- синтаксические ошибки;
- несоответствие адреса назначения, сетевой маски и флагов;
- неправильное задание названия сетевого интерфейса;
- задание несуществующего интерфейса.
Аналогичным образом анализируется информация, содержащаяся в файлах Dstparam.cfg и Crypgate.cfg.
Сформированный в процессе загрузки КМ пакетный фильтр анализирует проходящие через КМ IP-пакеты, по каждому из которых принимается согласно указанным в файле Dstparam.cfg правилам безопасности одно из следующих решений:
- Уничтожение пакета (КМ в функции фильтра).
- Зашифрование или расшифрование пакета (КМ в качестве средства построения VPN).
Фильтрация пакетов осуществляется на основании следующих данных:
- адрес компьютера-источника информации;
- адрес компьютера-получателя информации;
- протокол датаграммы;
- номера портов (для протоколов TCP, UDP);
- адрес КМ, который будет производить расшифрование пакетов, входящих в сеть назначения;
- ключ, на котором будет производиться шифрование пакетов в данном направлении.
Производится также проверка целостности пакетов. Пакеты, в которых обнаруживаются нарушения целостности или ошибки шифрования, уничтожаются.
Ключи шифрования для зашифрования или расшифрования конкретных пакетов выбираются из имеющихся ключей согласно значениям параметров KeyName файла Dstparam.cfg.
Протоколирование работы КМ ведется в журналах операций.
В случае использования ключевой системы на основе полной матрицы ключей существует два вида запуска КМ:
1. Инициализационный запуск КМ, который проводится после установки и конфигурации КМ или после плановой смены ключей.
2. Рабочий запуск КМ (для КМ с проведенным инициализационным запуском).
Инициализационый запуск КМ необходим для первичного преобразования ключевой информации и ее перезаписи в рабочий ключевой каталог. Рабочим ключевым каталогом является каталог TEMP на логическом диске, на котором установлено программное обеспечение КМ.
Инициализационный запуск рекомендуется провести при подключенных к компьютеру КМ мониторе и клавиатуре. При проведении инициализационного запуска последовательно производятся следующие действия:
1. Анализируются значения параметров DiskKey и MatrName конфигурационного файла Crypgate.cfg.
2. Ключевая информация считывается с ключевого носителя согласно значениям данных параметров. Если ключевой носитель не обнаружен, его следует вставить после соответствующего запроса.
3. Ключевая информация преобразуется и записывается в каталог TEMP.
Инициализационный запуск КМ может быть произведен и при отключенных мониторе и клавиатуре. Для этого необходимо при запуске КМ вставить ключевой носитель. При загрузке КМ модуль Crypgate.exe пытается считать ключевую информацию (дисковый ключ и сетевой набор поочередно); если ключевой носитель не обнаружен, то КМ ожидает в течение 5 секунд. Если ключевой носитель по-прежнему не вставлен, КМ запускается в рабочем режиме.
При рабочем запуске КМ используется ключевая информация, находящаяся в каталоге TEMP. Если производится рабочий запуск КМ, а ключевая информация в каталоге TEMP отсутствует, то выдается сообщение об ошибке и КМ не запускается.
Следует учесть, что при произведении плановой смены ключевой информации необходимо повторно произвести инициализационный запуск КМ. В этом случае необходимо вставить ключевой носитель с новой ключевой информацией. Предварительно следует очистить каталог TEMP.
В случае сбоя в работе хотя бы одного из КМ, входящих в VPN (например, при случайном выключении питания компьютера), категорически рекомендуется произвести повторный инициализационный запуск всех КМ, входящих в VPN. Предварительно также следует очистить каталоги TEMP. Категорически рекомендуется оснащать компьютеры КМ устройствами бесперебойного питания (особенно актуально для данной ключевой системы).
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.