3. Ввод в эксплуатацию

3.1. Ввод в эксплуатацию нового изделия

При наличии СКЗИ в системе для ввода в эксплуатацию нового изделия следует руководствоваться правилами пользования СКЗИ.

Ввод в эксплуатацию ПАК “Фортикс” должны осуществлять лица, допущенные к управлению ПАК “Фортикс” в качестве администратора. Для ввода в эксплуатацию ПАК “Фортикс” необходимо выполнить:

1. подключение к изделию;

2. проверку работоспособности;

3. смену пароля администратора root;

4. смену нумерации интерфейсов (опционально);

5. настройку времени системы;

6. настройку имени хоста;

7. настройку учётных записей;

8. настройку сетевых интерфейсов;

9. настройку межсетевого экрана;

10. настройку маршрутизации;

11. настройку SSL-сертификатов и ключей (опционально).

3.1.1. Подключение к изделию

Предусмотрено два способа подключения к ПАК “Фортикс”:

• удалённо по протоколу SSH посредством SSH-клиента (в заводской конфигурации ПАК “Фортикс” на интерфейсе 0 сконфигурирован IPv4-адрес 192.168.0.1/24 и включён SSH-сервер);

• локально через консольный порт (нумерация портов для каждого изделия и реквизиты подключения указаны в спецификации поставки), по умолчанию скорость подключения 9600 б/с.

3.1.2. Проверка работоспособности

Для проверки работоспособности изделия необходимо выполнить расчёт и сравнение контрольных сумм в соответствии с разделом “Контрольные суммы” формуляра.

3.1.3. Смена пароля учётной записи администратора root

В ПАК “Фортикс” по умолчанию зарегистрирована учётная запись администратора root, которая обладает полным набором полномочий и не доступна для удаления. При первичной настройке необходимо сменить пароль по умолчанию “root” данной учётной записи.

Для смены пароля учётной записи администратора root после входа в систему (логин: root, пароль: root) применяются команды:

> configure
# setup login root password
Change password for root
Password: <new-password>
Retype password: <new-password>
# commit

где <new-password> – строка, длиной не менее 8 буквенно-цифровых символов латинского алфавита и специальных знаков (! @ # $ % ˆ & *).

При изменении пароля указанным способом осуществляется проверка его стойкости, основанная на сравнении значения пароля со словами из словаря. Данный механизм позволяет предотвратить использование слабых или легко угадываемых паролей, повышая безопасность системы.

3.1.3.1. Сброс забытого пароля учётной записи администратора root

Сброс забытого пароля учётной записи администратора root может быть выполнен только со вскрытием корпуса изделия. Сброс пароля выполняется только специалистом компании Изготовителя с последующим опечатыванием корпуса наклейкой-пломбой. Сброс пароля может быть осуществлён на месте эксплуатации изделия или на территории компании Изготовителя. Сброс пароля не является гарантийным случаем и может предоставляется как отдельная услуга или в рамках договора технической поддержки.

При сбросе пароля устанавливается новый пароль, заданный заказчиком услуги. При необходимости конфигурация и ключи шифрования сохраняются.

3.1.4. Смена нумерации интерфейсов

В заводской конфигурации ПАК “Фортикс” реализована нумерация интерфейсов Ethernet по умолчанию (имена соответствуют конструкции en<номер_порта>, например, en0).

Для изменения заводской нумерации применяется команда:

> interface ether enumerate

После применения изменений с помощью команды commit для фактической смены нумерации интерфейсов необходимо перезагрузить устройство.

Для перезагрузки устройства применяется команда:

> reboot

3.1.5. Настройка времени системы

Для настройки временной зоны применяется команда:

# set system timezone <timezone-value>

где <timezone-value> – временная зона.

Пример применения команды для настройки временной зоны МСК+0 (UDC+3):

> configure
# set system timezone Europe/Moscow
# commit

Для настройки даты и времени применяется команда:

> clock <date>

где <date> – строка в формате hh:mm:ss yyyy-mm-dd.

Пример применения команды для настройки времени 10 часов 6 минут 40 секунд и даты 2 апреля 2024 года:

> clock 10:06:40 2024-04-02

3.1.6. Настройка имени хоста

В начале командной строки при вводе команд отображается имя хоста, которое можно использовать для идентификации системы. В заводской конфигурации ПАК “Фортикс” используется имя хоста Fortics.

Для изменения имени хоста применяется команда:

# set system hostname <hostname>

где <hostname> – строка.

