Инструкция по установке ЗАСТАВА-Офис
Общие сведения
В инструкции приводится порядок действий по установке ЗАСТАВА-Офис версии 5.3. Установка выполняется в следующем порядке:
Подготовительные мероприятия.
Установка ЗАСТАВА-Офис версии 5.3.
Запуск и настройка Застава-Офис версии 5.3
Требования к установке
Для установки ЗАСТАВА-Офис версии 5.3 выбранная аппаратная платформа должна отвечать следующим минимальным требованиям:
ОС Window 2003/2008/2008 R2 x64 и x32;
Процессор, эквивалентный Intel Pentium 4 1600 MHz;
50 Мбайт свободного дискового пространства;
40 Мбайт свободной оперативной памяти;
Должен быть установлено СКЗИ «КриптоПро CSP» версии 3.6 с поддержкой драйверных библиотек.
ВАЖНО:
Обязательным требованием перед началом работ является согласование IP-адресного пространства внутренней (защищаемой) сети, к которому будет подключен внутренний интерфейс ЗАСТАВА-Офис, с сотрудниками РСА.
Для создания нового объекта (ЗАСТАВА-Офис) в ЦУП «ЗАСТАВА-Управление», необходимо предоставить сотрудникам РСА перед началом установки внешние IP-адреса, выделенные для ЗАСТАВА-Офис (публичные IP-адреса).
Чтобы инсталлировать и деинсталлировать ЗАСТАВА-Офис, необходимы привилегии администратора операционной системы.
Необходимо отключить все антивирусное программное обеспечение до начала установки продукта. Не забудьте активировать антивирусное программное обеспечение, как только установка будет завершена!
Необходимо удостоверься, что дата, время и настройки часового пояса правильно установлены. Необходимо правильно определить эти параметры, иначе может оказаться, что срок действия сертификатов истек, и установить ЗАСТАВА-Офис нельзя.
Подготовительные мероприятия
Размещение аппаратной платформы в запираемый шкаф
Аппаратную платформу для ЗАСТАВА-Офис в обязательном порядке необходимо размещать в помещении, доступ к которому строго контролируется, например серверная комната с запираемой дверью с возможностью опечатывания.
Регламент подключения
Страховая компания (далее СК) определяет для себя вариант подключения из двух возможных, описанных далее в инструкции, а также необходимость кластеризации шлюзов.
СК выбирает и согласует с РСА вариант подключения из инструкции (в обязательном порядке) и в случае выбора варианта 2 выбирает соответствующий диапазон внутренних IP-адресов ЛВС, которые будут в дальнейшем использоваться для подключения к ресурсам ЦОД. При этом, диапазон адресов не может быть больше 255. В случае, если выбранный СК диапазон IP-адресов пересекается с существующими и настроенными в ЦУП диапазонами сетей, в том числе и других СК, РСА направляет в СК уведомление об этом и предлагает к использованию альтернативный диапазон IP-адресов. При этом, СК в дальнейшем самостоятельно обеспечивает трансляцию портов собственного диапазона IP-адресов ЛВС в выделенный диапазон и настройку маршрутизации до сетей ЦОД с использованием адреса внутреннего интерфейса "ЗАСТАВА-Офис" в качестве шлюза. Затем СК сообщает выбранный публичный адрес терминального сервера (в случае выбора варианта 1) или внешний и внутренний IP-адреса (в случае использования варианта 2) в РСА, причём адреса должны принадлежать к различным сетям. При необходимости РСА задаёт ЭЛВИС-ПЛЮС уточняющие вопросы по схеме взаимодействия по электронному адресу технической поддержки Э+.
СК определяет, будет ли она использовать для обеспечения криптографических взаимодействий между шлюзом(ами) СК и ЦОД существующие клиентские сертификаты, о чём уведомляет РСА или обращается в РСА с просьбой о выдаче нового (новых) цифрового сертификата(ов) по процедуре, определяемой РСА.
РСА заводит в веб-интерфейсе трекера ЭЛВИС-ПЛЮС заявку на подключение СК, предоставляя описание варианта, IP-адресацию и открытый ключ сертификата. ЭЛВИС-ПЛЮС вносит соответствующие изменения в политику ЦУП.
