Головна  /  технології  /  Відеоспостереження. Сервери та серверні платформи

Відеоспостереження. Сервери та серверні платформи

технології
19.09.2020

Добрий день% username%! Всі знають що Федеральний Закон РФ № 152 диктує нам що ми повинні використовувати сертифіковані засоби для захисту ПДН. Було завдання забезпечити безпеку каналу по ФЗ-152 для віддаленого підключення клієнтів. Для цього було використано сервер VPN з КріптоПро IPsec і сертифікати ГОСТ.

Інструкція усередині.

Перед налаштуванням служб і з'єднань на сервері і клієнтських машин необхідно встановити на них КріптоПро CSP і КріптоПро IPSec!

Налаштовуємо VPN сервер на Windows Server 2012 R2

Відкриваємо оснащення Server Manager і через майстер додавання ролей вибираємо тип установки на основі ролей - Role-based or feature-based installation.


На кроці вибору ролей вибираємо роль Remote Access.


Крок Features пропускаємо без внесення змін. На кроці вибору служб включається ролі виберемо службу DirectAccess and VPN (RAS).


Після вибору служби відкриється вікно додавання додаткових компонент пов'язаних з обраної службою. Погодимося з їх установкою натиснувши Add Features.

Роль Web Server Role (IIS) буде при цьому додана в майстер додавання ролей. Відповідний з'явився крок майстра Web Server Role (IIS) і залежні опції Role Services пропускаємо з запропонованими за замовчуванням налаштуваннями і запускаємо процес установки, після закінчення якого буде доступне посилання на майстер початкового налаштування служб Remote Access - Open the Getting Started Wizard.


Майстер налаштування RAS можна викликати клацнувши по відповідному посиланню тут, або пізніше з оснащення Server Manager:


Так як настройка DirectAccess в контексті нашої задачі не потрібна, у вікні майстра вибираємо варіант тільки VPN - Deploy VPN only.


Налаштування служби Routing and Remote Access

З Панелі управління відкриваємо оснащення Administrative Tools Routing and Remote Access, вибираємо ім'я сервера і відкриваємо контекстне меню. Вибираємо пункт Configure and Enable Routing and Remote Access.


Так як нам потрібен тільки VPN вибираємо.


Вибираємо VPN.



Налаштовуємо діапазон адрес для клієнтів.




Зазначимо що не використовуємо RADIUS сервер.


Погоджуємося з запуском служби. Після запуску необхідно налаштувати методи аутентифікації користувачів.


Випускаємо ГОСТовие сертифікати в КріптоПро УЦ 2.0 для VPN.

Для того щоб IPSec у нас працював нам потрібно:

  • Кореневий сертифікат УЦ
  • серверний сертифікат
  • клієнтський сертифікат

І так, створимо два шаблони IPSec client IPSec server в диспетчері УЦ.


У настройка шаблону IPSec client додамо параметр Client Authentication (1.3.6.1.5.5.7.3.2). IP security IKE intermediate (1.3.6.1.5.5.8.2.2).


Шаблон IPSec server такий же але з параметром Server Authentication (1.3.6.1.5.5.7.3.1).


Після виконаної роботи в Консолі управління ЦР створюємо користувачів для запиту і формування сертифіката.



Виберемо місце зберігання (контейнер) для закритого ключа.


Після нервового смикання мишкою (це необхідно для РПЛ) задаємо пароль для контейнера.
Тепер нам необхідно експортувати сертифікат в закритий контейнер.


Після копіювання сертифіката необхідно скопіювати весь контейнер в файл для перенесення на АРМ віддаленого клієнта. Експортуємо за допомогою КріптоПро CSP в форматі pfx.


За таким же алгоритмом створюємо сертифікат для сервера тільки по іншому шаблоном і встановлюємо їх за допомогою оснастки Сертифікати КріптоПро CSP. Не забуваємо про кореневий сертифікат який повинен бути в Довірених кореневих центри сертифікації.

