LOGICENTRUM,s.r.o. Data synchronisation, EDI, inventory management Vinohrady 210, 664 61 Rebešovice, Czech, European Union admin@logicentrum.cz, +420603427163 Návod k instalaci stanice Virtuální Privátní Sítě Logicentra Proč používat k elektronickému obchodu speciálně chráněnou komunikační síť. Jednoduše, protože důležitost standardních obchodních dokladů si to zaslouží. Jestliže obchodní řetězec účtuje za nepokrytou objednávku penále a současně dodavatel přijde o tržbu za ni, je hazardem nechat si posílat obchodní transakce třeba E-mailem přes 3 poštovní operátory, z nichž žádný za doručení nenese žádnou odpovědnost. E-maily jsou v poslední době zapleveleny obrovským množstvím obtěžujících nabídek a bohužel také zásilkami s přílohami zničujících počítačových virů. Nikdo odpovědný si dnes nedovolí připojit podnikový informační systém na Internet bez ochrany vůči neoprávněnému přístupu. Každou vteřinu ohledávají speciální programy dostupné IP adresy připojených počítačů a hledají bezpečnostní díry a otevřené komunikační porty. I deset minut stačí, aby Vám tak byl do nezabezpečeného počítače nainstalován nějaký program, nad jehož následky se třeba za půl roku nestačíte divit. Od počítačových virů, které zlomyslně rozešlou Vaše důvěrné soubory po celém světě po programy, tiše nahrávající Vaše psaní na klávesnici včetně bezpečnostních hesel a odesílající je lidem, prodávajícím informace o Vaší společnosti. Internet je, podobně jako oheň, dobrý sluha a zlý pán. Musíme velice dobře promyslet, jak z něj získat pro sebe maximum z jeho možností a nepopálit se. WWW stránky a E-maily jsou rizikovým komunikačním kanálem, který navíc vyžaduje osobní asistenci člověka. Pravá EDI komunikace má běžet zcela automaticky a bezpečně a tam máme prostě jedinou možnost, propojit přímo jen známé a přesně identifikované počítače a zasílat jen textové soubory, nikoliv programy. Bezpečnost VPN LOGICENTRA Virtuální privátní sítě (dále VPN) jsou moderními nástupci kdysi uzavřených a velmi drahých komunikačních sítí, používaných pro EDI na bázi protokolu X.25, X,400 a dalších. Využívají komunikačního protokolu TCP/IP, typického pro Internet, který je doplněn velmi výkonným šifrováním mezi partnery vzniká šifrovaný tunel, ve kterém se zpráva jako celek vůbec nevyskytuje. Je roztříštěna do množství šifrovaných kousíčků (packetů), která navíc mohou putovat v různém čase různými cestami Internetu. Skládají se až na FTP serveru LOGICENTRA a po složení se teprve dešifrují. Vaše FTP stanice a FTP server LOGICENTRA si navíc zprávy pošlou teprve po autentizaci svými veřejnými klíči, takže je nemožné odposlouchávat i šifrovanou komunikaci na jiném místě Internetu. Způsob zabezpečení Vašich dat ve VPN LOGICENTRA je tak dobrý, že splnil požadavky nejen velkých obchodních řetězců, ale i bankovnictví a armády. Instalace Odpovědný pracovník Logicentra Vám po registraci a zaplacení nákladů zřízení Vaší stanice VPN zašle konfigurační soubor v šifrovaném samorozbalovacím archivu. Konfigurační soubor obsahuje Váš šifrovací a dešifrovací klíč, proto je sám také šifrovaný v samorozbalovacím archivu. Dešifrujete a rozbalíte ho zadáním hesla, které dostala při uzavření smlouvy o EDI komunikaci osoba, zplnomocněná vystupovat v EDI za Vaši společnost. Samorozbalovací