Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



Затверджений

Скачати 141.4 Kb.

Затверджений




Скачати 141.4 Kb.
Дата конвертації16.03.2017
Розмір141.4 Kb.


























ЗАТВЕРДЖЕНИЙ







ЄААД.00094-01-ЛЗ


















Підп. та дата




Програмний комплекс proxy захисту з’єднань

(ОС Microsoft Windows)

Версія 2.0.1


Інв. № дубл




Настанова оператора


Взам. інв. №




Підп. та дата




ЄААД.00094-01 34 01-1







Інв. № ориг.




Харків 2012 р.


анотація

Даний документ містить настанову оператора для роботи з програмним комплексом proxy захисту з’єднань (далі – програма). Настанова містить відомості щодо послідовності та особливостям інсталяції, встановлення параметрів роботи та використання програми.



Зміст

1 Призначення програми 5

2 Умови виконання програми 5

3 ІНСТАЛЯЦІЯ програми 6

4 початок роботи з програмою 9

4.1 Завантаження програми 9

4.2 Встановлення параметрів роботи програми 9

4.2.1 Встановлення параметрів proxy захисту 9

4.2.2 Встановлення параметрів моніторингу роботи 10

4.2.3 Встановлення параметрів ключових носіїв 10

4.2.4 Встановлення параметрів криптографічної бібліотеки 11

4.2.4.1 Файлове сховище 12

4.2.4.2 Proxy-сервер 13

4.2.4.3 TSP-сервер 13

4.2.4.4 OCSP-сервер 14

4.2.4.5 LDAP-сервер 15

4.2.4.6 Перегляд сертифікатів 16

4.2.4.6 Перегляд СВС 18

5 Робота із програмою 19

5.1 Запуск програми 19

перелік скорочень 20




1 Призначення програми


Програма proxy захисту призначена для реалізації механізмів підключення клієнтів до proxy захисту з подальшим підключенням до сервера через шлюз захисту та виконує наступні функції:

  • автентифікацію proxy захисту на шлюзі захисту при підключенні до сервера;

  • встановлення захищеного TCP-з’єднання proxy з шлюзом захисту в разі успішної автентифікації;

  • встановлення відкритого TCP-з’єднання клієнтів з proxy захисту;

  • прийом даних TCP-з’єднання від клієнтів та передачі їх на шлюз захисту;

  • зашифрування даних TCP-з’єднання від клієнтів та передачі їх на шлюз захисту;

  • розшифрування даних TCP-з’єднання від шлюзу захисту та передачі їх клієнтам;

  • приймання та передачу управляючої (технологічної) інформації (моніторинг захисту тощо);

  • прийом та введення в дію ключових даних.

2 Умови виконання програми


Програма може бути завантажена та виконана на ЕОМ під керуванням ОС Microsoft Windows 2003 Server/2008 Server.

3 ІНСТАЛЯЦІЯ програми


Для інсталяції програми необхідно запустити програму інсталяції (майстер інсталяції) SC2ProxyInstall.exe з інсталяційного носія (оптичного диску чи ін.) чи завантажити її з web-сторінки ЦСК.

Після запуску програми інсталяції на першій сторінці (рис. 3.1) виводиться інформація про початок інсталяції. Для продовження інсталяції необхідно натиснути кнопку “Далі”, а для завершення – “Відміна”.



Рисунок 3.1

На наступній сторінці майстра (рис. 3.2) за необхідністю можна вказати каталог на диску до якого буде встановлено програму. Для продовження інсталяції необхідно натиснути кнопку “Далі”.

Рисунок 3.2

На наступній сторінці майстра (рис. 3.3) за необхідністю можна вказати розділ меню “Пуск” до якого буде встановлено значки запуску та деінсталяції програми. Для продовження інсталяції необхідно натиснути кнопку “Далі”.

Рисунок 3.3

На наступній сторінці майстра (рис. 3.4) потрібно встановити признаки необхідності виконання майстром додаткових завдань – створення значку запуску програми на робочому столі та запуску програми після завершення інсталяції. Для продовження інсталяції необхідно натиснути кнопку “Далі”.

Рисунок 3.4

На наступній сторінці майстра (рис. 3.5) буде виведено інформацію про операції, що будуть виконані майстром. Для виконання інсталяції необхідно натиснути кнопку “Встановити”.

Рисунок 3.5

Після інсталяції програми, майстер завершує свою роботу (рис. 3.6).

