КБ К-4 Дистрибутив содержит образ диска Continent-4.1.5-2475-Linux_Disk1.iso (версия программного обеспечения может варьироваться). Его следует использовать в качестве загрузочного диска для виртуальной машины.
Для виртуального исполнения доступны три варианта (категории) установки в зависимости от потребностей пользователя. Варианты установки и минимальные технические требования к виртуальным машинам представлены в таблице ниже.
| Вариант установки | Минимальные технические требования |
|---|---|
| Виртуальная машина | … |
| Виртуализация в ЦОД | … |
| Аппаратная платформа | … |
Как подключить USB-накопитель к виртуальной машине?
Способ подключения индивидуален для каждого ПО виртуализации. Общее требование – наличие виртуального USB-контроллера в конфигурации виртуальной машины. USB-накопитель должен быть отформатирован в FAT32.
Примечание. При возникновении проблем необходимо обратиться к документации разработчика платформы виртуализации.
Какую выбрать платформу при установке ПО на виртуальную машину?
При использовании виртуализации следует выбирать тип платформы Настраиваемая. ПО установится в соответствии с параметрами виртуальной машины (адаптеры, диск и др.).
Как установить дистрибутив на аппаратную платформу?
Платформа указана в паспорте. Также в паспорте есть изображение расположения портов на платформе.
Как узнать нумерацию портов?
Маркировка портов указана в паспорте платформы. Возможна ситуация, что на самой платформе маркировка может не совпадать с маркировкой в паспорте. Следует ориентироваться на информацию в паспорте.
Почему у меня нет/есть ПАК Соболь?
ПО может устанавливаться как с ПАК Соболь, так и без него. Необходимость наличия ПАК Соболь продиктована требованиями регулирующих органов и/или политикой безопасности компании. Чаще всего платформы КБ К-4 поставляются без ПАК Соболь.
Какой ID платформы указать при установке?
Данная информация указана в паспорте платформы. Также на платформе есть наклейка с заводским номером и его ID.
Какой установить дистрибутив на аппаратную платформу стороннего вендора?
Установка на аппаратную платформу стороннего вендора очень похожа на процедуру установки на виртуальную машину (следует выбирать тип платформы Настраиваемая). При этом если ПО устанавливается с флеш-накопителя, то образ для записи на него следует брать из папки USB-flash, которая располагается в образе Continent-4.1.5-2475-Linux_Disk1.iso (версия ПО может отличаться).
Инструкция установки ПО с флеш-накопителя также справедлива и для ситуации, когда ПО переустанавливается на платформы, разработанные в компании Код Безопасности.
Как понять какой у меня установлен билд?
Данную информацию можно узнать локально или в МК. Локально это можно узнать в главном меню в пункте Сведения.
В МК это можно узнать в разделе Администрирование в пункте Обновления.
Обязательно ли делать запрос на создание сертификата при добавлении УБ?
Обязательно. Это часть процедуры ввода УБ в эксплуатацию. Есть несколько способов подключить УБ к ЦУС. Данная информация изложена в документации: Руководство администратора. Ввод в эксплуатацию (см. раздел Развертывание узла безопасности).
По каким портам МК и УБ взаимодействуют с ЦУС?
Подключение к ЦУС и инициализация УБ
По умолчанию, инициализацию нового УБ можно выполнить без подключения к ЦУС. Однако, необходимо учитывать, что это лишь начальный этап развертывания устройства.
Управление КБ К-4
Управление устройством КБ К-4 осуществляется централизованно из МК.
Политика Локальная в МК
Если в поле Версия конфигурации в МК отображается надпись Локальная, необходимо подтвердить локальные изменения администратору в МК, вызвав контекстное меню и выбрав Подтвердить локальные изменения. После подтверждения, узел будет отображать актуальную версию конфигурации.
Вопросы о лицензиях
При инициализации ЦУС создается демолицензия с нулевым ID клиента, позволяющая использовать основные функции КБ К-4 в течение 14 дней. Демолицензия не включает расширенный контроль приложений и защиту от вредоносных веб-сайтов, а также ограничивает количество подключений к СД двумя. Лицензии отличаются по включенным модулям, и в одной БД ЦУС должен быть только один ID клиента.
Продление срока лицензии
Срок действия лицензии может быть продлен. После истечения срока действия, функциональность компонентов, соответствующих лицензии, останется, но вендорские обновления баз (например, базы СОВ) не будут обновляться.
Добавление нескольких лицензий
Можно добавить несколько лицензий для одного узла.
