Аппаратный комплекс апкш континент. Описание комплекса. По окончанию обучения

Release Notes. АПКШ "Континент". Комментарии к версии 3.05.27.0

Аппаратно-программный комплекс шифрования "Континент"

Комментарии к версии 3.05.27.0

Данный документ содержит описание основных особенностей и ограничений (Release Notes) на использование аппаратно-программного комплекса шифрования (АПКШ) "Континент".

1. Комплект поставки

1.1. Комплектующие к аппаратным средствам:

1.2. Размещение файлов (ПО и документации) на компакт-диске

2. Изменения и новые возможности

2.1. Версия 3.05

2.2. Версия 3.04

2.3. Версия 3.03

2.4. Версия 3.02

2.5. Версия 3.01

2.6. Версия 3.00

3. Особенности работы и ограничения

3.1. Центр управления сетью криптографических шлюзов (ЦУС)

3.2. Криптографический шлюз (КШ)

3.3. Программа управления ЦУС (ПУ ЦУС)

3.4. Агент ЦУС и СД

3.5. Сервер доступа (СД)

3.6. Программа управления сервером доступа (ПУ СД)

3.7. Программа просмотра журналов (ППЖ)

3.8. Абонентский пункт (АП)

4. Настройки BIOS на платформе G560

4.1. Настройки BIOS v.02.59 для загрузки с USB Flash диска

4.2. Настройки BIOS v.02.59 для снижения шума работы вентиляторов

5. Протоколы и порты

Комплект поставки

1. Комплектующие к аппаратным средствам:

Размещение файлов (ПО и документации) на компакт-диске

Изменения и новые возможности

1. Версия 3.05

   1. Теперь комплекс удовлетворяет требованиям ФСТЭК к третьему классу защищенности межсетевых экранов.

      Изменен порядок смены криптографических ключей.

Плановая смена ключей:

Обновление исходной ключевой информации. Выполняют до истечения срока действия ключа исходя из оперативности процедуры рассылки.

Генерация резервного ключевого материала для КШ. Ключи нумеруют и учитывают в журнале выпуска ключей. Для каждого КШ выпускают несколько комплектов резервных ключей.

Смена ключей связи с ЦУС и главного ключа КШ средствами ПУ ЦУС и локального управления КШ.

Внеплановая смена ключей:

При компрометации исходной ключевой информации необходимо полностью повторить последовательность действий плановой смены ключей. До завершения процедуры смены запрещается эксплуатировать систему.

При компрометации резервного ключевого материала для КШ генерируют новый резервный ключевой материал для КШ и рассылают локальным администраторам.

При компрометации ключа связи с ЦУС и/или главного ключа КШ из резервного ключевого материала устанавливают новый главный ключ КШ и/или ключ связи с ЦУС.

Изменен протокол взаимодействия между КШ. До версии 3.04.26 включительно использовался 250 протокол IP. В настоящее время взаимодействие между КШ осуществляется по UDP-протоколу, что значительно упрощает настройку межсетевых экранов, расположенных на пути трафика.

Изменены условия лицензирования Комплекса. Действуют следующие ограничения.

Ограничение на параметры ЦУС: максимальное количество криптографических шлюзов, имеющих статус "Введен в эксплуатацию".

Ограничение на параметры Сервера доступа: максимальное количество клиентов, имеющих статус "Активный".

Срок технической поддержки теперь не ограничивается лицензией.

Изменен принцип локального управления КШ. Теперь управление КШ осуществляют с локальной консоли с помощью главного и дополнительного меню. Главное меню имеет следующие разделы:

Управление КШ;

Настройки безопасности;

Настройка сервера доступа

Дополнительное меню содержит следующие команды:

Выполнить ping;

Выполнить traceroute;

Вывести таблицы маршрутизации;

Выполнить arp;

Перезагрузить КШ;

Выключить КШ.

Добавлена возможность сохранения и восстановления конфигурации КШ с локальной консоли. Сохранение резервной копии осуществляют на USB Flash накопитель.

Добавлена возможность управления локальной сигнализацией о событии НСД. Сообщения могут выводиться на экран монитора, подключенного к КШ, и/или воспроизводиться в виде звукового сигнала. Включение и выключение сигнализации выполняют непосредственно с локальной консоли КШ

Обеспечена аутентификация криптографическим шлюзом компьютеров, находящихся в защищенном сегменте локальной сети. Аутентификация выполняется с помощью Клиента аутентификации хоста. Клиент устанавливают на компьютеры сети. Аутентификация выполняется при подключении компьютера к КШ на основе расчета хэш-функции по алгоритму ГОСТ Р 34.11-94

Добавлена возможность выключения КШ средствами программы управления.

