Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под
 Скачать 7.28 Mb.
|
|
Имя абонента (Рис. 11.5). Значением параметра является имя, под которым БВМ управляющего изделия ЦУА зарегистрирован как абонент на БВМ управляемого изделия. Основной пароль (Рис. 11.5). Значением параметра является пароль этого абонента. Доп. пароль (Рис. 11.5). Значением параметра является пароль, который используется для дополнительной защиты от несанкционированного доступа к удаленному управлению (см. раздел 4.1.4, с. 134). Закончив заполнение бланков, следует нажать клавишу ЛКУ экран управления списком описателей (Рис. 11.1), что позволит проконтролировать измененный список описателей объектов управления. Внимание! После редактирования списка описателей рекомендуется сохранить обновленные данные на жестком диске маршрутизатора. Для сохранения надо выйти из режима Администратор сети и войти в этот режим снова, если требуется продолжить работу. 11.3. Управление удаленными изделиями защиты Чтобы приступить к удаленному управлению каким-либо из изделий защиты, следует, используя экран управления (Рис. 11.1), перевести в списке курсор на строку с описателем нужного изделия и нажать клавишу Рис. 11.6 Экран управления удаленным изделием Верхняя линия рамки экрана содержит имя объекта управления из его описателя (см. Рис. 11.3), нижняя линия рамки содержит IP-адрес управляемого изделия. В нижней части экрана размещается окно для сообщений программы управления. В средней части экрана приведены доступные для удаленного управления команды Администратора сети, объединенные в группы: Конфигурация, Операции, Журналы. 208 Глава 11. Работа изделия в режиме Администратор сети 11.3.1. Конфигурация Примечание. Команды группы Конфигурация доступны только при подключении блока ЛКУ к БНМ управляющего изделия. Получение конфигурации. Для получения конфигуратора работающего управляемого изделия надо на экране управления удаленным изделием (Рис. 11.6) выбрать команду Получить − переместить на нее курсор и нажать клавишу Выполнение команды начинается с установления соединения между управляющим и управляемым изделиями защиты. По завершении операции соединение разрывается, на экране (Рис. 11.6) в окне для сообщений программы управления появляется сообщение: «Задание: получить файл [config.ema] выполнено». Полученный с управляемого изделия конфигуратор сохраняется на жестком диске управляющего изделия. Редактирование конфигурации. Для редактирования полученного от управляемого изделия конфигуратора надо на экране управления удаленным изделием (Рис. 11.6) выбрать команду Редактировать − переместить на нее курсор и нажать клавишу Экран удаленного управления настройкой конфигуратора изделия (Рис. 11.7), выдаваемый на видеомонитор ЛКУ по этой команде, имеет тот же вид, что и экран главного меню программы управления при выполнении настройки локально управляемого изделия – в нем повторяются альтернативы главного меню подсистемы Настройка (см. Рис. 1.10, с. 18; раздел 1.3.4, с. 14). Для удобства работы экран удаленного управления настройкой конфигуратора отличается наличием фона (подложки) и информационных строк (см. Рис. 11.7). Настройки, которые можно выполнить с использованием экрана (Рис. 11.7), идентичны настройкам, выполняемым при варианте локального управления изделием, описанном в настоящем РНУ. Рис. 11.7 Экран удаленного управления настройкой конфигуратора изделия Перед началом процедуры редактирования конфигуратор удаленного изделия считывается в оперативную память и все вносимые в него изменения фиксируются только в оперативной памяти. Чтобы сохранить отредактированную администратором сети версию конфигуратора на жестком диске, надо, завершив редактирование, нажать клавишу Рис. 11.8 Запрос на подтверждение сохранения внесенных в конфигуратор изменений После подтверждения конфигуратор управляемого изделия будет сохранен на жестком диске управляющего изделия. Работа программы управления