Решение задач vipnet linux. vipnet_linux решение задач. Руководство администратора
Скачать 1.91 Mb.
|
Функция межсетевого экрана. Координаторы осуществляют фильтрацию открытых пакетов в соответствии с заданной политикой безопасности. Функция прокси-сервера. Координаторы могут выступать в качестве прокси-серверов для Клиентов. При этом другим Клиентам не известен реальный адрес Клиента, а известен только адрес его прокси-сервера. Для связи с таким Клиентом используется виртуальный адрес. Функция Сервера-маршрутизатора. Координаторы выполняют маршрутизацию почтовых конвертов и управляющих сообщений при взаимодействии узлов сети между собой. Функция туннелирования трафика. Координаторы могут туннелировать трафик от открытых компьютеров сети (например таких, на которые по каким-либо причинам невозможно установить ПО ViPNet). При этом трафик остается незащищенным только на участке от туннелируемого компьютера до Координатора, а в дальнейшем весь трафик идет в зашифрованном виде. ViPNet Coordinator Linux. Руководство администратора | 22 Функция Сервера Открытого Интернета. Координаторы могут использоваться для организации безопасного подключения к Интернету отдельных узлов сети ViPNet (см. « Настройка Координатора, выполняющего функции Сервера Открытого Интернета » на стр. 115) без их физического отключения от локальной сети организации. Кроме Координаторов и Клиентов, в состав корпоративной сети входят Центр управления сетью (ЦУС), Удостоверяющий и Ключевой центр (УКЦ), Центр управления политиками безопасности (ЦУПБ). Все перечисленные центры выполняют административные функции. ЦУС и УКЦ отвечают за конфигурирование сети, разрешение и запрещение связей между объектами сети, генерацию ключей, используемых для шифрования, и т.п. ЦУПБ отвечает за формирование корпоративной политики безопасности и ее рассылку на сетевые узлы. В данном руководстве административные центры не рассматриваются, однако необходимо понимать, что ПО ViPNet Coordinator Linux работает только при наличии ключевых баз, созданных ЦУС и УКЦ. Компьютер с установленным ПО ViPNet Coordinator Linux используется в качестве Координатора виртуальной сети ViPNet. ViPNet Coordinator Linux. Руководство администратора | 23 Состав программного обеспечения В состав ПО ViPNet Coordinator Linux входят следующие основные функциональные модули: Низкоуровневый драйвер сетевой защиты iplir, взаимодействующий непосредственно с драйверами сетевых карт и контролирующий весь обмен трафиком данного компьютера с внешней сетью. Управляющая программа-демон iplircfg, которая осуществляет загрузку необходимых параметров драйверу iplir, рассылку и прием информации об IP-адресах клиентов, ведение журнала трафика и т.п. (см. « Настройка ViPNet Coordinator Linux » на стр. 53). Рекомендуется, чтобы эта программа всегда была запущена, но при ее остановке драйвер iplir продолжает работать и обмен трафиком не прерывается. Криптографический драйвер, выполняющий криптографические операции по запросу драйвера iplir. Драйвер watchdog, входящий в состав системы защиты от сбоев (см. « Состав системы защиты от сбоев и принципы ее работы » на стр. 122). Драйвер работает на очень низком уровне и в большинстве случаев сохраняет работоспособность даже тогда, когда система уже не реагирует на внешние события. Демон failoverd, который обеспечивает функционал системы защиты от сбоев (см. « Система защиты от сбоев » на стр. 120). Демон mftpd (транспортный модуль MFTP), который обеспечивает прием и передачу транспортных конвертов между узлами сети ViPNet. SNMP-демон, который позволяет получать статистику работы ViPNet с удаленных хостов по протоколу SNMP (см. « Сбор информации о состоянии ПО ViPNet с использованием протокола SNMP » на стр. 155). Консольные утилиты, позволяющие просматривать информацию об объекте сети ViPNet, журнал IP-трафика, работать с конфигурациями настроек и т.п. ViPNet Coordinator Linux. Руководство администратора | 24 Основные режимы безопасности ПО ViPNet ПО ViPNet может работать в нескольких режимах безопасности. Каждый из этих режимов представляет собой определенный набор правил, по которым производится обработка зашифрованных и незашифрованных пакетов. Режим работы ПО ViPNet в ViPNet Coordinator Linux устанавливается отдельно для каждого сетевого интерфейса, что позволяет производить гибкую настройку в соответствии со способом использования. Существуют следующие режимы безопасности: 1 Блокировать IP-пакеты всех соединений Этот режим – самый жесткий и безопасный, он эквивалентен физическому отключению компьютера от открытых источников внешней сети. В данном режиме возможно только защищенное взаимодействие с сетевыми узлами. Установка этого режима на каком-либо сетевом интерфейсе приведет к полной блокировке как входящих, так и исходящих открытых IP-пакетов (локальных, широковещательных, транзитных и туннелируемых) на этом интерфейсе независимо от разрешающих сетевых фильтров. 2 Блокировать все соединения, кроме разрешенных В этом режиме обеспечивается защищенное взаимодействие с сетевыми узлами. Для открытых IP-пакетов установка данного режима на каком-либо сетевом интерфейсе обеспечивает пропуск открытых IP-пакетов, явно разрешенных сетевыми фильтрами. Остальной открытый трафик блокируется. 3 Пропускать все исходящие соединения, кроме запрещенных Этот режим предназначен для обеспечения более безопасной работы в Интернете с открытыми серверами и другими компьютерами. В данном режиме обеспечивается защищенное взаимодействие с сетевыми узлами. Для открытых IP-пакетов установка этого режима для какого-либо сетевого интерфейса обеспечивает блокировку пакетов, явно запрещенных сетевыми фильтрами, и пропуск пакетов, явно разрешенных сетевыми фильтрами. Для всех остальных открытых IP-пакетов, поступающих на сетевой интерфейс, работает следующее правило (правило бумеранга): o Через сетевой интерфейс разрешаются инициативные исходящие соединения, при этом драйвер ViPNet запоминает, на какой сетевой ресурс (по какому IP- ViPNet Coordinator Linux. Руководство администратора | 25 адресу, протоколу и номеру порта) происходит обращение, и обратно IP-пакеты пропускаются только с этого ресурса. o Весь остальной IP-трафик, в том числе с того же IP-адреса, но с другими параметрами (тип протокола, номер порта), будет заблокирован. o Если в течение определенного промежутка времени (который зависит от типа протокола) после инициации соединения с данного сетевого ресурса не поступил ответный IP-пакет, ПО ViPNet автоматически убирает разрешение на прохождение трафика, что приводит к невозможности атаки с указанного ресурса впоследствии. 