Пример применения команды для изменения имени хоста на gw1:

# set system hostname gw1
# commit

3.1.7. Настройка учётных записей

В ПАК “Фортикс” по умолчанию создана учётная запись администратора root, имеющая доступ к полному набору действий по управлению конфигурацией и обслуживанию. Для усиления мер безопасности и удобства управления правами доступа в ПАК “Фортикс” реализована возможность создания учётных записей администраторов с ограниченными полномочиями. Для удобства управления учётными записями администраторов с однотипным набором полномочий реализована возможность создания ролевых групп.

Примечание

Не рекомендуется использовать учётную запись администратора root для удалённого управления изделием. Для этого возможно создание отдельной учётной записи администратора или использование учётных записей, аутентифицируемых по протоколу RADIUS. Для учётной записи администратора root не рекомендуется разрешать сетевой доступ.

Подробнее см. раздел 5 Ролевая модель.

3.1.8. Настройка сетевых интерфейсов

Для успешного ввода ПАК “Фортикс” в эксплуатацию необходимо выполнить настройку сетевых интерфейсов на устройстве (персональном компьютере) администратора:

1. Если сетевые кабели не были подключены ранее, следует подключить сетевые кабели.

2. Проверить индикацию на портах изделия.

3. Проверить состояние линии связи.

Для проверки состояния линии связи на интерфейсе применяется команда:

> show interface <interface-type> <interface-name> link

где

• <interface-type> – тип интерфейса (подробнее см. раздел 6 Сетевые интерфейсы);

• <interface-name> – имя интерфейса (подробнее см. раздел 6 Сетевые интерфейсы).

Пример применения и вывода команды для проверки состояния линии связи на интерфейсе en0 типа ether:

> show interface ether en0 link
en0 [ether]: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
Settings for en0:
        Supported ports: [ TP ]
        Supported link modes:   10baseT/Half 10baseT/Full
                                100baseT/Half 100baseT/Full
                                1000baseT/Full
        Supported pause frame use: No
        Supports auto-negotiation: Yes
        Supported FEC modes: Not reported
        Advertised link modes:  10baseT/Half 10baseT/Full
                                100baseT/Half 100baseT/Full
                                1000baseT/Full
        Advertised pause frame use: No
        Advertised auto-negotiation: Yes
        Advertised FEC modes: Not reported
        Speed: 1000Mb/s
        Duplex: Full
        Auto-negotiation: on
        Port: Twisted Pair
        PHYAD: 0
        Transceiver: internal
        MDI-X: off (auto)
        Supports Wake-on: d
        Wake-on: d
        Current message level: 0x00000007 (7)
                               drv probe link
        Link detected: yes

4. Проверить доступность сетевого оборудования (посредством ping-проб).

5. В случае неуспеха на шаге 4) проверить ARP-таблицу.

Для проверки соседства применяется команда:

> show neighbor

Пример вывода команды для проверки соседства:

192.168.174.1 dev en0 lladdr 00:50:56:c0:00:08 DELAY
192.168.174.2 dev en0 lladdr 00:50:56:eb:87:3c STALE
192.168.174.254 dev en0 lladdr 00:50:56:ea:d9:b7 STALE

Примечание

В заводской конфигурации ПАК “Фортикс” маршрутизация отключена в целях безопасности. Включение маршрутизации необходимо выполнять на последнем этапе ввода устройства в эксплуатацию после настройки средств защиты информации (в случае их наличия в системе).

6. Если при вводе в эксплуатацию подключение к изделию осуществляется по протоколу SSH, следует настроить реквизиты для удалённого подключения и подключиться удалённо на настроенный IP-адрес.

Для указания дополнительного IP-адреса на интерфейсе применяется команда:

# set interface <interface-type> <interface-name> ipv4|ipv6 address <address>

где

• <interface-type> – тип интерфейса (подробнее см. раздел 6 Сетевые интерфейсы);

• <interface-name> – имя интерфейса (подробнее см. раздел 6 Сетевые интерфейсы);

• ipv4|ipv6 – уровень конфигурации IPv4/IPv6;

• <address> – IPv4-адрес в формате A.B.C.D/mask или IPv6-адрес в формате A:B:...:H/mask в зависимости от уровня конфигурации.

Пример применения команды для указания дополнительного IP-адреса 10.0.0.7/24 на интерфейсе en0 типа ether (в заводской конфигурации ПАК “Фортикс” на данном интерфейсе настроен IP-адрес 192.168.0.1/24):

# edit interface ether en0
[edit interface ether en0]
# set ipv4 address 10.0.0.7/24
# commit

Для просмотра установленных IP-адресов на интерфейсе и его состояния применяется команда:

> show interface <interface-type> <interface-name>

где

• <interface-type> – тип интерфейса (подробнее см. раздел 6 Сетевые интерфейсы);

• <interface-name> – имя интерфейса (подробнее см. раздел 6 Сетевые интерфейсы).

