Single sign-on для SSH своими руками / Хабр

Ccie сотрудничество

Голосовой трек охватывает расширенные темы по таким темам, как качество обслуживания, MGCP , Call Manager (Cisco VoIP PBX ), Cisco Unity Connection ( платформа голосовых сообщений Cisco )

, Unity Express, Unified Contact Center Express, Cisco Unified Presence Server, Cisco HWIC- 4ESW и 3750-24PS. По состоянию на 9 сентября 2008 г. только сертифицированные инженеры 802 CCIE Voice имеют действующие сертификаты. Большинство кандидатов сдают экзамен после трех или четырех лабораторных попыток, но некоторым потребовалось более шести.

Многие считают, что лабораторный экзамен в такой же мере является проверкой управления временем и планирования, как и технической экспертизы. Широко различающиеся платформы отличают лабораторный экзамен по голосу от других лабораторных экзаменов CCIE.

В мае 2021 года Cisco объявила о прекращении использования дорожки CCIE Voice и представлении новой дорожки CCIE Collaboration, включающей новые темы, такие как виртуализация, обмен мгновенными сообщениями Jabber и видео. После протеста нынешних и потенциальных владельцев CCIE Voice, которые утверждали, что различий остается слишком мало, чтобы гарантировать удаление трека без возможности перехода на новый трек, Cisco предложила путь перехода для существующих держателей Voice.

Ccna безопасность

CCNA Security подтверждает знания об инфраструктуре безопасности, угрозах и уязвимостях сетей, а также о смягчении угроз. Требуемые навыки включают установку, устранение неполадок и мониторинг сетевых устройств для поддержания целостности, конфиденциальности и доступности данных и устройств.

Чтобы получить этот сертификат, необходимо сдать экзамен 210-260 IINS (реализация сетевой безопасности Cisco IOS), а также иметь текущий сертификат CCNA. CCNA-Security является предварительным условием для получения сертификата безопасности CCNP. Он представляет собой экзамен, необходимый для получения сертификата и продолжения пути сертификации безопасности к CCNP.

Примечание. Учебный курс CCNA Security соответствует стандартам обучения NSA и CNSS CNSS 4011 . Сохраняя соответствие требованиям, программа CCNA Security обеспечивает необходимое обучение для специалистов по сетевой безопасности, которые помогают предприятиям частного сектора и федеральным агентствам США, защищают их информацию и помогают в защите ИТ-инфраструктуры США.

Срок действия 3 года.

Ccnp беспроводной

CCNP Wireless охватывает все аспекты принципов и теории беспроводных сетей. Эта сертификация требует четырех тестов, охватывающих обследование беспроводной сети, беспроводные голосовые сети, услуги беспроводной мобильности и безопасность беспроводной сети. Предварительное условие действует как действующий сертификат CCNA Wireless.

Обязательные экзамены:

• 642-732 CUWSS: Проведение Cisco Unified Wireless Site Survey (CUWSS)
• 642-742 IUWVN: Внедрение унифицированных беспроводных голосовых сетей Cisco (IUWVN)
• 642-747 IUWMS: Внедрение Cisco Unified Wireless Mobility Services (IUWMS)
• 642-737 IAUWS: Внедрение Advanced Cisco Unified Wireless Security (IAUWS)

Essl — embedded secure socket layer

Дальше я представлю на Ваш суд результаты моих исследований данного вопроса проверенные опытным путем. Термин

eSSL

пришел мне в голову в процессе написания этой статьи, так что любые упоминания прошу употреблять вместе со ссылкой на

Итак, освещу немного

важные аспекты строения сертификатов

, которые позволяют использовать их нужным нам способом. Любой сертификат представляет собой совокупность строковых полей подписанную закрытым ключем (

private key

). Сертификат также содержит в себе открытый ключ для проверки подлинности данных содержащихся в этих строковых полях. Перечень полей определен в формате Х.509 v3 и описан в документе

RFC 5280

(это последняя на данный момент редакция документа, до этого действовал

RFC 3280

). Сертификат содержит поле

commomName

которое описывает имя субъекта сертификации, обычно оно совпадает с доменом веб-сайта для которого выпущен сертификат, но в стандарте нет никаких запретов на то что будет вписано в эту строку, например, строка “Вася Пупкин” будет так же валидна для этого поля с точки зрения стандарта — это

первый аспект

. Но веб-браузеры проверяют именно это поле на соответствие с именем сайта который предъявляет сертификат. К счастью для нас в формате X509 v3 определены дополнительные расширения, одно из которых

subjectAltName

, которое позволяет добавить идентификаторы, связанные с основным именем субъекта сертификации (

commomName

). Такими идентификаторами могут быть:

и это

второй

и, пожалуй, наиболее важный

аспект

строения сертификатов 3й версии стандарта. Дело в том что таких идентификаторов можно добавить несколько, т.е. можно вписать несколько IP адресов для которых будет валиден выпущенный сертификат. А это и есть то что нам нужно в случае если некое устройство имеет два Ethernet интерфейса для работы в разных под-сетях, да еще и возможность выхода в сеть через различные типы модемов, если соединение будет по PPP, то это будет третий интерфейс со своим IP адресом. Опытным путем мною был установлен

один важный момент

в назначении альтернативных IP адресов. Браузеры Internet Explorer и FireFox по разному производят проверку альтернативных имен. FireFox сверяет адрес который указан в идентификаторе

IP

, а IE — сверяет адрес с идентификатором

DNS

. Поэтому, для осуществления проверки сертификата в обоих браузерах, каждый необходимый IP адрес

должен быть указан и как IP и как DNS

. О том как это сделать будет рассказано дальше.

Single sign-on с openid connect и ssh сертификатами

Вместо использования файлов

authorized_keys

мы настроим SSH Certificate Authority и осуществим доступ по SSH через краткосрочные сертификаты, а для поддержки single sign-on мы добавим

. Как только у нас все получится, результат будет отменный, поэтому прошу вашего терпения, так как нам понадобится чуть больше подготовительных настроек, чем при типичной SSH-конфигурации «из коробки».

