Создание учетной записи для С-Терра Шлюз

1.    В меню Clients консоли С-Терра КП выберите предложение Create (Рисунок 118).

Рисунок 118

Появившееся окно Createnew client (Рисунок 119) создания новой учетной записи управляемого VPN устройства имеет следующие поля:

•      Client ID – уникальный идентификатор Клиента управления, может состоять из любых символов, за исключением следующих: <ПРЯМОЙ СЛЕШ>, <ОБРАТНЫЙ СЛЕШ>, <ДВОЕТОЧИЕ>, <ЗВЕЗДОЧКА>, <СИМВОЛ ВОПРОСА>, <ДВОЙНЫЕ КАВЫЧКИ>, <ЗНАК МЕНЬШЕ>, <ЗНАК БОЛЬШЕ>, <ВЕРТИКАЛЬНАЯ ЧЕРТА>, <ТАБУЛЯЦИЯ>. Идентификатор не должен начинаться или заканчиваться символами <ПРОБЕЛ> или <ТОЧКА>, и не должен быть равен “NUL” или “CON”, или “PRN”, или “AUX”, или “COMx”, где xÎ[1..9], или “LPTx”, где xÎ[1..9]

•      Product package – файл .vpd, содержащий настройки VPN продукта, установленного на управляемом VPN устройстве. Файл создается с помощью окна VPN data maker, вызываемого кнопкой E

•      Кнопка E – вызывает окно VPN data maker для задания настроек VPN продукта и среды его функционирования

•      UPAgent settings – путь до файла csettings.txt, содержащего настройки Клиента управления. Задан по умолчанию (см. главу «Настройки Клиента управления»).

Рисунок 119

2.      В поле Client ID введите идентификатор Клиента управления, например, gate0.

3.      В поле UPAgent settings  путь по умолчанию - /storage/COMMON/csettings.txt. Если требуется изменить значение - нажмите кнопку … , выберите необходимый файл и нажмите ОК (Рисунок 120).

Рисунок 120

4.      В поле Product package  нажмите кнопку E, появится окно VPN data maker (Рисунок 121).

Рисунок 121

5.      В окне VPN data maker выберите продукт S-Terra Gate 4.2/4.1/CSP VPN Gate 3.11/3.1 и криптобиблиотеку, S-Terra или CryptoPro (Рисунок 121.

6.      Далее нужно задать настройки VPN продукта и среды его функционирования. Сложную политику можно задать во вкладке LSP в виде LSP или cisco-like конфигурации, или загрузить из файла, предварительно создав его. А остальные настройки ввести в других вкладках.
Для создания несложной политики можно использовать окна мастера, нажав кнопку Run Wizard в окне VPN data maker, появится окно для выбора метода аутентификации шлюза при взаимодействии со своими партнерами (Рисунок 122). Интерфейс этого окна описан в разделе «Задание политики и настроек с использованием мастера».

Рисунок 122

7.      Выполните п.п. 1-4 предыдущего раздела «Получение локальных сертификатов при помощи инструмента CA tools».

8.      В области Trusted certificates первого окна мастера нажмите кнопку Add from CA… и выберите СА сертификат, которым подписаны созданные ранее локальные сертификаты (Рисунок 123).

Рисунок 123

9.      В области Local certificates нажмите кнопку Add from CA… и выберите локальный сертификат для центрального шлюза (Рисунок 124).

Рисунок 124

10.   В окне Certificate description укажите имя контейнера на управляемом VPN устройстве, в котором будет располагаться контейнер с закрытым ключом. Имя может быть создано автоматически путем нажатия кнопки Generate name. Назначьте новый пароль для контейнера, или оставьте это поле пустым и нажмите кнопку ОК (Рисунок 125).

Рисунок 125

11.   Указанные сертификаты добавятся в профиль, нажмите кнопку Next (Рисунок 126).

Рисунок 126

12.   В следующем окне задайте правила обработки трафика, согласно которым центральный шлюз будет пропускать трафик от управляемых VPN устройств к Серверу управления и обратно. При этом трафик между управляемыми VPN устройствами и центральным шлюзом должен быть защищен (Рисунок 127). Для создания правила обработки трафика нажмите кнопку Add.

Рисунок 127

Рисунок 128

13.   Создаваемое правило привяжите к интерфейсу шлюза с логическим именем FastEthernet0/0, который смотрит во внешнюю сеть. В области Local IP Addresses (Рисунок 128) укажите адрес защищаемой подсети - 10.0.0.0/16. Шлюз должен взаимодействовать с любыми партнерами, поэтому в области Partner IP Addresses поставьте переключатель в положение Any. В области Action - переключатель в положение Protect using IPsec, не указывая адрес IPsec партнера (адрес может быть любым).

