Как обновить 3,5 тыс. криптошлюзов «Континент» и не сойти с ума – грабли и способы обхода
Не так давно на нас свалилась задачка: обновить криптошлюзы (КШ) «Континент» с версии 3.7.5 до версии 3.9.1 на всей VPN-сети довольно крупного клиента. Сеть географически распределена и охватывает все часовые пояса нашей необъятной Родины. Всего – порядка 120 центров управления сетью (ЦУС) с подчиненными КШ. В общей сложности нам предстояло обновить более 3500 «зелёных» устройств. Насколько нам известно, мы одни из первых выполнили обновление такого масштаба с версии 3.7.5 на 3.9.1 без замены железа и настройки сети «с нуля». То есть именно обновили существующую сеть со всеми ее текущими настройками и оборудованием. Но, как говорится, есть нюансы. Зная их заранее, вы наверняка сможете сэкономить свои ресурсы, если затеете нечто подобное.
Нюанс 1. Чтоб не запороли пароли
ЦУС как устройство централизованного управления криптосетью хранит все данные о ее настройках, и очень важно не потерять их перед обновлением. Это легко сделать, сохранив конфигурацию ЦУС из программы управления (ПУ ЦУС). При этом важно задать пароль на латинице, а лучше использовать цифровой пароль, чтобы при загрузке конфигурации точно быть уверенным, что она попадет на ЦУС версии 3.9.1. У нас был случай, когда мы задали пароль в русской раскладке, но при загрузке конфигурации на ЦУС ввести пароль в русской раскладке невозможно – будьте внимательны.
Нюанс 2. Не все флэшки одинаково полезны
Следующий очень важный аспект – носитель, с которого загружается конфигурация. Как выяснилось в процессе, не все флешки для этого подходят, даже если они были отформатированы в FAT32 или подготовлены с использованием ПО ServiceTool (входит в комплект установки ПУ ЦУС). Нам не удалось до конца понять причину такого поведения. В то же время флешка из комплекта ЦУС (зеленая в виде ключика с логотипом вендора) в 99,9% случаев с первого раза загружала конфигурацию корректно.
А с «неправильной» флэшкой получалось такое.
Нюанс 3. Обновление конфигураций
Дабы в дальнейшем вы не тратили уйму времени зря, поговорим о еще одной распространённой проблеме – некорректной загрузке конфигурации ЦУС в процессе обновления. Итак, если ЦУС после прошивки отказывается загружать конфигурацию (пробовали 4 разные флешки), то нужно всего лишь еще раз его перепрошить.
Следите за тем, чтобы все КШ при сохранении конфигурации ЦУС были в «спокойном состоянии», то есть чтобы на них были применены и обновлены все настройки с ЦУС. Например, на некоторых управляющих устройствах мы столкнулись с тем, что из-за большого количества объектов в группах и, как следствие, большого числа правил фильтрации в базе, криптошлюзам не удавалось загрузить с ЦУС соответствующие обновления конфигурации. КШ бесконечно пытались это сделать (в ПУ ЦУС напротив КШ постоянно висел значок обновления).
Решить эту проблему помогли отключение некоторых правил фильтрации, содержавших большое количество различных сервисов, или удаление сетевых объектов из управляющих центров (удалили 100 идентичных подсетей, заведенных по стандартной матрице на всех ЦУС). В одном случае нам пришлось проделать обе операции.
Нюанс 4. Сайзинг оборудования
Этот вопрос особенно актуален для проектировщиков и архитекторов со стороны эксплуатации. Для управления криптосетью из более чем 80 КШ лучше использовать как минимум IPC-500, а если подчиненных КШ более 150, то IPC-1000. Например, после обновления наш ЦУС IPC-100, управляющий 128 КШ, начал «засыпать», отклика в ПУ приходилось ждать по несколько часов. После подключения второго, более производительного резервного ЦУС (IPC-1000) и переключения на него управление вернулось, и работа ЦУС восстановилась.
