Как настроить апкш континент
Перейти к содержимому

Как настроить апкш континент

  • автор:

Быстрый старт¶

АПКШ Континент поставляется с предустановленной текущей тиражируемой версией ПО. В некоторых случая может потребоваться ее переустановка (понижение или повышение версии, восстановление работоспособности, установка отладочной версии по и т.д.).

Инсталляция на аппаратную платформу¶

При инсталляции ПО на аппаратную платформу используются два источника инсталляции:

  • CD-диск (входит в комплекте поставки оборудования)
  • USB Flash drive (так же входит в состав поставки)

Самый распространенный способ — это установка через USB Flash drive. В этом случае на носитель необходимо записать образ USB Flash drive из комплекта поставки. Образы находятся на CD-диске в директории Setup\Continent\FLASH\IMAGES, имеют расширение .flash и записываются на USB Flash drive при помощи таких утилит как:

  • dd (Linux, BSD)
  • Win32DiskImager (Windows)
  • Rufus (Windows)
  • balenaEtcher (Windows, Linux, MacOS)

Для распознавания файла образа в balenaEtcher необходимо изменить расширение с .flash на .img (cgw_release.flash -> cgw_release.img)

По факту каждый образ это raw image жесткого диска с двумя разделами. Первый раздел FAT размером 8 МБ. Предназначен для сохранения ключей администратора ЦУС или же конфигурации и ключей КШ. Второй раздел UFS (FreeBSD). Содержит необходимые для установки ПО файлы. Созданный таким образом USB Flash drive будет являться загрузочным устройством и позволит произвести установку ПО на аппаратную платформу АПКШ.

Каждый образ установочного ПО содержит требуемый функционал для конкретной реализации ПО:

  • arm_release.flash — АРМ ГК (Генерации Ключей)
  • cgw.aserv_release.flash — КШ-СД
  • cgw_release.flash — КШ
  • csw_release.flash — КК
  • ids_release.flash — ДА
  • ncc.aserv_release.flash — ЦУС-СД
  • ncc_release.flash — ЦУС

При переустановке ПО на аппаратную платформу АПМДЗ «Соболь» будет выдавать предупреждение о том, что изменился загрузочный диск, на запрос о изменении загрузочного диска следует ответить «НЕТ», в ином случае Соболь при загрузке уже с диска опять выдаст это предупреждение. Так же после переустановке ПО сбросится настройка «Время автоматического входа в систему», следует установить этот параметр в значение, отличное от 0, иначе устройство будет требовать предъявление iButton при каждой загрузке. Пункт «Время автоматического входа в систему» может быть недоступен для редактирования, в этом случае необходимо создать пользователя AUTOLOAD в меню управления пользователям АПМДЗ «Соболь».

Инсталляция на виртуальную машину¶

Для того, чтобы установить ПО Континент на виртуальную машину используется специальный ISO-образ. Данный образ содержит в инсталляционных файлах все возможные компоненты комплекса (ЦУС, КШ, КК, ДА, ЦУС-СД, КШ-СД, АРМ ГК). Основное отличие данного ISO-образа это эмуляция Соболя, по факту же данный образ может использоваться для установки на x86-совместимое аппаратное обеспечение. Важно понимать, что в этом случае мы никогда не получим формальное соответствие формуляру (актуально для версии 3.7 и ниже). При установке на виртуальную платформу необходимо выбирать гостевую систему FreeBSD (32 bit) ниже 10 версии.

Для оптимизации потребления ресурсов гипервизора рекомендуется использовать следующие параметры в файле /boot/loader.rc:

  • set hint.p4tcc.0.disabled=1
  • set hint.acpi_throttle.0.disabled=1
  • set hint.apic.0.clock=0
  • set kern.hz=50

Начиная с версии 3.9 для установки на реальную платформу и на гипервизор используется один установочный диск, который самостоятельно определяет в каком режиме он будет работать.