Что такое SSH сертификат? SSH сертификат — это альтернатива, которая превосходит пару открытого/секретного SSH ключей. Пользователь и хост обмениваются сертификатами в ходе SSH-соединения (handshake), своего рода урезанной версии сертификата TLX X.

Ниже можно увидеть расшифрованный SSH сертификат:

Зачем нам нужны сертификаты

Прежде чем приступать к работе с сертификатами, необходимо понять, зачем они нам нужны. Давайте рассмотрим пару человек. Традиционно их называют Алисой и Бобом. Им необходимо общаться между собой, и единственным способом, которым они могут это сделать, является обмен сообщениями через открытый канал передачи данных:

Все используемые иконки созданы Vitaly Gorbachev на сайте Flaticon

К сожалению, поскольку канал является открытым, любой при желании может прослушивать и даже изменять сообщения, которыми обмениваются Алиса и Боб:

Эта ситуация называется атакой “Человек посередине” (Man in the Middle).

Как Алисе и Бобу защититься от этой опасности? На помощь приходит шифрование. Наиболее древними и распространёнными системами шифрования являются системы с симметричным ключом. В этом случае Алиса и Боб должны оба обладать абсолютно одинаковым (поэтому он и называется симметричным) ключом, который неизвестен никому более.

Правда у хакера остаётся возможность повторить отправку одного или нескольких сообщений, переданных ранее. В ряде случаев это может так же представлять собой серьёзную опасность (представьте себе, что хакер может повторить запрос на перевод денег с одного счёта на другой).

Но вернёмся к нашим Алисе и Бобу. Кажется, что проблема решена. Но не тут-то было. Загвоздка в том, как обоим нашим участникам получить одинаковые ключи шифрования так, чтобы этот ключ не узнал никто другой. Ведь общаться они могут только по открытому каналу.

Что же делать? На помощь приходит асимметричное шифрование или шифрование с открытым ключом. Суть его состоит в следующем. Пусть Алиса хочет передать сообщение Бобу. Боб теперь генерирует не один, а два ключа – открытый и закрытый.

Открытый ключ не представляет секрета. Его Боб свободно раздаёт всем желающим общаться с ним. А вот закрытый ключ Боб хранит в тайне и не показывает никому, даже Алисе. Хитрость заключается в том, что если зашифровать сообщение с помощью открытого ключа, то расшифровать его можно только с помощью закрытого ключа. И наоборот, сообщение, зашифрованное закрытым ключом, расшифровывается открытым ключом.

Теперь ясно, как Алиса и Боб должны действовать. Каждый из них генерирует свои открытый и закрытый ключи. Затем они обмениваются открытыми ключами через их канал связи. Поскольку открытые ключи не представляют собой секрета, их можно передавать через открытые каналы.

Закрытые ключи они хранят у себя в тайне. Пусть теперь Боб хочет послать сообщение Алисе. Он шифрует его открытым ключом Алисы и посылает сообщение по каналу. Расшифровать сообщение может только обладатель закрытого ключа, т. е. только Алиса. Хакер этого сделать не может.

На самом деле всё чуть сложнее. Дело в том, что шифрование с открытым ключом работает намного медленнее симметричного шифрования. Шифровать таким способом большие объёмы данных представляется неудобным. Поэтому, когда Боб хочет общаться с Алисой, он поступает следующим образом.

Он генерирует новый ключ для системы симметричного шифрования (его обычно называют сеансовым ключом). Потом он шифрует этот сеансовый ключ открытым ключом Алисы и посылает его ей. Теперь у Алисы и Боба есть ключ симметричного шифрования, который неизвестен больше никому. С этого момента они свободно могут пользоваться быстрыми алгоритмами симметричного шифрования.

Казалось бы, проблема решена. Но всё не так просто. Хакеру, контролирующему канал связи, есть что нам сказать. Проблема снова кроется в механизме распространения ключей, но теперь уже открытых ключей. Давайте посмотрим, что может произойти.

Пусть Алиса сгенерировала пару из открытого и закрытого ключа. Теперь она хочет передать свой открытый ключ Бобу. Она посылает этот ключ по каналу передачи данных. В этот момент хакер перехватывает этот ключ, не давая ему достичь Боба. Вместо этого хакер генерирует свою пару из открытого и закрытого ключа.

Да, теперь у нас фигурирует масса различных ключей. Давайте разберёмся, как всё это работает. Пусть Боб хочет послать сообщение Алисе. Он шифрует его открытым ключом, который, как он думает, принадлежит Алисе. Но на самом деле ключ этот принадлежит хакеру.

Хакер перехватывает это сообщение, не давая ему достигнуть Алисы. Поскольку сообщение зашифровано открытым ключом хакера, то он может расшифровать его своим закрытым ключом, прочитать и изменить так, как сочтёт нужным. После этого он зашифровывает сообщение настоящим открытым ключом Алисы (помните, что он сохранил этот ключ у себя) и отправляет его ей.

Что же можно сделать, чтобы избежать подобного развития ситуации? И здесь мы подбираемся вплотную к сертификатам. Представьте себе, что Алиса распространяет по открытому каналу не просто свой открытый ключ, а ключ с прикреплённой к нему биркой, на которой написано, что этот ключ принадлежит Алисе. На бирке так же содержится подпись некоего уважаемого лица, которому доверяют как Алиса, так и Боб:

Считается, что ключ и бирка на нём составляют единое целое. Бирку нельзя отсоединить от одного ключа и присоединить к другому. Тогда, если хакер не может подделать подпись, то он не может подделать и ключ. Боб, получив ключ с биркой, на которой написано, что это ключ Алисы, и стоит подпись, которой он доверяет, может быть уверен, что это именно ключ Алисы, а не кого-то другого.

Можно считать, что ключ с такой биркой и представляют собой сертификат. Но как на самом деле он устроен в цифровом мире?

