- Быстрый старт¶
- Инсталляция на аппаратную платформу¶
- Инсталляция на виртуальную машину¶
- Строка инициализации¶
- Настройка VPN¶
- Настройка L3 VPN между КШ¶
- Создание сетевых объектов¶
- Создание парных связей¶
- Создание правил фильтрации¶
- Настройка L2 VPN между КК¶
- Настройка интерфейсов коммутации¶
- Конфигурация виртуального коммутатора¶
- Настройка удаленного доступа VPN между СД и АП¶
- Континент АП не запускается
- Вложения
- PavelM
- Вложения
- oko
- PavelM
- oko
- PavelM
- Kovlanik
Быстрый старт¶
АПКШ Континент поставляется с предустановленной текущей тиражируемой версией ПО. В некоторых случая может потребоваться ее переустановка (понижение или повышение версии, восстановление работоспособности, установка отладочной версии по и т.д.).
Инсталляция на аппаратную платформу¶
При инсталляции ПО на аппаратную платформу используются два источника инсталляции:
- CD-диск (входит в комплекте поставки оборудования)
- USB Flash drive (так же входит в состав поставки)
Самый распространенный способ — это установка через USB Flash drive. В этом случае на носитель необходимо записать образ USB Flash drive из комплекта поставки. Образы находятся на CD-диске в директории Setup\Continent\FLASH\IMAGES, имеют расширение .flash и записываются на USB Flash drive при помощи таких утилит как:
Для распознавания файла образа в balenaEtcher необходимо изменить расширение с .flash на .img (cgw_release.flash -> cgw_release.img)
По факту каждый образ это raw image жесткого диска с двумя разделами. Первый раздел FAT размером 8 МБ. Предназначен для сохранения ключей администратора ЦУС или же конфигурации и ключей КШ. Второй раздел UFS (FreeBSD). Содержит необходимые для установки ПО файлы. Созданный таким образом USB Flash drive будет являться загрузочным устройством и позволит произвести установку ПО на аппаратную платформу АПКШ.
Каждый образ установочного ПО содержит требуемый функционал для конкретной реализации ПО:
- arm_release.flash — АРМ ГК (Генерации Ключей)
- cgw.aserv_release.flash — КШ-СД
- cgw_release.flash — КШ
- csw_release.flash — КК
- ids_release.flash — ДА
- ncc.aserv_release.flash — ЦУС-СД
- ncc_release.flash — ЦУС
При переустановке ПО на аппаратную платформу АПМДЗ «Соболь» будет выдавать предупреждение о том, что изменился загрузочный диск, на запрос о изменении загрузочного диска следует ответить «НЕТ», в ином случае Соболь при загрузке уже с диска опять выдаст это предупреждение. Так же после переустановке ПО сбросится настройка «Время автоматического входа в систему», следует установить этот параметр в значение, отличное от 0, иначе устройство будет требовать предъявление iButton при каждой загрузке. Пункт «Время автоматического входа в систему» может быть недоступен для редактирования, в этом случае необходимо создать пользователя AUTOLOAD в меню управления пользователям АПМДЗ «Соболь».
Инсталляция на виртуальную машину¶
Для того, чтобы установить ПО Континент на виртуальную машину используется специальный ISO-образ. Данный образ содержит в инсталляционных файлах все возможные компоненты комплекса (ЦУС, КШ, КК, ДА, ЦУС-СД, КШ-СД, АРМ ГК). Основное отличие данного ISO-образа это эмуляция Соболя, по факту же данный образ может использоваться для установки на x86-совместимое аппаратное обеспечение. Важно понимать, что в этом случае мы никогда не получим формальное соответствие формуляру (актуально для версии 3.7 и ниже). При установке на виртуальную платформу необходимо выбирать гостевую систему FreeBSD (32 bit) ниже 10 версии.
Для оптимизации потребления ресурсов гипервизора рекомендуется использовать следующие параметры в файле /boot/loader.rc:
- set hint.p4tcc.0.disabled=1
- set hint.acpi_throttle.0.disabled=1
- set hint.apic.0.clock=0
- set kern.hz=50
Начиная с версии 3.9 для установки на реальную платформу и на гипервизор используется один установочный диск, который самостоятельно определяет в каком режиме он будет работать.
