Способы управления

Управление и настройка системы ARMA Стена осуществляется следующими способами:

  • Локальный доступ — реализуется через стандартную или последовательную консоль (RS-232). Данный метод предоставляет доступ только к командному интерпретатору (CLI).

  • Удалённый доступ — по протоколу SSH с использованием SSH-клиента (например PuTTY). Обеспечивает доступ к командному интерфейсу CLI.

  • Доступ через ПО ARMA МС — часть конфигурационных операций может быть выполнена с использованием программного обеспечения ARMA Management Console (МС), которая предоставляет доступ к веб-интерфейсу системы ARMA Стена.

Последовательная консоль

При подключении через консольный порт (RS-232) используются следующие параметры:

  • скорость: 115200 бит/с;

  • без контроля чётности (No parity);

  • 8 бит данных (8 data bits);

  • 1 стоповый бит (1 stop bits).

Примечание

При использовании USB-переходников, в которых, как правило, применяется программная эмуляция последовательного порта без аппаратного управления потоком, рекомендуется устанавливать скорость передачи данных на уровне 9600 бит/с.

Команды конфигурации последовательной консоли:

  1. Определить устройство, используемое в качестве последовательной консоли:

    admin@ngfwos:~$ conf
[edit]
admin@ngfwos# set system console device <устройство>
admin@ngfwos# commit
admin@ngfwos# save

    Поддерживаемые типы устройств:

    • ttySN — последовательный порт (например, ttyS0);

    • ttyUSBX — USB-адаптер последовательного порта (например, ttyUSB0);

    • hvc0 — консоль Xen (виртуальная машина).

  2. Установить скорость передачи данных:

    admin@ngfwos:~$ conf
[edit]
admin@ngfwos# set system console device <устройство> speed <скорость>
admin@ngfwos# commit
admin@ngfwos# save

    Допустимые значения скорости:

    • 1200;

    • 2400;

    • 4800;

    • 9600;

    • 19200;

    • 38400 - по умолчанию для Xen-консоли;

    • 57600;

    • 115200 - по умолчанию для последовательного порта.

SSH подключение

Сервер SSH обеспечивает безопасный удалённый доступ к управлению функциями локального консольного интерфейса ARMA Стена.

Для осуществления удалённого подключения рекомендуется использовать любой SSH-клиент, поддерживающий аутентификацию с использованием пароля.

Для включения SSH необходимо выполнить следующую команду в конфигурационном режиме:

admin@ngfwos:~$ conf
[edit]
admin@ngfwos# set service ssh port 22
admin@ngfwos# commit
admin@ngfwos# save

где «22» – назначаемый порт. Возможно указать значение порта в диапазоне от «1» до «65535».

Для указания IP-адреса, прослушиваемого сервисом «SSH», необходимо ввести команду:

admin@ngfwos:~$ conf
[edit]
admin@ngfwos# set service ssh listen-address 192.168.2.11
admin@ngfwos# commit
admin@ngfwos# save

где «192.168.2.11» – IP-адрес прослушивания сервисом «SSH», приведён в качестве примера. Возможно указать IP-адрес в формате IPv4 или IPv6.

Для указания алгоритма шифрования необходимо выполнить команду:

admin@ngfwos:~$ conf
[edit]
admin@ngfwos# set service ssh ciphers aes128-ctr
admin@ngfwos# commit
admin@ngfwos# save

где «aes128-ctr» – алгоритм шифрования, приведён в качестве примера.

Поддерживаются следующие алгоритмы шифрования:

  • 3des-cbc;

  • aes128-cbc;

  • aes128-ctr;

  • aes128-gcm@openssh.com;

  • aes192-cbc;

  • aes192-ctr;

  • aes256-cbc;

  • aes256-ctr;

  • aes256-gcm@openssh.com;

  • chacha20-poly1305@openssh.com;

  • rijndael-cbc@lysator.liu.se.

Примечание

Всем пользовательским учётные записи, кроме «admin», закрыт доступ по протоколам SCP и SFTP. Доступ УЗ «admin» к домашним каталогам других пользователей запрещён.

Для указания разрешённого алгоритма подписи открытого ключа необходимо выполнить команду:

admin@ngfwos:~$ conf
[edit]
admin@ngfwos# set service ssh pubkey-accepted-algorithm <algorithm>
admin@ngfwos# commit
admin@ngfwos# save

где <algorithm> – имя разрешённого алгоритма подписи.

Поддерживаются следующие алгоритмы:

  • ecdsa-sha2-nistp256;

  • ecdsa-sha2-nistp256-cert-v01@openssh.com;

  • ecdsa-sha2-nistp384;

  • ecdsa-sha2-nistp384-cert-v01@openssh.com;

  • ecdsa-sha2-nistp521;

  • ecdsa-sha2-nistp521-cert-v01@openssh.com;

  • rsa-sha2-256;

  • rsa-sha2-256-cert-v01@openssh.com;

  • rsa-sha2-512;

  • rsa-sha2-512-cert-v01@openssh.com;

  • sk-ecdsa-sha2-nistp256-cert-v01@openssh.com;

  • sk-ecdsa-sha2-nistp256@openssh.com;

  • sk-ssh-ed25519-cert-v01@openssh.com;

  • sk-ssh-ed25519@openssh.com;

  • ssh-dss;

  • ssh-dss-cert-v01@openssh.com;

  • ssh-ed25519;

  • ssh-ed25519-cert-v01@openssh.com;

  • ssh-rsa;

  • ssh-rsa-cert-v01@openssh.com;

  • webauthn-sk-ecdsa-sha2-nistp256@openssh.com.