4 Пропускать все соединения В этом режиме обеспечивается защищенное взаимодействие с сетевыми узлами. При установке данного режима на каком-либо сетевом интерфейсе будут пропускаться все открытые IP-пакеты (как входящие, так и исходящие) независимо от запрещающих сетевых фильтров. На интерфейсе, обеспечивающем доступ во внешнюю сеть (например, в Интернет), этот режим рекомендуется использовать только кратковременно при отладочных работах. 5 Пропускать IP-пакеты без обработки Этот режим полностью отключает работу драйвера ViPNet на данном сетевом интерфейсе. При этом защищенные пакеты не расшифровываются, поэтому защищенное взаимодействие с сетевыми узлами невозможно. Использовать этот режим не рекомендуется, за исключением специальных случаев, например, при организации управляющего канала в системе горячего резервирования. Как правило, такие случаи оговариваются в документации отдельно. Примечание. По умолчанию на всех интерфейсах Координатора устанавливается режим безопасности 2. Правила режимов безопасности 2, 3 и 4 применяются только к локальному и широковещательному открытому трафику, они не распространяются на транзитный и туннелируемый трафик. Транзитные и туннелируемые IP-пакеты в указанных режимах блокируются, если они явно не разрешены сетевыми фильтрами. В режимах безопасности 2, 3 и 4 запрещен доступ из открытой сети на следующие порты, которые являются служебными: входящие соединения на порты 2046, 2047, 5100, 5103, 10090, 10092, 10093, 10095, 10096, 10099; исходящие соединения с порта 2046. ViPNet Coordinator Linux. Руководство администратора | 26 Эти соединения блокируются служебными правилами открытой сети с номером события 30 (см. « События, отслеживаемые ПО ViPNet Coordinator Linux » на стр. 175). ПО ViPNet является в большой степени самонастраивающейся системой. В процессе своей работы управляющая программа ViPNet посылает специальные защищенные пакеты, которые позволяют компьютерам с этим ПО увидеть друг друга в локальной сети, сообщить друг другу о своих адресах, если они изменились. Чтобы компьютеры увидели друг друга в разветвленной сети, в ней должны функционировать несколько компьютеров, выполняющих функции Сервера IP-адресов. ViPNet Coordinator Linux. Руководство администратора | 27 Режимы работы ПО ViPNet через межсетевой экран Для обеспечения возможности работы сетевых узлов из любых точек сети в ПО ViPNet предусмотрены четыре режима работы через межсетевой экран: 1 Без использования межсетевого экрана – автономная работа без использования внешнего межсетевого экрана. 2 Координатор – работа узла через ViPNet-координатор. 3 Со статической трансляцией адресов – работа узла через внешний межсетевой экран (устройство) c трансляцией адресов (NAT), на котором возможна настройка статических правил трансляции адресов. 4 С динамической трансляцией адресов – работа узла через внешний межсетевой экран (устройство) c трансляцией адресов, на котором настройка статических правил трансляции адресов затруднительна или невозможна. Выбор режима работы для конкретного сетевого узла обусловлен особенностями реализации в сети ViPNet технологии оповещения и авторегистрации состояния узлов и их местонахождения в сети: каждый узел при включении в сеть сообщает на свой Координатор – Сервер IP- адресов (если узел - Клиент) или другие Координаторы (если узел - Координатор) необходимую информацию о своих адресах и способах доступа к ним; каждый узел при включении, а также в процессе работы получает от своего Координатора – Сервера IP-адресов (если узел - Клиент) или других Координаторов (если узел - Координатор) необходимую информацию об адресах других узлов, связанных с ним, и способах доступа к этим адресам. Если узел имеет IP-адрес, доступный по общим правилам маршрутизации пакетов в IP- сети со стороны любых других узлов, с которыми этот узел должен взаимодействовать, например, имеет реальный адрес в сети Интернет или корпоративной сети, то этому узлу достаточно сообщить другим узлам только свои IP-адреса. В этом случае следует выбрать режим Без использования межсетевого экрана. Данный режим необходимо выбрать для Координатора в аналогичной ситуации, чтобы он мог проксировать другие узлы, т.е. ViPNet Coordinator Linux. Руководство администратора | 28 чтобы другие узлы могли работать в режиме Координатор, используя данный узел в качестве ViPNet-прокси. Если узел имеет частный IP-адрес, по которому в соответствии с общими правилами маршрутизации нельзя получить доступ со стороны некоторых других узлов, то есть на выходе во внешнюю сеть установлен межсетевой экран или иное устройство, выполняющее преобразование адресов (NAT), то другие узлы должны узнать о данном узле существенно больше информации. Для бесперебойного доступа к данному узлу потребуется не только информация об адресах этого узла, но также информация об адресах и портах доступа в данный момент через NAT-устройство. В этом случае необходимо выбрать для данного узла один из режимов работы с межсетевым экраном. Режим Координатор выбирается в случае, если в сети установлен ViPNet-координатор, который может работать автономно или через другие NAT-устройства. Режим Со статической трансляцией адресов выбирается в случае, если в локальной сети нет ViPNet-координатора, но на выходе во внешнюю сеть установлен межсетевой экран или иное NAT-устройство, на котором можно настроить статические правила NAT, обеспечивающие взаимодействие с определенным внутренним адресом сети по протоколу UDP с заданным портом. Режим С динамической трансляцией адресов выбирается в случае, если в локальной