В цифровом мире всё, что угодно, можно представить в виде последовательности бит (нулей и единиц). Это относится и к нашим ключам. Что же нужно сделать, чтобы создать цифровую подпись для такой последовательности бит? Такая подпись должна обладать следующими свойствами:

Как же создать такую подпись? Можно поступить так. Сначала для нашей последовательности бит считается так называемый хеш. Вы передаёте вашу последовательность бит на вход некоторой функции (называемой функцией хеширования), и она возвращает вам другую последовательность бит, но уже очень короткую. Эта выходная последовательность и называется хешем. Все современные функции хеширования обладают следующими свойствами:

• Для входной последовательности любой длины они всегда генерируют хеш одной и той же длины. Обычно эта длина не превышает нескольких десятков байт. Помните, что наша подпись должна быть короткой. Именно это свойство хеша и делает его удобным для использования в подписи.

• Зная только хеш, вы не можете сказать, из какой последовательности бит он был получен. Т. е. восстановление этой последовательности из хеша невозможно.

• Если у вас есть значение хеша некоторой последовательности бит, то вам очень трудно указать другую последовательность бит, дающую такой же хеш. Действительно, различных файлов длиной в 1 ГБайт очень много. Но для каждого из них можно посчитать хеш длиной, скажем, всего в 32 байта. Различных последовательностей бит длиной в 32 байта намного меньше, чем различных файлов длиной в 1 ГБайт. Это значит, что обязательно будут существовать два различных файла длиной в 1 ГБайт, дающие один и тот же хеш. И тем не менее, зная один такой файл и его хеш, очень сложно узнать другой файл, дающий такой же хеш.

С хешами разобрались. Но, к сожалению, сам по себе хеш не подходит на роль подписи. Да, он короткий, но его может посчитать любой. Хакер может сам вычислить хеш для своего открытого ключа, ничто не препятствует ему сделать это. Как же нам сделать хеш устойчивым к подделке? Здесь на помощь нам снова приходит шифрование с открытым ключом.

Помните, я говорил, что и Алиса, и Боб должны доверять подписи, которая стоит на бирке ключа. Пусть Алиса и Боб доверяют подписи Очень Важного Человека. Как же Очень Важный Человек может подписать ключ? Он генерирует свою пару из открытого и закрытого ключа.

Открытый ключ он передаёт Алисе и Бобу, а закрытый хранит у себя. Когда ему нужно подписать открытый ключ Алисы, он поступает так. Сначала он считает хеш ключа Алисы, а затем шифрует этот хеш своим закрытым ключом. Именно хеш, зашифрованный закрытым ключом Очень Важного Человека (его обычно называют certificate authority) и является подписью. Поскольку никто не знает закрытого ключа Очень Важного Человека, то никто и не может подделать его подпись.

С созданием подписи мы разобрались. Осталось понять, как проверить её подлинность, как проверить то, что подпись не была подделана. Итак, Боб получил некоторый ключ, на бирке которого написано, что это открытый ключ Алисы. А также там присутствует подпись вроде бы Очень Важного Человека.

Как это проверить? Во-первых, Боб вычисляет хеш полученного открытого ключа. Помните, что это может сделать любой. Затем Боб расшифровывает подпись с помощью открытого ключа Очень Важного Человека. Мы помним, что подпись представляет собой тот же зашифрованный хеш.

После этого Боб сравнивает два хеша: посчитанный им самостоятельно и тот, который он получил при расшифровке подписи. Если они совпадают, то всё в порядке, можно верить тому, что это ключ Алисы. Если же хеши отличаются, то доверять такому ключу нельзя. Поскольку хакер не может создать правильную подпись он не может и подсунуть Бобу другой ключ.

Итак, как я уже сказал, сертификат, в сущности, представляет собой ключ и подпись к нему. На практике в него добавляется масса иной информации:

Хеш и подпись строятся по всей совокупности этих данных, чтобы хакер не мог подделать ничего из них.

Однако в нашей строгой схеме всё ещё существует одна брешь. Надеюсь, вы уже поняли к чему я веду. А каким образом Алиса и Боб получают открытый ключ Очень Важного Человека? Ведь если хакер сможет подсунуть им вместо настоящего ключа свой ключ, то всё пропало.

Ну конечно же открытый ключ Очень Важного Человека распространяется так же с помощью сертификата, но теперь уже подписанного Очень-Очень Важным Человеком. Хм… А как же распространяется открытый ключ Очень-Очень Важного Человека? Ну конечно же тоже сертификатом. Ну вы поняли… там сертификаты до самого дна.

Но шутки в сторону. Действительно, сертификат Алисы может быть подписан сертификатом Очень Важного Человека, а тот – сертификатом Очень-Очень Важного Человека. Это называется цепочкой доверия. Но эта цепочка не бесконечна. Обычно она заканчивается корневым сертификатом.

Этот сертификат никем не подписан, а точнее, он подписан сам собой (self-signed certificate). Обычно корневые сертификаты принадлежат очень надёжным компаниям, которые, собственно, и занимаются тем, что подписывают другие сертификаты с помощью своих корневых сертификатов.

Раньше эти компании брали деньги за подписывание сертификатов. Теперь появились сервисы типа Let’s Encrypt, которые делают это бесплатно. Я думаю, что многие большие компании осознали, что лучше предоставлять сертификаты бесплатно и тем самым сделать Интернет более защищённым пространством, нежели иметь массу слабо защищённых сайтов, которые могут быть взломаны и использованы как площадки для атаки на эти же большие компании.

Но вернёмся к сертификатам. Осталось рассмотреть последний вопрос. Почему же мы доверяем корневым сертификатам? Что мешает хакеру подменить их? А всё дело в способе их доставки на компьютеры Боба и Алисы. Дело в том, что основные корневые сертификаты не распространяются по открытому каналу, а устанавливаются вместе с операционной системой. Недавно некоторые браузеры так же стали устанавливаться со своим набором доверенных сертификатов.