Для перезапуска службы SSH необходимо в эксплуатационном режиме ввести следующую команду:

admin@ngfwos:~$ restart ssh

Веб-интерфейс

ARMA Стена поставляется с базовым интерфейсом командной строки (CLI), обеспечивающим полный доступ к настройкам системы. Для удобства настройки и контроля работы системы ARMA Стена предусмотрена интеграция с ПО ARMA Management Console начиная с версии 1.8, которая предоставляет доступ к графическому интерфейсу пользователя (GUI) системы ARMA Стена.

Для обеспечения взаимодействия между ARMA МС и устройством ARMA Стена требуется выполнить активацию системы (см. Управление лицензией) и установить API-ключ для HTTP-запросов.

Для создания и установки API-ключа необходимо ввести следующую команду в конфигурационном режиме:

admin@ngfwos# set service https api keys user <УЗ> key <key>

где:

  • <УЗ> - имя локальной учётной записи в системе ARMA Стена;

  • <key> - пользовательский пароль (API-ключ) для локальной учётной записи <УЗ>. Данные параметры будут использоваться для взаимодействия с МС.

Примечание

При использовании API-ключа, ассоциированного с учётной записью, имеющей ограниченные привилегии в системе ARMA Стена (см. раздел «Настройка временной блокировки УЗ» настоящего руководства), уровень доступа к функциональным возможностям веб-интерфейса ARMA Стена в составе ARMA МС определяется набором разрешений, назначенных данной учётной записи.

Если учётная запись не обладает достаточными правами для доступа к определённому разделу или операции в веб-интерфейсе ARMA Стена, то поведение системы будет зависеть от версии ARMA МС:

в ARMA МС версии 2.0 и выше — в левом нижнем углу интерфейса отображается уведомление о запрете доступа;

в ARMA МС версии 1.8 и ниже — при попытке выполнить операцию, требующую недостающих прав, возвращается сообщение об ошибке: «Request failed with status code 500».

Доступ к веб-интерфейсу ARMA Стена через ARMA МС запрещён для учётных записей, которым не назначен класс доступа или которые принадлежат к классу, не включающему разрешённые команды. В таких случаях система блокирует подключение и отображает соответствующее сообщение о недостатке прав.

Примечание

Рекомендуется использовать API-ключ, привязанный к учётной записи из класса «NGFW_Administrators», либо применять встроенную учётную запись «admin», обладающую полными правами. Если при установке системы ARMA Стена для учётной записи «admin» был задан API-ключ, и предполагается использование этой учётной записи для подключения из МС, повторное выполнение команды «set service https api keys …» не требуется. В этом случае будет использоваться ключ, указанный в процессе инсталляции.

Применить настройки командой commit:

admin@ngfwos# commit

WARNING: No certificate specified, using build-in self-signed
certificates. Do not use them in a production environment!

[ service https ]

WARNING: No certificate specified, using build-in self-signed
certificates. Do not use them in a production environment!

Сохранить конфигурацию командой save:

admin@ngfwos# save

Для подключения ARMA Стена к МС необходимо выполнить следующие шаги:

  1. Авторизоваться в веб-интерфейсе МС.

  2. Выбрать раздел меню «Администрирование», затем – подраздел «Источники» (см. Рисунок – Источники).

../../../../../_images/ngfw.r.cli.preparation.connection_3.1.png

Рисунок – Источники

  1. В панели инструментов нажать кнопку «+ Добавить».

  2. В открывшейся карточке «Добавление источника» выбрать тип источника «NGFW» и указать значения следующих параметров (см. Рисунок – Добавление нового источника событий «NGFW»):

    • «Наименование» – отображаемое в МС имя устройства. Параметр может содержать только латинские и кириллические буквы, пробел, спецсимволы («.», «_», «-») и не может превышать 128 символов;

    • «IP-адрес» – IP-адрес подключаемой ARMA Стена;

    • «Логин пользователя» – ввести имя учётной записи (<УЗ>), используемой для создания API-ключа в системе ARMA Стена;

    • «API-Ключ» – ввести пароль (<key>), указанный при создании API-ключа для учётной записи (<УЗ>) в ARMA Стена;

    • «Порт» – значение порта входящих логов. Указываются порты в диапазоне от «1500» до «65535». Значение должно быть уникальным, не заданным ранее в источниках МС.

    При необходимости заполнить поле «Описание» дополнительной информацией об устройстве. Поле может содержать не более 250 символов.

    ../../../../../_images/ngfw.r.cli.preparation.connection_3.2.png

    Рисунок – Добавление нового источника событий «NGFW»

После сохранения настроек в столбе «Статус» таблицы «Источники» отобразится значение «Подключено». При указании неверных учётных данных ARMA МС отобразит статус «Не авторизован». Статус «Ошибка» отображается, если произошла ошибка, которая может быть связана с аппаратным или программным обеспечением источника «NGFW», а также при использовании данных несуществующей локальной учётной записи в ARMA Стена.