PROSECOM. Professional Secure Communications. Instalač ní př í řuč ka

PROSECOM Professional Secure Communications Instalač ní př í řuč ka

Obsah Úvod... 3 Hlavní přínosy... 3 Vlastnosti řešení... 4 Technologie... 4 Popis řešení... 5 Integrace na platformě CISCO... 6 Mobilní pracoviště... 6 Centrální pracoviště... 7 Installation Procedures... 8 Serverová část... 8 Gatekeeper... 8 Keymaster Server... 14 Klientská část... 15

Úvod Systém profesionální mobilní data umožňuje realizaci vysokorychlostních datových přenosů při současném zachování bezpečnosti na úrovni sítě Tetrapol. Systém umožňuje realizaci datových přenosů, nejvyšší dostupnou rychlostí při součastném zachování vysokých bezpečnostních standardů a požadavků na utajení v bezpečných sítích. Hlavní přínosy Technologie profesionální mobilní data přináší oproti stávajícímu stavu následující výhody: Možnost zavedení nových mobilních datových služeb vyžadující větší objemy dat Možnost plnohodnotného vzdáleného přístupu do sítí Intranet Výrazné zrychlení odezvy systému při dotazech do databází Výrazné zvýšení celkové kapacity v systému mobilních datových služeb Optimalizace a snížení zatížení datového provozu v síti Tetrapol Výrazné zvýšení propustnosti celého systému (zvýšení rychlosti) Výrazné zkrácení reakčních časů (doby čekání na odpověď) Spolehlivá zpětná vazba (jasná diagnostika přenosu přijetí a zpracování dotazu a přenosu jeho výsledku) Systém, je založen na technologii, která je předmětem ochrany duševního vlastnictví (patent PÚV) umožňuje realizaci systémů vzdáleného přístupu k datům, které doposud nebylo možno realizovat žádným jiným způsobem. Mezi tyto aplikace patří například: Aplikace přenosu rozsáhlých taktických informací, jako například map, situačních plánů, fotografií, popisů událostí, atd. Průběžné monitorování aktivity terminálů včetně jejich provozního stavu, datových přenosů a polohy Koordinace a hromadná distribuce informací rozsáhlým týmům Přímý vzdálený přístup do intranetu

Vlastnosti řešení Mezi základní vlastnosti našeho řešení profesionálních mobilních služeb patří: Zabezpečení dat odpovídající bezpečnosti sítě Tetrapol Přenosová rychlost odpovídající maximální komerčně dostupné přenosové rychlosti pro mobilní data Plná kompatibilita s platformami Windows, WCE, Windows Mobile, Linux, Android Technologie je plně kompatibilní s novým standardem MDT společnosti Cassidian, cílové řešení tedy může být bez problémů validováno Technologie je ověřena se všemi typy terminálů sítě Tetrapol Technologie Použitá chráněná technologie kombinuje bezpečné a širokopásmové komunikační kanály takovým způsobem, aby měl uživatel pocit, že má k dispozici jediný širokopásmový bezpečný komunikační prostředek. Systém vytváří bezpečnou virtuální privátní síť v prostředí vysokorychlostní sítě Veškeré informace související se sestavením bezpečného spojení tedy zejména s klíči a certifikáty pro přístup do VPN jsou přenášeny sítí Tetrapol Systém je rovněž zabezpečen proti případnému výpadku vysokorychlostní sítě (například z důvodu přírodní katastrofy, výstupu z pokrytí, atd.). V takovém případě systém buďto přenese veškerá data prostřednictvím bezpečné sítě anebo umožní uživateli zpřesnit dotaz a omezit tak přenášený objem dat. Intranet Data Intranet Data VPN

