• CIS Magazine

Обзор распаковки и начальной установки ВСШ «Палиндром-6140»



Распаковка


Перед нами высокоскоростной шифратор «Палиндром-6140» производства российской компании «СИС крипто». Он предназначен для шифрования трафика на L2 по алгоритмам ГОСТ в распределённых сетях Ethernet. Устройство работает в линейных и многоточечных топологиях без потерь кадров, с микросекундными задержками, практически не загружает сеть служебной информацией.


Шифратор легко встраивается в существующие сети по принципу «узел на проводе», а средства управления позволяют легко настраивать и контролировать политики безопасности. Механизмы управления групповыми ключами и разделения ролей соответствуют общепринятым практикам информационной безопасности.


Шифратор поставляется в фирменной заводской упаковке с логотипами производителя.

На одной из боковых стенок — наклейки с названием модели, контактами производителя, серийным номером и комплектацией. Видим, что, кроме самого устройства, в комплект поставки входят модули формата SFP+, кабели питания, а также сертификат на расширенную поддержку. Таким образом, все принадлежности упакованы в одну коробку — очень удобно, ничего не потеряется. Один шифратор — одно место.

Видим, что внутри ещё одна коробка. Транспортировочная коробка может испачкаться, порваться, а внутренняя останется целой и чистой.

На внутренней коробке такие же стикеры и логотипы «СИС крипто».


Сверху лежат формуляр на устройство и два запечатанных конверта-секьюрпака. Под ними между ложементами из пенополиэтилена — коробка с принадлежностями и корпус устройства. Открываем формуляр.

На странице 7 вписан серийный номер. Сверяем его с номером на коробке, а потом и с номером на корпусе. На странице 6 приведена комплектация шифратора. Обратите внимание, что в ней перечислены только стандартные обязательные принадлежности, то есть то, что входит в первую строчку комплектации на коробке. Принадлежности, которые поставляются отдельно, перечислены на коробке. Таким образом, комплектацию нужно проверять по обоим спискам.


Например, по номеру на секьюрпаках определяем, что в них лежат USB-диски с вектором инициализации датчика случайных чисел.

Остальные принадлежности лежат в этой коробке.


Принадлежности


Тут и стандартные, и дополнительные принадлежности — те, что поместились. Смотрим и сверяем по списку.


Пара кабелей питания — это дополнительные принадлежности, в формуляре их нет, шифратор можно заказать и без них. В общем, подойдут любые кабели с разъёмом С13.

То же самое касается и интерфейсных модулей SFP+ (они же приемопередатчики, или трансиверы). В каталоге «СИС крипто» есть таблица совместимости, так что можно использовать трансиверы, выпущенные под любым брендом, но с нужными кодами.

Вот так выглядят сертификаты на расширенную поддержку — по одному на каждый год.

Кабель RJ45-RJ45 для управления через сеть. Одним концом — в порт управления, другим — в коммутатор либо напрямую в станцию управления.

Консольный кабель. Разъём RJ45 — в консольный порт шифратора, разъём DB-9 — к терминалу или модему.

Сейчас, разумеется, в качестве терминала все используют персональный компьютер с программой-эмулятором. Если на компьютере нет такого разъёма, то потребуется адаптер USB — в поставке его нет.

Это монтажный комплект для 19-дюймовой стойки. Где винты? Прикручены к корпусу устройства.

Это диск с руководством администратора и программой управления. Теперь переходим к самому устройству.


Платформа шифратора

Перед нами 19-дюймовый 1-юнитовый корпус специализированной платформы высокоскоростного шифратора. Корпус опломбирован специальными наклейками с контролем вскрытия, отрывать эти пломбы запрещено. Кроме того, в шифраторах «Палиндром» есть механизм противодействия взлому. Если снять эту крышку, то срабатывает датчик и шифратор сбрасывается в заводские настройки. Обратите внимание, что в корпусе нет сквозных отверстий, через которые можно было бы воткнуть щуп и добраться до электронных схем.

На нижней панели есть стикер с названием модели и серийным номером — проверяем его.

На задней панели есть вентиляторный модуль и пара дублированных блоков питания с тумблером и стандартными разъёмами С14.

Блоки питания универсальные, рассчитаны на переменное напряжение от 100 до 250 вольт и частоту от 50 до 60 герц, автоматически подстраиваются под входное напряжение. Устройство должно было подключено к заземлённым розеткам. Рекомендуется подключать его к источнику бесперебойного питания. Но даже если питание пропадает, то настройки не стираются, шифратор автоматически восстановит все защищённые соединения, как только питание будет подано снова. Вмешательство пользователя не потребуется.


