Как настроить континент скзи

2. Континент 4 Getting Started. Установка, инициализация

Приветствую читателей во второй статье цикла Континент Getting Started. Сегодня мы установим и настроим Континент 4.1 на виртуальную машину и познакомимся с интерфейсом управления. В прошлой статье мы предварительно показали настройку VMware Workstation, теперь перейдем к созданию ВМ Континент (УБ с ЦУС):

Указываем путь к ISO образу;

В качестве гостевой ОС указываем CentOS 4 (and later) x64;

CPU – 4, RAM – 10 ГБ, HDD – 100 ГБ;

Указываем сетевые интерфейсы.

VMnet1 – интерфейс подключения к DMZ (eth1).

VMnet2 – интерфейс подключения к LAN-сети (eth2).

NAT – интерфейс для подключения к сети Интернет (eth0).

Инициализация ЦУС

1.Запускаем виртуальную машину, выбираем язык установки и нажимаем «Установить Континент …». Тип платформы – «Настраиваемая» Начнется установка ОС Континент. После установки ОС необходимо проинициализировать ЦУС. В главном меню выбираем «Инициализация» – «Узел безопасности с центром управлению сетью»:

Запустится процесс инициализации сетевого устройства с последующим сообщением об успешной инициализации. После этого необходимо настроить:

Системное время. Необходимо для журналирования. «Настройки» – «Системное время»;

Создать и загрузить сертификаты. Необходимо создать корневой сертификат и сертификат управления ЦУС. Нажимаем в главном меню «Сертификаты». Для создания корневого сертификата необходимо выбрать «Сертификаты УЦ» нажать F2 и заполнить данные для сертификата.

Для создания сертификата управления ЦУС выбираем «Сертификаты» – «Сертификаты управления» – F2.

После создания сертификатов необходимо настроить ЦУС. В главном меню нажимаем «Настройка ЦУС» Выбираем ранее созданный сертификат управления и задаем пароль для учетной записи admin. После этого выбираем интерфейс управления.

Для управления ЦУС у нас используется интерфейс ge-2-0 (eth2). Задаем адрес интерфейса – 192.168.1.1/24. Поле «Шлюз» оставляем пустым. К этому адресу будет выполняться подключение для управления сетью Континент.

Применяем указанные настройки. ЦУС успешно настроен. Можем авторизоваться и просмотреть сведения об устройстве.

Менеджер конфигурации

После инициализации ЦУС необходимо установить Менеджер конфигурации (программа управления сетью Континент) и настроить АРМ администратора. С ВМ Администратора запускаем мастер установки Менеджера конфигурации и следуем инструкциям установки. После установки перезагрузим компьютер и запустим Менеджер конфигурации. При первом запуске программы потребуется инициализация биологического датчика случайных чисел. Следуя инструкции инициализируем ДСЧ.

Установим соединение с ЦУС, указав следующие параметры:

«Тип входа» – «С использованием пароля»;

«Сервер» – IP-адрес интерфейса управления ЦУС – 192.168.1.1;

«Учетная запись» – admin, «Пароль»

Выполнится подключение к ЦУС. Так выглядит окно управления сетью Континент.

В навигационном меню есть следующие вкладки:

Контроль доступа – настройка межсетевого экранирования.

Виртуальные частные сети – настройка VPN.

Система обнаружения вторжений – настройка функций компонента детектора атак.

Структура – содержит список узлов безопасности. Здесь производится настройка УБ и активация его компонентов.

Администрирование – содержит настройки администраторов комплекса, выпуск сертификатов, обновление комплекса, лицензии и резервные копии.

Необходимо произвести следующие настройки:

Добавить действующую лицензию на узел безопасности;

Выполнить сетевые настройки;

Настроить систему мониторинга.

Для добавления лицензии переходим «Администрирование» – «Лицензии». По умолчанию к шлюзу привязана демо лицензия с ограниченным набором компонентов и сроком 14 дней. Загрузим действующие лицензии в репозиторий.

Далее необходимо привязать на УБ действующую лицензию и отвязать демо лицензию.

Сохраним изменения, нажав на кнопку «Сохранить» в левом верхнем углу. Далее настроим сетевые параметры. «Структура» – ПКМ по УБ – «Свойства». Внутренний интерфейс управления у нас уже был задан при инициализации ЦУС. Теперь необходимо указать внешний интерфейс, интерфейс подключения к DMZ и задать маршрут по умолчанию в соответствии с макетом.

Во вкладке интерфейсы можно:

Указать тип назначения интерфейса: внешний, внутренний, мониторинг, порт коммутатора

Добавить VLAN и loopback интерфейсы

Создать Bridge-интерфейс, агрегацию

Для настройки маршрутизации перейдем в «Статические маршруты»

Стоит отметить, что Континент поддерживает работу по протоколам динамической маршрутизации OSPF и BGP.

Укажем часовой пояс для системы мониторинга. Сохраним настройки и установим политику на ЦУС.