Необходимость доступа в интернет
Различные инструменты обладают разными функциональностями. Из локального меню доступно ограниченное конфигурирование, мониторинг собирает информацию со всех узлов, а из МК можно централизовано отправлять политики на узлы.
Необходимость TLS-клиента для настройки мониторинга
Для настройки мониторинга необходимо передать определенные сведения.
Поиск компонентов
Все компоненты представлены в МК. Их настройки разделены по логическим разделам. Каждый компонент требует соответствующей лицензии.
Состояние интерфейсов
Состояние интерфейсов можно посмотреть в разделе Структура системы мониторинга.
Добавление администраторов
Можно добавить несколько администраторов.
Обновление платформы
Для обновления платформы ЦУС необходимо использовать только удаленное обновление.
Сертификаты версии 4.1.7.1325
Версия 4.1.7.1325 имеет сертификат ФСТЭК России. Сертификаты можно просмотреть на нашем сайте в разделе Континент 4.
Возможность использования всех платформ как ЦУС
Все платформы могут быть использованы как ЦУС.
## Обновление ПО УБ кластера
Обновление ПО УБ кластера необходимо проводить в следующем порядке:
Данная информация изложена в документации Руководство администратора. Установка и обновление ПО комплекса (см. подраздел Обновление ПО УБ кластера).
Узлы кластера обновляются последовательно — сначала первый узел, потом другой. Во время обновления узел будет перезагружен. Перед установкой обновления на первый из узлов кластера, парный узел следует назначить активным. Таким образом не предполагается прерывание пользовательского трафика при обновлении, так как он будет находится на узле, на котором либо уже завершилось обновление, либо еще не началось.
### Сколько времени обновляется один узел?
Время обновления индивидуально в зависимости от платформы и канала связи.
### В настройках интерфейса на что влияет выбор внешний/внутренний?
Данный выбор влияет на возможность построить VPN, которая строится по внешним интерфейсам.
### Как правильно вводить в эксплуатацию кластер?
Для корректной работы кластера необходимо соблюдать следующие условия:
- Особенности ввода кластера в эксплуатацию описаны в документации: Руководство администратора. Управление комплексом (см. раздел Управление отказоустойчивым кластером).
### Как резервировать файлы конфигураций?
У каждой платформы в локальном меню имеется возможность создать резервную копию (бэкап). Для базы данных ЦУС это также можно сделать в МК в разделе Резервные копии. При восстановлении данная резервная копия полностью восстанавливает узел к моменту, когда резервная копия была создана. Также на данную резервную копию можно будет восстановиться после переустановки ПО на версию, соответствующую резервной копии (обновляться таким образом нельзя).
### Можно ли настроить горячее резервирование ЦУС без восстановления с резервной копии?
Да, можно. Для этой задачи можно настроить УБ с резервным ЦУС. РЦУС, находясь в пассивном режиме, периодически синхронизирует свою базу данных с базой данных активного ЦУС. В любой момент по команде администратора РЦУС может перейти из пассивного режима в активный и осуществлять управление над подчиненными узлами. Единовременно может быть только активный ЦУС, при этом пассивных РЦУС может быть больше одного.
### Может ли ЦУС управлять узлами с версией, не совпадающей с версией ЦУС?
Версии МК, ЦУС и подчиненных узлов должны совпадать с точностью до билда. Исключение может быть только в той ситуации, когда происходит обновление сети Континент. В этой ситуации МК и ЦУС могут иметь версии выше версий подчиненных ЦУС узлов. Но в данной ситуации ЦУС имеет возможность только поддерживать связь с такими узлами и отправлять обновление этим узлам. Отправлять политику с текущими изменениями конфигурации такой ЦУС не сможет.
### Какой функционал используется для защиты от сканирования сети и DDoS-атак?
Для защиты от данных угроз используется МПА. Другие модули, такие как СОВ, не решают эти задачи.
### Как можно провести диагностику, если нет локального доступа к оборудованию?
Имеется возможность настроить удаленное подключение к узлу по протоколу SSH. Рекомендуется настроить подключение по SSH ко всем узлам заранее, чтобы при необходимости (например, необходима командная строка УБ) иметь данную возможность.
Можно ли отправлять одну политику сразу на множество узлов?
Да, можно. Но рекомендуется разделить применение одной политики на несколько узлов. Особенно это актуально в случае, если на узлах активирован компонент СОВ.
Будет ли достаточно логов из мониторинга для диагностики сетевых проблем?