Popis řešení 1. Klientský vzdálený počítač je připojen k bráně standardním síťovým rozhraním. 2. Při prvním požadavku klientské aplikace na přístup do adresového prostoru intranetu vyšle brána prostřednictvím sítě Tetrapol žádost o otevření spojení a přidělení přístupových certifikátů. 3. Komplementární brána umístěná v prostoru intranetu přijme požadavek ze sítě Tetrapol a vygeneruje jednorázové klíče pro VPN připojení. 4. Klíče spolu s příslušnými certifikáty jsou přeneseny prostřednictvím sítě Tetrapol a předány vzdálené bráně. 5. Vzdálená brána otevře VPN spojení 6. Klientská aplikace má plný přístup k intranetu Platnost jednorázových klíčů je časově omezená, po vypršení platnosti klíče jsou automaticky aktualizovány prostřednictvím sítě Tetrapol. Při delší neaktivitě spojení z kterékoli strany je VPN síť automaticky uzavřena a platnost klíčů zrušena. Tato architektura využívající pro přenos klíčů a zprávu klíčového hospodářství oddělenou, bezpečnou komunikační síť, zcela znemožňuje prolomení bezpečnosti útokem na klíčové hospodářství. Úroveň samotné šifry pak zcela vyhoví požadavkům na military grade security. Intranet Data Gatekeeper Broadband Network 5. VPN Tunnel Mobile Gatekeeper Keymaster 1. Connection request 3. Keys and certificates Tetrapol 4. Keys and certificates 2. Connection request

Integrace na platformě CISCO Integrace technologie PMD na platformě CISCO přináší následující výhody: Plná integrace technologie v CISCO routeru Přímé propojení Routeru a radiového terminálu Tetrapol kabelem bez dalších prvků Všechny bezpečnostní prvky (klíče, certifikáty i nastavení) jsou přeneseny sítí Tetrapol Šifrování a správa VPN na úrovni hardwarového zařízení Možnost využití vestavěné GPS v routeru CISCO pro aplikace AVL prostřednictvím Tetrapolu bez dalšího hardware Možnost využití několika operátorů a to jak alternativně tak souběžně Možnost využití satelitního spojení (při doplnění o příslušný hardware) Možnost využití datových funkcí Tetrapol pro záložní spojení Snadná instalace a nastavení Centrální správa zařízení Centrální správa oprávnění Mobilní pracoviště Mobilní pracoviště se skládá z následujících prvků: 1. CISCO 819 Mobilní router vybavený GSM modemy, GPS a PMD aplikací 2. Radiostanice Tetrapol 3. Propojovací kabel Antennas for GSM & GPS CISCO 819 mobile router with PMD application User PC with full access to Intranet. Tetrapol car terminal Direct connection Secured connection.

Centrální pracoviště Centrální pracoviště se skládá z následujících prvků: 1. CISCO Router (např. 2911) 2. Server (1U) pro údržbu databází oprávnění, zařízení a správu konfigurací Dále je třeba zajistit následující připojení: 1. Do infrastruktury Tetrapol (MSW) alespoň 10 Mbit/s 2. Do intranetu který má být zpřístupněn mobilním klientům 3. Do sítí používaných mobilních operátorů, ideálně formou VPN Pokud bude využívána i aplikace AVL prostřednictvím sítě Tetrapol je třeba zajistit i připojení AVL serveru. Toto připojení ale není nijak závislé na technologii CISCO a je předmětem standardního řešení. Intranet CISCO 2911 MSW Tetrapol Tetrapol Data Broadband Networks Management Server

Installation Procedures Serverová část Tato část dokumentace popisuje základní konfiguraci serverové části PMDN. Pro detailnější konfiguraci gatekeeperu je třeba znalost CISCO routeru a IOS příkazů. Ve výchozím nastavení je adresový prostor VPN 10.0.0.0/16 a adresový prostor serverové části VPN je 10.0.0.0/24. Gatekeeper 1. Zapojte router do sítě 2. Připojte se ke konzoli routeru (port CON) a spusťte program PMDN Gatekeeper installer.

3. Po spuštění programu prosím vyberte v menu Connection seriový port, do kterého je připojena konzole routeru Vyberte seriový port, do kterého je připojen konzolový kabel routeru. 4. Po zvolení portu budete vyzváni k zadání jména a hesla pro uživatele root routeru.