Налаштування політики IP-безпеки на сервері




На вкладці «Методи перевірки справжності» додаємо Кореневий сертифікат.


За таким же алгоритмом налаштовуємо політику IP-безпеки на кожній віддаленому АРМ.
Коректність установки сертифіката і перевірка працездатності IPSec, а так само логирование помилок можна перевірити за допомогою утиліти КріптоПро IPSec cp_ipsec_info.exe. Після натискання меню Оновити список, Ви побачите список встановлених сертифікатів. На проти встановленого сертифіката повинна стояти галочка для підтверджень що все добре з ним.


Налагодження підключення VPN до сервера

Підключення налаштовується стандартно але з невеликими змінами.


Начебто розповів всі нюанси, якщо є зауваження або пропозиції вислухаю з радістю!

Добрий день% username%! Всі знають що Федеральний Закон РФ № 152 диктує нам що ми повинні використовувати сертифіковані засоби для захисту ПДН. Було завдання забезпечити безпеку каналу по ФЗ-152 для віддаленого підключення клієнтів. Для цього було використано сервер VPN з КріптоПро IPsec і сертифікати ГОСТ.

Інструкція усередині.

Перед налаштуванням служб і з'єднань на сервері і клієнтських машин необхідно встановити на них КріптоПро CSP і КріптоПро IPSec!

Налаштовуємо VPN сервер на Windows Server 2012 R2

Відкриваємо оснащення Server Manager і через майстер додавання ролей вибираємо тип установки на основі ролей - Role-based or feature-based installation.

На кроці вибору ролей вибираємо роль Remote Access.

Крок Features пропускаємо без внесення змін. На кроці вибору служб включається ролі виберемо службу DirectAccess and VPN (RAS).

Після вибору служби відкриється вікно додавання додаткових компонент пов'язаних з обраної службою. Погодимося з їх установкою натиснувши Add Features.

Роль Web Server Role (IIS) буде при цьому додана в майстер додавання ролей. Відповідний з'явився крок майстра Web Server Role (IIS) і залежні опції Role Services пропускаємо з запропонованими за замовчуванням налаштуваннями і запускаємо процес установки, після закінчення якого буде доступне посилання на майстер початкового налаштування служб Remote Access - Open the Getting Started Wizard.

Майстер налаштування RAS можна викликати клацнувши по відповідному посиланню тут, або пізніше з оснащення Server Manager:

Так як настройка DirectAccess в контексті нашої задачі не потрібна, у вікні майстра вибираємо варіант тільки VPN - Deploy VPN only.

Налаштування служби Routing and Remote Access

З Панелі управління відкриваємо оснащення Administrative Tools \\ Routing and Remote Access, вибираємо ім'я сервера і відкриваємо контекстне меню. Вибираємо пункт Configure and Enable Routing and Remote Access.

Так як нам потрібен тільки VPN вибираємо.

Вибираємо VPN.

Налаштовуємо діапазон адрес для клієнтів.



Зазначимо що не використовуємо RADIUS сервер.

Погоджуємося з запуском служби. Після запуску необхідно налаштувати методи аутентифікації користувачів.

Випускаємо ГОСТовие сертифікати в КріптоПро УЦ 2.0 для VPN.

Для того щоб IPSec у нас працював нам потрібно:

  • Кореневий сертифікат УЦ
  • серверний сертифікат
  • клієнтський сертифікат
І так, створимо два шаблони IPSec client IPSec server в диспетчері УЦ.

У настройка шаблону IPSec client додамо параметр Client Authentication (1.3.6.1.5.5.7.3.2). IP security IKE intermediate (1.3.6.1.5.5.8.2.2).

Шаблон IPSec server такий же але з параметром Server Authentication (1.3.6.1.5.5.7.3.1).

Після виконаної роботи в Консолі управління ЦР створюємо користувачів для запиту і формування сертифіката.

Виберемо місце зберігання (контейнер) для закритого ключа.