Ещё одна рекомендация проектировщикам и архитекторам по КШ, а также инженерам, тестирующим ту или иную процедуру. КШ лучше использовать именно для шифрования и как можно реже возлагать на него дополнительные сетевые функции (SPAN, QoS и прочие). Например, после обновления с 3.7.5 на 3.9.1 производительность КШ сильно упала (не факт, что такая проблема будет у вас, так как она весьма специфична, но разговор не об этом). После разбора проблемы выяснилось, что функционал SPAN стал потреблять больше ресурсов. В том же ключе проявился нюанс, связанный с логированием сетевого трафика: включение всех параметров мониторинга заметно «съедало» процессорные мощности. Мораль сей басни: чем больше задействовано функционала, тем больше нюансов нужно учитывать при тестировании или планировании технических работ.
Нюанс 5. Резервное копирование
И пара слов про бэкап ЦУС. Если не обновить все до одного подчиненные КШ в ПУ ЦУС до текущей версии, то конфигурация ЦУС, которую вы сохраните, в дальнейшем не будет пригодна для восстановления. ЦУС ее просто не примет.
Мы рекомендуем обновляться сразу на версию 3.9.1, минуя 3.9.0 (в 3.9.0 изменена логика применения правил фильтрации и работы КШ в «мягком режиме», затруднена работа КШ в кластере, а также имеется ряд мелких багов).
В любом деле очень важна подготовка, и чем больше разных бэкапов вы сделаете перед обновлением, тем лучше. Например, на всякий случай сделайте скрины или выпишите на листочек настройки интерфейсов и маршрутизации – вдруг придется откатываться.
Нюанс 6. Заключительный
Отдельно скажем, что при обновлении такого количества ЦУС и подчиненных им КШ в распределённой сети не обойтись без помощи вендора. Хочется отметить коллег из «Кода Безопасности», которые оказывали своевременную и всестороннюю поддержку: диагностику по месту возникновения проблем, оперативное моделирование и выявление нюансов на своих стендах. В этой связи в крупных VPN-сетях порекомендуем приобретать техническое сопровождение в обязательном порядке.
На этом всё. Всем удачи в непростом деле сопровождения отечественных VPN-сетей. И помните: глаза боятся – руки делают.
Евгений Веретенников, инженер 2-й линии администрирования, «Ростелеком-Солар»
Михаил Данилов, администратор информационной безопасности, «Ростелеком-Солар»
как сделать даунгрейд на АПКШ континенте ipc 25
Cтолкнулся я намедни с одной ситуацией: у меня в конторе сломался апкш континент ipc 25. В связи с чем хочу с вами поделиться способом сделать даунгрейт апкш континенту ipc 25.
Я занимаюсь шифрованными каналами связи для разных организаций. Так вот, стоят там такие железки российского производства, под названием континент АПКШ (аппаратно программный комплекс шифрования). И один из них вышел из строя. Расположен он очень далеко, вне моего региона, и поковырять его руками не получится, работала железка 4 года и есть не просила. Но вот случилась беда, и она сломалась. Было принято решение купить новую железку, стал её прошивать, но тут вылезла новая беда, оказалось, что мой ЦУС устарел за этих 4 года, и вышла новая прошивка. Следовательно, новые континенты уже прошиты самой новой прошивкой, когда пытаешься залить конфигурацию взятую с ЦУСа. После того как вводишь пароль от конфига, вылезает ошибка: «Ошибка при разборе конфигурации».
Вот мы и подобрались к сути. Встал вопрос: как сделать даунгрейд на континенте? Погуглив и ничего не найдя, полез в мануал. В-общем, долго читал…
Как прошить континент АПКШ
Имеется:
- АПКШ континент ipc 25, с версией 3.5.
- ЦУС версия 3.5.50.0.
Понадобится:
Флешка (идет в комплекте с континентом).
Сохраненная конфигурация с ЦУСа (gate.cfg), для АПКШ континент для удаленного узла.
Программа с названием flash.exe, для подготовки дистрибутива АПКШ Континент.
Ну, и сам файл cgw_release.flash, который будет записан с помощью flash.exe на флешку.
Сохраняем программку flash.exe в корне диска «С» (для удобства) и прошивку для континента там же. Открываем командную строку под администратором (CMD).
