СЗН «СПДС-USB-01» или жесткий диск/диски HDD0/HDD1 содержат:
· установленную ОС Debian 6
· установленный и подготовленный к инициализации «Программный комплекс С-Терра Шлюз» и СКЗИ «КриптоПро CSP 3.6R4/3.9»
либо
· установленный и подготовленный к инициализации «Программный комплекс С-Терра Шлюз» со встроенным СКЗИ, разработанным компанией С-Терра СиЭсПи.
Для работы установленных продуктов необходимо провести процедуру начальной инициализации. Для этого, прежде всего, получите доступ к консоли модуля МСМ-950:
Router# ucse 1 session imc
Trying 192.168.0.254, 2066 ... Open
...
Введите логин и пароль (по умолчанию – admin и password):
Unknown login: admin
Password:
Далее, в консоли введите
Unknown # connect host
CISCO Serial Over LAN:
Close Network Connection to Exit
При каждом старте модуля МСМ-950 в исполнении класса защиты КС2 и КС3 выполняется последовательный контроль целостности файлов следующего звена в цепочке загрузки системы вплоть до загрузки СКЗИ, а затем передача управления на него. Начальным звеном в этой цепочке, для которого не требуется проверка, является ПЗУ, в котором записан BIOS и загрузчик ОС. После включения питания управление передается BIOS, а затем на загрузчик ОС. Перезапись ПЗУ запрещена аппаратными средствами.
Осуществляется контроль целостности всех файлов, перечисленных в списке /boot/hashes, для исполнения Продукта класса защиты КС3 – в списках /boot/hashes и /hashes.conf. При нарушении целостности одного из файлов, выдается сообщение
<путь к файлу>: invalid
и дальнейшая проверка файлов прерывается с выдачей предупреждения, что через 10 секунд последует перезагрузка модуля и проверка начнется сначала:
System will be rebooted after 10 seconds...
При невозможности выполнить проверку всех файлов, выключите питание модуля длительным нажатием кнопки питания PWR (примерно 5 сек) на передней панели модуля. Примерно через 10 секунд произойдет выключение модуля. Попытайтесь восстановить содержимое жесткого диска или СЗН «СПДС-USB-01» (не вынимая его из модуля), используя процедуры восстановления из образа, описанные в документе «Инструкция по восстановлению и обновлению ПАК». При невозможности восстановления СЗН, обратитесь в службу поддержки support@s-terra.ru для его замены.
При успешной проверке целостности всех файлов появляется сообщение:
Continue loading...
После загрузки ОС появляется просьба запустить процесс инициализации:
System is not initialized.
Please run /opt/VPNagent/bin/init.sh to start initialization procedure
и приглашение для входа в ОС.
Шаг 1: Войдите в ОС. Для исполнения Продукта класса защиты КС1 для входа в систему используется:
имя пользователя – root
пароль пустой
Для исполнения Продукта класса защиты КС2 или КС3 для входа в систему используется:
имя пользователя – administrator
пароль – s-terra.
Затем необходимо ввести специальную команду system.
Шаг 2: Запустите скрипт /opt/VPNagent/bin/init.sh для старта процедуры начальной инициализации С-Терра Шлюз.
Во время выполнения инициализационный скрипт может быть прерван нажатием комбинации клавиш Ctrl+C.
При возникновении ошибки процесс инициализации прерывается и на экран выдается сообщение об ошибке.
Шаг 3: Выполняется только в случае использования СКЗИ «КриптоПро CSP». Запрашивается лицензионная информация для CryptoPro CSP: "You have to enter license for CryptoPro CSP. Enter serial number:". При вводе неверного номера лицензии предлагается ввести Лицензию еще раз.
Шаг 4: Инициализируется ДСЧ: "You should initialize RNG. Press <Enter> to proceed…"
Для исполнений класса защиты KC1 проводится «биологическая» инициализация начального значения ДСЧ: поэтому предлагается понажимать клавиши: "Press keys… [ ]". По окончании выдается сообщение "Initialization SUCCESS".
Для исполнений класса защиты КС2 и KC3 инициализация начального значения ДСЧ выполняется без участия пользователя.
Шаг 5: Далее запрашивается лицензионная информация на С-Терра Шлюз: "You have to enter license for S-Terra Gate". Предлагаются следующие пункты для ввода:
Available product codes:
GATE100
GATE100B
GATE100V
GATE1000
GATE1000V
GATE3000
GATE7000
GATE10000
RVPN
RVPNV
BELVPN
BELVPNV
UVPN
UVPNV
KZVPN
KZVPNV
Enter product code: (выберите RVPN или RVPNV)
Enter customer code:
Enter license number:
Enter license code:
Шаг6: Следует вопрос о корректности введенных данных:"Is the above data correct?" После получения подтверждения инициализация продолжается без дополнительных вопросов. Если подтверждение не получено, топредлагается ввести Лицензию еще раз.
Шаг 7: Далее запускается vpn-демон (для класса защиты КС2 и КС3 vpn-демон запускаться не будет), создается пользователь "cscons" с назначенным ему начальным паролем "csp".
Если инициализация завершилась успешно, то выдается сообщение: "Initialization complete". При последующих стартах системы предупреждение о необходимости инициализации системы не выдается.
Если инициализация завершилась неуспешно, то об этом выдаётся соответствующее сообщение. При следующем старте комплекса администратору снова будет выдаваться предупреждение об инициализации.
Драйвер Продукта установлен на все обнаруженные сетевые интерфейсы.
«Программный комплекс С-Терра Шлюз» установлен в каталог /opt/VPNagent.
При инициализации С-Терра Шлюз устанавливается политика Default Driver Policy = Dropall, при которой интерфейсы шлюза безопасности не пропускают никакие пакеты, и выдается сообщение:
Default driver policy is configured to block network traffic.
Network is inaccessible in this mode.
You can change it using "/opt/VPNagent/bin/dp_mgr" utility or load security policy.
Сразу после инициализации модуля (в случае исполнения Продукта класса защиты КС1) и при последующих его стартах автоматически запускается утилита cspvpn_verify для проверки целостности установленного Продукта С-Терра Шлюз, которая описана в документе «Специализированные команды». При нарушении целостности Продукта попытайтесь восстановить содержимое жесткого диска или СЗН «СПДС-USB-01» (не вынимая его из модуля), используя процедуры восстановления из образа, описанные в документе «Инструкция по восстановлению и обновлению ПАК». При невозможности восстановления СЗН, обратитесь в службу поддержки support@s-terra.ru для его замены.
В случае исполнения Продукта класса защиты КС1:
· для входа в Cisco-like интерфейс командной строки нужно использовать имя пользователя "cscons" (начальный пароль "csp")
· для входа в ОС предназначено имя "root" (изначально без пароля).
В случае исполнения класса защиты КС2 и КС3, имена пользователей задаются администратором. Подробнее описано в разделе «Разграничение доступа (для КС2, КС3)».