纵向加密-培训资料

纵向加密认证装置技术培训2015.09北京科东电力控制系统有限责任公司内部资料注意保密提纲•纵向加密认证装置•纵向加密认证装置现场配置•工程实施常见问题信息管理调度管理（高安全等级系统）形成了栅格状的安全防护体系4、纵向认证3、横向隔离电力企业数据网控制区非控制区管理区信息区电力调度数据网生产控制大区管理信息大区防火墙2、网络专用1、安全分区1234电力二次系统安全防护体系总体策略34纵向加密认证装置是位于电力控制系统的内部局域网与电力调度数据网络的路由器之间，用于安全区I/II的广域网边界保护，可为本地安全区I/II提供一个网络屏障同时为上下级控制系统之间的广域网通信提供认证与加密服务，实现数据传输的机密性、完整性保护。国网明确设备部署到35kV变电站。二平面简介纵向加密认证网关型号型号主要硬件接口应用场合1PSTunnel-2000百兆型5*10/100M电口；双核加密芯片。地调，220kV以上变电站，电厂。2PSTunnel-2000G千兆型4*10/100/1000M电口（2*SFP复用）;2*10/100M电接口四核加密芯片。网省调以上，各种光接口现场。3PSTunnel-2000L百兆低端型5*10/100M电口，单核加密芯片。110kV变电站等设备外观1—前面板•产品型号：PSTunnel-2000电力专用纵向加密认证网关•产品型号：PSTunnel-2000G——千兆高端型•产品型号：PSTunnel-2000——百兆普通型/百兆光口型•产品型号：PSTunnel-2000L——百兆型低端型•国密局批复型号：SJY99加密网关IC卡卡槽液晶屏系统运行灯电源灯IC卡指示灯4组网络状态灯加解密指示灯报警灯设备外观2-百兆/千兆背板千兆光口SFP口百兆电口RJ45千兆电口RJ45双电源管理console管理console设备外观3-低端百兆/普通百兆92020/2/13设备组成嵌入式主机IC卡液晶显示屏状态LED灯千兆/百兆网口控制台管理串口电源及锁具非intel指令CPU.专用算法芯片......设备参数•千兆设备共有6个网络接口，其中4个10/100/1000M网络电口（2个光接口与2个电接口复用），另外还具有2个10/100M自适应的网卡•百兆设备共有5个网络接口，采用RJ45型接口，10/100M自适应，功能是2个内网网口，2个外网网口，1个配置/心跳网口；•1个RS-232CONSOLE的接口，波特率115200bps，采用RJ45型接口；•两个220V/50HZ电源插座；交流电源，交流100V-260V/50HZ，直流100V-374V。•智能IC卡接口，符合ISO－7816智能IC卡规范。性能指标•纵向加密装置网关千兆型：–最大并发加密隧道数：≥2048条–明通数据传输效率：≥380Mbps–密通数据传输效率：≥110Mbps•纵向加密装置网关百兆普通型：–最大并发加密隧道数：≥1024条–明通数据传输效率：≥96Mbps–密通数据传输效率：≥35Mbps•纵向加密装置网关百兆低端型：–最大并发加密隧道数：≥1024条–明通数据传输效率：≥60Mbps–密通数据传输效率：≥15Mbps装置有什么作用？2/13/202013调度数据网明文业务•在调度数据网搭线窃听明文传输的敏感信息，为后续攻击做准备•可以篡改报文类型、篡改数据；•发错误报文，扰乱数据；•发控制报文，下发命令。2/13/202014广域网104规约报文样例2/13/202015104明文网络报文分析•例如以上报文网络报文包含应用系统和网络相关信息：•应用系统源IP地址和目的IP地址•主站或者厂站（201.200.200.1、204.200.200.1）传输层协议（TCP）•应用服务口号（2404）•报文类型：遥信•报文数值2/13/202016密文数据包样例2/13/2020密文数据分析•通信源IP地址和目的IP地址是加密设备地址——通信地址为加密设备地址，隐藏并保护了真正通信主机（主站厂站）的地址•通信协议：IP协议——保护真正通信主机的协议、端口（TCPTASE2）•通信数据包内容——密文数据，保护报文内容（应用数据）17几个名词•隧道tunnel（基于安全隧道的彼此通信的主机之间的安全规则，称为安全策略）•策略policy（纵向加密认证装置之间建立的通信关系，可以为空隧道或者真实隧道。空隧道一般仅仅起挂在特殊策略的作用，隧道模式为明通。其他实体隧道，即与远端装置建立的隧道都应为真实隧道，挂在相应的应用主机策略。）•远程remote•本地local•协议tcp、udp、icmp•端口应用层，2404…192020/2/13使用流程初始化生成装置的设备公私钥，并填写必要信息，生成证书请求csr文件，提交本级调度证书服务系统签发配置配置设备的基本信息,双机高可用信息,安全隧道信息,安全策略信息;导入对方装置的设备证书,导入管理中心的证书…监控远程配置、监视与控制的纵向加密认证装置......本地登录管理方式超级终端串口CONSOLE115200/8/N/1/N命令:ps–emmonipead-?本地登录管理图形化界面终端的网卡配置“169.254.200.0”网段的地址.用交叉线插入纵向设备的eth4口串口网口超级终端•通过设备的串口终端，可以登录查看系统后台信息，但是不能配置设备参数，有以下几种情况，必须使用串口终端进行特殊操作：•初始化系统参数；•设备关键硬件加密卡的底层操作；•设备调试，后台运行参数查看。终端端命令1•进入系统#终端提示符下,可以使用的命令分为两类，Linux系统命令和专用命令。•Linux系统自带的一些系统命令，例如：ps、cd、ls、df、ifconfig、ping等命令可以使用，但是一些网络命令例如route、arp、ftp、telnet、rlogin等都被禁止使用。•纵向加密设备中，可以使用的系统命令全部在/ipead/bin/目录下，经常使用的有monipead.ppc。