Инструменты пользователя

Инструменты сайта


remote_control

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
remote_control [2019/11/10 19:35]
127.0.0.1 внешнее изменение
remote_control [2020/02/07 12:02] (текущий)
zog
Строка 1: Строка 1:
-=====Удалённое управление=====+===== Удалённое управление =====
  
-{{img1.png}}+{{:img1.png}}
  
 Модуль «Удаленное управление» расположен в Меню «Сеть». Данный модуль позволяет из web-интерфейса главного «ИКС» заходить по защищённому каналу на web-интерфейсы подчиненных «ИКС». На основной вкладке модуля отображается:​ состояние модуля (не настроен / запущен / остановлен);​ кнопка «Включить» / «Выключить»;​ а также журнал с последними системными сообщениями от модуля. Модуль «Удаленное управление» расположен в Меню «Сеть». Данный модуль позволяет из web-интерфейса главного «ИКС» заходить по защищённому каналу на web-интерфейсы подчиненных «ИКС». На основной вкладке модуля отображается:​ состояние модуля (не настроен / запущен / остановлен);​ кнопка «Включить» / «Выключить»;​ а также журнал с последними системными сообщениями от модуля.
  
-====Настройки====+==== Настройки ====
  
-{{img2.png}}+{{:img2.png}}
  
-Флаг «Использовать удаленное управление» позволяет устанавливать использование удаленного управления и производить соответствующие настройки. Если установлен данный флаг, то предлагается выбрать режим работы «ИКС» - «Сервер» или «Клиент»,​ а также установить корневой и конечный сертификаты из модуля «Сертификаты». Если выбрать режим «Сервер»,​ то данный «ИКС» будет выступать в роли сервера,​ а остальные «ИКС» будут подключаться к нему. Также станет доступен флаг «Автоматически создавать разрешающее правило» для создания разрешающего правила в наборе правил межсетевого экрана. Если выбрать режим «Клиент»,​ то данный «ИКС» будет выступать в роли клиента и им можно будет управлять с «ИКС», который выступает в роли сервера. По мимо этого станут доступными поля «ID» и «IP сервера» для заполнения. В поле «ID» указывается уникальный идентификатор клиента,​ генерируемый автоматически (но его можно изменить),​ в формате «node- * * * * * * * *», где ‘*’ – это цифра или любой латинский символ (поле регистр зависимое). В поле «IP сервера» может указываться как IP-адрес,​ так и доменное имя сервера.+Флаг «Использовать удаленное управление» позволяет устанавливать использование удаленного управления и производить соответствующие настройки. Если установлен данный флаг, то предлагается выбрать режим работы «ИКС» - «Сервер» или «Клиент»,​ а также установить корневой и конечный сертификаты из модуля «Сертификаты». Если выбрать режим «Сервер»,​ то данный «ИКС» будет выступать в роли сервера,​ а остальные «ИКС» будут подключаться к нему. Также станет доступен флаг «Автоматически создавать разрешающее правило» для создания разрешающего правила в наборе правил межсетевого экрана. Если выбрать режим «Клиент»,​ то данный «ИКС» будет выступать в роли клиента и им можно будет управлять с «ИКС», который выступает в роли сервера. Помимо этого станут доступными поля «ID» и «IP сервера» для заполнения. В поле «ID» указывается уникальный идентификатор клиента,​ генерируемый автоматически (но его можно изменить),​ в формате «node- * * * * * * * *», где ‘*’ – это цифра или любой латинский символ (поле регистр зависимое). В поле «IP сервера» может указываться как IP-адрес,​ так и доменное имя сервера.
  
-В общем случае,​ для функционирования удаленного управления,​ необходимо создать три сертификата на «ИКС» с ролью «Сервер»:​ Корневой Сертификат,​ Конечный Сертификат для Сервера,​ Конечный Сертификат для Клиента. Далее создание сертификатов рассматривается через модуль «Сертификаты» в «ИКС». ​+В общем случае,​ для функционирования удаленного управления,​ необходимо создать три сертификата на «ИКС» с ролью «Сервер»:​ Корневой Сертификат,​ Конечный Сертификат для Сервера,​ Конечный Сертификат для Клиента. Далее создание сертификатов рассматривается через модуль «Сертификаты» в «ИКС».
  