вернется на экран управления удаленным изделием (Рис. 11.6). Отправка конфигурации. Для отправки конфигуратора на управляемое изделие служит команда Отправить (Рис. 11.6). По этой команде будет установлено соединение между управляющим и управляемым изделиями и конфигуратор будет передан на управляемое изделие. После выполнения операции соединение разрывается и на экране появляется сообщение: «Задание: отправить файл [config.ema]выполнено». Большая часть внесенных в конфигуратор изменений начинает действовать немедленно, но некоторые изменения – только после перезапуска изделия. Поэтому после отправки и получения конфигуратора следует выдать команду Перезагрузить в окне управления (Рис. 11.6). Если команды на перезапуск управляемого изделия не будет, то параметры измененного конфигуратора в полном объеме войдут в действие после планового перезапуска управляемого изделия. Тестирование. Измененный конфигуратор можно отправить на управляемое изделие в режиме тестирования с помощью команды Тестировать (Рис. 11.6). По этой команде полученный на управляемом изделии Глава 11. Работа изделия в режиме Администратор сети 209 конфигуратор вводится в действие временно – на 5 минут. Если в течение 5 минут на ЦУА не будет дана команда Отправить, то на управляемом изделии будет выполнена перезагрузка со старыми параметрами. Этой возможностью следует пользоваться в тех случаях, когда есть сомнения в правильности вносимых изменений, особенно при редактировании маршрутных таблиц, так как ошибки в них могут привести к тому, что будет потеряна связь с удаленным изделием, т. е. внесенные в конфигуратор удаленного изделия ошибки нельзя будет исправить, используя канал связи с ЦУА. Замечание. Соединение между изделиями защиты во время получения или отправки конфигуратора можно прервать с помощью команды Прервать соединение экрана управления удаленным изделием (Рис. 11.6). 11.3.2. Работа в режиме удаленной консоли изделия Существует некоторый набор действий, которые нельзя выполнить простым чтением-изменением-записью конфигуратора управляемого изделия. Например: - нельзя отследить оперативную трассировочную информацию, проходящую через удаленное изделие; - нельзя выполнить оперативную наладку и настройку; - при неработоспособности сетевых интерфейсов найти причины можно только выполнением тестовых команд на самом изделии. Если требуется выполнить какие-либо из перечисленных действий, надо войти на управляемое изделие в режиме удаленной консоли. Для этого, используя экран управления удаленным изделием (Рис. 11.6), следует выбрать команду Удаленная консоль группы команд Операции. В ответ будет установлено соединение между управляющим и управляемым изделиями, а на видеомониторе ЛКУ управляющего изделия появится удаленная консоль управляемого изделия (на нижней рамке экрана при этом выводится имя управляемого изделия из описателя в списке объектов управления). В этом режиме управляемое изделие начинает воспринимать команды, выдаваемые Администратором сети с клавиатуры управляющего изделия. Реакция управляемого изделия на эти команды зависит от уровня полномочий, который был установлен для управляющего изделия при настройке работы управляемого изделия в режиме удаленной консоли – см. раздел4.1.4,с.134. Примечание. Чтобы закрыть сеанс работы в режиме удаленной консоли, следует разорвать соединение, нажав комбинацию клавиш 11.3.3. Работа с журналами управляемого изделия При выполнении операции Получение конфигурации (раздел 11.3.1) журналы вместе с конфигуратором с управляемого изделия на управляющее не пересылаются. Чтобы получить журналы управляемого изделия, следует, на экране управления (Рис. 11.6), выбрать команду Забрать в группе команд Журналы. Выполнение команды начинается с установления соединения между изделиями. Программа управления управляемого изделия, получив запрос, объединяет LOG-файлы изделия в один заархивированный файл (LOGS.EMA) и передает его на управляющее