prosecom - Pramacom

PROSECOM
Professional Secure
Communications
Instalační přířučka
Obsah
Úvod ........................................................................................................................................................ 3
Hlavní přínosy .......................................................................................................................................... 3
Vlastnosti řešení ...................................................................................................................................... 4
Technologie ............................................................................................................................................. 4
Popis řešení ......................................................................................................................................... 5
Integrace na platformě CISCO ................................................................................................................. 6
Mobilní pracoviště ............................................................................................................................... 6
Centrální pracoviště ............................................................................................................................ 7
Installation Procedures............................................................................................................................ 8
Serverová část ..................................................................................................................................... 8
Gatekeeper ...................................................................................................................................... 8
Keymaster Server .......................................................................................................................... 14
Klientská část ..................................................................................................................................... 15
Úvod
Systém profesionální mobilní data umožňuje realizaci vysokorychlostních datových přenosů při
současném zachování bezpečnosti na úrovni sítě Tetrapol. Systém umožňuje realizaci datových
přenosů, nejvyšší dostupnou rychlostí při součastném zachování vysokých bezpečnostních standardů
a požadavků na utajení v bezpečných sítích.
Hlavní přínosy
Technologie profesionální mobilní data přináší oproti stávajícímu stavu následující výhody:








Možnost zavedení nových mobilních datových služeb vyžadující větší objemy dat
Možnost plnohodnotného vzdáleného přístupu do sítí Intranet
Výrazné zrychlení odezvy systému při dotazech do databází
Výrazné zvýšení celkové kapacity v systému mobilních datových služeb
Optimalizace a snížení zatížení datového provozu v síti Tetrapol
Výrazné zvýšení propustnosti celého systému (zvýšení rychlosti)
Výrazné zkrácení reakčních časů (doby čekání na odpověď)
Spolehlivá zpětná vazba (jasná diagnostika přenosu přijetí a zpracování dotazu a přenosu
jeho výsledku)
Systém, je založen na technologii, která je předmětem ochrany duševního vlastnictví (patent PÚV)
umožňuje realizaci systémů vzdáleného přístupu k datům, které doposud nebylo možno realizovat
žádným jiným způsobem. Mezi tyto aplikace patří například:




Aplikace přenosu rozsáhlých taktických informací, jako například map, situačních plánů,
fotografií, popisů událostí, atd.
Průběžné monitorování aktivity terminálů včetně jejich provozního stavu, datových přenosů
a polohy
Koordinace a hromadná distribuce informací rozsáhlým týmům
Přímý vzdálený přístup do intranetu
Vlastnosti řešení
Mezi základní vlastnosti našeho řešení profesionálních mobilních služeb patří:





Zabezpečení dat odpovídající bezpečnosti sítě Tetrapol
Přenosová rychlost odpovídající maximální komerčně dostupné přenosové rychlosti pro
mobilní data
Plná kompatibilita s platformami Windows, WCE, Windows Mobile, Linux, Android
Technologie je plně kompatibilní s novým standardem MDT společnosti Cassidian, cílové
řešení tedy může být bez problémů validováno
Technologie je ověřena se všemi typy terminálů sítě Tetrapol
Technologie
Použitá chráněná technologie kombinuje bezpečné a širokopásmové komunikační kanály takovým
způsobem, aby měl uživatel pocit, že má k dispozici jediný širokopásmový bezpečný komunikační
prostředek.


Systém vytváří bezpečnou virtuální privátní síť v prostředí vysokorychlostní sítě
Veškeré informace související se sestavením bezpečného spojení tedy zejména s klíči a
certifikáty pro přístup do VPN jsou přenášeny sítí Tetrapol
Systém je rovněž zabezpečen proti případnému výpadku vysokorychlostní sítě (například z důvodu
přírodní katastrofy, výstupu z pokrytí, atd.). V takovém případě systém buďto přenese veškerá data
prostřednictvím bezpečné sítě anebo umožní uživateli zpřesnit dotaz a omezit tak přenášený objem
dat.
Intranet
Data
Intranet
Data
VPN
Popis řešení
1. Klientský vzdálený počítač je připojen k bráně standardním síťovým rozhraním.
2. Při prvním požadavku klientské aplikace na přístup do adresového prostoru intranetu vyšle
brána prostřednictvím sítě Tetrapol žádost o otevření spojení a přidělení přístupových
certifikátů.