Строка инициализации¶

Строка инициализации используется для создания устройства в ПУ ЦУС, это способ сообщить ПУ ЦУС идентификационный номер устройства, а так же количество и тип сетевых интерфейсов.

При ошибке в строке инициализации в дальнейшем будет невозможно загрузить конфигурацию на устройство, так что стоит быть предельно внимательным при ее вводе.

Строка инициализации для оборудования, поставляемого производителем приведена в Паспорте. Так же строку инициализации можно увидеть при инсталляции ПО (строка инициализации появляется после ввода идентификатора устройства. В некоторых случая строка инициализации может уйти за границы экрана, в этом случае необходимо нажать Scroll Lock и прокрутить экран вверх при помощи клавиш с указателями).

Следует быть внимательным, при установке на виртуальную машину, поскольку в некоторых гипервизорах могут использоваться различные типы интерфейсов! К примеру в VirtualBox используются интерфейсы le. Так же стоит обратить внимание, если количество интерфейсов в строке инициализации отличается от фактического количества интерфейсов на аппаратной платформе, это может быть признаком выхода интерфейса из строя, и как следствие ОС не может его обнаружить.

Строка инициализации имеет простой и понятный формат, например:

000027103igb0*02BDigb1*02BDigb2*02BDffff

00002710 3 igb0*02BDigb1*02BDigb2*02BD ffff
  • 00002710 — идентификатор криптошлюза в HEX, длиной восемь символов, дополняется нулями в начале
  • 3 — количество сетевых интерфейсов устройства, далее и до конца строки идет перечисление интерфейсов и их режимов работы
  • igb0*02BDigb1*02BDigb2*02BD — наименование сетевых интерфейсов, как их определяет операционная система, режим работы (скорость, дуплекс), * отделяет интерфейсы
  • ffff — признак окончания строки инициализации

Интерфейсы и режим работы:

  • em0 (медь) — 02BD
  • igb (оптика) — 3001
  • igb (медь) — 02BD
  • ix (оптика 10G) — 0001
  • ixl (оптика криптоускоритель) — 2E801

Настройка VPN¶

Настройка L3 VPN между КШ¶

Настройка L3 VPN между КШ это самая распространенная задача, выполняемая администратором комплекса. Для создания данного типа VPN необходимо выполнить следующие действия:

  1. создание сетевых объектов
  2. создание парных связей
  3. создание правил фильтрации
Создание сетевых объектов¶

Шифрование трафика в комплексе возможно только между сетевыми объектами с типом Защищаемый.

Привязка сетевого объекта должна производится к внутреннему интерфейсу или к интерфейсу с типом «Любой» криптошлюза, за которым этот сетевой объект находится.

После создания сетевого объекта он может быть использован в правилах фильтрации. Подробнее о сетевых объектах и их типов читайте тут (link!).

Создание парных связей¶

Парные связи позволяют крипошлюзам узнавать о защищаемых сетевых объектах парных криптошлюзов.

При создании парной связи между криптошлюзами они строят между собой VPN по дефолтному порту UDP 10000 и начинают обмениваться keepalive-сообщениями. Если криптошлюз не получает данные сообщения от парного криптошлюза, то в ПУ ЦУС напротив него в колонке VPN будет отображаться восклицательный знак.

Создание правил фильтрации¶

После того, как сетевые объекты и парные связи созданы единственное, что останавливает прохождение трафика по VPN-каналу это межсетевой экран криптошлюза.

Необходимо создать правила фильтрации на основе созданных межсетевых объектов описав в них требуемые разрешения для прохождения трафика. Подробнее о правилах фильтрации и управлении межсетевым экраном читайте тут (link!).

