Быстрый старт¶
АПКШ Континент поставляется с предустановленной текущей тиражируемой версией ПО. В некоторых случая может потребоваться ее переустановка (понижение или повышение версии, восстановление работоспособности, установка отладочной версии по и т.д.).
Содержание
Инсталляция на аппаратную платформу¶
При инсталляции ПО на аппаратную платформу используются два источника инсталляции:
- CD-диск (входит в комплекте поставки оборудования)
- USB Flash drive (так же входит в состав поставки)
Самый распространенный способ - это установка через USB Flash drive. В этом случае на носитель необходимо записать образ USB Flash drive из комплекта поставки. Образы находятся на CD-диске в директории Setup\Continent\FLASH\IMAGES, имеют расширение .flash и записываются на USB Flash drive при помощи таких утилит как:
- dd (Linux, BSD)
- Win32DiskImager (Windows)
- Rufus (Windows)
- balenaEtcher (Windows, Linux, MacOS)
Примечание
Для распознавания файла образа в balenaEtcher необходимо изменить расширение с .flash на .img (cgw_release.flash -> cgw_release.img)
По факту каждый образ это raw image жесткого диска с двумя разделами. Первый раздел FAT размером 8 МБ. Предназначен для сохранения ключей администратора ЦУС или же конфигурации и ключей КШ. Второй раздел UFS (FreeBSD). Содержит необходимые для установки ПО файлы. Созданный таким образом USB Flash drive будет являться загрузочным устройством и позволит произвести установку ПО на аппаратную платформу АПКШ.
Каждый образ установочного ПО содержит требуемый функционал для конкретной реализации ПО:
- arm_release.flash - АРМ ГК (Генерации Ключей)
- cgw.aserv_release.flash - КШ-СД
- cgw_release.flash - КШ
- csw_release.flash - КК
- ids_release.flash - ДА
- ncc.aserv_release.flash - ЦУС-СД
- ncc_release.flash - ЦУС
Внимание
При переустановке ПО на аппаратную платформу АПМДЗ «Соболь» будет выдавать предупреждение о том, что изменился загрузочный диск, на запрос о изменении загрузочного диска следует ответить «НЕТ», в ином случае Соболь при загрузке уже с диска опять выдаст это предупреждение. Так же после переустановке ПО сбросится настройка «Время автоматического входа в систему», следует установить этот параметр в значение, отличное от 0, иначе устройство будет требовать предъявление iButton при каждой загрузке. Пункт «Время автоматического входа в систему» может быть недоступен для редактирования, в этом случае необходимо создать пользователя AUTOLOAD в меню управления пользователям АПМДЗ «Соболь».
Инсталляция на виртуальную машину¶
Для того, чтобы установить ПО Континент на виртуальную машину используется специальный ISO-образ. Данный образ содержит в инсталляционных файлах все возможные компоненты комплекса (ЦУС, КШ, КК, ДА, ЦУС-СД, КШ-СД, АРМ ГК). Основное отличие данного ISO-образа это эмуляция Соболя, по факту же данный образ может использоваться для установки на x86-совместимое аппаратное обеспечение. Важно понимать, что в этом случае мы никогда не получим формальное соответствие формуляру (актуально для версии 3.7 и ниже). При установке на виртуальную платформу необходимо выбирать гостевую систему FreeBSD (32 bit) ниже 10 версии.
Для оптимизации потребления ресурсов гипервизора рекомендуется использовать следующие параметры в файле /boot/loader.rc:
- set hint.p4tcc.0.disabled=1
- set hint.acpi_throttle.0.disabled=1
- set hint.apic.0.clock=0
- set kern.hz=50
Важно
Начиная с версии 3.9 для установки на реальную платформу и на гипервизор используется один установочный диск, который самостоятельно определяет в каком режиме он будет работать.
Строка инициализации¶
Строка инициализации используется для создания устройства в ПУ ЦУС, это способ сообщить ПУ ЦУС идентификационный номер устройства, а так же количество и тип сетевых интерфейсов.
Внимание
При ошибке в строке инициализации в дальнейшем будет невозможно загрузить конфигурацию на устройство, так что стоит быть предельно внимательным при ее вводе.
Строка инициализации для оборудования, поставляемого производителем приведена в Паспорте. Так же строку инициализации можно увидеть при инсталляции ПО (строка инициализации появляется после ввода идентификатора устройства. В некоторых случая строка инициализации может уйти за границы экрана, в этом случае необходимо нажать Scroll Lock и прокрутить экран вверх при помощи клавиш с указателями).
Внимание
Следует быть внимательным, при установке на виртуальную машину, поскольку в некоторых гипервизорах могут использоваться различные типы интерфейсов! К примеру в VirtualBox используются интерфейсы le. Так же стоит обратить внимание, если количество интерфейсов в строке инициализации отличается от фактического количества интерфейсов на аппаратной платформе, это может быть признаком выхода интерфейса из строя, и как следствие ОС не может его обнаружить.