сети нет ViPNet-координатора, но на выходе во внешнюю сеть установлен межсетевой экран или иное NAT-устройство, на котором затруднительно настроить статические правила NAT. Следует отметить, что данный режим наиболее универсален, и узел в этом режиме будет работоспособен и при других способах подключения. Примечание. Если узлы находятся в одной локальной сети в области доступности друг друга по широковещательным пакетам, то независимо от выбранного режима работы взаимодействие между ними всегда осуществляется напрямую по IP-адресу узла. Подробное описание настройки каждого из режимов приведено в разделе Настройка режимов работы через межсетевой экран (на стр. 105). В любом из описанных режимов работы узла через межсетевой экран можно установить каждый его сетевой интерфейс в любой из режимов безопасности (см. « Основные режимы безопасности ПО ViPNet » на стр. 24). ViPNet Coordinator Linux. Руководство администратора | 29 Установка ViPNet Coordinator Linux и обновление версии ПО Системные требования 30 Использование патча ядра 35 Использование технологии NETFILTER 38 Инсталляция ПО ViPNet Coordinator Linux 40 Ручное конфигурирование ViPNet Coordinator Linux 44 Обновление версии ПО ViPNet Coordinator Linux 48 2 ViPNet Coordinator Linux. Руководство администратора | 30 Системные требования Для установки ПО ViPNet Coordinator Linux необходим компьютер с процессором Pentium-III 450 MHz или выше, не менее 300 Мбайт свободного места на жестком диске, не менее 128 Мбайт оперативной памяти. На компьютере должна быть установлена ОС Linux одного из следующих дистрибутивов: RedHat Enterprise Linux 4.0 AS (кроме ядра 2.6.9-5.EL-hugemem-i686); RedHat Enterprise Linux 5.4; OpenSUSE 11.2 Desktop; SUSE Linux Enterprise Server 10; SUSE Linux Enterprise Server 10 SP1, SP2, SP3; SUSE Linux Enterprise Server 11; Slackware Linux 10.2 (только ядро 2.4.31); Slackware Linux 12.0 (только ядро 2.6.16.52 с FTP-сервера ftp://kernel.org ); Slackware Linux 12.2; Ubuntu 8.04 LTS Desktop; Ubuntu 9.10 Desktop; Debian Lenny 5.0; ALT Linux 4.0 Server; ALT Linux 4.0 Desktop. Внимание! Все поддерживаемые дистрибутивы ОС Linux должны быть для 32- разрядной архитектуры! Работа ПО на других дистрибутивах Linux возможна, но не гарантируется. Также не гарантируется нормальная работа ПО ViPNet Coordinator Linux на одном компьютере ViPNet Coordinator Linux. Руководство администратора | 31 совместно со сторонними средствами преобразования трафика, со сторонними средствами защиты, работающими на канальном, сетевом или транспортном уровне (в частности, ipchains и iptables), и со сторонними средствами шифрования трафика (IPSec и т.д.). В системе должно использоваться ядро Linux из подмножества версий 2.4.x (от 2.4.2 до 2.4.31 включительно), 2.6.х (до 2.6.32 включительно) или ядро из подмножества версий 3.0 по 3.2 включительно, в которые не было внесено изменений по сравнению с kernel.org Примечание. При использовании патча ядра в качестве метода перехвата сетевых пакетов драйвером ViPNet (см. « Использование патча ядра » на стр. 35) не поддерживается совместимость с исходными текстами ядер Linux, которые поставляются в составе дистрибутивов. В этом случае гарантируется совместимость только с официальными версиями ядер Linux с FTP-сервера ftp://kernel.org Установка производится пользователем, имеющим права администратора (root, user ID = 0). При установке необходимо иметь доступ к консоли компьютера, на котором устанавливается ПО ViPNet Coordinator Linux, поскольку до окончательной настройки необходимых параметров компьютер может оказаться недоступным по сети. Для установки необходимо иметь: дистрибутив ПО ViPNet Coordinator Linux; дистрибутив ключевых баз, которые будут использоваться на данном компьютере. Эти ключевые базы необходимо получить от администратора сети ViPNet. Кроме того, администратор должен сообщить пароль, который будет использоваться для доступа к ключевым базам. ViPNet Coordinator Linux работает в тесном взаимодействии с другими компонентами ViPNet (ЦУС, УКЦ), которые работают под ОС Windows, при этом через систему удаленного обновления на узел с установленным ViPNet Coordinator Linux пересылаются некоторые файлы, содержащие ключи и другую информацию. Поскольку в Windows, в отличие от Linux, имена файлов и каталогов не являются чувствительными к регистру символов, то реальное имя файла в Windows может содержать строчные или заглавные буквы в зависимости от многих факторов, не всегда зависящих от создающей их программы. Поэтому ViPNet Coordinator Linux преобразует все используемые имена файлов и каталогов в нижний регистр. Для того, чтобы избежать потенциальных проблем, необходимо соблюдать несложное правило: все имена каталогов, в которые распаковывается дистрибутив ViPNet Coordinator Linux, в которых хранятся ключевые базы и т.п., должны содержать только латинские символы нижнего ViPNet Coordinator Linux. Руководство администратора | 32 регистра, цифры, а также знаки дефис, подчеркивание и т.п. Не используйте заглавные символы в этих именах. Перед установкой ПО необходимо проверить наличие необходимых системных компонентов и установить те из них, которые не установлены. Инсталлятор ViPNet не проверяет наличие в системе этих компонентов (кроме утилиты ethtool), и при попытке установки ПО на компьютере, где их нет, система может оказаться в неработоспособном состоянии. Для работы ПО необходимы следующие установленные пакеты: Название пакета Версия, не ниже Версия, не выше Ядро Linux серии 2.4.х или 2.4.2 2.4.31 Ядро Linux серии 2.6.х 2.6.0 2.6.32 Ядро Linux серии 3.x 3.0 3.2 awk – утилита для обработки текстовых данных 3.1.5 bash – командный интерпретатор 1.10 cron – системный планировщик задач, необходим автоматический запуск при старте системы для работы функционала ротации логов 3.0 ethtool – утилита конфигурирования параметров сетевых интерфейсов 1.3 fileutils – пакет для работы с файлами 4.0 grep – программа анализа строк 2.3 logrotate – утилита ротации логов 3.0 modutils – пакет для работы с модулями 2.1 net-tools – программы работы с сетью 1.53 psmisc – программы работы с процессами 18.3 sed – потоковый текстовый редактор 4.0.9 sh-utils – пакет для командного интерпретатора 2.0 sysklogd – менеджер системных логов 1.3 ViPNet Coordinator Linux. Руководство администратора | 33 Для установки ПО дополнительно к указанным необходимы следующие пакеты (их можно удалить после успешной установки): Название пакета Версия, не ниже Версия, не выше Заголовочные файлы ядра Linux серии 2.4.