Инструкция

Партнерка на США и Канаду по недвижимости, выплаты в крипто

30% recurring commission
Выплаты в USDT
Вывод каждую неделю
Комиссия до 5 лет за каждого referral

Инструкция

Перед настройкой Шлюза безопасности (далее ШБ) требуется установить на рабочее место администратора следующее ПО:

Bel VPN Client AdminTool Putty WinBox Win Scp.

Инициализация ключевого носителя информации

Для хранения личного ключа электронной цифровой подписи в ПАК Шлюз безопасности используются ключевые носители AvPass 11-E-02/04, которые необходимо инициализировать перед использованием.

Инициализация носителя типа AvPass

Шаг 1: Подключить ключевой носитель к usb-порту персонального компьютера.

Шаг 2: Вставить компакт-диск S-Terra, котрый шел в комплекте со ШБ. Documentation в устройство считывания компакт-дисков.

После установки Client необходимо скопировать файл AvPassInit содержащийся на компакт-диске S-Terra., в папку c:\Program Files (x86)\Bel VPN Client AdminTool av\. (делается один раз)

Пройти по пути c:\Program Files (x86)\Bel VPN Client AdminTool av\ и вызвать cmd.

Примечание: Для удобства дальнейшей настройки, рекомендуется в Exel-файл внести данные из прилагающейся на продукт лицензии.

Шаг 3: Вызывать утилиту avpassinit. exe с параметром «–pin=», указав после «=» новый пароль. Пример: avpassinit. exe –pin= AVP40********

Формирование запроса и регистрация сертификата

Создайте контейнер на ключевом носителе:

c:\Program Files (x86)\Bel VPN Client AdminTool av\cryptocont. exe n –n= av: AVP40********:BrA-G –p= AVP40********

контейнер – название создаваемого контейнера, для создания на НКИ ДОЛЖНО содержать в начале названия префикс “av:”;

НЕ нашли? Не то? Что вы ищете?

пароль – пароль (PIN) для доступа к носителю ключевой информации AvPass

Сформируйте запрос на сертификат.

c:\Program Files (x86)\Bel VPN Client AdminTool av\cryptcont. exe r –n=контейнер –p=пароль –cn=CommonName – c=BY –o=OrgName –t=OrgUnitName –f=путь_к_файлу

контейнер – название контейнера, созданного на предыдущем шаге;

пароль – пароль (PIN) для доступа к носителю ключевой информации;

CommonName – идентификатор устройства;

OrgName – наименование организации;

OrgUnitName – наименование подразделения;

путь_к_файлу – путь к файлу с создаваемым запросом, рекомендуется указывать расширение “.req”.

c:\Program Files (x86)\Bel VPN Client AdminTool av\cryptcont. exe r –n= av: AVP40********:BrA-G –p= AVP40******** –cn=BrA-G – c=BY –o= BrA –t= Replication –f= /opt/certs/BrA-Gate. req

Отправка e-mail на *****@***by с вложением BrA-Gate. req.
Передайте полученный запрос сертификата на УЦ и получите файл сертификата (в с расширением p7b или cer).

Если вы получили файл сертификата в формате p7b, выполните экспорт в отдельные cer файлы

Открыть файл Сертификаты

Выделить сертификат, Правой клавишей мыши-Все задачи-Экспорт.

Далее.

Сохранить.

5. Отключить ключевой носитель от ПК и подключить его к ПАК Шлюз безопасности.

Инициализация шлюза безопасности

В качестве терминала для аппаратной платформы (АП), на которой установлен программно-аппаратный комплекс Шлюз безопасности, можно использовать монитор и клавиатуру или последовательный интерфейс, подключенные к соответствующим разъемам АП.

Шаг 1: Подключить к ПАК монитор и клавиатуру или последовательный порт компьютера в качестве терминала, используя нуль-модемный кабель (5 проводов).

На компьютере используйте терминальную программу, например, Windows HyperTerminal или Putty.

Во вкладке Connect To нажать кнопку Configure и выполнить следующие настройки COMпорта:

Bits per second: 115200

Data bits: 8

Parity: None

Stop bits: 1

Flow control: None

Шаг 2: Подключить ПАК к сети переменного тока и нажать кнопку питания на АП.

В процессе загрузки указать, что будет использоваться в качестве терминала для аппаратной платформы:

1) монитор и клавиатура

2) последовательный порт

Шаг 3: После загрузки ОС войти в систему, используя следующие реквизиты:

имя пользователя – root

пароль – пустой.