Добавлена возможность фильтрации IP-пакетов по указанному сочетанию символов (регулярному выражению). В качестве сочетания символов могут использоваться как команды прикладных протоколов, так и содержимое передаваемых в незашифрованном виде файлов (для протоколов ftp и http).

Добавлена возможность временного отключения правила фильтрации или правила трансляции без удаления из списка.

В комплект поставки добавлена программа конвертации резервных копий конфигурации ЦУС.

Программа предназначена для преобразования файлов резервных копий конфигурации (базы данных) ЦУС в формат, применяемый в текущей версии ПО АПКШ "Континент". Программа функционирует на компьютерах под управлением ОС Windows 2000 и выше. Управление программой осуществляется из командной строки.

Изменен формат хранения журналов. Обеспечена комфортная работа пользователя с журналами, содержащими несколько миллионов записей.

Регистрационные журналы с сервера доступа теперь собирает агент ЦУС и СД. Просмотр журналов выполняют с помощью Программы просмотра журналов (ППЖ).

Изменены функции агента. Теперь Агент забирает журналы и с ЦУС, и со всех СД комплекса. Для подключения к каждому объекту агенту требуется:

указать сетевой адрес объекта;

предъявить специальный ключ, индивидуальный для каждого объекта.

Ключи создаются при инициализации объекта и записываются в файлы Id.str и Storage.str на отдельный отчуждаемый носитель-идентификатор администратора (дискета 3,5" или USB Flash-накопитель).

Единый ключевой носитель (ЕКН) содержит ключевую информацию и адреса всех объектов в файле Storage2.str. Для создания и обновления ЕКН используют Программу управления ключевыми носителями агента ЦУС и СД.

В программе управления агентом добавлен параметр "Отключить уведомление об ошибках".

Обеспечена совместимость АП со следующими операционными системами:

Windows 2000 Pro SP4;

Windows XP Professional SP2;

Стандартным портом для соединения АП и СД является 4433. Теперь в ПУ СД имеется возможность изменить номер этого порта.

Для хранения содержимого журналов используются следующие серверы баз данных:

Разработан новый абонентский пункт, имеющий следующие преимущества:

Реализован механизм межсетевого экранирования, соответствующий 3 классу защищённости как межсетевой экран.

Создан графический интерфейс для управления МСЭ.

Добавлена возможность управления локальной сигнализацией о событии НСД. Сообщения выводятся на экран монитора. Включение и выключение сигнализации выполняют в графическом интерфейсе МСЭ.

Добавлена возможность фильтрации IP-пакетов по указанному сочетанию символов (регулярному выражению). В качестве сочетания символов могут использоваться как команды прикладных протоколов, так и содержимое передаваемых в незашифрованном виде файлов (для протоколов ftp и http).

Изменен формат хранения журналов. Журнал записывается в читабельном виде, в формате CSV, а не в виде шестнадцатиричного дампа.

Реализован механизм фильтрации с учетом даты/времени. Имеется возможность задавать временные интервалы, в течение которых будет работать то или иное правило.

Добавлена регистрация в журнале событий фактов изменения правил фильтрации.

Добавлена регистрация в журнале событий фактов запуска процессов.

Добавлена возможность входа/выхода администратора МСЭ. Только администратор МСЭ имеет право изменять настройки и правила.

Версия 3.04

1. Для уменьшения служебного трафика задания на синхронизацию КШ теперь рассылаются адресно.

   Обеспечена поддержка работы USB-модемов при подключении КШ к выделенной линии.

   Обеспечена поддержка корректного выключения питания КШ при работе с источниками бесперебойного питания следующих марок:

Smart-UPS 1000;

BackUPS ES 525.

Добавлена возможность изменения внешнего адреса работающего криптографического шлюза. Ранее внешний адрес КШ можно было изменить только при его инициализации.

Добавлена поддержка PPPoE для ЦУС.

Для облегчения ввода Комплекса в эксплуатацию разработаны следующие мастера программы управления ЦУС:

мастер настройки VoIP;

мастер настройки гигабитного канала;

мастер создания КШ (упрощенный).

Внесены изменения в фильтр КШ и СД. Ранее при наличии нескольких правил фильтрации с одинаковыми параметрами IP-пакета действовало только последнее правило в списке. Теперь правилу фильтрации можно установить признак немедленного применения. Правило фильтрации с таким признаком применяется к IP-пакету немедленно, независимо от наличия других правил фильтрации.

Обеспечена возможность консольного соединения при перезагрузке КШ. Теперь основные настройки КШ можно выполнять с портативного компьютера, подключенного к USB-порту КШ.