archivy jsou programy a nelze je posílat běžně E-mailem, protože by je řada antivirových programů jako nebezpečné zadržela. Proto bude mít soubor pro Vás změněnou příponu z.exe na něco jiného. Po doručení souboru ho proto uložte na disk do adresáře se soubory LOGICENTRA (typicky do C:\EDILGC\), volbou ULOŽIT JAKO a hned při ukládání přejmenujte příponu na EXE. Vlastní komunikační program si prosím stáhněte z ftp://ftp.ediport.cz/ftport.exe, nebo z adresy jeho výrobce http://www.aion.cz/ Program opět uložte do adresáře se soubory LOGICENTRA na Vašem počítači a spusťte kliknutím myší. Stránka 1
Spustí se instalace DEMO verze. Program má texty zatím jen v češtině, ale nebojte se, dále Vám význam textů přeložíme do angličtiny Na všechny otázky programu odpovězte ANO (YES), po instalaci programu ho zavřete a znovu spusťte. Popis ovládacího Menu programu. V prvním řádku nahoře vidíte Menu k nastavení programu. Okno LOG stanice V tomto okně se ukazuje aktuální průběh komunikační události a hlášení případných problémů. Všechno se zapisuje také do souboru. Na začátku každé komunikační události se zobrazuje také identifikace licence stanice. Po instalaci programu najdete za Oprávněný uživatel jen DEMO což znamená DEMONSTRAČNÍ UŽIVATEL. Licence stanice je zapsána v souboru FTPORTRG.KEY a hned s ní soukromý podpisový klíč. Demonstrační soukromý klíč, který se Vám hlásí hned po instalaci pochopitelně není tajný a tak ho nemůžete použít k ničemu jinému, než k seznámení s funkcemi a možnostmi programu. Váš tajný, ostrý licenční a podpisový klíč musíte dostat z Logicentra. Až ho dostanete, přepíšete v instalačním adresáři programu původní DEMO klíč tímto tajným (blíže v odstavci Konfigurace) Okno Seznam stanic V tomto okně dole je v prvním řádku vedle ikonky počítače název této stanice (na příkladu vlevo LOGI9). Na dalších řádcích jsou názvy stanic, se kterými tato stanice komunikuje. Program umožňuje nastavit neomezený počet FTP spojení. Pro EDI komunikaci s využitím služeb Logicentra budete potřebovat jen jedinou, ale ty další můžete využít pro spojení se svými sklady a prodejnami. Stránka 2
S každou stanicí se dá komunikovat jinak a nastavit pro ni zvláštní pravidla. To se nastavuje, když myší označíte stanici, zvolíte pravým tlačítkem VLASTNOSTI Na kartě Obecné se nastavuje Název a ID licence stanice, na tlačítku NASTAVENÍ se nastavuje FTP adresa volané stanice, heslo k přihlášení a pokud má tato stanice komunikovat přes firewall, tak se tu objeví políčko k zatržení Používat firewall. Z Logicentra máte nastaveno bez firewalu, u stanice LOGICENTRUM měla být adresa ftp.ediport.cz, u stanice LOGICENTRUM1 adresa www.logicentrum.cz. Na kartě DÁVKY se dá nastavit cesta k dávkovým příkazům pro propojení činnosti komunikační stanice s vaším informačním systémem. Akce, která se provede, pokud byly odeslány nějaké soubory. Tato akce se spustí po přenosu všech souborů, které byly nachystány v adresáři pro odeslání. Akce po každém úspěšně přijatém souboru. To je velmi používaný dávkový příkaz, kterým se dá každý doručený soubor po jednom hned importovat do informačního systému a vymazat z adresáře. Teprve pak se pustí další import. Akce, která se provede, pokud byly přijaty nějaké soubory.tady můžete nastavit začátek hromadného importu potom, co se doručí všechny soubory Karta ZABEZPEČENÍ (Securing) je nastavena z LOGICENTRA, nic na ní neměňte. Okno Událost. Vpravo dole máte okno se seznamem komunikačních událostí. U každé se dá nastavit, se kterými stanicemi má být navázáno spojení a kdy a také tady máte možnost navázat na událost dávkové příkazy pro koordinaci s Vaším informačním systémem. K nastavení Vlastností se dostanete kliknutím myší na některou událost a stiskem pravého tlačítka myši: Stránka 3
