close

Вход

Забыли?

вход по аккаунту

Тестеры электроустановок/ портативные тестеры;pdf

код для вставкиСкачать
Release Notes. СКЗИ "Континент-АП". Комментарии к версии 3.7.2
Средство криптографической защиты информации "Континент-АП"
Комментарии к версии 3.7.2
Данный документ содержит описание основных особенностей и ограничений (Release Notes) на использование средства криптографической защиты информации (СКЗИ) "Континент-АП" (далее
Комплекса).
Оглавление
1.
1.1.
1.2.
Размещение файлов (ПО и документации) на компакт-диске .................................... 2
Диск 1 ............................................................................................................................. 2
Диск 2 ............................................................................................................................. 2
2.
2.1.
Изменения и новые возможности ................................................................................ 3
Версия 3.7 ....................................................................................................................... 3
3.
Ограничения на поддержку аппаратных и программных средств .............................. 4
4.
4.1.
4.2.
4.3.
Особенности работы и ограничения ............................................................................ 5
Общесистемные ............................................................................................................... 5
Абонентский пункт (АП) ................................................................................................... 5
Межсетевой экран (МЭ) .................................................................................................... 6
5.
Протоколы и порты ....................................................................................................... 7
6.
Список сокращений ...................................................................................................... 8
1
Release Notes. СКЗИ "Континент-АП". Комментарии к версии 3.7.2
1. Размещение файлов (ПО и документации) на компактдиске
1.1. Диск 1
Каталог
Содержимое
Версия
\Setup\Continent\TS\Windows\ts_setup.
exe
Дистрибутив Абонентского пункта СКЗИ "Континент-АП"
(Windows)
3.7.2
\Setup\Continent\TS\Windows\VersionIn
fo.txt
Файл сведений о версии ПО Абонентского пункта
Дистрибутивы СКЗИ "Континент-АП"
Дистрибутивы АПМДЗ "Соболь"
\Setup\Sable\v2.1
Дистрибутив программного обеспечения комплекса "Соболь" 2.1
\Setup\Sable\v3.0
Дистрибутив программного обеспечения комплекса "Соболь" 3.0.1
Дистрибутивы СКЗИ КриптоПро
CSP
\Setup\CryptoPRO\3.6.1
Дистрибутив и документация СКЗИ КриптоПро CSP
3.6.1
1.2. Диск 2
Каталог
Содержимое
Версия
Документация для СКЗИ "Континент-АП"
\Documentation\ReleaseNotes.pdf
Release Notes – сведения о новых возможностях и ограничениях в СКЗИ "Континент – АП"
3.7.2
\Documentation\Continent\Continent-AP Windows - Admin Guide.pdf
Средство криптографической защиты информации "Континент – АП". Версия 3.7. Руководство администратора.
Windows. RU.88338853.501430.002 91 1
3.7.2
\Documentation\Continent\Continent-AP Windows - User Guide.pdf
Средство криптографической защиты информации "Континент – АП". Версия 3.7. Руководство пользователя.
Windows. RU.88338853.501430.002 92 1
3.7.2
\Documentation\Sable\v2.1\Sobol Admin
Guide.pdf
Программно-аппаратный комплекс "Соболь". Версия 2.1.
Руководство по администрированию. УВАЛ. 00300-58-01
91
\Documentation\Sable\v2.1\Sobol User
Guide.pdf
Программно-аппаратный комплекс "Соболь". Версия 2.1.
Руководство пользователя. УВАЛ. 00300-58-01 92
\Documentation\ Sable\v3.0\Sobol Admin
Guide.pdf
Программно-аппаратный комплекс "Соболь". Версия 3.0.
Руководство администратора. RU.40308570.501410.001 91
1
\Documentation\Sable\v3.0\Sobol User
Guide.pdf
Программно-аппаратный комплекс "Соболь". Версия 3.0.
Руководство пользователя. RU.40308570. 501410.001 92
Драйверы для ключевых носителей
\Drivers\
Драйверы поддерживаемых ключевых носителей
2
Release Notes. СКЗИ "Континент-АП". Комментарии к версии 3.7.2
2. Изменения и новые возможности
2.1. Версия 3.7
1. Комплекс функционирует в одном из трех вариантов соответствия уровням безопасности: низкий (KC1), средний (KC2), высокий (KC3). Вариант задается при установке ПО Комплекса.
2. Добавлены следующие возможности подключения абонентского пункта к серверу доступа:

подключение по сетевому имени;

использование протокола HTTPS;

авторизация на прокси-сервере (HTTP);

подключение до регистрации пользователя в ОС (позволяет рабочим станциям, входящим в
домен, работать удаленно).
3. Абонентский пункт (АП) может получать доступ к ресурсам защищенных сетей криптошлюзов,
имеющих парные связи с КШ, на котором установлен сервер доступа.
4. Реализован API-интерфейс для взаимодействия Комлпекса с внешними приложениями (предо-
ставляет возможность автоматического установления VPN-соединения на АРМ без участия оператора).
5. Добавлена возможность назначения статических адресов учетным записям пользователей АП.
6. Добавлена возможность создания нового подключения средствами программы управления абонентским пунктом.
7. Реализована поддержка нового стандарта хеширования ГОСТ Р 34.11-2012.
8. Обеспечена совместимость АП с ОС Windows 8 x86/x64.
9. Для хранения зарегистрированных событий используется журнал Secret Net (для высокого
уровня безопасности) или собственный журнал "Terminal Station" (для среднего и низкого уровней
безопасности).
10. Добавлена регистрация пакетов с неверной имитовставкой.
3
Release Notes. СКЗИ "Континент-АП". Комментарии к версии 3.7.2
3. Ограничения на поддержку аппаратных и программных
средств
1 Ключевые
устройства
АП




2 Операционная
система
АП
Windows
Windows
Windows
Windows
Windows
Windows
Windows
Windows
Windows
3 Предыдущие
версии СКЗИ
"Континент-АП"
Обновление
предыдущих
версий АП
3.5.71.0, 3.6.90.4
4 CSP "КриптоПро"
дискета 3,5";
USB Flash-накопитель;
USB-ключ eToken PRO (Java);
Смарт-карта eToken Pro (Java) с USB-считывателем Athena ASEDrive
IIIe USB V2;
 RuToken S/ ЭЦП;
 Secret Net Card/ Secret Net Touch Memory Card;
 iButton DS1994/ DS1995/ DS1996
XP Professional SP3 x86
2003 Server SP2 x86/x64
2003 Server R2 SP2 x86/x64
Vista SP2 x86/x64 (кроме всех выпусков Starter и Home Edition)
2008 Server SP2 x86/x64
2008 Server R2 SP1 x64
7 SP1 x86/x64 (кроме всех выпусков Starter и Home Edition)
8 x86/x64
8.1 х86/х64
3.6.1
4
Release Notes. СКЗИ "Континент-АП". Комментарии к версии 3.7.2
4. Особенности работы и ограничения
4.1. Общесистемные
1. Установку и удаление компонентов Комплекса должен осуществлять пользователь, наделённый
правами локального администратора данного компьютера.
2. Особенности обновления ПО:

При обновлении ПО Комплекса с версии 3.5 уровень безопасности обновленного ПО не
определяется. Поэтому, если требуется, чтобы ПО соответствовало определенному уровню
безопасности, необходимо предварительно удалить версию 3.5 и затем выполнить установку версии 3.7.

