Руководство по эксплуатации ru. Амбс. 58. 29. 12. 004 91 Компания "Код Безопасности", 2020. Все права защищены

Ср е дство кр и пто г р а ф и че ско й за щ и ты и нф о р м а ци и
СКЗИ "Континент-АП"
Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации
RU.АМБС.58.29.12.004 91

© Компания "Код Безопасности", 2020. Все права защищены.
Все авторские права на эксплуатационную документацию защищены.
Этот документ входит в комплект поставки изделия. На него распространяются все условия лицензионного соглашения. Без специального письменного разрешения компании "Код
Безопасности" этот документ или его часть в печатном или электронном виде не могут быть подвергнуты копированию и передаче третьим лицам с коммерческой целью.
Информация, содержащаяся в этом документе, может быть изменена разработчиком без спе- циального уведомления, что не является нарушением обязательств по отношению к пользователю со стороны компании "Код Безопасности".
Почтовый адрес: 115127, Россия, Москва, а/я 66
ООО "Код Безопасности"
Телефон: 8 495 982-30-20
E-mail: info@securitycode.ru
Web: https://www.securitycode.ru
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
2
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

Оглавление
Введение
5
Общие сведения
6
Назначение и основные функции
6
Принципы функционирования "Континент-АП"
7
Правила безопасности
8
Уровни безопасности
8
Ролевая аутентификация
8
Режим администратора
9
Сертификаты открытых ключей
9
Назначение ключевых носителей
10
Контроль целостности
10
Аудит
11
Установка, удаление и обновление
12
Установка
12
Удаление
15
Обновление
15
Изменение уровня безопасности
15
Настройка и эксплуатация
16
Ввод в эксплуатацию
16
Подготовка к работе
16
Запуск "Континент-АП"
16
Пользовательский интерфейс основного окна
17
Регистрация "Континент-АП"
17
Настройка подключений
20
О профилях подключений
20
Список профилей подключений
20
Параметры профиля подключения
21
Создание, редактирование и удаление профиля подключения
21
Подключение к серверу доступа
26
Автоматическое подключение с профилем по умолчанию
26
Подключение в ручном режиме
26
Разрыв соединения с сервером доступа
27
Вход в режим администратора
27
Управление сертификатами
28
Создание запроса
28
Импорт и удаление сертификатов
33
Импорт закрытого ключа
34
Просмотр сведений о сертификате
35
Управление CRL
35
Настройка CDP
35
Загрузка CRL
36
Управление работой "Континент-АП"
38
Настройка параметров работы "Континент-АП"
38
Просмотр событий
40
Контроль целостности
41
Приложение
43
Список поддерживаемых ОС семейства Linux
43
ОС Astra Linux SE 1.6. Особенности установки и настройки работы "Кон- тинент-АП"
44
Права пользователей и администраторов
45
Управление абонентским пунктом из командной строки
46
Команда add cdp
48
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
3
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

Команда add cert
48
Команда add connection
48
Команда add profile
49
Команда configure proxy
50
Команда configure settings
50
Команда connect
51
Команда del cert
51
Команда del connection
52
Команда del profile
52
Команда disconnect
52
Команда events
53
Команда import profile
53
Команда import
53
Команда modify connection
54
Команда modify profile
54
Команда request
55
Команда setparam
55
Команда show all
55
Команда show cert
55
Команда show profile
56
Команда show settings
56
Команда show stats
56
Команда update crl
56
Команда update keypass
56
Команда version
57
Файлы контроля целостности
57
Просмотр списка файлов, поставленных на контроль
57
Повторное создание списка файлов, подлежащих контролю
57
Перерасчет контрольных сумм
57
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
4
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