Після нервового смикання мишкою (це необхідно для РПЛ) задаємо пароль для контейнера.
Тепер нам необхідно експортувати сертифікат в закритий контейнер.

Після копіювання сертифіката необхідно скопіювати весь контейнер в файл для перенесення на АРМ віддаленого клієнта. Експортуємо за допомогою КріптоПро CSP в форматі pfx.

За таким же алгоритмом створюємо сертифікат для сервера тільки по іншому шаблоном і встановлюємо їх за допомогою оснастки Сертифікати КріптоПро CSP. Не забуваємо про кореневий сертифікат який повинен бути в Довірених кореневих центри сертифікації.

Налаштування політики IP-безпеки на сервері

На вкладці «Методи перевірки справжності» додаємо Кореневий сертифікат.

За таким же алгоритмом налаштовуємо політику IP-безпеки на кожній віддаленому АРМ.
Коректність установки сертифіката і перевірка працездатності IPSec, а так само логирование помилок можна перевірити за допомогою утиліти КріптоПро IPSec cp_ipsec_info.exe. Після натискання меню Оновити список, Ви побачите список встановлених сертифікатів. На проти встановленого сертифіката повинна стояти галочка для підтверджень що все добре з ним.

Налагодження підключення VPN до сервера

Підключення налаштовується стандартно але з невеликими змінами.

Начебто розповів всі нюанси, якщо є зауваження або пропозиції вислухаю з радістю!

"Трініті" - системний інтегратор повного циклу. Побудова ІТ-інфраструктури, катастрофостійкої рішень, систем віртуалізації, виробництво серверів і СГД.

Вам необхідно купити готовий сервер з відповідними параметрами, але Ви не знаєте який вибрати? Вас вводить в ступор різноманітність серверних платформ на сучасному ринку? Фахівці компанії "Трініті" пропонують Вашій увазі величезний вибір сучасних серверів і серверних платформ за доступними цінами. Ми не просто здійснюємо продажі техніки - в наших інтересах підібрати для клієнта найоптимальніший варіант з урахуванням всіх його вимог і побажань.

Основні напрямки роботи:

  • Проектування серверних кімнат та побудова катастрофостійкої рішень.
  • Інформаційна безпека.
  • Віртуалізація серверів, систем зберігання даних, робочих станцій.
  • ІТ-рішення для телебачення, автоматизація мовлення і виробництва, архівне зберігання мультимедійних файлів, система IPTV.
  • Виконання проектів з побудови центрів обробки даних від розробки ТЗ до впровадження "під ключ".
  • Високопродуктивні кластери для паралельних обчислень.
  • Корпоративні сервери та системи зберігання даних.
    Інфраструктура для бізнес-додатків (SAP, Microsoft, Oracle і т.д.)

Сервери та серверні платформи

Для того, щоб купити сервер або серверну платформу, яка буде безперебійно і довго працювати на благо Вашого підприємства, необхідно бути впевненим у надійності придбаного пристрою. І саме тут послуги, що надаються компанією "Трініті" можуть істотно полегшити Ваш вибір.

Компанія "Трініті" здійснює продаж високопродуктивних систем зберігання даних і мережевого обладнання за доступними цінами. У нас Ви можете купити серверну платформу або ж сервер, як новий, так і відновлений від відомих світових виробників серверної техніки, попередньо вивчивши необхідні потужності і характеристики. Також, в нашій компанії працюють кваліфіковані фахівці, які з радістю допоможуть Вам вибрати відповідну модель і підберуть оптимальну конфігурацію сервера, з урахуванням всіх вимог і побажань. Просто зв'яжіться з нами за вказаним номером, і ми відповімо на всі Ваші запитання.

В курсі розглядаються теоретичні, практичні та правові основи використання засобів криптографічного захисту інформації (СКЗИ). Особлива увага приділяється правових питань використання СКЗИ в корпоративних інформаційних системах.