Строка инициализации¶
Строка инициализации используется для создания устройства в ПУ ЦУС, это способ сообщить ПУ ЦУС идентификационный номер устройства, а так же количество и тип сетевых интерфейсов.
При ошибке в строке инициализации в дальнейшем будет невозможно загрузить конфигурацию на устройство, так что стоит быть предельно внимательным при ее вводе.
Строка инициализации для оборудования, поставляемого производителем приведена в Паспорте. Так же строку инициализации можно увидеть при инсталляции ПО (строка инициализации появляется после ввода идентификатора устройства. В некоторых случая строка инициализации может уйти за границы экрана, в этом случае необходимо нажать Scroll Lock и прокрутить экран вверх при помощи клавиш с указателями).
Следует быть внимательным, при установке на виртуальную машину, поскольку в некоторых гипервизорах могут использоваться различные типы интерфейсов! К примеру в VirtualBox используются интерфейсы le. Так же стоит обратить внимание, если количество интерфейсов в строке инициализации отличается от фактического количества интерфейсов на аппаратной платформе, это может быть признаком выхода интерфейса из строя, и как следствие ОС не может его обнаружить.
Строка инициализации имеет простой и понятный формат, например:
- 00002710 — идентификатор криптошлюза в HEX, длиной восемь символов, дополняется нулями в начале
- 3 — количество сетевых интерфейсов устройства, далее и до конца строки идет перечисление интерфейсов и их режимов работы
- igb0*02BDigb1*02BDigb2*02BD — наименование сетевых интерфейсов, как их определяет операционная система, режим работы (скорость, дуплекс), * отделяет интерфейсы
- ffff — признак окончания строки инициализации
Интерфейсы и режим работы:
- em0 (медь) — 02BD
- igb (оптика) — 3001
- igb (медь) — 02BD
- ix (оптика 10G) — 0001
- ixl (оптика криптоускоритель) — 2E801
Настройка VPN¶
Настройка L3 VPN между КШ¶
Настройка L3 VPN между КШ это самая распространенная задача, выполняемая администратором комплекса. Для создания данного типа VPN необходимо выполнить следующие действия:
Создание сетевых объектов¶
Шифрование трафика в комплексе возможно только между сетевыми объектами с типом Защищаемый.
Привязка сетевого объекта должна производится к внутреннему интерфейсу или к интерфейсу с типом «Любой» криптошлюза, за которым этот сетевой объект находится.
После создания сетевого объекта он может быть использован в правилах фильтрации. Подробнее о сетевых объектах и их типов читайте тут (link!).
Создание парных связей¶
Парные связи позволяют крипошлюзам узнавать о защищаемых сетевых объектах парных криптошлюзов.
При создании парной связи между криптошлюзами они строят между собой VPN по дефолтному порту UDP 10000 и начинают обмениваться keepalive-сообщениями. Если криптошлюз не получает данные сообщения от парного криптошлюза, то в ПУ ЦУС напротив него в колонке VPN будет отображаться восклицательный знак.
Создание правил фильтрации¶
После того, как сетевые объекты и парные связи созданы единственное, что останавливает прохождение трафика по VPN-каналу это межсетевой экран криптошлюза.
Необходимо создать правила фильтрации на основе созданных межсетевых объектов описав в них требуемые разрешения для прохождения трафика. Подробнее о правилах фильтрации и управлении межсетевым экраном читайте тут (link!).
Настройка L2 VPN между КК¶
L2 VPN при использовании криптокоммутаторов позволяет прозрачно объединять физические порты криптокоммутатров в единый L2-сегмент. Для конфигурации L2 VPN необходимо выполнить следующие действия:
Настройка интерфейсов коммутации¶
Интерфейс коммутации — физический или логический интерфейс (VLAN) КК, который отправляет все присланные на него кадры в виртуальный коммутатор. Для задания интерфейса коммутации необходимо открыть свойства КК, перейти на вкладку Интерфейсы, выбрать нужный интерфейс и назначить ему тип «Порт криптокоммутатора». У КК должен так же быть минимум один внешний интерфейс, который используется для передачи VPN-трафика и управления устройством.