Vysvětlíme si jen Vlastnosti V tomto jemném nastavení vlastností každé komunikační události se může spustit např. pro soubory, přijaté z každé stanice, speciální dávkový příkaz, který změní formát, typický pro tuto stanici na formát importovaný Vaším informačním systémem. Tuto službu Vám zajišťuje Logicentrum, takže vy nejspíše vystačíte s nastavením dávkových příkazů, vázaných na stanici LOGICENTRUM v okně SEZNAM STANIC. Hustotu komunikačních událostí můžete snadno zvyšovat kopírováním existujících (a fungujících) událostí a tak se vyvarovat opakovaných nastavení případných cest k dávkovým souborům. Po stisku volby Kopírovat událost se Vám Nová událost objeví na začátku seznamu. Klikněte na ni myší, zvolte Vlastnosti a přejmenujte ji. Nezapomeňte zatrhnout volbu Povolit událost a nastavit čas. Spíše je ale na místě zvážit rozumnou četnost připojení, zvláště pokud se připojujete vytáčeným spojením a s každým nepotřebným voláním Vám naskakují náklady. Většina obchodních řetězců odesílá hromadné objednávky do 5 hodiny ranní a v průběhu dne už jen dodatky. Také Logicentru není docela jedno, jak často se připojujete, i když náš server zvládne až 256 současných připojení. Proto Vám nastavujeme časy rovnoměrně rozdělené v denní době. Pokud to tedy není nutné, nastavení komunikačních událostí nechejte tak, jak Vám dodá Logicentrum. Konfigurace. Jak jsme se již zmínili na začátku, po instalaci máte od výrobce nastavenu jen výchozí DEMO konfiguraci programu. K práci je nepoužitelná. DEMO verze se změní v trvalou verzi importem licenčního klíče Logicentra a odzkoušených konfiguračních souborů, které jste dostali z LOGICENTRA v šifrované zásilce. S načtením těchto konfiguračních souborů se současně nastaví téměř vše pro šifrovanou komunikaci s FTP serverem LOGICENTRA. Nenastaví se pouze to, co závisí na Vašich podmínkách, avšak snadno to zvládnete sami. 1. Po rozbalení zaslaného souboru s konfigurací v něm najdete jednu kompletní odzkoušenou zálohu konfigurace s příponou ZIP. 2. Nyní musíme v instalačním adresáři programu přepsat původní DEMO klíč FTPORTRG.KEY a DEMO konfiguraci. To uděláte tak, že soubory konfigurace rozbalíte do PROGRAM FILES\IRONWARE COMMUNICATION\IW FTPORT MAILER\. Protože některé DEMO soubory mají atribut ARCHIVE, Windows se Vás zeptají, jestli je mají skutečně přepsat. Budete s tím souhlasit. 3. Spusťte znovu program FT Port mailer (Start,Programs,Ironware communication,ftport mailer) 4. V okénku s hlášením průběhu funkcí programu by se Vám při startu s novou konfigurací již měl hlásit program s hlášením USER: LOGInnn. Nesmí tam být DEMO USER, protže na toho není na přijímacím serveru nastavena autentizace veřejným klíčem. 5. Pokud máte úspěšně načtenou základní konfiguraci z LOGICENTRA, provedeme nastavení podle Vašich podmínek. Nejprve musíme programu zadat, jak se bude připojovat na Internet. Zvolte NASTAVENÍ, MOŽNOSTI,PŘIPOJENÍ K ISP (Internet Service Provider). Pokud máte pevnou linku, ponecháte Žádné připojení. Stránka 4