.

Рисунок 3.6

4 початок роботи з програмою

4.1 Завантаження програми


Для роботи програми у каталозі із сертифікатами та СВС обов’язково повинні бути записані:

  • сертифікат ЦСК;

  • сертифікати серверів ЦСК (за необхідністю);

  • діючі СВС (за необхідністю);

  • сертифікат proxy захисту з’єднань.

Для завантаження програми необхідно запустити модуль, що виконується SC2ProxyControl.exe через файловий менеджер ОС або через меню “Пуск”, обравши у розділі “ІІТ \ Захист з’єднань-2 \ Proxy захисту” підпункт “Управління proxy захисту” чи за допомогою значку на робочому столі. Після запуску на екрані буде відображене головне вікно програми, що наведене на рис. 4.1.

Рисунок 4.1


4.2 Встановлення параметрів роботи програми


Для встановлення чи зміни параметрів роботи програми необхідно обрати підпункт “Встановити” в панелі “Параметри роботи” головного вікна програми (рис. 4.1). Вікно встановлення параметрів наведене на рис. 4.2.

Рисунок 4.2


4.2.1 Встановлення параметрів proxy захисту


Для встановлення параметрів proxy захисту необхідно перейти до розділу “Proxy захисту” у вікні параметрів (рис. 4.2).

У формі параметрів proxy захисту вказуються наступні параметри:



  • використовувати процесорів (вказується кількість процесорів що відводиться на роботу proxy захисту);

  • ТСР-порт порт управління proxy (ТСР-порт до якого здійснюється підключення для відділеного управління proxy захисту);

  • контрольоване віддалене управління (якщо встановлено – обмежує кількість робочих станцій із ІР-адресами що задаються);

  • ІР-адреса управління (вказується якщо встановлено ”контрольоване віддалене управління”, вказує ІР-адресу, з якої дозволяється здійснювати віддалене управління proxy захисту ).

Щоб зберегти введені дані необхідно натиснути “Застосувати”.

4.2.2 Встановлення параметрів моніторингу роботи


Для встановлення параметрів моніторингу роботи необхідно перейти до розділу “Моніторинг роботи” у вікні параметрів (рис. 4.3).

Рисунок 4.3

У формі параметрів моніторингу вказується:


  • признак необхідності відправлення подій до агента моніторингу (якщо встановлено, інформацію про всі події буде відправлятись до агента моніторингу);

  • ІР-адреса агента;

  • ТСР-порт агента.

Щоб зберегти введені дані необхідно натиснути “Застосувати”.

4.2.3 Встановлення параметрів ключових носіїв


Для встановлення захищеного з’єднання необхідно зчитати особистий ключ proxy захисту. Ключ може зчитуватись лише у автоматичному режимі. Для встановлення параметрів зчитування особистого ключа необхідно перейти до розділу “Ключовий носій” у вікні параметрів (рис. 4.4).

Для встановлення параметрів доступу до НКІ необхідно у вікні (рис. 4.4) натиснути “Встановити”, та вказати тип ключового носія та пароль у діалоговому вікні що буде виведене (рис. 4.5).



Рисунок 4.4



Рисунок 4.5


4.2.4 Встановлення параметрів криптографічної бібліотеки


Для встановлення параметрів криптографічної бібліотеки необхідно перейти до розділу “Криптографічна бібліотека” у вікні параметрів (рис. 4.6).

Рисунок 4.6

У розділі “Криптографічна бібліотека” встановлюються параметри доступу до каталогу із сертифікатами та списками відкликаних сертифікатів, параметри підключення до серверів TSP, OCSP, LDAP. Для встановлення параметрів необхідно натиснути кнопку ”Встановити”. Вікно із параметрами криптографічної бібліотеки наведене на рис. 4.7.

Рисунок 4.7


4.2.4.1 Файлове сховище


Для настроювання параметрів файлового сховища сертифікатів та СВС необхідно перейти до закладки “Файлове сховище”. Вікно “Параметри роботи” із сторінкою “Файлове сховище” наведене на рис. 4.7. На цій сторінці встановлюються наступні параметри роботи програми:

  • “Каталог з сертифікатами та СВС”. Даний параметр встановлює каталог файлового сховища для зберігання сертифікатів та СВС.

    Всі сертифікати та СВС, що завантажуються не засобами програми повинні записуватися у даний каталог.