Вот и всё, что я сегодня хотел сказать о сертификатах. С ними связана ещё масса интересных вещей, например, механизмы устаревания и отзыва сертификатов, но мы не будем касаться этого здесь. Пора нам перейти к практическим вещам.

Импорт корневого сертификата в firefox 6(linux)

В FireFox 6 это делается черех меню

Preferences

->

Encryption

->

View Certificates

, выбираем вкладку

Authorities

Далее нажимаем

Import

и открываем файл нашего корневого сертификата

ca.crt

, на вопрос об использовании, ставим галочку на идентификацию WEB-серверов.

И мы можем лицезреть наш сертификат в списке доверенных центров

Импорт корневого сертификата в ie8 (windows 7 64bit)

В меню Пуск в строке поиска наберите certmgr и нажмите комбинацию клавиш Ctrl Shift Enter, ответьте утвердительно на запрос прав администратора. У Вас запустится менеджер сертификатов.

Дважды кликните на разделе Trusted Root Certification Authorities

Кликните правой кнопкой мыши на Certificates -> All Tasks -> Import…

Запустится мастер импорта сертификатов, следуйте его инструкциям и в качестве сертификата укажите ca.crt. Если в результате получите ошибку

То поправьте ключ в реестре

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftSystemCertificatesRootProtectedRootsFlags

установите его в

0

и перезапустите менеджер сертификатов.

Мы рассмотрели некоторые возможности SSL сертификатов позволяющие идентифицировать систему имеющую несколько IP адресов и/или Доменных имен, а так же рассмотрели простейший сценарий применения сертификатов во встраиваемых системах. Можно ли улучшить этот сценарий?

Конечно можно. Например можно сделать так чтобы корневой сертификат генерировался прямо на устройстве и отдавался пользователю по запросу, например на USB Stick. В этом случае кража корневого сертификата не повлечет за собой опастность для подобных устройств у других покупателей.

Часть информации относящуюся к сертификатам пользователей можно использовать и при покупке сертификатов подписываемых доверенными центрами сертификации. В этом случае обеспечивается наивысший уровень безопастности который может обеспечить технология SSL.

Как всё это применять?

Итак, мы создали 2 вида сертификатов, корневой сертификат и сертификат пользователя. Корневой сертификат, как правило, создается один раз и в дальнейшем используется для подписи пользовательских сертификатов, которые мы раздаем пользователям, т.е. помещаем на наши девайсы. Разберемся, как их применять.

Сертификат пользователя и ключ к нему нужно поместить на целевое устройство, у меня это некая плата с ARM контроллером и Linux-ом на борту. Не буду описывать этот процесс, т.к. он зависит от WEBсервера, что у нас там установлен.

Как мне зарегистрировать в ca уже существующий хост?

Для хостов Ubuntu 18.04 LTS этот процесс аналогичен загрузке нового хоста, достаточно запустить

под рутом. Для других платформ вам потребуется портировать скрипт под ваши нужды.

После того как вы запустите и настроите все ваши хосты, у вас может возникнуть желание подправить настройки instanceAge вашего поставщика AWS для CA. Эти настройки хранятся в /etc/step-ca/config/ca.json. Инстанс любого возраста может запустить сам себя по умолчанию.

Заметка: Созданный скриптом Instance Identity токен — это одноразовый токен. Вы не можете перерегистрировать хост, вы можете лишь обновить его сертификат. Почему? Потому что любой пользователь на хосте может в любой момент получить доступ к IID, и мы не хотим, чтобы пользователи могли получить сертификат хоста от CA.

Как не следует пользоваться ssh

Еще в далеком 2004 году кто-то научил меня копипастить открытый ключ в файл

authorized_keys

. С тех пор я продолжал невинно копировать один и тот же старый публичный ключ на каждый сервер, с которым мне приходилось работать, и у меня постоянно не получалось сделать это с первого раза, потому что я забывал корректно настраивать

chmod

Лишь однажды, когда в 2021 году OpenSSH объявил мой тип ключа устаревшим, я с неохотой заменил свой ключ. Теперь, за давностью лет, остается только гадать, на каких серверах мой открытый ключ все еще лежит. Может, у старых стартапов, с которыми я когда-то работал? У клиентов с фриланса? На криптоферме моей племянницы?

С организационной точки зрения файлы authorized_keys — это полный отстой. Возможно, поначалу кто-то и пишет их вручную, как я, но с ростом числа хостов и пользователей подобная задача превращается в кошмар. И однажды утром ты просыпаешься посреди затянувшего инфраструктуру болота открытых ключей.

Большинство организаций обычно создают сценарий (playbook) для автоматизации управления файлами authorized_keys, однако их сбор, выгрузка и обслуживание остаются месивом вне зависимости от продуманности исполнения.

Конфигурирование openssl

Openssl поддерживает российские криптоалгоритмы, начиная с версии 1.0. Для того, чтобы их использовать, в openssl требуется подгружать engine gost. В большинстве дистрибутивов openssl эта библиотека присутствует. Чтобы engine подгружалась, можно прописать ее в конфигурационном файле openssl:

[openssl_def]
engines = engine_section

[engine_section]
gost  = gost_section

[gost_section]
engine_id  = gost
default_algorithms = ALL

Если конфигурационный файл openssl не расположен в стандартном месте, то путь к нему можно задать через переменную окружения OPENSSL_CONF.

Другим вариантом подгрузки engine gost является ее передача в параметрах командной строки утилиты openssl.

Если engine gost не расположена в стандартном месте, то через переменную окружения OPENSSL_ENGINES можно задать путь к директории, в которой openssl будет ее искать.

Для получения информации о том, успешен ли был вызов утилиты openssl или нет, с возможностью уточнения ошибки, требуется парсить stdout и stderror. В конце статьи приведена ссылка на PHP-скрипт, который использует данную утилиту.

Теперь перейдем к реализации законченных пользовательских сценариев.

