WWW.KN.LIB-I.RU
БЕСПЛАТНАЯ  ИНТЕРНЕТ  БИБЛИОТЕКА - Различные ресурсы
 

«Программный комплекс С-Терра Шлюз Экспортный. Версия 4.1 Руководство администратора Настройка шлюза РЛКЕ.00009-01 90 03E 03.02.2017 Инициализация и настройка шлюза ...»

ООО «С-Терра СиЭсПи»

124498, г. Москва, Зеленоград, Георгиевский проспект,

дом 5, помещение I, комната 33

Телефон/Факс: +7 (499) 940 9061

Эл.почта: information@s-terra.ru

Сайт: http://www.s-terra.ru

Программный комплекс С-Терра Шлюз Экспортный.

Версия 4.1

Руководство администратора

Настройка шлюза

РЛКЕ.00009-01 90 03E

03.02.2017

Инициализация и настройка шлюза

Содержание

Настройка шлюза

Этапы настройки шлюза

Общие настройки шлюза

Регистрация Лицензии после инициализации 5 Регистрация Лицензии на S-Terra Gate 5 Изменение или восстановление PIN для СЗН «СПДС-USB-01» 6 Изменение паролей 7 Настройка интерфейсов (ОС Debian) 8 Назначение IP-адресов интерфейсам 8 Назначение нескольких IP-адресов одному интерфейсу 9 Добавление сетевых интерфейсов 9 Настройка сетевых интерфейсов, поддерживающих 802.1Q 9 Настройка MTU интерфейса 10 Перезагрузка LSP при изменении состояния интерфейсов 10 Настройка переменных окружения 11 Описание переменных окружения 11 Настройка параметров параллельной обработки сетевого трафика 13 Настройка NTP (Network Time Protocol) 17 Настройка NTP-сервера 17 Настройка NTP-клиента

–  –  –

Настройка шлюза Перед настройкой шлюза и созданием политики безопасности выполните инициализацию «Программного комплекса С-Терра Шлюз Экспортный.

Версия 4.1», которая, в зависимости от используемой аппаратной платформы, описана в документах:

«Инициализация S-Terra Gate на вычислительных системах архитектуры Intel x86/x86-64»;

«Руководство по установке и настройке модуля Cisco».

–  –  –

Регистрация Лицензии после инициализации Регистрация Лицензии на S-Terra Gate Регистрация Лицензии на Продукт выполняется во время инициализации «Программного комплекса С-Терра Шлюз», но если появится необходимость перерегистрировать Лицензию после инициализации, то используется утилита lic_mgr.

Утилита lic_mgr, описанная в документе «Специализированные команды», запускается из интерфейса командной строки из каталога Продукта /opt/VPNagent/bin:

lic_mgr set -p PRODUCT_CODE -c CUSTOMER_CODE -n LICENSE_NUMBER

-l LICENSE_CODE

–  –  –

Действие To SPDS-USB image recovery – восстановление образа СПДС-USB-01 с внешнего носителя подробно описано в документе «Инструкции по восстановлению и обновлению ПАК», в разделе «Инструкция по восстановлению ПАК с S-Terra Gate, предустановленным на СЗН «СПДС-USB-01» и здесь рассматриваться не будет.

При выборе To change SPDS-USB Administrator's PIN – изменение PIN администратора СПДС-USB-01 будет предложено ввести новый PIN администратора и подтвердить его повторным вводом:

Enter new Administrator’s PIN:

Retype new Administrator’s PIN:

Длина пароля должна быть не менее 8 символов, пароль может содержать цифры, буквы верхнего и нижнего регистров, специальные символы: (@, #, $, &, *, % и т.п.).

При несовпадении введенных PIN-кодов будет выведено сообщение: New PINs not match и будет предложено заново ввести PIN администратора. При совпадении введенных PIN-кодов выводится сообщение Administrator’s PIN changed и предлагается нажать любую клавишу для перехода в административный режим.

При выборе To unblock SPDS-USB User’s PIN – восстановление PIN пользователя СПДС-USB-01 будет предложено ввести новый PIN пользователя и подтвердить его повторным вводом:





Enter new User’s PIN:

Retype new user’s PIN:

Длина пароля должна быть не менее 4 символов, пароль может содержать цифры, буквы верхнего и нижнего регистров, специальные символы: (@, #, $, &, *, % и т.п.). При совпадении введенных PIN-кодов выводится сообщение User’s PIN unblocked и предлагается нажать любую клавишу для перехода в административный режим. При несовпадении введенных PINкодов будет выведено сообщение: New PINs not match и будет предложено заново ввести PIN пользователя.

С-Терра Шлюз Экспортный Copyright © S-Terra CSP 2003 -2017 6 Инициализация и настройка шлюза Изменение паролей После инициализации Продукта пользователь "root" с правами системного администратора имеет пустой пароль, который рекомендуется изменить системными средствами:

зайдите в систему пользователем "root";

выполните команду "passwd";

введите новый пароль.

Специальный пользователь, созданный в процессе инсталляции с именем "cscons", имеет пароль "csp" и уровень привилегий 15. Ему предоставляется возможность управлять настройками S-Terra Gate и создавать политику безопасности. Рекомендуется после инсталляции изменить пароль этого пользователя. Изменение пароля пользователя, создание новых пользователей с разными уровнями привилегий осуществляется в специализированной консоли – в интерфейсе командной строки либо локально, либо удаленно с использованием команды username password или username secret.

Задание пароля для доступа к привилегированному (а также к конфигурационному) режиму для пользователей с уровнями привилегий от 0 до 14 осуществляется командами enable password или enable secret.

С-Терра Шлюз Экспортный Copyright © S-Terra CSP 2003 -2017 7 Инициализация и настройка шлюза Настройка интерфейсов (ОС Debian) В зависимости от способа создания политики безопасности шлюза настройка интерфейсов выполняется:по-разному:

если политика безопасности создается с использованием cisco-like консоли, то и настройка интерфейсов должна выполняться там же (при помощи команд cisco-like консоли);

если политика безопасности создается путем написания конфигурационного текстового файла, то настройку интерфейсов рекомендуется выполнять при помощи средств ОС (команда ifconfig).

Cisco-like консоль автоматически запускается при входе в систему пользователем “cscons”.

Пользователи, обладающие административными привилегиями, могут запустить консоль командой cs_console из каталога /opt/VPNagent/bin/.

Посмотреть IP-адреса интерфейсов можно с использованием команды cisco-like консоли show running-config. Для настройки адресов требуется сначала войти в глобальный конфигурационный режим консоли, используя команду configure terminal, а затем – в режим interface configuration, задав команду interface type port/number. Данная команда позволяет управлять настройками только зарегистрированных сетевых интерфейсов.

Изменения, сделанные в этом режиме, вступают в действие немедленно и сохраняются в загрузочных скриптах ОС. Команды консоли описаны в документе «Cisco-like команды».

Для просмотра IP-адресов интерфейсов в ОС используется команда ifconfig –a.

–  –  –

Назначение IP-адресов командой ifconfig

1. При помощи команды ifconfig назначьте адрес и маску интерфейсу, например:

ifconfig имя_интерфейса IP-адрес netmask маска up

2. Вызовите скрипт, сохраняющий данные об интерфейсе в конфигурационных файлах:

/bin/ni_saveif.sh имя_интерфейса

–  –  –

Назначение нескольких IP-адресов одному интерфейсу Назначение IP-адресов в cisco-like консоли Различаются primary и secondary IP-адреса. В качестве primary адреса выбирается первый по списку адрес, остальные – в качестве secondary. Primary адрес может быть только один.

Адресов secondary может быть несколько.

В режиме interface configuration введите команду:

ip address IP-адрес маска secondary Назначение IP-адресов командой ifconfig Назначить несколько IP-адресов одному интерфейсу, т.е. создать несколько виртуальных (логических) интерфейсов, можно при помощи команды ifconfig.

1. Создайте сначала виртуальный интерфейс:

ifconfig имя_интерфейса:1 IP-адрес netmask маска up

2. Вызовите скрипт, сохраняющий данные об интерфейсе в конфигурационных файлах:

/bin/ni_saveif.sh имя_интерфейса

–  –  –

Настройка MTU интерфейса Настроить значение MTU сетевого интерфейса, которое задает максимальный размер пакета, передаваемого без фрагментации через данный интерфейс, можно, используя либо средства ОС, либо команду mtu интерфейса командной строки консоли.

