Функциональность модуля Cisco обеспечивает программный продукт С-Терра Шлюз, который состоит из следующих основных частей:
· VPN daemon (демон)
· VPN driver (драйвер)
· Cisco-like console (CLI консоль)
· Command Line Utilities (утилиты)
· Клиент управления КП
· База Продукта.
Рассмотрим каждый из них.
Демон (vpnsvc) – основная часть продукта, которая реализует протокол IKE, обеспечивает работу с базой IPsec SA, взаимодействует с драйвером, загружая в него конфигурационную информацию и обрабатывая его запросы на создание SA. Кроме этого, в демоне выполняется вся работа с сертификатами, событийное протоколирование, сбор статистики и реализована поддержка протоколов SNMP, LDAP, SYSLOG.
Работа демона управляется специальным описанием – Local Security Policy (LSP). LSP (или “native configuration”) имеет текстовое представление и может быть загружена в демон пользователем консоли или вызовом утилит. При загрузке новой LSP все существующие SA уничтожаются.
Основная задача драйвера – перехват, фильтрация и обработка пакетов. Перехватив пакет, драйвер сравнивает его со списком фильтров и, при совпадении параметров пакета (адреса, порты, протокол) с параметрами фильтра либо выполняет обработку пакета, либо пропускает его дальше без обработки, либо уничтожает пакет.
Параметры фильтров и описание действия, которое необходимо выполнить с пакетом, загружаются демоном в драйвер при загрузке LSP.
Консоль (CLI) предоставляет пользователю интерфейс в стиле командной строки Cisco IOS. Набор команд консоли является подмножеством команд IOS, с некоторыми ограничениями функциональности и небольшими дополнительными возможностями. Как и у IOS, у консоли есть привилегированный и конфигурационный режимы (configure terminal). Однако, следует отметить, что (в отличие от IOS) изменения настроек вступают в действие не сразу, а только после выхода из конфигурационного режима; в этот момент Cisco-like конфигурация автоматически конвертируется в native-конфигурацию и загружается в vpnsvc.
CLI консоль на самом деле является специальным shell-ом по умолчанию для предопределенного пользователя “cscons” и всех пользователей, которые создаются в CLI конфигурации. Остальные пользователи, например “root”, при входе попадают в ОС Debian.
Утилиты служат для общего управления Продуктом. Они позволяют загружать и просматривать LSP, регистрировать в Продукте сертификаты и ключи, получать различную информацию о текущем состоянии Продукта.
Утилиты могут быть вызваны из CLI консоли с использованием специальной команды run.
Клиент управления КП – клиентская часть «Программного продукта С-Терра КП. Версия 4.1», устанавливается на управляемое устройство с инсталлированным продуктом С-Терра Шлюз. В состав продукта С-Терра КП входит Сервер управления, устанавливаемый на выделенный компьютер, и предназначен для управления процессом обновления продуктов С-Терра Агент и их настроек, инсталлированных на управляемых устройствах.
База Продукта – в ней хранятся сертификаты, предопределенные ключи, список интерфейсов, локальные настройки различных модулей, локальная политика безопасности и др.
Примеры взаимодействия описанных компонент
Перед созданием конфигурации с помощью интерфейса командной строки, нужно зарегистрировать локальный сертификат в базе Продукта, используя утилиту. Затем запустить консоль и создать в ней конфигурацию. При выходе из конфигурационного режима консоли конфигурация конвертируется, загружается на шлюз безопасности и хранится в базе Продукта. Используя утилиту, конфигурацию можно выгрузить из шлюза, и при этом загрузится политика DDP. Выгруженную конфигурацию можно опять загрузить на шлюз безопасности.