (на БНМ) распаковывает транспортную IP-датаграмму, выполняет на основе данных туннельного заголовка извлеченной зашифрованной IP-датаграммы подготовку задания шифратору на обратное преобразование принятых данных и отправку их в шифратор (шаг 4 на схеме Рис. 3.14); шифратор передает расшифрованный
исходный Ethernet-кадр в БВМ (шаг 5 на схеме Рис. 3.14), где, учитывая, что данные (Ethernet-кадр) извлечены из криптотуннеля L2-уровня – L2–TNL-интерфейса, программой управления будет найден соответствующий L2-криптотуннелю физический L2–Eth-интерфейс, непосредственно подключенный к удаленному сегменту ЛВС Пользователя, в которой находится получатель, и исходный Ethernet-кадр будет перенаправлен найденному L2–Eth-интерфейсу, через который Ethernet-кадр попадет к получателю в удаленном сегменте ЛВС Пользователя.
3.1.2.2.
Создание и настройка L2–TNL-интерфейсов
Процедуры создания и настройки L2–TNL-интерфейсов, обеспечивающих защиту передаваемого через сети общего пользования на L2-уровне трафика Ethernet-кадров приведены в разделе 2.4.5, с. 49.

88
Глава 3. Средства защиты при передаче данных через сети
3.1.2.3.
Организация защиты трафика Ethernet-кадров на L2-уровне
Для обеспечения функционирования технологии защиты обмена Ethernet-кадрами на L2-уровне изделие применяется как средство организации криптомостов; формируются защищенные bridge-соединения, устанавливаемые через IP-сеть общего пользования между локальным и удаленными защищаемыми сегментами
ЛВС Пользователя.
Для организации функционирования изделия в этом режиме необходимо:
- создать и настроить на БНМ локального и удаленных изделий, руководствуясь схемой организации связи, необходимое число сетевых физических Ethernet-интерфейсов (см. раздел 2.3.1, с. 25) – как основу для телекоммуникационного обмена изделий с сетями общего пользования и с удаленными сегментами ЛВС Пользователя;
- создать и настроить на БВМ локального и удаленных изделий, руководствуясь схемой организации связи, необходимое число сетевых физических L2–Eth-интерфейсов (см. раздел 2.3.2, с. 33) и виртуальных L2–VLAN-интерфейсов (см. раздел 2.4.4, с. 46) как основу для телекоммуникационного обмена изделий с соответствующими защищаемыми локальным и удаленными сегментами ЛВС
Пользователя;
- создать и настроить на БВМ локального и удаленного изделий необходимые L2–TNL-интерфейсы (см. раздел 2.4.5, с. 49), обеспечивающие работу необходимых криптотуннелей, руководствуясь схемой организации связи и используя исходные данные Администрации ЗСПД о криптопараметрах сети.
Приведенная последовательность действий по применению предоставленного изделием инструментария обеспечивает решение задачи защиты трафика Ethernet-кадров, передаваемого через сети общего пользования на L2-уровне, с помощью организации функционирования L2-криптомостов между удаленными сегментами
ЛВС Пользователя.
3.1.3.