Шаг 4: Выполнить процедуру инициализации программного комплекса S-Terra Gate, описанную в разделе «Инициализация шлюза безопасности при первом старте».

Инициализация шлюза безопасности при первом старте

При старте программно-аппаратного комплекса после загрузки ОС появляется предупреждение "System is not initialized. Please run /opt/VPNagent/bin/init. sh to start initialization procedure" и приглашение для входа в ОС.

Ниже пошагово описаны действия, которые необходимо выполнить для инициализации шлюза безопасности.

Шаг 1: Запустить скрипт /opt/VPNagent/bin/init. sh для старта процедуры начальной инициализации шлюза безопасности.

Во время выполнения, инициализационный скрипт может быть прерван нажатием комбинации клавиш Ctrl+C.

При возникновении ошибки процесс инициализации прерывается и на экран выдается сообщение об ошибке.

Шаг 2: Далее проводится инициализация начального значения ДСЧ.

Шаг 3: Далее запрашивается лицензионная информация на Шлюз безопасности (сведения, необходимые для ввода находятся на бланке «Лицензии на использование программно-аппаратного комплекса Шлюз безопасности” , входящем в комплект поставки):

You have to enter license for Bel VPN Gate

Предлагаются следующие пункты для ввода:

Available product codes:

GATE100

GATE100B

GATE100V

GATE1000

GATE1000V

GATE3000

GATE7000

GATE10000

RVPN

RVPNV

BELVPN

BELVPNV

UVPN

UVPNV

KZVPN

KZVPNV

Enter product code: – ввести код продукта

Enter customer code: – ввести код конечного пользователя

Enter license number: – ввести номер лицензии

Enter license code: – ввеcти код лицензии

Шаг 4: Следует вопрос о корректности введенных данных:"Is the above data correct?". После получения подтверждения инициализация продолжается без дополнительных вопросов. Если получен отрицательный ответ – предлагается ввести лицензионную информацию повторно.

Шаг 5: Далее запускается vpn-демон, создается пользователь "cscons" с назначенным ему начальным паролем "csp".

Если инициализация завершилась успешно, то выдается сообщение: "Initialization complete". При последующих стартах системы предупреждение о необходимости инициализации системы не выдается.

Если инициализация завершилась неуспешно, то об этом выдаётся соответствующее сообщение. При следующем старте комплекса администратору снова будет выдаваться предупреждение об инициализации.

При инициализации шлюза безопасности устанавливается политика безопасности, при которой интерфейсы шлюза безопасности не пропускают пакеты – Default Driver Policy = Dropall.

Выдается информационное сообщение:

Default driver policy is configured to block network work is inaccessible in this mode. You can change it using "${AgentRoot}bin/dp_mgr" utility or load security policy.

Для входа в Cisco-like интерфейс командной строки нужно использовать имя пользователя "cscons" (начальный пароль "csp"),

Для входа в ОС предназначено имя "root" (изначально без пароля).

После инициализации шлюза безопасности следует перейти к настройке шлюза безопасности, которая описывается в документе «Программно-аппаратный комплекс «Шлюз безопасности». Руководство администратора. Общие настройки».

Задать пароль на SSH.

Регистрации CA сертификата

Для регистрации CA сертификата (сертификата УЦ) необходимо выполнить следующие действия:

1.Создайте папку /opt/certs:

root@sterragate:~# mkdir /opt/certs

2. Доставьте файлы сертификатов на Шлюз безопасности в предварительно созданный на нем каталог /opt/certs. Для доставки используйте программу Win SCP > IP addres

Включить в LAN3 консольный кабель и запустить Win SCP.

