Содержание
Транскрипт
1
Программное средство Сервер безопасности CSP VPN Server. Версия 3.0 Руководство администратора
3 Создание инсталляционного файла Сохранение данных проекта Формат задания имен алгоритмов в файле admintool.ini Инсталляция CSP VPN Server Режим basic Режим normal Режим silent Копирование контейнера при инсталляции Сообщения об ошибках Деинсталляция CSP VPN Server Восстановление CSP VPN Server Создание локальной политики безопасности. Конфигурационный файл Описание грамматики LSP Структура конфигурации Заголовок конфигурации Структура LDAPSettings Структура IKEParameters Обработка пакетов ретрансмиссии Структура SNMPPollSettings Структура SNMPTrapSettings Структура TrapReceiver Структура SyslogSettings Структура RoutingTable Структура Route Правила пакетной фильтрации. Структура FilteringRule Структура FilterEntry Структура IPsecAction Структура TunnelEntry Структуры AHProposal и ESPProposal Структура AHTransform Структура ESPTransform Структура IKERule Структура IKETransform Структуры для аутентификации Структуры AuthMethodDSSSign, AuthMethodRSASign, AuthMethodGOSTSign 156 CSP VPN Server Copyright S-Terra CSP
4 Структура AuthMethodPreshared Структура IdentityEntry Структура CertDescription Формат задания DistinguishedName (GeneralNames) в LSP Работа с сертификатами в LSP Пример локальной политики безопасности Специализированные команды cert_mgr show cert_mgr import cert_mgr create cert_mgr remove cert_mgr check key_mgr show key_mgr import key_mgr remove lsp_mgr show lsp_mgr load lsp_mgr unload lsp_mgr reload if_mgr show if_mgr add if_mgr remove dp_mgr show dp_mgr set log_mgr set log_mgr show sa_show klogview События группы pass и drop События группы filt_trace События группы sa_minor, sa_major События группы sa_trace События группы sa_error Сообщения об ошибках Протоколирование событий Текущие настройки Общие настройки 208 CSP VPN Server Copyright S-Terra CSP
5 17.3. Действие текущих и общих настроек Получение лога в Windows Настройки Syslog сервера для получения лога в Solaris Список протоколируемых событий Список ошибок протокола ISAKMP Список выполняемых действий по протоколу ISAKMP Мониторинг Выдача статистики Трап-сообщения Приложение Утилита make_inst.exe Сообщения об ошибках утилиты make_inst.exe Создание сертификата конечного устройства с использованием «Signal-COM CSP» Установка «Signal-COM CSP» Установка и настройка Удостоверяющего Центра. Создание СА сертификата Установка «Admin-PKI» Создание ключевой пары и запроса на сертификат конечного устройства Создание сертификата конечного устройства 279 CSP VPN Server Copyright S-Terra CSP
7 Конечный Пользователь не имеет права распространять Изделие в формах предоставления доступа третьим лицам к воспроизведению или к воспроизведенным в любой форме компонентам Изделия путем продажи, проката, сдачи внаем, предоставления взаймы или иными другими способами отчуждения. Конечный Пользователь не имеет права дисассемблировать, декомпилировать (преобразовывать бинарный код в исходный текст) программы и другие компоненты Изделия, вносить какие-либо изменения в бинарный код программ и совершать относительно Изделия другие действия, нарушающие Российские и международные нормы по авторскому праву и использованию программных средств. Настоящее Лицензионное Соглашение вступает в силу с момента установки Изделия и действует на протяжении всего срока использования Изделия. Неисполнение требований настоящего Лицензионного Соглашения является нарушением Закона Российской Федерации «О правовой охране программ для электронных вычислительных машин и баз данных» и преследуется по закону. Настоящее Лицензионное Соглашение предоставляет Конечному Пользователю Ограниченные гарантии, состоящие в том, что 1. В случае, если в ходе эксплуатации Изделия Конечным Пользователем или любым третьим лицом будет обнаружена Критичная Проблема, Производитель Изделия (ЗАО «С-Терра СиЭсПи») обеспечивает: а) информирование доступными способами Конечного Пользователя о существовании Критичной Проблемы и о способах ее устранения б) бесплатное предоставление обновлений программного обеспечения Производителя Изделия, в которых устранены Критичные Проблемы. Примечание 1. Гарантийное обязательство 1 базируется на следующем определении: Критичная Проблема заключается в том, что Изделие, вследствие ошибки в программном обеспечении, не выполняет основные функции безопасности, а именно шифрование трафика и контроль доступа, что приводит к нарушению безопасности сети Конечного Пользователя. Примечание 2. Обновления программного обеспечения в соответствии с гарантийным обязательством п.1б предоставляются по запросу Конечного Пользователя и по мере разработки обновлений. 