-При создании Корневого Сертификата его тип должен быть «CA». ​+При создании Корневого Сертификата его тип должен быть «CA».
  
-При создании Конечного Сертификата для Сервера в поле «Имя или адрес хоста» должно быть указано или доменное имя системы или внешний IP-адрес «ИКС» с ролью «Сервер»,​ тип сертификата должен быть «Конечный сертификат»,​ в качестве шаблона рекомендуется выбрать «VPN-сервер». ​+При создании Конечного Сертификата для Сервера в поле «Имя или адрес хоста» должно быть указано или доменное имя системы или внешний IP-адрес «ИКС» с ролью «Сервер»,​ тип сертификата должен быть «Конечный сертификат»,​ в качестве шаблона рекомендуется выбрать «VPN-сервер».
  
-При создании Конечного Сертификата для Клиента указывается тип сертификата «Конечный сертификат»,​ а в качестве шаблона рекомендуется выбрать «VPN-клиент». ​+При создании Конечного Сертификата для Клиента указывается тип сертификата «Конечный сертификат»,​ а в качестве шаблона рекомендуется выбрать «VPN-клиент».
  
-Соответственно на «ИКС» с ролью «Сервер» размещаются сертификаты:​ Корневой Сертификат и Конечный Сертификат для Сервера. А на «ИКС» с ролью «Клиент» сертификаты:​ Корневой Сертификат и Конечный Сертификат для Клиента (рекомендуется экспорт сертификатов производить в формате PKCS 12). +Соответственно на «ИКС» с ролью «Сервер» размещаются сертификаты:​ Корневой Сертификат и Конечный Сертификат для Сервера. А на «ИКС» с ролью «Клиент» сертификаты:​ Корневой Сертификат и Конечный Сертификат для Клиента (рекомендуется экспорт сертификатов производить в формате PKCS 12). В связи с особенностью реализации TLS, существует два режима взаимодействия между клиентом и сервером:​
-В связи с особенностью реализации TLS, существует два режима взаимодействия между клиентом и сервером:​+
  
   - Частично защищенный. Если на «ИКС» с ролью «Клиент» в Удалённом управлении во вкладке «Настройки» в поле «IP сервера» указать IP-адрес,​ то защита канала будет односторонней. Т.е. «ИКС» с ролью «Клиент» не будет проверять сертификат «ИКС» с ролью «Сервера»,​ при этом «Сервер» будет проверять «Клиентский» сертификат. Данная особенность открывает доступ к атаке Man-In-The-Middle (MITM), в которой злоумышленник может подменить сертификат «Сервера» и перехватывать трафик.   - Частично защищенный. Если на «ИКС» с ролью «Клиент» в Удалённом управлении во вкладке «Настройки» в поле «IP сервера» указать IP-адрес,​ то защита канала будет односторонней. Т.е. «ИКС» с ролью «Клиент» не будет проверять сертификат «ИКС» с ролью «Сервера»,​ при этом «Сервер» будет проверять «Клиентский» сертификат. Данная особенность открывает доступ к атаке Man-In-The-Middle (MITM), в которой злоумышленник может подменить сертификат «Сервера» и перехватывать трафик.
   - Полная защита. Для обеспечения полной защиты необходимо:​   - Полная защита. Для обеспечения полной защиты необходимо:​
 +
   * При создании Конечного Сертификата для Сервера в поле «Имя или адрес хоста» указать ИМЯ_ХОСТА.   * При создании Конечного Сертификата для Сервера в поле «Имя или адрес хоста» указать ИМЯ_ХОСТА.
   * На «ИКС» с ролью «Клиент» создать DNS-зону для ИМЯ_ХОСТА,​ которая будет ссылаться на IP-адрес «Сервера».   * На «ИКС» с ролью «Клиент» создать DNS-зону для ИМЯ_ХОСТА,​ которая будет ссылаться на IP-адрес «Сервера».
   * На «ИКС» с ролью «Клиент» в Удаленном управлении во вкладке «Настройки» в поле «IP сервера» указать ИМЯ_ХОСТА. При таком взаимодействии «Клиента» с «Сервером»,​ обе стороны проверяют передаваемые сертификаты,​ а атака MITM не возможна.   * На «ИКС» с ролью «Клиент» в Удаленном управлении во вкладке «Настройки» в поле «IP сервера» указать ИМЯ_ХОСТА. При таком взаимодействии «Клиента» с «Сервером»,​ обе стороны проверяют передаваемые сертификаты,​ а атака MITM не возможна.
  
