Архитектура ПО С-Терра Шлюз

Функциональность модуля Cisco обеспечивает программный продукт С-Терра Шлюз, который состоит из следующих основных частей:

·       VPN daemon (демон)

·       VPN driver (драйвер)

·       Cisco-like console (CLI консоль)

·       Command Line Utilities (утилиты)

·       Клиент управления КП

·       База Продукта.

Рассмотрим каждый из них.

Демон (vpnsvc) – основная часть продукта, которая реализует протокол IKE, обеспечивает работу с базой IPsec SA, взаимодействует с драйвером, загружая в него конфигурационную информацию и обрабатывая его запросы на создание SA. Кроме этого, в демоне выполняется вся работа с сертификатами, событийное протоколирование, сбор статистики и реализована поддержка протоколов SNMP, LDAP, SYSLOG.

 

Работа демона управляется специальным описанием – Local Security Policy (LSP). LSP (или “native configuration”) имеет текстовое представление и может быть загружена в демон пользователем консоли или вызовом утилит. При загрузке новой LSP все существующие SA уничтожаются.

 

Основная задача драйвера – перехват, фильтрация и обработка пакетов. Перехватив пакет, драйвер сравнивает его со списком фильтров и, при совпадении параметров пакета (адреса, порты, протокол) с параметрами фильтра либо выполняет обработку пакета, либо пропускает его дальше без обработки, либо уничтожает пакет.

Параметры фильтров и описание действия, которое необходимо выполнить с пакетом, загружаются демоном в драйвер при загрузке LSP.

 

Консоль (CLI) предоставляет пользователю интерфейс в стиле командной строки Cisco IOS. Набор команд консоли является подмножеством команд IOS, с некоторыми ограничениями функциональности и небольшими дополнительными возможностями. Как и у IOS, у консоли есть привилегированный и конфигурационный режимы (configure terminal). Однако, следует отметить, что (в отличие от IOS) изменения настроек вступают в действие не сразу, а только после выхода из конфигурационного режима; в этот момент Cisco-like конфигурация автоматически конвертируется в native-конфигурацию и загружается в vpnsvc.

CLI консоль на самом деле является специальным shell-ом по умолчанию для предопределенного пользователя “cscons” и всех пользователей, которые создаются в CLI конфигурации. Остальные пользователи, например “root”, при входе попадают в ОС Debian.

 

Утилиты служат для общего управления Продуктом. Они позволяют загружать и просматривать LSP, регистрировать в Продукте сертификаты и ключи, получать различную информацию о текущем состоянии Продукта.

Утилиты могут быть вызваны из CLI консоли с использованием специальной команды run.

 

Клиент управления КП – клиентская часть «Программного продукта С-Терра КП. Версия 4.1», устанавливается на управляемое устройство с инсталлированным продуктом С-Терра Шлюз. В состав продукта С-Терра КП входит Сервер управления, устанавливаемый на выделенный компьютер, и предназначен для управления процессом обновления продуктов С-Терра Агент и их настроек, инсталлированных на управляемых устройствах.

 

База Продукта – в ней хранятся сертификаты, предопределенные ключи, список интерфейсов, локальные настройки различных модулей, локальная политика безопасности и др.

 

Примеры взаимодействия описанных компонент

Перед созданием конфигурации с помощью интерфейса командной строки, нужно зарегистрировать локальный сертификат в базе Продукта, используя утилиту. Затем запустить консоль и создать в ней конфигурацию. При выходе из конфигурационного режима консоли конфигурация конвертируется, загружается на шлюз безопасности и хранится в базе Продукта. Используя утилиту, конфигурацию можно выгрузить из шлюза, и при этом загрузится политика DDP. Выгруженную конфигурацию можно опять загрузить на шлюз безопасности.