3. Выполните импорт сертификата(для всех имеющихся, кроме личного) УЦ в базу Шлюза используя утилиту cert_mgr:

root@sterragate:~# cert_mgr import –f путь_к_файлу –t

путь_к_файлу – полный путь к файлу сертификата УЦ

root@sterragate:~# cert_mgr import –f /opt/certs/ KUC. cer –t

1 OK C=BY, L=Minsk, O=S-Terra, OU=Research, CN=UC

root@sterragate:~# cert_mgr import –f /opt/certs/ RUC. cer –t

4. Выполните импорт локального (личного) сертификата в базу Шлюза:

root@sterragate:~# cert_mgr import –f путь_к_файлу –kc контейнер –kcp пароль

путь_к_файлу – полный путь к файлу сертификата УЦ;

контейнер – название контейнера, созданного ранее;

пароль – пароль для доступа к ключевому носителю информации.

root@sterragate:~#cert_mgr import - f /opt/certs/ BrA. cer - kc av:BrA-G - kcp AVP4070215398

1 OK CN=GW1,C=BY, O=S-Terra, OU=Research

5. Выведите список сертификатов, находящихся в базе Шлюза, командой cert_mgr show и проверьте наличие записей trusted и local:

root@sterragate:~# cert_mgr show

Found 2 certificates. No CRLs found. 1 Status: trusted C=BY, L=Minsk, O=S-Terra, OU=Research, CN=UC 2 Status: local CN=GW1, C=BY, O=S-Terra, OU=Research

6. Отключите обработку списка отозванных сертификатов (CRL):

BrA(config)#crypto pki trustpoint s-terra_technological_trustpoint

BrA(ca-trustpoint)#revocation-check none

7. Убедитесь что все сертификаты активны – статус сертификата должен быть active:

root@sterragate:~# cert_mgr check

1 State: Active C=BY, L=Minsk, O=S-Terra, OU=Research, CN=UC

2 State: Active CN=GW1,C=BY, O=S-Terra, OU=Research

8. Отключить интерфейс g0/2 с IP-адресом для WIN SCP и снять с него данный ip-адресс

Настройка шлюза безопасности ТОР

Настройку начните со шлюза безопасности GW1. Все настройки производятся через локальную консоль или удаленно (SSH с правами суперпользователя) по доверенному каналу связи.

1. Для входа в консоль запустите cs_console:

root@sterragate:~# cs_console sterragate>en

Password:

Пароль по умолчанию: csp.

2. Перейдите в режим настройки:

sterragate#conf t

Enter configuration commands, one per line. End with CNTL/Z.

3. В настройках интерфейсов задайте IP-адреса:

sterragate(config)#interface GigabitEthernet 0/0

sterragate(config-if)#ip address из локальной сети ТОР

sterragate(config-if)#no shutdown

sterragate(config-if)#exit

sterragate(config)#interface GigabitEthernet 0/1

sterragate(config-if)#ip address из выделенной сети сотр. НКА

sterragate(config-if)#no shutdown

sterragate(config-if)#exit

sterragate(config)#interface GigabitEthernet 0/2 (для загрузки сертификата на шлюз. после загрузки следует откдючить и снять IP-адрес)

sterragate(config-if)#ip address для WIN SCP

sterragate(config-if)#no shutdown

sterragate(config-if)#exit

4. Задайте адрес шлюза по умолчанию:

sterragate(config)#ip route 0.0.0.0 0.0.0.0 ip-add шлюза по умолчанию ТОР

5. Выйдите из cisco-like интерфейса:

sterragate(config)#end

sterragate#exit

6. Установите правильное системное время.

Выйти из консольного режима

root@sterragate:~# date MMDDHHmmYYYY

MM – месяц;

DD – день;

HH – часы;

mm – минуты;

YYYY – год

root@sterragate:~# date 041013152013

Wed Apr 10 13:15:00 UTC 2013

Данная запись соответствует 10 апреля 2013 года 13:15.

Создание политики безопасности

После регистрации сертификатов необходимо создать политику безопасности для BrA. Создавать политику рекомендуется в интерфейсе командной строки. Для входа в консоль запустите cs_console:

root@sterragate:~# cs_console

sterragate>en

Password:

Пароль по умолчанию: csp

1. Перейдите в режим настройки:

sterragate#conf t

Enter configuration commands, one per line. End with CNTL/Z.

