ООО Топ Кросс


 
 Установка. Модуль разграничения доступа

УСТАНОВКА МОДУЛЯ РАЗГРАНИЧЕНИЯ ДОСТУПА

Перед установкой Модуля необходимо:

  • установить Apache в соответствии с ниже приведенными правилами.
  • установить Криптографические Токены (см. документацию по КТ)

Далее, необходимо запустить программу установки Модуля из комплекта поставки и следовать выдаваемым инструкциям.

APACHE

Для нормального функционирования Модуля необходимо, чтобы сборка HTTP-сервера Apache соответствовала следующим требованиям:

  • включена поддержка динамически загружаемых модулей – mod_so данный модуль позволяет подключить Модуль к Apache и использовать функции Модуля по установлению защищенных сетевых соединений и разграничению доступа;
  • включена поддержка EAPI – включается установкой патчей из состава mod_ssl (2.8.22). Указанные патчи позволяют, среди прочего, заменить стандартные процедуры установления соединения на необходимые пользователю. При подключении Модуля, стандартные процедуры установления соединения заменяются на защищенные (SSLv3/TLSv1.0).
  • Также, рекомендуется включить модуль mod_rewrite, который является мощным инструментом для управления обработкой запросов пользователей и может дублировать часть функций Модуля по разграничению доступа.

Пример сборки Apache:

Подразумевается, что исходные коды Apache и mod_ssl предварительно установлены соответственно в /root/src/apache_1.3.33 и /root/src/mod_ssl-2.8.22-1.3.33

# cd /root/src/mod_ssl-2.8.22-1.3.33
# ./configure --with-apache=/root/src/apache_1.3.33 --with-eapi-only
# make
…
# cd /root/src/apache_1.3.33
# ./configure --with-layout=Apache --prefix=/usr/local/apache --enable-module=so
--enable-module=rewrite --enable-rule=EAPI
# make && make install
…

Правильность сборки (соответствие ее указанным требованиям) можно проконтролировать вызвав Apache (httpd) с параметром командной строки «-l», при помощи которого выводится список включенных модулей и c параметром командной строки «-V», для вывода ключей компилятора (несущественное пропущено):

# cd /usr/local/apache/bin/
# ./httpd –l
Compiled-in modules:
  http_core.c
  mod_env.c
	…
  mod_alias.c
  mod_rewrite.c
  mod_access.c
  mod_auth.c
  mod_so.c
	…

# ./httpd- V
Server version: Apache/1.3.33 (Unix)
Server built:   Jan  1 2005 00:00:01
Server's Module Magic Number: 19990320:16
Server compiled with....
 -D EAPI
 -D HAVE_MMAP
 -D HAVE_SHMGET
	…

КРИПТОГРАФИЧЕСКИЕ ТОКЕНЫ

Доступные криптографические алгоритмы и правила образования TLS соединения определяются типом установленного криптографического токена (КТ). КТ имеет ограниченный набор функций, который определен перечнем доступных механизмов интерфейса PKCS#11. Модуль может функционировать со следующими программными токенами:

  1. Network Security Services (NSS) © 1998-2004 The Mozilla Organization. Данный КТ является частью открытого проекта Mozilla и поддерживает исключительно зарубежные криптографические алгоритмы. Поставляется в виде самостоятельной разделяемой библиотеки. Исходные коды КТ NSS доступны по следующей ссылке: http://ftp.mozilla.org/pub/mozilla.org/security/nss/releases/NSS_3_9_RTM/src/nss-3.9.tar.gz
  2. CeXToken © 2005 ООО «Крипто Экс» (http://www.cryptoex.ru). КТ содержат программную библиотеку защиты информации (ПБЗИ) сертифицированную ФАПСИ/ФСБ, в которой:
    • присутствует реализация государственных стандартов ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001, ГОСТ Р 34.11;
    • применяемая ключевая система обеспечивает возможность парно-выборочной связи абонентов сети (по типу «каждый с каждым») с использованием для каждой пары абонентов уникальных ключей, создаваемых на основе принципа открытого распределения ключей.
    ПБЗИ функционирует в операционных системах семейства FreeBSD, Linux, Windows 2000/XP на ПЭВМ, совместимых с IBM PC. ПБЗИ из состава КТ предназначена также для формирования ключей шифрования и ключей ЭЦП, шифрования, имитозащиты, формирования ЭЦП в системах обработки информации, не содержащих сведений, составляющих государственную тайну. Для обеспечения криптографической совместимости с продуктами сторонних разработчиков в данном КТ используются параметры алгоритмов, таблицы замены и правила использования российской криптографии определенные драфтами, которые опубликованы на сайте http://www.ietf.org Под лицензией:
    Acknowledgments
    
    This document was created in accordance with "Russian Cryptographic
    Software Compatibility Agreement", signed by FGUE STC "Atlas",
    CRYPTO-PRO, Factor-TC, MD PREI, Infotecs GmbH, SPRCIS (SPbRCZI),
    Cryptocom, R-Alpha.  The goal of this agreement is to achieve mutual
    compatibility of the products and solutions.
    
    Copyright (C) The Internet Society (2003).  All Rights Reserved.
    
    This document and translations of it may be copied and furnished to
    others, and derivative works that comment on or otherwise explain it
    or assist in its implementation may be prepared, copied, published
    and distributed, in whole or in part, without restriction of any
    kind, provided that the above copyright notice and this paragraph are
    included on all such copies and derivative works.  However, this
    document itself may not be modified in any way, such as by removing
    the copyright notice or references to the Internet Society or other
    Internet organizations, except as needed for the purpose of
    developing Internet standards in which case the procedures for
    copyrights defined in the Internet Standards process must be
    followed, or as required to translate it into languages other than
    English.
    

Одним из необходимых условий безопасного функционирования любой автоматизированной системы является ее целостность. Исходя из этого, в Модуль встроены механизмы контроля целостности, позволяющие зафиксировать факт изменения любого файла из заданного в настройках Модуля списка. Необходимым условием функционирования встроенных механизмов контроля целостности (и самого Модуля) является наличие в системе КТ с поддержкой государственных стандартов ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001, ГОСТ Р 34.11.


Установка
Модуль разграничения доступа
© 2005-2012
LLC Top Cross
All Rights Reserved
 
 поиск
Google

 Цифровой Секретарь
клиентское программное обеспечение

на технологиях открытых ключей