х (исходные тексты в случае использования технологии patch для перехвата сетевых пакетов), или 2.4.2 2.4.31 Заголовочные файлы ядра Linux серии 2.6.х (исходные тексты в случае использования технологии patch для перехвата сетевых пакетов) 2.6.0 2.6.32 Заголовочные файлы ядра Linux серии 3.x (исходные тексты в случае использования технологии patch для перехвата сетевых пакетов) 3.0 3.2 build-essential (для дистрибутива Ubuntu 8.04 LTS Desktop) 11.3 gcc – компилятор Си Серии 3.х не ниже 3.2 Серии 4.х не ниже 4.0.2 glibc-2.3.5, glibc-2.3.5-profile (для дистрибутива Linux Slackware 10.2) 2.3.5 gzip – компрессор файлов 1.2 make – обработчик скриптов сборки 3.75 tar – архиватор 1.13 patch – программа установки патча 2.5 В случае использования в ОС Linux оболочки интерпретатора, отличного от bash (например, в Ubuntu 8.04 по умолчанию используется dash ), для корректной установки ПО необходимо установить в качестве оболочки интерпретатора bash . Проверить текущую оболочку интерпретатора можно с помощью команды ls –l /bin/sh – символическая ссылка указывает на текущую оболочку интерпретатора. Для изменения оболочки интерпретатора, в частности для Ubuntu 8.04, необходимо выполнить команду dpkg-reconfigure dash . При этом нужно отрицательно ответить на вопрос использования dash и выбрать в качестве оболочки bash ViPNet Coordinator Linux. Руководство администратора | 34 Дополнительные требования для OpenSUSE 11.2 Desktop Для успешной установки ПО ViPNet Coordinator Linux на компьютере с ОС Linux OpenSUSE 11.2 Desktop требуются дополнительные настройки. Эти настройки выполняются с помощью пакета YaST, входящего в дистрибутив OpenSUSE 11.2 Desktop. Перед установкой ПО выполните следующее: 1 Удалите пакет kernel-desktop , разрушая все зависимости. Внимание! После удаления пакета в ответ на предложение перезагрузить систему откажитесь от перезагрузки! 2 Установите пакет kernel-desktop заново. 3 Найдите в репозитории пакет kernel-desktop-devel и установите его. ViPNet Coordinator Linux. Руководство администратора | 35 Методы перехвата сетевых пакетов В настоящий момент ViPNet Coordinator Linux поддерживает два метода перехвата сетевых пакетов: использование патча ядра и использование технологии NETFILTER. Первый метод требует, чтобы перед установкой ПО был установлен специальный патч ядра, поставляемый с дистрибутивом ViPNet Coordinator Linux. После установки патча ядро Linux необходимо пересобрать, и только после этого производить установку ViPNet Coordinator Linux. Кроме того, при использовании данного метода не поддерживается совместимость с исходными текстами ядер Linux, которые поставляются в составе дистрибутивов. В случае использования технологии NETFILTER установка патча не требуется, функционал перехвата пакетов является стандартным компонентом любого из поддерживаемых ядер Linux. В большинстве случаев необходимые параметры ядра включены по умолчанию, и пересборка ядра не требуется. При выборе данного метода перехвата пакетов можно использовать ядра, поставляемые с поддерживаемыми дистрибутивами Linux, а не только официальные версии ядер. Выбор метода встраивания ViPNet Coordinator Linux остается за пользователем. В случае включения обоих описанных выше методов в процессе работы ViPNet Coordinator Linux будет использоваться патч ядра. Если в процессе работы требуется изменить метод перехвата пакетов, то необходимо активировать нужный метод и переустановить ViPNet Coordinator Linux. Использование патча ядра При использовании данного метода перехвата сетевых пакетов не поддерживается совместимость с исходными текстами ядер Linux, которые поставляются в составе дистрибутивов. Создатели дистрибутивов вносят в них изменения, часто непродуманные, которые приводят к неправильной сборке и работе модулей ядра, собранных для работы на стандартном ядре. Компания Инфотекс гарантирует совместимость и рекомендует всегда загружать только официальную версию ядра Linux с FTP-сервера ftp://kernel.org (последнее ядро нужной серии), и именно ее пересобирать под свои нужды и устанавливать на ней ПО ViPNet. Также необходимо помнить, что пересобирать ядро и устанавливать ViPNet Coordinator Linux нужно обязательно с использованием одной и той же версии компилятора. Для установки патча ядра Linux выполните следующее: 1 Распакуйте дистрибутив ViPNet Coordinator Linux в любой каталог командой tar xvfz . При распаковке будет создан каталог distribute , внутри которого в подкаталоге patch находятся патчи для разных версий ядра Linux. ViPNet Coordinator Linux. Руководство администратора | 36 2 Убедитесь, что в каталоге /usr/src/linux находятся исходные тексты для используемой версии ядра. 3 Скопируйте файл патча для используемой версии ядра Linux из каталога distribute/patch в каталог /usr/src . В настоящий момент поддерживаются ядра серии 2.4.х и 2.6.х. В зависимости от используемой версии ядра выберите соответствующий ей файл патча: o для версий 2.4.х по 2.4.19 – файл iplir.patch.2.4.x ; o для версий 2.4.20 и выше – файл iplir.patch.2.4.20 ; o для версий 2.6.х по 2.6.12 – файл iplir.patch.2.6.x ; o для версий 2.6.13 по 2.6.26 – файл iplir.patch.2.6.13 ; o для версий 2.6.27 и выше – файл iplir.patch.2.6.27+ ; o для версии 3.x и выше – файл iplir.patch.2.6.39+ 4 Войдите в каталог /usr/src и установите патч командой patch –p0 < файл_патча Если программа patch сообщает об ошибках при установке патча, это означает, что либо ядро Linux на компьютере не относится к сериям 2.4.х, 2.6.х или 3.x, либо оно содержит какие-либо нестандартные модификации, либо неправильно выбран файл патча. В этом случае необходимо установить стандартное ядро Linux серии 2.4.х, 2.6.