Система мониторинга

Завершающая процедура подготовки рабочего места администратора – настройка подключения к подсистеме мониторинга по протоколу https. Защищенное соединение при подключении к системе мониторинга реализуется при помощи двух алгоритмов шифрования:

ГОСТ Р 34.11-2012 (Стрибог) – требует дополнительное ПО СКЗИ «Континент TLS VPN Клиент»

В рамках данного цикла выполним подключение, используя алгоритм RSA. Для этого потребуется выпустить корневой RSA сертификат и сертификат системы мониторинга. Переходим «Администрирование» – «Сертификаты» – «Корневые центры сертификации». В качестве алгоритма подписи указываем RSA.

Для сертификата системы мониторинга: «Сертификаты» – «Персональные сертификаты»

Название – используется для подключения по https

Типа сертификата – web-мониторинг

Корневой сертификат – созданный ранее корневой RSA сертификат

Привяжем созданные сертификаты к ЦУС. «Структура» – ПКМ по УБ – «Свойства» – «Сертификаты»

Сохраним настройки и установим политику на узел безопасности.

Для доступа к системе мониторинга указывается URL персонального сертификата мониторинга. В нашем случае это https://mon-aes. Для доступа к системе мониторинга необходимо соответствующим образом настроить DNS сервер или дополнить файл hosts.

Инициализация и настройка подчиненного узла безопасности

Инициализируем подчиненный узел, защищающий сеть филиала. Инициализация УБ идентична инициализации ЦУС. За исключением нескольких деталей:

1.При установке ОС выбираем язык установки и нажимаем «Установить Континент …». Тип платформы – «Настраиваемая»

2.Инициализируем устройство как «узел безопасности»

3.В ЦУСе мы выпускали сертификаты в локальном меню. Для того, чтобы выпустить сертификат управления подчиненным узлом, необходимо создать запрос на выпуск сертификата. Выбираем «Сертификаты» – «Запросы на выпуск сертификатов» – F4. Запрос записывает на USB-носитель и передается в Менеджер конфигурации.

4.В Менеджере конфигурации выпускаем сертификат на основании запроса. «Сертификаты» – «Персональные сертификаты» – Создать – «Загрузить данные из файла запроса»

5.Далее необходимо создать УБ: «Структура» – «Узел безопасности». Указываем идентификатор устройства и подгружаем созданный сертификат. Сохраняем изменения и привязываем лицензию на узел безопасности.

6.Экспортируем конфигурацию узла на usb-носитель. ПКМ по УБ – «Экспортировать конфигурацию узла». USB-носитель с конфигурацией подключаем к ВМ с подчиненным узлом и нажимаем «Подключиться к ЦУС».

7.Настраиваем интерфейс управления ge-0-0 (eth0). В нашем макете мы реализуем следующий сценарий: доступ из филиала в Интернет будет осуществляться через ЦУС, находящийся в центральном офисе. Поэтому, в качестве шлюза по умолчанию указывается IP-адрес ЦУСа.

8.Инициализация устройства закончена. Далее требуется подтвердить изменения в Менеджере конфигурации, настроить сетевые интерфейсы и указать часовой пояс.

Сохраняем и устанавливаем политику на узлы безопасности.

Отметим, что в комплексе Континент 4.1 есть возможность развертывания массива УБ. Для этого в Менеджере конфигурации в разделе «Структура» необходимо нажать «Мастер создания УБ». Далее необходимо выбрать количество УБ (максимум 50), указать путь для сохранения расширенных контейнеров (понадобятся для инициализации УБ) и настроить каждый из них.

Созданные узлы безопасности отобразятся в разделе «Структура». Далее в локальном меню необходимо инициализировать УБ с подключенным USB-носителем, на котором находятся расширенные контейнеры.

Заключение

На этом статья подошла к концу. Мы развернули узел безопасности с центром управлению сетью и подчиненный узел безопасности на виртуальные машины. Настроили АРМ администратора и систему мониторинга. В следующей статье рассмотрим компонент «Межсетевой экран» и настроим базовую политику.

Подробную информацию о продукте можно найти на странице Код Безопасности.

P.S. Если у вас уже есть устройства Континент, вы можете обратиться к нам за профессиональной технической поддержкой, в то числе оставить заявку на бесплатный тикет.

Автор — Дмитрий Лебедев, инженер TS Solution

Источник

Настройка рабочего места для доступа к СУФД в 2021 году.