СК осуществляет закупку ПО "ЗАСТАВА-Офис". В случае отсутствия СКЗИ ("КриптоПро") и носителей ключевой информации (токенов) под выбранный вариант реализации, СК закупает их самостоятельно.
СК самостоятельно проводит установку и настройку ПО "ЗАСТАВА-Офис" в соответствии с выбранным вариантом по инструкции и осуществляет проверку связи с ресурсами ЦОД с терминального сервера или из защищаемого "ЗАСТАВОЙ-Офис" сегмента.
В случае возникновения проблем при установке, настройке и проверке СК направляет в РСА соответствующий запрос, РСА заводит заявку в веб-интерфейсе трекера ЭЛВИС-ПЛЮС с описанием ситуации и контактными лицами из СК, включая их при этом в копию кейса. Дальнейшее взаимодействие по кейсу осуществляется между СК и ЭЛВИС-ПЛЮС с направлением копий переписки в РСА.
Подготовка сетевой инфраструктуры
Сервер ЗАСТАВА-Офис представляет собой VPN-шлюз, имеющий минимум 2 интерфейса:
Внутренний интерфейс, интерфейс подключения к внутренней (защищаемой) сети.
Внешний интерфейс, интерфейс подключения к внешней сети (Интернет).
Существует 2 варианта включения в работу ЗАСТАВА-Офис:
Вариант 1. Установка ЗАСТАВА-Офис на терминальный сервер.
При выборе данного варианта использования ЗАСТАВА-Офис взаимодействие пользователей с ресурсами ЦОД будет осуществляться по следующей схеме (см. Рисунок 1):
Пользователи со своих автоматизированных рабочих мест (АРМ) подключаются к терминальному серверу по протоколу удаленного рабочего стола.
С терминального сервера, используя прикладное программное обеспечение (ПО), пользователи осуществляют запрос на получение доступа к ресурсам ЦОД.
Механизмами работы ЗАСТАВА-Офис создается VPN-туннель с серверами ЗАСТАВА-Офис на объекте ЦОД.
Рисунок 1 – Схема работы с использованием ЗАСТАВА-Офис на терминальном сервере
Вариант 2. Установка ЗАСТАВА-Офис на выделенный сервер.
При выборе данного варианта использования ЗАСТАВА-Офис взаимодействие пользователей с ресурсами ЦОД будет осуществляться по следующей схеме (см. Рисунок 2):
Пользователи со своих АРМ, используя прикладное ПО, осуществляют запрос на получение доступа к ресурсам ЦОД.
Данные информационные потоки передаются серверу ЗАСТАВА-Офис.
Механизмами работы ЗАСТАВА-Офис создается VPN-туннель с серверами ЗАСТАВА-Офис на объекте ЦОД.
Рисунок 2 – Схема работы с использованием ЗАСТАВА-Офис на выделенном сервере
ВАЖНО: Для обеспечения возможности организации взаимодействия по схемам вариантов 1 и 2 необходимо обеспечить:
доступность терминального сервера/сервера ЗАСТАВА-Офис с АРМ пользователей;
статическую трансляцию внешнего адреса терминального сервера/сервера ЗАСТАВА-Офис в Интернет;
ограничение доступа со стороны внешней сети (Интернет) к терминальному серверу/серверу ЗАСТАВА-Офис по портам UDP/500, UDP/4500, IP/50 (ESP);
добавление на сетевом оборудовании (обеспечивающем маршрутизацию клиентских запросов при использовании варианта 2) маршрутов до диапазонов IP-адресов ЛВС в ЦОД с указанием в качестве шлюза внутреннего адреса ЗАСТАВА-Офис;
в обязательном порядке согласование с ответственными сотрудниками РСА диапазона IP-адресов внутреннего (защищаемого) сегмента ЛВС;
в случае, если диапазон IP-адресов внутренней (защищаемой) ЛВС совпадает с адресным пространством РСА или других страховых компаний, необходимо выбрать диапазон адресов, не пересекающийся с существующими диапазонами IP-адресов сетей РСА и других страховых компаний, использующих ЗАСТАВА-Офис и либо обеспечить трансляцию IP-адресов внутреннего сегмента ЛВС в новый диапазон, либо сменить адресацию всего диапазона на новый.