Настройка L2 VPN между КК¶

L2 VPN при использовании криптокоммутаторов позволяет прозрачно объединять физические порты криптокоммутатров в единый L2-сегмент. Для конфигурации L2 VPN необходимо выполнить следующие действия:

  • настройки интерфейсов коммутации
  • конфигурация виртуального коммутатора
Настройка интерфейсов коммутации¶

Интерфейс коммутации — физический или логический интерфейс (VLAN) КК, который отправляет все присланные на него кадры в виртуальный коммутатор. Для задания интерфейса коммутации необходимо открыть свойства КК, перейти на вкладку Интерфейсы, выбрать нужный интерфейс и назначить ему тип «Порт криптокоммутатора». У КК должен так же быть минимум один внешний интерфейс, который используется для передачи VPN-трафика и управления устройством.

Конфигурация виртуального коммутатора¶

Для того, чтобы порты криптокоммутатора передавали трафик защищаемых хостов внутри VPN необходимо создать виртуальный криптокоммутатор. В общем случае можно сказать, что виртуальный коммутатор на логическом уровне объединяет все порты криптокоммутаторов, которые в него включены в единый L2-сегмент. Для создания виртуального коммутатора необходимо задать его имя и добавить из списка доступные порты необходимых КК. Если чекбокс Автоматически создавать парные связи активен, то с свойствах каждого КК не потребуется вручную указывать парные для него КК.

Настройка удаленного доступа VPN между СД и АП¶

Для организации защищенного соединения удаленного пользователя и доступа его к защищенным ресурсам внутренней сети используется связка Континент АП и СД (Сервер доступа).

Не стоит забывать, что СД это дополнительный модуль, устанавливаемый на КШ и по факту он живет своей жизнью, не привязываясь к IP-адресам или идентификатору КШ.

Для организации удаленного доступа производятся действия на АРМ пользователя и на СД.

На АРМ пользователя:

  • установка ПО «Континент АП»
  • создание закрытого ключа пользователя (опционально)
  • импорт сертификата пользователя (опционально с импортом закрытого ключа), выпущенный на СД
  • создание соединения с СД
  • создание объекта защищаемой сети
  • создание правил межсетевого экрана
  • создание пользователя и выпуск сертификата пользователя
  • назначение пользователю правил межсетевого экрана

Более детально конфигурация данного типа VPN будет рассмотрена в соответствующем разделе.

© Copyright 2019, g00dvin Revision de3b0298 .

Built with Sphinx using a theme provided by Read the Docs.
Read the Docs v: old

Versions latest old Downloads pdf html epub On Read the Docs Project Home Builds Free document hosting provided by Read the Docs.

2. Континент 4 Getting Started. Установка, инициализация

Приветствую читателей во второй статье цикла Континент Getting Started. Сегодня мы установим и настроим Континент 4.1 на виртуальную машину и познакомимся с интерфейсом управления. В прошлой статье мы предварительно показали настройку VMware Workstation, теперь перейдем к созданию ВМ Континент (УБ с ЦУС):

  1. Указываем путь к ISO образу;
  2. В качестве гостевой ОС указываем CentOS 4 (and later) x64;
  3. CPU – 4, RAM – 10 ГБ, HDD – 100 ГБ;
  4. Указываем сетевые интерфейсы.

VMnet1 – интерфейс подключения к DMZ (eth1).

VMnet2 – интерфейс подключения к LAN-сети (eth2).

NAT – интерфейс для подключения к сети Интернет (eth0).

Инициализация ЦУС

1.Запускаем виртуальную машину, выбираем язык установки и нажимаем «Установить Континент …». Тип платформы – «Настраиваемая» Начнется установка ОС Континент. После установки ОС необходимо проинициализировать ЦУС. В главном меню выбираем «Инициализация» – «Узел безопасности с центром управлению сетью»:

Запустится процесс инициализации сетевого устройства с последующим сообщением об успешной инициализации. После этого необходимо настроить:

  • Системное время. Необходимо для журналирования. «Настройки» – «Системное время»;
  • Создать и загрузить сертификаты. Необходимо создать корневой сертификат и сертификат управления ЦУС. Нажимаем в главном меню «Сертификаты». Для создания корневого сертификата необходимо выбрать «Сертификаты УЦ» нажать F2 и заполнить данные для сертификата.

