Käyttöopas HELPPO NOPEA TURVALLINEN v1.4 Suomi
1. Johdanto 2. Käyttöönotto 3. Järjestelmäkuvaus Tässä esitellään TOSIBOX in käyttöönotto ja sen tärkeimmät ominaisuudet. Lisäksi esitellään käyttöliittymä sekä avainten hallinta in yhteydessä. Lukko- ja Avain- tuotteiden perusteet on opastettu Lukon ja Avaimen käyttöohjeessa ja tämä ohje keskittyy in ominaisuuksiin. 1.1 lyhyesti vastaa perusominaisuuksiltaan Lukkoa. Central Lock poikkeaa Lukosta siten, että sen tiedonsiirto- ja salauskapasiteetti soveltuu suurien järjestelmien rakentamiseen - järjestelmien, joissa yhteen iin on liitetty kymmeniä, satoja tai tuhansia lukkoja/avaimia ja yhteydet ovat käytettävissä in kautta samanaikaisesti. Lisäksi illa on kolme lisäominaisuutta, joita Lukko ei sisällä. Nämä ovat ominaisuuksia, joita tyypillisesti tarvitaan laajemmissa tietoliikennejärjestelmissä ja ne ovat:»» Päällekkäisten IP-osoitteiden yhtäaikainen käyttö eri etäkohteissa»» Lokitiedon keräysominaisuus, joka mahdollistaa yhteyksien käytön seurannan»» Yhteyksien valvonta- ja hälytysominaisuus, joka mahdollistaa yhteysongelmien havaitsemisen ja automaattiset hälytykset in hyödyt Käyttöönotto vain 5 minuutissa Edistyksellinen tietoturva Joustava ja skaalautuva järjestelmä 2.1 Käyttöönotto Perusvaatimukset Ennen in käyttöönottoa pitää varmistaa, että kolme perusvaatimusta on täytetty. Toimiakseen tarvitsee: 1. Langallisen ethernet-verkon 2. Yhden palomuurirajoittamattoman julkisen IP-osoitteen 3. -yhteyden jonka nopeus on vähintään 10/10 Mbit/s Fyysinen asennus Kun käyttöönoton peruvaatimukset ovat kunnossa, voidaan siirtyä in fyysiseen asennukseen. Tarkista että myyntipakettiin kuuluvat osat mukana myyntipakkauksessa. in myyntipakettiin sisältyy: 1. Verkkokaapeli RJ45, 1 m 2. Virtajohto 3. Jatkojohto Fyysiseen asennukseen kuuluvat seuraavat asiat: 1. Laitteen mekaaninen asentaminen sille kuuluvalle paikalle 2. Virtajohdon kytkeminen 3. Verkkokaapelin kytkeminen WAN-porttiin Sarjoitus in käyttöönotossa laite käynnistetään ja odotetaan 2 minuuttia. Avain laitetaan in USB-porttiin ja odotetaan 30 sekuntia tai kunnes Avaimen LED-valo jää palamaan tasaisena. Sarjoitus on tällöin valmis ja Avaimen voi irrottaa ista. Konfigurointi in konfigurointi tapahtuu sen selainkäyttöliitymän avulla ks. Selainkäyttöliittymä. in internetyhteys konfiguroidaan Network-välilehden WAN-asetuksista. Protokollaksi voidaan valita joko kiinteä IP-osoite tai DHCPasiakas, joilloin osoite haetaan DHCP-palvelimelta. Kun protokollaksi valitaan kiinteä osoite, IP-osoite ja aliverkon peite on syötettävä alla oleviin kenttiin. Käytettäessä kiinteää osoitetta on välttämätöntä konfiguroida myös nimipalvelimen osoite. Valmis: Kun sarjoitus ja konfigurointi on tehty, in käyttöönotto on valmis ja siihen voidaan liittää Lukkoja, Avaimia ja verkkolaitteita osaksi järjestelmää. 3.1 Yleiskatsaus in avulla on mahdollista rakentaa järjestelmä, johon kuuluu suuria määriä TOSIBOX-Lukkoja ja TOSIBOX -Avaimia. 3.2 Lisäominaisuudet Tässä esitellään in kolme lisäominaisuutta joita ei ole muilla TOSIBOX-tuoteperheeseen kuuluvilla Lukkolaitteilla. 1. Päällekkäisten IP-osoitteiden yhtäaikainen käyttö (1:1 NAT) Tällä ominaisuudella Lukon LAN-verkon laitteet saadaan esiintymään illa eri IP-osoitteilla, kuin mitä ne todellisuudessa käyttävät. Tämä sallii saman IP-osoite avaruuden käytön usealla lukolla, siten että Lukkoja ja niihin yhdistettyjä laitteita voidaan käyttää yhtä aikaa Central Lockilla tai Avaimella. 