Сетевой модуль имеет разъем, с которого предварительно снята крышка и в него вставлена компакт-флеш карта.
Компакт-флеш карта на модуле содержит:
· установленную ОС Debian 6.0.6
· установленный и подготовленный к инициализации Продукт С-Терра Шлюз 4.1 со встроенной криптобиблиотекой от компании «С-Терра СиЭсПи»
либо
· установленные и подготовленные к инициализации продукты С-Терра Шлюз 4.1 и СКЗИ «КриптоПро CSP 3.6R4/3.9».
Для работы установленных продуктов необходимо провести процедуру начальной инициализации. Для этого, прежде всего получите доступ к консоли модуля NME-RVPN (МСМ) с помощью следующей команды:
Router# service-module Special-Services-Engine 1/0 session
Trying 192.168.0.254, 2066 ... Open
При каждом старте модуля NME-RVPN (МСМ) в исполнении класса защиты КС2 и КС3 выполняется последовательный контроль целостности файлов следующего звена в цепочке загрузки системы вплоть до загрузки СКЗИ, а затем передача управления на него. Начальным звеном в этой цепочке, для которого не требуется проверка, является ПЗУ, в котором записан BIOS и загрузчик ОС. После включения питания управление передается BIOS, а затем на загрузчик ОС. Перезапись ПЗУ запрещена аппаратными средствами.
Осуществляется контроль целостности всех файлов, перечисленных в списке /boot/hashes, для исполнения Продукта класса защиты КС3 – в списках /boot/hashes и /hashes.conf. При нарушении целостности одного из файлов, выдается сообщение
<путь к файлу>: invalid
и дальнейшая проверка файлов прерывается с выдачей предупреждения, что через 10 секунд последует перезагрузка МСМ и проверка начнется сначала:
System will be rebooted after 10 seconds...
При невозможности выполнить проверку всех файлов, выключите питание модуля кратковременным нажатием кнопки «shutdown» (меньше 1 сек) на передней панели модуля. Примерно через 10 секунд произойдет выключение модуля. Восстановите содержимое компакт-флеш карты из образа компакт-флеш, который входит в комплект поставки. Выполните эту процедуру согласно документу «Инструкция по восстановлению NME-RVPN модуля (MCM)».
Успешная проверка целостности всех файлов завершается сообщением:
Continue loading...
После загрузки ОС появляется просьба запустить процесс инициализации:
System is not initialized.
Please run /opt/VPNagent/bin/init.sh to start initialization procedure
и приглашение для входа в ОС.
Шаг 1: Войдите в ОС. Для исполнения Продукта класса защиты КС1 для входа в систему используется:
имя пользователя – root
пароль – пустой.
Для исполнения Продукта класса защиты КС2 или КС3 для входа в систему используется:
имя пользователя – administrator
пароль – s-terra.
Затем необходимо ввести специальную команду system.
Шаг 2: Запустите скрипт /opt/VPNagent/bin/init.sh для старта процедуры начальной инициализации С-Терра Шлюз.
Во время выполнения инициализационный скрипт может быть прерван нажатием комбинации клавиш Ctrl+C.
При возникновении ошибки процесс инициализации прерывается и на экран выдается сообщение об ошибке.
Шаг 3: Выполняется только в случае использования СКЗИ «КриптоПро CSP. Запрашивается лицензионная информация для CryptoPro CSP: "You have to enter license for CryptoPro CSP. Enter serial number:". При вводе неверного номера лицензии предлагается ввести Лицензию еще раз.
Шаг4: Инициализируется ДСЧ: "You should initialize RNG. Press <Enter> to proceed…"
Для исполнений класса защиты KC1 проводится «биологическая» инициализация начального значения ДСЧ: поэтому предлагается понажимать клавиши: "Press keys… [ ]". По окончании выдается сообщение "Initialization SUCCESS".
Для исполнений класса защиты КС2 и KC3 инициализация начального значения ДСЧ выполняется без участия пользователя.
Шаг 5: Далее запрашивается лицензионная информация на С-Терра Шлюз : "You have to enter license for S-Terra Gate". Предлагаются следующие пункты для ввода:
Available product codes:
GATE100
GATE100B
GATE100V
GATE1000
GATE1000V
GATE3000
GATE7000
GATE10000
RVPN
RVPNV
BELVPN
BELVPNV
UVPN
UVPNV
KZVPN
KZVPNV
Enter product code: (выберите RVPN или RVPNV)
Enter customer code:
Enter license number:
Enter license code:
Шаг 6: Следует вопрос о корректности введенных данных:"Is the above data correct?" После получения подтверждения инициализация продолжается без дополнительных вопросов. Если подтверждение не получено, то предлагается ввести Лицензию еще раз.
Шаг 7: Далее запускается vpn-демон (в случае исполнения Продукта класса защиты КС2 и КС3, vpn-демон запускаться не будет), создается пользователь "cscons" с назначенным ему начальным паролем "csp".
Если инициализация завершилась успешно, то выдается сообщение: "Initialization complete". При последующих стартах системы предупреждение о необходимости инициализации системы не выдается.
Если инициализация завершилась неуспешно, то об этом выдаётся соответствующее сообщение. При следующем старте комплекса администратору снова будет выдаваться предупреждение об инициализации.
Драйвер Продукта С-Терра Шлюз установлен на все обнаруженные сетевые интерфейсы.
Программный комплекс С-Терра Шлюз установлен в каталог /opt/VPNagent.
При инициализации С-Терра Шлюз устанавливается политика Default Driver Policy = Passdhcp, при которой интерфейсы шлюза безопасности пропускают только пакеты DHCP и в незащищенном виде.
Сразу после инициализации модуля (в случае исполнения Продукта класса защиты КС1) и при последующих его стартах автоматически запускается утилита cspvpn_verify для проверки целостности установленного Продукта S-Terra Gate, которая описана в документе «Специализированные команды». При нарушении целостности восстановите содержимое компакт-флеш карты из образа компакт-флеш, который входит в комплект поставки. Выполните эту процедуру согласно документу «Инструкция по восстановлению NME-RVPN модуля (MCM)».
В случае исполнения Продукта класса защиты КС1:
· для входа в Cisco-like интерфейс командной строки нужно использовать имя пользователя "cscons" (начальный пароль "csp")
· для входа в ОС предназначено имя "root" (изначально без пароля).
В случае исполнения класса защиты КС2 и КС3, имена пользователей задаются администратором. Подробнее описано в разделе «Разграничение доступа».