Для создания сертификата управления ЦУС выбираем «Сертификаты» – «Сертификаты управления» – F2.

  • После создания сертификатов необходимо настроить ЦУС. В главном меню нажимаем «Настройка ЦУС» Выбираем ранее созданный сертификат управления и задаем пароль для учетной записи admin. После этого выбираем интерфейс управления.

Для управления ЦУС у нас используется интерфейс ge-2-0 (eth2). Задаем адрес интерфейса – 192.168.1.1/24. Поле «Шлюз» оставляем пустым. К этому адресу будет выполняться подключение для управления сетью Континент.

Применяем указанные настройки. ЦУС успешно настроен. Можем авторизоваться и просмотреть сведения об устройстве.

Менеджер конфигурации

После инициализации ЦУС необходимо установить Менеджер конфигурации (программа управления сетью Континент) и настроить АРМ администратора. С ВМ Администратора запускаем мастер установки Менеджера конфигурации и следуем инструкциям установки. После установки перезагрузим компьютер и запустим Менеджер конфигурации. При первом запуске программы потребуется инициализация биологического датчика случайных чисел. Следуя инструкции инициализируем ДСЧ.

Установим соединение с ЦУС, указав следующие параметры:

  • «Тип входа» – «С использованием пароля»;
  • «Сервер» – IP-адрес интерфейса управления ЦУС – 192.168.1.1;
  • «Учетная запись» – admin, «Пароль»

Выполнится подключение к ЦУС. Так выглядит окно управления сетью Континент.

В навигационном меню есть следующие вкладки:

  • Контроль доступа – настройка межсетевого экранирования.
  • Виртуальные частные сети – настройка VPN.
  • Система обнаружения вторжений – настройка функций компонента детектора атак.
  • Структура – содержит список узлов безопасности. Здесь производится настройка УБ и активация его компонентов.
  • Администрирование – содержит настройки администраторов комплекса, выпуск сертификатов, обновление комплекса, лицензии и резервные копии.

Необходимо произвести следующие настройки:

  1. Добавить действующую лицензию на узел безопасности;
  2. Выполнить сетевые настройки;
  3. Настроить систему мониторинга.

Для добавления лицензии переходим «Администрирование» – «Лицензии». По умолчанию к шлюзу привязана демо лицензия с ограниченным набором компонентов и сроком 14 дней. Загрузим действующие лицензии в репозиторий.

Далее необходимо привязать на УБ действующую лицензию и отвязать демо лицензию.

Сохраним изменения, нажав на кнопку «Сохранить» в левом верхнем углу. Далее настроим сетевые параметры. «Структура» – ПКМ по УБ – «Свойства». Внутренний интерфейс управления у нас уже был задан при инициализации ЦУС. Теперь необходимо указать внешний интерфейс, интерфейс подключения к DMZ и задать маршрут по умолчанию в соответствии с макетом.

Во вкладке интерфейсы можно:

  • Указать тип назначения интерфейса: внешний, внутренний, мониторинг, порт коммутатора
  • Задать IP-адреса
  • Добавить VLAN и loopback интерфейсы
  • Создать Bridge-интерфейс, агрегацию

Для настройки маршрутизации перейдем в «Статические маршруты»

Стоит отметить, что Континент поддерживает работу по протоколам динамической маршрутизации OSPF и BGP.

Укажем часовой пояс для системы мониторинга. Сохраним настройки и установим политику на ЦУС.

Система мониторинга

Завершающая процедура подготовки рабочего места администратора – настройка подключения к подсистеме мониторинга по протоколу https. Защищенное соединение при подключении к системе мониторинга реализуется при помощи двух алгоритмов шифрования:

  • ГОСТ Р 34.11-2012 (Стрибог) – требует дополнительное ПО СКЗИ «Континент TLS VPN Клиент»
  • RSA

В рамках данного цикла выполним подключение, используя алгоритм RSA. Для этого потребуется выпустить корневой RSA сертификат и сертификат системы мониторинга. Переходим «Администрирование» – «Сертификаты»«Корневые центры сертификации». В качестве алгоритма подписи указываем RSA.