х или 3.x, выбрать правильный файл в соответствии с изложенным выше, либо выбрать другой способ перехвата пакетов. Если патч установился нормально, то необходимо войти в каталог /usr/src/linux и запустить конфигуратор ядра – командой make menuconfig для текстового режима или make xconfig для графического. В конфигураторе нужно установить следующие опции: В разделе Networking options необходимо включить опцию IpLir Crypting network driver. Для ядер версий 2.6.27 и выше эта опция называется ViPNet low-level packet filter infrastructure. Если опция включена, то будет доступна расположенная под ней опция Block all packets when ViPNet drivers are not loaded. Включение данной опции позволяет обеспечить безопасность компьютера при старте ОС, т.к. до загрузки ПО ViPNet Coordinator Linux все сетевые пакеты будут блокироваться. В разделе Loadable module support необходимо включить опцию Loadable module support. Рекомендуется включить также опцию Set version information on all symbols in module, что позволяет избежать потенциальных проблем при последующем обновлении ядра. Включение этой опции не является обязательным, однако не рекомендуется выключать ее, если Вы не являетесь профессиональным ViPNet Coordinator Linux. Руководство администратора | 37 администратором Linux и не очень хорошо представляете себе, зачем это нужно. Для ядер серии 2.6.х данная опция называется Module versioning support. Остальные опции устанавливаются по желанию администратора и в соответствии со здравым смыслом. После выхода из конфигуратора нужно собрать ядро. Для этого для ядер серии 2.4.х выполните следующие команды в приведенной последовательности: make dep make bzImage make modules make install make modules_install Для ядер серии 2.6.х и 3.x выполните следующие команды в приведенной последовательности: make make install make modules_install Внимание! После установки ядра проверьте, чтобы файл /boot/System.map<версия_ядра> или, в случае его отсутствия, файл /boot/System.map соответствовал собранному ядру. Убедитесь, что после перезагрузки будет загружено только что собранное ядро, для чего произведите необходимые изменения в файлах /etc/lilo.conf и других, если это будет необходимо. Перезагрузите систему. Проверить наличие патча в загруженном ядре серии 2.4.х можно следующей командой: ksyms –a | grep set_packet_filter | wc –l Если эта команда выдает 1 или большее число, все установлено правильно, если 0, то патч не был нормально установлен или загружено не то ядро, которое пересобиралось. Для ядер серии 2.6.х и 3.x проверить наличие патча можно следующей командой: cat /proc/kallsyms | grep set_packet_filter | wc –l или, если файл /proc/kallsyms отсутствует, командой: cat /boot/System.map–`uname -r` |grep set_packet_filter | wc –l ViPNet Coordinator Linux. Руководство администратора | 38 Если эта команда выдает 1 или большее число, все установлено правильно, если 0, то патч не был нормально установлен или загружено не то ядро, которое пересобиралось. Использование технологии NETFILTER При использовании данного метода перехвата сетевых пакетов можно использовать как ядра, поставляемые в комплекте с поддерживаемыми дистрибутивами, так и официальные версии ядер Linux. В большинстве случаев при использовании ядер, поставляемых в комплекте дистрибутива Linux, параметры ядра, необходимые для использования NETFILTER, уже включены по умолчанию и пересборка ядра не требуется. Для проверки функционирования NETFILTER необходимо выполнить следующую команду: Для ядер серии 2.4.х ksyms –a | grep nf_reinject | wc –l Для ядер серии 2.6.х и 3.x cat /proc/kallsyms | grep nf_reinject | wc –l или, если файл /proc/kallsyms отсутствует cat /boot/System.map–`uname -r` |grep nf_reinject | wc –l Если эта команда выдает 1 или большее число, то NETFILTER включен и пересборка ядра не требуется, если 0, то необходимо сконфигурировать ядро с поддержкой NETFILTER и пересобрать его. Для включения поддержки NETFILTER в ядре необходимо установить исходные тексты используемого ядра. Рекомендуется использовать официальную версию ядра Linux с FTP-сервера ftp://kernel.org , так как сборка ядра из исходных текстов, поставляемых с дистрибутивом Linux, не всегда проходит корректно. Далее нужно зайти в каталог с установленными исходными текстами ядра и запустить конфигуратор ядра – командой make menuconfig для текстового режима или make xconfig для графического режима. В конфигураторе нужно установить следующие опции: В разделе Networking options необходимо включить опцию Network packet filtering. В разделе Netfilter Configuration необходимо выключить опцию IP tables support. После выхода из конфигуратора нужно собрать ядро. Для этого для ядер серии 2.4.х выполните следующие команды в приведенной последовательности: ViPNet Coordinator Linux. Руководство администратора | 39 make dep make bzImage make modules make install make modules_install Для ядер серии 2.6.х и 3.x выполните следующие команды в приведенной последовательности: make make install make modules_install Внимание! После сборки ядра проверьте, чтобы файл /boot/System.map<версия_ядра> или, в случае его отсутствия, файл /boot/System.map соответствовал собранному ядру. Убедитесь, что после перезагрузки будет загружено только что собранное ядро, для чего произведите необходимые изменения в файлах /etc/lilo.conf и других, если это будет необходимо. Перезагрузите систему. Проверьте функционирование NETFILTER приведенным выше способом. Внимание! При использовании технологии NETFILTER с некоторыми дистрибутивами Linux без пересборки ядра необходимо установить ряд пакетов, требуемых для сборки драйверов ViPNet. Ниже приведен перечень данных пакетов. Название дистрибутива Название пакета SUSE Linux Enterprise Server 10.0 kernel-source-2.6.16.21-08 Slackware Linux 10.2 kernel-source-2.4.31-noarch-1 ViPNet Coordinator Linux. Руководство администратора | 40 Инсталляция ПО ViPNet Coordinator Linux Для запуска программы инсталлятора войдите в каталог distribute , где находится распакованный дистрибутив ПО ViPNet Coordinator Linux, и выполните команду install.sh . Инсталлятор производит окончательную сборку драйверов, установку драйверов в системе, а также установку прикладных программ и конфигурирование ViPNet Coordinator Linux. Инсталляция состоит из следующих шагов: 1 Выбор дистрибутива ПО ViPNet Coordinator Linux. На данном шаге инсталлятор выполняет поиск доступных для установки дистрибутивов в текущем каталоге. В стандартном случае в текущем каталоге находится только один доступный дистрибутив distribute.tar.gz , который и будет предложен инсталлятором для установки. В специфических случаях может возникнуть необходимость выбора другого дистрибутива. В этом случае следует указать каталог для поиска дистрибутива, повторить поиск и выбрать нужный дистрибутив. 