IP-адресные пространства ЛВС, используемые в ЦОД:
10.0.0.0/29;
172.16.1.0/24;
172.16.2.0/24;
172.16.3.0/28;
172.16.18.0/24;
172.19.0.0/22;
192.168.1.0/24;
192.168.100.0/22;
192.168.200.0/22.
Установка ЗАСТАВА-Офис версии 5.3
Перед установкой ЗАСТАВА-Офис необходимо инсталлировать на компьютер СКЗИ «КриптоПро CSP» версии 3.6 (сборка 6497) в соответствии с требованиями технической документацией на указанное средство:
ЖТЯИ.00050-01 30 01 «Средство криптографической защиты информации. «КриптоПро CSP» Версии 3.6. Формуляр» или ЖТЯИ.00050-02 30 01 «Средство криптографической защиты информации. «КриптоПро CSP» Версии 3.6. Формуляр»;
ЖТЯИ.00050-01 90 02 «Средство криптографической защиты информации. «КриптоПро CSP». Версия 3.6. Руководство администратора безопасности. Общая часть» или ЖТЯИ.00050-02 90 02 «Средство криптографической защиты информации. «КриптоПро CSP». Версия 3.6. Руководство администратора безопасности. Общая часть».
ВАЖНО: Во время установки СКЗИ «КриптоПро CSP» необходимо указать вид установки «Выборочная» и в обязательном порядке установить компонент «Криптопровайдер уровня ядра ОС» (см. Рисунок 3).
Рисунок 3 – Параметры установки СКЗИ «КриптоПро CSP»
Примечание. Если СКЗИ «КриптоПро CSP» версии 3.6 (сборка 6497) установлено, дополнительные действия не требуются. Выполняется установка ЗАСТАВА-Офис.
Для инсталляции ЗАСТАВА-Офис необходимо произвести следующие действия:
Закрыть все открытые программы.
Вставить инсталляционный диск в CD-привод, найти папку с дистрибутивом ЗАСТАВА-Офис и запустить программу инсталляции (zastavaoffice.exe). Запустится Мастер Инсталляции (см. Рисунок 4).
Рисунок 4 – Запуск Мастера Инсталляции
Подтвердить согласие с приведенным в окне лицензионным соглашением (см. Рисунок 5).
Рисунок 5 – Окно с лицензионным соглашением
Для указания папки, в которую будет установлен продукт, необходимо нажать кнопку «Изменить» и сделать выбор (см. Рисунок 6).
Рисунок 6 – Выбор папки для установки продукта
В окне Выбор компонент, выбрать все программные модули (см. Рисунок 7).
Рисунок 7 – Выбор устанавливаемых компонент ЗАСТАВА-Офис
Выбрать интерфейс(-ы), который будет защищен. Эти интерфейсы могут быть включены в правила ЛПБ (см. Рисунок 8)
Примечание. Если, на этой стадии, пока не известно, какие интерфейсы должны быть защищены, можно выбрать все интерфейсы. В дальнейшем можно изменить список отобранных интерфейсов после установки в окне Настройки.
Рисунок 8 – Выбор защищаемых интерфейсов
В окне с запросом на добавление ПО «ЗАСТАВА-Офис» в список исключений брандмауэра отметить соответствующий пункт (см. Рисунок 9).
Рисунок 9 – Добавление ПО «ЗАСТАВА-Офис» в список исключений брандмауэра Windows
В процессе установки появится окно с предупреждением об установке драйверов ПО «ЗАСТАВА-Офис», во всех появившихся окнах нажать кнопку «Continue Anyway» (см. Рисунок 10).
Рисунок 10 – Установка драйвера ПО «ЗАСТАВА-Офис»
После завершения инсталляции нажать кнопку «Готово» (см. Рисунок 11).