Блоки питания работают по схеме «активный-активный»: когда оба блока подключены к сети, каждый из них подаёт питание на устройство, и нагрузка распределяется. Если один блок питания выходит из строя, то другой примет на себя всю нагрузку, пока неработающий блок не будет заменён. Несмотря на «горячую» замену, блок питания не подлежит обслуживанию пользователем и должен быть возвращён поставщику для замены. Крепится блок двумя винтами.

Теперь посмотрим на вентиляторный модуль, он тоже с «горячей» заменой и тоже прикручен двумя винтами.

В шифраторе «Палиндром-6140» используется встроенная литиевая батарея для питания часов реального времени и энергонезависимой памяти с информацией о конфигурации. Эта батарея имеет срок жизни свыше 10 лет. Напряжение батареи постоянно контролируется. Если батарея разряжена, то регистрируется аварийное состояние и индикатор на передней панели загорится красным. Батарея находится в модуле вентилятора и заменяется вместе с ним.

Вот что расположено на передней панели.

Вентиляционные решётки. Гнезда для интерфейсных модулей SFP+. Слева так называемый локальный порт, который идёт к доверенному, контролируемому сегменту сети, подключается обычно к коммутатору или маршрутизатору. Трафик на этом порту не зашифрован.

Справа так называемый сетевой порт, он идёт к внешней (незащищённой) сети, трафик в которой и нужно зашифровать, потому что его можно перехватить. Этот порт обычно подключается к оконечному оборудованию сети оператора. На другой стороне неконтролируемой сети — другие такие же шифраторы (их может быть много). То есть шифратор включается в разрез сети и соединяет её физически защищённые и незащищённые сегменты, при этом сам он остаётся невидимым для трафика на L2 — это и есть принцип «узел на проводе».

Светодиодные индикаторы, которые показывают состояние устройства.

SYSTEM — сигнализирует об аварийном остановке шифратора (например, если он взломан). Сейчас горит зелёным — значит, все в порядке.


SECURE — режим работы шифратора. Горит красным — устройство не активировано и находится в режиме Discard, то есть будет сбрасывать весь трафик, который идёт во внешнюю сеть. Включать этот шифратор в рабочую сеть пока нельзя, потому что он заблокирует весь внешний трафик.


ALARM — сигнализирует о тревогах, в том числе о неотмеченных. Сейчас мигает — значит, есть неотмеченные тревоги. POWER — питание, горит зелёным.


Четырёхстрочный ЖК-дисплей для отображения информации. Белая подсветка означает исправность, красная — аварийный останов.


Кнопки для ввода. ESC отменяет предыдущие нажатия, стрелка вверх — вверх по меню (или, если мы в режиме ввода, последний доступный выбор для подсвеченного символа). Стрелка вниз — вниз по пунктам меню или же следующий доступный вариант для ввода символа. ENTER — вход в пункт меню или подтверждение выбора символа.


Кнопка стирания — не нужно путать стирание со сбросом. При сбросе удаляются только соединения и их политики, при этом шифратор остаётся активированным. Стирание — это возврат к заводским установкам, при этом стираются все сертификаты и учётные записи пользователей.


«Палиндром-6140» можно стереть несколькими способами. Первый — это удерживать кнопки ESC и ENT в течение 10 секунд до появления надписи Erase and reboot?

После этого нажать стрелку вверх и потом кнопку ENT. Нажатие других кнопок отменяет операцию. Второй способ, который используется, когда на устройстве нет питания — это нажать кнопку стирания, которая находится в отверстии рядом со стрелками вверх и вниз. Для этого понадобится скрепка или подобный мелкий предмет.

Также шифратор можно стереть из консоли командой erase.

Разъёмы RJ45 Ethernet с автоматическим согласованием скорости для управления по протоколу SNMPv3.


Разъём RJ45 RS-232 для управления через интерфейс командной строки. К нему последовательным кабелем подключается консоль.


Разъёмы USB для загрузки инициализирующей последовательности датчика случайных чисел и обновления встроенного программного обеспечения.

Вот и всё.



Ссылка на видеообзор распаковки:

https://youtu.be/GHVt3X8ENQY


 

Основанная в 2007 году компания TESSIS (ЗАО «СИС») – специализированный дистрибьютор решений для информационной безопасности.

Компания занимается их импортом, производством, сертификацией, продажей, интеграцией и технической поддержкой в России.

TESSIS – авторизованный дистрибьютор компании Thales и центр компетенции по её решениям для управления доступом и защиты данных, включая средства для усиленной аутентификации, ЭЦП, шифрования данных и управления ключами шифрования, а также шифраторы для сетей Ethernet.


+ 7 (495) 228-02-08

info@tessis.ru

www.tessis.ru

245 просмотров0 комментариев