2. Если Конечный Пользователь обнаружит в течение 90 (девяноста) дней со дня поставки Изделия дефекты в составе информационных носителей или некомплектность Изделия, то информационные носители будут заменены, а комплектность Изделия восстановлена. По истечении 90 дней претензии Конечного Пользователя по некомплектности изделия и/или дефектам носителей информации рассматриваться не будут. Настоящее Лицензионное Соглашение не содержит никаких гарантий по поставке, функциональности и соответствию Изделия любым техническим требованиям, стандартам и условиям. Эти вопросы относятся к области лицензирования деятельности поставщика, сертификации Изделия и его компонент в установленном порядке, договоров о поставке, техническом сопровождении и технической поддержке и регламентируются в рамках отдельных документов. Настоящее Лицензионное Соглашение (в рамках законодательства Российской Федерации и если противное не оговорено в виде отдельного дополнительного соглашения с Конечным Пользователем) не регламентирует вопросы технических, организационных и прочих возможных проблем, связанных с эксплуатацией Изделия и возможных материальных, финансовых и прочих потерь Конечного Пользователя в результате эксплуатации Изделия. Срок действия настоящего Лицензионного Соглашения распространяется на весь период эксплуатации Изделия Конечным Пользователем. Действие настоящего Лицензионного Соглашения может быть прекращено по решению Конечного Пользователя. В этом случае Конечный Пользователь должен уничтожить все информационные носители, содержащие код и прочие информационные компоненты Изделия, включая информацию на внутренних носителях Изделия. Прекращение действия Лицензионного Соглашения по инициативе Конечного Пользователя является односторонней добровольной акцией Конечного Пользователя и не является предметом для взаиморасчетов и других хозяйственных операций. Программный Продукт Системная Библиотека GNU libc является свободно распространяемым Продуктом и используется в составе Изделия без каких либо модификаций в соответствии с лицензией «The GNU General Public License» ( MS-DOS, Windows, Windows 98/NT/2000/XP/Vista являются торговыми марками компании Microsoft Corporation в США и в других странах. CSP VPN Server Copyright S-Terra CSP
9 Лицензионное Соглашение о праве пользования Продуктом CSP VPN Server производства ЗАО «С-Терра СиЭсПи» ЗАО «С-Терра СиЭсПи». Все права защищены. Настоящее Лицензионное Соглашение определяет условия использования законно приобретенного Продукта CSP VPN Server (далее — Изделия) Конечным Пользователем (физическим или юридическим лицом, указанным в Лицензии на использование Продукта, являющейся неотъемлемой частью настоящего Лицензионного Соглашения). Предметом настоящего Лицензионного Соглашения является возмездная передача Конечному Пользователю неисключительных непередаваемых прав пользования Изделием. Под Изделием понимается комплекс материальных объектов (программных средств, носителей информации, кода программных Продуктов, документации в печатной и электронной формах), состав которых определяется артикулом из прайс-листа ЗАО «С-Терра СиЭсПи». Изделие может использоваться только в качестве Агента защиты автономного сервера и не предназначено для использования в других целях. Использование Изделия в прочих системах и/или в иных целях является нарушением настоящего Лицензионного Соглашения. Изделие может включать компоненты (программные средства, информационные носители и прочее) от третьих поставщиков. Конечный