Маршрутизация и коммутация ccna

В CCNA маршрутизации и коммутации сертификации чехлов навыки , необходимые для администрирования устройств на малых и средних сетей. Эта сертификация требует сдачи экзаменов ICND1 100-105 и ICND2 200-105. Экзаменуемые могут сдавать экзамены отдельно или комбинированный экзамен 200–125 CCNA.

Эти экзамены проводятся в центрах тестирования Pearson VUE .

Все сертифицированные CCNA специалисты специализируются на технологиях. Раньше специализированные треки требовали прохождения и поддержания сертификации CCNA, но с истечением срока испытаний серии 640 это уже не так. По состоянию на осень 2021 года для всех сертификатов CCNA нет предварительных требований.

С 24 февраля 2020 года все специализации CCNA будут объединены. Экзамен 200-301 Cisco Certified Network Associate будет единственным экзаменом, доступным на уровне CCNA.

Срок действия 3 года.

Маршрутизация и коммутация ccnp

CCNP проверяет способность планировать, внедрять, проверять и устранять неполадки в локальных и глобальных корпоративных сетях, а также совместно со специалистами работать над передовыми решениями в области безопасности, передачи голоса, беспроводной связи и видео.

Помимо экзаменов CCNA, профессионалы должны сдать три отдельных экзамена профессионального уровня. Трек сертификации изменился в июле 2021 года, и для тех, кто начал, но не завершил процесс сертификации CCNP, доступны различные пути перехода. В июле 2021 года Cisco выпустила версию 2.

0 экзаменов и учебных курсов CCNP, «чтобы отразить согласование с меняющимися отраслевыми должностными обязанностями и добавлением новых учебных материалов». 29 января 2021 года был последним днем ​​тестирования с использованием экзаменов версии 1.0.

Обязательные экзамены (v1.0):

• 642-902 МАРШРУТ: Внедрение Cisco IP-маршрутизации (МАРШРУТ)
• 642-813 SWITCH: реализация коммутируемых IP-сетей Cisco (SWITCH)
• 642-832 TSHOOT: Устранение неполадок и обслуживание сетей Cisco IP (TSHOOT)

Обязательные экзамены (v2.0):

• 300-101 МАРШРУТ: Внедрение Cisco IP-маршрутизации (МАРШРУТ)
• 300-115 SWITCH: Внедрение IP-коммутируемых сетей Cisco (SWITCH)
• 300-135 TSHOOT: Устранение неполадок и обслуживание IP-сетей Cisco (TSHOOT)

Немого общей имформации об ssl

Технология SSL позволяет шифровать трафик между двумя устройствами. Вы, наверное знаете, что SSL сертификаты выдаются web-сайтам и приязываются на домены или поддомены. Сертификаты выдаются доверенными центрами сертификации (

Certification Authority

) и подписываются электронными подписями. Сертификаты подтверждаются в браузерах путем проверки цепочки сертификатов (

Certification Path

), корневые сертификаты этих центров уже распространяются вместе с дистрибутивами основных браузеров и такая проверка происходит незаметно для пользователя. В случае, если доверенный корневой сертификат не найден браузером, пользователю выдается страничка с предупреждением о том, что соединение с сервером не является безопасным.

Проблема

встраиваемых систем

в том, что,

• во-первых, это не web-сайт в общем понимании этого слова (вспомните, например, веб-интерфейс Wi-Fi роутера), в момент выпуска изделия он не имеет окончательного IP адреса, и еще менее вероятно чтобы он имел какой то домен.
• во-вторых, конечный пользователь может сменить и IP, и домен, если таковой был, хотя бы в целях все той же безопастности.
• в-третьих, покупать сертификат довольно дорого, а вопрос снижения себестоимости стоит всегда.

Как же решать эти проблемы?

Но я не хочу пользоваться certificate authority!

Возможно, вы думаете, что это сложно и страшно. Такую репутацию Certificate Authorities заработали из-за загадочных подробностей сертификатов TLS X.509, одного только числа акронимов в мире ИОК (инфраструктуры открытых ключей, PKI), и сложности таких инструментов, как

openssl.

Кроме того, у больших CA, например Let’s Encrypt, есть огромное число ответственностей по обеспечению безопасности интернета.

Мы не будем пользоваться Let’s Encrypt.

SSH сертификаты проще, чем TLS сертификаты. SSH CA попросту позволяет нам делегировать часть ответственностей в области аутентификации и авторизации множества хостов одному централизованному сервису.

В этом проекте мы настроим CA с тремя поставщиками — тремя методами выдачи сертификатов:

Приступим?

Поиск подключенных устройств

Любой клиентский сценарий начинается с поиска подключенных к компьютеру USB-устройств Рутокен. В контексте данной статьи акцент делается на устройство Рутокен ЭЦП.

var devices = Array();

try 
{
    devices = plugin.enumerateDevices();
}
catch (error) 
{
    console.log(error);
}

При этом возвращается список идентификаторов подключенных устройств. Идентификатор представляет собой число, связанное с номером слота, к которому подключено устройство. При повторном перечислении это число может отличаться для одного и того же устройства.

Рутокен Плагин определяет все подключенные к компьютеру USВ-устройства Рутокен ЭЦП, Рутокен PINPad, Рутокен WEB. Поэтому следующим шагом следует определить тип устройства.