2. Lokitiedon keräys - Yhteyksien seuranta kerää lokitietoa yhdistettyjen Lukkolaitteiden tapahtumista. Tämän ominaisuuden avulla voidaan kerätä tapahtumia ilta itseltään, sekä halutessaan lokitapahtumia myös yhdistetyiltä Lukolta ja Alilukoilta. Lokitiedon keräys voidaan aktivoida in käyttöliittymän valikosta Settings -> Industry Settings ja se täytyy olla aktivoitu myös Lukolta samasta valikosta. Jos halutaan kerätä lokia vain tietyltä Lukolta, varmistetaan että ainoastaan halutun Lukon lokitiedon keräys on sallittu. 3. Yhteyksien valvonta ja hälytykset voidaan konfiguroida lähettämään automaattisia sähköpostihälytyksiä sarjoitettujen TOSIBOX-Lukkojen yhteyksien muodostumisesta ja katkeamisesta. Sähköposti -hälytykset on mahdollista asettaa joko kaikille sarjoitetuille Lukoille tai tietyille yksittäisille Lukoille. Hälytysten kytkeminen ei vaadi mitään lisäpalveluita ja tapahtuu Settings -> Alerts -valikosta. Muilta osin in toiminta ja käyttö vastaa muita TOSIBOX-tuoteperheeseen kuuluvia Lukkolaitteita. 3.3 Järjestelmä mahdollistaa jopa 4000 yhtäaikaisen sarjoitetun Lukon tai Avaimen käytön. Aluksi Avain sarjoitetaan kaikkiin yhdistettäviin Lukkoihin. Lukkojen sarjoittaminen on esitetty Avaimen ja Lukon käyttöohjeessa. Sarjoitus iin tapahtuu muutoin samalla tavalla, mutta sarjoitettaessa muodostuuko Lukkolaitteiden välille Layer2- vai Layer3-yhteys. Layer2-yhteydellä muodostuu Lukko-Alilukko -yhdistelmä, jossa Lukot ovat samassa verkossa. Layer3-yhteydellä muodostuu reititetty yhteys, missä Lukolla ja illa on omat IPaliverkkonsa. Jos Lukkojen sarjoituksessa valitaan Layer3-yhteys, niin Avaimen yhteystyypin täytyy olla myös Layer3. Jokainen sarjoitettu Avain käyttää joko sillattua (Layer2) tai reititettyä yhteyttä (Layer3). Avaimen sillattu yhteys sallii pääsyn vain yhteen tiettyyn LANverkkoon. Reititetyllä yhteydellä on mahdollista valita useampi LAN-verkko, joihin yhteys sidotaan ja reititetään. Käytettävä yhteystyyppi voidaan valita selainkäyttöliittymästä Edit Devices -toiminnolla. illa sarjoitetun Avaimen oletusyhteystyyppi on Layer3. iin voidaan sarjoittaa tarvittava määrä lisäavaimia samalla tavalla kuin Lukkoon. 3.4 in liittäminen lähiverkkoon voidaan liittää olemassa olevaan LAN-verkkoon kahdella tavalla. Sitä voidaan käyttää verkon reitittimenä tai liittää se olemassa olevan reitittimen rinnalle. Jos ia käytetään verkossa reitittimenä, DHCP-palvelin täytyy kytkä päälle kyseiseen LANporttiin. Tällöin LAN-verkon koneilta voi liikennöidä etäkohteisiin suoraan in kautta. Toisessa käyttötapauksessa, jolloin ei toimi LAN-verkon reitittimenä, DHCPpalvelin kytketään tyypillisesti pois päältä. Tässä tapauksessa etäkohteisiin pääsemiseksi LAN-verkosta täytyy joko muodostaa Avain-yhteys ille tai käyttäjän tietokoneelle täytyy konfiguroida kiinteät reitityssäännöt. 3.5 Avainten hallinta iin sarjoitetusta Avaimesta on mahdollista luoda Vara-avain varmuuskopioksi Avaimen ja Lukon käyttöohjeessa esitellyllä tavalla. Myös uusien Aliavainten käyttöönotto ja etäsarjoitus toimii samalla tavalla kuin muissa TOSIBOXtuotteissa. in Vara-avaimia ja Aliavaimia voidaan hallinnoida Avaimen käyttöliittymältä Manage Keys -toiminnolla. Pääavain on täysoikeuksinen Avain, jota käytetään sarjoittamaan lisää Avaimia Lukkoihin ja ottamaan käyttöön uusia Lukkoja. Tyhjä Avain tulee Pääavaimeksi, kun se fyysisesti yhdistetään Lukkoon ensimmäistä kertaa. Lisää Pääavaimia voi luoda Vara-avain-toiminnolla. Aliavaimella on rajoitetut oikeudet, ja sillä ei ole mahdollista sarjoittaa lisää Avaimia tai ottaa käyttöön lisää Lukkoja. Aliavaimia voidaan hallinnoida ryhmittelyn avulla. Ryhmät ovat näkyvillä ainoastaan Avaimen käyttöliittymällä. Ryhmittelyssä vain yksi Avain voi kuulua yhteen ryhmään kerrallaan ja sisäkkäisiä Aliavainryhmiä ei ole mahdollista luoda. Toimii luotettavasti kaikissa internetliittymissä
