SolarSecurity Mar 24 2022 at 11:10

Путешествие по камням, или Как мы скрестили криптошлюзы S‑Terra с Ansible для автоматизации конфигурирования устройств

7 min

4.9K

Солар corporate blogInformation Security*Cryptography*

Comments 5

bird1833 Mar 24 2022 at 12:37

Спасибо за пост! Поскольку информации по автоматизации отечественных криптошлюзов откровенно мало, считаю что подобные наработки надо выкладывать на какой то общедоступный репозиторий.

P.S для загрузки ipsec конфигов сгенерированных через jinja2 можно воспользоваться таким фокусом, это спасло бы вас от 3го булыжника, думаю что и от 4го тоже... но стоит порой консультироваться с вендором, а не пытаться в гараже сделать звезду смерти.

Зачем нужен был sql? Чем вас не устроило динамическое инвентори из xlsx?

- name: Setup IPsec config
  hosts: s_terra
  gather_facts: true

  tasks:
    - name: Create a directory  for scripts  if it does not exist
      ansible.builtin.file:
        path: /var/ansible
        state: directory  
        
    - name: Send config IPsec
      ansible.builtin.copy:
        src: /main-ansible/ansible/ipsec.conf
        dest: /var/ansible
        
    - name: Setup IPsec in cisco-like
      ansible.builtin.raw: "(echo -e  'conf t'; cat  /var/ansible/ipsec.conf; echo -e  '\n end') | su cscons"

jktu100 Mar 24 2022 at 13:09

Полностью с Вами согласен.
Я считаю. что это должен сделать Вендор. Мы с ними достаточно плотно и дружно работаем и конечно сможем пердоставить или загрузить на GitLab если будет такая потребность.

Хотя по сути это все работа с Cisco и Linux.

SQL был нужен как фильтрация (отбору группы строк по содержанию ячейки) по содержанию ячеек и не более. Решений целая куча, просто выбрали именно это.

UFO just landed and posted this here

bird1833 Mar 24 2022 at 13:23

Каждый кто работал с С-террой КП знает что она не экономит, а отнимает время. Исключение генерация пакетов клиентов.

Документации на API КП нету.

Через Ansible большинство проблем можно решить разными путями.

Иногда надо поставить себя на место интегратора и понять что конечному заказчику абсолютно все равно какими путями он будет решать ту или иную задачу.

Сюда же относятся истории некоторых отечественных вендоров про "запрещено регулятором", только этот регулятор не фсб, а то как видят это отделы сертификации внутри...

Искренне надеюсь что сертификация как процесс отойдет на задний план, а вендоров скорее заставят доказывать процент заимствования исходного кода.

jktu100 Mar 24 2022 at 13:27

На счет Гамм вопрос интересный. Но т.к. они индивидуальные проблем не вижу. тот же самый аппаратный способ как на 7000 и 3000.
Sterra КП не резервируется и не является целевой схемой управления, у меня даже письмо где-то есть от S-terra. Кроме того Автоматизация кликов мышкой, это не то чего мы пытались добиться.