3. Komplementární brána umístěná v prostoru intranetu přijme požadavek ze sítě Tetrapol a
vygeneruje jednorázové klíče pro VPN připojení.
4. Klíče spolu s příslušnými certifikáty jsou přeneseny prostřednictvím sítě Tetrapol a předány
vzdálené bráně.
5. Vzdálená brána otevře VPN spojení
6. Klientská aplikace má plný přístup k intranetu
Platnost jednorázových klíčů je časově omezená, po vypršení platnosti klíče jsou automaticky
aktualizovány prostřednictvím sítě Tetrapol.
Při delší neaktivitě spojení z kterékoli strany je VPN síť automaticky uzavřena a platnost klíčů zrušena.
Tato architektura využívající pro přenos klíčů a zprávu klíčového hospodářství oddělenou, bezpečnou
komunikační síť, zcela znemožňuje prolomení bezpečnosti útokem na klíčové hospodářství. Úroveň
samotné šifry pak zcela vyhoví požadavkům na military grade security.
Intranet
Gatekeeper
Data
Broadband
Network
5. VPN Tunnel
1. Connection
request
Keymaster
3. Keys and
certificates
Mobile
Gatekeeper
Tetrapol
2. Connection
request
4. Keys and
certificates
Integrace na platformě CISCO
Integrace technologie PMD na platformě CISCO přináší následující výhody:











Plná integrace technologie v CISCO routeru
Přímé propojení Routeru a radiového terminálu Tetrapol kabelem bez dalších prvků
Všechny bezpečnostní prvky (klíče, certifikáty i nastavení) jsou přeneseny sítí Tetrapol
Šifrování a správa VPN na úrovni hardwarového zařízení
Možnost využití vestavěné GPS v routeru CISCO pro aplikace AVL prostřednictvím
Tetrapolu bez dalšího hardware
Možnost využití několika operátorů a to jak alternativně tak souběžně
Možnost využití satelitního spojení (při doplnění o příslušný hardware)
Možnost využití datových funkcí Tetrapol pro záložní spojení
Snadná instalace a nastavení
Centrální správa zařízení
Centrální správa oprávnění
Mobilní pracoviště
Mobilní pracoviště se skládá z následujících prvků:
1. CISCO 819 Mobilní router vybavený GSM modemy, GPS a PMD aplikací
2. Radiostanice Tetrapol
3. Propojovací kabel
Antennas for GSM & GPS
CISCO 819 mobile
router with PMD
application
Tetrapol car
terminal
Direct
connection
Secured connection.
User PC with
full access to
Intranet.
Centrální pracoviště
Centrální pracoviště se skládá z následujících prvků:
1. CISCO Router (např. 2911)
2. Server (1U) pro údržbu databází oprávnění, zařízení a správu konfigurací
Dále je třeba zajistit následující připojení:
1. Do infrastruktury Tetrapol (MSW) alespoň 10 Mbit/s
2. Do intranetu který má být zpřístupněn mobilním klientům
3. Do sítí používaných mobilních operátorů, ideálně formou VPN
Pokud bude využívána i aplikace AVL prostřednictvím sítě Tetrapol je třeba zajistit i připojení AVL
serveru. Toto připojení ale není nijak závislé na technologii CISCO a je předmětem standardního
řešení.
MSW
Tetrapol
Intranet
Tetrapol
CISCO 2911
Data
Broadband
Networks
Management Server
Installation Procedures
Serverová část
Tato část dokumentace popisuje základní konfiguraci serverové části PMDN. Pro detailnější
konfiguraci gatekeeperu je třeba znalost CISCO routeru a IOS příkazů. Ve výchozím nastavení je
adresový prostor VPN 10.0.0.0/16 a adresový prostor serverové části VPN je 10.0.0.0/24.
Gatekeeper
1. Zapojte router do sítě
2. Připojte se ke konzoli routeru (port CON) a spusťte program PMDN Gatekeeper installer.
3. Po spuštění programu prosím vyberte v menu Connection seriový port, do kterého je
připojena konzole routeru
Vyberte seriový port, do
kterého je připojen
konzolový kabel routeru.
4. Po zvolení portu budete vyzváni k zadání jména a hesla pro uživatele root routeru.
5. Po zadání správných přihlašovacích údajů je načtena a zobrazena aktuální konfigurace
routeru.