Примечание. В течение инсталляции ЗАСТАВА-Офис, содержимое самоизвлекающегося файла zastavaoffice.exe извлекается во временный каталог. Обычно, этот каталог c:\Documents and Settings\\Local Settings\Temp; можно проверить этот путь, используя Start → Settings → Control Panel → System → Advanced → Environment Variables. Обычно, эти извлеченные файлы автоматически не удаляются после инсталляции. Можно удалить эти файлы вручную, когда инсталляция будет закончена.
Рисунок 11 – Завершение установки
При необходимости перезагрузить компьютер.
Примечание. ЗАСТАВА-Офис содержит Application Proxy модули для нескольких протоколов (FTP, Telnet, HTTP и др.). Поэтому, если в ОС уже присутствуют серверы для данных протоколов, то после инсталляции продукта возможен конфликт портов, из-за чего данные серверы или Application Proxy серверы продукта могут оказаться неработоспособными.
Запуск и настройка Застава-Офис версии 5.3
Запуск GUI ЗАСТАВА-Офис
Системные модули ЗАСТАВА-Офис запускаются автоматически при загрузке ОС и работают постоянно в фоновом режиме. При необходимости, можно открыть графический интерфейс ЗАСТАВА-Офис следующим образом:
Выбрать команду через меню Start → Programs → ELVIS+ → ZASTAVA Office → ZASTAVA Office, либо дважды нажать в панели задач в правом нижнем углу рядом с часами иконку  .
Появится Панель инструментов.
Нажать кнопку «Настройки», которая открывает окна, в которых можно устанавливать параметры ЗАСТАВА-Офис. По умолчанию пароль администратора ЗАСТАВА-Офис пустой (при условии, что этот пароль не был специально задан в инсталляционном пакете, созданном администратором безопасности). Если пароль не пустой, то появится диалог для ввода пароля администратора ЗАСТАВА-Офис. Ввести пароль и нажать кнопку «Готово».
Конфигурирование ЗАСТАВА-Офис
ЗАСТАВА-Офис может быть сконфигурирован после установки с помощью GUI ЗАСТАВА-Офис или с помощью командной строки.
Быстрое включение ЗАСТАВА-Офис в работу
Для быстрого запуска ЗАСТАВА-Офис в работу необходимо выполнить следующее:
Согласовать IP-адресное пространство внутренней (защищаемой) сети, к которому будет подключен внутренний интерфейс ЗАСТАВА-Офис, с сотрудниками РСА.
Получить и подключить носитель с персональным сертификатом.
Зарегистрировать сертификат Центра Сертификации (ЦС) – издатель персонального сертификата или всю трастовую цепочку ЦС сертификатов, если персональный сертификат издан Подчиненным ЦС.
Согласовать идентификаторы интерфейсов с идентификаторами в Центре управления политиками безопасности ЗАСТАВА-Управление (ЦУП).
Создать и активировать конфигурацию для подключения к ЦУП.
Примечание. К этому моменту ЗАСТАВА-Офис должен быть создан в ЦУП как security объект с сертификатом и с оттранслированной и активированной ЛПБ. Администратором безопасности должен быть выдан носитель с контейнером персонального сертификата, в котором должен быть инсталлирован публичный ключ и файлы ЦС сертификатов. СКЗИ «КриптоПро CSP» версии 3.6 установленное на компьютере должно обеспечивать поддержку носителя с персональным сертификатом.
Порядок быстрого включения в работу ЗАСТАВА-Офис следующий:
Подключить носитель с контейнером. Убедиться, что персональный сертификат появился в в продукте. Для этого необходимо открыть окно «Настройки» вкладку «Модули токенов» и убедиться, что в дереве “Builtin CryptoPro Module” появился носитель (см. Рисунок 12).
Рисунок 12 – Подключение носителя с сертификатом и ключами
Одновременно в окне «Сертификаты» появился персональный сертификат во вкладке «Персональные» (см. Рисунок 13).
Рисунок 13 – Автоматическое добавление сертификата из носителя
Зарегистрировать сертификаты ЦС:
Открыть окно «Сертификаты» и нажать кнопку «Импорт».