Настройка MTU сетевого интерфейса в ОС Debian осуществляется следующим образом:

1. в файл /etc/network/interfaces, в раздел ###netifcfg-begin###, в описание выбранного сетевого интерфейса добавьте строчку:

MTU YYYY

YYYY – размер MTU сетевого интерфейса.

2. Перезапустите сетевого демона, выполнив команду:

/etc/init.d/networking restart Таким образом устанавливается постоянное значение MTU.

–  –  –

Начальные значения, установленные инсталлятором, для всех переменных окружения равны 0 и совпадают со значениями, установленными по умолчанию.

Изменить значение переменных окружения можно следующим образом:

1. отредактировать файл /etc/default/vpngate

2. перезапустить vpn-демона, выполнив команду /etc/default/vpngate restart

–  –  –

Настройка параметров параллельной обработки сетевого трафика Необходимость настройки параметров с целью оптимизации IPsec обработки сетевого трафика на многопроцессорных системах, может быть вызвана особенностями аппаратного устройства системы, оптимизацией под определенный характер сетевого трафика, оптимизацией под характеристики сетевых интерфейсов и канала связи.

На рисунке ниже представлена схема параллельной обработки трафика в Linux.

Рисунок 1

После получения, пакет преобразуется к внутреннему формату. Проверяется, нет ли превышения размера рабочей очереди или очереди отправки. Далее пакет помещается в рабочую очередь и очередь отправки.

Пакеты забираются из рабочей очереди несколькими нитями обработчика одновременно.

Происходит фильтрация и криптографическая обработка.

Пакет отмечается в очереди отправки как готовый (при работе с очередью отправки производится 3 операции – включение в очередь, разрешение отправки, извлечение из очереди; для рабочей очереди операции две – включение в очередь, извлечение из очереди).

В контексте одной из нитей-обработчиков происходит извлечение пакетов из очереди отправки и выполняются действия, связанные с маршрутизацией и дальнейшей отправкой пакета.

Настройка параметров рабочей очереди Параметры рабочей очереди настраиваются в файле /etc/modprobe.d/vpndrvr.conf (параметр cpu_distribution) и с помощью утилиты drv_mgr (параметр pq_thread_q_size).

cpu_distribution Назначением параметра cpu_distribution является оптимизация доcтупа к памяти и кешам процессоров при обработке трафика, минимизация переключения контекстов нитей ядра Linux, а также более эффективное распределение вычислительной мощности многопроцессорной системы между задачами обработки трафика. Многопроцессорные системы, использующие NUMA архитектуру, разделяют оперативную память между несколькими NUMA-узлами. К NUMA-узлу приписано некоторое число процессорных ядер.

Доступ к памяти внутри своего NUMA-узла происходит гораздо быстрее, чем к памяти чужого узла. Поэтому целью настройки является обработка выделенного потока сетевого трафика в С-Терра Шлюз Экспортный Copyright © S-Terra CSP 2003 -2017 13 Инициализация и настройка шлюза рамках одного NUMA узла: получение IP-пакета, выделение памяти под него и IPsecобработка должна происходить на ядрах процессора, приписанных к одному узлу.

Ядра, выделенные для обработки прерываний, по возможности размещаются в разных NUMA-узлах. Каждому выделенному для обработки ядру соответствует своя рабочая очередь. В случае переполнения своей очереди, трафик будет помещаться в самую свободную "чужую" очередь (если такая найдется), при этом возможна потеря производительности.

Привязка прерываний позволяет добиться большей эффективности обработки т.к. для обработки пакета будет использована очередь, находящаяся в контексте NUMA и кеша процессора, на котором произошло прерывание. Кроме того, привязка прерываний обеспечивает возможность параллельной обработки прерываний при значении числа процессорных ядер два и более.

–  –  –

pq_thread_q_size Параметр pq_thread_q_size ограничивает размер очереди и задается утилитой drv_mgr, описанной в документе «Специализированные команды».

Если irq_cores больше одного, то вычисляется для каждой очереди в отдельности.

Максимальное суммарное количество ожидающих пакетов умножается на количество очередей.

Настройка длины очереди делается в зависимости от характера трафика. Большая длина позволяет избежать потерь пакетов при пиковых и неравномерных нагрузках, а также обеспечит максимальную пропускную способность. Маленький размер очереди позволяет ограничить максимальное время обработки одного пакета, снижает используемый объем памяти ядра Linux (особенно это актуально для 32-битных систем).

Рекомендации по использованию Для систем с одним-двумя процессорными ядрами достаточно значения по умолчанию *:0/*.

Если в системе есть один многоядерный процессор (3 и более ядер), рекомендуется конфигурация по умолчанию *:1/*. Для оптимальных результатов при большом количестве ядер, может быть полезно сократить число working cores: то есть выставить *:1/N, где N число процессорных ядер-2 и менее.

Для систем с двумя и более многоядерными процессорами возможны следующие варианты:

если аппаратная конфигурация и характер трафика позволяет параллельную обработку прерываний, то число irq cores можно увеличить (выставить 2);

если добиться параллельной обработки прерываний невозможно, то надо выставить irq cores = 1 далее, в зависимости от сложности криптографических вычислений, оптимальной конфигурацией может быть локализация всех IPsec вычислений на одном процессоре путем ограничения числа working cores до числа ядер на одном процессоре-1.

Настройки параметров очереди отправки Очередь отправки предназначена для восстановления порядка пакетов после параллельной обработки. Очередь управляется параметрами pq_thread_q_size и pq_force_ordering, которые задаются утилитой drv_mgr, описанной в документе «Специализированные команды».

pq_send_q_size Параметр pq_thread_q_size задает максимальное число пакетов в очереди отправки.

Значение 0 отключает очередь отправки. Это можно сделать, если шлюзом обрабатывается одновременно много сетевых соединений и сессий, регулирование порядка отправки пакетов в этом случае не требуется. При отключенной очереди отправки, завершающие стадии обработки пакета, начиная с блока "подготовка к отправке" (Рисунок 1), выполняются сразу после блока "IPsec обработка пакета". То есть отправка пакета происходит параллельно, минуя очередь. Отключение очереди может давать выигрыш в производительности за счет сокращения общего времени обработки пакета и параллельной отправки, а может и наоборот, приводить к деградации производительности из-за потери переупорядоченных пакетов в пользовательских протоколах. Параллельная отправка пакетов в некоторых случаях тоже ухудшает производительность.

Размер, как и для рабочей очереди, подстраивается под характер трафика. Ограничения очереди отправки и рабочей очереди проверяются одновременно, и трафик может уничтожаться при заполнении одной из них.

С-Терра Шлюз Экспортный Copyright © S-Terra CSP 2003 -2017 15 Инициализация и настройка шлюза pq_force_ordering

Параметр pq_force_ordering определяет, что происходит при заполнении очереди отправки:

Если выставлено значение 1, пакеты при переполнении очереди уничтожаются.

Если выставлено значени 0, пакеты все равно обрабатываются – то есть порядок отправки пакетов регулируется только в случае низкой загрузки. При установке pq_force_ordering = 0 рекомендуется выставлять маленькое значение pq_send_q_size.

Если pq_send_q_size = 0, значение pq_force_ordering не имеет смысла.

–  –  –

Замечания Привязка прерываний интерфейсов не всегда срабатывает. Возможно, есть ограничение на количество прерываний, привязанных к одному процессору. Специальной диагностики в этом случае не выдается, результат привязки можно проверить, изучив /proc/irq/*/smp_affinity и /proc/interrupts.

Распределение между очередями (irq_cores 1) зависит от автоматического распределения трафика между несколькими прерываниями сетевого интерфейса. Это работает не всегда.

При интенсивной, но не полной загрузке шлюза, на время обработки пакета влияет скорость пробуждения нити ядра Linux. На время пробуждения нити в свою очередь могут влиять разнообразные процессы внутри Linux (например, влияют вызовы команды ps или аналогичные действия, интенсивный доступ к файловой системе). Особенно негативный эффект проявляется при включенной очереди отправки, т.к. при этом задержка одного пакета влияет на другие, которые поступили на обработку позже по времени.