Пример применения и вывода команды для просмотра состояния интерфейса en0 типа ether:

> show interface ether en0
en0 [ether]: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:0c:29:4f:7b:f2 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.1/24 brd 192.168.0.255 scope global en0
       valid_lft forever preferred_lft forever
    inet 192.168.174.130/24 brd 192.168.174.255 scope global en0
       valid_lft forever preferred_lft forever

7. Для завершения этапа настройки сетевых интерфейсов необходимо удалить заводскую настройку IP-адреса 192.168.0.1 с интерфейса en0.

Для удаления заводской настройки IP-адреса 192.168.0.1 с интерфейса en0 применяется команда:

# edit interface ether en0
[edit interface ether en0]
# del ipv4 address 192.168.0.1/24
# commit

3.1.9. Настройка межсетевого экрана

Необходимо выполнить настройку фильтрации, исключающую несанкционированный доступ к ПАК “Фортикс” и защищаемым сетям. ПАК “Фортикс” не имеет скрытых открытых TCP/UDP-портов, которые бы следовало защищать отдельно.

Подробнее см. раздел 7 Межсетевой экран.

3.1.10. Настройка маршрутизации

Необходимо выполнить настройку маршрутизации и проверить доступность сетевого оборудования.

Подробнее см. разделы 24 Стандартная статическая маршрутизация, 25 Статическая маршрутизация на основе политик (pbr), 26 Динамическая маршрутизация, 27 Виртуальная маршрутизация (VRF), 28 Мультикаст маршрутизация.

3.1.11. Настройка SSL-сертификатов и ключей

Некоторые подсистемы ПАК “Фортикс” требуют наличия специальных криптографических материалов: закрытых и открытых ключей, подписанных и самоподписанных X.509-сертификатов. Все операции с данными ключами и сертификатами не требуют наличия ключа доступа. Для удобства работы в системе предустановлен ряд сертификатов, а также корневой самоподписанный сертификат (fx-cert.pem) и соответствующий ему закрытый ключ (fx-key.pem). Все предустановленные сертификаты расположены в хранилище сертификатов в каталоге /system/ssl/certs/. Ключ расположен в каталоге /system/ssl/private/. Если файл с самоподписанным сертификатом или закрытым ключом отсутствует, оба файла fx-cert.pem и fx-key.pem автоматически пересоздаются. Некоторые службы используют не сам сертификат, а его отпечаток (хэш-файл). Хэш-файлы также расположены в хранилище сертификатов, их создание и удаление осуществляется автоматически при добавлении или удалении сертификатов в хранилище.

3.1.11.1. Команды для работы с сертификатами и ключами в ПАК “Фотикс”

Предупреждение

При генерации ssl-сертификатов/ключей время генерации учитывается относительно таймзоны, настроенной на устройстве, выполняющем команду. Таким образом, при условии переноса сертификата на устройство, таймзона которого сдвинута на n часов вперёд, он будет валиден только спустя n часов относительно времени генерации сертификата.

Например: если на устройстве генерации ключа выставлена таймзона UTC и сертификат сгенерирован в 12:00, при этом сертификат переносится на устройство в таймзоне UTC+3, данный сертификат будет валиден только с 15:00.

Для генерации закрытого ключа применяется команда:

> ssl key generate rsa|dsa [bits <bits-number>] [pubexp <pubexp-value>] <path-to-public-key-file>

где

• rsa|dsa – криптографический алгоритм для формирования ключа (RSA или DSA);

• <bits-number> – размер ключа (число);

• <pubexp-value> – значение публичной экспоненты (число);

• <path-to-public-key-file> – полное имя файла с закрытым ключом или имя файла относительно домашней директории пользователя.

Для проверки закрытого ключа применяется команда:

> ssl key check <path-to-key-file>

где <path-to-key-file> – полное имя файла с закрытым ключом или имя файла относительно домашней директории пользователя.

Для генерации самоподписанного сертификата применяется команда:

> ssl cert generate <path-to-private-key-file> <day-number> <path-to-cert-file>

где

• <path-to-private-key-file> – полное имя файла с закрытым ключом или имя файла относительно домашней директории пользователя;

• <day-number> – срок действия сертификата (число дней);

• <path-to-cert-file> – полное имя файла самоподписанного сертификата или имя файла относительно домашней директории пользователя.