Конфигурация виртуального коммутатора¶
Для того, чтобы порты криптокоммутатора передавали трафик защищаемых хостов внутри VPN необходимо создать виртуальный криптокоммутатор. В общем случае можно сказать, что виртуальный коммутатор на логическом уровне объединяет все порты криптокоммутаторов, которые в него включены в единый L2-сегмент. Для создания виртуального коммутатора необходимо задать его имя и добавить из списка доступные порты необходимых КК. Если чекбокс Автоматически создавать парные связи активен, то с свойствах каждого КК не потребуется вручную указывать парные для него КК.
Настройка удаленного доступа VPN между СД и АП¶
Для организации защищенного соединения удаленного пользователя и доступа его к защищенным ресурсам внутренней сети используется связка Континент АП и СД (Сервер доступа).
Не стоит забывать, что СД это дополнительный модуль, устанавливаемый на КШ и по факту он живет своей жизнью, не привязываясь к IP-адресам или идентификатору КШ.
Для организации удаленного доступа производятся действия на АРМ пользователя и на СД.
- установка ПО «Континент АП»
- создание закрытого ключа пользователя (опционально)
- импорт сертификата пользователя (опционально с импортом закрытого ключа), выпущенный на СД
- создание соединения с СД
- создание объекта защищаемой сети
- создание правил межсетевого экрана
- создание пользователя и выпуск сертификата пользователя
- назначение пользователю правил межсетевого экрана
Более детально конфигурация данного типа VPN будет рассмотрена в соответствующем разделе.
© Copyright 2019, g00dvin Revision de3b0298 .
Versions latest old Downloads pdf html epub On Read the Docs Project Home Builds Free document hosting provided by Read the Docs.
Континент АП не запускается
Установил cts-3.7.6-70.ks1.astra1.6_amd64.deb на Astra Linux 1.6 (Смоленск) установка прошла без ошибок, вышло сообщение , что надо перезагрузить систему. После перезагрузки не запускается Континент АП, ни при загрузке, ни по ярлыку. Никаких сообщений не выдает. Что может быть и где смотреть?
Вложения
PavelM
New member
Вложения
oko
New member
to PavelM
Специально же придуман раздел документации на Континент-АП, в котором сказано, в каком порядке и что устанавливать кроме указанного вами deb-пакета.
Вы явно не установили зависимости, в частности, libopensc.
PavelM
New member
to PavelM
Специально же придуман раздел документации на Континент-АП, в котором сказано, в каком порядке и что устанавливать кроме указанного вами deb-пакета.
Вы явно не установили зависимости, в частности, libopensc.
где можно скачать его?
по документации ставил *.deb пакеты из папки ‘third party’ но несколько пакетов оттуда не стали ставится, установлены более новые версии
oko
New member
to PavelM
Там же на диске с Континент-АП должно быть все. Выбирайте пакеты под нужную версию Astra Linux. Помнится, ставил без каких-либо проблем, прочитав ReleaseNotice и Руководство администратора в части установки.
PavelM
New member
Выше написал, что устанавливал по документации, но установщик заругался на несколько пакетов в частности opensc_0.16.0-3_amd64.deb и opensc-pkcs11_0.16.0-3amd64.deb, что уже установлены более новые версии (скриншот выше), которые видимо установились, когда настраивал доступ к ssl.budgetplan.minfin.ru и zakupki.gov.ru
Kovlanik
New member
Выше написал, что устанавливал по документации, но установщик заругался на несколько пакетов в частности opensc_0.16.0-3_amd64.deb и opensc-pkcs11_0.16.0-3amd64.deb, что уже установлены более новые версии (скриншот выше), которые видимо установились, когда настраивал доступ к ssl.budgetplan.minfin.ru и zakupki.gov.ru
Более новые версии устанавливаются вместе с пакетом обновлений №3 для Астры Смоленск 1.6. Две нужные библиотеки повышаются до версии 6, вместо 4-й, и отсюда возникают проблемы. Поспешила Астра. Решается просто. Из пакета opensc-pkcs11_0.16.0-3_amd64.deb выдёргиваются две зависимости (можно воткнуть на горячую из MC) libopensc.so.4 и libopensc.so.4.0.0 кинуть по следующему пути \usr\lib\x86_64-linux-gnu\. И всё должно заработать. У нас в крайнем случае именно так и произошло. А вот те библиотеки и пакеты, которые система по вашей просьбе понизила, лучше вернуть на место. Ну не знаю, попробуйте apt dist-upgrade, что-ли