Načtená aktuální
konfigurace
6. V programu vyplňte požadovaná pole (hostname, ip adresu gatekeeperu ve vaší síti, adresu
výchozí brány) a klikněte na „Nahraj konfiguraci“. Tímto způsobem se provede inicializace
routeru pro potřeby.
Pole pro vyplnění
7. Po provedení změn je aplikujete na aktivní konfiguraci stiskem tlačítka Apply.
Tlačítko pro aplikaci
změn konfigurace
8. Provedené změny je pak třeba nahrát zpět do routeru, v tomto kroku jsou automaticky
provedeny a uloženy všechna potřebná nastavení.
Tlačítko pro uložení
konfigurace do
routeru
9. Po nahrátí konfigurace je možné odpojit PC od portu CON, router se automaticky rebootuje a
všechna nastavení budou od tohoto okamžiku platná.
10. Do konektoru s popiskem GE0/0 zapojte kabel s připojením do internetu
11. Do konektoru s popiskem GE0/1 zapojte zařízení, které má být v síti VPN. Na tomto portu je
nastaven DHCP server, který klientským zařízením automaticky přidělí IP adresu v rozsahu
10.0.0.11-255. Pokud vám toto nastavení nevyhovje je možné jej později změnit přímo
v konfiguraci routeru.
12. Do portu s popiskem GE0/2 zapojte kabel vedoucí ke Keymaster serveru.
13. Cílová konfigurace bude vypadat přibližně takto:
version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname centrum
!
boot-start-marker
boot-end-marker
!
!
enable secret 0 XXXXXXXXXXXXX
!
aaa new-model
!
!
aaa authentication login default local enable
aaa authorization exec default local if-authenticated
!
!
aaa session-id common
!
clock timezone CET 1 0
clock summer-time CEST recurring
!
no ipv6 cef
ip auth-proxy max-login-attempts 5
ip admission max-login-attempts 5
!
!
!
ip dhcp excluded-address 10.0.0.1 10.0.0.100
!
ip dhcp pool local-lan
network 10.0.0.0 255.255.255.0
default-router 10.0.0.1
!
!
ip cef
!
multilink bundle-name authenticated
!
crypto pki token default removal timeout 0
!
!
license udi pid CISCO2911/K9 sn FCZ13467189
license boot module c2900 technology-package uck9
!
!
username admin privilege 15 password 0 xxxxxxx
!
redundancy
!
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
!
crypto ipsec transform-set myset esp-aes esp-sha-hmac
!
!
crypto dynamic-map dynmap 10
set transform-set myset
match address crypto-acl
!
!
crypto map mymap 10 ipsec-isakmp dynamic dynmap
!
!
interface Loopback0
ip address 10.0.255.1 255.255.255.255
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
ip address 192.168.21.242 255.255.255.0
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 10.0.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/2
no ip address
shutdown
duplex auto
speed auto
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat inside source route-map nat2cell interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0
!
ip access-list extended crypto-acl
permit ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255
!
!
control-plane
!
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
password c
transport input all
line vty 5 15
password c
transport input all
!
scheduler allocate 20000 1000
ntp server 195.113.144.201
!
end
Keymaster Server
1. Připojte server do sítě
2. Do portu LAN0 zapojte linku k MSW sítě a v systému ji nakonfigurujte příslušnou adresu
3. Do portu LAN1 zapojte linku ke Gatekeeper routeru. Na rozhraní nakonfigurujte IP adresu
192.168.254.1
4. Spusťte instalační soubor PMDN Keymaster Server.exe a postupujte podle pokynů na
obrazovce. Bude nainstalována systémová služba PMDN Keymaster. Tato služba se spouští
automaticky se startem systému.
5. Spusťte konzoli Keymaster servderu a nastavte do pole Peer IP veřejnou adresu Gatekeeperu
6. Ve výchozím nastavení je server nakonfigurován tak, že přijímá požadavky na vytvoření VPN
od všech RT v síti, toto nastavení můžete změnit přidáním povolených RT do tabulky. Tabulka
umožňuje použití wildcard znaků v RFSI, takže je možné povolit např. všechny terminály
regionu zadáním „001*“ do pole RFSI
7. Po nastavení je třeba kliknout v konzoli Keymaster serveru na „Uložit“
Klientská část
Router
1. Připojte router CISCO 819 k napájení a zapněte jej.
2. Připojte se ke konzoli routeru (port CON)
3. a spusťte program PMDN client installer.