Строка инициализации имеет простой и понятный формат, например:
00002710 | 3 | igb0*02BDigb1*02BDigb2*02BD | ffff |
- 00002710 - идентификатор криптошлюза в HEX, длиной восемь символов, дополняется нулями в начале
- 3 - количество сетевых интерфейсов устройства, далее и до конца строки идет перечисление интерфейсов и их режимов работы
- igb0*02BDigb1*02BDigb2*02BD - наименование сетевых интерфейсов, как их определяет операционная система, режим работы (скорость, дуплекс), * отделяет интерфейсы
- ffff - признак окончания строки инициализации
Интерфейсы и режим работы:
- em0 (медь) - 02BD
- igb (оптика) - 3001
- igb (медь) - 02BD
- ix (оптика 10G) - 0001
- ixl (оптика криптоускоритель) - 2E801
Настройка VPN¶
Настройка L3 VPN между КШ¶
Настройка L3 VPN между КШ это самая распространенная задача, выполняемая администратором комплекса. Для создания данного типа VPN необходимо выполнить следующие действия:
- создание сетевых объектов
- создание парных связей
- создание правил фильтрации
Создание сетевых объектов¶
Шифрование трафика в комплексе возможно только между сетевыми объектами с типом Защищаемый.
Привязка сетевого объекта должна производится к внутреннему интерфейсу или к интерфейсу с типом «Любой» криптошлюза, за которым этот сетевой объект находится.
После создания сетевого объекта он может быть использован в правилах фильтрации. Подробнее о сетевых объектах и их типов читайте тут (link!).
Создание парных связей¶
Парные связи позволяют крипошлюзам узнавать о защищаемых сетевых объектах парных криптошлюзов.
При создании парной связи между криптошлюзами они строят между собой VPN по дефолтному порту UDP 10000 и начинают обмениваться keepalive-сообщениями. Если криптошлюз не получает данные сообщения от парного криптошлюза, то в ПУ ЦУС напротив него в колонке VPN будет отображаться восклицательный знак.
Создание правил фильтрации¶
После того, как сетевые объекты и парные связи созданы единственное, что останавливает прохождение трафика по VPN-каналу это межсетевой экран криптошлюза.
Необходимо создать правила фильтрации на основе созданных межсетевых объектов описав в них требуемые разрешения для прохождения трафика. Подробнее о правилах фильтрации и управлении межсетевым экраном читайте тут (link!).
Настройка L2 VPN между КК¶
L2 VPN при использовании криптокоммутаторов позволяет прозрачно объединять физические порты криптокоммутатров в единый L2-сегмент. Для конфигурации L2 VPN необходимо выполнить следующие действия:
- настройки интерфейсов коммутации
- конфигурация виртуального коммутатора
Настройка интерфейсов коммутации¶
Интерфейс коммутации - физический или логический интерфейс (VLAN) КК, который отправляет все присланные на него кадры в виртуальный коммутатор. Для задания интерфейса коммутации необходимо открыть свойства КК, перейти на вкладку Интерфейсы, выбрать нужный интерфейс и назначить ему тип «Порт криптокоммутатора». У КК должен так же быть минимум один внешний интерфейс, который используется для передачи VPN-трафика и управления устройством.
Конфигурация виртуального коммутатора¶
Для того, чтобы порты криптокоммутатора передавали трафик защищаемых хостов внутри VPN необходимо создать виртуальный криптокоммутатор. В общем случае можно сказать, что виртуальный коммутатор на логическом уровне объединяет все порты криптокоммутаторов, которые в него включены в единый L2-сегмент. Для создания виртуального коммутатора необходимо задать его имя и добавить из списка доступные порты необходимых КК. Если чекбокс Автоматически создавать парные связи активен, то с свойствах каждого КК не потребуется вручную указывать парные для него КК.
Настройка удаленного доступа VPN между СД и АП¶
Для организации защищенного соединения удаленного пользователя и доступа его к защищенным ресурсам внутренней сети используется связка Континент АП и СД (Сервер доступа).
Примечание
Не стоит забывать, что СД это дополнительный модуль, устанавливаемый на КШ и по факту он живет своей жизнью, не привязываясь к IP-адресам или идентификатору КШ.
Для организации удаленного доступа производятся действия на АРМ пользователя и на СД.
На АРМ пользователя:
- установка ПО «Континент АП»
- создание закрытого ключа пользователя (опционально)
- импорт сертификата пользователя (опционально с импортом закрытого ключа), выпущенный на СД
- создание соединения с СД
На СД:
- создание объекта защищаемой сети
- создание правил межсетевого экрана
- создание пользователя и выпуск сертификата пользователя
- назначение пользователю правил межсетевого экрана
Более детально конфигурация данного типа VPN будет рассмотрена в соответствующем разделе.