Введение
Руководство предназначено для пользователей и администратора изделия "Сред- ство криптографической защиты информации "Континент-АП". Версия 4 (испол- нения 4, 5, 6)" (далее — СКЗИ "Континент-АП", "Континент-АП", абонентский пункт). В нем содержатся сведения, необходимые для установки, настройки и эксплуатации СКЗИ "Континент- АП" на базе операционных систем (ОС) се- мейства Linux.
Сайт в интернете. Информация о продуктах компании "Код Безопасности"
представлена на сайте https://www.securitycode.ru/products/
Служба технической поддержки. Связаться со службой технической под- держки можно по телефону 8 800 505- 30- 20 или по электронной почте support@securitycode.ru
. Страница службы технической поддержки на сайте компании https://www.securitycode.ru/products/techsupport/
Учебные курсы. Освоить аппаратные и программные продукты компании "Код
Безопасности" можно в авторизованных учебных центрах. Перечень учебных центров и
условия обучения представлены на сайте компании https://www.securitycode.ru/company/education/training- courses/
. Связаться c представителем компании по вопросам организации обучения можно по элек- тронной почте education@securitycode.ru
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
5
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

Глава 1
Общие сведения
Назначение и основные функции
СКЗИ "Континент- АП" предназначено для установления защищенного соеди- нения и
обмена зашифрованными данными с
сервером доступа (СД) изделий "Аппаратно- программный комплекс шифрования "Кон- тинент". Версия 3.7" RU.88338853.501430.006, "Аппаратно- программный комплекс шифрования "Континент". Версия 3.9" RU.88338853.501430.022 (да- лее — АПКШ "Континент") и "Континент. Версия 4" RU.АМБС.58.29.12.001 (да- лее — "Континент" 4) через общедоступные (незащищенные) сети.
"Континент-АП" реализует следующие основные функции:
•
установление защищенного соединения и обмен зашифрованными данными с СД АПКШ "Континент" и "Континент" 4;
•
регистрация событий, связанных с функционированием абонентского пунк- та;
•
управление инфраструктурой открытых ключей;
•
контроль целостности программного обеспечения (ПО), передаваемой и хра- нимой информации.
"Континент-АП" реализуется в трех исполнениях:
•
исполнение
4
—
соответствует требованиям
ФСБ
России к
крип- тографическим средствам класса КС1;
•
исполнение
5
—
соответствует требованиям
ФСБ
России к
крип- тографическим средствам класса
КС2,
работает совместно с
сер- тифицированным ФСБ России программно-аппаратным комплексом "Соболь"
версий 3.0/3.1/3.2/4 (далее — ПАК "Соболь");
•
исполнение
6
—
соответствует требованиям
ФСБ
России к
крип- тографическим средствам класса
КС3,
работает совместно с
сер- тифицированными ФСБ России ПАК "Соболь" и СЗИ Secret Net LSP версии 1.8
и выше (далее — SN LSP).
СКЗИ "Континент-АП" устанавливается на компьютеры, удовлетворяющие следу- ющим системным требованиям:
Операционная система
Полный список поддерживаемых ОС для различных исполнений приведен в приложении на стр.
43
Процессор.
Оперативная память
В соответствии с требованиями ОС, установленной на компьютер
Жесткий диск (свободное место)
300 Мбайт
Привод
Привод DVD/CD-ROM
Дополнительное ПО
ПАК "Соболь" (для исполнений 5, 6);
SN LSP (для исполнения 6)
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
6
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