Добавлена поддержка динамического назначения адресов КШ на внешний интерфейс (при подключении КШ к внешней сети через модем).

Внедрена подсистема отчетов, предназначенная для формирования, печати и экспорта отчетов. Имеется возможность оперативного формирования следующих отчетов:

отчет о состоянии КШ;

отчет о версиях программного обеспечения КШ;

отчет о наличии криптографических связей между КШ;

общая таблица правил фильтрации Комплекса;

таблица правил фильтрации КШ;

таблица маршрутизации КШ;

таблица правил трансляции КШ.

Экспорт отчетов возможен в файлы следующего формата:

RPT (для Crystal Reports);

PDF (для Adobe Acrobat);

XLS (для Microsoft Exсel);

DOC (для Microsoft Word);

Полностью обновлен пользовательский интерфейс Программы управления сервером доступа.

Реализована функция проверки на абонентском пункте наличия ПАК "Соболь", а также добавлена возможность централизованного управления проверкой.

Добавлена возможность удаленного обновления программного обеспечения абонентского пункта.

Установка программного обеспечения ПУ ЦУС, Агента ЦУС и ПУ СД теперь выполняется с одного инсталлятора.

Версия 3.03

1. Добавлена возможность использования Комплекса для организации виртуальных локальных сетей (VLAN). Реализовано:

создание виртуальных интерфейсов криптографического шлюза;

поддержка протокола IEEE 802.1q.

Добавлена возможность настройки нормализации пакета. Данную настройку выполняют совместно с настройкой приоритезации трафика. Используют в тех случаях, когда клиентское приложение отсылает пакеты с MTU, превышающем возможное на КШ, и при этом игнорирует сообщения КШ об уменьшении размера пакета.

Добавлена возможность централизованного управления связью КШ из разных сетей. Теперь установку соединения между КШ, управляемых разными ЦУС, можно разрешить или запретить с помощью программы управления. Настройку такого соединения выполняют локально для каждого КШ.

Разработана программа GateMonitor, предназначенная для дистанционного контроля состояния криптографических шлюзов. Контроль осуществляется путем периодического опроса КШ с использованием протокола SNMP. Опрос производится автоматически через заданный пользователем интервал времени.

Разработана программа ChannelChecker для тестирования взаимодействия между абонентским пунктом и сервером доступа. Утилита имитирует работу АП, реализуя установку и разрыв PPP-соединения. Тестирование производится по требованию пользователя. Абонентский пункт должен быть версии 3.02 или выше.

Добавлена возможность уведомления пользователя об окончании срока действия сертификата пользователя абонентского пункта. Предупреждения выдаются за 30 (по умолчанию), 14, 7, 5, 1 дней до окончания срока действия сертификата - в зависимости от выбора пользователя.

В списке "Подключенные пользователи" добавлено отображение пользователей АП, от которых было зафиксировано обращение к СД, но не была произведена аутентификация. Для таких пользователей отображается время начала активности и IP-адрес, с которого было зафиксировано обращение.

Версия 3.02

1. Внедрен новый пакетный фильтр.

   Добавлена функция согласования скорости интерфейсов КШ со скоростью оконечного устройства (например, модема).

   В правила фильтрации IP-пакетов добавлена возможность установки типов сервисов (битов ToS).

   Добавлена возможность приоритетной обработки VOIP-трафика.

   Добавлена поддержка протокола SNMPv2 для взаимодействия с HP OpenView, Cisco Works VPN Monitor, NET-SNMP.

   Добавлена возможность приоритезации трафика в зависимости от используемого протокола.

   Добавлена поддержка протокола динамической маршрутизации OSPF.

   Теперь для хранения журналов могут быть использованы следующие серверы баз данных:

• Oracle 8.0 Server;

  Oracle 9.0 Server.

Добавлена возможность двухзонального отображения времени в журналах КШ. Теперь при расположении оператора и КШ в разных часовых поясах имеется возможность отображения времени событий для обоих часовых поясов на выбор.

Для доступа к базам данных добавлена возможность аутентификации на самом сервере без включения режима интегрированной аутентификации.

Добавлена возможность фильтрации событий, относящихся только к работе ключевой системы.

Полностью обновлено программное обеспечение СД и АП.

Изменен протокол взаимодействия между сервером доступа и абонентским пунктом. До версии 3.01.18 включительно использовался 250 протокол IP. В настоящее время взаимодействие между сервером доступа и абонентским пунктом осуществляется по UDP-протоколу, что значительно упрощает настройку межсетевых экранов, расположенных на пути трафика между СД и АП.