Привязка прерываний важна не только для сетевых интерфейсов, к которым привязаны действия IPsec-обработки. Если пакет исходящий, то его обработка происходит в контексте интерфейса, на который пакет поступил как входящий.

–  –  –

Для синхронизации часов с NTP-сервером точного времени в ОС используется демон ntpd, который может выступать как в роли сервера, так и клиента, в зависимости от настроек, заданных в конфигурационном файле /etc/ntp.conf. По умолчанию демон настроен как NTP-клиент.

–  –  –

Проверка работы NTP-сервера Команда ntpq -p выводит список источников точного времени и их характеристики.

Обратите внимания на поля delay и offset:

Поле delay показывает количество времени (в секундах) необходимого для получения ответа на запрос времени.

Поле offset показывает разницу между временем локального и удаленного серверов.

Знак * перед именем удаленного сервера (поле Remote) указывает, что сервер выбран для синхронизации.

Время при работе с сертификатами В сертификате время указано относительно Гринвича.

Шлюз работает с сертификатами в локальном времени.

Время жизни сертификата не зависит от временного пояса.

Время жизни сертификата будет зависеть от сезонного перевода часов, т.к. время корректируется в фиксированный момент по локальному времени, поэтому может возникнуть сбой именно в момент перевода часов в разных поясах. Как только перевод будет окончен во всех поясах, время жизни сертификата в них будет одинаковым.

С-Терра Шлюз Экспортный Copyright © S-Terra CSP 2003 -2017 19 Инициализация и настройка шлюза Настройка NAT на шлюзе безопасности На шлюзе безопасности NAT (Network Address Translation) осуществляется средствами ОС, а именно при помощи утилиты iptables. Описание iptables можно посмотреть на сайте проекта Netfilter.

Обработка трафика шлюзом безопасности осуществляется в последовательности аналогичной Cisco IOS. Исходящие пакеты сначала обрабатываются iptables, а затем VPNпродуктом в соответствии с политикой безопасности. Входящие пакеты сначала обрабатываются VPN-продуктом, а затем iptables. В алгоритме возможны изменения при включении в iptables механизмов обработки трафика помимо PREROUTING, FORWARDING и

POSTROUTING.

Использование NAT на шлюзе безопасности позволяет производить трансляцию следующих видов:

Статический NAT – выполняется взаимно-однозначное отображение внутренних IPадресов во внешние. Этот вид трансляции может использоваться при настройке IPsecтуннеля между подсетями с одинаковым адресным пространством.

Динамический NAT – в этом случае происходит динамическая трансляция внутренних локальных IP-адресов в пул глобальных IP-адресов или в адрес внешнего интерфейса шлюза. Этот вид трансляции также может использоваться для IPsec-трафика между подсетями, а также для открытого доступа к интернет-серверам.

Port Address Translation (PAT) или Network Address Port Translation (NAPT) – адреса назначения в пакетах, приходящих на адрес внешнего интерфейса шлюза, подменяются на локальные в зависимости от порта TCP, что позволяет организовать доступ к нескольким серверам в локальной сети. Этот сценарий можно использовать как совместно с IPsec, так и для открытого трафика.

Во всех приведенных трансляциях поддерживается работа по протоколу FTP.

С-Терра Шлюз Экспортный Copyright © S-Terra CSP 2003 -2017 20 Инициализация и настройка шлюза Использование RRI RRI (Reverse Route Injection) – это новый механизм связи управления топологией VPN и системой маршрутизации, позволяющий маршрутам к удаленным защищенным подсетям и клиентам автоматически принимать участие в процессе маршрутизации.

Смысл механизма RRI состоит в том, что после создания защищенного соединения IPsec SA, в таблицу маршрутизации шлюза безопасности с включенным RRI автоматически вносится запись о маршруте к удаленной сети партнера или клиенту. При нарушении защищенного соединения добавленный маршрут из таблицы маршрутизации шлюза удаляется.

Механизм RRI может использоваться в сетях большого размера для обеспечения надежности

– в схемах резервирования с балансировкой сетевой нагрузки.

Для оповещения соседних сетевых устройств, стоящих за шлюзом безопасности, о доступных ему хостах, сетях, новых маршрутах, соответствующих изменениям в топологии VPN, используются протоколы динамической маршрутизации, например, RIP. Такие протоколы маршрутизации реализованы в пакете программ Quagga.

Рассмотрим пример использования механизма RRI в сети (см. Рисунок 2). Подсеть Lan2 защищена шлюзом безопасности GW3, а подсеть Lan1 – двумя шлюзами безопасности GW1 и GW2, включенными в схему резервирования с распределением нагрузки, т.е. доступ в подсеть Lan1 можно получить либо через шлюз GW1, либо через шлюз GW2. Оба канала работают.

На шлюзах безопасности установлен продукт S-Terra Gate 4.1, на GW1 и GW2 включен RRI. В сеть включены маршрутизаторы Cisco. После создания IPsec SA между шлюзами GW3 и GW1, в таблицу маршрутизации GW1 добавляется запись о маршруте до сети Lan2 (обратный маршрут).

Рисунок 2

При нарушении установленного защищенного соединения (GW3 – GW1), запись об обратном маршруте в таблице маршрутизации шлюза GW1 удаляется. В случае, если соединение от шлюза GW3 будет перестроено на шлюз безопасности GW2, то в таблицу маршрутизации шлюза GW2 будет добавлен маршрут к сети Lan2.

Для обмена маршрутной информацией с маршрутизатором R1, на сетевых интерфейсах шлюзов GW1 и GW2, через которые происходит соединение с R1, нужно включить протокол RIP. Демоны RIP на шлюзах нужно настроить таким образом, чтобы они только передавали информацию о маршрутах соседним устройствам, но не добавляли маршруты, полученные от соседних устройств, в свою таблицу маршрутизации. Маршрут до подсети Lan2, посланный по протоколу RIP шлюзом GW1, должен добавиться в таблицу маршрутизации R1, но не добавиться в таблицу маршрутизации GW2, и наоборот. Эти сведения используются сетевым устройством R1 для динамического перенаправления сетевого трафика.

С-Терра Шлюз Экспортный Copyright © S-Terra CSP 2003 -2017 21 Инициализация и настройка шлюза В случае с мобильным пользователем – на основании предъявленного им сертификата и запроса, шлюз GW1 выдает ему адрес из IKECFG пула. После создания защищенного соединения, на шлюзе GW1 в таблицу маршрутизации вносится запись о маршруте до мобильного клиента, о чем по протоколу динамической маршрутизации уведомляется маршрутизатор R1. Если мобильный клиент построит сначала соединение с GW1, а затем – с GW2, то это приведет к появлению двух маршрутов до мобильного клиента на маршрутизаторе R1. Такая ситуация может быть разрешена стандартными средствами DPD.

При разрыве соединения, шлюз GW1 оповещает R1, что адрес, выданный из пула, ему более недоступен.

Примечание:

При физическом обрыве связи между шлюзом GW1 и маршрутизатором R2 (next hop), шлюз безопасности GW1 не может, используя DPD (Dead Peer Detection), обнаружить разрыв соединения с шлюзом GW3 (или с клиентом), так как сессия DPD запускается только при отправке исходящего пакета. А исходящий пакет не отправляется, так как ОС не может найти куда его отправить, потому что маршрутизатор R2 на arp запрос не отвечает и GW1 не может получить MAC-адрес устройства R2.

Поэтому могут возникать проблемы с переключением с GW1 на GW2 при физическом обрыве связи между шлюзом GW1 и маршрутизатором R2 (next hop). SA умрет только по истечению времени жизни и после этого из таблицы маршрутзации GW1 будет удален маршрут в подсеть Lan2 (или до мобильного клиента) и об этом будет уведомлен маршрутизатор R1.

Для решения этой проблемы можно необходимую запись в arp-таблице сделать статической, добавьте на GW1 запись в arp-таблицу:

arp –s IP_address_R2 mac_address_R2

Аналогично, добавьте на шлюз GW2 запись в arp-таблицу:

arp –s IP_address_R3 mac_address_R3

–  –  –

Примеры сценариев, в которых используется RRI, приведены на сайте http://www.sterra.com/ в разделе «Решения – Типовые сценарии применения продуктов S-Terra».