В открывшемся окне навигатора открыть файл с корневым сертификатом ЦС. Корневой ЦС сертификат должен быть зарегистрирован как «Доверенный» на устройстве Trusted certificate token (см. Рисунок 14).
Рисунок 14 – Настройки в окне «Сертификат/Мастер ключей» при импорте сертификата ЦС
В следующем окне диалога ввести PIN-код Trusted Certificate токена (см.
Рисунок 15).
Рисунок 15 – Окно для ввода пароля токена
Примечание 1. Предустановленное значение PIN-кода токена – 12345678.
Примечание 2. Если персональный сертификат издан корневым ЦС то этого достаточно, если подчиненным ЦС, то в любой последовательности командой «Импорт» зарегистрировать все промежуточные сертификаты. При этом сам продукт определяет тип сертификата и кладет его в нужное хранилище.
Подключиться к ЦУП для этого:
Открыть вкладку «Политика» окна «Настройки», нажать кнопку «Добавить».
В окне «Добавить Политику» выбрать поле «Загрузить с сервера». В поле «pmp://» ввести адрес сервера политики.
Из списка в поле сертификат выбрать персональный сертификат (см. Рисунок 16).
Рисунок 16 – Добавление ЛПБ в окне «Добавить политику»
В списке политик появилась вновь созданная политика (см. Рисунок 17).
Рисунок 17 – Добавление политики в список окна «Настройки» вкладки «Политика»
Выбрать созданную политику и нажать кнопку «Активировать».
Агент начинает инициировать создание защищенного соединения с сервером ЦУП. В процессе создания соединения при обращении к персональному сертификату будет запрошен пароль (PIN-код токена) хранилища персонального сертификата (см. Рисунок 18).
Рисунок 18 – Ввод пароля токена при создании защищенного соединения
Примечание. При создании защищенного соединения партнеру отсылается подпись, созданная с использованием секретного ключа персонального сертификата. При первом обращении для доступа к хранилищу контейнера выдается окно ввода пароля (PIN-кода) с флагом «сохранить пароль для дальнейших соединений». Если не установить флаг, то введенный им пароль будет сохранен и не будет запрашиваться при установлении последующих соединений до перезапуска службы vpndmn.exe Агента. Если установить флаг, то пароль больше не будет запрашиваться.
Ввести требуемый пароль (PIN-код токена).
После установления соединения в информационной строке Панели инструментов появится информация о прогрузки политики из ЦУП (см. Рисунок 19).
Рисунок 19 – Текущий статус ЛПБ ЗАСТАВА-Офис (источник ЛПБ и дата ее активации)
Работа с ЗАСТАВА-Офис
В ЗАСТАВА-Офис присутствует единственный пользователь - администратор (аутентифицируемый паролем администратора).
Если ЗАСТАВА-Офис был должным образом сконфигурирован, конечному пользователю не требуется выполнять настройки программы. Однако конечные пользователи могут контролировать текущее состояние ЗАСТАВА-Офис с помощью утилит мониторинга работы, и, при необходимости, активировать политику безопасности.
Для работы ЗАСТАВА-Офис необходимо, во-первых, сгенерировать секретный цифровой сертификат (и секретный ключ), который будет использоваться для аутентификации данного хоста при установлении защищенных соединений, и, во-вторых, сформировать и загрузить в ЗАСТАВА-Офис ЛПБ.
Сертификаты и ключи могут быть сохранены или на токене, или как набор файлов, которые могут быть импортированы в ЗАСТАВА-Офис.
Расположение файлов ЗАСТАВА-Офис
Основные файлы ЗАСТАВА-Офис (исполняемые модули, журнал протокола, файлы библиотек и проч.) располагаются в так называемой главной директории ЗАСТАВА-Офис:
C:\Program Files\ELVIS+\ZASTAVA Office
или для 64-битных платформ
C:\Program Files(х86)\ELVIS+\ZASTAVA Office
Файлы журналов bin_log.txt и vpn_init.log располагаются в директории:
C:\Program Files\ELVIS+\ZASTAVA Office\log
или для 64-битных платформ
C:\Program Files(х86)\ELVIS+\ZASTAVA Office\log
Файл с локальными настройками localsettings.xml располагается в директории:
C:\Program Files\ELVIS+\ZASTAVA Office
или для 64-битных платформ
C:\Program Files(х86)\ELVIS+\ZASTAVA Office
Кроме того, некоторые модули (например, драйвер для перехвата IP-пакетов) располагаются в системных директориях ОС.