-====Узлы====+==== Узлы ====
  
-{{img3.png}}+{{:img3.png}}
  
 В «ИКС» с ролью «Сервер» на данной вкладке содержится перечень всех «ИКС» с ролью «Клиент»,​ которые были подключены к удаленному управлению. Перечень представлен в виде таблицы со столбцами:​ В «ИКС» с ролью «Сервер» на данной вкладке содержится перечень всех «ИКС» с ролью «Клиент»,​ которые были подключены к удаленному управлению. Перечень представлен в виде таблицы со столбцами:​
  
-- Имя. По умолчанию устанавливается из столбца ID. Является изменяемым полем. +- Имя. По умолчанию устанавливается из столбца ID. Является изменяемым полем. - ID. Содержит уникальный идентификатор,​ заданный на «ИКС» с ролью «Клиент». - IP-адрес. Содержит IP-адрес «ИКС» с ролью «Клиент». - Статус. Содержит значение подключен/​ не подключен. - Описание. По умолчанию пустое поле, предназначено для занесения пометок от системного Администратора.
-- ID. Содержит уникальный идентификатор,​ заданный на «ИКС» с ролью «Клиент». +
-- IP-адрес. Содержит IP-адрес «ИКС» с ролью «Клиент». +
-- Статус. Содержит значение подключен/​ не подключен. +
-- Описание. По умолчанию пустое поле, предназначено для занесения пометок от системного Администратора.+
  
 Кнопка «Редактировать» - позволяет редактировать доступные значения в столбцах таблицы. Кнопка «Удалить» удаляет информацию о подключенном «ИКС» к удаленному управлению. Для перехода в GUI удаленного «ИКС» необходимо дважды кликнуть по его записи в таблице. Кнопка «Редактировать» - позволяет редактировать доступные значения в столбцах таблицы. Кнопка «Удалить» удаляет информацию о подключенном «ИКС» к удаленному управлению. Для перехода в GUI удаленного «ИКС» необходимо дважды кликнуть по его записи в таблице.
  
-====Журнал====+==== Журнал ====
  
-{{img4.png}}+{{:img4.png}}
  
 В закладке «Журнал» отображается сводка всех системных сообщений модуля с указанием даты и времени. Журнал разделен на страницы,​ кнопками «вперед» и «назад» возможно переходить со страницы на страницу,​ либо ввести номер требуемой страницы. Записи в журнале выделяются цветом в зависимости от вида сообщения. Обычные сообщения системы отмечены белым цветом,​ сообщения о состоянии системы (включение/​выключение,​ подключение пользователя) - зеленым,​ предупреждения – желтым,​ ошибки - красным. В правом верхнем углу модуля находится строка поиска. А также возможность выбора периода отображения журнала событий. По умолчанию журнал отображает события за текущую дату. При необходимости можно сохранить данные журнала в файл, нажав кнопку «Экспорт» или удалить данные журнала,​ за определенный период,​ нажав кнопку «Удалить логи». В закладке «Журнал» отображается сводка всех системных сообщений модуля с указанием даты и времени. Журнал разделен на страницы,​ кнопками «вперед» и «назад» возможно переходить со страницы на страницу,​ либо ввести номер требуемой страницы. Записи в журнале выделяются цветом в зависимости от вида сообщения. Обычные сообщения системы отмечены белым цветом,​ сообщения о состоянии системы (включение/​выключение,​ подключение пользователя) - зеленым,​ предупреждения – желтым,​ ошибки - красным. В правом верхнем углу модуля находится строка поиска. А также возможность выбора периода отображения журнала событий. По умолчанию журнал отображает события за текущую дату. При необходимости можно сохранить данные журнала в файл, нажав кнопку «Экспорт» или удалить данные журнала,​ за определенный период,​ нажав кнопку «Удалить логи».
 +
  
remote_control.txt · Последние изменения: 2020/02/07 12:02 — zog