Включение механизма RRI на шлюзе безопасности При создании политики безопасности посредством командной строки включение механизма RRI производится в режиме конфигурирования криптокарты командой reverse-route.

Если политика безопасности задается в конфигурационном файле, то для включения RRI в структуре IPsecAction необходимо атрибуту ReverseRoute присвоить значение TRUE.

Настройка cisco-маршрутизатора Для того, чтобы маршутизатор воспринимал посылаемые продуктом Quagga маршруты по протоколу RIPv2, достаточно добавить в его конфигурацию строки:

router rip

–  –  –

Настройка Quagga В разделе приведена краткая информация о продукте Quagga, описан конфигурационный файл и даны некоторые сведения об особенностях реализации RRI на шлюзе безопасности.

Краткое описание продукта Quagga Продукт Quagga входит в комплект поставки ПК S-Terra Gate и инсталлирован на нем.

Quagga состоит из пакета программ, реализующих протоколы динамической маршрутизации, основанных на TCP/IP – RIPv1, RIPv2, OSPFv2, OSPFv3, BGPv4. Для работы со шлюзом безопасности будем использовать протокол RIPv2. Дальнейшее описание работы с Quagga касается только протокола RIPv2.

Quagga состоит из нескольких демонов, каждый из которых поддерживает свой протокол маршрутизации. Одновременно работать могут несколько разных демонов в сообществе с управляющим демоном zebra.

zebra – демон управления процессом маршрутизации. Он обеспечивает взаимодействие между демонами маршрутизации и операционной системой. Демоны маршрутизации получают/устанавливают записи из таблицы маршрутизации через zebra.

ripd – демон маршрутизации, поддерживающий работу протоколов RIPv1 (RFC1058), RIPv2 (RFC2453).

Каждый демон имеет свою консоль конфигурирования, доступную посредством протокола

telnet:

zebra: telnet 127.0.0.1 2601 ripd: telnet 127.0.0.1 2602 Работа через консоль защищена паролем, который нужно задать в конфигурационном файле каждого из демонов (если пароль в конфигурационном файле не задан или конфигурационный файл отсутствует, то работа через консоль невозможна). Адрес и порт, по которым будут доступны демоны, задаются при запуске демонов (в нашем случае они соответствуют вышеуказанным, то есть извне недоступны).

Более подробную информацию о продукте и его настройке можно смотреть в Интернете (например, http://www.quagga.net/docs/quagga.html или http://www.opennet.ru/base/net/zebra_doc.txt.html).

Настройка Quagga для передачи маршрута посредством протокола RIPv2 Продукт Quagga поставляется без конфигурационных файлов.

Сначала необходимо создать конфигурационные файлы демонов zebra и ripd (zebra.conf и ripd.conf), разместив их в каталоге /etc/quagga/.

Примеры конфигурационных файлов демонов zebra.conf.sample и ripd.conf.sample размещены в каталоге /etc/quagga/.

–  –  –

Особенности реализации RRI После построения IPsec SA, на шлюзе безопасности (при включенном RRI) вычисляется обратный маршрут (RR), который вносится в таблицу маршрутизации.

Основанием для такого маршрута являются следующие данные:

селектор SA (ID второй фазы IKE) адрес назначения туннельного заголовка SA (tdst) системная таблица маршрутизации (без учета маршрутов, добавленных подсистемой RRI).

Вычисление маршрута:

ID партнера второй фазы IKE преобразуется в адрес и маску подсети. Полученные адрес и маска будут адресом назначения создаваемого RR. Если ID имеет протоколы и/или порты, содержит произвольный диапазон адресов, которые невозможно преобразовать в адрес и маску подсети, то обратный маршрут не создается.

В системной таблице производится поиск туннельного адреса SA.

Если правил не найдено (“Destination Unreachable”), RR не добавляется.

Если найдено правило прямой маршрутизации через интерфейс, вычисленный маршрут будет через gateway tdst.

Если найдено правило прямой маршрутизации через gateway GW, вычисленный маршрут будет через gateway GW.

Если маршрут успешно вычислен, проверяется следующее:

Такой же маршрут был ранее добавлен подсистемой RRI для SA с тем же tdst. В этом случае увеличивается счетчик ссылок, маршрут не добавляется.

Маршрут для SA c такими же ID второй фазы и tdst уже добавлен, но отличается. В этом случае существующий маршрут обновляется, увеличивается счетчик ссылок.

Маршрут c такими же параметрами уже добавлен, но для SA с другим tdst. Маршрут не создается, счетчик ссылок не увеличивается.

Маршрут, соответствующий ID партнера есть в системной таблице, но подсистемой RRI он не добавлялся. В этом случае маршрут не создается.

При удалении SA из ядра, счетчик ссылок соответствущего маршрута уменьшается, при обнулении счетчика маршрут удаляется.

В случае аварийного завершения работы сервиса vpnsvc маршруты, добавленные RRI в таблицу маршрутизации, будут удалены.

Предупреждение: недопустимо вручную изменять или удалять правила маршрутизации, которые автоматически формируются при использовании RRI.

В Таблица 1 приведены некоторые возможные конфликтные ситуации.

Поскольку протокол в ID второй фазы один для обоих партнеров, а порты без указания протокола смысла не имеют, присутствие портов и протоколов с обоих сторон не допускается.

–  –  –

Ситуация экзотическая – маршрут нужен для построения SA. Ошибка возможна, если маршрут удалится в процессе создания SA или из-за ошибки чтения/разбора таблицы роутинга.

–  –  –

Настройка шлюза безопасности GW1 Настройку начните со шлюза безопасности GW1. Все настройки производятся через локальную консоль или удаленно (SSH с правами суперпользователя) по доверенному каналу связи.

Шлюз должен быть предварительно инициализирован.

В данном сценарии для аутентификации используются сертификаты. Для корректной работы необходимо зарегистрировать сертификат CA (УЦ) и локальный сертификат.

В данном сценарии список отозванных сертификатов (CRL) не используется и будет отключен.

–  –  –

Регистрация локального сертификата Перед регистрацией локального сертификата в базе продукта выполните следующие действия:

1. Сформируйте запрос на сертификат с использованием утилиты cert_mgr:

–  –  –

root@sterragate:~# cert_mgr create -subj "C=RU,OU=Research,CN=GW1" GOST_R3410EL Press keys...

[

-----BEGIN CERTIFICATE REQUEST----MIIBCjCBuAIBADAuMQswCQYDVQQGEwJSVTERMA8GA1UECxMIUmVzZWFyY2gx DDAKBgNVBAMTA0dXMTBjMBwGBiqFAwICEzASBgcqhQMCAiMBBgcqhQMCAh4B A0MABECTQeB5UoPsTbSs8obnrQ6KMJwpc/BFrUgfI6AjQl95ccE4D5jEAq8m HB3ZvXfxMsQ/1NAy73OPgaz32W/scOkgoB4wHAYJKoZIhvcNAQkOMQ8wDTAL BgNVHQ8EBAMCB4AwCgYGKoUDAgIDBQADQQBAuCzk8bASJqbP5pYHAG5A3LKx OPFjiF1m+2/WkxGkWJWEm5gjNNyWquslmxLq9nX2rff4X3E5xF40iudzHoZz

2. Передайте полученный запрос сертификата на УЦ. Процедура выдачи сертификата на УЦ по запросу описана в документе «Приложение».

3. Перенесите полученный файл на шлюз безопасности (параметры pscp описаны выше)

4. Зарегистрируйте локальный сертификат в базе продукта, используя утилиту cert_mgr:

root@sterragate:~# cert_mgr import -f /certs/gw1.cer 1 OK C=RU,OU=Research,CN=GW1

5. Убедитесь, что сертификаты импортированы успешно:

root@sterragate:~# cert_mgr show Found 2 certificates. No CRLs found.

1 Status: trusted C=RU,L=Moscow,O=S-Terra CSP,OU=Research,CN=CAW2008SP1-X64-CA 2 Status: local C=RU,OU=Research,CN=GW1

–  –  –

Настройка рабочего места администратора AdminHost

Настройка рабочего места администратора состоит из нескольких этапов:

получение сертификатов и секретных ключей;

формирование инсталляционного пакета S-Terra Client для AdminHost;

установка инсталляционного пакета S-Terra Client на AdminHost.