изделие. После выполнения операции соединение разрывается и на экране управления (Рис. 11.6) появляется сообщение: «Задание: принять файл [logs.ema] выполнено». Управляющее изделие, получив файл LOGS.EMA, разархивирует (распакует) его и добавит полученные фрагменты журналов к соответствующим файлам, полученным ранее. После того как журналы будут успешно переданы, на управляемом узле они будут удалены. На управляющем изделии полученные файлы журналов можно просмотреть, выбрав команду Просмотреть в группе команд Журналы (Рис. 11.6). На видеомонитор ЛКУ будет выдан представленный на Рис. 11.9 экран со списком всех полученных журналов. Выбрав в списке строку с нужным файлом, следует нажать клавишу Полученные журналы можно переместить на съемный носитель (FLASH-диск). Для выполнения процедуры служит команда Копировать из группы команд Журналы (Рис. 11.6). Замечание. Рассмотренная здесь процедура копирования журналов во многом повторяет процедуру экспорта журналов на локально управляемом изделии, описанную в разделе 8.2, с.181. Там же рассмотрена работа со съемными носителями, используемыми изделиями. 210 Глава 11. Работа изделия в режиме Администратор сети Рис. 11.9 Экран выбора файлов журнала для просмотра Перед выбором команды Копировать надо подключить съемный носитель к разъему USB-устройства ввода/вывода, указать на носителе директорию, в которую будут скопированы журналы, и запустить процедуру копирования. Все файлы журналов с теми же именами будут переданы (скопированы) на указанный съемный носитель в указанную директорию с одновременным расчетом контрольной суммы по алгоритму CRC-32. 11.4. Сервис ключей Чтобы приступить к работе с ключами, следует в списке описателей (Рис. 11.1) перевести курсор на строку с описателем интересующего управляемого изделия и нажать клавишу На верхней рамке экрана (Рис. 11.10) выводится имя из строки описателя управляемого изделия (см. Рис. 11.1). Список ключей занимает среднюю часть экрана: под заголовком Серия.Номер выводятся серия и криптографический номер ключа, загруженного на управляемом изделии; под заголовком # – размер криптографической матрицы (количество криптографических ключей в сетевом наборе); под заголовком Тип – наименование ключевого документа с символом у для ключей канала управления; под заголовком Зона – номер зоны. На нижней рамке экрана – IP-адрес управляемого изделия. Рис. 11.10 Экран управления загруженными ключами управляемого изделия Администратор сети может выполнить следующие действия: - получить список ключей с управляемого изделия; - заблокировать один ключ из криптосистемы удаленного изделия; - заблокировать серию ключей. Внимание! Ключи на управляемом изделии администратор сети может только заблокировать, удалить ключи удаленно нельзя. F3 – получить информацию (Рис. 11.10). После нажатия клавиши «Задание: отправить файл [info.ema] выполнено». F4 – удалить ключ (Рис. 11.10). Команда позволяет заблокировать один ключ из сетевого набора конкретной серии. Это – ключ того объекта в ЗСПД, с которым будет запрещена связь. Глава 11. Работа изделия в режиме Администратор сети 211 Чтобы выполнить команду, следует перевести курсор на соответствующую строку в списке и нажать клавишу Рис. 11.11 Запрос на ввод номера удаляемого ключа Необходимо ввести номер ключа и нажать клавишу «Задание: команда 'Удалить ключ' [0000oh00100103_] выполнено». F8 – удалить серию (Рис. 11.10). Команда позволяет заблокировать все ключи одной серии. После этого управляемому изделию будет запрещена связь со всеми изделиями конкретной криптографической сети. Чтобы выполнить команду, следует в списке (Рис. 11.10) перевести курсор на строку с ключом этой серии и нажать клавишу Рис. 11.12 Запрос на подтверждение блокировки ключей указанной серии После ответа Да будет установлено соединение с управляемым изделием и указанная серия ключей для использования изделием будет заблокирована. Затем соединение разрывается и появляется сообщение: «Задание: команда 'Удалить серию ключей' [0005#-00100103_] выполнено». 