4. Selainkäyttöliittymä in käyttöliittymään kirjaudutaan joko syöttämällä jonkin LAN-portin osoite internetselaimeen tai huoltoportin kautta siirtymällä selaimella osoitteeseen http://172.17.17.17. illa on yksi käyttäjäoikeustaso, admin. Oletussalasana toimitetaan asennuksen yhteydessä. 4.1 Status-näkymä Status-näkymästä nähdään perustiedot verkkoasetuksista sekä kaikki sarjoitetut Lukot, Avaimet ja verkkolaitteet. Show/hide IP ranges -toiminnolla voidaan näyttää tai piilottaa LAN-verkkojen staattiset ja dynaamiset IPosoitealueet. New network device painikkeella voidaan lisätä manuaalisesti uusi verkkolaite Network devices -listaan, vieressä olevalla Scan for LAN devices -toiminnolla voidaan etsiä kaikki laitteen in LAN-verkoista ja Remove all device toiminto poistaa kaikki verkkolaitteet listalta. Alhaalla olevalla Edit devices toiminnolla voidaan nimetä käytettävä laite, estää yhteydet Lukon verkosta avainta käyttävään laitteeseen, valita Layer2- tai Layer3 -yhteystyyppi, määrittää Avaimelle kiinteä IP-osoite ja valita LAN-verkko tai -verkot, joihin Avaimella on pääsy. 4.2 Settings-näkymä Settings-välilehdeltä voidaan muuttaa admintunnuksen salasana, käynnistää uudelleen, poistaa kaikki sarjoitukset, muuttaa in tehdasasetuksia, kytkeä sähköpostihälytykset päälle ja päivittää uusin ohjelmisto. Edellä mainituista tehdasasetuksista voidaan muokata seuraavia asioita:»» Kytkeä verkkolaitteiden automaattinen»» etsintätoiminto»» Sallia in teknisen tuen etäpääsy»» Mahdollistaa lokitiedon keräys»» Estää verkkolaitteiden pääsy tiin»» Estää VPN-yhteys Mobile Client -sovelluksesta»» Estää sarjoitettujen alilukkojen liikenne»» Sallia pääsy Lukon kautta vain tiettyihin MAC- tai IPosoitteisiin»» Pakottaa Avainta käyttävät tietokoneet reitittämään kaikki -liikenne Lukon kautta 4.3 Network-näkymä Network-välilehdellä voidaan muokata laitteen verkkoasetuksia Interfeces-välilehdeltä nähdään sekä LAN-verkkojen että -yhteyden asetukset. DHCP-palvelimen määritykset löytyvät kunkin LANverkkoliitännän asetuksista. Static routes -välilehdeltä nähdään in staattiset reitit. Routes and MACs -välilehdeltä on esitetty Central Lockilla tiedossa olevat reitit ja MAC-osoitteet. DHCP -välilehdellä on näkyvissä in DHCP -palvelinten aktiiviset ja MAC-osoitteeseen sidotut IPosoitteet. 4.4 Lokinäkymä Logs-välilehdeltä voidaan nähdä sekä Central Lockin keräämät että yhdistetyiltä Lukoilta saadut lokitapahtumat Lokitapahtumia voidaan suodattaa tapahtuman tyypin, tekstin tai päivämäärän mukaan. Lokitiedon keräyksen asetuksia konfiguroidaan Central Lockin Settings -> Industry settings -välilehdeltä sekä samasta paikasta Lukon käyttöliittymällä. 