Для сертификата системы мониторинга: «Сертификаты» – «Персональные сертификаты»

  • Название – используется для подключения по https
  • Типа сертификата – web-мониторинг
  • Корневой сертификат – созданный ранее корневой RSA сертификат

Привяжем созданные сертификаты к ЦУС. «Структура» – ПКМ по УБ – «Свойства» – «Сертификаты»

Сохраним настройки и установим политику на узел безопасности.

Для доступа к системе мониторинга указывается URL персонального сертификата мониторинга. В нашем случае это https://mon-aes. Для доступа к системе мониторинга необходимо соответствующим образом настроить DNS сервер или дополнить файл hosts.

Инициализация и настройка подчиненного узла безопасности

Инициализируем подчиненный узел, защищающий сеть филиала. Инициализация УБ идентична инициализации ЦУС. За исключением нескольких деталей:

1.При установке ОС выбираем язык установки и нажимаем «Установить Континент …». Тип платформы – «Настраиваемая»

2.Инициализируем устройство как «узел безопасности»

3.В ЦУСе мы выпускали сертификаты в локальном меню. Для того, чтобы выпустить сертификат управления подчиненным узлом, необходимо создать запрос на выпуск сертификата. Выбираем «Сертификаты» – «Запросы на выпуск сертификатов» – F4. Запрос записывает на USB-носитель и передается в Менеджер конфигурации.

4.В Менеджере конфигурации выпускаем сертификат на основании запроса. «Сертификаты» – «Персональные сертификаты» – Создать – «Загрузить данные из файла запроса»

5.Далее необходимо создать УБ: «Структура» – «Узел безопасности». Указываем идентификатор устройства и подгружаем созданный сертификат. Сохраняем изменения и привязываем лицензию на узел безопасности.

6.Экспортируем конфигурацию узла на usb-носитель. ПКМ по УБ – «Экспортировать конфигурацию узла». USB-носитель с конфигурацией подключаем к ВМ с подчиненным узлом и нажимаем «Подключиться к ЦУС».

7.Настраиваем интерфейс управления ge-0-0 (eth0). В нашем макете мы реализуем следующий сценарий: доступ из филиала в Интернет будет осуществляться через ЦУС, находящийся в центральном офисе. Поэтому, в качестве шлюза по умолчанию указывается IP-адрес ЦУСа.

8.Инициализация устройства закончена. Далее требуется подтвердить изменения в Менеджере конфигурации, настроить сетевые интерфейсы и указать часовой пояс.

Сохраняем и устанавливаем политику на узлы безопасности.

Отметим, что в комплексе Континент 4.1 есть возможность развертывания массива УБ. Для этого в Менеджере конфигурации в разделе «Структура» необходимо нажать «Мастер создания УБ». Далее необходимо выбрать количество УБ (максимум 50), указать путь для сохранения расширенных контейнеров (понадобятся для инициализации УБ) и настроить каждый из них.

Созданные узлы безопасности отобразятся в разделе «Структура». Далее в локальном меню необходимо инициализировать УБ с подключенным USB-носителем, на котором находятся расширенные контейнеры.

Заключение

На этом статья подошла к концу. Мы развернули узел безопасности с центром управлению сетью и подчиненный узел безопасности на виртуальные машины. Настроили АРМ администратора и систему мониторинга. В следующей статье рассмотрим компонент «Межсетевой экран» и настроим базовую политику.

Подробную информацию о продукте можно найти на странице Код Безопасности.

P.S. Если у вас уже есть устройства Континент, вы можете обратиться к нам за профессиональной технической поддержкой, в то числе оставить заявку на бесплатный тикет.