Наконец то мы дождались изменений в настройке доступа к СУФД. С мая 2021 года УФК планомерно переводит ведомства на новый тип авторизации на портале. Что изменилось?

p, blockquote 1,0,0,0,0 —>

Уходят в небытие забытые пароли, учётные записи и, самое главное, казначейство наконец избавляется от Континент АП 3.7. К сожалению, сама контора, разрабатывающая континент — никуда не делась, вместо неё теперь используется Континент TLS VPN клиент. Зато теперь больше не нужно перевыпускать транспортные сертификаты =).

p, blockquote 2,0,0,0,0 —>

Что нам понадобится для настройки

1. Сертификат, полученный в казначействе на человека, указанного в карточке образцов подписей;
2. Крипто Про CSP 4;
3. Крипто Про ЭЦП Browser Plugin;
4. Континент TLS VPN клиент;
5. Почти любой современный браузер, но лучше всего подойдёт Chrome или Chromium Gost.
5. Серверный сертификат казначейства, его можно скачать по ссылке;
6. Нужно знать прошлый адрес доступа к СУФД, либо знать код ТОФК.

p, blockquote 3,0,1,0,0 —>

Подготовка к настройке

1. Обязательно удаляем континент АП (если был), с обязательной перезагрузкой;
2. Первым делом нужно поставить Крипто Про CSP 4, желательно версии R5. Можно скачать с официального сайта, пробный бесплатный период использования — 3 месяца. Потом покупать, либо просить у казначейства;
3. Затем устанавливаем Континент TLS VPN клиент. Казначейство рекомендует версию 1.2, именно её можно получить сделав запрос в УФК, но я пользуюсь версией 2.0. Скачать Континент TLS VPN клиент 2.0 можно по ссылке;
4. После установки Континент нужно зарегистрировать — это бесплатно. Достаточно просто вбить ФИО, организацию и электронную почту.
5. Устанавливаем личный сертификат, полученный в казначействе. Если не умеете — см. статью Установка сертификатов Крипто Про в реестр.
6. Устанавливаем CADES, он же Крипто Про ЭЦП Browser Plugin. Ссылка на его загрузку — Тык.

p, blockquote 4,0,0,0,0 —>

Настройка Континент TLS VPN клиента

После установки всего и перезагрузки АРМ, запускаем наш TLS клиент. Его ярлык будет лежать на рабочем столе.

p, blockquote 5,0,0,0,0 —>

В меню Континент TLS-клиента необходимо нажать на «+ Добавить» и выбрать вкладку «Ресурс». В это поле вписываем адрес нашего суфд портала, но не старый адрес. Порт указываем 443.

p, blockquote 6,0,0,0,0 —>

• 
• 

Новый адрес выглядит по принципу: ufkXX.sufd.budget.gov.ru, где XX — номер вашего ТОФК. Если не знаете номер — посмотрите на прошлую ссылку, по которой ранее ходили в СУФД. В моём случае старый адрес выглядел так: s2000w03.ufk20.roskazna.local. Делаем вывод, в моём случае, для моего региона, новый адрес доступа к СУФД будет выглядеть так — ufk20.sufd.budget.gov.ru.

p, blockquote 7,1,0,0,0 —>

Далее нам потребуется установить серверный сертификат. Напоминаю, что скачать его можно тут. Идём в раздел «Управление сертификатами» в континент TLS, выбираем пункт «Серверные сертификаты» и импортируем скачанный файлик.

p, blockquote 8,0,0,0,0 —>

Если на АРМ ранее не пользовались электронными подписями — будет ошибка типа «Не найден корневой сертификат, невозможно проверить цепочку сертификатов«. Скорее всего не установлены сертификаты минкомсвязи и удостоверяющего центра ФК.

p, blockquote 9,0,0,0,0 —>

Для удобства — вот ссылка на сертификат минкомсвязи. Его устанавливаете в Доверенные корневые центры сертификации. А вот ссылка на актуальные корневые сертификаты УФК, их устанавливаете в Промежуточные центры сертификации.

p, blockquote 10,0,0,0,0 —>

Если ошибок нет, сертификат говорит что он действителен, пройдите на соседнюю вкладку «CDP» и прожмите пункт «Скачать CRL».

p, blockquote 11,0,0,1,0 —>

В настройках Континента можно включить автоматический старт программы при запуске компьютера — это удобно.

p, blockquote 12,0,0,0,0 —>

Вход в СУФД по новому адресу после настройки

Открываете свой любимый браузер. Удостоверьтесь в том, что Крипто Про ЭЦП Browser plugin включён и работает. Новый адрес доступа к СУФД будет выглядеть как в процессе настройки TLS клиента — то есть в моём случае это ufk20.sufd.budget.gov.ru.

p, blockquote 13,0,0,0,0 —>

Если всё настроено верно, то попытка зайти на портал попросит вас сразу же выбрать сертификат, под которым будет осуществлён вход.

p, blockquote 14,0,0,0,0 —> p, blockquote 15,0,0,0,1 —>

Из неудобного — для подписания документов другим человеком теперь недостаточно перезайти в СУФД, так как сайт будет помнить, под каким сертификатом прошла авторизация. Чтобы зайти под другим человеком, нужно предварительно сбросить TLS соединение. Для этого в правом нижнем углу нажмите правой кнопкой на значок Континент TLS и нажмите «Сброс соединений»

Источник