2 Распаковка выбранного дистрибутива. После успешного выбора дистрибутива инсталлятор производит его распаковку во временный каталог и после завершения распаковки выводит лицензионное соглашение. Переход к следующему шагу инсталляции возможен только после подтверждения пользователем согласия с лицензионным соглашением. 3 Анализ текущей установленной конфигурации ViPNet. На этом шаге производится поиск установленной конфигурации ViPNet. Если такая конфигурация найдена, то пользователю задается вопрос – хочет ли он использовать текущую конфигурацию. В случае положительного ответа конфигурация сохраняется, в случае отрицательного ответа в процессе дальнейшей установки будет предложено выбрать новую конфигурацию. 4 Подготовка к установке. На данном шаге выполняется ряд дополнительных проверок и других действий, необходимых для дальнейшей установки (определение метода перехвата пакетов, поддержка дистрибутива Linux, компилятора, проверка доступного места на жестком диске и т.д.). ViPNet Coordinator Linux. Руководство администратора | 41 Примечание. На данном шаге производится анализ наличия требуемых для установки пакетов (см. « Системные требования » на стр. 30). Если требуемый пакет не найден в системе, инсталлятор завершает работу с выводом соответствующего сообщения. Переход к следующему шагу возможен лишь при успешном окончании подготовительного этапа. 5 Выбор конфигурации ViPNet. Если инсталляция производится на компьютер с уже установленным ПО и версия устанавливаемого ПО меньше версии установленного, то на данном шаге инсталлятор производит поиск rollback-конфигурации, у которой версия меньше или равна версии устанавливаемого ПО (см. « Откат на предыдущую версию ПО ViPNet Coordinator Linux » на стр. 51). После этого инсталлятор сообщает пользователю, что производится установка поверх более новой версии, и файлы конфигурации, возможно, не будут восприняты устанавливаемой версией без дополнительного редактирования вручную. Если была найдена подходящая сохраненная rollback- конфигурация, то инсталлятор сообщает также, что можно восстановить подходящие для данной версии файлы конфигурации из базы данных, и выводит название конфигурации, дату сохранения и версию ПО. Затем пользователю предлагается выбор из трех вариантов: o оставить текущие файлы конфигурации; o восстановить конфигурацию из базы данных (этот вариант предлагается, если конфигурация была найдена): o прервать установку. В большинстве случаев для правильной работы ПО рекомендуется восстановить конфигурацию из базы данных, если таковая была найдена. 6 Установка драйверов. На этом шаге производится окончательная компиляция драйверов под текущее ядро Linux и их установка. 7 Установка приложений. На данном шаге производится установка приложений, скриптов, файлов конфигурации, конфигурация стартовых скриптов. 8 Сохранение параметров автоматического старта приложений. В случае, если на 3-ем шаге была обнаружена текущая установленная конфигурация ViPNet и пользователь решил ее сохранить, то после успешного окончания 7-го шага пользователю будет предложено стартовать службы ViPNet. На этом процесс ViPNet Coordinator Linux. Руководство администратора | 42 инсталляции завершается. Если пользователь отказался стартовать службы, то он должен запустить их вручную или перезагрузить компьютер. 9 Выбор файла конфигурации ViPNet (дистрибутив ключевых баз). На данном шаге инсталлятор выполняет поиск доступных файлов конфигурации (файл с расширением .dst ) в текущем каталоге. Пользователю также предлагается выбрать другой каталог для поиска или закончить установку. В случае завершения установки на текущем шаге пользователю необходимо будет выбрать файл конфигурации вручную и распаковать его в выбранный каталог командой /sbin/unmerge , а затем сконфигурировать ViPNet (см. « Ручное конфигурирование ViPNet Coordinator Linux » на стр. 44). 10 Выбор каталога для установки конфигурации. Если на 3-ем шаге была обнаружена текущая установленная конфигурация, то пользователю будет предложено перезаписать ее новой конфигурацией в том же каталоге. В случае отказа или если установленной конфигурации найдено не было, пользователю будет предложено выбрать каталог для установки конфигурации. После выбора каталога производится автоматическая распаковка файла конфигурации в этот каталог. Примечание. Если на разделе жесткого диска, на который распаковывается дистрибутив ключевых баз, свободного места меньше, чем необходимо, выводится сообщение об ошибке и инсталляция завершается. 11 Аутентификация пользователя. Для успешного окончания установки необходимо ввести правильный пароль пользователя для выбранной конфигурации ViPNet. После ввода пароля осуществляется его проверка и сохранение в зашифрованном виде в случае правильного пароля. Если проверка пароля не прошла, пользователю предлагается ввести пароль снова и т.