5. Ylläpito 5.1 Ohjeita yleisempiin kysymyksiin: Avaimen käyttöliittymässä ei näy yhteyksiä:»» Tietokone ei ole internetyhteydessä»» Avainta ei ole sarjoitettu Lukkoon»» Lukolla ei ole internetyhteyttä tai Lukkoa ei ole kytketty -virtalähteeseen. Avaimen käyttöliittymässä Lukko-symboli on keltainen:»»»»lukko on löytynyt, mutta VPN-yhteyttä ei ole tai sitä muodostetaan in / Lockin selainkäyttöliittymässä ei näy verkkolaitteita tai verkkolaitteiden valo on punaisena:»» Varmista, että ohjattavat laitteet ovat kytkettyinä Lukkoon.»» Jos ohjattavat laitteet on yhdistetty Lukkoon langattomasti, kirjaudu Lukkoon Service-liitännästä. Tarkista, että langaton yhteys on aktivoitu ja että in ja langattomien laitteiden salasanat ja salausasetukset vastaavat toisiaan.»» Varmista, että ohjattavassa laitteessa on DHCP-palvelu. Mikäli ei ole, lisää laite Lockin laitelistalle ja määritä laitteelle IP-osoite. Tarvittaessa lisäohjeita osoitteesta: http://help.tosibox.com
6. käyttöesimerkkejä Mainostaulu Asiakas (Mobile Client) Asiakas (Sub key) Useampi käyttöesimerkki Etäkäyttäjät Mainostaulu #1 Ruotsi Lock #5 Lock #4 Mainostaulu #2 Lock #6 Mainostaulu #3 Toimisto HQ Huolto #3 Suomi Huolto (Master Key) Huolto #1 Huolto #2 Useampi käyttäjäryhmä Autonpesulaite Company X Keskusvalvomo Master backup Key Toimisto/HQ Käyttäjäryhmä 2 Tuotantolinja Taso 3 Käyttäjäryhmä 1 Lock sarjoitus ja nimeäminen tuotannossa Key Mobile Client Huoltohenkilöstö Etäkäyttäjä Etäkäyttäjä (asiakas)
7. Tekniset tiedot & 8. Sanasto Ominaisuudet:»» Yksi 1 Gbit/s WAN-liitäntä»» Neljä 1 Gbit/s LAN-liitäntää»» Yli 700 Mbit/s salauskyky»» 1000 yhtäaikaista etäyhteyttä yhteen LAN-verkkoon»» Salaus ja todennus PKI, 1024/2048 bit RSA»» Tietoliikenteen salaus TLS, Blowfish-128-CBC/AES-256-CBC Fyysiset mitat:»» 1U 19 -laitekaappiin (sisältää rack-raudat»» laitekaappiasennukseen)»» Syvyys 430 mm, leveys 483 mm ja korkeus 43 mm Ympäristövaatimukset:»» Käyttölämpötila +10 C...+30 C»» Kosteus 20%... 80% tiivistymätön»» Tehonkäyttö max 250 W»» Syöttöjännite 90...264 V AC»» Syöttötaajuus 47...63 Hz DHCP Gbit/s Hz IP LAN LED Mbit/s mm PKI TLS USB V VPN W WAN L2 L3 Dynamic Host Configuration Protocol Gigabits per second Hertz Protocol Local Area Network Light-Emitting Diode Megabits per second Millimetre Public Key Infrastructure Transport Layer Security Universal Serial Bus Voltage Virtual Private Network Watt Wide Area Network Layer 2, bridged connection type Layer 3, routed connection type 9. Linkit & Yhteystiedot»» www.tosibox.com»» help.tosibox.fi»» support@tosibox.com Oy Elektroniikkatie 10 FIN-90590 OULU SUOMI-FINLAND 10. Licenses 2014 Oy. Kaikki oikeudet pidätetään. Tämän asiakirjan sisällön jäljentäminen, jakeleminen tai tallentaminen kokonaan tai osittain on kielletty ilman in myöntämää kirjallista lupaa. kehittää tuotteitaan jatkuvasti ja pidättää oikeuden tehdä muutoksia ja parannuksia mihin tahansa tässä asiakirjassa mainittuun tuotteeseen ilman ennakkoilmoitusta. ei vastaa tietojen tai tulojen menetyksestä eikä mistään erityisestä, satunnaisista, epäsuorista tai välillisistä vahingoista. Tämän asiakirjan sisältö tarjotaan sellaisena kuin se on. Sen virheettömyydestä, luotettavuudesta, sisällöstä tai soveltumisesta kaupankäynnin kohteeksi tai johonkin tiettyyn tarkoitukseen ei anneta mitään nimenomaista takuuta, ellei soveltuva lainsäädäntö toisin määrää. pidättää oikeuden muuttaa tätä asiakirjaa tai poistaa se jakelusta milloin tahansa ilman erillistä ilmoitusta. -tuotteet sisältävät avoimeen lähdekoodiin pohjautuvia ohjelmistoja. toimittaa asiakkaan pyynnöstä tarkemmat tiedot avoimen lähdekoodin lisenssien edellyttämistä osista. Lähdekoodipyynnöt tulee lähettää osoitteeseen: sourcecode.request@ tosibox.com tai postitse: Oy, Elektroniikkatie 10, 90590 OULU SUOMI-FINLAND 2014 Oy. Kaikki oikeudet pidätetään. logo on yrityksen rekisteröity tavaramerkki.