Здесь показаны различия между двумя версиями данной страницы.
| Both sides previous revision Предыдущая версия Следущая версия | Предыдущая версия | ||
|
remote_control [2019/01/17 16:14] misha [Настройки] |
remote_control [2019/06/06 15:27] (текущий) misha [Настройки] |
||
|---|---|---|---|
| Строка 1: | Строка 1: | ||
| + | =====Удалённое управление===== | ||
| + | |||
| + | {{img1.png}} | ||
| + | |||
| + | Модуль «Удаленное управление» расположен в Меню «Сеть». Данный модуль позволяет из web-интерфейса главного «ИКС» заходить по защищённому каналу на web-интерфейсы подчиненных «ИКС». На основной вкладке модуля отображается: состояние модуля (не настроен / запущен / остановлен); кнопка «Включить» / «Выключить»; а также журнал с последними системными сообщениями от модуля. | ||
| + | |||
| + | ====Настройки==== | ||
| + | |||
| + | {{img2.png}} | ||
| + | |||
| + | Флаг «Использовать удаленное управление» позволяет устанавливать использование удаленного управления и производить соответствующие настройки. Если установлен данный флаг, то предлагается выбрать режим работы «ИКС» - «Сервер» или «Клиент», а также установить корневой и конечный сертификаты из модуля «Сертификаты». Если выбрать режим «Сервер», то данный «ИКС» будет выступать в роли сервера, а остальные «ИКС» будут подключаться к нему. Также станет доступен флаг «Автоматически создавать разрешающее правило» для создания разрешающего правила в наборе правил межсетевого экрана. Если выбрать режим «Клиент», то данный «ИКС» будет выступать в роли клиента и им можно будет управлять с «ИКС», который выступает в роли сервера. По мимо этого станут доступными поля «ID» и «IP сервера» для заполнения. В поле «ID» указывается уникальный идентификатор клиента, генерируемый автоматически (но его можно изменить), в формате «node- * * * * * * * *», где ‘*’ – это цифра или любой латинский символ (поле регистр зависимое). В поле «IP сервера» может указываться как IP-адрес, так и доменное имя сервера. | ||
| + | |||
| + | В общем случае, для функционирования удаленного управления, необходимо создать три сертификата на «ИКС» с ролью «Сервер»: Корневой Сертификат, Конечный Сертификат для Сервера, Конечный Сертификат для Клиента. Далее создание сертификатов рассматривается через модуль «Сертификаты» в «ИКС». | ||
| + | |||
| + | При создании Корневого Сертификата его тип должен быть «CA». | ||
| + | |||
| + | При создании Конечного Сертификата для Сервера в поле «Имя или адрес хоста» должно быть указано или доменное имя системы или внешний IP-адрес «ИКС» с ролью «Сервер», тип сертификата должен быть «Конечный сертификат», в качестве шаблона рекомендуется выбрать «Сервер». | ||
| + | |||
| + | При создании Конечного Сертификата для Клиента указывается тип сертификата «Конечный сертификат», а в качестве шаблона рекомендуется выбрать «VPN-клиент». | ||
| + | |||
| + | Соответственно на «ИКС» с ролью «Сервер» размещаются сертификаты: Корневой Сертификат и Конечный Сертификат для Сервера. А на «ИКС» с ролью «Клиент» сертификаты: Корневой Сертификат и Конечный Сертификат для Клиента. | ||
| + | В связи с особенностью реализации TLS, существует два режима взаимодействия между клиентом и сервером: | ||
| + | |||
| + | - Частично защищенный. Если на «ИКС» с ролью «Клиент» в Удалённом управлении во вкладке «Настройки» в поле «IP сервера» указать IP-адрес, то защита канала будет односторонней. Т.е. «ИКС» с ролью «Клиент» не будет проверять сертификат «ИКС» с ролью «Сервера», при этом «Сервер» будет проверять «Клиентский» сертификат. Данная особенность открывает доступ к атаке Man-In-The-Middle (MITM), в которой злоумышленник может подменить сертификат «Сервера» и перехватывать трафик. | ||
| + | - Полная защита. Для обеспечения полной защиты необходимо: | ||
| + | * При создании Конечного Сертификата для Сервера в поле «Имя или адрес хоста» указать ИМЯ_ХОСТА. | ||
| + | * На «ИКС» с ролью «Клиент» создать DNS-зону для ИМЯ_ХОСТА, которая будет ссылаться на IP-адрес «Сервера». | ||
| + | * На «ИКС» с ролью «Клиент» в Удаленном управлении во вкладке «Настройки» в поле «IP сервера» указать ИМЯ_ХОСТА. При таком взаимодействии «Клиента» с «Сервером», обе стороны проверяют передаваемые сертификаты, а атака MITM не возможна. | ||
| + | |||
| + | ====Узлы==== | ||
| + | |||
| + | {{img3.png}} | ||
| + | |||
| + | В «ИКС» с ролью «Сервер» на данной вкладке содержится перечень всех «ИКС» с ролью «Клиент», которые были подключены к удаленному управлению. Перечень представлен в виде таблицы со столбцами: | ||
| + | |||
| + | - Имя. По умолчанию устанавливается из столбца ID. Является изменяемым полем. | ||
| + | - ID. Содержит уникальный идентификатор, заданный на «ИКС» с ролью «Клиент». | ||
| + | - IP-адрес. Содержит IP-адрес «ИКС» с ролью «Клиент». | ||
| + | - Статус. Содержит значение подключен/ не подключен. | ||
| + | - Описание. По умолчанию пустое поле, предназначено для занесения пометок от системного Администратора. | ||
| + | |||
| + | Кнопка «Редактировать» - позволяет редактировать доступные значения в столбцах таблицы. Кнопка «Удалить» удаляет информацию о подключенном «ИКС» к удаленному управлению. Для перехода в GUI удаленного «ИКС» необходимо дважды кликнуть по его записи в таблице. | ||
| + | |||
| + | ====Журнал==== | ||
| + | |||
| + | {{img4.png}} | ||
| + | |||
| + | В закладке «Журнал» отображается сводка всех системных сообщений модуля с указанием даты и времени. Журнал разделен на страницы, кнопками «вперед» и «назад» возможно переходить со страницы на страницу, либо ввести номер требуемой страницы. Записи в журнале выделяются цветом в зависимости от вида сообщения. Обычные сообщения системы отмечены белым цветом, сообщения о состоянии системы (включение/выключение, подключение пользователя) - зеленым, предупреждения – желтым, ошибки - красным. В правом верхнем углу модуля находится строка поиска. А также возможность выбора периода отображения журнала событий. По умолчанию журнал отображает события за текущую дату. При необходимости можно сохранить данные журнала в файл, нажав кнопку «Экспорт» или удалить данные журнала, за определенный период, нажав кнопку «Удалить логи». | ||