Автор — Дмитрий Лебедев, инженер TS Solution

  • ts solution
  • континент
  • межсетевой экран

Администрирование АПКШ «Континент» версии 3.9. Дополнительные настройки

Учебный курс «Администрирование АПКШ «Континент» версии 3.9. Дополнительные настройки» является продолжением курса «Администрирование АПКШ «Континент» версии 3.9» и разработан для изучения дополнительных настроек межсетевого экранирования и шифрования в сертифицированном изделии «АПКШ «Континент». Версия 3.9».
Во время прохождения обучения слушатели на практике будут изучать настройку и работу механизма QoS и параметры шифратора для повышения производительности VPN-соединений.

Код: KO005-1

Дистанционно — Формат обучения в он-лайн классе. Вы можете подключиться к занятиям из любой точки мира по сети Интернет. Процесс выстроен по типу очного обучения. Вы присутствуете на вебинаре, работаете с удаленными/виртуальными лабораториями и консультируетесь с преподавателем в режиме он-лайн. Подробнее об он-лайн обучении.

Включено в курс

Документы об обучении

Свидетельство о прохождении обучения

Сертификат Кода Безопасности

Форма обучения:

Очно/Дистанционно
Ближайшие даты
24 Мая 2024 г.
19 Июля 2024 г.
11 Октября 2024 г.
06 Декабря 2024 г.
27 Декабря 2024 г.
Продолжительность: 1 день 8 ак.часов
Стоимость 9 900 руб. 11 000 руб.

Скидка распространяется только на дистанционный формат обучения

8 (495) 120-04-02 info@infosystem.ru

  • Целевая аудитория
  • Программа
  • Преподаватели
Целевая аудитория

Курс ориентирован на специалистов в сфере информационной безопасности, системных администраторов, руководителей ИТ-служб, архитекторов систем информационной безопасности, которые отвечают за защиту каналов связи при передаче информации ограниченного доступа между сегментами сложных распределенных сетей по публичным или выделенным каналам связи, на всех, кто занимается внедрением, обслуживанием и администрированием систем безопасности, основанных на АПКШ «Континент» и параметры шифратора для повышения производительности VPN-соединений.

Программа

1. Управление QoS

Определение классов трафика

Настройка приоритизации трафика

Настройки шифрования для оптимизации работы комплекса при организации L2 и L3VPN

Лабораторный модуль 1. «Управление QoS»

  • Краткое описание учебного стенда
  • Лабораторная работа 1. «Настройка QoS на сетевых интерфейсах узлов «Континент»
  • Лабораторная работа 2. «Оценка производительности КШ «Континент» в режиме шифрования (L3VPN)»
  • Лабораторная работа 3. «Оценка производительности КК «Континент» (L2VPN)»

Протоколы динамической маршрутизации

2. Поддержка динамической маршрутизации в АПКШ

Лабораторный модуль 2. «Поддержка динамической маршрутизации в АПКШ «Континент»

  • Лабораторная работа 1. «Настройка динамической маршрутизации по протоколу BGP»
Преподаватели

Инструктор по ИТ и ИБ. Активно практикующий системный администратор в крупной международной компании.

Направления работы:Применение и администрирование продуктов компании «Код Безопасности»: АПКШ Континент, СОВ Континент, Континент TLS, vGate, Secret Net, Соболь