5. Po zadání správných přihlašovacích údajů je načtena a zobrazena aktuální konfigurace routeru. Načtená aktuální konfigurace 6. V programu vyplňte požadovaná pole (hostname, ip adresu gatekeeperu ve vaší síti, adresu výchozí brány) a klikněte na Nahraj konfiguraci. Tímto způsobem se provede inicializace routeru pro potřeby. Pole pro vyplnění

7. Po provedení změn je aplikujete na aktivní konfiguraci stiskem tlačítka Apply. Tlačítko pro aplikaci změn konfigurace 8. Provedené změny je pak třeba nahrát zpět do routeru, v tomto kroku jsou automaticky provedeny a uloženy všechna potřebná nastavení. Tlačítko pro uložení konfigurace do routeru 9. Po nahrátí konfigurace je možné odpojit PC od portu CON, router se automaticky rebootuje a všechna nastavení budou od tohoto okamžiku platná. 10. Do konektoru s popiskem GE0/0 zapojte kabel s připojením do internetu 11. Do konektoru s popiskem GE0/1 zapojte zařízení, které má být v síti VPN. Na tomto portu je nastaven DHCP server, který klientským zařízením automaticky přidělí IP adresu v rozsahu 10.0.0.11-255. Pokud vám toto nastavení nevyhovje je možné jej později změnit přímo v konfiguraci routeru. 12. Do portu s popiskem GE0/2 zapojte kabel vedoucí ke Keymaster serveru. 13. Cílová konfigurace bude vypadat přibližně takto: version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption

hostname centrum boot-start-marker boot-end-marker enable secret 0 XXXXXXXXXXXXX aaa new-model aaa authentication login default local enable aaa authorization exec default local if-authenticated aaa session-id common clock timezone CET 1 0 clock summer-time CEST recurring no ipv6 cef ip auth-proxy max-login-attempts 5 ip admission max-login-attempts 5 ip dhcp excluded-address 10.0.0.1 10.0.0.100 ip dhcp pool local-lan network 10.0.0.0 255.255.255.0 default-router 10.0.0.1 ip cef multilink bundle-name authenticated crypto pki token default removal timeout 0 license udi pid CISCO2911/K9 sn FCZ13467189 license boot module c2900 technology-package uck9 username admin privilege 15 password 0 xxxxxxx redundancy crypto isakmp policy 10 encr aes authentication pre-share group 2 crypto ipsec transform-set myset esp-aes esp-sha-hmac crypto dynamic-map dynmap 10 set transform-set myset match address crypto-acl crypto map mymap 10 ipsec-isakmp dynamic dynmap

interface Loopback0 ip address 10.0.255.1 255.255.255.255 interface Embedded-Service-Engine0/0 no ip address shutdown interface GigabitEthernet0/0 ip address 192.168.21.242 255.255.255.0 ip nat outside ip virtual-reassembly in duplex auto speed auto interface GigabitEthernet0/1 ip address 10.0.0.1 255.255.255.0 ip nat inside ip virtual-reassembly in duplex auto speed auto interface GigabitEthernet0/2 no ip address shutdown duplex auto speed auto ip forward-protocol nd no ip http server no ip http secure-server ip nat inside source route-map nat2cell interface GigabitEthernet0/0 overload ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0 ip access-list extended crypto-acl permit ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255 control-plane line con 0 line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password c transport input all line vty 5 15 password c transport input all scheduler allocate 20000 1000 ntp server 195.113.144.201 end

Keymaster Server 1. Připojte server do sítě 2. Do portu LAN0 zapojte linku k MSW sítě a v systému ji nakonfigurujte příslušnou adresu 3. Do portu LAN1 zapojte linku ke Gatekeeper routeru. Na rozhraní nakonfigurujte IP adresu 192.168.254.1 4. Spusťte instalační soubor PMDN Keymaster Server.exe a postupujte podle pokynů na obrazovce. Bude nainstalována systémová služba PMDN Keymaster. Tato služba se spouští automaticky se startem systému. 5. Spusťte konzoli Keymaster servderu a nastavte do pole Peer IP veřejnou adresu Gatekeeperu 6. Ve výchozím nastavení je server nakonfigurován tak, že přijímá požadavky na vytvoření VPN od všech RT v síti, toto nastavení můžete změnit přidáním povolených RT do tabulky. Tabulka umožňuje použití wildcard znaků v RFSI, takže je možné povolit např. všechny terminály regionu zadáním 001* do pole RFSI 7. Po nastavení je třeba kliknout v konzoli Keymaster serveru na Uložit

Klientská část Router 1. Připojte router CISCO 819 k napájení a zapněte jej. 2. Připojte se ke konzoli routeru (port CON)