Полезные ссылки

Данные ссылки могут быть полезны разработчикам инфосистем с поддержкой ЭЦП на базе Рутокен Плагин и openssl:

Демосистема Рутокен ПлагинWEB-сервис генерации ключей, формирования запросов, управления сертификатами, формирования шаблонов запросов на сертификаты Документация на Рутокен ПлагинДокументация по использованию утилиты openssl с российскими крипталгоритмамиПример скрипта на PHP, использующего утилиту openssl

Получение информации об устройстве

Для определения типа устройства следует использовать функцию

с параметром TOKEN_INFO_DEVICE_TYPE. Значение этой константы содержится в объекте плагина.

var type;

try
{  
  type = plugin.getDeviceInfo(deviceId, plugin.TOKEN_INFO_DEVICE_TYPE);
}
catch (error) 
{
    console.log(error);
}

switch (type) 
{
    case plugin.TOKEN_TYPE_UNKNOWN:
        message = "Неизвестное устройство";
        break;
    case plugin.TOKEN_TYPE_RUTOKEN_ECP:
        message = "Рутокен ЭЦП";
        break;
    case plugin.TOKEN_TYPE_RUTOKEN_WEB:
        message = "Рутокен Web";
        break;
    case plugin.TOKEN_TYPE_RUTOKEN_PINPAD_2:
        message = "Рутокен PINPad";
        break;
}

Также с помощью функции getDeviceInfo можно получить:

Поставщик услуг ccna

CCNA Service Provider фокусируется на проверке способности настраивать и внедрять базовые сети нового поколения для поставщиков услуг Cisco. Требуемые экзамены: 640-875 Создание сетей нового поколения для поставщиков услуг Cisco, часть 1 (SPNGN1) и 640-878 Создание сетей следующего поколения для поставщиков услуг Cisco, часть 2 (SPNGN2).

Часть 1 – это 5-дневный курс под руководством инструктора, который дает базовые знания и навыки, необходимые для поддержки сети поставщиков услуг. Курс дает знания об основных компонентах сети и помогает учащимся понять, как функционируют сети поставщиков услуг.

Курс знакомит с архитектурой IP-сетей следующего поколения (IP NGN). Курс также включает в себя удаленные лабораторные работы, которые помогают получить практические навыки по развертыванию базовых функций программного обеспечения Cisco IOS / IOS XE и Cisco IOS XR.

Срок действия 3 года.

Пути к первичной сертификации

В таблице ниже показаны различные пути и уровни сертификации Cisco. Все сертификаты, за исключением CCAr, требуют сдачи одного или нескольких теоретических экзаменов, предлагаемых Pearson VUE . Сертификация CCIE также требует проведения практического экзамена в специальных лабораториях по всему миру.

С 24 февраля 2020 г. Cisco изменила структуру сертификации.

• 1 сертификат начального уровня: CCT
• 3 сертификата ассоциированного уровня: CCNA, CC DevNet Associate и CC CyberOps Associate.
• 7 сертификатов профессионального уровня: CCNP DevNet, CCNP Enterprise, CCNP Collaboration, CCNP Data Center, CCNP Security, CCNP Service Provider и CC CyberOps Professional.
• 7 сертификатов экспертного уровня: CCDE, CCIE Infrastructure, CCIE Enterprise Wireless, CCIE Collaboration, CCIE Data Center, CCIE Security и CCIE Service provider.

Работа с ключевыми парами гост р 34.10-2001

1. Для получения декрипторов ключевых пар, хранящихся на устройстве, требуется ввод PIN-кода. Следует понимать, что само значение закрытого ключ получено быть не может, так как ключ является неизвлекаемым.

var keys = Array();

try
{   
    plugin.login(deviceId, "12345678");
    keys = plugin.enumerateKeys(deviceId, null);
}
catch (error) 
{
    console.log(error);
}

2. Для генерации ключевой пары требуется ввод PIN-кода. При генерации ключа параметры могут быть выбраны из набора:

Пример генерации ключевой пары ГОСТ Р 34.10-2001:

var options = {};
var keyId;

try 
{
    keyId = plugin.generateKeyPair(deviceId, "A",  null, options);
}
catch (error) 
{
    console.log(error);
}

3. С помощью функции deleteKeyPair ключевая пара может быть удалена с токена.

Расшифрование данных, полученных с сервера, на клиенте

Для расшифрования данных, полученных с сервера, предназначена функция cmsDecrypt. Так как сервер шифрует для клиента, используя его сертификат, то в качестве keyId должен быть передан дескриптор закрытого ключа клиента, соответствующий открытому ключу в сертификате.

Этот дескриптор является уникальным и неизменным и потому может быть сохранен в учетной записи пользователя на сервере. Кроме того, дескриптор ключа пользователя может быть получен явным образом, путем вызова функции getKeyByCertificate.

Шифрование данных на сервере для клиента:

Сертификат выдается при регистрации в системе

Последовательность вызовов в клиентском скрипте будет следующей:

Далее запрос отправляется на сервер, где на его основе выдается сертификат.Для этого на сервере должен быть установлен и правильно сконфигурирован openssl версии от 1.0 и развернут функционал УЦ.

1. Генерация улюча УЦ:

openssl genpkey -engine gost -algorithm GOST2001 -pkeyopt paramset:A -out ca.key

После этого в файле ca.key будет создан закрытый ключ

2. Создание самоподписанного сертификата УЦ:

openssl req -engine gost -x509 -new -key ca.key -out ca.crt

После ввода необходимой информации об издателе в файле ca.crt будет создан сертификат УЦ.

Сертификат уже имеется на токене, выдан внешним уц

Ключевая пара при этом должна быть создана в формате, совместимом с библиотекой rtPKCS11ECP для Рутокен ЭЦП.