•特殊的命令如initdev.ppc、clsflag.ppc、initic.ppc等需慎重使用。终端端命令2•在#系统提示符情况下看到键入如下命令：ps。看到六个/ipead/bin/ipead-30.ppc进程以及子进程说明主程序在线，系统运行正常，例如下表中，主进程PID为54。•进程号进程所述用户组内存进程状态进程名称•pt2000l#ps•PIDUidVmSizeStatCommand•1root596Sinit•2rootSW[keventd]•64root10200S/ipead/bin/ipead-30.ppc•65root10200S/ipead/bin/ipead-30.ppc•66root10200S/ipead/bin/ipead-30.ppc•67root10200S/ipead/bin/ipead-30.ppc•68root10200S/ipead/bin/ipead-30.ppc•69root10200S/ipead/bin/ipead-30.ppc•72root820S-sh•81root696Rps•如果进程不在，请尝试重新启动设备，再次查看，方法是复位背板的开关按钮。终端端命令3•monipead命令•其命令对应的意义为监测（monitor）纵向设备的运行情况。默认情况下，键入该命令，会提示输入参数表，如下。•-all显示常用配置•-ac显示ARP缓存数据•-v例•monipead.ppc-all•----------------------------------IPEAD:ipead1Config&StatusInfo-------------------------------•DeviceMode:•*****PERSONA_MODE**********DEF_POL_DENY*****•LocalConfig:•Extraeth1:10.30.10.82mask:255.255.255.0vlanid:0//（本地纵向设备IP）•Confg:169.254.200.200mask:255.255.255.0vlanid:0//（配置口IP）•LogSize:128StartAt:FriFeb2715:53:252009//（日志不超过128K）•Extraeth1Route:•dest:10.10.10.0mask:255.255.255.0gate:10.30.10.1pmtu:1500vlanid:0//外网路由网关地址•TunnelGroup:•Group[0]://第一组隧道ID：00•Master[00]:10.30.10.81Cert:0Status:OPENED[3]MSStatus:MAS-MAS[3]HKey:270227233•//（远端设备协商地址）（加密隧道状态OPEN3）•Key:4738fcd0a41a0fcb4309e4960f0f38eb•Sed_Key:fab0d31433a8005b3b2c32eb8ca0b5e1•Neg_Key:bd882fc497b20f907825d67d83af8d0a•Policy[0]:Mode:ENCProt:ALLLocal[10.30.10.1--10.30.10.1](1--65535)Remote[10.30.10.64--10.30.10.64](1--65535)//（加密策略）（协议ALL）（通信主机地址段）•Standby:NULL提纲•纵向加密认证装置•纵向加密认证装置现场配置•工程实施常见问题网络登录管理1.给管理终端的笔记本网卡配置一个“169.254.200.0”网段的地址。2.用交叉线插入设备背板的eth4口。3.操作员用户名root，填入密码，键入默认IP地址169.254.200.200，点击“确定”，则会登录主界面。4.在设备前面板IC卡槽中，插入“操作员”的IC卡，芯片向上。（根据现场情况不通，一些现场不需要第四步）有时候登录不了设备？•同一现场多个默认的设备管理IP地址都为169.254.200.200，而管理终端的地址缓存记住了一个对应的设备MAC，可以使用清除本地网卡的MAC地址的方法，在windows命令行下键入arp–d.•用正常的办法登录设备后，将其配置VALN的地址修改为不同，再次登录即可。292020/2/13IP/vlan配置路由配置隧道配置策略配置证书导入纵向加密装置配置界面演示2/13/2020在装置基本配置中：“设备标识”为“hb1769”；“工作模式”为“借用模式”；“vlan标识类型”为“802.1q”；“缺省策略处理模式”为“丢弃”；“探测时间周期”为“20秒”；“探测失败次数”为“3次”；“检测网口流量”选择“监测外网”；“监测网口流量时间间隔”为“3分钟”；“是否启动路径一致”选上启动路径一致。配置完成后点击“确定”，具体配置如下图所示：2/13/2020点击：“配置”下拉菜单选择“装置VLAN配置”，选择“eth1”配置三条vlan信息分别对应三个业务vpn：vlan19937.137.23.120255.255.255.128实时业务VPNVlan29937.138.23.120255.255.255.128非实时业务VPNVlan39937.139.23.120255.255.255.128保护业务VPN2/13/2020点击：“配置”下拉菜单选择“装置路由配置”选择“eth1”对设备外网配置路由信息即指定去往各目的网段相应的下一跳地址，配置完成点击“确定”，如下图所示2/13/2020点击：“配置”下拉菜单选择“装置告警配置”选择“1个或者2个告警输出”对设备“eth1”口配置告警输出，填入告警目的ip，和接收端口：514。配置完成点击“确定”，如下图所示2/13/2020装置隧道配置2/13/2020装置隧道配置•配置时点击“添加隧道”出现如下图框，填写：“隧道标识”由00往上递增。工作模式取决与对端节点是否接入纵向加密装置。接入装