Пишем: flash.exe <буква флешки> <имя файла (образа)>
Например:
-
Переходим в директорию диска «С» (cd c:\)
Вставляем флешку в компьютер и смотрим, что у неё за буква.
Жмем букву Y и ждем сообщения о завершения процесса. По завершению процесса вам будет предложено извлечь флешку. Вытаскиваем флешку из компьютера (лучше использовать безопасный режим). Снова вставляем флешку в компьютер. На первый взгляд она покажется пустой, но это не так, так и должно быть. Закидывайте туда файл conf.cfg и идем к нашему континенту.
Запускаем континент, когда попросит приложить ключ идентификатора – прислоняем таблетку, дальше пойдет проверка случайных чисел, после этого вылезет меню, где нужно выбрать «Загрузка операционной системы» – самый верхний пункт. Дальше пойдет грузится freebsd. Пока операционная система загружается, нужно воткнуть флешку, которую мы с вами подготовили.
Дальше у вас должно на экране появиться: «установка континента». Соглашаемся со всеми пунктами, он там напишет, что все данные будут потеряны, но ничего ценного все равно там нет, все ценное на ЦУСе. Дальше он попросит ввести номер инициализации криптографического шлюза, этот набор цифр можно посмотреть в паспорте, что шел с вашим континентом (пять цифр). Дальше он вас попросит выбрать какая конфигурация будет создана, выбираем цифру 1 «шлюз». Все почти готово.
Теперь будет написано, что континент будет перезагружен, вытаскиваем нашу флешку из континента. Прикладываем идентификационный ключ, выбираем «Загрузка операционной системы», ждем пока загрузится сам континент. У вас на экране должно появиться: «Успешная загрузка АПКШ Континент». После того, как вы увидите данную надпись, вставляете флешку, она начнет определяться, это вы тоже заметите, на экране появятся строчки, объявляющие, что флешка смонтирована. Дальше он попросит ввести пароль, который вы задали конфигурации, когда её сохраняли с ЦУСа, для нового континента.
Кстати, пароль должен состоять минимум из 5 цифр.
После чего континент станет кушать вашу конфигурацию, затем он скажет, что перезагрузится через 15 секунд. Вытаскиваете флешку во время перезагрузки дабы избежать повторного процесса прошивки. На этом прошивка и введение его в эксплуатацию завершена.
Для апкш континент ipc 100, процесс будет аналогичный. Если у вас апкш континент не грузится, а ждет пока вы приложите идентификатор, в этом случае нужно зайти в основные настройки, там будет пункт «Ожидать идентификатор столько-то секунд», по умолчанию стоит 0, поставьте 5 и будет вам счастье.
Name already in use
continent-faq / docs / common.rst
- Go to file T
- Go to line L
- Copy path
- Copy permalink
- Open with Desktop
- View raw
- Copy raw contents Copy raw contents
Copy raw contents
Copy raw contents
Версии ПО 3.5 и 3.6 не поддерживаются Производителем и не имеют действующих сертификатов Регуляторов.
На текущий момент актуальной является версия АПКШ Континент 3.7.7 (сертификаты ФСБ до класса КС3 и ФСТЭК по МЭ А3,СОВ3).
Версия 3.9 на данный момент имеет сертификат ФСБ до класса КС2 и сертификат ФСТЭК по МЭ А4 и СОВ4.
Версия 4 станет доступна для бета-теста ближе к лету 2019 года, следите за новостями на сайте Производителя.
Сертификаты соответствия (версия 3.7.7.671):
- ФСТЭК России:
- №3008 (МЭ А3, СОВ3) — действителен до 1 ноября 2019, исполнения 1,2.