Pokud máte vytáčené připojení telefonem přes modem (Dial-up), zvolíte v Připojit pomocí.. ) své existující telefonické připojení z Windows. Práci s nastavováním hesel a telefonního čísla na ISP si ušetříte, když níže zatrhnete volbu Přihlášení převzít z telefonického připojení Spouštíme komunikaci bez firewallu Dobrá rada: Začněte testy komunikace na nějakém počítači před FIREWALEM (to je ochranný počítač, který má zabránit průniku nepovolané osoby do vašeho informačního systému). Firewalů je řada typů a než se nastaví průchod přes ně, dá to někdy práci. Proto je dobré mít jistotu, že bez firewalu Vám komunikace funguje a že případné problémy za firewallem se budou řešit jen s odborníkem na tuto oblast. Pokud máme vše nastaveno podle postupu výše, čeká nás okamžik napětí, jak se nám to podařilo. V pravém dolním okénku máte z Logicentra nastaveny komunikační události, což je program, spouštějící v nastaveném čase komunikační události s různými volitelnými parametry. K odzkoušení komunikace stačí vybrat jednu z načasovaných událostí Výměna dat a stisknout F7, nebo myší zelený semaforek. Zpravidla jsme Vám připravili do Vaší schránky na serveru nějaký testovací textový soubor a tak uvidíte nejen jestli se úspěšně spojíte, ale také jestli to co Vám došlo, je čitelný text. Pokud by Vám došla šifrovaná zpráva, nefunguje ještě dobře dešifrování a musíte nám to hlásit na ftport@logicentrum.cz Pokročilá konfigurace. Odesílané a přijímané soubory můžete ukládat na libovolné místo Vašeho počítače nebo sítě. Volbu adresáře provedete na NASTAVENÍ,kartě MOŽNOSTI, SLOŽKY A SOUBORY. Soubor Protokolu o spojení nám vždy pošlete při problému v doručování, obsahuje kompletní informace, potřebné k diagnostice. Nastavení Nastavení cesty k frontě souborů jen cestu ke konečné pevné struktuře Název stanice\od, Pro a Archiv. Pokud chcete mít i konec cesty pojmenován jinak, třeba v národním jazyce, musíte nastavení změnit v souboru FTPORT.INI, nacházejícím se v instalačním adresáři programu. Změníte původní hodnoty v těchto definicích: Stránka 5
[Directories] OutFolder=Pro InFolder=Od BackupFolder=Archiv UnknowFolder=Soubory od neznámého odesílatele SendBackupFolder=Odeslano SentSecurityBackupFolder=Odeslano.Sec ReceiveBackupFolder=Prijato ReceiveSecurityBackupFolder=Prijato.Sec ReceiveSecurityErrBackupFolder=Prijato.Err ReceiveSecurityErrBackupFolder=Prijato.Err SessionLog=C:\EDILGC\FTPORT\Ftport_LGC.log AuditLog=C:\EDILGC\FTPORT\Audit_security_LGC.log HistoryDownloadLog=C:\EDILGC\FTPORT\Input_history_LGC.log HistoryUploadLog=C:\EDILGC\FTPORT\Output_history_LGC.log QueueFolder=C:\EDILGC\FTPORT\Fronta Pokud máte pevnou linku a na Internet se z bezpečnostních důvodů připojujete přes ochranný počítač FIREWALL, je pro Vás ještě aktuální karta FIREWALL. Program využívá pro navázání spojení porty 2439,2440,2441, pro vlastní přenos souborů port 21. Ty musíte povolit oběma směry. Zákaz příchozích komunikací na vysokých portech je oblíbeným zábavným kouskem service packů Windows, takže pokud Vám po aktualizaci Windows přestane program komunikovat, objeví