14.   В результате для интерфейса FastEthernet0/0 получим:

SRC: 10.0.0.0/16 - DST: any; action Protect using IPsec

SRC: any - DST: any; action DROP

Можно задать правила обработки сетевого трафика общие для всех интерфейсов, для этого поле Network interface alias остается пустым. Такие правила применяются к интерфейсам, к которым не привязаны другие правила. Например, правило по умолчанию (SRC: any - DST: any; action PASS) действует на все остальные интерфейсы и не ограничивает прохождение сетевого трафика (pass) - Рисунок 127.

15.   После нажатия кнопки ОК появится предупреждение (Рисунок 129). Нажмите кнопку Yes.

Рисунок 129

16.   Увеличьте приоритет созданного правила обработки трафика (Рисунок 130), нажав кнопку Up.

Рисунок 130

Рисунок 131

17.   Нажмите кнопку Next (Рисунок 131).

18.   Введите данные лицензии на продукт S-Terra Gate/CSP VPN Gate, а также серийный номер лицензии на продукт КриптоПро CSP 3.9/4.0. Если на шлюзе лицензия на КриптоПро CSP уже задана и не требуется ее замена, то поле Serial number оставьте пустым. При использовании криптобиблиотеки S-Terra поле Serial number недоступно (Рисунок 132).

Рисунок 132

19.   Сохраните введенные данные в окнах мастера, нажав кнопку Save…(Рисунок 132), и укажите имя DSC-проекта в любом созданной вами директории в файловом хранилище (Рисунок 133).

Рисунок 133

20.   В окне мастера нажмите кнопку Finish (Рисунок 132). Все введенные данные будут отражены во вкладках окна VPN data maker (Рисунок 134), за исключением вкладки Interfaces.

Рисунок 134

21.   Перейдите во вкладку Interfaces и задайте соответствие между логическими и физическими именами интерфейсов шлюза безопасности. Для получения имен интерфейсов используйте:

•      утилиту /opt/VPNagent/bin/if_mgr show – для CSP VPN Gate 3.1, 3.11, S-Terra Gate 4.2

•    утилиту /opt/VPNagent/bin/if_show - для S-Terra Gate 4.1 

Во вкладке Interfaces установите флажок Network interface aliases, нажмите кнопку Add и в окне Network interface alias введите логическое и физическое имена интерфейсов (Рисунок 135).

Рисунок 135

22.   Для задания интерфейсам шлюза адресов установите флажок Network interface description и, воспользовавшись кнопкой Add, назначьте интерфейсам с физическими именами адреса (Рисунок 136 ). Нажмите кнопку ОК дважды.

Рисунок 136

23.   Во вкладке Interfaces нажмите кнопку ОК, появится окно с настройками новой учетной записи управляемого VPN устройства (Рисунок 137), нажмите кнопку Create.

Рисунок 137

24.   В консоли С-Терра КП в таблице учетных записей управляемых VPN устройств появилась новая учетная запись gate0. Переведите её в активное состояние, выбрав в контекстном меню предложение Enable (Рисунок 138).

Рисунок 138

25.   Для установки Клиента управления и обновления настроек S-Terra Gate/CSP VPN Gate следует подготовить два инициализационных скрипта. Для учетной записи gate0 выберите предложение Get packages в контекстном меню (Рисунок 139).

Рисунок 139

26.   Откроется окно Get packages, в котором необходимо прописать директорию для сохранения скриптов в поле Folder for saving. Для этого нажмите кнопку … (Рисунок 140).

Рисунок 140

27.   В открывшемся окне укажите директорию для сохранения скриптов в файловой системе Сервера управления (либо на подключенный заранее USB-флеш), например, E:\gate0 (Рисунок 141).

Рисунок 141

28.   Далее в поле Containers окна Get packages нажмите кнопку Add и укажите имя созданного контейнера в файловой системе Сервера управления и имя нового контейнера на управляемом VPN устройстве (совпадает с именем в окне Certificate description, см. п. 5), а также пароли для них, если были заданы (Рисунок 142). Нажмите кнопку ОК.

Рисунок 142

29.   Нажмите кнопку Save в окне Get packages (Рисунок 143).

Рисунок 143

В указанную директорию будут сохранены два файла (Рисунок 144):

•      setup_upagent.sh – скрипт для инициализации Клиента управления

•      setup_product.sh – скрипт для настройки продукта S-Terra Gate/CSP VPN Gate, содержащий контейнер с ключевой парой

Рисунок 144