3. a spusťte program PMDN client installer. 4. V programu vyplňte požadovaná pole (hostname, RFSI kemyasteru) a klikněte na Nahraj konfiguraci. Tímto způsobem se provede inicializace routeru pro potřeby. Po nahrátí konfigurace je možné odpojit PC od portu CON 5. Do portu s popiskem GE WAN 0 zapojte kabel s připojením do internetu. Na tomto portu je DHCP klient, pomocí kterého se nastaví směrovací tabulka a interface. 6. Do portu s popiskem SERIAL připojte CISCO smart port kabel s redukcí DB25 -> DB9. Tento kabel poté připojte k radiostanici ve vozidle. 7. Do portů FE0 až FE3 je možné zapojit zařízení, která mají být v síti VPN. Na těchto portech je DHCP server s rozsahem 10.0.x.11-255. 8. Cílová konfigurace bude vypadat přibližně takto: version 15.1 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption hostname auto1 boot-start-marker boot-end-marker enable secret 0 XXXXXXXXXXXXX aaa new-model aaa authentication login default local enable aaa authentication login lineauth none aaa authorization exec default local if-authenticated aaa session-id common clock timezone CET 1 0 clock summer-time CEST recurring crypto pki token default removal timeout 0 ip source-route ip cef ip dhcp excluded-address 10.0.1.1 10.0.1.100 ip dhcp pool local-lan network 10.0.1.0 255.255.255.0 default-router 10.0.1.1 no ipv6 cef multilink bundle-name authenticated chat-script GPRS "" "ATDT*98*4#" TIMEOUT 60 CONNECT license udi pid C819G-U-K9 sn FCZ161292ZN username admin privilege 15 password 0 XXXXXXX

controller Cellular 0 gsm gps mode standalone crypto isakmp policy 10 encr aes authentication pre-share group 2 crypto isakmp keepalive 10 periodic crypto ipsec transform-set myset esp-aes esp-sha-hmac crypto map mymap 10 ipsec-isakmp set peer 109.81.183.103 set transform-set myset match address crypto-acl interface Loopback0 ip address 192.168.255.2 255.255.255.0 ip virtual-reassembly in interface Loopback1 description For PMDN agent ip address 1.1.1.1 255.255.255.0 interface Cellular0 ip address negotiated ip virtual-reassembly in encapsulation ppp shutdown dialer in-band dialer pool-member 1 async mode interactive ppp chap refuse ppp ipcp dns request crypto map mymap interface FastEthernet0 no ip address interface FastEthernet1 no ip address interface FastEthernet2 no ip address interface FastEthernet3 no ip address interface GigabitEthernet0 ip address dhcp ip virtual-reassembly in duplex auto speed auto crypto map mymap interface Serial0 physical-layer async no ip address encapsulation slip

interface Vlan1 ip address 192.168.1.1 255.255.255.0 ip virtual-reassembly in interface Dialer1 ip address negotiated ip nat outside ip virtual-reassembly in encapsulation ppp shutdown dialer pool 1 dialer idle-timeout 0 dialer string GPRS dialer-group 1 ppp ipcp dns request crypto map mymap ip forward-protocol nd no ip http server no ip http secure-server ip dns server ip nat inside source route-map nat2cell interface GigabitEthernet0 overload ip route 0.0.0.0 0.0.0.0 12.34.56.78 254 ip access-list extended crypto-acl permit ip 192.0.0.0 0.255.255.255 192.0.0.0 0.255.255.255 dialer-list 1 protocol ip permit control-plane line con 0 line aux 0 line 3 script dialer GPRS no exec rxspeed 7200000 txspeed 5760000 line 7 session-timeout 5 no exec-banner no vacant-message login authentication lineauth no activation-character no exec transport input telnet stopbits 1 line vty 0 4 password 7 0205 length 0 transport input all scheduler allocate 20000 1000 event manager environment PMDN_RTbaud 9600 event manager environment PMDN_gatekeeper 10.0.255.1 event manager environment PMDN_timeout 60 event manager environment PMDN_keymaster 123456789 event manager directory user policy "flash:/eem/policies" event manager directory user library "flash:/eem/lib" event manager policy pmdnagent.tcl

end