Совместимость вновь поставляемых серверов доступа с абонентскими пунктами старых версий обеспечивается одновременной установкой на КШ программного обеспечения серверов доступа двух видов:

СД-Н - предназначен для подключения АП версии 3.02 и более поздних версий;

СД-С - предназначен для подключения АП версии 3.01.18 и более ранних версий.

Для правил фильтрации IP-пакетов СД (начиная с версии 3.02.21.2) добавлен режим "Контролировать состояние соединений". Этот режим устанавливают для пакетов, открывающих соединение. В этом случае автоматически создаются правила фильтрации, которые разрешают прохождение всех пакетов, относящихся к этому соединению.

Версия 3.01

1. Добавлена возможность загрузки ключа КШ с аварийной дискеты.

   Добавлена поддержка PPPoE.

   Добавлена поддержка связи КШ из разных сетей.

   Добавлена возможность очистки журналов ЦУС из программы просмотра журналов.

   Добавлена возможность смены ключа администратора из ПУ ЦУС.

   Добавлена возможность резервирования ключей КШ и ЦУС.

   Добавлено отображение времени установки ключа парной связи.

   Внедрен новый порядок лицензирования сервера доступа.

   Увеличено быстродействие агента ЦУС при очистке журналов.

Версия 3.00

1. Разработаны новые или полностью обновлены следующие компоненты Комплекса:

программа управления ЦУС (ПУ ЦУС);

программа просмотра журналов;

агент ЦУС;

программа управления агентом ЦУС;

программа просмотра и экспорта журналов АП и ПУ СД;

программа копирования ключей СД;

инсталляторы ПУ ЦУС, ПУ СД, АП.

Для хранения журналов могут быть использованы следующие серверы баз данных:

MSDE (входит в комплект поставки);

• Oracle 8.0 Server.

Особенности работы и ограничения

1. Центр управления сетью криптографических шлюзов (ЦУС)

   1. Для КШ с ЦУС список связанных КШ должен быть пуст, если КШ с ЦУС установлен в защищенной сети другого КШ. Список связанных КШ определяют в диалоговом окне "Свойства КШ" программы управления ЦУС (ПУ ЦУС).

      Размер журнала на ЦУС должен быть не менее суммы значений, определяющих размеры журналов на каждом КШ.

      Особенность работы КШ с ЦУС при включенном PPPoE. При отсутствии адреса на внешнем интерфейсе КШ с ЦУС отображается в программе управления как отключенный. Причиной отсутствия адреса может быть, например, сбой в работе сервиса PPPoE во время подключения КШ с ЦУС к RAS-серверу. В этом случае убедитесь в работе сервера.

Криптографический шлюз (КШ)

1. Если модем используется в режиме выделенной линии, то перед обновлением ПО необходимо на модеме выставить DIP 8 в положение "Disable AT command set".

   При инициализации ПАК "Соболь" необходимо для параметра "Версия криптографической схемы" установить значение "1". См. раздел "Инициализация комплекса" в документе "ПАК Соболь. Руководство по администрированию".

   Особенности работы кластера КШ версии 3.03 и выше. Отсутствует возможность подключения резервного КШ к основному через промежуточный маршрутизатор. Диалог резервирования в программе управления ЦУС оставлен прежним для совместимости с КШ предыдущих версий.

   При создании КШ защищаемые сети для VLAN-интерфейсов автоматически не создаются.

   При переключении с основного на резервный КШ возможна потеря файлов, передаваемых по сети через данный кластер КШ.

   Изменение внешнего адреса КШ средствами программы управления возможно только после отключения режима динамической маршрутизации.

   Особенность работы кластера КШ. Во время работы резервного КШ при отключенном основном КШ задания на синхронизацию этого КШ не отправляются. Синхронизация выполняется после возобновления работы основного КШ.

   Особенность работы FTP-клиента, находящегося в защищенной сети, при включенном NAT. Если на одном из интерфейсов КШ (внешнем или внутреннем) включен NAT, то передача трафика между FTP-сервером и FTP-клиентом в активном режиме невозможна. Используйте в этом случае пассивный режим.

   Особенности рассылки правил фильтрации на КШ. Если в группе сетевых объектов, включающей защищенные сети различных КШ, добавлен или удален один объект, то правила фильтрации загружаются на все КШ, защищенные сети которых перечислены в этой группе.

   Особенность сохранения резервной копии конфигурации ЦУС и ее восстановления. Для успешного сохранения конфигурации все задания должны быть выполнены и очередь заданий должна быть пустой. В противном случае КШ, у которых это требование не соблюдено, при восстановлении конфигурации будут автоматически выведены из эксплуатации. Невыполненные и стоявшие в очереди задания будут удалены. Для восстановления работы сети такие КШ необходимо ввести в эксплуатацию вручную.