Последовательность вызовов на клиенте:

Подпись получается в base64-формате. При проверке ее на сервере с помощью openssl подпись следует обрамить заголовками, чтобы сделать из нее PEM. Выглядеть подобная подпись будет примерно так:

-----BEGIN CMS-----
MIIDUQYJKoZIhvcNAQcCoIIDQjCCAz4CAQExDDAKBgYqhQMCAgkFADCBygYJKoZI
hvcNAQcBoIG8BIG5PCFQSU5QQURGSUxFIFVURjg PFY 0JLRi9C/0L7Qu9C90LjR
gtGMINCw0YPRgtC10L3RgtC40YTQuNC60LDRhtC40Y4/PCE c2VydmVyLXJhbmRv
bS1kYXRhZTI6ZGE6MmM6MDU6MGI6MzY6MjU6MzQ6YzM6NDk6Nzk6Mzk6YmI6MmY6
YzU6Mzc6ZGI6MzA6MTQ6NDQ6ODM6NjY6Njk6NmI6OWY6YTU6MDk6MzQ6YmY6YzQ6
NzY6YzmgggGeMIIBmjCCAUegAwIBAgIBATAKBgYqhQMCAgMFADBUMQswCQYDVQQG
EwJSVTEPMA0GA1UEBxMGTW9zY293MSIwIAYDVQQKFBlPT08gIkdhcmFudC1QYXJr
LVRlbGVjb20iMRAwDgYDVQQDEwdUZXN0IENBMB4XDTE0MTIyMjE2NTEyNVoXDTE1
MTIyMjE2NTEyNVowEDEOMAwGA1UEAxMFZmZmZmYwYzAcBgYqhQMCAhMwEgYHKoUD
AgIjAQYHKoUDAgIeAQNDAARADKA/O1Zw50PzMpcNkWnW39mAJcTehAhkQ2Vg7bHk
IwIdf7zPe2PxHyAr6lH stqdACK6sFYmkZ58cBjzL0WBwaNEMEIwJQYDVR0lBB4w
HAYIKwYBBQUHAwIGCCsGAQUFBwMEBgYpAQEBAQIwCwYDVR0PBAQDAgKkMAwGA1Ud
EwEB/wQCMAAwCgYGKoUDAgIDBQADQQD5TY55KbwADGKJRK bwCGZw24sdIyayIX5
dn9hrKkNrZsWdetWY3KJFylSulykS/dfJ871IT 8dXPU5A7WqG4 MYG7MIG4AgEB
MFkwVDELMAkGA1UEBhMCUlUxDzANBgNVBAcTBk1vc2NvdzEiMCAGA1UEChQZT09P
ICJHYXJhbnQtUGFyay1UZWxlY29tIjEQMA4GA1UEAxMHVGVzdCBDQQIBATAKBgYq
hQMCAgkFADAKBgYqhQMCAhMFAARAco5PumEfUYVcLMb1cnzETNOuWC8Goda8pdUL
W5ASK tztCwM7wpXgAy Y6/sLtClO9sh8dKnAaEY2Yavg3altQ==
-----END CMS-----

Проверка подписи на сервере:

Сертификаты экспертного уровня

Cisco Certified Internetwork Expert представляет собой высшую сертификацию Cisco, в настоящее время состоящую из семи направлений, которые часто обновляются и выводятся из эксплуатации и соответствуют новейшим технологиям и тенденциям в отрасли. По состоянию на 6 октября 2021 г.

CCIE начал свою деятельность в 1993 году, первоначально с двухдневной лабораторной работы, позже перейдя в однодневный формат. Менее 3% сертифицированных Cisco специалистов получают сертификат CCIE и в среднем тратят тысячи долларов и 18 месяцев на обучение, прежде чем сдать экзамен.

Многие кандидаты строят учебные лаборатории дома, используя старое оборудование, а затем продают его другим кандидатам после прохождения. В качестве альтернативы кандидаты могут арендовать “стойку” онлайн. CCIE состоит из письменного экзамена и “лабораторного” экзамена (по каждому треку).

Письменный экзамен является предварительным условием лабораторного экзамена и стоит 400 долларов за попытку. Письменный экзамен состоит из 100 вопросов, которые необходимо выполнить в течение 2 часов. После сдачи письменного экзамена у кандидата есть восемнадцать месяцев, чтобы сдать лабораторный экзамен.

У кандидата есть три года после сдачи письменного экзамена для успешного завершения лабораторной работы. Лаборатория представляет собой восьмичасовой практический экзамен, призванный продемонстрировать, что кандидат знает теорию межсетевого взаимодействия и демонстрирует продвинутые практические навыки.

По состоянию на июль 2021 г. стоимость CCIE Lab составляет 1600 долларов за попытку, и десять офисов Cisco предлагают ее по всему миру. Некоторые из этих мест не предлагают все треки CCIE. Согласно опросу Cisco, 9050 долларов США представляют собой средние затраты на подготовку к сертификации CCIE по состоянию на апрель 2006 г., которые в основном расходуются на приобретение оборудования для практики и учебных материалов.

В настоящее время для сдачи письменного экзамена CCIE не существует никаких формальных предварительных условий, но Cisco рекомендует иметь опыт работы в сети не менее 3–5 лет. CCIE существует как первая сертификация Cisco, и никаких других сертификатов ранее не существовало.

У кого-то могут быть знания о наличии нескольких сертификатов CCIE. По состоянию на 9 сентября 2008 г. 1729 человек имели несколько сертификатов CCIE. Из них 274 имеют три или более сертификатов CCIE. Адам МакКомбс процитировал эту квалификацию как «по существу докторскую степень в Интернете» в 1 сезоне 10 серии Shark Tank.

После успешного завершения лабораторного экзамена Cisco присуждает номер CCIE новому CCIE. Первый выделенный номер CCIE (в 1993 г.) начался с 1024 и впоследствии увеличился. По состоянию на август 2021 года максимальное количество выделенных CCIE составило чуть более 30 000 человек.

Первый номер они присвоили первому местоположению лаборатории CCIE, а не отдельному человеку, и обозначили его на табличке у входа в лабораторию. Они присвоили номер 1025 Стюарту Биггсу, который создал первый письменный экзамен и первый лабораторный экзамен.

Первый человек, сдавший письменные и лабораторные экзамены CCIE, известный как Терри Слэттери, консультировал Cisco, когда лаборатория начала разработку. Слэттери был первым CCIE, который не работал на Cisco. Каждый CCIE сохраняет свое количество независимо от того, сколько Сертификатов он или она получает.

Каждые два года CCIE должен сдавать письменный тест, чтобы сохранить сертификат. В противном случае сертификация приостанавливается. По прошествии еще одного года сертификация аннулируется. После этого можно будет восстановить сертификацию, только начав с нуля.