На компьютере, где будет создаваться инсталляционный пакет для AdminHost, должен быть установлен административный пакет S-Terra Client AdminTool (см. документацию «Программный комплекс С-Терра Клиент. Руководство администратора»).

В случае если ключи были сгенерированы вне целевого компьютера, их требуется туда доставить защищенным образом (например, на токене).

Процесс получения сертификата и доставки секретных ключей описан в документе «Программный комплекс С-Терра Клиент. Руководство администратора. Приложение А».

Запустите графический интерфейс S-Terra Client AdminTool (Start – Programs – S-Terra Client AdminTool – Package Maker) и создайте, согласованную со шлюзом политику безопасности.

–  –  –

2. Во вкладке Firewall Rules (Рисунок 5) можно настроить правила фильтрации трафика.

В данном сценарии оставим настройки по умолчанию – разрешать весь трафик.

–  –  –

3. Во вкладке IPsec Rules (Рисунок 6) добавьте правило для трафика, подлежащего шифрованию, IP-адрес шлюза, с которым будет построено защищенное соединение (Рисунок 7). Так же разрешите только SSH-трафик.

–  –  –

4. Во вкладке IPsec поднимите вверх правило, соответственно настроенному на шлюзе IPsec Transform Set и выберете Group – VKO_1B (Рисунок 8).

–  –  –

5. Во вкладке License введите регистрационные данные на продукт S-Terra Client с бланка Лицензии.

6. Сохраните файл созданного проекта, на тот случай, если захотите в будущем сделать похожий инсталляционный пакет. Для этого нажмите File-Save Project

7. Далее сгенерируйте инсталляционный exe-файл, нажав кнопку Make package…

8. Вставьте в целевой компьютер AdminHost носитель с секретными ключами и установите на нем полученный инсталляционный exe-файл. Перегрузите компьютер (на операционных системах Windows 7 и Windows 8 перезагрузка не требуется).

В Приложении представлен текст LSP.

Настройка устройства Router1 На устройстве необходимо настроить динамический NAT, который будет преобразовывать адреса из подсети 10.10.10.0/24 во внешний адрес 192.168.100.2 и наоборот.

–  –  –

Проверка работоспособности стенда После того, как настройка GW1 и AdminHost завершена, инициируйте создание защищенного соединения.

На рабочем компьютере администратора зайдите на шлюз при помощи SSH:

В результате выполнения этой команды между устройствами GW1 и AdminHost будет установлен VPN туннель.

Убедиться в этом можно на мобильном клиенте, выбрав предложение Show SA

Information (Рисунок 9), (Рисунок 10):

–  –  –

ISAKMP connections:

Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd 1 13 (192.168.100.1,4500)-(192.168.100.2,4500) active 1876 3400

–  –  –

Создание политики безопасности шлюза В данном разделе рассмотрены основные принципы создания политики безопасности S-Terra Gate и даны лишь общие понятия. Более подробное описание дано в соответствующих документах, в зависимости от выбранного способа настройки шлюза.

Способы создания политики безопасности Настроить шлюз безопасности S-Terra Gate или создать политику безопасности для шлюза возможно:

Локально или удаленно по протоколу SSH с использованием команд интерфейса командной строки, описанных в документе «Cisco-like команды» (такую конфигурацию будем называть «cisco-like конфигурацией»). Написанные команды являются родственными Cisco IOS 12.4 (13a).

Создав текстовый конфигурационный файл и загрузив его на ПАК с помощью специализированных команд. Создание такого файла описано в документе «Создание конфигурационного файла» (такую конфигурацию будем называть «nativeконфигурацией» или «LSP-конфигурацией»). Команды, при помощи которых можно загрузить конфигурационный файл, описаны в документе «Специализированные команды».

Централизованно–удаленно с использованием продукта «С-Терра КП», предназначенного для управления всей линией продуктов, производимых компанией «С-Терра СиЭсПи», и описанного в документе «Программный продукт С-Терра КП.

Руководство администратора».

Сценарии создания политики безопасности шлюза Рассмотрим некоторые команды интерфейса командной строки и аналогичные им по функциональности структуры текстового конфигурационного файла, которые используются при создании локальной политики безопасности шлюза.

Подробный список команд и их описание дано в документе «Cisco-like команды». Описание синтаксиса и структур данных конфигурационного файла приведено в документе «Создание конфигурационного файла».

Фильтрация, классификация и маркирование пакетов Порядок обработки пакетов зависит от направления трафика. Для исходящего трафика порядок обработки следующий: маркирование, инкапсуляция, пакетная и контекстная фильтрация. Для входящего трафика – пакетная и контекстная фильтрация, декапсуляция, маркирование трафика.

Создание правил пакетной фильтрации Создание правил пакетной фильтрации состоит из формирования списков доступа и привязывания их к конкретным интерфейсам аппаратной платформы S-Terra или сетевого модуля.

В интерфейсе командной строки с помощью команды ip access-list создаются листы доступа.

Команда ip access-list осуществляет вход в режим редактирования списков доступа. В этом режиме с помощью команд permit и deny формируются списки доступа.

–  –  –

В конфигурационном файле правила пакетной фильтрации создаются в структуре Filter.

Создание правил контекстной фильтрации В интерфейсе командной строки для создания правил контекстной фильтрации используются следующие команды:

Команда ip port-map, служит для ассоциации протоколов (сервисов) прикладного уровня с номерами TCP-портов и позволяет перенаправлять трафик стандартных (системных) протоколов и пользовательских, заданных пользователем, на любой TCPпорт.

Команда ip inspect name применяется для создания правила проверки трафика для протоколов прикладного уровня.

Команды ip inspect tcp synwait-time, ip tcp finwait-time, ip inspect tcp idle-time, ip inspect max-incomplete hight, ip inspect max-incompletelow, ip inspect one-minute hight. Ip inspect one-minute low являются командами управления состоянием сеансов в системе CBAC (управление доступом на основе контекста).

В конфигурационном файле правила контекстной фильтрации задаются в структурах Filter и FirewallParameters.

Классификация и маркирование пакетов Классификация и маркирование будет производиться до IPsec-инкапсуляции исходящих пакетов и после декапсуляции входящих.

Описанные ниже команды позволяют задать определенный сервис обслуживания сетевого трафика. Они классифицируют пакеты (относят пакеты к определенному классу трафика) и маркируют их (назначают соответствующий приоритет).

Формирование трафика выполняется в три шага:

пакеты распределяются по классам (команды class-map) задаются правила для каждого класса (команды policy-map) заданная политика привязывается к интерфейсу (команды service-policy).

В конфигурационном файле классификация и маркирование пакетов задается в структурах Filter, которые привязываются к описаниям сетевых интерфейсов (NetworkInterface) через поля InputClassification и OutputClassification.

Создание защищенных VPN туннелей Создание политики IKE Для создания защищенного канала, который будет обеспечивать защиту части обменов информацией первой фазы и все обмены второй фазы IKE, создаются ISAKMP политики (или одна политика) с разными приоритетами, которые будут предложены партнеру для согласования. В политиках описываются желаемые алгоритмы и параметры защищенного канала.

Перед созданием ISAKMP SA должны быть выбраны параметры, которые будут использоваться сторонами для защиты части обменов первой фазы и второй фазы IKE. В интерфейсе командной строки с помощью команды crypto isakmp policy задаются IKE политики (или одна политика) с различными приоритетами, которые будут предложены партнеру для согласования.

Выполнение этой команды осуществляет вход в режим ISAKMP policy configuration, в котором предлагаются параметры для согласования с помощью следующих команд:

–  –  –

В конфигурационном файле в структуре IKERule задается метод аутентификации сторон, режим для первой фазы IKE, а также предлагается для согласования с партнером политика защиты первой и второй фазы IKE, которая описывается в структуре IKETransform. Cтруктура IKEParameters описывает глобальные настройки протокола IKE.