   Особенность локального управления КШ. При включенном режиме NumLock использование клавиши с этой клавиатуры в клавиатурном сочетании + + приводит к выключению КШ, а не к перезагрузке.

   Не рекомендуется устанавливать защищенное соединение между двумя сетевыми объектами, имеющими разный тип привязки ("Защищенная" и "Внутренняя") и принадлежащими разным КШ. В этом случае трафик будет шифроваться только в одном направлении, и, кроме того, возможна некорректная работа пакетного фильтра.

   При резервировании КШ статус аутентифицированности хостов не сохраняется.

   Прекращена поддержка ПАК "Соболь" версии 1.

2. Установку и удаление ПУ ЦУС может выполнить только пользователь, наделенный правами локального администратора данного компьютера.

   Перед установкой Программы управления новой версии необходимо удалить имеющуюся на компьютере Программу управления предыдущей версии и перезагрузить компьютер.

   При удалении сетевого объекта появляется сообщение об одновременном удалении правил фильтрации, использующих этот сетевой объект. При подтверждении удаления будут удалены только те правила фильтрации, которые используют этот объект непосредственно. Правила фильтрации для групп, содержащих удаляемый объект, удалены не будут.

   При удалении правила фильтрации с контролем состояния соединения, ранее установленные в соответствии с удаленным правилом соединения, не закрываются. Для их принудительного закрытия следует выполнить команду на обновление конфигурации КШ.

   Если в процессе установки ПУ параметры соединения с ЦУС не определены, то по умолчанию используется IP-адрес 0.0.0.0.

   При загрузке обновления на ЦУС возможно появление сообщения об ошибке "Неизвестный администратор". Для продолжения работы закройте окно сообщения и перезапустите ПУ ЦУС.

   Параметры сетевого объекта в примере правила трансляции (Табл. 40 на стр. 110 документа "АПКШ Континент. Централизованное управление. Руководство администратора"). Параметр "Тип привязки" должен иметь значение "Внутренний" и для Сетевого объекта 1, и для Сетевого объекта 2.

   Управление ЦУС версии 3.05 возможно только с помощью программы управления той же версии.

   Для установки ПУ ЦУС на компьютер, работающий под управлением ОС Windows 2000, требуется наличие установленного пакета обновлений SP4. Так же должны быть установлены более поздние обновления (Hotfix), распространяемые компанией Microsoft.

   В имени VLAN-интерфейса запрещено использовать символы кириллицы. При именовании VLAN-интерфейса используйте только латинские символы и цифры.

   На компьютерах с установленной ОС Windows Vista работа Touch Memory Card не поддерживается.

   Особенности дистанционного обновления ПО кластера на платформе IBM с версии 3.3.15.103 до 3.5.27.0:

В качестве обновления необходимо использовать архив update_release_raid.tar.

После перехода основного КШ с обновленным ПО в активный режим необходимо перезагрузить этот КШ соответствующей командой из ПУ ЦУС.

Агент ЦУС и СД

1. Установку агента (вместе с ПУ ЦУС или отдельно) должен осуществлять пользователь, наделенный правами:

локального администратора данного компьютера;

администратора используемой базы данных.

Операционная система компьютера, на который устанавливают агент или Программу управления с агентом, должна поддерживать русский язык. В региональных настройках этого компьютера должны быть указаны язык и региональные настройки России.

Перед настройкой расписания агента из программы управления убедитесь, что служба "Агент ЦУС и СД" работает. При остановленной службе "Агент ЦУС и СД" настройка агента из программы управления невозможна.

Если при обновлении программного обеспечения агента произошла ошибка, необходимо заново переустановить агент.

Особенности установки агента на компьютер с ранее установленной ПУ ЦУС. Если производится доустановка агента на тот же компьютер, где установлена ПУ ЦУС, то необходимо заново настраивать параметры соединения ППЖ с БД.

В данной версии электронный ключ eToken в качестве идентификатора администратора не поддерживается.

При определении каталога для сохранения резервной копии конфигурации ЦУС необходимо убедиться, что агент имеет разрешение на запись в этот каталог.

Особенности работы агента и КШ с ЦУС при их совместном размещении в защищенной сети другого КШ. В этом случае необходимо создать правила фильтрации, разрешающие обмен пакетами между Агентом и СД. Правила создают для КШ, в защищенной сети которого размещены агент и КШ с ЦУС, а также для всех КШ с СД. В этих правилах необходимо использовать сервис со следующими параметрами:

протокол - tcp,

порт источника - any,

порт назначения - 4431.