  • “Автоматично перечитувати файлове сховище при виявлені змін”. Даний параметр визначає необхідність автоматичного перечитування каталогу файлового сховища програмою при внесенні будь-яких змін до цього каталогу (запису нового сертифіката чи СВС у каталог чи видалення файлу з сертифікатом або СВС).

    Якщо параметр не встановлено необхідно виконувати повторне зчитування файлового сховища після внесення змін. Для цього необхідно обрати підпункт “Зчитати сертифікати та СВС” в пункті меню “Сертифікати та СВС” або натиснути клавішу “F9” у головному вікні програми.



  • “Зберігати у файлове сховище сертифікати, що отримані з OCSP- чи LDAP-серверів”. Даний параметр визначає необхідність автоматичного збереження сертифікатів, що не знайдені у файловому сховищі, а отримані з OCSP- чи LDAP-серверів у файлове сховище.

  • “Час зберігання стану перевіреного сертифікату”. Даний параметр визначає час протягом якого сертифікати що вже перевірені не будуть повторно перевірятися.

    Застосування такого механізму збереження стану сертифіката протягом певного часу забезпечує зменшення ресурсів системи на перевірку сертифіката при частих звертаннях (механізм кешування статусу сертифіката).



  • “Використовувати СВС”. Параметр вказує на необхідність використання СВС в якості засобу перевірки статусу сертифікатів відкритих ключів що використовуються.

  • “Тільки свого ЦСК”. Даний параметр визначає необхідність використовувати при перевірці сертифікатів СВС лише свого ЦСК у ланцюжку.

    Для цього повинен бути зчитаний особистий ключ користувача, оскільки ЦСК користувача визначається за допомогою параметрів особистого ключа.



  • “Повний та частковий”. Даний параметр визначає необхідність перевірки наявності двох діючих СВС (повного та часткового) при здійсненні перевірки сертифікатів.

    Якщо параметр не встановлено достатньо лише одного повного діючого СВС. Даний параметр дозволяє не виконувати постійне завантаження останнього діючого часткового СВС.



  • “Завантажувати автоматично”. Даний параметр визначає можливість автоматичного завантаження СВС під час перевірки статусу сертифікатів, якщо у файловому сховищі не знайдено діючих СВС.

    Параметр має сенс якщо у сертифікатах ЦСК, або серверів ЦСК встановлено шлях отримання СВС.



Для збереження внесених змін необхідно натиснути кнопку “Застосувати”.

4.2.4.2 Proxy-сервер


Для настроювання параметрів proxy-сервера необхідно перейти до закладки “Proxy-сервер” у вікні що наведене на рисунку 4.7. Вікно “Параметри роботи” із сторінкою “Proxy-сервер” наведене на рис. 4.8. На сторінці “Proxy-сервер” встановлюються наступні параметри роботи програми:

  • “Підключатися через proxy-сервер”. Встановлює необхідність використання proxy-сервера під час підключення до серверів обробки запитів.

  • “Ім’я чи ІР-адреса сервера”. Даний параметр встановлює ІР-адресу або DNS-ім’я proxy-сервера.

  • “ТСР-порт”. Даний параметр встановлює TCP-порт proxy-сервера.

  • “Автентифікуватися на proxy-сервері”. Встановлює необхідність автентифікації (вводу логіну та паролю) під час підключення до proxy-сервера.

  • “Ім’я користувача”. Даний параметр встановлює ім’я користувача proxy-сервера.

    Якщо proxy-сервер працює в режимі без автентифікації даний параметр може не вводитися.



  • “Пароль”. Даний параметр встановлює пароль доступу користувача до proxy-сервера.

    Якщо proxy-сервер працює в режимі без автентифікації даний параметр може не вводитися.



  • “Зберегти пароль”. Даний параметр встановлює необхідність зберігати пароль доступу до proxy-сервера у реєстрі ОС.

    У випадку якщо даний параметр не встановлено, введення паролю буде запрошуватися при першому підключенні до proxy-сервера у програмі.





Рисунок 4.8

Для збереження внесених змін необхідно натиснути кнопку “Застосувати”.

4.2.4.3 TSP-сервер


Для настроювання параметрів TSP-сервера необхідно перейти до закладки “TSP-сервер” у вікні що наведене на рисунку 4.7. Вікно “Параметри роботи” із сторінкою “TSP-сервер” наведене на рис. 4.9. На сторінці “TSP-сервер” встановлюються наступні параметри роботи програми:

  • “Ім’я чи ІР-адреса сервера”. Даний параметр встановлює ІР-адресу або DNS-ім’я TSP-сервера.

