Характеристика продукта
На Сервере управления каждый Клиент управления
имеет уникальный идентификатор, а создаваемые обновления имеют порядковые
номера. Уникальный идентификатор и порядковый номер входят в состав данных,
загружаемых с Сервера управления. Полученные данные используются Клиентом
управления только в том случае, если содержат верный идентификатор Клиента
управления и если номер обновления больше последнего установленного обновления.
Продукт обеспечивает защиту от злоумышленника,
пытающегося с помощью механизма обновления запустить на компьютере с Клиентом
управления “чужеродное” ПО. Защита осуществляется на основе ЭЦП, позволяющей
осуществить аутентификацию и проверить целостность пересылаемых данных
от Сервера управления к Клиенту управления. Предполагается, что злоумышленник
не имеет доступа к управлению компьютером с Сервером управления и доступа
к управлению устройствами с Клиентами управления.
Действительно, перед тем как предоставить данные
для скачивания Клиентам управления, Сервер управления формирует электронно-цифровую
подпись для этих данных с использованием секретного ключа рабочего сертификата
Сервера управления. А Клиент управления перед использованием полученных
данных с Сервера управления проверяет электронно-цифровую подпись, используя
открытый ключ рабочего сертификата Сервера управления.
Рабочий сертификат Сервера управления распространяется
среди Клиентов управления в составе скачиваемых данных. Подлинность рабочего
сертификата Сервера управления проверяется на основе построения цепочки
сертификатов до CA сертификата Сервера управления. CA сертификат Сервера
управления устанавливается на каждый Клиент управления во время инсталляции
Клиента управления на устройство.
Перевыпуск рабочего сертификата Сервера управления
производится по мере необходимости на Сервере управления. Время жизни
рабочего сертификата, среди прочего, зависит и от объема подписываемых
данных, то есть от количества обслуживаемых Клиентов управления и частоты
обновлений. Рекомендуемое время жизни рабочего сертификата - от 1 месяца
до 1 года.
В комплект поставки продукта С-Терра КП входят каталоги
и файлы:
setup.exe
setup.ini
updater_server.cab
updater_server.msi
upweb.war
version.txt
LINUXDEBIAN6
LINUXRHEL5
OTHERS
SOLARIS
WINDOWS
|
Если на управляемом
устройстве уже инсталлирован продукт CSP VPN Server/CSP VPN Client/S-Terra
Client версии 3.1,3.11,4.1 то рекомендуется его деинсталлировать,
а затем создать заново его инсталляционный файл и файл Клиента
управления, как описано в данном документе. При невозможности
выполнить деинсталляцию (большое количество клиентов или др.причины)
обращайтесь в службу поддержки по адресу support@s-terra.com.
Если на управляемом устройстве инсталлирован продукт
CSP VPN Server/CSP VPN Client версии 3.0, то необходимо перейти
на версию 3.1, 3.11, 4.1 для сохранения полной функциональности
продукта после выполнения обновления. |
|
Для управления шлюзом безопасности
CSP VPN Gate/S-Terra Gate на устройстве уже должен быть инсталлирован
продукт CSP VPN Gate/S-Terra Gate версии не ниже 3.1. |
|
Шлюз безопасности CSP VPN
Gate версии 3.11, 4.1 поставляется с инсталлированным Клиентом
управления, который следует инициализировать. |
|
Перед использованием продуктов
компании «С-Терра СиЭсПи» и СКЗИ «КриптоПро CSP 3.6(R2)» в режиме
КС1/КС2/КС3, изучите документ «Правила пользования», входящий
в комплект поставки. |
Схема стенда
Рисунок 2
В дальнейшем описании документа приведены примеры для
стенда (Рисунок 2), в который включен шлюз
безопасности с установленным продуктом S-Terra Gate, защищающий подсеть
с конечным устройством, на котором установлен Сервер управления. Для удаленного
управления устройством с Сервера управления в стенде присутствует компьютер
с IP-адресом 10.0.10.111/16. Взаимодействие между управляемым устройством
и Сервером управления осуществляется по IPsec-туннелю.