д. Если пользователь отказывается от ввода пароля, то установка завершается некорректно. В этом случае для нормальной работы ПО ViPNet Coordinator Linux пользователю необходимо выполнить ручное конфигурирование (см. « Ручное конфигурирование ViPNet Coordinator Linux » на стр. 44). После успешного завершения последнего шага установки пользователю будет предложено стартовать службы ViPNet. На этом процесс инсталляции завершается. Если пользователь отказался стартовать службы, то он должен запустить их вручную или перезагрузить компьютер. ViPNet Coordinator Linux. Руководство администратора | 43 В процессе работы инсталлятора ведется протокол (лог) инсталляции, который находится в файле /var/log/vipnet_install.log , а также создается файл /var/log/vipnet_files.txt , в который записываются пути ко всем установленным файлам. В случае успешного завершения инсталляции эти файлы копируются в каталог с установленной конфигурацией ViPNet. ViPNet Coordinator Linux. Руководство администратора | 44 Ручное конфигурирование ViPNet Coordinator Linux В процессе работы инсталлятора пользователь может прервать его работу, как описано выше. Кроме того, после установки может возникнуть необходимость изменить конфигурацию. В этих случаях необходимо произвести ручное конфигурирование ViPNet Coordinator Linux. Ручное конфигурирование заключается в распаковке дистрибутива ключевых баз (если он еще не распакован) и настройке параметров окружения. Дистрибутив ключевых баз представляет собой один файл с расширением .dst Выберите (и создайте, если нужно) каталог, где будут храниться ключевые базы, и распакуйте их в этот каталог командой /sbin/unmerge . Затем отредактируйте файл /etc/iplirpsw , который указывает местоположение ключевых баз. Это текстовый файл, имеющий следующую структуру: первая строка – полный путь к каталогу, где находятся ключевые базы, вторая строка – пароль доступа к этим базам, остальные строки игнорируются. После инсталляции этот файл содержит две строки с примером синтаксиса данного файла, эти строки нужно удалить и вписать свои. Отредактируйте также файл /etc/iplirnetpsw , в котором задаются параметры доступа к защищенному сетевому узлу (см. « Программа просмотра информации о защищенном узле » на стр. 136). Начиная с версии 3.5.2, пароль хранится в файле /etc/iplirpsw в зашифрованном виде в целях безопасности. Указывать пароль в открытом виде можно, но после успешной аутентификации пользователя пароль будет зашифрован и в таком виде перезаписан. При откате на старую (более раннюю) версию необходимо после установки старой версии вручную заменить зашифрованный пароль в файле /etc/iplirpsw на незашифрованный. После редактирования этих основных файлов конфигурации нужно произвести установочный запуск управляющего демона, который создаст свои файлы конфигурации. Все манипуляции с управляющим демоном производятся с помощью скрипта iplir , который находится в каталоге /sbin . Рекомендуется добавить этот каталог в системную переменную PATH (если его там нет), тогда управляющий скрипт можно вызывать командой iplir . Если каталога /sbin нет в PATH, то скрипт iplir нужно вызывать командой /sbin/iplir . Некоторые командные оболочки, например tcsh , кэшируют содержимое каталогов, содержащихся в PATH, поэтому сразу после установки команда iplir может не работать, хотя каталог /sbin содержится в PATH. В этом случае нужно набрать команду этой оболочки, которая обновляет кэш (например, rehash для tcsh ). За более подробными инструкциями обратитесь к руководству по используемой командной оболочке. ViPNet Coordinator Linux. Руководство администратора | 45 Установочный запуск управляющего демона производится командой iplir check . При этом управляющий демон не остается в памяти, а создает свои файлы конфигурации и завершает работу. Созданные файлы находятся внутри каталога, содержащего ключевые базы, в подкаталоге user . Создается один основной файл, который называется iplir.conf , и по одному файлу конфигурации для каждого сетевого интерфейса, который присутствует на компьютере, файлы имеют имена iplir.conf-eth0 , iplir.conf-eth1 и т.д. Файл iplir.conf содержит установки, общие для всех интерфейсов и касающиеся защищенной сети. Основное его содержание – это список защищенных узлов, с которыми данный компьютер может связываться, а также настройки для собственного узла. Этот набор узлов определяется администратором сети ViPNet, и пользователь не может сам добавить в этот список какой-либо узел или удалить его из списка. Однако можно редактировать настройки (разрешенные для редактирования) для каждого объекта защищенной сети – его адреса, фильтры, которые будут использоваться при соединении с ним, и т.д. Файлы iplir.conf-<интерфейс> содержат информацию, специфичную для каждого интерфейса. Это режим безопасности и настройки журнала трафика. Кроме этого, после выполнения команды iplir check создается файл firewall.conf , содержащий правила обработки открытых пакетов. Этот файл создается с набором правил по умолчанию. Подробное описание настройки правил обработки открытых пакетов и правил по умолчанию приведено в Главе 6 (см. « Настройка правил обработки открытых IP-пакетов » на стр. 79). Перед началом работы необходимо просмотреть конфигурационные файлы и отредактировать их так, чтобы информация в них соответствовала действительности. При формировании дистрибутива ключевых баз администратор задает IP-адреса и другие установки для каждого узла защищенной сети, но по недосмотру администратора информация может оказаться неверной или устаревшей. Если данный узел не единственный Координатор в сети, то необходимо, чтобы были верно заданы адреса всех других Координаторов, с которыми данному Координатору разрешено соединяться. Подробнее редактирование файлов конфигурации описывается ниже. Затем нужно запустить управляющий демон командой iplir start . Эта команда также загружает драйвер ViPNet, если он не был загружен ранее. Демон запускается в фоновом режиме. Проверить его наличие в памяти можно командой ps afx |grep –v grep |grep iplircfg |wc –l . Если эта команда выдает число больше нуля, то управляющий демон запущен. Управляющий демон может не запуститься по нескольким причинам: испорченный дистрибутив, неправильно указанный пароль в файле /etc/iplirpsw и т.