11.5. Настройки на управляющем и управляемом изделиях Чтобы изделие можно было передать на удаленное управление одному из ЦУА, должна быть обеспечена доступность управляемого изделия по телекоммуникационной сети для управляющего изделия, размещенного в составе ЦУА ЗСПД. На управляемом изделии должен быть разрешен запуск службы DCP (чтобы разрешить запуск службы, следует в меню управления запуском служб маршрутизатора (Рис. 5.1, с. 151) в столбце Пуск службы DCP установить значение Да (см. раздел 5, с. 151). Кроме того, на управляемом изделии при настройке режимов работы системных журналов следует отменить режим зацикливания журналов и отправку журналов, поскольку их хранение берет на себя управляющее изделие. Настройки конфигураторов изделий, которые следует выполнить на управляемом и управляющем изделиях, рассмотрим на примере схемы, представленной на Рис. 11.13. Рис. 11.13 Пример схемы организации связи при удаленном управлении изделиями 11.5.1. Настройки на управляющем и управляемом изделиях при управлении БНМ С целью выполнения требований безопасности следует разрешить обмен информацией по TCP-порту 362 только с конкретного адреса – IP-адреса сетевого интерфейса БНМ управляющего изделия. Это обеспечивается созданием системных фильтров ext_in и ext_out, включающих приведенные ниже правила фильтрации и выполняющих фильтрацию на внутренних (служебных) интерфейсах БНМ управляющего и управляемого изделий. На внутреннем интерфейсе блока наружной маршрутизации управляемого изделия: фильтр ext_in Разрешить 192.168.1.2/32 192.168.1.1/32 TNL 0 - 0 Разрешить 192.168.1.2/32 192.168.1.1/32 TCP 362 – 362 Сбросить 0.0.0.0/00 0.0.0.0/00 ANY 0 - 0 212 Глава 11. Работа изделия в режиме Администратор сети фильтр ext_out Разрешить 192.168.1.1/32 192.168.1.2/32 TNL 0 - 0 Разрешить 192.168.1.1/32 192.168.1.2/32 TCP 1024 – 65535 Сбросить 0.0.0.0/00 0.0.0.0/00 ANY 0 - 0 На внутреннем интерфейсе блока наружной маршрутизации управляющего изделия: фильтр ext_in Разрешить 192.168.1.1/32 192.168.1.2/32 TNL 0 - 0 Разрешить 192.168.1.1/32 192.168.1.2/32 TCP 1024 – 65535 Сбросить 0.0.0.0/00 0.0.0.0/00 ANY 0 - 0 фильтр ext_out Разрешить 192.168.1.2/32 192.168.1.1/32 TNL 0 - 0 Разрешить 192.168.1.2/32 192.168.1.1/32 TCP 362 – 362 Сбросить 0.0.0.0/00 0.0.0.0/00 ANY 0 - 0 11.5.2. Настройки на управляющем и управляемом изделиях при управлении БВМ Между управляющим и управляемым изделиями организован криптотуннель, по которому выполняется удаленное управление блоком внутренней маршрутизации. На каждом из изделий должна быть выполнена настройка криптотуннеля – статического туннеля (см. раздел3.1.1.2,с.78) или TNL-интерфейса (см.раздел2.4.2,с.39). В качестве локальных и удаленных IP-адресов криптотуннеля следует использовать адреса: 192.168.1.1 и 192.168.1.2. Чтобы обеспечить попадание управляющего потока в криптотуннель, следует задать следующие правила отбора при создании криптотуннеля: На управляемом изделии: Режим – разрешить Протокол – TCP Фиксировать – нет TCP – флаги – нет Диапазон номеров портов – 1024 – 65535 Адрес отправителя – 10.0.0.1/32 Адрес получателя - 10.10.10.1/32 На управляющем изделии: Режим – разрешить Протокол – TCP Фиксировать – нет TCP – флаги – нет Диапазон номеров портов – 362-362 Адрес отправителя – 10.10.10.1/32 Адрес получателя - 10.0.0.1/32 Для выполнения требований безопасности надо разрешить обмен информацией по TCP-порту 362 только с конкретного адреса – IP-адреса сетевого интерфейса БВМ управляющего изделия. Это обеспечивается созданием системных фильтров int_in и int_out, выполняющих фильтрацию на внутренних интерфейсах БВМ управляющего и управляемого изделий и включающих приведенные ниже правила фильтрации. На блоке внутренней маршрутизации управляемого изделия: фильтр int_in Разрешить 10.10.10.1/10.0.0.1/32 TCP 362 – 362 Сбросить 0.0.0.0/00 0.0.0.0/00 ANY 0 - 0 |