Создание IPsec наборов преобразований Далее нужно предложить партнеру для согласования наборы преобразований, которые будут использоваться для создания защищенного виртуального соединения (IPsec SA). IPsec SA – это однонаправленное логическое соединение, поэтому при двустороннем обмене данными нужно установить два IPsec SA.

В интерфейсе командной строки с помощью команды crypto ipsec transform-set описать параметры IPsec наборов преобразований (или одного набора преобразований). Можно указать до трех наборов преобразований.

С помощью команды mode указать режим использования (туннельный или транспортный) для заданного набора преобразований.

В конфигурационном файле структура IPsecAction определяет режим использования IPsec, список предлагаемых наборов преобразований IPsec. Каждое преобразование описывается в структурах AHTransform и ESPTransform.

Создание списков доступа В интерфейсе командной строки с помощью команды ip access-list указываются списки доступа, в которых задается трафик, который будет потом просто пропускаться, защищаться или запрещаться. Для создания защищенных туннелей используются только расширенные списки доступа.

Команда ip access-list с параметром extended осуществляет вход в режим config-ext-nacl (режим редактирования расширенных списков доступа). В этом режиме с помощью команд permit и deny формируются списки доступа.

В конфигурационном файле списками доступа являются правила фильтрования, описываемые структурой Filter.

Создание криптографических карт В интерфейсе командной строки создание политики IPsec выполняется с помощью команды crypto map, которая осуществляет переход в режим настройки криптографических карт.

В этом режиме могут использоваться следующие команды:

match address осуществляет привязку списка доступа к записи криптографической карты;

set peer определяет партнера, с которым будем устанавливаться туннель;

С-Терра Шлюз Экспортный Copyright © S-Terra CSP 2003 -2017 41 Инициализация и настройка шлюза set pfs задает режим pfs, позволяющий повысить уровень защищенности трафика;

set pool указывает имя пула адресов для криптографической карты;

set identity задает идентификатор для криптографической карты;

set security-association lifetime устанавливает время жизни IPsec SA;

set transform-set дает ссылку на ранее созданный трансформ или трансформы (определяет параметры туннеля);

set ip access-group устанавливает правила фильтрации, применяемые к входящим IPsec пакетам после декапсуляции, или к исходящим IPsec пакетам до инкапсуляции.

Создание набора динамических криптографических карт в интерфейсе командной строки осуществляется командой crypto dynamic map.

В конфигурационном файле политика IPsec задается в структуре IPsecAction.

Привязка криптографической карты к интерфейсу В интерфейсе командной строки на последнем этапе производится привязка листов доступа и криптографических карт к конкретным интерфейсам аппаратной платформы. Эти операции производятся в режиме настройки интерфейсов.

Команда interface с указанием логического имени интерфейса осуществляет переход в режим настройки данного интерфейса.

В этом режиме командой ip access-group указываем список доступа для правил пакетной фильтрации, которые будут использоваться на этом интерфейсе.

Командой crypto map указываем криптографическую карту, с помощью которой будут создаваться VPN туннели.

В конфигурационном файле для привязки правила фильтрования к интерфейсу аппаратной платформы используется атрибут IPsecPolicy в структуре NetworkInterface.

Настройка маршрутизации Добавление строки в таблицу маршрутизации в интерфейсе командной строки задается командой ip route с указанием адреса и маски подсети назначения пакета, IP-адреса следующего маршрутизатора либо выходного интерфейса локального устройства, на который нужно передать пакет для передачи его далее по сети к получателю пакета.

В конфигурационном файле создание таблицы маршрутизации осуществляется структурой RoutingTable. Строка, которая добавляется в таблицу маршрутизации, задается в структуре Route. Эта строка задает маршрут, указывая адрес назначения, выходной интерфейс либо IPадрес следующего маршрутизатора и метрику маршрута.

Настройка Syslog-клиента Настройка Syslog-клиента в cisco-like конфигурации и LSP-конфигурации подробно описана в документе «Протоколирование событий».

Настройка SNMP Для задания настроек по выдаче информации SNMP-агентом по протоколу SNMP в интерфейсе командной строки используются три команды. Команда snmp-server community

–  –  –

задает строку, которая играет роль пароля при аутентификации сообщений SNMP и разрешает SNMP-менеджеру чтение статистики из базы управления SNMP-агента. Команда snmp-server location содержит информацию о физическом расположении SNMP-агента. В команде snmp-server contact указывается лицо, ответственное за работу SNMP-агента.

В конфигурационном файле задание настроек SNMP-агента осуществляется в структуре SNMPPollSettings. В этой структуре указывается IP-адрес и порт, на который можно получать запросы от SNMP-менеджера, а также строку, играющую роль пароля при аутентификации сообщений, размещение SNMP-агента и контактное лицо. В документе «Мониторинг» описаны переменные, которые могут быть запрошены у SNMP-агента.

Настройка отсылки трапов SNMP-агента производятся в структурах SNMPTrapSettings и TrapReceiver. В этих структурах указывается IP-адрес и порт, на который отсылаются трапсообщения, идентификатор и IP-адрес отправителя трап-сообщения, версия SNMP, в которой создаются трап-сообщения.

Загрузка политики безопасности Созданную политику безопасности необходимо загрузить на шлюз.

Cisco-like конфигурация сама загружается на шлюз после выхода из конфигурационного режима, при этом она будет интерпретирована конвертером в LSP-конфигурацию. Конвертор работает в рамках программы cs_console.

Если конвертирование конфигурации завершается с ошибкой; то на консоль выдается сообщение об ошибке: "LSP conversion failed. You can use the "show load-message" command to obtain the additional information." ("Конвертирование LSP завершилось с ошибкой. Вы можете использовать команду show load-message для получения дополнительной информации.") Далее происходит попытка загрузки LSP-конфигурации на шлюз безопасности. Если по какимлибо причинам произошла ошибка при загрузке, LSP-конфигурация записывается в файл erroneous_lsp.txt, расположенный в каталоге шлюза безопасности. В конце работы конвертора выдается результат (успех/неуспех) обратно в cs_console.

При конвертировании cisco-like конфигурации прописываются фильтры для каждого интерфейса в отдельности.

Во время работы конвертора используются настройки конвертора, некоторые из которых могут редактироваться пользователем. Подробно работа конвертора описана в документе «Программный комплекс С-Терра Шлюз. Версия 4.1. Приложение» в разделе «Конвертор».

LSP-конфигурацию, созданную в виде текстового конфигурационного файла, нужно загрузить специализированной командой lsp_mgr load, с указанием полного пути к файлу конфигурации.

Политики безопасности, созданные с использованием остальных платформ управления, также конвертируются в LSP-конфигурацию во время загрузки на шлюз.

Для просмотра загруженной конфигурации используется специализированная команда lsp_mgr show.

–  –  –

Работа с сертификатами Регистрация СА сертификата

Зарегистрировать СА сертификат в базе Продукта можно двумя способами:

с помощью утилиты командной строки cert_mgr import;

через cs_console командами crypto pki trustpoint и crypto pki certificate chain.

При регистрации сертификата первым способом при первом старте консоли после добавления сертификатов, добавленные сертификаты будут доступны для использования в cisco-like конфигурации. Для них будет создан trustpoint с именем s-terra technological trustpoint.

–  –  –

trustpoint автоматически удаляется из cisco-like конфигурации и, следовательно, удаляются все СА сертификаты, зарегистрированные в этом trustpoint. При этом выдается соответствующее сообщение в лог.

Создание ключевой пары и запроса на локальный сертификат Создать ключевую пару и запрос на локальный сертификат для S-Terra Gate можно двумя путями:

Локально с помощью утилиты cert_mgr create. В случае применения СКЗИ от компании S-Terra CSP можно также воспользоваться утилитами cont_mgr create и cont_mgr request (утилиты расположены в /opt/VPNagent/bin/).

На отдельном компьютере с помощью средств MS Windows и СКЗИ, как описано в документе «Программный комплекс С-Терра Шлюз. Версия 4.1. Приложение».

Контейнеры с секретными ключами должны быть уровня компьютера.

Регистрация локального сертификата Для регистрации локального сертификата в базе Продукта используется утилита командной строки cert_mgr import.

Удаление сертификатов

Удалять сертификаты из базы Продукта можно двумя способами:

с помощью утилиты командной строки cert_mgr remov;

через cs_console командой no crypto pki trustpoint.