2. Смените название шлюза:

sterragate(config)#hostname BrA-G

3. Задайте тип идентификации:

BrA-G(config)#crypto isakmp identity dn

4. Задайте параметры для IKE:

BrA-G(config)#crypto isakmp policy 1

BrA-G(config-isakmp)#hash belt

BrA-G(config-isakmp)#encryption belt

BrA-G (config-isakmp)#authentication belt-sig

BrA-G (config-isakmp)#group beltdh

BrA-G (config-isakmp)#exit

5. Создайте набор преобразований для IPsec:

BrA-G (config)#crypto ipsec transform-set BELT esp-belt esp-belt-mac

BrA-G (cfg-crypto-trans)#mode tunnel

BrA-G (cfg-crypto-trans)#exit

6. Опишите трафик, который планируется защищать. Для этого создайте расширенный список доступа:

BrA-G (config)#ip access-list extended ACLRepl

BrA-G (config-ext-nacl)#permit ip host ip-add natted для репликаций host ip-add natted БД НКА

BrA-G (config-ext-nacl)#exit

BrA-G (config)#ip access-list extended ACLRes

BrA-G (config-ext-nacl)#permit ip host ip-add natted для пользователей host ip-add natted ресурсов НКА

BrA-G (config-ext-nacl)#exit

7. Создайте крипто-карту

BrA-G (config)#crypto map CMAP 1 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer

and a valid access list have been configured.

BrA-G (config-crypto-map)#match address ACLRepl

BrA-G (config-crypto-map)#set transform-set BELT

BrA-G (config-crypto-map)#set pfs beltdh

BrA-G (config-crypto-map)#set peer IP-адрес WAN сети НКА

BrA-G (config-crypto-map)#exit

BrA-G (config)#crypto map CMAP 2 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer

and a valid access list have been configured.

BrA-G (config-crypto-map)#match address ACLRes

BrA-G (config-crypto-map)#set transform-set BELT

BrA-G (config-crypto-map)#set pfs beltdh

BrA-G (config-crypto-map)#set peer IP-адрес WAN сети НКА

BrA-G (config-crypto-map)#exit

8. Привяжите крипто-карту к интерфейсу, на котором будет туннель:

BrA-G (config)#interface GigabitEthernet 0/0

BrA-G (config-if)#crypto map CMAP

BrA-G (config-if)#exit

9. Настройка устройства BrA-G в cisco-like консоли завершена. При выходе из конфигурационного режима происходит загрузка конфигурации:

BrA-G (config)#end

BrA-G #exit

Сброс параметров и настройка маршрутизатора

Подключаем маршрутизатор к сети питания и через консоль к ПК администратора.

1. Запускаем программу WinBox.

2. Сброс начальной конфигурации.

Примечание: Если необходимо сбросить настройки аппаратно, нужно включить питание и сразу же зажать кнопку res/wps на устройстве. Дождаться пока проморгает лампочка usr.

Нажать Remove Configuration.

3. Дать имена интерфейсам

Нажать вкладку Interfaces

Двойным щелчком открыть настройки интерфейса

Интерфейс ether 1 изменяем на BelVPN, нажимаем ОК.

Интерфейс ether 2 изменяем на BrA-lan, нажимаем ОК.

4. Задать IP-адреса.

Нажать на вкладку IP, выбрать Address

Нажать кнопку Add(добавить).

В поле Address вводим IP адрес для интерфейса BelVPN.

Ip-add natted - IPадрес интерфейса, который смотрит в сеть с ШБ

Нажать ОК.

Снова нажать Add.

Для интерфейса BelVPN добавить еще один IP-адрес. Нажать ОК.

Ip-add natted – назначается для преобразования адреса IP – адрес сервера для дальнейшей передачи пакета в сеть НКА к серверу.

Снова нажать Add.

Теперь нужно назначить IP-адрес интерфейсу BrA-lan.

Ip-add из локальной сети ТОР – IP – адрес интерфейса, который смотрит в сеть ТОР.

В строке Interface выбрать нужное название интерфейса BrA-lan. Нажать ОК.

5. Настроить NAT

На вкладке IP выбираем Firewall.

Выбираем вкладку NAT. Нажимаем Add(добавить).

В строке Chain выбираем srcnat.

В строке Sc. Address назначаем IP – адрес

Ip add БД – IP – адрес сервера баз данных на стороне ТОР.

В строке Out. Interface выбираем BelVpn.

Переходим на вкладку Action, в строке Action выбираем sc-nat. В строке To Addresses пишем IP – адрес в который будет преобразовываться по NAT на маршрутизаторе IP – ip - адрес

Для удобства необходимо оставить комментарий.

Нажимаем ОК.

Создаем еще одно NAT правило.

Для любого устройства из локальной сети ТОР

В строке Out. Interface выбираем BelVpn.

Переходим на вкладку Action, в строке Action выбираем sc-nat. В строке To Addresses пишем IP – адрес в который будут преобразовываться по NAT на маршрутизаторе IP – адреса из сети ТОР