Применение и администрирование продуктов компании «S-Terra CSP»: С-Терра Шлюз, С-Терра L2, С-Терра Клиент, С-Терра КП
Применение и администрирование КриптоПро CSP, КриптоПро УЦ, КриптоПро IPsec
Обеспечение информационной безопасности с использованием шифровальных (криптографических) средств
Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных
EC-Council: Ethical Hacking and Countermeasures
Администрирование Windows Server 2003/2008/2012/2016
Сетевая инфраструктура Windows Server 2003/2008/2012/2016
Настройка, управление и поддержка рабочих мест Windows XP/Vista/7/8/10
Установка и администрирование серверов баз данных MS SQL Server 2005/2008/2012/2014/2016
Организация обмена сообщениями с помощью MS Exchange 2003/2010/2013/2016
Пользовательские курсы MS Office 2003/2007/2010/2013/2016
Установка, администрирование и обеспечение безопасности *nix-серверов
Образование:
2001 – 2006 — Южно-Российский Государственный Технический Университет (Новочеркасский Политехнический Институт), инженер по специальности «Информационные системы и технологии», диплом с отличием
2015 — 2016 — МГТУ им. Баумана, профессиональная переподготовка по направлению «Информационная безопасность»
Преподавательская деятельность:
2014 – н.в. — преподаватель-эксперт Академии Информационных Систем
2007 – 2014 — преподаватель-эксперт учебного центра «Академия АйТи»
Сертификации:
MCT с 2008 года, MCITP, MCSA, MCSE, MCP. Certified EC-Council Instructor. Certified Ethical Hacker.

Обзор решения: АПКШ «Континент»

Вероятно, каждый, кто хоть раз сталкивался с защитой каналов связи согласно требованиям ФСТЭК/ФСБ, слышал о СКЗИ российского производства. Наиболее известны АПКШ «Континент», S-Terra Шлюз, ViPNet Coordinator и Diamond VPN/FW. Все эти решения прошли долгий путь развития. Они весьма самобытны и существенно различаются как функционально, так и эргономически. А первое заметное отличие — это цвет 🙂 Сегодня поговорим о «зеленых решениях» — устройствах серии «Континент» производства Кода Безопасности.

Поскольку это обзорная статья, я кратко расскажу обо всей экосистеме устройств «Континент» и пройдусь по их основным функциям, далее опишу основные плюсы и минусы этих решений, а на десерт я оставил самое интересное — несколько реальных кейсов интеграции устройств «Континент» из моей практики.

Платформа Континент IPC-100

Рисунок 1. АПКШ «Континент», платформа IPC-100

Экосистема устройств «Континент»

Аппаратно-Программный Комплекс Шифрования «Континент», как его определяет производитель, – это «централизованный комплекс для защиты сетевой инфраструктуры и создания VPN-сетей с использованием алгоритмов ГОСТ» [1]. Архитектурно комплекс состоит из нескольких решений:

  • собственно, создание VPN-каналов между узлами с использованием ГОСТ 28 147−89;
  • с помощью STUN возможно построение туннеля между устройствами, чей настоящий адрес скрыт за NAT;
  • межсетевое экранирование с поддержкой Port Address Translation и Network Address Translation (PAT и NAT, соответственно);
  • работа с VLAN;
  • статическая и динамическая маршрутизация (поддерживаются в том числе протоколы OSPFv2, RIP и BGPv4, конфигурация задается не через GUI, а в виде текстовых файлов);
  • зеркалирование трафика через SPAN-порт для анализа (например, для DLP или IDS);
  • приоритизация трафика, он же QoS;
  • функции DHCP-сервера или DHCP-релея;
  • защита от DoS-атак типа SYN-Flood;
  • обеспечение отказоустойчивости в режиме High Availability (Active/Passive).

Криптошлюз доступен на множестве аппаратных платформ, начиная от самого маленького форм фактора Mini-ITX для малых офисов и банкоматов и заканчивая устройствами для размещения в серверных шкафах формата 2U. Существует и «защищённое» исполнение» для установки в места с агрессивной окружающей средой.

2. Криптокоммутатор — то же самое, что и криптошлюз, но работает на канальном уровне (L2). Применяется в более редких случаях, например, при объединении территориально распределённых сетей. Легко встраивается без изменения имеющегося адресного пространства. Также возможно объединение устройств в кластер с помощью протокола LACP.

3. Детектор Атак — система обнаружения вторжений, подключаемая к SPAN-порту и обнаруживающая атаки сигнатурными и эвристическими методами. Детектор атак способен в режиме реального времени информировать администратора или аудитора о выявленных инцидентах либо с помощью специального ПО, либо через электронную почту. Данные об инцидентах можно просматривать также в виде весьма симпатичных и информативных графических отчётов.