- СФ-124/2871 (КС2) — действителен до 25 марата 2019, исполнение 2
- СФ-124/2918 (КС3) — действителен до 07 июля 2019, исполнение 3
- СФ-124/3704 (КС2) — действителен до 15 мая 2021, исполнение 4,5
- СФ-124/3018 (КС3) — действителен до 16 декабря 2019, исполнение 6
- СФ-124/3373 (КС3) — действителен до 15 мая 2021 года, исполнение 1
- СФ-124/3454 (КС2) — действителен до 15 мая 2021 года, исполнение 7
- СФ-124/3455 (КС3) — действителен до 15 мая 2021 года, исполнение 8
- СФ-525/3138 (МСЭ4) — действителен до 19 мая 2020, исполнения 1-6
- ФСБ России:
- СФ-124/3664 (КС2) — действителен до 28 марта 2022, исполнение 1
- №4145 (МЭ А4, СОВ4) — действителен до 17 июля 2024
АПКШ Континент сертифицирован по требования ФСБ к СКЗИ и МЭ, так и по требованиям ФСТЭК к МЭ и СОВ (НДВ сейчас входит в МЭ/СОВ).
АПКШ Континент, один из немногих продуктов на рынке, сертификационный в рамках одного билда по требованиям ФСБ и по требованиям ФСТЭК!
Исторически «исполнения» — термин ФСБ. Используется для поэтапной сертификации компонентов комплекса и служат для разделения на классы СКЗИ. * КС2 — исполнение 4 (пример артикула — HSEC-3.7-IPC10-CM-KC2-SP1Y) * КС2 — исполнение 5, СД с КриптоПро CSP 4.0 (пример артикула — HSEC-3.7-IPC100-CM-ACS-CSP4.0-KC2-SP1Y ) * КС3 — исполнение 6 (пример артикула — HSEC-3.7-IPC100-CM-ACS-KC3-SP1Y)
Когда мы говорим об исполнениях ФСТЭК, речь идет двух исполнениях: * Первое исполнение по ФСТЭК — классический Континент 3.7, который мы все знаем, основанный на FreeBSD. * Второе исполнение по ФСТЭК — Континент СОВ, пу сути это уже версия 4, но только с функциями СОВ, без VPN и MЭ.
Определить исполнение можно просто, для этого надо узнать индекс исполнения в регистрационном номере ФСБ данного образца СКЗИ. Регистрационный номер указан в паспорте АПКШ Континент и имеет вид №351Д6-000001, где Д6 это исполнение 6.
Таблица исполнений приведена в формуляре на комплекс, но мы же не звери, чтобы отправлять тебя туда и покажем ее тут:
Континент 3.9: Организация связи со сторонними криптографическими сетями
Более 32 000 государственных и коммерческих организаций в России доверяют продуктам компании «Код Безопасности» и используют их решения для обеспечения безопасности рабочих станций, серверов, виртуальных инфраструктур, мобильных устройств и сетевого взаимодействия всех компонентов информационных систем ( подробный список ).
Однако далеко не каждый знает про возможность настройки межсетевого взаимодействия на АПКШ «Континент 3.9» между сторонними криптографическими сетями. В данной статье мы покажем, как организовать защищенный канал связи между сторонними криптографическими сетями.
Для демонстрации данного функционала была собрана следующая схема сети:
Общий порядок организации связи
- Создание и экспорт сертификата собственной сети.
- Импорт сертификата сторонней сети.
- Создание и экспорт файла конфигурации разрешенных к доступу ресурсов собственной сети.
- Импорт файла конфигурации разрешенных к доступу ресурсов сторонней сети.
- Связь со сторонней криптографической сетью не может быть установлена, если хотя бы на одном из связываемых ЦУС включен режим изолированной сети.
- Для установки соединения между КШ, принадлежащими разным криптографическим сетям, хотя бы один из этих КШ должен обладать однозначно идентифицируемым статическим IP-адресом.
- Загрузка конфигурации внешней сети при совпадении идентификаторов КШ в домашней и внешней сети невозможна.
Для создания внешних сетей вызовите контекстное меню в любом месте списка внешних сетей и выберите пункт «Создать внешнюю криптографическую сеть» или нажмите одноименную кнопку на панели инструментов. На экране появится окно «Внешняя криптографическая сеть». Заполните поля окна «Название» и «Описание» (при необходимости).
Вызовите контекстное меню в любом месте списка сертификатов и активируйте команду «Создать сертификат» или нажмите одноименную кнопку на панели инструментов. На экране появится окно «Создание сертификата». Заполните сведения о сертификате. После заполнения выберите сеть, для которой будет действовать данный сертификат. Экспорт сертификата производится путем открытия свойств сертификата в ПУ ЦУС и копированием в файл сведений о сертификате.