При удалении trustpoint с указанным именем, все СА сертификаты из этого trustpoint удаляются из текущей конфигурации, базы Продукта и cisco-like конфигурации.

Если в cs_console добавить сертификат в trustpoint, а потом, выйдя из консоли, удалить добавленный сертификат с помощью cert_mgr remove, то при следующем старте консоли trustpoint с сертификатом удалится и оттуда.

Удалить CRL из базы Продукта помощью утилиты командной строки cert_mgr remove невозможно. Если в команде указать номер (индекс) CRL, то будет выведено сообщение об ошибке – о недопустимом индексе.

Просмотр сертификатов в базе Продукта Для просмотра сертификатов в базе Продукта используйте команду cert_mgr show.

Отсылка локального сертификата

Для отсылки локального сертификата партнеру по протоколу IKE:

В LSP-конфигурации (конфигурационный файл) Для отсылки локального сертификата партнеру по протоколу IKE в LSP, в структуре

AuthMethodGOSTSign задать атрибут SendCertMode со значением:

ALWAYS – всегда отсылать локальный сертификат;

CHAIN – всегда отсылать локальный сертификат, СА сертификат и промежуточные СА сертификаты.

С-Терра Шлюз Экспортный Copyright © S-Terra CSP 2003 -2017 45 Инициализация и настройка шлюза В cisco-like конфигурации (в интерфейсе командной строки) При создании политики IKE, параметры которой согласовываются с партнером, в режиме команды crypto isakmp policy задать метод аутентификации сторон с использованием сертификатов командой authentication rsa-sig В файле настроек конвертора cs_conv.ini параметру send_cert присвоено значение ALWAYS, и поэтому по умолчанию партнеру всегда будет отсылаться локальный сертификат по протоколу IKE.

Получение сертификата партнера Сертификат партнера можно получить либо по протоколу IKE, либо по протоколу LDAP.

Сначала S-Terra Gate пытается получить сертификат партнера по IKE. Если партнер не прислал сертификат, а прислал свой идентификатор, то S-Terra Gate по этому идентификатору ищет сертификат партнера сначала в своей базе Продукта, если не нашел, то продолжает поиск на LDAP-сервере.

–  –  –

Получение сертификата партнера по LDAP Получение сертификата партнера на LDAP-сервере. В этом случае партнер присылает свой идентификатор, а S-Terra Gate по значению Subject будет искать сертификат партнера на LDAP-сервере. Для прохождения LDAP-пакетов до LDAP-сервера необходимо в политике задать соответствующий фильтр.

В LSP-конфигурации В локальной конфигурации задать структуру LDAPSettings с IP-адресом LDAP-сервера и также:

Если прислан идентификатор типа DN:

шлюз безопасности по Subject ищет сертификат партнера сначала в своей базе Продукта, а затем на LDAP-сервере;

–  –  –

Проверка сертификата по CRL

Для проверки сертификата партнера по списку отозванных сертификатов (CRL) нужно:

В LSP-конфигурации В структуре GlobalParameters задать атрибут CRLHandlingMode, при значениях этого атрибута:

optional – используется действующий CRL из базы Продукта;

enable и best_effort – действующий CRL может быть получен по LDAP.

Для получения CRL с LDAP-сервера сначала проверяется поле CDP в проверяемом сертификате, если поле CDP отсутствует, то в конфигурации должна быть задана структура LDAPSettings c адресом LDAP-сервера. В базу Продукта с LDAP-сервера загружается действующий CRL и по нему проверяется сертификат партнера.

Для прохождения LDAP-пакетов до LDAP-сервера необходимо в политике задать соответствующий фильтр.

В cisco-like конфигурации В режиме команды crypto pki trustpoint командой revocation-check задается режим использования CRL.

Несколько локальных и СА сертификатов Иногда при работе с разными партнерами аутентификация осуществляется с использованием разных локальных сертификатов, подписанных разными УЦ, соответственно и СА сертификаты разные.

В cisco-like конфигурации В командной строке нет команд для указания соответствия между идентификатором партнера, локальным сертификатом и СА сертификатом. Поэтому после конвертирования cisco-like конфигурации в LSP конфигурацию последнюю необходимо отредактировать.

В LSP-конфигурации:

В структуре AuthMethodGOSTSign существуют атрибуты, которые позволяют задать соответствие между локальным, партнерским и СА сертификатами, локальным и партнерским идентификаторами.

–  –  –

Описания значений и полный список Certificate Extensions можно посмотреть в документе RFC 5280 (http://tools.ietf.org/html/rfc5280#section-4.2).

Можно изменить реакцию Продукта на отдельные расширения сертификата, помеченные как критичные и отсутствующие в вышеприведенной таблице. Администратор может настроить список расширений сертификата, который будут игнорироваться Продуктом, как если бы эти расширения являлись некритичными. Эти расширения надо описать в файле x509opts.ini, который расположен в каталоге /opt/VPNagent/etc. Расширения описываются в секции IgnoringUnsupportedCriticalExtentions.

Игнорируемое Critical Extention задается в формате KEY=OID, где:

KEY – имя расширения, состоящее из букв и цифр и не содержащее разделителей, должно быть уникальным в передах секции;

OID – OID игнорируемого расширения, состоящий из десятичных чисел, разделенных точками. Распознавание расширения происходит по OID.

–  –  –

Примечание 1: следует подчеркнуть, что таким образом нельзя проигнорировать распознаваемые Продуктом Critical Extentions, например BasicConstraints.

Примечание 2: секция IgnoringUnsupportedCriticalExtentions, даже пустая, обязательно должна присутствовать в файле x509opts.ini.

–  –  –




Похожие работы:

«Динозавры: назад в прошлое, предсказывая будущее. Тема урока: Назад в прошлое, предсказывая будущее"Цели урока: Образовательные формировать представления детей о далеком прошлом Земли;пополнить знания учащихся об...»

«Станякина Маргарита Владимировна ВЛИЯНИЕ ПРЕНАТАЛЬНЫХ, НАТАЛЬНЫХ И ПОСТНАТАЛЬНЫХ ФАКТОРОВ НА ПСИХОФИЗИОЛОГИЧЕСКОЕ РАЗВИТИЕ ДЕТЕЙ СТАРШЕГО ДОШКОЛЬНОГО ВОЗРАСТА 19.00.02 – Психофизиология АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата биологических наук Архангельск – 200...»

«ГЛОБАЛЬНАЯ ЯДЕРНАЯ БЕЗОПАСНОСТЬ, 2016 №4(21), С. 7–15 ПРОБЛЕМЫ ЯДЕРНОЙ, РАДИАЦИОННОЙ И ЭКОЛОГИЧЕСКОЙ БЕЗОПАСНОСТИ УДК 504.064.36 МОНИТОРИНГ ТРИТИЯ КАК ВОЗМОЖНОГО ИНДИКАТОРА УТЕЧЕК ИЗ СПЕЦТРУБОПРОВОДОВ И ДРУГИХ ВОДОНЕСУЩИХ КОММУНИКАЦИЙ НА ПЛОЩАДКЕ АЭС "БУШЕР-1" © 2...»

«1 Содержание Б.1.Б.1 Иностранный язык..3 Б.1.Б.2 Философия..4 Б1.Б.3 История..5 Б.1.Б.4 Экономическая теория..6 Б.1.Б.5 Менеджмент Б.1.Б.6 Маркетинг..7 Б.1.Б.7Математика.. 8 Б.1.Б.8Информатика..9 Б.1.Б.9Химия..10 Б.1.Б.10Физика.....»

«RU 2 378 624 C2 (19) (11) (13) РОССИЙСКАЯ ФЕДЕРАЦИЯ (51) МПК G01F 23/296 (2006.01) ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ИНТЕЛЛЕКТУАЛЬНОЙ СОБСТВЕННОСТИ, ПАТЕНТАМ И ТОВАРНЫМ ЗНАКАМ (12) ОПИСАНИЕ ИЗОБРЕТЕНИЯ К ПАТЕНТУ (21), (22) Заявка: 2008111535/28, 27.03.2008 (72) Автор(ы): Казинцев Владимир Александрович (RU), (24) Дата начала отсчета срока дей...»