Слухачі отримують практичні навички по роботі зі сховищами сертифікатів ОС MS Windows, налаштування робочого середовища користувача для успішної роботи в корпоративній мережі, а також по розгортанню, налаштування та використання продукту «КріптоПро IPsec» виробництва ТОВ «КРИПТО-ПРО».

Заняття проводяться з використанням технології віртуальних машин на спеціально сконфігурованих стендах.

Після вивчення курсу слухач буде:

знати:

  • правові та організаційні засади використання ЗКЗІ;
  • теоретичні основи побудови ЗКЗІ;
  • призначення, порядок встановлення, налагодження та застосування ЗКЗІ «КріптоПро IPsec».

вміти:

  • встановлювати і налаштовувати ЗКЗІ;
  • застосовувати ЗКЗІ «КріптоПро IPsec» для організації захищеного обміну інформацією в корпоративній інформаційній системі.

Успішне закінчення навчання за програмою даного курсу дозволить фахівцям:

  • ефективно вирішувати завдання захисту інформації при передачі її по каналах зв'язку.

мета курсу

Формування навичок використання ПЗ «КріптоПро IPsec» для захисту інформації обмеженого доступу при передачі її по каналах зв'язку.

Цільова аудиторія

  • керівники і фахівці структурних підрозділів організацій, що використовують (або планують використовувати) ЗКЗІ в корпоративних інформаційних системах.

необхідна підготовка

  • знати основи інформаційних технологій;
  • мати навички роботи на персональному комп'ютері в ОС MS Windows XP або вище на рівні досвідченого користувача;
  • мати навички установки і настройки програмного забезпечення в середовищі ОС MS Windows;
  • мати навички адміністрування локальних мереж, побудованих на базі MS Windows Server 2003/2008 / XP Professional;
  • знати призначення і мати навички роботи з ПО «КріптоПро CSP».

1. Знайомство з предметом криптографічного захисту інформації.

  • Алгоритми симетричного шифрування.
  • Алгоритми асиметричного шифрування.
  • Алгоритми хешування.
  • Алгоритми створення і перевірки цифрового підпису.

2. Концепція інфраструктури відкритих ключів (ІВК / PKI).

  • Основні поняття і визначення.
  • Архітектура ІВК / PKI.
  • Поняття про сертифікат відкритого ключа.
  • Стандарт X.509.

3. Правове регулювання застосування ЗКЗІ в корпоративних інформаційних системах.

  • Роль і місце ЕП та інших криптографічних технологій забезпечення безпеки в системах управління, документообігу та електронної комерції.
  • Закони РФ, Постанови Уряду РФ, що регулюють використання СКЗИ.
  • НМД ФСБ Росії, що регулюють використання СКЗИ.

4. Практична реалізація ЗКЗІ на платформі ОС MS Windows.

  • Архітектура криптографічного системи ОС MS Windows.
  • Вбудовування в ОС MS Windows додаткових ЗКЗІ.
  • Зберігання інформації про використовувані криптографічними алгоритмами ключах та іншої інформації в ОС MS Windows.
  • Використання криптографічних методів захисту інформації в протоколах захисту транспортного рівня SSL / TLS і електронної пошти.
  • Налаштування додатків для використання ними криптографічних методів захисту інформації.
  • Практична робота: Робота з локальним сховищем сертифікатів в ОС MS Windows XP.
  • Практична робота: Налаштування додатків для використання СКЗИ в ОС MS Windows XP.

5. ЗКЗІ «КріптоПро IPsec»: установка, настройка, використання.

  • Загальні відомості про ЗКЗІ «КріптоПро IPsec».
  • Установка ЗКЗІ «КріптоПро IPsec».
  • Налаштування ЗКЗІ «КріптоПро IPsec».
  • Використання ЗКЗІ «КріптоПро IPsec» для захисту інформації, що передається в каналах зв'язку.
  • Практична робота: Захист інформації при передачі по каналах зв'язку з використанням «КріптоПро IPsec».

одержуваний документ

посвідчення про підвищення кваліфікації, або Сертифікат.