    Як правило це є ІР-адреса або DNS-ім’я сервера взаємодії ЦСК.



  • “ТСР-порт”. Даний параметр встановлює TCP-порт TSP-сервера.

    Як правило це порт протоколу HTTP (80).



Рисунок 4.9

За замовчанням встановлюються параметри TSP-сервера що вказані у відповідному сертифікаті сервера або ЦСК. Параметри TSP-сервера можна також встановити з сертифіката за допомогою кнопки “З сертифіката…”.

Для збереження внесених змін необхідно натиснути кнопку “Застосувати”.


4.2.4.4 OCSP-сервер


Для настроювання параметрів OCSP-сервера необхідно перейти до закладки “OCSP-сервер” у вікні що наведене на рисунку 4.7. Вікно “Параметри роботи” із сторінкою “OCSP-сервер” наведене на рис. 4.10. На сторінці “OCSP-сервер” встановлюються наступні параметри роботи програми:

  • “Ім’я чи ІР-адреса сервера”. Даний параметр встановлює ІР-адресу або DNS-ім’я OCSP-сервера.

    Як правило це є ІР-адреса або DNS-ім’я сервера взаємодії ЦСК.



  • “ТСР-порт”. Даний параметр встановлює TCP-порт OCSP-сервера.

    Як правило це порт протоколу HTTP (80).



  • “Перевіряти статус сертифікатів через OCSP до перевірки у файловому сховищі”. Даний параметр встановлює черговість перевірки статусу сертифіката.

    Якщо параметр встановлено, статус сертифіката перевіряється спочатку за допомогою OCSP-протоколу, потім за допомогою файлового сховища.

    Якщо параметр не встановлено, перевірка здійснюється спочатку за допомогою файлового сховища, а потім (за необхідністю) за допомогою OCSP-протоколу.


Рисунок 4.10

За замовчанням встановлюються параметри OCSP-сервера що вказані у відповідному сертифікаті сервера або ЦСК. Параметри OCSP-сервера можна також встановити з сертифіката за допомогою кнопки “З сертифіката…”.

Для збереження внесених змін необхідно натиснути кнопку “Застосувати”.


4.2.4.5 LDAP-сервер


Для настроювання параметрів LDAP-сервера перейти до закладки “LDAP-сервер” у вікні що наведене на рисунку 4.7. Вікно “Параметри роботи” із сторінкою “LDAP-сервер” наведене на рис. 4.11. На сторінці “LDAP-сервер” встановлюються наступні параметри роботи програми:

  • “Ім’я чи ІР-адреса сервера”. Даний параметр встановлює ІР-адресу або DNS-ім’я LDAP-сервера.

    Як правило це є ІР-адреса або DNS-ім’я сервера взаємодії ЦСК.



  • “ТСР-порт”. Даний параметр встановлює TCP-порт LDAP-сервера.

    Як правило це порт протоколу LDAP (389).



  • “Анонімний доступ”. Даний параметр встановлює застосування анонімного доступу до LDAP-сервера (без використання імені користувача та паролю).

  • “Ім’я користувача”. Даний параметр використовується якщо не встановлено параметр “Анонімний доступ” та встановлює ім’я користувача LDAP-сервера.

  • “Пароль доступу”. Даний параметр використовується якщо не встановлено параметр “Анонімний доступ” та встановлює пароль доступу користувача до LDAP-сервера.

  • “Шукати сертифікати у LDAP-каталозі”. Даний параметр встановлює необхідність пошуку сертифікатів у LDAP-каталозі, у випадку якщо сертифікат не знайдено у файловому сховищі та за допомогою OCSP-протоколу.

Рисунок 4.11

За замовчанням встановлюються параметри LDAP-сервера що вказані у відповідному сертифікаті сервера або ЦСК. Параметри LDAP-сервера можна також встановити з сертифіката за допомогою кнопки “З сертифіката…”.

Для збереження внесених змін необхідно натиснути кнопку “Застосувати”.


4.2.4.6 Перегляд сертифікатів


Для перегляду сертифікатів що містяться у файловому сховищі необхідно натиснути “переглянути сертифікати” у вікні що наведене на рис. 4.6. Вікно із сертифікатами наведене на рис. 4.12.