Локальная учетная запись пользователя Windows для подключения Агента к СУБД должна иметь права на изменение реестра (как минимум, входить в группу "Опытные пользователи"). В противном случае невозможно сохранение настроек расписания.

Особенности работы агента совместно с СУБД MS SQL 2005. При наличии проблем с автоматическим запуском агента необходимо в свойствах службы агента указать зависимость от SQL Server (MSSQLSERVER).

Убедитесь, что каталог, задаваемый для сохранения резервной копии конфигурации ЦУС, действительно доступен учетной записи сервиса "агент ЦУС и СД". Для этого после автоматического сохранения по расписанию проверьте наличие сохраненной копии в указанном каталоге.

Сервер доступа (СД)

мультикастовые адреса;

зарезервированные адреса;

адреса, пересекающиеся с защищаемой подсетью;

адреса, пересекающиеся с адресами внешнего интерфейса КШ;

адреса, пересекающиеся с адресами интерфейсов резервирования.

Сервер доступа при подключении АП версий 3.03 и выше из нескольких действительных сертификатов СД использует тот, срок действия которого заканчивается первым.

Правила фильтрации, для которых установлен режим "Контролировать состояние соединений", после отключения их от учетной записи (флажок активности) и последующего обновления параметров подключенного пользователя, будут действовать до завершения сеанса работы АП.

Особенности изменения правила фильтрации, разрешающего прохождение IP-пакетов в защищенную сеть по протоколу ICMP Echo. После изменения действия "Пропустить пакет" на "Отбросить пакет" необходимо отключить и заново подключить пользователя, к которому относятся данные правила. В противном случае IP-пакеты будут проходить в защищенную сеть.

При резервировании СД информация о подключенных абонентских пунктах не сохраняется.

После восстановления базы данных СД в кластере требуется перезагрузка кластера.

Программа управления сервером доступа (ПУ СД)

1. Значок ПУ СД на рабочем столе имеет специальную отметку, если текущий пользователь компьютера не имеет доступа к файлу запуска ПУ СД.

   В КриптоПро CSP 3.0 и выше для корректной работы ПУ СД необходимо включить и настроить биологический датчик случайных чисел.

   Особенности совместной работы ПУ СД и Secret Net 5х и выше. Ключевой материал для идентификации администратора ПУ СД и ключевой материал для идентификации пользователя Secret Net должны быть записаны на разные носители. Корректное использование ключей-идентификаторов на одном носителе невозможно.

   При возникновении ошибки 0x6BA (The RPC server is unavailable) создания сертификата в ПУ СД необходимо проверить, запущена ли системная служба "CryptoPrо CSP key storage".

   Особенность совместной работы ПУ СД и ПУ ЦУС. При обновлении ПУ СД необходимо удалить и ПУ СД, и ПУ ЦУС, а затем установить их заново с общего инсталлятора, указав в мастере установки нужные компоненты.

   Внимание! Количество подключенных учетных записей, отображаемых в ПУ СД, может не совпадать с количеством реальных пользователей АП. Причина: одновременная работа нескольких реальных пользователей под одной учетной записью. Такой вариант возможен при установке АП на нескольких компьютерах и включенном режиме "Разрешить множественные подключения".

   Управление сервером доступа версии 3.05 возможно только с помощью программы управления той же версии.

   Для установки ПУ СД на компьютер, работающий под управлением ОС Windows 2000, требуется наличие установленного пакета обновлений SP4. Так же должны быть установлены более поздние обновления (Hotfix), распространяемые компанией Microsoft.

   Особенности удаления просроченных и отозванных сертификатов. Удаление сертификатов будет выполнено независимо от правильности указанного пароля для расшифровки ключей.

Программа просмотра журналов (ППЖ)

1. Если при просмотре журналов отображается сообщение об ошибке, рекомендуется повторить запрос к базе данных. Для этого используйте кнопку "Обновить" на панели инструментов Программы просмотра журналов.

   Если при настройке параметров соединения с базой данных появляется сообщение об отсутствии SQLDMO.DLL, то необходимо установить клиентские утилиты MS SQL.

   После переинициализации ЦУС необходимо очистить базу данных для хранения регистрационных журналов или создать ее заново. Это требуется для корректного отображения регистрационной информации.

Абонентский пункт (АП)

1. Установку и удаление АП должен осуществлять пользователь, наделенный правами локального администратора данного компьютера.

   В КриптоПро CSP 3.0 и выше для корректной работы АП необходимо включить и настроить биологический датчик случайных чисел.

