Приветствую читателей во второй статье цикла Континент Getting Started. Сегодня мы установим и настроим Континент 4.1 на виртуальную машину и познакомимся с интерфейсом управления. В прошлой статье мы предварительно показали настройку VMware Workstation, теперь перейдем к созданию ВМ Континент (УБ с ЦУС):
Указываем путь к ISO образу;
В качестве гостевой ОС указываем CentOS 4 (and later) x64;
CPU – 4, RAM – 10 ГБ, HDD – 100 ГБ;
Указываем сетевые интерфейсы.
VMnet1 – интерфейс подключения к DMZ (eth1).
VMnet2 – интерфейс подключения к LAN-сети (eth2).
NAT – интерфейс для подключения к сети Интернет (eth0).
Инициализация ЦУС
1.Запускаем виртуальную машину, выбираем язык установки и нажимаем «Установить Континент …». Тип платформы – «Настраиваемая» Начнется установка ОС Континент. После установки ОС необходимо проинициализировать ЦУС. В главном меню выбираем «Инициализация» – «Узел безопасности с центром управлению сетью»:
Запустится процесс инициализации сетевого устройства с последующим сообщением об успешной инициализации. После этого необходимо настроить:
Системное время. Необходимо для журналирования. «Настройки» – «Системное время»;
Создать и загрузить сертификаты. Необходимо создать корневой сертификат и сертификат управления ЦУС. Нажимаем в главном меню «Сертификаты». Для создания корневого сертификата необходимо выбрать «Сертификаты УЦ» нажать F2 и заполнить данные для сертификата.
Для создания сертификата управления ЦУС выбираем «Сертификаты» – «Сертификаты управления» – F2.
После создания сертификатов необходимо настроить ЦУС. В главном меню нажимаем «Настройка ЦУС» Выбираем ранее созданный сертификат управления и задаем пароль для учетной записи admin. После этого выбираем интерфейс управления.
Для управления ЦУС у нас используется интерфейс ge-2-0 (eth2). Задаем адрес интерфейса – 192.168.1.1/24. Поле «Шлюз» оставляем пустым. К этому адресу будет выполняться подключение для управления сетью Континент.
Применяем указанные настройки. ЦУС успешно настроен. Можем авторизоваться и просмотреть сведения об устройстве.
Менеджер конфигурации
После инициализации ЦУС необходимо установить Менеджер конфигурации (программа управления сетью Континент) и настроить АРМ администратора. С ВМ Администратора запускаем мастер установки Менеджера конфигурации и следуем инструкциям установки. После установки перезагрузим компьютер и запустим Менеджер конфигурации. При первом запуске программы потребуется инициализация биологического датчика случайных чисел. Следуя инструкции инициализируем ДСЧ.
Установим соединение с ЦУС, указав следующие параметры:
«Тип входа» – "С использованием пароля";
«Сервер» – IP-адрес интерфейса управления ЦУС – 192.168.1.1;
«Учетная запись» – admin, «Пароль»
Выполнится подключение к ЦУС. Так выглядит окно управления сетью Континент.
В навигационном меню есть следующие вкладки:
Контроль доступа – настройка межсетевого экранирования.
Виртуальные частные сети – настройка VPN.
Система обнаружения вторжений – настройка функций компонента детектора атак.
Структура – содержит список узлов безопасности. Здесь производится настройка УБ и активация его компонентов.
Администрирование – содержит настройки администраторов комплекса, выпуск сертификатов, обновление комплекса, лицензии и резервные копии.
Необходимо произвести следующие настройки:
Добавить действующую лицензию на узел безопасности;
Выполнить сетевые настройки;
Настроить систему мониторинга.
Для добавления лицензии переходим «Администрирование» – «Лицензии». По умолчанию к шлюзу привязана демо лицензия с ограниченным набором компонентов и сроком 14 дней. Загрузим действующие лицензии в репозиторий.
Далее необходимо привязать на УБ действующую лицензию и отвязать демо лицензию.
Сохраним изменения, нажав на кнопку «Сохранить» в левом верхнем углу. Далее настроим сетевые параметры. «Структура» – ПКМ по УБ – «Свойства». Внутренний интерфейс управления у нас уже был задан при инициализации ЦУС. Теперь необходимо указать внешний интерфейс, интерфейс подключения к DMZ и задать маршрут по умолчанию в соответствии с макетом.
Во вкладке интерфейсы можно:
Указать тип назначения интерфейса: внешний, внутренний, мониторинг, порт коммутатора
Задать IP-адреса
Добавить VLAN и loopback интерфейсы
Создать Bridge-интерфейс, агрегацию
Для настройки маршрутизации перейдем в «Статические маршруты»
Стоит отметить, что Континент поддерживает работу по протоколам динамической маршрутизации OSPF и BGP.