se jistě na technických stránkách Microsoft záhy rada, jak chybičku opravit. Jedním z příkladů je např. jev, kdy po instalaci Servispacku 2 na Windows server 2003 přestane fungovat FTP přenos na firewallech, používajících překlad adres, viz http://support.microsoft.com/kb/927695/en-us. V tomto případě je nutné provést změnu hodnoty v registru Windows. Z hlediska identifikace bude záležet právě na Vašem typu firewallu, které nastavení bude funkční. Při pokusech zkuste ještě kombinaci se zapnutým a vypnutým pasivním módem FTP protokolu (karta FTP protokol). Při problémech se podívejte do Nápovědy do kapitoly o firewallu, jsou tam popsány nejběžnější typy nastavení Jak jsme si už popsali, program umožňuje komunikovat s více stanicemi s různým nastavením, takže s některou můžete komunikovat přes Firewall, s jinou bez Firewallu. Když zatrhnete Používat firewall (Use firewall), objeví se stejná volba také ve vlastnostech stanic, pod tlačítkem Nastavení a tam ji musíte zatrhnout také!! To uděláte tak, že kliknete v levém dolním okénku otevřeného programu myší na stanici LOGICENTRUM, pravým tlačítkem myši zvolíte VLASTNOSTI a na kartě OBECNÉ, NASTAVENÍ zatrhnete POUŽÍVAT FIREWALL. Viz obrázek na další straně: Stránka 6
Na kartě ZABEZPEČENÍ bez souhlasu Logicentra nic neměňte. Má být zatrhnuto SOUBORY PRO STANICI KOMPRIMOVAT a dále SOUBORY PŘIJATÉ OD STANICE AUTOMATICKY ODŠIFROVÁVAT a OVĚŘIT PODPIS. 6. Program umožňuje spouštět před komunikačními událostmi i po nich pomocí dávkových příkazů libovolné Vaše uživatelské programy. Už jsme si napsali, že takovou vazbu můžete vytvořit nejjednodušeji ve vlastnostech stanice, nebo ve vlastnostech jednotlivých komunikačních událostí. Logicentrum Vám může za mírnou cenu dodat některé takové jednoúčelové programy, např.: pro okamžité spuštění komunikační události v případě, kdy se v adresáři k odeslání objeví soubor pro přejmenování Vašeho exportního souboru se stálým názvem na jedinečný. To je užitečné pro průkazný archiv odeslaných zásilek, jinak by v archivu vždy Váš poslední uložený soubor přepsal starší Pro opačný proces, pro vytvoření importního souboru jediného jména a přípony z různých doručených souborů Uživatelé, kteří budou instalovat stanici naší VPN na server s operačními systémy WINDOWS 2003 nebo 2008, mají možnost nastavit program jako NT službu na kartě HLAVNÍ. Výhodou nastavení jako služba NT je, že program startuje sám při startu počítače a na zůstává skrytý na pozadí. V takovém případě Stránka 7
pozor, aby jste k spuštěné službě na pozadí znovu nespustili program FTPort mailer ručně pak se oba programy mohou dostat do konfliktu. Když tedy budete potřebovat měnit nastavení, službu NT nejdříve zastavte a pak si pusťte program ručně. 7. Zásadně sami neměňte bez našeho vědomí nastavení šifrování a zabezpečení. Nezapomeňte, že stejné nastavení musí mít náš server. Uložení zálohy Vaší funkční konfigurace. Pokud jste byli úspěšní, uložte Vaši poslední funkční konfiguraci na disk a zálohovou disketu. Využijte k tomu opět MOŽNOSTI, PRŮVODCI RYCHLOU KONFIGURACÍ, PRŮVODCE ZAZÁLOHOVÁNÍM KONFIGURACE. Zatrhněte všechny volby zálohování a soubor uložte podle návodu. Obnovení konfigurace pak provedete už v několika vteřinách Průvodcem obnovení.. V Rebešovicích 12.5.2003 Stránka 8