При обновлении с версии 3.6 уровень безопасности сохраняется (низкий или средний). Для
повышения уровня безопасности до "высокого" необходимо удалить версию 3.6 и затем выполнить установку версии 3.7.
11. Особенности обновления ПО АП версии 3.6.79. Работа с ключами версии 3.6.79, созданными с
помощью криптопровайдера «Код Безопасности CSP», не поддерживается. Перед обновлением ПО
необходимо удалить с используемого носителя закрытые ключи пользователя, созданные с помощью этого криптопрвайдера. После обновления ПО требуется заново издать все сертификаты.
12. Обновление ПО Комплекса версии 3.3 не поддерживается.
13. Сообщение «Ошибка работы с криптопровайдером 0x0000001F. Присоединенное к системе
устройство не работает» отображается при отсутствии на компьютере драйвера ПАК «Соболь».
Проверить наличие драйвера можно в диспетчере устройств «Устройства идентификации> ПАК
«Соболь». ПО для установки драйвера находится на установочном диске в папке «Setup\ Sable».
14. USB Flash-накопители объемом в 16 МБ и выше, определяемые системой как жесткий диск
(HDD), непригодны для использования в качестве ключевого устройства.
15. Проверка наличия обновления ПО Комплекса на компьютерах с ОС Windows 8x64 возможна
только при входе в систему под встроенной учетной записью администратора.
4.2. Абонентский пункт (АП)
1. Для низкого уровня безопасности используется биологический датчик случайных чисел (ДСЧ).
Для среднего и высокого уровней используется ДСЧ ПАК "Соболь".
2. В случае возникновения ошибок при установке АП повторите попытку установки при отключенных сетевых устройствах.
3. После обновления ПО АП с версии 3.6 IP-адрес сервера доступа в свойствах сетевого подклю-
чения абонентского пункта (по умолчанию «Континент-АП») отображается как 0.0.0.0, что не влияет на работоспособность АП.
4. Особенности совместной работы АП с ПП "Антивирус Касперского" версий 6.0 и 7.0. Для кор-
ректной установки соединения АП с сервером доступа необходимо в антивирусной программе отключить режим проверки всех портов.
5. Особенность работы КриптоПро CSP. Для смены пользователя компьютера необходимо завершить работу предыдущего пользователя (LogOff), а затем войти под новой учетной записью. При
использовании команды Switch User возможна некорректная работа абонентского пункта.
6. Особенности удаления АП с Windows Vista. При удалении АП появляется сообщение Unidentified
Publisher.
Причины
появления
этого
(http://support.microsoft.com/kb/929467/en-us).
сообщения
см.
на
сайте
Microsoft
7. Стандартным портом для соединения АП и СД является порт 4433. Если используется другой, он
должен быть указан явным образом в настройках подключения АП через двоеточие после IPадреса сервера доступа.
8. Особенности использования FTP-сервера для хранения обновлений программного обеспечения
АП. Для корректной проверки наличия обновления на FTP-сервере должен быть разрешен анонимный вход пользователей. В противном случае сообщения об обновлении поступать на АП не будут.
9. Особенности работы АП с Windows XP (SP3). Если при модемном подключении к выделенной линии
не устанавливается соединение с сервером доступа, необходимо перезагрузить компьютер.
10. Не рекомендуется совместное использование АП и антивируса Avira AntiVir. Возможны системные ошибки.
5
Release Notes. СКЗИ "Континент-АП". Комментарии к версии 3.7.2
11. Особенности работы АП на виртуальных машинах. Рекомендуется отключить энергосберегающие функции как в ОС, так и для сетевого адаптера. В противном случае возможна системная
ошибка при переходе компьютера в спящий режим и обратно.
12. Не рекомендуется совместная установка ПУ СД и АП на один компьютер.
13. Для ОС Windows Vista, Windows 7, Windows Server 2008, Windows Server 2008 R2 и Windows 8
при установленном на компьютере ПО Secret Net подключение АП к серверу доступа с расширенным сертификатом невозможно.
14. Совместная работа криптопровайдера «Код Безопасности CSP» и драйвера eToken RTE не под-
держивается. Исключение — совместная работа абонентского пункта и СЗИ Secret Net 5.1. В
остальных случаях необходимо использовать драйвер eToken PKI Client.
15. Особенность совместной работы абонентского пункта и СЗИ Secret Net 5.1. Если криптопровайдер «Код Безопасности CSP» не может обнаружить на eToken закрытый ключ пользователя,
необходимо ввести PIN-код этого носителя с помощью утилиты eToken RTE.
16. Если криптопровайдер «Код Безопасности CSP» не может обнаружить на eToken закрытый
ключ пользователя, созданный средствами этого криптопровайдера, необходимо ввести PIN-код
носителя с помощью программы «Код Безопасности CSP».
17. Особенности установки криптопровайдера «КриптоПро CSP» версии 3.6.1 R3 (3.6.7491) на
компьютере с ОС Windows x64. После установки ПО «КриптоПро CSP» на компьютер необходимо
вручную зарегистрировать в реестре файлы библиотек snellock.dll и snellock64.dll. В противном случае совместная работа криптопровайдера «КриптоПро CSP» и ДСЧ ПАК «Соболь» невозможна. Для
регистрации файлов библиотек последовательно введите в командной строке следующие выражения:
1)
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Crypto
Pro\Cryptography\CurrentVersion\AppPath\snellock64.dll" /ve /d "%SystemRoot%\System32\snellock64.dll" /f
2)
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto
Pro\Cryptography\CurrentVersion\AppPath\snellock.dll" /ve /d "%SystemRoot%\SysWOW64\snellock.dll" /f
18. Для совместной работы АП и криптопровайдера «КриптоПро CSP» на ОС Windows 8 рекомендуется использовать криптопровайдер «КриптоПРО CSP» версии 3.6 R4 (7774).
19. Повысить производительность АП в режиме защищенного соединения можно отключив функцию TCP Delayed ACK в настройках сетевой карты:

«Подключение через прокси» — на компьютере с установленным прокси-сервером;

«Потоковое подключение (TCP)» — на компьютере с установленным АП.
20. Особенность настройки режима защищенного соединения «Подключение через прокси». Формат адреса прокси-сервера, указываемый в поле «Сервер», зависит от протокола аутентификации,
используемого на прокси-сервере:

Basic и NTLM – IP-адрес или сетевое имя;

Kerberos и Negotiate – только сетевое имя.
21. Особенность подключения АП к СД по протоколу TCP. Для подключения АП к СД по протоколу
TCP в свойствах пользователя, устанавливаемых на СД средствами ПУ, не должен использоваться
запрет незащищенных соединений.
22. Модуль SStart со следующей версии в состав АП включаться не будет.
4.3. Межсетевой экран (МЭ)
1. При использовании МЭ рекомендуется отключать Windows Firewall.
2. Для корректной работы фильтра список правил фильтрации не должен быть пустым. При уста-
новке МЭ по умолчанию задаются правила pass::; и pass:;, разрешающие прохождение любых пакетов через фильтр.
3. При установке АП задается признак вхождения компьютера в домен, и автоматически формиру-
ются правила фильтрации, действующие до входа пользователя в систему. Если компьютер не входит в домен, формируются два правила фильтрации, разрешающие DHCP (pass:udp port 67,
pass:udp port 68). Если компьютер входит в домен, формируется более развернутый список правил
фильтрации, действующих до входа пользователя в систему.
4. Регистрируемые события передаются в собственный журнал "Terminal Station".
6
Release Notes. СКЗИ "Континент-АП". Комментарии к версии 3.7.2
5. Протоколы и порты
Если на пути зашифрованного трафика находятся межсетевые экраны или другое оборудование, осуществляющее фильтрацию IP-пакетов, необходимо создать для них правила, разрешающие прохождение служебных пакетов комплекса "Континент" по протоколам и портам, указанным в таблице.
Протокол/
порт
Назначение
Источник/получатель
Примечание
TCP/443
Обмен сообщениями между
сервером доступа и абонентским пунктом.
Абонентский пункт / Сервер доступа;
Сервер доступа / Абонентский
пункт
При включенных на АП режимах защищенного соединения «Потоковое
подключение (TCP)» или
«Подключение через проксисервер».
АПКШ «Континент» версии
3.7
UDP/4433
Обмен сообщениями между
сервером доступа и абонентским пунктом.
Абонентский пункт / Сервер доступа
Номер порта по умолчанию;
изменяется в программе
управления сервером доступа.
АПКШ "Континент" 3.2.21 и
более поздние версии
UDP/7500
Обмен сообщениями между
сервером доступа и абонентским пунктом.
Сервер доступа / Абонентский
пункт
Номер порта по умолчанию;
изменяется в настройках
виртуального адаптера
Continent 3 PPP Adapter.
АПКШ "Континент" 3.2.21 и
более поздние версии
7
Release Notes. СКЗИ "Континент-АП". Комментарии к версии 3.7.2
6. Список сокращений
АП
Абонентский пункт
ДСЧ
Датчик случайных чисел
МЭ
Межсетевой экран
ОС
Операционная система
ПАК
Программно-аппаратный комплекс
ПО
Программное обеспечение
СД
Сервер доступа
Компания "Код Безопасности"
Почтовый
адрес:
Телефон:
Факс:
e-mail:
Web:
105318, Россия, Москва, а/я 101
8-495-982-30-20
8-495-974-60-34
[email protected]
http://www.securitycode.ru
8
1/--страниц
Пожаловаться на содержимое документа