Укажем часовой пояс для системы мониторинга. Сохраним настройки и установим политику на ЦУС.
Система мониторинга
Завершающая процедура подготовки рабочего места администратора – настройка подключения к подсистеме мониторинга по протоколу https. Защищенное соединение при подключении к системе мониторинга реализуется при помощи двух алгоритмов шифрования:
ГОСТ Р 34.11-2012 (Стрибог) – требует дополнительное ПО СКЗИ «Континент TLS VPN Клиент»
RSA
В рамках данного цикла выполним подключение, используя алгоритм RSA. Для этого потребуется выпустить корневой RSA сертификат и сертификат системы мониторинга. Переходим «Администрирование» – «Сертификаты» – «Корневые центры сертификации». В качестве алгоритма подписи указываем RSA.
Для сертификата системы мониторинга: «Сертификаты» – «Персональные сертификаты»
Название – используется для подключения по https
Типа сертификата – web-мониторинг
Корневой сертификат – созданный ранее корневой RSA сертификат
Привяжем созданные сертификаты к ЦУС. «Структура» – ПКМ по УБ – «Свойства» – «Сертификаты»
Сохраним настройки и установим политику на узел безопасности.
Для доступа к системе мониторинга указывается URL персонального сертификата мониторинга. В нашем случае это https://mon-aes. Для доступа к системе мониторинга необходимо соответствующим образом настроить DNS сервер или дополнить файл hosts.
Инициализация и настройка подчиненного узла безопасности
Инициализируем подчиненный узел, защищающий сеть филиала. Инициализация УБ идентична инициализации ЦУС. За исключением нескольких деталей:
1.При установке ОС выбираем язык установки и нажимаем «Установить Континент …». Тип платформы – «Настраиваемая»
2.Инициализируем устройство как «узел безопасности»
3.В ЦУСе мы выпускали сертификаты в локальном меню. Для того, чтобы выпустить сертификат управления подчиненным узлом, необходимо создать запрос на выпуск сертификата. Выбираем «Сертификаты» – «Запросы на выпуск сертификатов» – F4. Запрос записывает на USB-носитель и передается в Менеджер конфигурации.
4.В Менеджере конфигурации выпускаем сертификат на основании запроса. «Сертификаты» – «Персональные сертификаты» – Создать – «Загрузить данные из файла запроса»
5.Далее необходимо создать УБ: «Структура» – «Узел безопасности». Указываем идентификатор устройства и подгружаем созданный сертификат. Сохраняем изменения и привязываем лицензию на узел безопасности.
6.Экспортируем конфигурацию узла на usb-носитель. ПКМ по УБ – «Экспортировать конфигурацию узла». USB-носитель с конфигурацией подключаем к ВМ с подчиненным узлом и нажимаем «Подключиться к ЦУС».
7.Настраиваем интерфейс управления ge-0-0 (eth0). В нашем макете мы реализуем следующий сценарий: доступ из филиала в Интернет будет осуществляться через ЦУС, находящийся в центральном офисе. Поэтому, в качестве шлюза по умолчанию указывается IP-адрес ЦУСа.
8.Инициализация устройства закончена. Далее требуется подтвердить изменения в Менеджере конфигурации, настроить сетевые интерфейсы и указать часовой пояс.
Сохраняем и устанавливаем политику на узлы безопасности.
Отметим, что в комплексе Континент 4.1 есть возможность развертывания массива УБ. Для этого в Менеджере конфигурации в разделе «Структура» необходимо нажать «Мастер создания УБ». Далее необходимо выбрать количество УБ (максимум 50), указать путь для сохранения расширенных контейнеров (понадобятся для инициализации УБ) и настроить каждый из них.
Созданные узлы безопасности отобразятся в разделе «Структура». Далее в локальном меню необходимо инициализировать УБ с подключенным USB-носителем, на котором находятся расширенные контейнеры.
Заключение
На этом статья подошла к концу. Мы развернули узел безопасности с центром управлению сетью и подчиненный узел безопасности на виртуальные машины. Настроили АРМ администратора и систему мониторинга. В следующей статье рассмотрим компонент «Межсетевой экран» и настроим базовую политику.
Подробную информацию о продукте можно найти на странице Код Безопасности.
P.S. Если у вас уже есть устройства Континент, вы можете обратиться к нам за профессиональной технической поддержкой, в то числе оставить заявку на бесплатный тикет.
Автор - Дмитрий Лебедев, инженер TS Solution