Пользователь получает права на использование этих компонент на основе Лицензий и Лицензионных Соглашений этих поставщиков, которые являются в совокупности неотъемлемой частью настоящего Лицензионного Соглашения. Изделие в полном комплекте передается Конечному Пользователю на условиях настоящего Лицензионного Соглашения. Изделие и его компоненты являются интеллектуальной собственностью Производителя и, при наличии третьих поставщиков, интеллектуальной собственностью третьих поставщиков и защищаются законодательством Российской Федерации об авторском и имущественном праве на объекты интеллектуальной собственности. Установка Изделия после предъявления Конечному Пользователю текста Лицензионного Соглашения рассматривается как согласие Конечного Пользователя с условиями Лицензионного Соглашения и вступление его в законную силу, после чего настоящее Лицензионное Соглашение в соответствии со ст. 433 ГК РФ имеет силу договора между Конечным Пользователем и Производителем Изделия (ЗАО «С- Терра СиЭсПи»). При наличии компонент третьих поставщиков Производитель является законным и полномочным представителем третьих поставщиков, если обратное не оговорено в Лицензионных Соглашениях третьих поставщиков или в других документах, регламентирующих отношения между Конечным Пользователем и третьими поставщиками. Все компоненты третьих поставщиков объединяются в программный Продукт (комплекс) в процессе установки Изделия. Конечный Пользователь имеет право на копирование, установку и эксплуатацию всех компонент третьих поставщиков, поставленных в составе Изделия только в составе работ, связанных с эксплуатацией Изделия. Копирование, распространение, установка и эксплуатация отдельных компонент являются нарушением настоящего Лицензионного Соглашения и авторских прав как Производителя, так и третьих поставщиков (если обратное не оговорено в Лицензиях и Лицензионных Соглашениях третьих поставщиков). Конечный Пользователь может устанавливать и использовать в рамках настоящего Лицензионного Соглашения только один экземпляр Изделия и не имеет права устанавливать и использовать большее количество экземпляров Изделия. Конечный Пользователь не имеет права распространять Изделие в формах предоставления доступа третьим лицам к воспроизведению или к воспроизведенным в любой форме компонентам Изделия путем продажи, проката, сдачи внаем, предоставления взаймы или иными другими способами отчуждения. CSP VPN Server Copyright S-Terra CSP
11 Cisco, Cisco PIX Firewall, Cisco IOS Router, CiscoWorks, CiscoWorks VPN/Security Management Solution, CiscoWorks Management Center for VPN Routers, CiscoWorks Management Center for PIX Firewall являются торговыми марками компании Cisco Systems в США и в других странах. Изделие включает в себя программное обеспечение, написанное Эриком Янгом (Eric Young. Другие названия компаний и Продуктов, упомянутые в настоящем Лицензионном Соглашении и в составе информационных источников Изделия могут являться зарегистрированными торговыми марками соответствующих им компаний. Упоминание наименований, Продуктов, торговых марок третьих организаций исключительно неформально и не является ни поддержкой, рекомендацией либо рекламой. ЗАО «С-Терра СиЭсПи» не несет какой-либо ответственности в отношении работоспособности и использования этих Продуктов. Напечатано в Российской Федерации Закрытое Акционерное Общество «С-Терра СиЭсПи» , г. Москва, Зеленоград, проезд 4806, д.5, стр.20 Телефон: +7 (499) Факс: +7 (499) Эл.почта: CSP VPN Server Copyright S-Terra CSP