За допомогою даного вікна можна видаляти сертифікати з файлового сховища, перевіряти та переглядати сертифікати.

Сертифікати у вікні відсортовані за типами власників (тип власника обирається у верхній частині вікна у випадаючому списку):


  • всі сертифікати;

  • сертифікати центрів сертифікації ключів;

  • сертифікати серверів ЦСК;

  • сертифікати CMP-серверів;

  • сертифікати TSP-серверів

  • сертифікати OCSP-серверів

  • сертифікати користувачів.

Для перегляду списку сертифікатів власника певного типу необхідно обрати відповідний тип власника у верхній частині вікна у списку що випадає.

Для перегляду сертифіката необхідно натиснути на відповідному записі про сертифікат у списку. Сертифікат буде відображено у вікні що наведене на рисунках 4.13 та 4.14.

Для видалення сертифікатів з файлового сховища необхідно виділити у списку відповідні записи про сертифікати та натиснути кнопку “Видалити”.

Для перевірки сертифіката необхідно виділити відповідний запис про сертифікат у списку та натиснути кнопку “Перевірити”. Перевірка сертифіката здійснюється відповідно до встановлених параметрів роботи (див п. 4.2.4.1-4.2.4.5) - за допомогою СВС, OCSP-протоколу тощо. Результатом перевірки буде вікно що наведене на рис. 4.20. Якщо у цьому вікні натиснути “Сертифікат”, сертифікат буде відображений у вікні детального перегляду (рис. 4.14).

Для імпорту сертифіката до файлового сховища необхідно натиснути “Імпортувати”, та обрати потрібний сертифікат на будь-якому носії інформації.

Для експорту сертифіката з файлового сховища в інше місце (носій інформації тощо), необхідно натиснути “Експортувати”, та обрати інше місце розташування.



Рисунок 4.12



Рисунок 4.13



Рисунок 4.14



Рисунок 4.15


4.2.4.6 Перегляд СВС


Для перегляду списків відкликаних сертифікатів (СВС) що містяться у файловому сховищі необхідно натиснути “переглянути СВС” у вікні що наведене на рис. 4.6. Вікно із СВС наведене на рис. 4.16.

Вікно перегляду СВС дозволяє видаляти СВС з файлового сховища, переглядати СВС та завантажувати СВС з web-сервера ЦСК.

Для перегляду СВС необхідно натиснути на відповідному записі про СВС у списку.

Для видалення файлу СВС з файлового сховища необхідно виділити відповідний запис про СВС у списку та натиснути кнопку “Видалити”.

Для імпорту СВС до файлового сховища необхідно натиснути “Імпортувати”, та обрати потрібний СВС на будь-якому носії інформації.

Рисунок 4.16



5 Робота із програмою

5.1 Запуск програми


Після встановлення параметрів роботи (п.п. 4.2) необхідно запустити обробник proxy захисту. Для запуску обробника натиснути “Запустити” у панелі “Стан” головного вікна програми (рис. 4.1).

Під час запуску програми виконується зчитування особистого ключа у відповідності до встановлених параметрів роботи (п.п. 4.2.3).


перелік скорочень


ОС

Операційна система

ЕЦП

Електронний цифровий підпис

КЗІ

Криптографічний захист інформації

СВС

Список відкликаних сертифікатів

ЦСК

Центр сертифікації ключів

НКІ

Носій ключової інформації (особистого ключа)

ПЕОМ

Персональна електронно-обчислювальна машина

OCSP

Online Certificate Status Protocol (протокол визначення статусу сертифіката)

LDAP

Lightweight Directory Access Protocol (протокол доступу до каталогу)

TSP

Time-Stamp Protocol (протокол отримання позначок часу)

HTTP

Hyper Text Transfer Protocol





Скачати 141.4 Kb.

  • 2 Умови виконання програми
  • 4 початок роботи з програмою
  • 4.2 Встановлення параметрів роботи програми
  • 4.2.1 Встановлення параметрів proxy захисту
  • 4.2.2 Встановлення параметрів моніторингу роботи
  • 4.2.3 Встановлення параметрів ключових носіїв
  • 4.2.4 Встановлення параметрів криптографічної бібліотеки
  • 4.2.4.1 Файлове сховище
  • 4.2.4.6 Перегляд сертифікатів
  • 5 Робота із програмою 5.1 Запуск програми