«Вестник Томского государственного университета. Биология. 2013. № 4 (24). С. 77–97 УДК [597.6+598.1](571.1) Л.А. Эпова1, В.Н. Куранова2, С.Г. Бабина1 Государственный природный заповедник "Кузнецкий Алатау" (г. Междуреченск) Томский государственный университет (г. Томск) ВИДОВОЕ РАЗНООБРАЗИЕ, БИОТОПИЧЕСКОЕ Р...»

«Мензбирлік орнитологиялы оамы л-Фараби атындаы аза лтты университеті азастан Республикасы БМ К "Зоология институты" РМК СОЛТСТІК ЕУРАЗИЯНЫ XIV ХАЛЫАРАЛЫ ОРНИТОЛОГИЯЛЫ КОНФЕРЕНЦИЯСЫ (Алматы, 18-24 тамыз 2015 ж.) I....»

«Суслопаров Михаил Александрович КОНСТРУИРОВАНИЕ РЕКОМБИНАНТНЫХ АНТИГЕНОВ И ВЫЯВЛЕНИЕ ГЕНЕТИЧЕСКИХ МАРКЕРОВ ДЛЯ ДИАГНОСТИКИ ГЕРПЕСВИРУСНЫХ ИНФЕКЦИЙ ЧЕЛОВЕКА 03.00.06 –вирусология АВТОРЕФЕРАТ на соискание ученой степени доктора медицинских наук Кольцово – 2008 Работа выполнена в Федеральном гос...»

«ООО "ИНСТИТУТ РЕСТАВРАЦИИ, ЭКОЛОГИИ и ГРАДОСТРОИТЕЛЬНОГО ПРОЕКТИРОВАНИЯ" Муниципальный заказчик: Комитет архитектуры и градостроительства администрации городского округа "Город Калининград". ДОКУМЕНТАЦИЯ ПО ПЛАНИРОВКЕ ТЕРРИТОРИИ Проект планировки с проектом межевания в его составе территории в границах улиц А. Нев...»

«База нормативной документации: www.complexdoc.ru МИНИСТЕРСТВО ПРИРОДНЫХ РЕСУРСОВ И ЭКОЛОГИИ РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ЭКОЛОГИЧЕСКОМУ, ТЕХНОЛОГИЧЕСКОМУ И АТОМНОМУ НАДЗОРУ ПРИКАЗ 20 июля 2009 г. № 640 Москва Об...»

«ПЕДАГОГИКА ИСКУССТВА ЭЛЕКТРОННЫЙ НАУЧНЫЙ ЖУРНАЛ УЧРЕЖДЕНИЯ РОССИЙСКОЙ АКАДЕМИИ ОБРАЗОВАНИЯ "ИНСТИТУТ ХУДОЖЕСТВЕННОГО ОБРАЗОВАНИЯ" http://www.art-education.ru/AE-magazine/ №2, 2011 актуальные тенденции в развитии художественного образования Егорычев Александр Михайлович, доктор философских наук, кандидат педагогиче...»

«ШИРОКОВА Анна Вячеславовна ИЗМЕНЕНИЕ ВОДНОГО И ИОННОГО БАЛАНСА КЛЕТОК U937 ПРИ АПОПТОЗЕ, ВЫЗВАННОМ ЭТОПОЗИДОМ И СТАУРОСПОРИНОМ 03.00.25 Гистология, цитология, клеточная биология АВТОРЕФЕРАТ диссертац...»

«Рабочая программа дисциплины (модуля) Практикум по фитобиотехнологии 1. Код и наименование дисциплины (модуля) В.М2.ОД.3.2. Уровень высшего образования: магистратура.3. Направление подготовки: 06.04.01...»

«Ученые записки Таврического национального университета им. В. И. Вернадского Серия "Биология, химия". Том 26 (65). 2013. № 3. С. 232-245. УДК 612.135:528.811+537-96 АДАПТАЦИОННО-ЗАЩИТНЫЕ РЕАКЦИИ МИКРОЦИРКУЛЯТОРНОГО РУСЛА КОЖИ В УСЛОВИЯХ ЛОКА...»

«ХИМИЯ РАСТИТЕЛЬНОГО СЫРЬЯ. 2008. №4. С. 95–100. УДК 615.32 + 582.565.2 ХИМИЧЕСКИЙ СОСТАВ СОКА КАЛЛИЗИИ ДУШИСТОЙ (CALLISIA FRAGRANS WOOD.) И ЕГО АНТИОКСИДАНТНАЯ АКТИВНОСТЬ (IN VITRO) * Д.Н. Оленников 1, И.Н. Зилфикаров2, А.А. Торопова1, Т.А. Ибрагимов3 © Институт общей и экспериментальной биологии СО РАН, ул. Сахьяно...»

«Министерство образования Республики Беларусь Учреждение образования "Международный государственный экологический университет имени А. Д. Сахарова" А. С. Шиляев С. П. Кундас А. С. Стукин ФИЗИЧЕСКИЕ ОСНОВЫ ПРИМЕНЕНИЯ УЛЬТРАЗВУКА В МЕДИЦИНЕ И ЭКОЛОГИИ Учебно-методическое пособие Рекомендовано к изданию...»

«СЕЛЬСКОХОЗЯЙСТВЕННАЯ БИОЛОГИЯ, 2015, том 50, 5, с. 550-560 УДК 633.11:631.52:575.167 doi: 10.15389/agrobiology.2015.5.550rus АГРОТЕХНОЛОГИЧЕСКИЕ И СЕЛЕКЦИОННЫЕ РЕЗЕРВЫ ПОВЫШЕНИЯ УРОЖАЕВ ЗЕРНОВЫХ КУЛЬТУР В РОССИИ В.П. ЯКУШЕВ, И.М. МИХАЙЛЕНКО, В.А. ДРАГАВЦЕВ "Торговля мож...»

«Ученые записки Таврического национального университета им. В. И. Вернадского Серия "Биология, химия". Том 25 (64). 2012. № 4. С. 255-263. УДК 548.736+546.64+54.057 СИНТЕЗ И ИССЛЕДОВАНИЕ МОЛЕКУЛЯРНОЙ И КРИСТАЛЛИ...»

«МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ Федеральное государственное бюджетное образовательное учреждение высшего образования "ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ" Институт биологии Кафедра зоологии и эволюционной экол...»

«Федеральное государственное бюджетное образовательное учреждение высшего образования “Казанский государственный медицинский университет” Министерства здравоохранения Российской Федерации Кафедра биохимии и клинико-лабораторной диагностики Факультет: Медико-биологический Специальность: медицинская биохимия Курс: 6 Выпускная...»

«Хайрутдинов Ильдар Зиннурович ЭКОЛОГИЯ РЕПТИЛИЙ УРБАНИЗИРОВАННЫХ ТЕРРИТОРИЙ (НА ПРИМЕРЕ г. КАЗАНИ) 03.02.08 – экология (биологические науки) Автореферат диссертации на соискание ученой степени кандидата биологических наук КАЗАНЬ – 2010 Работа выполнена на кафедре зоологии позвоночных биолого-почвенного факультета ФГОУ ВПО "Казански...»

«42 1141 ТЕРМОПРЕОБРАЗОВАТЕЛИ СОПРОТИВЛЕНИЯ ТСМ И ТСП МЕТРАН-200 Руководство по эксплуатации 203.01.00.000 РЭ Челябинск 454138 г. Челябинск, Комсомольский проспект, 29 Промышленная группа "Метран": тел.(351) 798-85-10...»

«79014_729310 ВЕРХОВНЫЙ СУД РОССИЙСКОЙ ФЕДЕРАЦИИ № 302-ЭС15-12604 ОПРЕДЕЛЕНИЕ г. Москва 21.10.2015 Судья Верховного Суда Российской Федерации Чучунова Н.С., рассмотрев жалобы (заявления) общества с ограниченной ответственностью "Тайга" и Агентства лесного хозяйства И...»

«МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ Федеральное государственное бюджетное образовательное учреждение высшего образования "ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ" Институт биологии Кафедра зоологии и эволюционной экологии животны...»























 
2017 www.kn.lib-i.ru - «Бесплатная электронная библиотека - различные ресурсы»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.