п. При старте и последующей работе управляющий демон посылает информационные сообщения и ViPNet Coordinator Linux. Руководство администратора | 46 сообщения об ошибках в syslog , используя facility "daemon" и level "err" для ошибок или « info" для информационных сообщений. Кроме того, при старте сообщения об ошибках дублируются на консоль. Обычно системный журнал находится в файле /var/log/messages Если управляющий демон запустился, то проверить функционирование защищенной сети можно, например, с помощью команды ping , посылая пакеты до какого-либо защищенного узла, о котором точно известно, что его адрес задан верно в файле iplir.conf . Если приходят ответные пакеты, то сеть функционирует нормально. Если не удается связаться с каким-либо защищенным узлом, то нужно отредактировать файлы конфигурации, как описано ниже. Если все работает, то нужно перезагрузить систему и проверить, запускается ли ПО ViPNet при загрузке. В случае успешной установки при загрузке запускаются драйверы ViPNet и демон системы защиты от сбоев failoverd (см. « Система защиты от сбоев » на стр. 120), который в свою очередь стартует управляющий демон (iplircfg) и демон транспортного модуля MFTP (mftpd). При этом система полностью готова к работе в защищенной сети без каких-либо действий со стороны оператора. Дополнительная информация об изменениях, производимых в системе при установке ПО ViPNet Coordinator Linux, приведена в Приложении (см. « Изменения, производимые в системе при установке и удалении ViPNet Linux » на стр. 169). Если при уже установленном ПО ViPNet Coordinator Linux решено пересобрать ядро Linux, то после установки нового ядра ПО ViPNet не будет работать и его необходимо будет переустановить. Примерный алгоритм пересборки ядра в таком случае следующий: Сохраните файлы конфигурации ПО ViPNet Coordinator Linux ( /etc/iplirpsw , /etc/iplirnetpsw , /etc/failover.ini , /etc/iplirSKnums ). Запустите скрипт /sbin/rmiplir , который удалит ПО ViPNet Coordinator Linux из системы. Перезагрузите систему. Пересоберите и установите ядро. Перезагрузите компьютер с новым ядром. Установите ПО ViPNet Coordinator Linux из дистрибутива. Запишите в каталог /etc сохраненные файлы. Перезагрузите компьютер с установленным ПО ViPNet Coordinator Linux. ViPNet Coordinator Linux. Руководство администратора | 47 Кроме того, при пересборке ядра необходимо иметь в виду, что при изменении некоторых важных опций (таких, как Symmetric Multi-Processing Support) недостаточно просто изменить соответствующую установку в меню конфигурации ядра и выполнить указанную выше последовательность команд для сборки ядра. В большинстве случаев при этом получается неработоспособное ядро. Даже выполнения команды make clean недостаточно для нормальной сборки. Примерный алгоритм сборки в этом случае следующий: Сохраните файл .config , содержащий конфигурацию ядра. Выполните команду make mrproper Запишите на место сохраненный файл .config Выполните команду make menuconfig и сделайте необходимые изменения. Выполните указанную выше последовательность команд для сборки ядра. Более подробно об этом можно прочитать в документации по ядру Linux. ViPNet Coordinator Linux. Руководство администратора | 48 Обновление версии ПО ViPNet Coordinator Linux Если необходимо заменить уже установленную на компьютере версию ПО ViPNet Coordinator Linux на более новую, выполните следующее: Скопируйте на компьютер дистрибутив новой версии и распакуйте его, как описано выше. Войдите в каталог distribute , где находится распакованный дистрибутив, и выполните команду install.sh (см. « Инсталляция ПО ViPNet Coordinator Linux » на стр. 40). Если в процессе работы инсталлятора будет предложено остановить запущенные службы ViPNet автоматически, то согласитесь с этим. В процессе инсталляции будет предложено сохранить текущую конфигурацию. Ответьте на данный вопрос положительно. После окончания инсталляции будет предложено запустить службы ViPNet автоматически. Если необходимо, чтобы службы стартовали сразу после инсталляции, то ответьте на данный вопрос положительно. Процесс обновления версии ПО ViPNet Coordinator Linux при работе узла в составе кластера горячего резервирования имеет ряд особенностей и подробно описан в документе «ViPNet Coordinator Linux. Система защиты от сбоев. Руководство администратора». ViPNet Coordinator Linux. Руководство администратора | 49 Удаление ViPNet Coordinator Linux и откат на предыдущую версию Удаление ViPNet Coordinator Linux 50 Откат на предыдущую версию ПО ViPNet Coordinator Linux 51 3 ViPNet Coordinator Linux. Руководство администратора | 50 Удаление ViPNet Coordinator Linux Если возникла необходимость полностью удалить ViPNet Coordinator Linux с компьютера, то нужно воспользоваться скриптом rmiplir , который помещается после установки в каталог /sbin . Этот скрипт не выгружает ПО ViPNet, перед его запуском нужно выгрузить службы и драйверы ViPNet вручную командами failover stop , mftp stop , iplir unload . Скрипт rmiplir необходимо запустить с параметром YES ( rmiplir YES ), что исключает возможность случайного удаления ViPNet Coordinator Linux. Скрипт rmiplir удаляет ПО ViPNet, файлы конфигурации в каталоге /etc , файлы устройств в каталоге /dev и т.п. Он не удаляет ключевые базы ViPNet. Если их необходимо удалить, это можно сделать вручную командой rm . Кроме того, не удаляется сам скрипт rmiplir – его также нужно удалить из каталога /sbin вручную. После удаления ViPNet Coordinator Linux необходимо перезагрузить систему. Если ПО ViPNet было выгружено вручную, то выполнять перезагрузку не обязательно. ViPNet Coordinator Linux. Руководство администратора | 51 Откат на предыдущую версию ПО ViPNet Coordinator Linux В некоторых случаях, когда после установки новой версии ПО ViPNet Coordinator Linux обнаруживаются какие-либо проблемы в ее работе, возникает необходимость отката на предыдущую версию ПО. При установке старой версии поверх более новой могут возникнуть проблемы, связанные с параметрами конфигурационных файлов, а именно – старые версии не понимают параметры, добавленные в более новые версии. Эту особенность необходимо учитывать при установке новой версии ПО и откате на более старые версии. Операцию сохранения и восстановления файлов конфигурации можно выполнить с помощью программы работы с конфигурациями ViPNet (см. « Программа работы с конфигурациями ViPNet » на стр. 142), для этого может быть использована частичная конфигурация ( |