Для генерации подписанного сертификата применяется команда:

> ssl cert generate <path-to-key-file> <day-number> <path-to-cert-file> sign <path-to-ca-cert-file> <path-to-ca-private-key-file> cn <cn-value> sn <sn-number>

где

• <path-to-private-key-file> – полное имя файла с закрытым ключом или имя файла относительно домашней директории пользователя;

• <day-number> – срок действия сертификата (число дней);

• <path-to-cert-file> – полное имя файла подписанного сертификата или имя файла относительно домашней директории пользователя;

• <path-to-ca-cert-file> – полное имя файла корневого сертификата или имя файла относительно домашней директории пользователя;

• <path-to-ca-private-key-file> – полное имя файла с закрытым ключом корневого сертификата или имя файла относительно домашней директории пользователя;

• <cn-value> – поле Common Name (CN) подписанного сертификата;

• <sn-number> – серийный номер (Serial Number) подписанного сертификата.

Для проверки соответствия сертификата закрытому ключу применяется команда:

> ssl cert check <path-to-cert-file> <path-to-key-file>

где

• <path-to-cert-file> – полное имя файла сертификата или имя файла относительно домашней директории пользователя;

• <path-to-private-key-file> – полное имя файла с закрытым ключом или имя файла относительно домашней директории пользователя.

Для преобразования формата сертификата применяется команда:

> ssl cert convert <path-to-cert-file> der|pem <path-to-new-cert-file>

где

• <path-to-cert-file> – полное имя файла преобразуемого сертификата или имя файла относительно домашней директории пользователя;

• der|pem – формат нового сертификата (DER или PEM);

• <path-to-new-cert-file> – полное имя файла преобразованного сертификата или имя файла относительно домашней директории пользователя.

Для восстановления хранилища сертификатов применяется команда:

> ssl cert restore

Для проверки подписанного сертификата применяется команда:

> ssl cert signed-check <path-to-cert-file> <path-to-ca-cert-file>

где

• <path-to-cert-file> – полное имя файла подписанного сертификата или имя файла относительно домашней директории пользователя;

• <path-to-ca-cert-file> – полное имя файла корневого сертификата или имя файла относительно домашней директории пользователя.

Для генерации закрытого ключа WireGuard-туннеля применяется команда:

ssl wg gen key <path-to-private-key-file>

где <path-to-private-key-file> – полное имя файла с закрытым ключом или имя файла относительно домашней директории пользователя.

Для генерации открытого ключа WireGuard-туннеля применяется команда:

ssl wg gen pubkey <path-to-public-key-file>

где <path-to-public-key-file> – полное имя файла с открытым ключом или имя файла относительно домашней директории пользователя.

Для генерации дополнительного ключа шифрования WireGuard-туннеля применяется команда:

ssl wg gen psk <path-to-psk-key-file>

где <path-to-psk-key-file> – полное имя файла с дополнительным ключом шифрования или имя файла относительно домашней директории пользователя.

3.2. Ввод в эксплуатацию отремонтированного изделия

При наличии СКЗИ в системе для ввода в эксплуатацию отремонтированного изделия следует руководствоваться правилами пользования СКЗИ.

Ввод в эксплуатацию отремонтированного изделия предполагает наличие у администратора резервной копии информации, подлежащей восстановлению на отремонтированном изделии. В случае отсутствия резервной копии или необходимости восстановления информации следует вводить изделие в эксплуатацию как новое.

Порядок ввода в эксплуатацию отремонтированного изделия:

1. Подключиться к изделию.

   Подключение к изделию возможно локально через консольный порт или удалённо по протоколу SSH. Нумерация портов каждого изделия и реквизиты подключения указаны в спецификации поставки.

2. Проверить работоспособность.

   Необходимо убедиться в работоспособности изделия, для этого следует выполнить расчёт и сравнение контрольных сумм в соответствии с разделом “Контрольные суммы” формуляра.

3. Восстановить резервную копию пользовательских файлов (опционально).

   При наличии копий пользовательских файлов (например, скриптов) необходимо скопировать их на внутренний накопитель изделия с помощью команды:

   > copy <source-name> <destination-name>
   

   где

   • <source-name> – полное имя файла/директории, откуда копируются данные, или имя файла/директории относительно домашней директории пользователя;

   • <destination-name> – полное имя файла/директории, куда копируются данные, или имя файла/директории относительно домашней директории пользователя.

4. Восстановить резервную копию конфигурации.

   Для восстановления конфигурации необходимо:

   1. Выполнить импорт конфигурации (см. пункт 2.3.2.1 Способы изменения, импорта и экспорта конфигурации).

   2. Применить импортированную конфигурацию с помощью команды:

   # commit
   

   После применения конфигурации пароли администраторов, в том числе администратора root, устанавливаются согласно заданным в импортированной конфигурации.

5. Повторно проверить работоспособность (см. подраздел 3.1.2 Проверка работоспособности).

При проверке работоспособности на заключительном этапе необходимо:

• перезагрузить изделие;

• проверить доступность сетевого оборудования.