   Совместная работа АП и ПП "Антивирус Касперского для Windows Workstations 5.0.225" возможна только при использовании КриптоПро версии 3.0.

   В версии АП 3.02 при обновлении в ПУ СД параметров пользователя происходит разрыв соединения между СД и АП. В более поздних версиях при обновлении параметров пользователей соединение не разрывается.

   При запуске программы SStart из командной строки имя соединения должно быть указано в OEM-кодировке.

   При установке/настройке АП корневой сертификат, на котором подписан сертификат пользователя, должен быть установлен в хранилище доверенных сертификатов пользователя.

   В случае возникновения ошибок при установке АП версии 3.02 и выше повторите попытку установки при отключенных сетевых устройствах.

   Особенности совместной работы АП с ПП "Антивирус Касперского" версий 6.0 и 7.0. Для корректной установки соединения АП с сервером доступа необходимо в антивирусной программе отключить режим проверки всех портов.

   Особенность работы КриптоПро CSP. Для смены пользователя компьютера необходимо завершить работу предыдущего пользователя (LogOff), а затем войти под новой учетной записью. При использовании команды Switch User возможна некорректная работа абонентского пункта.

   Для корректной работы АП в свойствах соединения данного компьютера параметр "Время простоя до разъединения" (Параметры повторного звонка) должен иметь значение "Никогда".

   Особенность обновления АП версий 3.2 и 3.3 до текущей версии. Межсетевой экран, входящий в комплект АП, при обновлении не устанавливается. Для установки межсетевого экрана измените набор установленных компонентов программы (Главное меню Windows > Панель управления > Установка и удаление программ > Континент АП > кнопка "Изменить").

   Особенности работы АП с Windows Vista.

Если после установки АП отсутствует сеть, необходимо проверить настройки сетевого адаптера. Для этого в Диспетчере оборудования открыть диалог со свойствами сетевой карты и перейти к закладке Advanced. Необходимо убедиться, что для следующих параметров установлен статус Disabled:

IPv4 Checksum Offload,

TCP Checksum Offload (IPv4),

UDP Checksum Offload (IPv4).

Особенности удаления АП с Windows Vista. При удалении АП появляется сообщение Unidentified Publisher. Причины появления этого сообщения см. на сайте Microsoft (http://support.microsoft.com/kb/929467/en-us ).

Особенности работы АП с Windows Vista. После соединения АП с СД статус соединения отображается как "Континент АП ". Число обозначает порядковый номер установки ПО АП на данный компьютер.

Особенности работы АП с Windows 2000. Настройка "Перезвонить при разрыве связи" в Windows 2000 работает нестабильно.

Для установки АП на компьютер, работающий под управлением ОС Windows 2000, требуется наличие установленного пакета обновлений SP4. Так же должны быть установлены более поздние обновления (Hotfix), распространяемые компанией Microsoft.

Стандартным портом для соединения АП и СД является порт 4433. Если используется другой, он должен быть указан явным образом в настройках подключения АП через двоеточие после IP-адреса сервера доступа.

В АП версий 3.2 и 3.3 проверка наличия ПАК "Соболь" не осуществляется.

В МСЭ рекомендуется установить список правил фильтрации, пропускающий протоколы ARP (pass arp;) и DNS (pass:(udp src port 53) or (udp dst port 53);). Для поддержания работы в домене рекомендуется разрешить протокол NetBIOS (pass:((udp src port 137) and (udp dst port 137)) or ((udp src port 138) and (udp dst port 138));). В случае использования DHCP следует также разрешить протокол DHCP (pass:src port 67 or src port 68 or dst port 67 or dst port 68;).

Особенности подключения АП версии 3.2 к серверу доступа. При возникновении проблемы с подключением на экран выводится стандартное сообщение Windows об ошибке. Причины ошибки могут быть следующие:

недействительный сертификат сервера или пользователя (просрочен, незарегистрирован и т.п.);

неразрешенное время работы;

отсутствие пула адресов;

превышение количества подключений.

Убедитесь в правильности перечисленных настроек. Чтобы в сообщении об ошибке отображалась истинная причина, обновите абонентский пункт до версии 3.5.

Настройки BIOS на платформе G560

1. Настройки BIOS v.02.59 для загрузки с USB Flash диска

Настройки BIOS v.02.59 для снижения шума работы вентиляторов

Включение режима интеллектуального управления скоростью вращения вентиляторов:

Advanced > Hardware Health Configuration (W83793D) > Smart Fan Functions > Enabled

При выключенном режиме скорость вращения вентиляторов всегда максимальная, при включенном - зависит от нагрузки.