Внимание!
•
Все службы, реализующие штатные механизмы удаленного управления операционной систе- мой, должны быть отключены.
• Пропускная способность сетевого канала, по которому устанавливается соединение СКЗИ "Кон- тинент-АП" с СД, должна быть не менее 9,6 Кбит/с.
•
При использовании "Континент-АП" совместно с ПАК "Соболь" необходимо перед установкой "Континент-АП" установить этот продукт и выполнить его инициализацию согласно эксплуата- ционной документации.
• Если установка операционной системы была выполнена с применением менеджера логических томов (LVM), то работа ПО "Континент-АП" со средним и высоким уровнем безопасности не под- держивается из-за функциональных ограничений ПАК "Соболь".
"Континент-АП" представляет собой устанавливаемое на компьютер пользова- теля ПО, функционирующее совместно с АПКШ "Континент" и/или СКЗИ "Кон- тинент" 4.
Для подключения к СД пользователь создает защищенное соединение в соот- ветствии с настройками, переданными ему администратором. При этом обес- печивается зашифрование данных информационного обмена.
"Континент-АП" поддерживает соединение с СД по протоколу версий 3.Х и 4.Х.
При подключении к СД по версии протокола 3.Х:
•
для соединения могут использоваться протоколы TCP или UDP;
•
аутентификация пользователя выполняется с
помощью сертификата пользователя.
При подключении к СД по версии протокола 4.Х:
•
для соединения используется протокол TCP;
•
аутентификация пользователя выполняется с
помощью сертификата пользователя или логина и пароля учетной записи пользователя.
В процессе эксплуатации неизменность содержимого ПО СКЗИ "Континент-АП"
контролируется с помощью утилиты контроля целостности.
Для диагностки проблем в работе ПО используется утилита "Сбор диа- гностической информации".
Принципы функционирования "Континент-АП"
При подключении "Континент-АП" к СД выполняется процедура установления соединения в соответствии с протоколом TLS. В ее ходе осуществляется взаимная аутентификация "Континент-АП" и СД. Завершается процедура установления соединения генерацией сеансового ключа, который используется для шифро- вания трафика между "Континент-АП" и СД.
Для обмена данными между двумя абонентскими пунктами на первом этапе выполняется их аутентификация на СД. После этого зашифрованный трафик между абонентскими пунктами проходит через СД.
При аутентификации используются сертификаты X.509v3. Расчет хэш-функции выполняется по алгоритму ГОСТ Р 34.11- 94 или ГОСТ Р 34.11- 2012, фор- мирование и проверка электронной подписи — по алгоритму ГОСТ Р 34.10-2012.
Генерация закрытого ключа и формирование на его основе открытого при соз- дании запроса на получение сертификата удостоверяющего центра выполняется средствами встроенного криптопровайдера "Код Безопасности CSP".
В зависимости от требований, предъявляемых к доступу удаленных пользо- вателей к защищаемым ресурсам, на "Континент- АП" может использоваться произвольное количество подключений,
каждое из которых имеет ин- дивидуальную настройку параметров.
Например, если в состав защищаемой сети входит несколько СД, для соединения данного "Континент-АП" с каждым из них (для версии протокола 3.Х) исполь- зуется отдельный профиль подключения.
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
7
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

При использовании версии протокола соединения 4.Х в настройках профиля фор- мируется список подключений к доступным СД. Таким образом возможно со- единение с несколькими СД в рамках одного профиля.
Правила безопасности
1. Никому не передавайте ключевые носители с закрытыми ключами.
2. Во всех сложных ситуациях, связанных с работой СКЗИ "Континент-АП", кото- рые вы сами не в состоянии разрешить, обращайтесь к администратору. В
частности, если имеющихся прав доступа к ресурсам корпоративной сети недостаточно для эффективного выполнения должностных обязанностей,
обратитесь к администратору безопасности или другому должностному лицу,
отвечающему за распределение прав доступа к ресурсам.
Уровни безопасности
Программное обеспечение абонентского пункта устанавливается и функ- ционирует в соответствии с одним из трех вариантов, обеспечивающих необ- ходимый уровень безопасности:
•
низкий;
•
средний;
•
высокий.
В зависимости от выбираемого варианта установка имеет следующие осо- бенности:
Низкий
Устанавливаются:
• ПО абонентского пункта, включающее в себя биологический датчик случайных чисел;
• криптопровайдер "Код Безопасности CSP"
Средний
Требуется наличие платы и ПО ПАК "Соболь".
Устанавливаются:
• ПО абонентского пункта;
• криптопровайдер "Код Безопасности CSP".
В качестве физического датчика случайных чисел используется датчик из состава ПАК "Соболь"
Высокий
Требуется наличие платы и ПО ПАК "Соболь", и ПО SN LSP.
Устанавливаются:
• ПО абонентского пункта;
• криптопровайдер "Код Безопасности CSP";
• ПО SN LSP.
В качестве физического датчика случайных чисел используется датчик из состава ПАК "Соболь"
Ролевая аутентификация
В соответствии с требованиями безопасности пользователи абонентского пункта разделяются по ролям на администраторов и пользователей.
Администратор абонентского пункта
—
пользователь компьютера,
за- регистрированный с правами суперпользователя. Администратору доступны все функции, связанные с установкой, настройкой и работой абонентского пункта.
Пользователь абонентского пункта — любой зарегистрированный на ком- пьютере пользователь, не имеющий прав суперпользователя. Права пользова- теля при работе с абонентским пунктом ограничены.
Перечень функций, доступных каждой из ролей, приведен в Приложении
(стр.
45
).
Роль пользователя в абонентском пункте определяется по результатам аутенти- фикации при входе в систему.
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
8
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