4. V programu vyplňte požadovaná pole (hostname, RFSI kemyasteru) a klikněte na „Nahraj
konfiguraci“. Tímto způsobem se provede inicializace routeru pro potřeby. Po nahrátí
konfigurace je možné odpojit PC od portu CON
5. Do portu s popiskem GE WAN 0 zapojte kabel s připojením do internetu. Na tomto portu je
DHCP klient, pomocí kterého se nastaví směrovací tabulka a interface.
6. Do portu s popiskem SERIAL připojte CISCO smart port kabel s redukcí DB25 -> DB9. Tento
kabel poté připojte k radiostanici ve vozidle.
7. Do portů FE0 až FE3 je možné zapojit zařízení, která mají být v síti VPN. Na těchto portech je
DHCP server s rozsahem 10.0.x.11-255.
8. Cílová konfigurace bude vypadat přibližně takto:
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname auto1
!
boot-start-marker
boot-end-marker
!
!
enable secret 0 XXXXXXXXXXXXX
!
aaa new-model
!
!
aaa authentication login default local enable
aaa authentication login lineauth none
aaa authorization exec default local if-authenticated
!
!
aaa session-id common
!
clock timezone CET 1 0
clock summer-time CEST recurring
crypto pki token default removal timeout 0
!
ip source-route
ip cef
!
!
ip dhcp excluded-address 10.0.1.1 10.0.1.100
ip dhcp pool local-lan
network 10.0.1.0 255.255.255.0
default-router 10.0.1.1!
!
no ipv6 cef
!
!
multilink bundle-name authenticated
chat-script GPRS "" "ATDT*98*4#" TIMEOUT 60 CONNECT
license udi pid C819G-U-K9 sn FCZ161292ZN
!
!
username admin privilege 15 password 0 XXXXXXX
!
controller Cellular 0
gsm gps mode standalone
!
!
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp keepalive 10 periodic
!
!
crypto ipsec transform-set myset esp-aes esp-sha-hmac
!
crypto map mymap 10 ipsec-isakmp
set peer 109.81.183.103
set transform-set myset
match address crypto-acl
!
!
!
interface Loopback0
ip address 192.168.255.2 255.255.255.0
ip virtual-reassembly in
!
interface Loopback1
description For PMDN agent
ip address 1.1.1.1 255.255.255.0
!
interface Cellular0
ip address negotiated
ip virtual-reassembly in
encapsulation ppp
shutdown
dialer in-band
dialer pool-member 1
async mode interactive
ppp chap refuse
ppp ipcp dns request
crypto map mymap
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface GigabitEthernet0
ip address dhcp
ip virtual-reassembly in
duplex auto
speed auto
crypto map mymap
!
interface Serial0
physical-layer async
no ip address
encapsulation slip
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip virtual-reassembly in
!
interface Dialer1
ip address negotiated
ip nat outside
ip virtual-reassembly in
encapsulation ppp
shutdown
dialer pool 1
dialer idle-timeout 0
dialer string GPRS
dialer-group 1
ppp ipcp dns request
crypto map mymap
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source route-map nat2cell interface GigabitEthernet0 overload
ip route 0.0.0.0 0.0.0.0 12.34.56.78 254
!
ip access-list extended crypto-acl
permit ip 192.0.0.0 0.255.255.255 192.0.0.0 0.255.255.255
!
dialer-list 1 protocol ip permit
!
!
!
!
control-plane
!
line con 0
line aux 0
line 3
script dialer GPRS
no exec
rxspeed 7200000
txspeed 5760000
line 7
session-timeout 5
no exec-banner
no vacant-message
login authentication lineauth
no activation-character
no exec
transport input telnet
stopbits 1
line vty 0 4
password 7 0205
length 0
transport input all
!
scheduler allocate 20000 1000
event manager environment PMDN_RTbaud 9600
event manager environment PMDN_gatekeeper 10.0.255.1
event manager environment PMDN_timeout 60
event manager environment PMDN_keymaster 123456789
event manager directory user policy "flash:/eem/policies"
event manager directory user library "flash:/eem/lib"
event manager policy pmdnagent.tcl
!
end