Не всегда информации из мониторинга может быть достаточно для диагностики сетевых проблем. В этой ситуации может помочь локальное меню узла (или подключение к нему по SSH). В частности, можно использовать tcpdump для захвата интересующего трафика и последующего его анализа.
Как включить интерфейс?
Для того, чтобы сделать интерфейс активным, необходимо его адресовать (назначить адрес).
Требуется настроить динамическую маршрутизацию. Что следует учитывать?
Для работы узла в режиме динамической маршрутизации на каждом интерфейсе, предполагаемого для такого использования, требуется разрешить соответствующий протокол. Также рекомендуется ознакомиться с настройкой динамической маршрутизации в документации: "Руководство администратора. Сетевые функции".
Совместимость с ОС «Аврора» 4.0
Компании «Код Безопасности» и «Открытая мобильная платформа» подтвердили совместную работу средства криптографической защиты информации (СКЗИ) Континент ZTN клиент и российской корпоративной мобильной ОС Аврора последнего поколения. Об этом компания «Код Безопасности» сообщила 26 октября 2022 года.
Модуль защищенного удаленного доступа для мобильных платформ с использованием алгоритмов ГОСТ Континент ZTN клиент на платформе ОС Аврора позволяет строить доверенную мобильную инфраструктуру с использованием отечественных решений.
Как и на все прочие решения компании «Код Безопасности», на СКЗИ Континент ZTN клиент для ОС Аврора будут получены сертификаты регуляторов, удостоверяющие возможность применения во всех информационных системах кроме систем, оперирующих сведениями, содержащими государственную тайну.
Совместимость с устройствами Rutoken
Компании «Код Безопасности» и «Актив» подтвердили совместную работу приложения для защищенного доступа в корпоративную сеть с удаленных компьютеров сотрудников «Континент ZTN клиент для Linux» и устройств Рутокен. Об этом компания «Актив» сообщила 1 июня 2023 года.
Компании провели серию тестирований на совместимость продуктов Рутокен с решением «Континент ZTN Клиент для Linux» – программным VPN-клиентом, позволяющим удаленному пользователю установить защищенное соединение с сервером доступа аппаратно-программных комплексов, «Континент TLS-сервер», «Континент 3» и «Континент 4».Российский рынок ERP-систем сократился, но приготовился к росту. Обзор и рейтинг TAdviser
Подтверждена корректная работа следующих ключевых носителей и средств криптографической защиты информации Рутокен: Рутокен Lite, флагманской линейки USB-токенов и смарт-карт Рутокен ЭЦП 3.0 и линейки устройств Рутокен ЭЦП 2.0 2100.
По итогам тестирования стороны подписали сертификат, который подтверждает, что пользователям в полном объеме доступны все функции продуктов. Производители гарантируют стабильную работу программного обеспечения и их продуктовую совместимость. Комплексное использование продуктов существенно повышает уровень безопасности при аутентификации пользователей. Устройства Рутокен защищают и упрощают вход в частную корпоративную сеть, заменяя однофакторную парольную аутентификацию двухфакторной. Использование двухфакторной аутентификации с помощью электронной подписи (ЭП) подтверждает серверу в корпоративной сети личность подключающегося пользователя, поскольку ЭП технически невозможно подделать. Устройства Рутокен защищены от несанкционированного доступа и копирования. Таким образом, при утере или краже носителя можно оставаться уверенным, что несанкционированный доступ к данным невозможен.
В последние годы российские вендоры, работающие в области защиты данных, сделали серьезный шаг в интеграции своих решений. Работа в этом направлении приоритетна для Компании «Актив». Подтвержденная совместимость «Континент ZTN клиент для Linux» и устройств Рутокен позволяет предложить рынку надежное комплексное решение для обеспечения ИБ, – дополнил Павел Анфимов, руководитель отделапродуктов и интеграцийКомпании«Актив».
Надежная аутентификация – залог безопасного удаленного доступа. Использование токенов для усиленной аутентификации это основной метод обеспечения безопасности удаленного доступа в государственных организациях. Компания «Актив» является нашим многолетним партнером в проектах по защите удаленного доступа, – отметил Павел Коростелев, руководитель отдела продвижения продуктов компании «Код Безопасности».
Континент ZTN (программный VPN-клиент)
СКЗИ Континент ZTN клиент – это программный VPN-клиент, позволяющий удаленному пользователю установить защищенное соединение с сервером доступа аппаратно-программных комплексов Континент 3 и Континент 4. Он также обеспечивает криптографическую защиту данных, передаваемых в открытых каналах связи по протоколу TCP/IP и выполняет функции персонального межсетевого экрана.