Индикация текущего статуса
Текущий статус ЛПБ ЗАСТАВА-Офис можно просмотреть в нижней части Панели инструментов либо отображаться иконкой, расположенной на панели задач.
Имеются шесть иконок, каждая со своим собственным цветом, указывающим на текущий статус ЛПБ. Статус всегда показывается, независимо от того, открыт ЗАСТАВА-Офис или нет на рабочем столе. ЗАСТАВА-Офис запускается и начинает работать, как только запускается ОС.
Если поместить курсор поверх иконки и подождать несколько секунд, будет показана подсказка с подробной информацией о текущем статусе ЛПБ. Та же самая информация будет отображена в строке состояния Панели инструментов. Иконки и статусы представляются разными графическими символами (см. Таблица 1).
Таблица 1 – Перечень графических символов статусов ЛПБ
Статусы ЗАСТАВА-Офис
|
Иконка (цвет)
|
Активирована политика Drop all
|
 (красный)
|
ЗАСТАВА-Офис запрашивает ЛПБ из ЗАСТАВА-Управление. Данный статус возможен только для Начальной ЛПБ
|
 (жёлтый)
|
Активирована текущая ЛПБ
|
 (зелёный)
|
Ошибка активации; предыдущая политика будет восстановлена
|
 (синий)
|
Активирована «Политика драйвера по умолчанию»
|
 (фиолетовый)
|
Системная служба ЗАСТАВА-Офис vpndmn остановлена
|
 (серый)
|
Также, в зависимости от текущего статуса ЛПБ, могут детектироваться следующие иконки (см. Таблица 2), иконка со статусом «Системная служба ЗАСТАВА-Офис vpndmn остановлена» никаких дополнительных статусов не имеет.
Таблица 2 – Иконка статуса. Дополнительные изображения к цвету иконки.
Дополнительные статусы ЗАСТАВА-Офис
|
Иконка (изображение внутри)
|
Доступно обновление ЗАСТАВА-Офис*
|
 (восклицательный знак и звездочка)
|
Отсутствует связь с ЦУП**
|
 (крестик и звездочка)
|
Доступно обновление ЗАСТАВА-Офис. Отсутствует связь с ЦУП
|
 (крестик, восклицательный знак и звездочка)
|
Примечание
* - актуально для всех цветов кроме красного цвета иконки статуса
** - актуально для всех цветов кроме синего цвета иконки статуса
|
При двойном нажатии на иконке левой кнопкой мыши открывается графический интерфейс ЗАСТАВА-Офис.
Справочная система ЗАСТАВА-Офис
Интерактивная справочная система может использоваться для получения ответов на вопросы по работе с ЗАСТАВА-Офис. Если появляются трудности с созданием или редактированием объектов или у есть вопросы относительно параметров, можно воспользоваться справочной системой. Для вызова системы необходимо нажать кнопку «Помощь» на Панели инструментов. В окнах ЗАСТАВА-Офис справочная система может быть вызвана с помощью клавиши , кнопки «Помощь» или команд «Помощь меню» (если возможно).
Особенности Справочной системы
Навигационная область справочной системы отображается при запуске окна «Help» и содержит оглавление «ЗАСТАВА-Офис 5.3. Справочная система». Для просмотра справки, по определенным интересующим настройкам, необходимо нажать ссылку на необходимый раздел. При выборе раздела из списка, этот раздел будет отображен в правой части окна «Справка».
Навигационные кнопки «Previous» (Назад), «Top» (Начало) и «Next» (Вперед) расположены справа вверху раздела. Используя эти кнопки, можно передвигаться по разделам в их логической последовательности.
|