13 2. Назначение и функции Продукта Продукт CSP VPN Server предназначен для защиты и фильтрации трафика протоколов семейства TCP/IP. Защита трафика осуществляется в рамках международных стандартов IKE/IPSec: Security Architecture for the Internet Protocol RFC2401 IP Authentication Header (AH) RFC2402 IP Encapsulating Security Payload (ESP) RFC2406 Internet Security Association and Key Management Protocol (ISAKMP) RFC2408 The Internet Key Exchange (IKE) RFC2409 The Internet IP Security Domain of Interpretation for ISAKMP (DOI) RFC2407. Программный Продукт CSP VPN Server обеспечивает: защиту трафика на уровне аутентификации/шифрования сетевых пакетов по протоколам IPSec AH и/или IPSec ESP аутентификацию конечного устройства и аутентификацию узла сети пакетную фильтрацию трафика с использованием информации в полях заголовков сетевого и транспортного уровней событийное протоколирование и сбор статистики реализацию заданной дисциплины взаимодействия (аутентификацию и/или защиту трафика) для каждого защищенного соединения, доступ в заданном защищенном режиме только для зарегистрированных, в том числе и для мобильных партнеров по взаимодействию регулируемую стойкость защиты трафика. Все эти функции описываются в файле локальной политики безопасности (LSP- Local Security Policy). Локальная политика безопасности определяет какие из сетевых соединений следует защищать, а какие следует использовать открытыми, какие режимы и алгоритмы защиты использовать для каждого из соединений. Продукт CSP VPN Server использует в качестве внешней криптографической библиотеки средство криптографической защиты информации (СКЗИ) «Крипто-КОМ 3.2», разработанное компанией «Сигнал-КОМ». СКЗИ «Крипто-КОМ 3.2» реализует российские криптографические алгоритмы: ГОСТ шифрование/расшифрование данных ГОСТ Р HMAC целостность данных ГОСТ Р алгоритм хэширования ГОСТ Р , ГОСТ Р формирование и проверку электронно-цифровой подписи (ЭЦП) генерацию случайных чисел. CSP VPN Server является Продуктом для корпоративного использования в том смысле, что политику и настройки режимов этого Продукта осуществляет системный администратор или администратор безопасности предприятия. CSP VPN Server Copyright S-Terra CSP
15 4. Три режима управления сервером Для управления локальной политикой безопасности и настройками CSP VPN Server администратору предоставляется три режима: создание политики безопасности и настроек с помощью графического интерфейса pkg_maker.exe. Результатом является инсталляционный пакет формирование политики безопасности в виде текстового конфигурационного файла, и создание инсталляционного пакета с помощью утилиты командной строки make_inst.exe. создание политики безопасности в виде текстового конфигурационного файла, загрузка его и задание настроек с помощью Специализированных команд. Создание инсталляционного пакета с помощью утилиты командной строки make_inst.exe и графического интерфейса описано в главах Создание политики безопасности в виде текстового конфигурационного файла описано в главе «Создание локальной политики безопасности. Конфигурационный файл». Для третьего режима загрузка конфигурационного файла на хост, регистрация сертификатов и предустановленных ключей, задание настроек осуществляется с помощью Специализированных команд. Продукт CSP VPN Server позволяет создавать для разных интерфейсов разные правила (фильтрации, шифрования) в этом заключается его отличие от продукта CSP VPN Client, который задает одни и те же правила для всех интерфейсов. CSP VPN Server Copyright S-Terra CSP
17 6. Подготовка рабочего места администратора безопасности Администратор безопасности на своем компьютере устанавливает с диска с дистрибутивом административный пакет CSP VPN Server AdminTool (sc), размещенный в каталоге Server_sc. В состав дистрибутива этого пакета входит: setup.exe утилита запуска Windows Installer setup.ini настроечный файл, необходимый для setup.exe sysdlls.cab хранилище системных DLL version.txt текстовый файл, содержащий версию Продукта VPN_SERVER_ADMIN.msi MSI-база инсталлятора (MSI MicroSoft Installer) VPN_SERVER_ADMIN.cab хранилище файлов Инсталляция административного пакета запускается командой setup.exe с дистрибутива. При запуске инсталляции административного пакета появляется окно визарда с приглашением к инсталляции: Рисунок 1 В окне с текстом Лицензионных Соглашений на CSP VPN ServerB и CSP VPN Server после установки переключателя в положение «I accept the license agreement» кнопка Next становится доступной: CSP VPN Server Copyright S-Terra CSP
19 Для начала процесса инсталляции нажать кнопку Next: Рисунок 4 Индикатор процесса инсталляции: Рисунок 5 CSP VPN Server Copyright S-Terra CSP
Источник