Протоколы и порты

Если на пути зашифрованного трафика находятся межсетевые экраны или другое оборудование, осуществляющее фильтрацию IP-пакетов, необходимо создать для них правила, разрешающие прохождение служебных пакетов комплекса "Континент" по протоколам и портам, указанным в таблице.

Список сокращений

Cистемные телефонные аппараты серии OpenStage

Семейство телефонных аппаратов OpenStage обладают уникальной возможностью интеграции с различными устройствами, позволяют иметь доступ к различным сервисам и приложениям и при этом остаются простыми с точки зрения использования.

OpenStage 20 - универсальное решение для обеспечения эффективной и профессиональной телефонной связи. Каждая последующая модель отличается расширенными функциональными возможностями, завершаясь моделью OpenStage 80, предназначенной для сотрудников высшего звена.

2.3 Коммутатор Cisco Catalyst 4507r

Все типы шасси обладают возможностью резервирования источников питания, интеграции inline-power для IP-телефонии, программных и аппаратных функций реализации отказоустойчивости. Ко всему прочему, шасси: Catalyst 4510R и Catalyst 4507R обладают возможностью резервирования модуля супервизора.

Карта расширения для Cisco Catalyst 4507R WS-X4148-FE-BD-LC на 48 оптических портов с интерфейсом LC 100BASE-BX10-D, поддерживаемыми стандартами IEEE 802.3ah и IEEE 802.3, со скоростью передачи до 1 Гбит/с.

2.4 Коммутатор Cisco Catalyst 2960

Новое семейство коммутаторов второго уровня Cisco Catalyst 2960 с фиксированной конфигурацией позволяет подключать рабочие станции к сетям Fast Ethernet и Gigabit Ethernet на скорости среды передачи,

2.5 Аппаратно-программный комплекс шифрования "Континент"

Сертифицированный ФСБ и ФСТЭК России аппаратно-программный комплекс шифрования «Континент» является средством построения виртуальных частных сетей (VPN) на основе глобальных сетей общего пользования, использующих протоколы семейства TCP/IP.

АПКШ «Континент» обладает всеми необходимыми возможностями, чтобы обеспечить:

Объединение через Интернет локальных сетей предприятия в единую сеть VPN;

Подключение удаленных и мобильных пользователей к VPN по защищенному каналу;

Разделение доступа между информационными подсистемами организации;

Организация защищенного взаимодействия со сторонними организациями;

Безопасное удаленное управление маршрутизаторами.

Наличие всех необходимых сертификатов ФСБ и ФСТЭКобеспечивает возможность использования АПКШ «Континент» в организациях, работающих с конфиденциальной информацией, в полном соответствии с Российским законодательством.

Достоинства АПКШ «Континент»

Высокая надежность и отказоустойчивость

Простота внедрения и обслуживания

Удобство управления и поддержки

Высокая пропускная способность

Высокая масштабируемость

Поддержка всех современных протоколов и технологий

Характеристики АПКШ «Континент» - стандарт (IPC-100)

Форм-фактор: 1U для монтажа в 19"" стойку

Габариты (ВхШxГ): 45 х 432 x 425 мм

Процессор: Intel Core 2 Duo

Оперативная память: 1Gb DDR-2

Сетевые интерфейсы: 6х 1000BASE-T Ethernet 10/100/1000 RJ45

1x 1000BASE-X оптический Gigabit Ethernet SFP

Жесткий диск: DOM модуль 4Gb

Блок питания:350W

Порт для подключения dial-up модема: 1х RS232

Видео порт (VGA): 1х (D-Sub)

Порты USB: 2х

Считыватель Touch Memory

Персональные идентификаторы Touch Memory iButton DS1992L – 2шт.

USB-flash drive не менее 512 Мб

Крепежный комплект для установки в монтажный шкаф 19""

Упаковка: индивидуальная картонная коробка

Вес: 6,5 кг

Производительность VPN (режим шифрования) - до 220 Мбит/с

Производительность межсетевого экрана (открытый трафик) - до 400 Мбит/с

Эффективная защита корпоративных сетей

Безопасный доступ пользователей VPN к ресурсам сетей общего пользования

Криптографическая защита передаваемых данных в соответствии с ГОСТ 28147–89

В АПКШ «Континент» применяется современная ключевая схема, реализующая шифрование каждого пакета на уникальном ключе. Это обеспечивает высокую степень защиты данных от расшифровки в случае их перехвата. Шифрование данных производится в соответствии с ГОСТ 28147–89 в режиме гаммирования с обратной связью. Защита данных от искажения осуществляется по ГОСТ 28147–89 в режиме имитовставки. Управление криптографическими ключами ведется централизованно из ЦУС.