Экзамены CCIE Lab проводятся только в специальных центрах тестирования CCIE Lab по всему миру. Однако все треки для тестирования могут быть недоступны в лаборатории.

Сертификация специалиста

В дополнение к огромному количеству сертификатов, указанных выше, Cisco также предоставляет сертификаты специалистов. Экзамены для этих сертификатов часто сосредоточены на определенных технологиях и, как правило, нацелены на участников партнерской программы Cisco, включая тех, кто продает, проектирует или поддерживает продукты и услуги Cisco.

Специализации могут проводиться на уровнях Express, Advanced и Master, отражая глубину навыков партнеров в определенных технологиях и архитектурах, и могут проводиться как в технологическом портфеле, так и в архитектуре. Специализации:

• Бизнес: Практик по бизнес-ценностям, Специалист по бизнес-ценностям
• Специалист по бизнес-архитектуре, Практик по бизнес-архитектуре
• Специалист по корпоративному ИТ-бизнесу
• Сотрудничество
• Дата центр
• Интернет вещей
• Программируемость сети
• Программное обеспечение операционной системы
• Безопасность
• Поставщик услуг

Сертифицированный cisco технический специалист по сетевым технологиям (ccent)

Сертифицированный Cisco специалист по сетевым технологиям начального уровня представляет собой самый низкий уровень сертификации, охватывающий базовые знания в области сетевых технологий. До своего введения CCNA представляла собой первый уровень программы сертификации.

Его можно использовать в качестве должности сетевой поддержки начального уровня. Персонал, сертифицированный CCENT, может устанавливать, управлять и устранять неполадки в сети малого предприятия, включая базовую безопасность сети. Первый шаг к сертификации CCNA должен начинаться с наличия CCENT.

В 2021 году Cisco представила новые экзамены ICND1 и ICND2 (необходимые для новой CCNA Routing and Switching). ICND1: 100-105 (Interconnecting Cisco Networking Devices Part 1 v3.0) стал новым экзаменом, необходимым для CCENT. С этим изменением CCENT стал достаточным предварительным требованием для CCNA Security, CCNA Voice и CCNA Wireless.

Сценарий использования ssl во встраиваемых системах

Приведу для примера один из возможных сценариев использования сертификатов во встраиваемых системах. Этот сценарий не требует покупки сертификатов, но имеет ограничения в использовании. Итак,

1. Нам потребуется создать самоподписанный корневой сертификат, в этом случае мы станем сами себе центром сертификации.
2. Далее нам нужно создать сертификат для нашего web-интерфейса и подписать его корневым сертификатом, созданным на первом шаге.
3. Этот сертификат мы помещаем в память  нашей встраиваемой системы где его сможет найти встроенный веб-сервер.
4. Всем пользователям веб-интерфейса мы должны выдать наш корневой сертификат, но не приватный ключ.
5. Пользователи веб-интерфейса должны импортировать наш корневой сертификат в свои веб-браузеры на всех компьютерах с которых предполагается вход на веб-интерфейс.

Особо отмечу

, что этот сценарий

не является безопасным

, подобный способ используют производители роутеров, а умные хакеры извлекают ключи из прошивок и складывают в базу данных

Центр данных ccnp

Центр обработки данных CCNP подтверждает знания в области проектирования, установки оборудования и обслуживания центра обработки данных.

Пять обязательных экзаменов:

• 300-175 DCUCI Внедрение унифицированных вычислений центра обработки данных Cisco (DCUCI)
• 300-165 DCII Внедрение инфраструктуры центра обработки данных Cisco (DCII)
• 300-170 DCVAI Внедрение виртуализации и автоматизации центров обработки данных Cisco (DCVAI)
• 300-160 DCID Проектирование инфраструктуры центра обработки данных Cisco (DCID)

ИЛИ

• 300-180 DCIT Устранение неполадок в инфраструктуре центра обработки данных Cisco (DCIT)

Шифрование данных на клиенте для сервера

Для того, чтобы обеспечить конфиденциальность обмена данными между клиентом и сервером в плагине предусмотрено шифрование/расшифрование данных. Данные шифруются в формате CMS. Для того, чтобы зашифровать данные в формате CMS, требуется сертификат открытого ключа «адресата».

При этом расшифровать такое сообщение сможет только владелец закрытого ключа. При шифровании данных для сервера рекомендуется хранить сертификат сервера на Рутокен ЭЦП. Этот сертификат может быть записан на устройство при регистрации пользователя на портале.

Для этого следует использовать функцию importCertificate, при этом в качестве параметра category следует передать CERT_CATEGORY_OTHER. Для использования в функции cmsEncrypt нужно получить тело сертификата по его дескриптору с помощью функции getCertificate.

При этом дескриптор является уникальным и неизменным и может быть сохранен в учетной записи пользователя на сервере при импорте сертификата сервера. Для того, чтобы использовалось аппаратное шифрование по ГОСТ 28147-89, требуется установить опцию useHardwareEncryption в true. В противном случае будет использована быстрая программная реализация ГОСТ 28147-89.

Последовательность вызовов приведена на картинке:

Шифрование данных на клиенте:

try
{
    var recipientCert = plugin.getCertificate(deviceId, certRecId);        
}
catch (error) 
{
    console.log(error);
}

var options = {};
options.useHardwareEncryption = true;
var cms;

try
{
    cms = plugin.cmsEncrypt(deviceId, certSenderId, recipientCert, data, options);
}
catch (error) 
{
    console.log(error);
}

Расшифрование данных на сервере, перед расшифрованием сообщение нужно обрамить PEM-заголовками “—–BEGIN PKCS7—–” и “—–END PKCS7—–“:

openssl smime -engine gost -decrypt -in message.cms -inform PEM -recip recipient.crt -inkey recipient.key

recipient.crt — сертификат того, для кого зашифровано сообщение, recipient.key — ключ того, для кого зашифровано сообщение.