Сторона Б:
Стороны А и Б должны обменяться сертификатами и импортировать их в свой ПУ ЦУС. При импорте сертификата указывается сеть, для которого он будет применяться. После экспорта собственного сертификата и импорта стороннего появится возможность экспортировать свою конфигурацию для внешней сети.
Обмен файлами конфигурации разрешенных к доступу ресурсов
После обмена сертификатами стороны должны анонсировать друг для друга доступные сетевые объекты. Внимание: могут быть анонсированы только сетевые объекты с типом привязки «Защищаемые»!
Выберите запись в списке, а в контекстном меню выберите пункт «Экспортировать конфигурацию для внешней сети. ». На экране появится окно «Экспорт конфигурации для внешней сети». В качестве сертификата своей сети выберите ранее созданный сертификат, в качестве сертификата внешней сети выберите импортированный сертификат для данной сети, в качестве сетевых объектов и криптошлюзов — перечень сетевых объектов собственной сети, к которым будет разрешен доступ из данной внешней сети, и экспортируйте конфигурацию.
Сторона А:
Сторона Б:
После импорта конфигурации в разделах «Сетевые объекты» и «Криптошлюзы» появятся анонсированные другой стороной сетевые объекты и криптошлюзы.
Сторона А:
Сторона Б:
Создание межсетевого ключа
После импорта конфигурации сторонней криптографической сети, стороны должны сгенерировать межсетевой ключ.
Межсетевой ключ используется для генерации ключей парной связи КШ. Для создания межсетевого ключа необходимо заранее издать сертификат собственной сети и импортировать сертификат сторонней сети, с которой устанавливается связь.
* Примечание. Межсетевой ключ используется для генерации не более 256 ключей парной связи КШ.
Срок действия ключа парной связи КШ — 12 месяцев, если количество циклов запуска КШ не превысило 70 раз. По истечении срока действия ЦУС автоматически генерирует новые ключи парной связи КШ при наличии активного и действующего межсетевого ключа.
* Примечание. Ключи парной связи генерируются при формировании списка связанных сетевых устройств в свойствах криптошлюза (до нажатия кнопки "ОК").
Для генерирования межсетевых ключей в левой части окна программы управления выберите раздел «Внешние криптографические сети | <Наименование нужной сети> | Межсетевые ключи». Выберите клавишу «Создать» и создайте ключи на основе ранее созданного и импортированного сертификата.
Сторона А:
Сторона Б:
Настройка парной связи
Для построения шифрованного канала между устройствами необходимо создать связи между ними. Данная процедура не отличается от построения связей с подчиненными КШ и выполняется через свойства криптошлюза.
Сторона А:
Создание правил фильтрации
После установления связи между КШ необходимо настроить правила межсетевого экрана для прохождения трафика. В качестве примера будет разрешено хождение любого трафика, где инициировать сессию может каждая из сторон.
Сторона А:
Сторона Б:
Для тестирования выполним команду ping с параметрами по умолчанию.
Сторона А:
Сторона Б:
Как видно, связь между защищаемыми ресурсами присутствует. Для того, чтобы убедиться в их шифровании, запустим команду ping с параметром -n 1000 на каждом защищаемом ресурсе и проверим работу шифраторов на каждой стороне.
Сторона А:
/>Сторона Б:
/>Как можно видеть, сессия по порту 10000 (порт из диапазона портов для работы шифратора) отправляет и принимает пакеты на каждой из сторон. Происходит зашифрованная передача данных при помощи отечественных криптоалгоритмов.
Таким образом была организована связь между сторонними криптографическими сетями на базе продукта «Континент 3.9».
Автор статьи: Антон Кобяков, инженер TS Solution.
Больше учебных материалов по ИБ и ИТ направлениям вы найдете на учебном портале TS University . После регистрации вам станут доступны статьи, курсы и вебинары о решениях Кода Безопасности, UserGate, Positive Technologies, Check Point и других вендоров.