Сайт ИКС
Скачать ИКС
ЧейнджлогУдаленное управление
Модуль «Удаленное управление» позволяет из веб-интерфейса главного ИКС заходить по защищенному каналу на веб-интерфейсы подчиненных ИКС.
Для открытия данного модуля перейдите в меню Сеть > Удаленное управление.
В модуле расположены следующие вкладки:
Удаленное управление
На данной вкладке отображаются следующие сведения о модуле:
- статус службы (запущен, остановлен, выключен, не настроен);
- кнопка «Включить» («Выключить») — позволяет запустить или остановить службу;
- журнал последних событий.
Настройки
На данной вкладке можно включить удаленное управление и настроить его параметры.
- Предварительно создайте сертификаты в меню Защита > Сертификаты. В общем случае для функционирования удаленного управления необходимо создать три сертификата на ИКС с ролью «Сервер»: корневой сертификат, конечный сертификат для сервера, конечный сертификат для клиента.
При создании корневого сертификата выберите тип «CA».
При создании конечного сертификата для сервера в поле «Имя или адрес хоста» укажите доменное имя системы либо внешний IP-адрес ИКС с ролью «Сервер». Выберите тип сертификата «Конечный сертификат». В качестве шаблона рекомендуется выбрать «VPN-сервер».
При создании конечного сертификата для клиента укажите тип сертификата «Конечный сертификат». В качестве шаблона рекомендуется выбрать «VPN-клиент».
- В меню Сеть > Удаленное управление > Настройки установите флаг «Использовать удаленное управление».
- Выберите режим работы ИКС: сервер либо клиент.
Режим сервера
Если выбран режим «Сервер», данный ИКС будет выступать в роли сервера, а остальные ИКС будут подключаться к нему. Также станет доступен флаг «Автоматически создавать разрешающее правило» для создания разрешающего правила в наборе правил межсетевого экрана. Для данного режима работы выберите корневой сертификат и конечный сертификат для сервера, созданные в Шаге 1.
Режим клиента
Если выбран режим «Клиент», данный ИКС будет выступать в роли клиента и им можно будет управлять с ИКС, который выступает в роли сервера. Также станут доступными для заполнения поля «ID» и «IP сервера». В поле «ID» указывается уникальный идентификатор клиента, генерируемый автоматически, но его можно изменить. ID устанавливается в формате «node- * * * * * * * *», где ‘*’ — это цифра или любой латинский символ (регистр учитывается). В поле «IP сервера» можно указать как IP-адрес, так и доменное имя сервера. Для данного режима работы выберите корневой сертификат и конечный сертификат для клиента, созданные в Шаге 1.
- Нажмите «Сохранить».
Экспорт сертификатов рекомендуется производить в формате PKCS 12.
В связи с особенностью реализации TLS существует два режима взаимодействия между клиентом и сервером:
- Частично защищенный. Если на ИКС с ролью «Клиент» в меню Сеть > Удаленное управление > Настройки в поле «IP сервера» указать IP-адрес, то защита канала будет односторонней. То есть ИКС с ролью «Клиент» не будет проверять сертификат ИКС с ролью «Сервер», при этом сервер будет проверять клиентский сертификат. Данная особенность открывает доступ к MITM-атаке: злоумышленник может подменить сертификат сервера и перехватывать трафик.
- Полная защита. Для обеспечения полной защиты выполните следующие действия:
- При создании конечного сертификата для сервера в поле «Имя или адрес хоста» укажите ИМЯ_ХОСТА.
- На ИКС с ролью «Клиент» создайте DNS-зону для ИМЯ_ХОСТА, которая будет ссылаться на IP-адрес ИКС с ролью «Сервер».
- На ИКС с ролью «Клиент» в меню Сеть > Удаленное управление > Настройки в поле «IP сервера» укажите ИМЯ_ХОСТА.
При таком взаимодействии клиента с сервером обе стороны проверяют передаваемые сертификаты, а MITM-атака невозможна.
Узлы
В ИКС с ролью «Сервер» на данной вкладке содержится перечень всех ИКС с ролью «Клиент», которые были подключены к удаленному управлению.
Перечень представлен в виде таблицы с указанием следующих данных о клиентах: имя, ID, IP-адрес, статус (подключен, не подключен), описание (для занесения пометок от системного администратора).
На вкладке также можно редактировать либо удалять доступные поля клиентов. Чтобы перейти в веб-интерфейс удаленного клиента, дважды нажмите на него левой кнопкой мыши.
Журнал
На данной вкладке отображается сводка всех системных сообщений модуля с указанием даты и времени.
Журнал является стандартным элементом веб-интерфейса ИКС.