Режим администратора
В работе абонентского пункта предусмотрен режим администратора, в котором пользователю становятся доступными функции управления абонентским пунк- том, требующие наличия прав суперпользователя.
По умолчанию "Континент-АП" запускается в обычном режиме. Для входа в ре- жим администратора пользователь должен выбрать в списке главного меню при- ложений нужную утилиту или "Континент- АП (Режим Администратора)" и ввести пароль, подтверждающий права суперпользователя.
После входа в режим администратора пользователю становятся доступными опе- рации, связанные с расширенными настройками "Континент-АП".
Сертификаты открытых ключей
Сертификат — это цифровой документ, содержащий информацию о владельце ключа, сведения об открытом ключе, его назначении и области применения, наз- вание центра сертификации и т. д. Сертификат заверяется цифровой подписью удостоверяющего центра сертификации.
В зависимости от используемого стандарта существуют различные форматы сер- тификатов. Абонентский пункт может работать со следующими форматами:
•
сертификаты в кодировках Distinguished Encoding Rules (DER) и Base- 64
(перевод двоичных данных в читаемый текст). Файл, содержащий один серти- фикат, обычно имеет расширение *.cer. В файлах с таким расширением хра- нятся сертификаты пользователя (как правило) и реже — сертификаты корневого центра сертификации;
•
сертификаты в формате PKCS 7 (обычно с расширением *.p7b). Могут со- держать несколько сертификатов, например, цепочку подтверждающих друг друга сертификатов. В таком формате обычно хранятся сертификаты кор- невого центра сертификации.
Сертификаты в файлах с расширением *.cer и *.p7b соответствуют стандарту
X.509v3 Международного телекоммуникационного союза (ITU-T).
Для работы СКЗИ "Континент-АП" требуются следующие сертификаты:
•
сертификат сервера доступа – для подтверждения подлинности сервера дос- тупа, взаимодействующего с абонентским пунктом;
•
сертификат удаленного пользователя – для аутентификации пользователя на сервере доступа;
•
корневой сертификат – для подтверждения подлинности сертификата сер- вера доступа и сертификата пользователя.
Пользователь получает сертификаты от администратора безопасности любым за- щищенным способом или на основании созданного им запроса. Запрос на по- лучение сертификата создается средствами программного обеспечения абонентского пункта. Одновременно с запросом генерируется закрытый ключ пользователя. Запрос в виде файла сохраняется в указанную пользователем пап- ку, ключевой контейнер с закрытым ключом сохраняется на ключевом носителе.
Система автоматически отслеживает статус сертификата — действителен или не- действителен. Недействительным сертификат может быть признан по следу- ющим причинам:
•
срок действия сертификата не наступил;
•
срок действия сертификата истек;
•
сертификат скомпрометирован;
•
отсутствует сертификат удостоверяющего центра.
Необходимо использовать только действительные сертификаты.
Предусмотрена проверка сертификатов СКЗИ "Континент- АП" по списку ото- званных сертификатов (CRL).
CRL загружается и обновляется с помощью средств "Континент-АП".
© КО МПА НИЯ
"КО Д Б Е ЗО ПА СНО СТИ"
9
СКЗИ "Континент-АП". Версия 4 (исполнения 4, 5, 6)
Руководство по эксплуатации

Назначение ключевых носителей
Персональный ключевой носитель, выдаваемый пользователю администра- тором, предназначен для хранения и передачи пользователю ключевой инфор- мации — контейнера с закрытым ключом и пароля к нему.
В качестве ключевых носителей в абонентском пункте могут использоваться аппаратные носители следующих типов:
•
USB-флеш-накопители;
•
USB-ключи и смарт-карты — Рутокен ECP, Рутокен Lite, Рутокен ECP 2.0, Ру- токен S, Esmart, Esmart GOST, JaСarta PKI, JaСarta GOST, JaСarta 2 GOST,
JaСarta GOST LT;
•
идентификаторы DS1995, DS1996.
Примечание. Для использования аппаратных носителей требуется установка их драйверов и со- путствующего ПО.

  1   2   3   4   5   6