Кстати говоря, для обладателей Детекторов Атак в рамках услуг Акрибии по мониторингу информационной безопасности доступен специальный сервис по выявлению и расследованию инцидентов информационной безопасности.

4. Центр Управления Сетью, он же ЦУС — средство централизованного управления и мониторинга перечисленных выше устройств «Континент». Сам по себе может выполнять роль криптошлюза, обеспечивая маршрутизацию, функции NAT и построение L3 VPN. ЦУС — это обязательный компонент системы. Без него частная сеть «не заведется». Плюсы и минусы реализации централизованного управления от «Кода Безопасности» рассмотрены ниже по тексту.

5. Также в экосистему входят СПО «Сервер Доступа» и СКЗИ «Континент-АП», используемые для обеспечения защищённого удалённого доступа мобильных клиентов и отдельных рабочих станций. Сервер доступа — серверный компонент, отвечающий за настройку маршрутизации, добавление или удаление клиентов, а также выпуск сертификатов. Сервер Доступа может быть развёрнут либо на Центре Управления Сетью, либо на криптошлюзе. Континент-АП устанавливается на ПК или мобильное устройство пользователя и обеспечивает VPN-туннель до Сервера Доступа. Поддерживаются О С Windows и наиболее популярные дистрибутивы Linux. Что особенно приятно, есть поддержка мобильных устройств iOS и Android.

Централизованное администрирование и отказоустойчивость: плюсы и минусы

Вся экосистема «завязана» на центральное устройство — ЦУС. Первичная инициализация, изменение каких-либо параметров — всё происходит именно через него, так как локальная настройка — скорее, служебная операция с очень ограниченным числом настраиваемых параметров, да и зачастую требующая перезагрузки устройств, что в production environment порой просто недопустимо.

С одной стороны, централизованная настройка — удобный подход: не надо запоминать адреса устройств в сети, поочередно подключаться к каждому, а если ещё и какой-нибудь криптошлюз расположен за NAT’ом, сбор какой-либо диагностической информации с различных устройств также не занимает много времени. Но у всего есть оборотная сторона — у нас появляется точка отказа. Дело в том, что ЦУС может резервироваться только по схеме «холодного устройства». Это означает, что в случае выхода из строя основного ЦУС администраторы должны «вручную» переключить управление на резервное устройство. Только вот рекомендация по приобретению резервного устройства часто игнорируется, либо в нужный момент оно оказывается не настроено должным образом. Кроме того, у некоторых пользователей ЦУС сам по себе выполняет роль криптошлюза. Хотя для более-менее критичной инфраструктуры — это ошибка планирования сети. Не рекомендую так делать.

Что же касается инцидентов выхода из строя прочих устройств АПКШ «Континент», то согласно статистике процент отказов крайне мал. А по моему опыту, если отказы и случаются, то случаются они в период тестовой эксплуатации, когда контракт на интеграцию еще в силе и есть возможность оперативно заменить устройство. Но это вовсе не означает, что можно вообще забыть о резервировании и ставить на критичных точках всего одно устройство. Тем более, что производитель предоставляет возможность резервирования в режиме High Availability по схеме Active/Passive. Время переключения около 30 секунд.

Непосредственно администрирование осуществляется через СПО «ПУ ЦУС», доступное только для ОС Windows. Логичнее, конечно, в подобных ситуациях осуществлять настройку через web-интерфейс, что и реализовано в большинстве сетевых решений, но такой подход обеспечивает больший уровень безопасности.

Само программное обеспечение управления реализовано весьма удачно. Работать в нем вполне комфортно. Производитель во многих аспектах старался максимально упростить жизнь, например, включение VPN-туннеля между устройствами реализуется в пару кликов мыши, при этом нас может не волновать то, что у устройства нет белого IP-адреса.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *