Фрке что это значит

Об обновлении программного обеспечения ФГИС Росаккредитации

Информируем пользователей ФГИС Росаккредитации о необходимости в срок до 31.05.2018 проведения обновления программного обеспечения ViPNet Client до версии 4.x в связи с истечением срока действия сертификата соответствия требованиям ФСБ России на программное обеспечение ViPNet Client 3.2 КСЗ, продление которого производителем не запланировано, а также отсутствием на версию 3.2 сертификата соответствия новым требованиям к межсетевым экранам ФСТЭК России.

ПО ViPNet Client 4.x поддерживает работу в следующих ОС:

• Microsoft Windows Vista (32/64-разрядная);
• Microsoft Windows 7 (32/64-разрядная);
• Microsoft Windows 8 (32/64-разрядная);
• Microsoft Windows 10 (32/64-разрядная);
• Microsoft Windows Server 2008 (32/64-разрядная);
• Microsoft Windows Server 2008 R2 (64-разрядная);
• Microsoft Windows Server 2012 (64-разрядная);

и в следующих виртуальных средах: Microsoft Hyper-V, VMWare Workstation, VMWare Player; VMWare vSphere ESXi.

Условия проведения обновления:

1. При наличии у пользователя действующего сертификата на техническое сопровождение ПО ViPNet Client 3.x обновление до версии ViPNet Client 4.x проводится бесплатно, пользователю необходимо приобрести только сертифицированный дистрибутив экземпляра ПО на оптическом носителе (в соответствии с требованиями Приказа ФСБ России от 9 февраля 2005 г. N 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации» и требованиями п.4 формуляра ФРКЕ.00116-03 30 01 ФО ViPNet Client 4).
2. В случае если сертификат технической поддержки производителя ПО ViPNet Client 3.x пользователем не приобретался или истек, то пользователю необходимо или приобрести/ продлить сертификат, или оплатить обновление (25% от стоимости ПО ViPNet Client 3.x КСЗ). А также приобрести сертифицированный дистрибутив экземпляра ПО на оптическом носителе.

Источник

«ОАО «ИнфоТеКС» ViPNet Coordinator версия 3.1 Рекомендации по построению VPN Руководство администратора ФРКЕ. 00005-04 32 01 МОСКВА 2010 г. . »

Рекомендации по построению VPN

ФРКЕ. 00005-04 32 01

Руководство администратора ПО ViPNet Coordinator 2

ФРКЕ.00005-04 32 01

Руководство администратора ПО ViPNet Coordinator 3

1991 – 2010 ОАО «Инфотекс», Москва, Россия.

Этот документ входит в комплект поставки программного обеспечения, и на него

распространяются все условия лицензионного соглашения.

Ни одна из частей этого документа не может быть воспроизведена, опубликована, сохранена в электронной базе данных или передана в любой форме или любыми средствами, такими как электронные, механические, записывающие или иначе, для любой цели без предварительного письменного разрешения ОАО «Инфотекс».

ViPNet является зарегистрированной торговой маркой программного обеспечения, разрабатываемого ОАО «Инфотекс».

Все торговые марки и названия программ являются собственностью их владельцев.

127287, г. Москва, Старый Петровско-Разумовский пр., дом 1/23, строение 1 Тел: (495) 737-61-96 (hotline), 737-61-92, факс 737-72-78 E-mail: hotline@infotecs.ru WWW: http://www.infotecs.ru ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 4 СОДЕРЖАНИЕ ВВЕДЕНИЕ

О ДАННОМ ДОКУМЕНТЕ

СОКРАЩЕНИЯ И ПРИНЯТЫЕ ОБОЗНАЧЕНИЯ

КАК ИЗУЧАТЬ ДОКУМЕНТ

1 ОБЩИЕ ПОЛОЖЕНИЯ

1.1 ВИРТУАЛЬНАЯ СЕТЬ VIPNET. ОБЩИЕ ПРИНЦИПЫ ВЗАИМОДЕЙСТВИЯ УЗЛОВ В ВИРТУАЛЬНОЙ

1.2 СОСТАВ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ VIPNET COORDINATOR

1.3 ФУНКЦИОНАЛЬНЫЙ СОСТАВ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ VIPNET COORDINATOR. 16 1.3.1 Функция Сервер-маршрутизатор

1.3.2 Функция Сервер IP-адресов

1.3.3 Функция Сервер ViPNet-Firewall

1.3.4 Функция туннелирования открытого трафика локальной сети

1.3.5 Каскадное включение координаторов

1.3.6 Функция ViPNet–сервер Открытого Интернета

1.3.7 Функция трансляции IP-адресов (NAT)

1.4 ЗАЩИТА CISCO IP-ТЕЛЕФОНИИ

2 ТРЕБОВАНИЯ К АППАРАТНЫМ СРЕДСТВАМ И ОПЕРАЦИОННОЙ СРЕДЕ ДЛЯ ПО

3 УСТАНОВКА VIPNET COORDINATOR

4 НАЧАЛО РАБОТЫ

4.1 ОСОБЕННОСТИ СТАРТА ПО VIPNET COORDINATOR [МОНИТОР] НА ТЕРМИНАЛЬНЫХ СЕРВЕРАХ В

КОНСОЛЬНОЙ И УДАЛЕННОЙ СЕССИИ

5 СПОСОБЫ ЗАПУСКА ПРОГРАММЫ И ЗАВЕРШЕНИЯ РАБОТЫ С НЕЙ

5.1 ЗАПУСК ПРОГРАММЫ

5.2 ЗАВЕРШЕНИЕ РАБОТЫ С ПРОГРАММОЙ

6 ОСНОВНЫЕ ВОЗМОЖНОСТИ ПРОГРАММЫ VIPNET COORDINATOR

7 СИСТЕМА ОКОН И МЕНЮ VIPNET COORDINATOR

7.1 СИСТЕМНОЕ МЕНЮ

7.2 ГЛАВНОЕ ОКНО. СПИСОК И КРАТКОЕ ОПИСАНИЕ ОСНОВНЫХ ОКОН ПРОГРАММЫ

7.3 ГЛАВНОЕ МЕНЮ

7.4 ПАНЕЛЬ ИНСТРУМЕНТОВ

7.5 КНОПКИ НА СТРОКЕ СОСТОЯНИЯ

7.6 ОКНО НАСТРОЕК ПАРАМЕТРОВ ПРОГРАММЫ

8 КОНФИГУРИРОВАНИЕ КООРДИНАТОРА

8.1 НАСТРОЙКА IP-АДРЕСОВ ИЛИ DNS-ИМЕН ДРУГИХ VIPNET-КООРДИНАТОРОВ

8.2 НАСТРОЙКА ПАРАМЕТРОВ ПОДКЛЮЧЕНИЯ К СЕТИ

8.2.1 Принципы выбора способа подключения

8.2.2 Настройка подключения без использования межсетевого экрана

8.2.3 Настройка подключения через МЭ ViPNet-Координатор (тип МЭ «Координатор «)

8.2.4 Настройка подключения через МЭ, на котором можно настроить статические правила трансляции адресов (тип МЭ «Со статической трансляцией адресов») ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 5 8.2.5 Настройка подключения через МЭ, на котором затруднительно настроить статические правила трансляции адресов (тип МЭ «С динамической трансляцией адресов») 8.2.6 Описание окна Настройка\Защищенная сеть

8.3 НАСТРОЙКА МАРШРУТИЗАЦИИ IP-ТРАФИКА

8.4 ВИРТУАЛЬНЫЕ АДРЕСА СЕТИ VIPNET

8.5 НАСТРОЙКИ КООРДИНАТОРА ДЛЯ ТУННЕЛИРОВАНИЯ ОТКРЫТОГО ТРАФИКА

8.5.1 Настройка IP-адресов для туннелирования своим координатором. 55 8.5.2 Настройка IP-адресов, туннелируемых другими координаторами. 57 8.5.3 Пример настройки защищенного туннеля с использованием ViPNetкоординаторов

8.6 НАСТРОЙКИ КООРДИНАТОРА, ВЫПОЛНЯЮЩЕГО ФУНКЦИИ СЕРВЕРА ОТКРЫТОГО ИНТЕРНЕТА.. 61

8.7 ПОДДЕРЖКА И ИСПОЛЬЗОВАНИЕ СЛУЖБ ИМЕН DNS И WINS В СЕТИ VIPNET

8.7.1 DNS (WINS) сервер защищен ПО ViPNet

8.7.2 DNS (WINS) сервер не защищен ПО ViPNet

8.7.3 Основные правила задания DNS-имен в настройках ViPNet Монитор сетевого узла 63 8.7.4 Регистрация защищенных DNS(WINS)–серверов в ОС Windows средствами ViPNet 64

8.8 УСТАНОВКА ПРИОРИТЕТОВ ВЫБОРА АДРЕСОВ ДОСТУПА КООРДИНАТОРА (НАСТРОЙКА И

8.9 ПРАВИЛА ДОСТУПА ДЛЯ УЗЛОВ ЗАЩИЩЕННОЙ СЕТИ (ОКНО ПРАВИЛО ДОСТУПА)

8.9.1 Вкладка Общие

8.9.2 Вкладка IP-адреса

8.9.3 Вкладка Межсетевой экран

8.9.4 Вкладка Туннель

8.9.5 Вкладка Инфо

9 СЕТЕВЫЕ УЗЛЫ ЗАЩИЩЕННОЙ СЕТИ VIPNET (ОКНО ЗАЩИЩЕННАЯ СЕТЬ). 75 10 НАСТРОЙКИ ПАРАМЕТРОВ ЗАЩИТЫ И СЕТЕВОЙ ФИЛЬТРАЦИИ IP-ТРАФИКА. 78

10.1 ОСНОВНЫЕ ПРИНЦИПЫ ФИЛЬТРАЦИИ

10.3 РЕЖИМЫ БЕЗОПАСНОСТИ СЕТЕВЫХ ИНТЕРФЕЙСОВ

10.3.1 Некоторые рекомендации по выбору режимов для сетевых интерфейсов и настройке правил фильтрации

10.4 ВОЗМОЖНОСТИ ОКНА СЕТЕВЫЕ ИНТЕРФЕЙСЫ

10.4.1 Изменение свойств сетевых интерфейсов

10.5 СЕТЕВЫЕ ФИЛЬТРЫ

10.5.1 Различия сетевых фильтров для открытого и защищенного трафика. 89 10.5.2 Создание фильтров для Защищенной сети

10.5.3 Создание фильтров для открытой сети и туннелируемых ресурсов. 96

10.6 НАСТРОЙКА СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК (ОКНО НАСТРОЙКА\ОБНАРУЖЕНИЕ АТАК. 103

11 НАСТРОЙКА ПАРАМЕТРОВ ОБРАБОТКИ ПРИКЛАДНЫХ ПРОТОКОЛОВ ДЛЯ

12 НАСТРОЙКА ВЕБ-ФИЛЬТРОВ

12.1 БЛОКИРОВКА РЕКЛАМЫ

12.2 БЛОКИРОВКА ИНТЕРАКТИВНЫХ ЭЛЕМЕНТОВ

12.3 БЛОКИРОВКА COOKIES И REFERER

12.4 НАСТРОЙКА ИСКЛЮЧЕНИЙ

ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 6 13 НАСТРОЙКА ТРАНСЛЯЦИИ IP-АДРЕСОВ (NAT)

13.1 ДОБАВЛЕНИЕ СТАТИЧЕСКОГО ПРАВИЛА ТРАНСЛЯЦИИ

13.2 ДОБАВЛЕНИЕ ДИНАМИЧЕСКОГО ПРАВИЛА ТРАНСЛЯЦИИ

ДОБАВЛЕНИЕ ПРЕДУСТАНОВЛЕННЫХ ПРАВИЛ ТРАНСЛЯЦИИ ДЛЯ ПОЧТОВОГО, WEB-, FTPСЕРВЕРОВ И ПРАВИЛ ТРАНСЛЯЦИИ ДЛЯ ОРГАНИЗАЦИИ ВЫХОДА КОМПЬЮТЕРОВ ЛОКАЛЬНОЙ СЕТИ В ИНТЕРНЕТ

13.4 ОПИСАНИЕ ОКНА ТРАНСЛЯЦИЯ АДРЕСОВ И ОСНОВНЫХ ДЕЙСТВИЙ В ЭТОМ ОКНЕ. 119 13.4.1 Автозаполнение

14 ПРОСМОТР РЕЗУЛЬТАТОВ РАБОТЫ ПРОГРАММЫ

14.1 РАБОТА С ЖУРНАЛОМ IP-ПАКЕТОВ

14.1.1 Просмотр журнала пакетов

14.1.2 Настройка параметров поиска IP пакетов

14.1.3 Просмотр журнала регистрации IP-пакетов другого узла ViPNet. 126 14.1.4 Просмотр журнала регистрации IP-пакетов

14.1.5 Настройки параметров регистрации IP-пакетов в журнале (Окно Настройка\Журнал IP-пакетов)

14.1.6 Описание событий, отслеживаемых ПО ViPNet

14.1.7 Просмотр архивов журналов IP-пакетов (Окно Архив журналов)

14.2 ИНФОРМАЦИЯ ОБ АДРЕСАХ БЛОКИРОВАННЫХ IP-ПАКЕТОВ (ОКНО БЛОКИРОВАННЫЕ IP-ПАКЕТЫ)

14.2.1 Создание правила доступа для открытой сети из раздела Блокированные IPпакеты 143 14.2.2 Настройка информирования пользователя о блокировании IP-пакетов (окно Настройка\Блокированные IP-пакеты)

14.3 СТАТИСТИЧЕСКАЯ ИНФОРМАЦИЯ (ОКНО СТАТИСТИКА)

14.3.1 Информация о числе пропущенных и блокированных IP-пакетов различного типа (Окно IP-пакеты)

14.3.2 Информация о числе заблокированных веб-фильтрами элементов вебстраниц (Окно Веб-фильтрация)

14.4 ПРОСМОТР ИНФОРМАЦИИ О КООРДИНАТОРЕ, ВРЕМЕНИ РАБОТЫ ПРОГРАММЫ И ЧИСЛЕ

СОЕДИНЕНИЙ (ОКНО VIPNET COORDINATOR)

15 СЕРВИСНЫЕ СЛУЖБЫ ПРОГРАММЫ

15.1 СЕРВИС «ОПЕРАТИВНЫЙ ОБМЕН ЗАЩИЩЕННЫМИ СООБЩЕНИЯМИ»

15.1.1 Основные понятия сервиса «Оперативный обмен защищенными сообщениями» 150 15.1.2 Отличия службы «Послать сообщение» от «Конференции»

15.1.3 Открытие сеанса обмена сообщениями (обмен сообщениями или конференция) 152 15.1.4 Проверка доступности пользователя перед началом сеанса обмена сообщениями 152 15.1.5 Отправка сообщений

15.1.7 Добавление пользователей в открытый сеанс

15.1.8 Уведомление о получении нового сообщения

15.1.9 Прочтение и обработка сообщений

15.1.10 Закрытие сеанса

15.1.11 Интерфейс окна Оперативный обмен защищенными сообщениями. 161 15.1.12 Настройка сервиса обмена сообщениями

15.2 ОТПРАВКА И ПОЛУЧЕНИЕ ФАЙЛОВ (ФАЙЛОВЫЙ ОБМЕН)

15.2.1 Описание интерфейса. Главное окно

ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 7 15.2.2 Описание интерфейса. Значки в области уведомлений.

15.2.3 Отправка файлов

15.2.4 Получение файлов

15.2.5 Настройка параметров файлового обмена

15.3 ПРОВЕРКА СОЕДИНЕНИЯ С СЕТЕВЫМ УЗЛОМ И ИНФОРМИРОВАНИЕ О СТАТУСЕ ЕГО

15.3.1 Описание интерфейса окна Проверка соединения

15.3.2 Проверка соединения с сетевыми узлами

15.3.3 Просмотр информации о соединении в отдельном окне

15.3.4 Управление внешним видом верхней панели окна Проверка соединения. 179 15.3.5 Просмотр результатов проверки соединения в других программах. 179 15.3.6 Информирование о недоступности сетевого узла

15.4 ИСПОЛЬЗОВАНИЕ ВНЕШНИХ ПРОГРАММ ДЛЯ СВЯЗИ С ПОЛЬЗОВАТЕЛЯМИ VIPNET. 180

15.5 УДАЛЕННОЕ УПРАВЛЕНИЕ КОМПЬЮТЕРАМИ ПОЛЬЗОВАТЕЛЕЙ СЕТИ VIPNET

15.6 СЕРВИС «WEB-РЕСУРС» И «ОБЗОР ОБЩИХ РЕСУРСОВ СЕТЕВОГО УЗЛА»

15.7 ИСПОЛЬЗОВАНИЕ ПСЕВДОНИМОВ

15.8 БЛОКИРОВКА КОМПЬЮТЕРА (КНОПКА БЛОКИРОВКИ)

15.9 РАБОТА С КОНФИГУРАЦИЯМИ ПРОГРАММЫ (ОКНО КОНФИГУРАЦИИ)

16 ДОПОЛНИТЕЛЬНЫЕ ВОЗМОЖНОСТИ

16.1 РАБОТА В ПРОГРАММЕ В РЕЖИМЕ АДМИНИСТРАТОРА

16.1.1 Вход в программу в режиме администратора

16.1.2 Настройки в окне Администратор

16.1.3 Просмотр журнала регистрации действий пользователей по изменению настроек безопасности в программе (Окно Журнал событий)

16.2 НАСТРОЙКИ ОБЩИХ ПАРАМЕТРОВ ПРОГРАММЫ И ЗАЩИЩЕННОЙ СЕТИ

16.2.1 Настройка предупреждений

16.2.2 Настройка параметров запуска и аварийного завершения программы. 194 16.2.3 Настройка дополнительных параметров защищенной сети

16.3 АКТИВИЗАЦИЯ НОВОГО ПОЛЬЗОВАТЕЛЯ НА КООРДИНАТОРЕ

16.4 ОБНОВЛЕНИЯ СПРАВОЧНО-КЛЮЧЕВОЙ ИНФОРМАЦИИ И ПО

16.4.1 Удаленное обновление. Действия пользователя при приходе обновления. 198 16.4.2 Ручное обновление справочно-ключевой информации при помощи файла *.dst 16.4.3 Сохранение и возврат предыдущей копии ключевой информации. 199 16.4.4 Замена сетевого узла на другой сетевой узел

16.5 КОМПРОМЕТАЦИЯ КЛЮЧЕЙ ПОЛЬЗОВАТЕЛЯ

16.5.1 Резервный набор персональных ключей пользователей (файл *.pk). Порядок работы с резервными наборами ПК

16.5.2 События, квалифицируемые как компрометация ключей

16.5.3 Действия пользователя при компрометации его ключей

17 СЕРВЕР-МАРШРУТИЗАТОР ДЛЯ СРЕДЫ TCP/IP (МОДУЛЬ MFTP)

ПРИЛОЖЕНИЯ

1 ВОЗМОЖНЫЕ НЕПОЛАДКИ И СПОСОБЫ ИХ УСТРАНЕНИЯ

1.1 НЕПРАВИЛЬНО ВВЕДЕННЫЙ ПАРОЛЬ ИЛИ НЕТ КЛЮЧЕВОЙ ДИСКЕТЫ

1.2 НЕ ПРОВЕРЯЕТСЯ СОЕДИНЕНИЕ С КОМПЬЮТЕРОМ ИЗ ЗАЩИЩЕННОЙ СЕТИ

1.3 ПРОГРАММА НЕ ЗАГРУЖАЕТСЯ

1.4 НЕВОЗМОЖНО ИЗМЕНИТЬ НАСТРОЙКИ В ПРОГРАММЕ VIPNET МОНИТОР

1.5 НЕВОЗМОЖНО СОХРАНИТЬ ПАРОЛЬ

ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 8 1.6 ПРОШЛО ЛИ ОБНОВЛЕНИЕ?

НЕДОСТУПНЫ НАСТРОЙКИ ПРИКЛАДНЫХ ПРОТОКОЛОВ И ВЕБ-ФИЛЬТРОВ (ОТСУТСТВУЕТ СВЯЗЬ

СО СЛУЖБОЙ СЕРВИС VIPNET FIREWALL)

2 ДЕЙСТВИЯ ПОЛЬЗОВАТЕЛЕЙ, ПРИВОДЯЩИЕ К НАРУШЕНИЮ РАБОТЫ VIPNET

2.1 УДАЛЕНИЕ (ИЗМЕНЕНИЕ) ФАЙЛОВ. КРИТИЧНЫЕ К УДАЛЕНИЮ ФАЙЛЫ

2.2 ИЗМЕНЕНИЕ ВРЕМЕНИ И СПОСОБА ЗАПУСКА СЕТЕВЫХ СЛУЖБ ДЛЯ WIN2000/XP/SERVER

2003/VISTA 207 2.3 ИЗМЕНЕНИЕ РЕЕСТРА

2.4 ИЗМЕНЕНИЕ СЕТЕВЫХ НАСТРОЕК НА КОМПЬЮТЕРЕ

2.5 УСТАНОВКА НА КОМПЬЮТЕР ДРУГИХ ПСЭ (FIREWALL)

3 ПРИМЕР ЗАЩИТЫ CISCO IP-ТЕЛЕФОНИИ МЕЖДУ ДВУМЯ ОФИСАМИ И

3.1 НАСТРОЙКА СЕТЕВЫХ УЗЛОВ

3.1.1 Установка и настройка ViPNet-координатора для туннелирования устройств IP-телефонии 210 3.1.2 Настройка туннелируемых устройств IP-телефонии

3.1.3 Установка и настройка ViPNet-клиентов на стационарных компьютерах локальной сети с Cisco IP Communicator

3.1.4 Установка и настройка ViPNet-клиентов на мобильных компьютерах локальной сети с Cisco IP Communicator

3.1.5 Установка и настройка ViPNet-клиентов на удаленных стационарных компьютерах с Cisco IP Communicator, работающих вне офисов

3.1.6 Дополнительные настройки в зависимости от варианта конфигурации локальной сети

4 ВОССТАНОВЛЕНИЕ VIPNET COORDINATOR

5 РЕГЛАМЕНТНОЕ ТЕСТИРОВАНИЕ

Введение О данном документе Данное руководство предназначено для пользователя, отвечающего за установку, настройку и эксплуатацию ПО ViPNet Coordinator. В руководстве содержится информация, необходимая для настройки и использования ПО ViPNet Coordinator. Предполагается, что пользователь обладает знаниями и опытом в области сетевых технологий, достаточными для развертывания локальной сети, в т.ч. умеет устанавливать и настраивать Windows 2000/XP/Server 2003 и производить его сетевую настройку. Т.е. пользователю необходимо обладать знаниями системного администратора.

Для обеспечения работоспособности ViPNet Coordinator, на компьютере должна быть произведена сетевая настройка Windows, такая, какая бы понадобилась для работы данного компьютера в сети в качестве маршрутизатора без использования ПО ViPNet Coordinator. Если в сети уже установлен какой-либо межсетевой экран или другое устройство, осуществляющее преобразование внутренних адресов в адреса, доступные из внешней сети (то есть выполняется NAT – Network Address Translation), то понадобятся знания по настройкам межсетевого экрана.

В этом документе описывается общая концепция построения сети ViPNet, функциональный состав ПО ViPNet Coordinator, варианты его использования, даны рекомендации по настройкам ПО ViPNet Coordinator, а также полное описание интерфейса программы и возможных настроек.

Прежде чем приступить к изучению этого руководства, мы рекомендуем Вам ознакомиться еще с одним документом (входит в поставку ViPNet Администратор) — «Руководство администратора ПО «Центр Управления Сетью»» (рекомендуется прочитать Введение и 1 главу). Эти главы позволят Вам получить общее представление об основных понятиях и структуре сети ViPNet.

Допустимость различных действий пользователей в программе ViPNet Coordinator определяется полномочиями, заданными в ЦУС. В настоящем руководстве все действия пользователя описаны с точки зрения максимальных полномочий, т.е. без ограничений. О возможных полномочиях читайте отдельный документ «Классификация полномочий».

Материал руководства администратора ПО «ViPNet Coordinator» организован следующим образом:

• В главе 1 (стр.14) и ее подпунктах содержатся общие сведения о построении сети ViPNet, о функциональном составе ПО ViPNet Coordinator, а также о защите IP-телефонии с помощью ПО ViPNet.

• В главе 2 (стр.24) представлены требования к аппаратным средствам и операционной среде при установке ViPNet Coordinator [Монитор].

• В главе 3 (стр.24) представлены краткие рекомендации по установке ПО ViPNet Coordinator. Подробную инструкцию по установке и запуску ViPNet Coordinator читайте в отдельном документе «Инструкция по установке, запуску, удалению ViPNet Coordinator», входящем в установочный комплект.

• Глава 4 на стр.24 описывает начало работы с ViPNet Coordinator.

В пункте 4.1 (стр.

26) описаны некоторые особенности старта ViPNet Coordinator на терминальных серверах.

• В главе 5 (стр.27) и ее подпунктах описаны способы запуска программы ViPNet Coordinator [Монитор] и завершения работы с ней.

• В главе 6 (стр.27) содержатся сведения об основных возможностях ПО ViPNet Coordinator.

• Глава 7 (стр.30) полностью описывает интерфейс программы – систему окон и меню. В пункте 7.2 (стр.30) приведен список основных окон программы и их краткое описание.

• Глава 8 (стр.38) содержит подробные сведения о конфигурировании ViPNet Coordinator [Монитор] для подключения его к сети ViPNet и обеспечения работы требуемой функциональности. Следуя этой главе, администратор сможет полностью произвести настройку ViPNet Coordinator, даже в том случае, если в административной программе ЦУС (или ViPNet Manager) для координатора не заданы все необходимые данные. Мы рекомендуем, именно по этой главе осуществить все необходимые настройки.

Пункт 15.2 (стр.

170) описывает службу файлового обмена, предоставляющую возможность обмена файлами между пользователями защищенной сети ViPNet.

Пункт 15.1 (стр.

150) посвящен описанию сервисной службы, позволяющей получать информацию о статусе пользователя защищенной сети ViPNet.

В пункте 0 (стр.170) рассказано об использовании различных внешних программ для взаимодействия с пользователем (Microsoft NetMeeting, VoxPhone, InternetPhone, Compaq Insight Manager, Microsoft Portrait), обеспечивающих возможность вести телефонные переговоры, передачу аудио- и видеоинформации или другое взаимодействие через Интернет с подключенными пользователями из окна Защищенная сеть.

Пункт 15.5 (стр.

181) описывает использование внешних программ Remote Administrator, Remote Desktop Connection и VNC, которые позволяют получить защищенный доступ на удаленный компьютер пользователя сети ViPNet.

Пункт 15.6 (стр.

182) описывает сервисы Web-ссылка и Открыть сетевой ресурс, позволяющие из ViPNet Coordinator [Монитор] обращаться к различным информационным ресурсам защищенной сети.

В пункте 15.7 (стр.183) содержится описание использования псевдонимов для пользователей защищенной сети вместо имен, заданных в ЦУС (или ViPNet Manager).

В пункте 15.8 на стр.183 рассказано о возможности произвести блокировку компьютера и(или) IP-трафика, которые пользователь может осуществить при помощи кнопки блокировки.

ПО ViPNet Coordinator [Монитор] предоставляет возможность создавать, сохранять, а потом использовать различные конфигурации программы под разными именами, используя окно Конфигурации (пункт 15.9, стр.185).

• Глава 16.1 (стр.187) расскажет о работе в программе с правами администратора:

Пункт 16.1.

1 (стр.187) содержит информацию о входе в программу с правами администратора и о том, какие возможности эти права предоставляют администратору сети ViPNet.

В пункте 16.1.2 (стр.188) описано окно Администратор, в котором можно осуществить дополнительные настройки программы.

Программа ViPNet Coordinator [Монитор] производит регистрацию событий по изменению пользователями и администратором настроек безопасности, произведенных в программе, и выводит информацию об этом в специальном журнале событий (пункт 16.1.3, стр.190).

• Осуществить различные дополнительные настройки ПО ViPNet Coordinator можно в окне Дополнительные настройки, описанном в главе 16.2 (стр.192).

• Если администратор ЦУС зарегистрировал на Вашем координаторе нового пользователя, то для того, чтобы он мог работать, нужно его активизировать на координаторе. О том, как это сделать рассказано в главе 16.3 на стр. 197.

• В главе 16.4 (стр.197) описаны способы обновления справочно-ключевой информации на СУ.

• Глава 16.5 (стр. 201) содержит описание основных событий, связанных с компрометацией ключей, а также действия пользователя при компрометации его ключей.

В пункте 16.5.1 (стр. 201) описано назначение резервных наборов персональных ключей пользователей (файлы *.pk) и порядок работы с ними. Эти файлы передаются пользователям на ответственное хранение.

• Краткое описание модуля mftp, выполняющего в координаторе функцию серверамаршрутизатора почтовых конвертов, представлено в Главе 17 (стр.202). Подробное описание этого модуля изложено в отдельном документе «ViPNet MFTP. Описание работы».

ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 13

• В Приложении 1 описаны возможные неполадки в ПО ViPNet Coordinator и способы их устранения.

• В Приложении 2 описаны действия пользователя, которые могут привести к различным неполадкам в работе ПО ViPNet.

• В Приложении 3 приведен пример схемы защиты трафика IP-телефонии в организациях, где установлена Cisco IP-телефония. На примере защиты Cisco IPтелефонии между двумя офисами и мобильным компьютером рассмотрены настройки, которые следует произвести для обеспечения защиты трафика IP-телефонии.

Некоторые дополнительные материалы, также относящиеся к использованию ПО ViPNet

Coordinator, изложены в отдельных документах:

• «Инструкция по установке, запуску, удалению ViPNet Coordinator» – подробная инструкция по установке и удалению ViPNet Coordinator, находится в файле QuickStart_Coordinator.pdf.

• «Идентификация пользователя ViPNet» – описание процесса идентификации пользователей ViPNet программным обеспечением ViPNet (ввод и сохранение пароля и т.д.), находится в файле User_Identification_Ru.pdf • «Контроль приложений» – руководство пользователя по работе с модулем Контроль приложений, находится в файле Application_Control_Ru.pdf. Модуль предназначен для защиты пользователя от несанкционированных попыток приложений, работающих на его компьютере, выполнить определенные действия в сети. Позволяет разрешать/запрещать приложениям работу в сети, вести журнал обращений к сети. Модуль полезен для обнаружения вирусов типа «троян». Возможность использования программы Контроль приложений зависит от регистрационного файла.

• «ViPNet MFTP. Описание работы» – подробное описание работы транспортного модуля mftp, находится в файле ViPNet_MFTP_Ru.pdf.

• «Настройка параметров безопасности» – описание по работе с модулем, отвечающим за смену паролей пользователей, пользователей и т. д., находится в файле Security_Service_Settings_ru.pdf.

• «Основные термины и определения» – словарь специальных терминов, используемых в документации ПО ViPNet, находится в файле Glossary_Ru.pdf.

• «Классификация полномочий» – описание возможных полномочий пользователя (полномочия задаются в программе ЦУС), определяющих допустимость различных действий пользователя на компьютере по изменению настроек установленного на нем ПО ViPNet, находится в файле ViPNet_Permissions_Ru.pdf.

• «Информация о внешних устройствах хранения данных» – необходимая информация о внешних устройствах хранения данных, которые могут использоваться в ViPNet для записи и считывания различной информации (паролей, ключей и т.д.), находится в файле Extenal_Devices_Guide_Ru.pdf.

• relnotes.txt – файл с замечаниями по использованию ПО ViPNet.

Эти документы входят в комплект поставки программного обеспечения ViPNet Coordinator.

Сокращения и принятые обозначения

В тексте документации встречаются следующие сокращения:

ЦУС – Центр Управления Сетью;

АП – Абонентский пункт;

СУ – Сетевой узел;

ПО – Программное обеспечение;

Монитор – программа ViPNet Coordinator [Монитор];

ViPNet-координатор (или координатор) – компьютер с ПО ViPNet Coordinator;

МЭ – Межсетевой экран.

Также в тексте документации используются различные элементы оформления:

Внимание! – важная информация, требующая особого внимания.

Замечание: – полезная дополнительная информация, примечание.

Как изучать документ Наиболее эффективный метод изучения ПО ViPNet — это изучение непосредственно за компьютером в диалоговом режиме, чтобы Вы могли попробовать самостоятельно произвести требуемые действия, прочитав очередную часть руководства. Большинство терминов, встречающихся по ходу прочтения документа, объяснены в специальном глоссарии, который также входит в комплект поставки ViPNet. Мы постарались внести в глоссарий не только термины, уникальные для ViPNet, но и некоторые другие термины, использующиеся в документации ПО ViPNet.

1 Общие положения

1.1 Виртуальная сеть ViPNet. Общие принципы взаимодействия узлов в виртуальной сети Пакет программ серии ViPNet в применении к IP-сетям является универсальным программным средством для создания виртуальных защищенных сетей (VPN) любых конфигураций, обеспечивающих прозрачное взаимодействие компьютеров, включенных в VPN, независимо от способа, места и типа выделяемого адреса при их подключении к сети.

Наивысший уровень защиты и полностью безопасная работа обеспечивается при установке соответствующих программных средств на каждый компьютер, участвующий в виртуальной защищенной сети. Информация, которой каждый компьютер обменивается с другими компьютерами, становится недоступной для любых других компьютеров, не участвующих в данном соединении. Информация, которая расположена на самом компьютере, недоступна с любого компьютера, не участвующего в VPN. Доступ с компьютеров, участвующих в VPN, определяется наличием соответствующих связей, ключей, настройкой фильтров и полностью контролируем.

Виртуальная сеть ViPNet строится путем установки на компьютеры (сетевые узлы) следующего ПО: ViPNet Client и ViPNet Coordinator. ViPNet Client обеспечивает сетевую защиту и включение в VPN отдельных компьютеров.

Компьютер с ПО ViPNet Coordinator обычно устанавливается на границах локальных сетей и их сегментов и обеспечивает:

• включение в VPN открытых и защищенных компьютеров, находящихся в этих локальных сетях или их сегментах, независимо от типа адреса, выделяемого им;

• разделение и защиту сетей от сетевых атак, и оповещение компьютера с ViPNet Client о состоянии других сетевых узлов, связанных с ним.

Компьютеры сети ViPNet могут располагаться внутри локальных сетей любого типа, поддерживающих IP-протокол. Допускается любой тип подключения к сети. Это может быть сеть Ethernet или PPPoE через XDSL-подключение, PPP через обычный Dial UP или ISDN, сеть сотовой связи GPRS или Wireless-устройства, сети MPLS или VLAN. ПО ViPNet автоматически поддерживает разнообразные протоколы канального уровня.

Компьютеры сети ViPNet могут работать в сети как автономно, то есть не использовать никакие межсетевые экраны, так и через различные межсетевые экраны и другие устройства, выполняющие функции преобразования адресов (NAT).

Внутри больших локальных сетей с использованием программных средств виртуальной сети могут быть созданы информационно независимые, взаимно недоступные или частично пересекающиеся замкнутые (независимые) группы компьютеров.

Программные средства виртуальной сети позволяют легко подсоединить к Интернет компьютеры локальной сети, участвующие в VPN, как только для защищенных соединений, при этом полностью исключая доступ из Интернет к этим компьютерам (как защищенным, так и открытым), так и организовать их выход на открытые ресурсы Интернет.

Специальные технологии позволяют участнику виртуальной сети одновременно с защищенными соединениями иметь односторонний доступ к открытым информационным ресурсам локальной или глобальной сети (режим Пропускать все исходящие соединения кроме запрещенных, см. п.10.3, стр.83), а также обеспечивать любые другие типы фильтрации открытого трафика в соответствии с заданной политикой безопасности.

ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 15 Для защищенного трафика также возможна его фильтрация в соответствии с произведенными настройками.

При невозможности или нежелании установки программных средств на какие-то компьютеры локальной сети, работу по защите трафика таких компьютеров во внешних сетях можно поручить программному обеспечению ViPNet Coordinator, который в этом случае создаст защищенный туннель для этих компьютеров до аналогичного координатора или непосредственно до конечного компьютера.

Основой всех программ для виртуальной сети является специальный ViPNet Драйвер, взаимодействующий непосредственно с драйверами сетевых интерфейсов (реальных или их эмулирующих) операционной системы, что обеспечивает независимость программы от операционной системы и недокументированных возможностей в ней. ViPNet Драйвер перехватывает и контролирует весь IP-трафик, поступающий и исходящий из компьютера.

При взаимодействии в сети с другими компьютерами, также оснащенными ПО ViPNet, программа обеспечивает установление между такими компьютерами защищенных VPN-туннелей.

При этом осуществляется шифрование всего IP-трафика между двумя компьютерами, что делает недоступным этот трафик для любых других компьютеров, в том числе имеющих такое же ПО. По умолчанию шифрование происходит по алгоритму, рекомендованному ГОСТ 28147-89, с длиной ключа 256 бит. Имеется возможность выбрать другой алгоритм шифрования – AES.

Для создания защищенных туннельных VPN-соединений между узлами используются IPпротоколы двух типов (IP/241 и IP/UDP), в которые упаковываются любые другие IP-протоколы (более подробно о протоколах соединения читайте в п.8.2, стр.41).

Ключи между каждой парой компьютеров зависят как от информации, формируемой Центром (симметричная схема распределения ключей), так и от информации, формируемой каждым компьютером (асимметричная схема распределения ключей).

Такая ключевая структура позволяет строить корпоративные виртуальные сети на базе ViPNet, с одной стороны надежно управляемые из Центра, а с другой стороны полностью информационно недоступные для Центра в части пользовательской информации.

Управление виртуальной сетью и допустимыми связями, созданием и распределением ключевой информации между узлами осуществляется с помощью программ Центр управления сетью (ЦУС) и Удостоверяющий и Ключевой центр (УКЦ) или ViPNet Manager.

Обмен управляющей информацией с ЦУС (или ViPNet Manager) и объектов сети между собой (справочники, ключи, программное обеспечение и др.), а также обмен почтовой информацией производится через координатор (используется функциональная составляющая – сервермаршрутизатор) с помощью специального транспортного протокола над TCP/IP.

Оповещение абонентского пункта о состоянии других узлов сети для взаимодействия с ними, по умолчанию осуществляет координатор (точнее его функциональная составляющая – сервер IPадресов), на котором этот абонентский пункт был зарегистрирован в ЦУС (или ViPNet Manager).

Этот координатор всегда владеет полным объемом информации обо всех узлах сети, связанных с данным абонентским пунктом. Однако пользователь (или по команде из ЦУС (или ViPNet Manager)), при необходимости, может выбрать в качестве сервера IP-адресов и любой другой координатор, доступный ему. В этом случае абонентский пункт также сможет получить информацию о большинстве связанных с ним узлов и рассказать им о себе.

Также ViPNet Coordinator может выполнять функции специализированного сервера для подключения отдельных компьютеров локальной сети с ViPNet Client к открытым ресурсам Интернет.

Более подробно о функциях ViPNet Coordinator читайте в главе 1.3.

1.2 Состав программного обеспечения ViPNet Coordinator

ViPNet Coordinator состоит из следующих основных модулей:

• Низкоуровневого Драйвера сетевой защиты ViPNet ДРАЙВЕР, взаимодействующего непосредственно с драйверами сетевых интерфейсов компьютера и контролирующего весь проходящий через них IP-трафик;

• Программы ViPNet Монитор, предоставляющей интерфейс пользователя для произведения различных настроек Драйвера и фиксирующей все необходимые события в специальных журналах регистрации IP-трафика (см. п.14.1, стр.123). Вы можете выгрузить эту программу, но Драйвер по-прежнему будет обеспечивать безопасность Вашего компьютера, при этом в журнале регистрации IP-трафика может сохраниться не ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 16 вся информация о зафиксированном трафике, в то время пока программа Монитор была выгружена (см. п. Просмотр журнала регистрации IP-пакетов (стр.127)).

• Транспортного модуля (ViPNet MFTP), реализующего в координаторе функцию сервера-маршрутизатора почтовых конвертов (см. руководство пользователя «ViPNet MFTP. Описание работы»).

• Программы Контроль приложений, при наличии лицензии на нее в регистрационном файле (см. руководство пользователя «Контроль приложений»).

ViPNet Coordinator является составной частью пакета программ ViPNet Tunnel, ViPNet Custom компании Инфотекс и обеспечивает защищенную работу различных приложений в среде WINDOWS через открытые сети.

1.3.1 Функция Сервер-маршрутизатор В соответствии с логикой построения виртуальных защищенных сетей (VPN) ViPNet (см.

Руководство администратора «Центр управления сетью») абонентские пункты (АП) регистрируются на координаторах (с функциональной составляющей – сервер-маршрутизатор). Через этот координатор будет проходить почтовая информация каждого АП при взаимодействии с другими СУ, а также управляющая информация ЦУС (или ViPNet Manager). Т.о. сервер-маршрутизаторы работают как специализированные Почтовые Серверы.

Используя off-line сервисы Деловая Почта и Файловый обмен.

Обновления справочно-ключевой информации, ПО ViPNet и др.

В координаторе функцию сервера-маршрутизатора реализует модуль (ViPNet Mftp).

Между серверами-маршрутизаторами в ЦУС задаются логические каналы связи:

• Либо полная связность, тогда управляющая и почтовая информация будет передаваться от сервера к серверу по кратчайшему маршруту;

• Либо конкретная цепочка связей, тогда управляющая и почтовая информация будет передаваться от сервера к серверу по заданным маршрутам.

Задание в ЦУС (или ViPNet Manager) связей между АП, определяет, c какими другими АП будет обмениваться информацией данный АП.

При организации взаимодействия между двумя различными виртуальными сетями ViPNet, в ЦУС каждой из сетей выбирается по одному серверу-маршрутизатору, через которые и осуществляется обмен между сетями – шлюзовые координаторы. В настройках ViPNet Mftp можно изменить маршрутизацию конвертов в другие сети.

При поступлении почтового или управляющего конверта, сервер-маршрутизатор в соответствии с маршрутными таблицами определяет дальнейшее движение этого конверта. Если конверт многоадресный, то расщепляет его на соответствующие части. В зависимости от заданной логики, сервер, при наличии конверта либо сам начинает устанавливать соединение с другим сервером или АП (по умолчанию такая логика установлена при отправке конверта на другой сервер) или ожидает, когда с ним установит соединение другая сторона (по умолчанию эта логика работает при наличии конвертов для АП). Может быть задан и период опроса других объектов в независимости от наличия для них конвертов.

При разрывах соединений передача информации всегда продолжается с точки разрыва, что особенно важно на коммутируемых каналах.

Краткое описание ViPNet Mftp представлено в п. 17 на стр.202, подробное описание – в отдельном документе «ViPNet MFTP. Описание работы».

1.3.2 Функция Сервер IP-адресов Координатор будет выполнять функции сервера IP-адресов, если в ЦУС он зарегистрирован в задаче Сервер IP-адресов.

При подключении любого компьютера с программой ViPNet Client (АП) к сети, а также при изменениях в параметрах подключения, IP-адрес компьютера, а также другие параметры подключения сообщаются своему серверу IP-адресов (далее в этом разделе – серверу). При этом от сервера поступает список IP-адресов и параметров подключения всех включенных в данный момент сетевых узлов ViPNet, с которыми связан данный АП. В соответствии с этим списком в окне отображения пользователей защищенной сети (Защищенная сеть), сетевые узлы ViPNet, находящиеся в данный момент в сети отобразятся, как включенные, а также отобразятся их текущие IP-адреса, зарегистрируются другие параметры подключения. Периодически (по умолчанию раз в 5 минут) АП посылает своему серверу подтверждения своего присутствия в сети. При отключении компьютера от сети на сервер также посылается информация об этом. Период отправки периодических посылок с АП на сервер IP-адресов можно изменить в настройках сервера IPадресов.

По аналогичной логике серверы обмениваются между собой информацией о параметрах своего подключения, своем включении и отключении. Кроме того, серверы обеспечивают рассылку информации о других узлах. Каждый сервер периодически подтверждает каждому другому, связанному с ним серверу свое присутствие. Периоды опроса серверов также можно настроить. По умолчанию опрос серверов производится раз в 15 минут.

Сервер IP-адресов работает по следующей логике:

• При появлении новой информации о каком-то своем АП рассылает ее всем другим серверам своей сети ViPNet, а также включенным в данный момент остальным своим АП.

• При появлении новой информации с других серверов об их АП высылает эту информацию своим включенным АП.

• При отсутствии информации от своих АП более периода опроса, заданного для АП (по умолчанию 5 минут), считает этот АП отключившимся и рассылает эту информацию.

ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 18

• Если данный сервер взаимодействует с другой сетью ViPNet, то высылает на шлюзовой координатор той сети информацию об изменении состояния всех объектов своей сети, связанных с объектами другой сети ViPNet. При получении такой информации из другой сети ViPNet, рассылает эту информации на все серверы своей сети, а также на подключенные в данный момент свои АП, связанные с объектами другой сети.

По умолчанию на АП выбирается работа с сервером IP-адресов, на котором данный АП зарегистрирован в ЦУС (или ViPNet Manager). Однако в ЦУС (или ViPNet Manager) могут быть заданы настройки, при которых на АП по умолчанию будет выбран другой сервер IP-адресов.

АП, при необходимости может выбрать в качестве Сервера IP-адресов любой другой координатор, с которым в ЦУС (или ViPNet Manager) ему разрешили связь.

1.3.3 Функция Сервер ViPNet-Firewall При регистрации в ЦУС в задаче Сервер IP-адресов Координатор будет выполнять также функции сервера ViPNet-Firewall.

ViPNet-координатор, установленный на компьютере с несколькими сетевыми адаптерами, разделяющими сети друг от друга, выполняет функции трансляции адресов (NAT) для VPNсоединений между узлами ViPNet в сторону каждой из сетей.

То есть все IP-пакеты, упакованные в UDP-формат и проходящие через ViPNet-координатор, передаются в сеть от имени адреса соответствующего интерфейса координатора:

Если сетевой узел использует в качестве МЭ ViPNet-координатор, то трафик сетевого узла, предназначенный для сетевых узлов, которые недоступны по широковещательным пакетам, находятся со стороны других сетевых интерфейсов ViPNet-координатора или не используют этот ViPNet-координатор в качестве МЭ, автоматически маршрутизируется на адрес своего ViPNetкоординатора (производится подмена IP и MAC-адреса). Затем ViPNet-координатор, выполнив подмену адресов, направляет эти пакеты дальше от имени своего адреса. Аналогичным образом трафик следует и в обратную сторону.

Одновременно ViPNet-координатор осуществляет фильтрацию открытых пакетов на каждом сетевом интерфейсе (функции межсетевого экрана) в соответствии с заданными настройками по адресам, протоколам и портам. При этом может осуществляться динамическая и статическая трансляция (NAT) открытых сетевых адресов, что позволяет работать и незащищенным компьютерам локальной сети под одним внешним IP-адресом (см.п. 1.3.7).

В ряде случаев на границе локальной сети может быть уже установлен межсетевой экран другого производителя, выполняющий функции NAT, и в соответствии с политикой безопасности организации любой трафик во внешние сети должен проходить именно через этот межсетевой экран. В таком случае на координаторе для внешнего интерфейса настраивается работа через этот межсетевой экран. Тогда АП локальной сети, установленные за координатор, и сам координатор станут доступными из внешней сети через внешний IP-адрес межсетевого экрана другого производителя.

ViPNet-координатор может также работать через другой ViPNet-координатор (см. п. 1.3.5, стр.

Все объекты ViPNet, работающие через ViPNet-координатор или другой межсетевой экран, могут быть видны с защищенных компьютеров под виртуальными адресами, вырабатываемыми непосредственно на этих компьютерах. Программы ViPNet при взаимодействии с компьютерами, по умолчанию используют виртуальные адреса, если состояние этих компьютеров определилось, как «работающие через межсетевой экран». Подробнее о виртуальных адресах читайте в п.8.4, стр.53.

1.3.4 Функция туннелирования открытого трафика локальной сети ViPNet-координатор может туннелировать трафик от заданных компьютеров (без ViPNet Client) и других устройств локальной сети, который должен быть передан другим узлам ViPNet или туннелируемым компьютерам других координаторов. При этом трафик остается незащищенным только на участке от туннелируемого устройства до координатора, а в дальнейшем весь трафик идет в зашифрованном виде.

ViPNet-координатор сможет выполнять функции туннелирования, если в ЦУС для этого координатора разрешено туннелирование, т.е. указано максимальное число IP-адресов, которое координатор сможет одновременно туннелировать.

Обмен информацией между АП различных сетей ViPNet производится через один из координаторов каждой сети, называемых шлюзовыми.

ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 19 Туннелироваться может трафик любых устройств, находящихся со стороны любого сетевого интерфейса. При этом передача закрытого трафика производится от имени адреса интерфейса координатора, с которого уходит этот трафик, то есть выполняется NAT.

Если узел ViPNet взаимодействует с туннелируемым некоторым координатором компьютером, и этот компьютер находится в той же подсети, что и узел ViPNet, то в этом случае узел ViPNet по умолчанию взаимодействует с этим компьютером напрямую без шифрования трафика.

Если два туннелируемых устройства одного координатора, взаимодействующие между собой, расположены со стороны разных интерфейсов, и трафик между ними проходит через координатор, то для адресов этих устройств должно быть задано разрешающее транзитное правило в фильтрах открытой сети.

Локальные сети, соединенные через туннели могут быть не согласованы по IP-адресам (IPадреса могут пересекаться). В этом случае работа может производиться по виртуальным адресам, выделяемым ViPNet-координаторами (о технологии виртуальных адресов читайте в п.8.4, стр.53).

Расшифрованные координатором пакеты для туннелируемых им компьютеров всегда отправляются в сеть от имени реального или виртуального адреса, под которым на координаторе виден компьютер, пославший этот пакет.

Списки IP-адресов, подлежащих туннелированию, задаются в виде диапазонов и отдельных значений непосредственно на объектах виртуальной сети (АП и Координаторах) или в ЦУС (или ViPNet Manager).

Для туннелируемых ресурсов также могут быть настроены необходимые фильтры.

Использование ViPNet-координатора для туннелирования целесообразно, если на какие-либо компьютеры не удается или нет необходимости устанавливать ViPNet Client для индивидуальной защиты.

1.3.5 Каскадное включение координаторов Если в локальной сети, на границе которой установлен ViPNet-координатор, требуется обеспечить защиту трафика некоторого внутреннего сегмента сети в целом, то на границе этого сегмента сети может быть также установлен ViPNet-координатор, на котором настраивается работа через внешний ViPNet-координатор (Рисунок 1). Такое включение координаторов называется каскадным включением (или каскадированием координаторов), при этом происходит автоматическая маршрутизация трафика от внутреннего сегмента сети, как в локальную, так и внешнюю сеть.

Для текущей версии ViPNet допустимо только два уровня каскадирования. Это означает, что не следует за внутренний координатор помещать любые другие объекты ViPNet. Такие объекты будут доступны только через один координатор и не будут доступны через два координатора.

Однако может быть обеспечено прохождение пакетов от некоторого узла и через несколько координаторов, если на сетевом узле задан тип МЭ Со статической трансляцией адресов. В этом случае маршрутизация информации осуществляется только средствами операционной системы, и могут потребоваться дополнительные настройки маршрутизации на сетевых узлах в цепочке. На внешних сетевых узлах в качестве адреса доступа к такому узлу будет регистрироваться адрес ближайшего внешнего координатора в цепочке. При таком включении число каскадов не ограничивается.

1.3.6 Функция ViPNet–сервер Открытого Интернета Если в организации, из соображений политики безопасности, компьютерам локальной сети запрещен выход в Интернет (назовем их группой компьютеров А), но отдельным компьютерам необходим такой доступ (группа компьютеров Б), то можно для группы компьютеров Б с использованием технологии ViPNet создать в локальной сети выделенный виртуальный контур компьютеров, трафик которых при работе в Интернет был бы полностью изолирован от остальной локальной сети.

Данная задача решается путем установки на границе сети отдельного координатора с функцией ViPNet-сервера Открытого Интернета и установки на этом координаторе или на туннелируемом им компьютере любого Proxy-сервера прикладного уровня.

Обратите внимание, что программное обеспечение ViPNet может некорректно работать с прокси-серверами прикладного уровня, которые помимо функции проксирования, осуществляют преобразование сетевых адресов (NAT) и имеют функции межсетевого экрана. Это происходит изза того, что ViPNet Coordinator также может выполнять преобразование сетевых адресов (NAT) и быть межсетевым экраном. В связи с этим при установке и настройке прокси-серверов прикладного уровня необходимо отключать (если есть возможность) службы NAT и межсетевого экрана.

Например, если вы хотите установить на один компьютер WinGate и ViPNet Coordinator, то на этапе установки WinGate мы настоятельно рекомендуем не устанавливать ENS-драйвер (Extended Network Services driver), обеспечивающий в WinGate работу NAT, маршрутизации и межсетевого экрана.

На компьютеры группы Б устанавливается ПО ViPNet Client. Сетевые узлы с ViPNet Client связываются в ЦУС с координатором открытого интернета.

Далее возможны два способа организации работы:

1. Компьютерам группы Б разрешается работа исключительно в Интернете. В этом случае сетевым узлам в ЦУС не предоставляются никакие другие связи, кроме координатора открытого Интернета. ПО ViPNet переводится в первый режим работы (полная блокировка любого открытого трафика). Таким образом трафик с Интернетом, проходя через Proxyсервер прикладного уровня, на участке между компьютером группы Б и координатором (то есть в локальной сети) будет упакован в VPN-соединение. Такой трафик при любых атаках не может выйти за пределы созданного виртуального контура. Данное решение эквивалентно физическому выделению сегмента локальной сети для работы в Интернете.

2. Второй вариант, когда компьютерам группы Б требуется также предоставить возможность работы с другими защищенными узлами и открытыми ресурсами локальной сети. Это менее безопасный вариант, чем первый. Тем не менее обеспечивает достаточно высокий уровень защиты от атак, как компьютеров группы Б, так и группы А. Цель достигается путем разделения времени работы в Интернет и в локальной сети. При этом на компьютере группы

Б:

• При работе в Интернете блокируется любой трафик, как в локальную сеть, так и с другими сетевыми узлами кроме координатора.

• При работе в локальной сети блокируется любой трафик с Интернетом.

Такое разделение во времени исключает любые ONLINE атаки на компьютеры группы А через компьютеры группы Б. А если на компьютер группы Б попадет троян, то он при проявлении активности в сети будет обнаружен и блокирован модулем контроля приложений ViPNet.

Для выбора варианта работы (в Интернете или в локальной сети) необходимо просто переключить опцию в программе ViPNet Client [Монитор].

ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 21 На компьютеры группы Б рекомендуется установить антивирусные средства и административными методами запретить установку любых виртуальных машин.

Координатор Открытого Интернета выполняет следующие функции:

• организует доступ к ресурсам открытого Интернета через Proxy-сервера прикладного уровня;

• запрещает доступ к ресурсам открытого Интернета для компьютеров группы А;

• организует защищенный туннель между собой и компьютером группы Б на время его работы с ресурсами открытого Интернета без возможности доступа к этому туннелю со стороны всех остальных пользователей локальной сети;

• является Межсетевым Экраном, который запрещает доступ в локальную сеть из открытого Интернета.

Технология гарантирует, что никакие стратегии атак как снаружи, так и изнутри сети не могут привести к нарушению безопасности компьютеров сети, подключение которых к Интернету запрещено (компьютеры группы А). На такие компьютеры, при любых атаках трафик из Интернета может попасть только в зашифрованном виде, что не будет воспринято компьютером, и в связи с этим не опасно. Попытки проведения атак на сеть через компьютеры группы Б невозможны, так как блокируется посторонний трафик от них, кроме трафика с Координатором Открытого Интернета.

Одновременно исключаются любые возможности несанкционированного подключения из локальной сети к Интернет.

Замечание. Если требуется не только обеспечить возможность подключения к открытому Интернету заданных компьютеров локальной сети, но и одновременно обеспечить возможность подключения локальной сети к Интернету для защищенного обмена с другими локальными сетями (с ПО ViPNet) и защищенными мобильными компьютерами, то в этом случае на границе сети необходимо установить еще один ViPNet Coordinator с двумя и более сетевыми интерфейсами. В ЦУС следует задать необходимые логические связи для разделения информационных потоков. На координаторе, осуществляющем функции Сервера Открытого Интернета, в ЦУС не следует регистрировать АП, которые должны взаимодействовать с другими АП сети ViPNet.

1.3.7 Функция трансляции IP-адресов (NAT) ViPNet Coordinator для открытого трафика поддерживает технологию трансляции сетевых адресов (NAT – Network Address Translation).

Зачем нужен NAT Трансляция сетевых адресов (NAT) – это технология, позволяющая преобразовывать IPадреса, использующиеся в одной сети в адреса, использующиеся в другой.

NAT обычно применяется для решения двух основных задач:

• При необходимости подключения локальной сети к Интернет, когда количество узлов локальной сети превышает выданное поставщиком услуг Интернет количество публичных IP-адресов. Таким образом, NAT позволяет локальным сетям, использующим частные адреса, получать доступ к ресурсам Интернет.

• Для сокрытия внутренней структуры локальной сети. В результате применения технологии NAT, локальные сети, имеющие частные адреса, могут работать с Интернетом, при помощи трансляции своих частных адресов в адреса, допустимые в Интернете (публичные), и при этом выглядеть снаружи так, как будто они используют адресное пространство, отличное от пространства, используемого на самом деле. Таким образом, не имея информации о закрытом адресном пространстве локальной сети, становится практически невозможным напрямую атаковать тот или иной узел локальной сети.

Функции NAT конфигурируются на компьютере, разграничивающем локальную (внутреннюю) сеть и глобальную (внешнюю) сеть (например, Интернет). Компьютер должен иметь, как минимум два сетевых интерфейса, один из которых обеспечивает доступ в Интернет и имеет публичный IPадрес, назовем этот интерфейс внешним. Остальным сетевым интерфейсам (внутренним) могут быть присвоены любые адреса (как частные, так и публичные). При прохождении сетевых пакетов через компьютер с функциями NAT, с внутреннего интерфейса на внешний, а затем обратно, происходит трансляция сетевых адресов (NAT).

NAT в ViPNet Coordinator ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 22 В ПО ViPNet Coordinator трансляция адресов выполняется для любых IP-протоколов. Однако для всех протоколов кроме TCP, UDP и ICMP выполняется частичная трансляция (см. п. 13).

ПО ViPNet Coordinator может производить трансляцию двух типов – статическую трансляцию и динамическую трансляцию (или точнее разновидность динамической трансляции, известной под названием «Masquerading»):

• Статическая трансляция адресов устанавливает взаимно однозначное соответствие адресов или портов по типу “один к одному”, т.е. один глобальный (публичный) адрес или порт маршрутизатора соответствует одному частному адресу или порту внутренней сети.

Статическая трансляция применяется в тех случаях, когда некий внутренний узел должен быть доступен извне по постоянному адресу (например, сервер www).

• Динамическая трансляция адресов устанавливает соответствие между несколькими частными адресами внутренней сети и одним публичным адресом маршрутизатора путем динамического присвоения уникальных дополнительных параметров (например, портов).

Данная разновидность NAT, как правило, используется для предоставления доступа компьютеров из локальной сети с частными адресами к сети Интернет через маршрутизатор, имеющий всего один публичный адрес, т.к. позволяет в такой ситуации задействовать этот публичный IP-адрес одновременно для нескольких сетевых компонентов локальной сети.

Статическая и динамическая трансляция адресов производится только при настройках соответствующих правил трансляции на ViPNet-координаторе.

Для обеспечения возможности работы FTP-клиентов в активном режиме, ViPNet Coordinator производит также трансляцию сетевых адресов на прикладном уровне для протокола FTP в автоматическом режиме, без каких-либо настроек правил трансляции.

Более подробное описание трансляции:

————————————————————————————————————————————-Статическая трансляция адресов При статической трансляции адресов происходит перенаправление запросов из Интернета (или другой глобальной сети, поддерживающей IP-протокол) на узлы, находящиеся во внутренней сети, следующем образом:

При поступлении из Интернета IP-пакета, для которого необходимо осуществить перенаправление, ViPNet Coordinator перехватывает этот пакет и в соответствии с заданными настройками заменяет в нем публичный адрес (и/или) порт получателя пакета на частный адрес (и/или) порт узла локальной сети, которому адресован пакет. Затем пакет передается через внутренний сетевой интерфейс узлу локальной сети, которому адресован пакет.

При прохождении ответных пакетов ViPNet Coordinator производит обратную замену указанных параметров. Т.е. в момент передачи ответного IP-пакета, ViPNet Coordinator перехватывает этот пакет и заменяет адрес (и/или) порт отправителя пакета на публичный адрес (и/или) порт внешнего сетевого интерфейса, обеспечивающего доступ в глобальную сеть. Затем ответный пакет отправляется по назначению (узлу в Интернете).

Таким образом, при передаче пакета в Интернете, он выглядит, как будто отправленным с узла и адресованным узлу с публичными IP-адресами.

Динамическая трансляция адресов При динамической трансляции адресов происходит преобразование пакетов, пересылаемых между локальной сетью (как правило, имеющей частные адреса) и Интернетом (или другими глобальными сетями, поддерживающими IP-протокол) следующим образом:

В момент передачи IP-пакета, отправленного из локальной сети в Интернет (или другую глобальную сеть), ViPNet Coordinator перехватывает этот пакет и преобразует в нем адрес (и/или) порт отправителя пакета для TCP и UDP протоколов. Для пакетов ICMP протокола преобразуется адрес отправителя, остальные параметры запоминаются. В процессе преобразования частный адрес отправителя пакета изменяется на публичный адрес внешнего сетевого интерфейса, обеспечивающего доступ в глобальную сеть. При дальнейшей передаче пакет выглядит, как будто, он отправлен узлом с публичным IP-адресом. Значения номеров портов отправителя пакета (для TCP и UDP протоколов) при их преобразовании и запомненные параметры (для ICMP протокола) на маршрутизатор устанавливается ViPNet Coordinator Публичным адресом получателя пакета является адрес внешнего сетевого интерфейса координатора, обеспечивающего доступ в глобальную сеть (Интернет) ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 23 имеют уникальные значения в рамках всех исходящих IP-соединений для внешнего сетевого интерфейса Coordinator. После преобразования пакет отправляется по назначению (узлу в Интернете).

При прохождении ответных пакетов ViPNet Coordinator производит обратное преобразование указанных параметров. Т.е. в момент передачи ответного IP-пакета, ViPNet Coordinator перехватывает этот пакет и преобразует в пакете адрес получателя пакета на частный адрес узла локальной сети, которому адресован ответный пакет. Преобразование происходит на основании уникальных номеров портов, присвоенных в исходящих пакетах (для TCP и UDP протоколов) и запомненных параметров в исходящих пакетах (для ICMP протокола). Номера портов (для TCP и UDP протоколов) также преобразуются в свои истинные значения. Затем ответные пакеты передаются через внутренний сетевой интерфейс узлу локальной сети, которому адресован пакет.

1.4 Защита Cisco IP-телефонии При развертывании виртуальной защищенной сети ViPNet в организации, где установлена Cisco IP-телефония, технология ViPNet обеспечивает защиту трафика IP-телефонии. При этом для системных администраторов организации упрощаются различные настройки, необходимые для поддержки мобильных абонентов IP-телефонии, обеспечения взаимодействия с внешними организациями, а также настройки NAT-устройств для поддержки работы с абонентами внутри локальной сети. А именно:

• За счет использования виртуальных адресов системному администратору не нужно производить дополнительные настройки на Cisco CallManager, для того, чтобы мобильный абонент, при смене своего местоположения, смог воспользоваться своим IPтелефоном. На Cisco CallManager мобильный абонент всегда виден под одним и тем же виртуальным адресом независимо от своего местоположения.

• За счет использования виртуальных адресов системному администратору не надо беспокоиться о возможных конфликтах IP-адресов, которые могут происходить при соединении по IP-телефону с другими организациями.

• За счет инкапсуляции любого трафика в единый UDP-формат существенно упрощается настройка установленных на входе локальной сети NAT-устройств.

После развертывания и настройки виртуальной защищенной сети ViPNet:

• Телефонные соединения через Интернет будут производиться с шифрованием трафика.

• Телефонные соединения внутри локальных сетей могут осуществляться, в зависимости от необходимости, с шифрованием трафика или без шифрования.

• Работоспособность взаимодействующих устройств обеспечивается, как по реальным, так и по виртуальным адресам.

• Абоненты телефонной сети общего пользования (PSTN) смогут беспрепятственно дозвониться до абонентов IP-телефонии в офисах и работающих удаленно. При этом секретность таких разговоров непосредственно в сети PSTN не обеспечивается.

• Абоненты IP-телефонии на мобильных компьютерах, при подключении к Интернет в различных точках доступа, смогут осуществлять звонки с программного телефона Cisco IP Communicator просто выбирая нужную конфигурацию ViPNet Client [Монитор], без проведения дополнительных настроек.

Для обеспечения защиты трафика IP-телефонии, а также надежной работоспособности CISCO IP-телефонии совместно с сетями ViPNet, рекомендуется соблюдать схему топологии сети и настройки сетевых узлов, рассмотренные в приложении 3 (Рисунок 132).

ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 24 2 Требования к аппаратным средствам и операционной среде для ПО ViPNet Coordinator ПО ViPNet Coordinator может работать на IBM-совместимых компьютерах с модемом и/или требуемым количеством сетевых адаптеров со следующей рекомендуемой конфигурацией:

В зависимости от количества рабочих станций:

Процессор ОЗУ Количество АП не менее Pentium IV не менее 1 Гбайт до 1000 шт.

не менее Pentium IV не менее 2 Гбайт до 5000 шт.

• Свободное место на жестком диске – не менее 10 Гбайт;

• Операционная система Microsoft Windows 2000 (32 бит) SP4 с установленным обновлением системы безопасности KB835732 (локализация обновления обязательно должна соответствовать локализации ОС Windows), XP (32 бит) c установленным 3-м пакетом обновлений (Service Pack), Server 2003 (32 бит)/Vista (32/64 бит), Server 2008 (32/64 бит), Windows 7 (32/64 бит), Server 2008 R2.

На компьютере не должно быть установлено никаких других ПСЭ (Firewall).

Используемая версия программы Internet Explorer должна быть не ниже 6.0.

3 Установка ViPNet Coordinator Внимание! Перед установкой ViPNet Coordinator убедитесь, что на вашем компьютере не установлены сторонние программные межсетевые экраны и приложения, обеспечивающие преобразование сетевых адресов (NAT). Использование ViPNet Coordinator одновременно c такими программами может привести к конфликтам и вызвать проблемы с доступом в сеть.

Функциональность ViPNet Coordinator определяется соответствующими справочниками, формируемыми ЦУС после регистрации узла в соответствующих задачах.

Для установки ViPNet Coordinator необходимо запустить файл setup.exe, находящийся в установочном комплекте, и следовать подсказкам мастера установки. После первой установки программы необходимо установить набор ключей пользователя. Подробную инструкцию по установке и запуску ViPNet Coordinator читайте в отдельном документе «Инструкция по установке, запуску, удалению ViPNet Coordinator», имеющемся в установочном комплекте.

Внимание! Программе Setup.exe необходимо, чтобы запускал ее пользователь, имеющий права администратора системы Windows. Поэтому обычному пользователю необходимо временно дать администраторские права для установки ViPNet Coordinator, после чего их можно снять.

Внимание! После установки ViPNet Coordinator, если Ваша ОС имеет более одного сетевого интерфейса и позволяет динамически (без перезагрузки компьютера) включать/отключать их (например, Windows 2000, ХР), необходимо иметь ввиду: после каждого такого ВКЛЮЧЕНИЯ (активации) сетевого интерфейса, имеющего ненулевой IP-адрес, рекомендуется перегрузить ОС с Координатором во избежание сбоев в его дальнейшей работе.

4 Начало работы При загрузке компьютера появится окно (Рисунок 2) для идентификации пользователя с приглашением ввести пароль.

Во время загрузки компьютера работа ViPNet Драйвера до авторизации пользователя ViPNet (то есть ввода соответствующего пароля) не зависит от настроек фильтров открытой сети, а определяется выбранным режимом безопасности и рядом фильтров по умолчанию, необходимых для работы некоторых сетевых служб, которые стартуют до авторизации пользователя ViPNet.

В первом режиме блокируется весь открытый IP-трафик без исключений.

Во втором режиме блокируется весь IP-трафик, за исключением следующих соединений:

• все соединения для работы службы DHCP в независимости от направления соединения по протоколу UDP и портам источника и назначения 67-68;

• исходящие соединения netbios-ns по протоколу UDP c портами источника и назначения 137;

ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 25

• исходящие соединения netbios-dgm по протоколу UDP c портами источника и назначения 138;

• исходящие соединения для работы службы DNS по протоколу UDP с любым портом источника и 53 портом назначения.

В третьем режиме пропускаются все исходящие соединения и входящие соединения службы DHCP (протокол UDP, порты источника и назначения 67-68).

В четвертом режиме разрешен весь открытый IP-трафик, защита снята.. Подробнее о режимах безопасности см п. 10.3 на стр. 83.

Внимание! Если Вы откажетесь от ввода пароля (нажмете кнопку Отменить), то при загрузке системы это будет означать, что Ваш компьютер становится открытым для внешнего вторжения (установится режим 5 – Пропускать IP-пакеты на всех интерфейсах без обработки). В режиме администратора (в окне Администратор) можно запретить возможность отказаться от ввода пароля (параметр Обязательный ввод пароля при входе в операционную систему, см.

Рисунок 2 Если программа ViPNet запускается в первый раз, то следует выполнить процедуру первичной инициализации справочно-ключевой информации, для этого в окне ввода пароля (Рисунок 2) в правой части кнопки Настройка в появившемся списке выберите Первичная нажмите инициализация. Далее следуйте подсказкам мастера инициализации.

При последующих запусках введите пароль и/или обеспечьте контакт с внешним устройством хранения данных (в зависимости от режима авторизации) и нажмите кнопку ОК.

Подробно о первичной инициализации справочно-ключевой информации пользователя, идентификации пользователя при последующих стартах программы, изменении режима авторизации и возможности сохранения пароля Вы можете прочитать в документе Идентификация пользователя ViPNet. Подробную информацию о поддерживаемых внешних устройствах хранения данных и особенностях работы с ними читайте в документе «Информация о внешних устройствах хранения данных».

После проверки правильности ввода пароля, Вы увидите на экране главное окно программы ViPNet Coordinator [Монитор] (Рисунок 3).

Также после ввода пароля осуществляются следующие проверки:

• Если на Вашем компьютере было создано больше одной конфигурации Монитора (пункт 15.9, стр.185), то будет предложено выбрать нужную конфигурацию из списка сохраненных. Появление окна выбора конфигурации определяется в общих настройках программы Настройка\Запуск и аварийное завершение флажком Вызывать окно выбора конфигурации, п. 16.2, стр.195). Если флажок снят, то будет загружена последняя используемая конфигурация.

• Если при загрузке программы обнаружится разрыв соединения с локальной сетью, то появится сообщение об этом. В случае появления этого сообщения рекомендуем в первую очередь проверить подключение сетевого шнура или соединение модема.

Отключить появление этого окна можно в общих настройках программы Настройка\Предупреждения (сняв флажок Выдавать сообщения о недоступности локальной сети и удаленных соединений, п. 16.2, стр.194) или же установив флажок Не показывать это сообщение в дальнейшем в окне сообщения.

Для обеспечения обмена почтовой и управляющей информацией между объектами сети будет загружен модуль ViPNet MFTP (в области уведомлений на панели задач появится значок ( )).

После запуска программы на каждом сетевом интерфейсе координатора устанавливается режим, назначенный пользователем, либо если программа запускается впервые, устанавливается 2 режим (Блокировать все соединения кроме разрешенных). Описание режимов безопасности Вы найдете в пункте 10.3 (стр.83).

Замечание: Демо-версия программы по умолчанию устанавливается в 4-й режим на всех сетевых интерфейсах.

Рисунок 3 Если администратор в ЦУС (или ViPNet Manager) не произвел настройки координатора для подключения к сети ViPNet, то сконфигурировать ViPNet Coordinator [Монитор] необходимо вручную в соответствии с п.8, стр.38.

Для получения дополнительных возможностей по настройке и работе с программой в программу можно войти с паролем администратора (см. п.16.1.1, стр.187).

Внимание! Для того чтобы защита Вашего компьютера, работающего в локальной сети, была эффективной, на нем должны быть отключены все сетевые протоколы кроме TCP/IP (в окне Настройка\Общие должен быть установлен флажок Блокировать все протоколы, кроме IP, ARP, RARP, п. 16.2).

4.1 Особенности старта ПО ViPNet Coordinator [Монитор] на терминальных серверах в консольной и удаленной сессии Терминальный сервер (например, Windows 2000 Server) позволяет осуществить запуск нескольких пользовательских сессий. Поскольку ViPNet Coordinator [Монитор] позволяет осуществить запуск только одной копии программы, то успешный старт ViPNet Coordinator [Монитор] в любой из сессий, автоматически запрещает его запуск в любой другой сессии.

В удаленной сессии для загрузки ViPNet Coordinator [Монитор] должно выполниться также дополнительное условие:

Версия ViPNet Coordinator с ограниченным сроком работы.

• В окне Администратор (п. 16.1.2, стр.188) должен быть установлен флажок Разрешить запуск монитора в удалённой сессии.

5 Способы запуска программы и завершения работы с ней В этой главе описаны способы запуска программы и завершения работы с ней.

5.1 Запуск программы По умолчанию, после входа в Windows ViPNet Coordinator [Монитор] запускается автоматически после ввода пароля пользователя.

Если Вы закрыли программу ViPNet Coordinator [Монитор], то заново ее запустить Вы сможете самостоятельно несколькими способами.

Способ 1:

1. Нажмите на кнопку Пуск (Start) на панели задач Windows и в появившемся меню Windows выберите пункт Программы (Programs).

2. Затем выберите пункты, соответствующие ПО ViPNet Coordinator [Монитор]. По умолчанию это ViPNet — Coordinator, но, Вы могли изменить названия в процессе установки. Далее выберите пункт ViPNet Монитор.

3. После запуска программы на экране появится окно ввода пароля (Рисунок 2).

После ввода пароля появится главное окно программы ViPNet Coordinator [Монитор]. Если в области уведомлений главное окно не появилось, то щелкните левой кнопкой мыши на значке на панели задач.

Способ 2:

Также для запуска ViPNet Coordinator [Монитор] можно использовать ярлык на рабочем столе Windows, если в процессе установки Вы не отменили его создание.

Способ 3:

Можно запустить ViPNet Coordinator [Монитор] непосредственно из каталога установки. Для этого откройте каталог установки программы (по умолчанию C:\Program Files\InfoTeCS\ViPNet Coordinator) в каком-либо файловом менеджере (например, Windows Commander, Windows Explorer и т.д.), и запустите файл monitor.exe.

5.2 Завершение работы с программой Для завершения работы программы (выгрузки ее из памяти компьютера) выберите пункт главного меню Выход. Данное действие доступно также, щелкнув правой кнопкой мыши на значке в области уведомлений на панели задач и, выбрав в появившемся меню пункт Выход. Появится окно с предупреждением о выходе, и, если Вы подтвердите желание выйти из программы, то программа будет выгружена. При этом ViPNet Драйвер продолжит свою работу в рамках тех настроек, которые были произведены монитором, но в журнале регистрации IP-трафика может сохраниться не вся информация о зафиксированном трафике, в то время пока программа Монитор была выгружена (см. п. Просмотр журнала регистрации IP-пакетов (стр.127). Отключить появление окна с предупреждением можно в общих настройках программы Настройка\Предупреждения (п.

16.2.1), сняв флажок Запрашивать подтверждение на выход из приложения.

Если в главном окне программы (Рисунок 3) в правом верхнем углу нажать на (закрыть), то в области уведомлений на панели задач. Это действие не главное окно свернется в значок приведет в выгрузке программы из памяти. Если Вы сняли флажок При закрытии окна сворачивать в область уведомлений на панели задач в окне Настройка\Предупреждения (см. п. 16.2.1), то при таком же действии появится окно с предупреждением о выходе. После подтверждения программа будет выгружена.

6 Основные возможности программы ViPNet Coordinator Как уже говорилось в главе 1.3 – ViPNet Coordinator может обеспечивать различную функциональность, в зависимости от настроек в ЦУС (или ViPNet Manager), а также и на самом координаторе. Программа предоставляет следующие основные возможности:

ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 28

• Одной из важных возможностей ПО ViPNet Coordinator помимо шифрования трафика является перехват и фильтрация IP-пакетов, проходящих через каждый сетевой интерфейс координатора. Можно настроить правила антиспуфинга для открытого трафика, выбрать для каждого сетевого интерфейса режим безопасности при обработке открытого трафика, настроить правила фильтрации трафика для открытого и защищенного трафика. Основные принципы фильтрации, порядок применения фильтров и настройка правил фильтрации описаны в п. 10, стр.78.

• Еще одним очень важным элементом является обеспечение Координатором трансляции открытых сетевых адресов (NAT). Можно настроить статические и динамические правила трансляции для организации подключения к открытым ресурсам Интернета. Подробно о трансляции адресов и настройках трансляции читайте в п. 13 на стр. 113. Координатор поддерживает также трансляцию сетевых адресов на прикладном уровне для протокола FTP для обеспечения возможности работы FTP-клиентов в активном режиме, и фильтрацию команд FTP-протокола для защиты от использования некорректных значений IP-адресов клиента и сервера.

• В программу встроена система обнаружения вторжений (intrusion detection system IDS).

Эта система блокирует наиболее распространенные сетевые атаки посредством постоянного слежения за входящим и исходящим трафиком на предмет атак (п. 10.6, стр.103).

• При просмотре Интернет-ресурсов, ViPNet Coordinator обеспечивает:

блокировку наиболее распространенных баннеров, рекламы, которые могут отвлекать пользователя и приводить к увеличению интернет-трафика.

Администратор может расширить список блокируемых баннеров (см. п. 12.1, стр.

блокировку Flash-анимации, которая может реализовывать несанкционированные пользователем действия (см. п. 12.2, стр. 109);

защиту от несанкционированного сбора информации о действиях пользователя в Интернете (путем блокирования Cookies и Referer) (см. п. 12.3, стр. 110).

Администратор может задать общие правила блокировки для всех веб-сайтов, а также задать список исключений для отдельных веб-сайтов (см. п. 12.4, стр. 111).

• Программа позволяет управлять параметрами обработки прикладных протоколов FTP, HTTP, SIP (привязкой портов к протоколам) (см. п. 10.6, стр. 103).

• При помощи встроенного модуля Контроль приложений обеспечивается защита координатора на уровне приложений, путем контроля сетевой активности приложений.

Это гарантирует блокирование любого неразрешенного пользователем приложения, при попытках последнего проявить сетевую активность. Например, модуль Контроль приложений позволяет блокировать работу программ – «троянских коней» (см.

руководство пользователя «Контроль приложений»). Возможность использования программы Контроль приложений зависит от регистрационного файла.

• В процессе работы в окне Блокированные IP-пакеты фиксируются сетевые адреса открытых ресурсов, IP-пакеты с которых блокируются ViPNet Драйвером (см. п. 14.2, стр.141). Это могут быть злоумышленники, пытающиеся получить доступ к информации на компьютере.

• В процессе работы формируются различные журналы: регистрации IP-трафика (см.

п.14.1, стр.123), сетевой активности приложений (см. руководство пользователя «Контроль приложений»), регистрации событий по изменению настроек безопасности в программе (см. п. 16.1.3, стр. 190). Также программа отображает в режиме on-line различную статистическую информацию о зарегистрированном сетевом трафике и заблокированных веб-фильтрами элементах веб-страниц (см. п. 14.3, стр. 146). С помощью этой информации пользователь может легко проанализировать различные события, зафиксированные программой, а также эффективность работы программы.

• Программа предоставляет возможность сохранять текущие настройки программы в различные конфигурации, для того, чтобы потом просто выбирать ту либо иную конфигурацию в зависимости от потребностей (п. 15.9, стр. 185).

ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 29

• Существует возможность через заданное время после прекращения работы на компьютере, или, используя кнопку Блокировки (п. 15.8, стр.183), или сразу после загрузки компьютера закрыть доступ ко всем приложениям на рабочем столе, заблокировать весь IP-трафик или же выполнить эти действия одновременно.

• Программа позволяет производить различные дополнительные настройки работы программы в окне дополнительных настроек (п. 16.2, стр.192).

• В программе предусмотрен режим Администратора, воспользоваться которым можно, если ввести соответствующий пароль. После чего будут доступны некоторые дополнительные возможности по настройке программы и просмотр журнала регистрации событий по изменению настроек безопасности в программе (см. п.16.1.1, стр.187).

• Программа позволяет получить защищенный доступ на удаленный компьютер пользователя сети ViPNet (из окна Защищенная сеть), используя внешние программы Remote Administrator, Remote Desktop Connection и VNC (см. п.15.5, стр.181).

• В программе имеются средства для отслеживания срока действия пароля пользователя, возможность смены пароля, а также смены самого пользователя, если их несколько. За эти и некоторые другие функции отвечает модуль Настройка параметров безопасности, (см. руководство пользователя «Настройка параметров безопасности»).

• Предоставляется возможность использования различных сервисных служб программы для работы в Защищенной сети между пользователями, такие как:

Обмен сообщениями/Конференция (п. 15.1, стр.150) – эта функция предназначена для передачи сообщений в реальном масштабе времени между пользователями сети ViPNet. Все сообщения шифруются в реальном времени.

Файловый Обмен (п. 15.2, стр. 170) – позволяет пользователям сети ViPNet быстро и удобно обмениваться файлами без установки каких-либо дополнительных сервисов, например, ftp или совместного использования (sharing) ресурсов. Функция интегрирована в оболочку Windows Explorer и реализуется с помощью контекстного меню, вызываемого по правой кнопке мыши на выбранном для отправки файле или папке.

Вызов внешних приложений (см. п. 0, стр. 170) – программа поддерживает автоматизированный вызов ряда коммуникационных приложений, таких как MS NetMeeting, VoxPhone, Internet Phone, Compaq Insight Manager, Microsoft Portrait с принудительным шифрованием трафика этих приложений.

Проверка соединения с узлом и информирование о статусе пользователя (п.

15.1, стр.150) – эта функция предоставляет возможность пользователю по своей инициативе узнавать о текущем статусе других доступных ему пользователей защищенной сети – доступны они или нет, активны или нет и т.д.

Функция Web-ссылка (п. 15.6, стр. 182) – позволяет обратиться в защищенном режиме к информационным web-ресурсам узла защищенной сети.

Функция Открыть сетевой ресурс (п. 15.6, стр. 182) – позволяет открыть доступные сетевые ресурсы на узле защищенной сети. На компьютеры пользователей защищенной сети ViPNet обращение происходит в защищенном режиме.

В программе реализована система псевдонимов, с помощью которой можно задать удобные для Вас имена узлам защищенной сети (см. п. 15.7, стр.183).

Замечание: Допустимость различных действий и настроек в программе ViPNet Coordinator [Монитор] зависит от уровня полномочий, данных пользователю администратором в ЦУС. Поэтому, если Вам что-то недоступно из указанных выше возможностей, значит Ваши права ограничены администратором сети ViPNet. Подробно о полномочиях читайте в отдельном документе «Классификация полномочий».

ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 30 7 Система окон и меню ViPNet Coordinator

Данная глава содержит краткие описания основных окон и меню программы, а именно:

• Системное меню, открываемое щелчком правой кнопки мыши на значке Монитора в области уведомлений на панели задач (см. п.7.1, стр.30).

• Структура и назначение основных окон программы. Подробное описание возможностей каждого из этих окон читайте в пунктах, указанных в скобках у названия каждого окна (см. п.7.2, стр.30).

• Главное меню (см. п.7.3, стр.32).

• Панель инструментов (см. п.7.4, стр.36).

• Строка состояния (см. п.7.5, стр.37).

• Окно настроек программы (см. п. 7.6).

7.1 Системное меню После запуска программы, в области уведомлений на панели задач появится значок.

Щелкнув правой кнопкой мыши на значке программы, откроется системное меню (Рисунок 4).

Системное меню состоит из следующих пунктов:

• Установить конфигурацию – выбор нужной конфигурации, если их несколько.

Более подробно о конфигурациях читайте в п.15.9 на стр.185;

• Блокировка – выбор типа блокировки и блокирование компьютера, действие аналогично использованию кнопки блокировки (п. 15.8, стр.183);

• Восстановить – главное окно программы отобразится на экране;

• Минимизировать – главное окно программы свернется в кнопку на панели задач;

• Максимизировать – увеличение главного окна программы до размера экрана;

• О программе… – вызов окна с краткой информацией о сети ViPNet, в которой зарегистрирован данный сетевой узел, название самого СУ и имя пользователя, вошедшего в программу, а также информация о текущей версии продукта и адреса, по которым можно связаться с разработчиками; в этом окне Вы можете прочитать и распечатать лицензионное соглашение;

• Выход – выход из программы ViPNet Coordinator [Монитор] (выгрузка ее из памяти компьютера).

7.2 Главное окно. Список и краткое описание основных окон программы После запуска программы на экране откроется главное окно. Главное окно программы поделено на две панели. В левой панели отображена структура основных окон. В правой панели отображено содержимое окна, выбранного в левой панели (Рисунок 5).

ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 31 Рисунок 5

Программа имеет следующие основные окна (Рисунок 5):

• ViPNet Coordinator (п.14.4, стр.149) – окно отображает информацию о Вашем координаторе и о работе ПО ViPNet на нем.

• Защищенная сеть (п. 9, стр.75) – окно отображает СУ корпоративной защищенной сети ViPNet, здесь можно воспользоваться различными сервисными службами для работы с защищенными пользователями и настраивать для них необходимые параметры работы и правила фильтрации IP-пакетов.

Выборка (п 10.5.2.4) – окно для поиска Microsoft SQL фильтров; отображается, если в окне Настройка\Защищенная сеть\Фильтр Microsoft SQL установить флажок Включить фильтр).

Избранное – папка для размещения в нее сетевых узлов из окна Защищенная сеть. Папка создается программой автоматически.

• Туннелируемые ресурсы – настройка фильтров между туннелируемыми ресурсами координатора и другими защищенными узлами (п. 10.5.3.4).

• Открытая сеть (п. 10.5.3) – настройка фильтрации незащищенного (открытого) IPтрафика.

• Сетевые интерфейсы (п. 10.4, стр. 87) – настройка параметров защиты и свойств сетевых интерфейсов.

• Трансляция адресов (п. 13.4, стр. 119) – настройка правил трансляции адресов открытого трафика.

Автозаполнение (п. 13.4.1, стр. 121) – настройка параметров, которые будут использоваться как значения по умолчанию в случае добавления новых правил трансляции адресов.

• Блокированные IP-пакеты (п. 14.2, стр.141) – в этом окне выводится список IPадресов и протоколов открытой сети, заблокированных программой ViPNet Драйвер после его старта.

ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 32

• Статистика – on-line информация о выполнении программой различных задач:

IP-пакетов (п. 14.3.1, стр.146) – информация о количестве обработанных IPпакетов (пропущенных и заблокированных).

Веб-фильтрация (п. 14.3.2, стр. 147) – информация о количестве заблокированных веб-фильтрами элементов веб-страниц.

• Журнал IP-пакетов (п. Работа с журналом IP-пакетов, стр.123) – окно для формирования запроса на поиск информации в Журнале регистрации IP-пакетов.

Архив журналов (п. 14.1.7, стр.140) – просмотр архива журналов. Окно отображается только в случае наличия архива.

• Конфигурации (п. 15.9, стр.185) – в этом окне можно создавать, сохранять и устанавливать конфигурации с различными настройками Монитора.

• Администратор (п. 16.1.2, стр.188) – это окно отображается, если был введен пароль администратора ViPNet. В окне предоставляется возможность произвести дополнительные настройки программы.

7.3 Главное меню В верхней части главного окна расположено главное меню. Доступность некоторых пунктов меню зависит от того, где находится фокус. Часть пунктов меню продублированы кнопками на панели инструментов. Соответствие кнопок на панели инструментов пунктам главного меню приведено в п. 7.4 на стр. 36.

Меню главного окна (Рисунок 5) содержит пункты (в скобках справа от названий пунктов меню указаны горячие клавиши):

• Выход – выход из программы ViPNet Coordinator [Монитор] (выгрузка из памяти компьютера); данное действие, доступно также, если щелкнуть правой кнопкой мыши на в области уведомлений на панели задач в правом нижнем углу экрана и в значке появившемся меню выбрать пункт Выход.

• Сервис Настройки (Ctrl+Alt+S) – вызов окна Настройка, где можно произвести различные настройки программы (см. п. 7.6).

Настройка параметров безопасности – пункт предназначен для вызова программы Настройка параметров безопасности для смены паролей пользователей, самих пользователей, если их несколько и др. (см. руководство пользователя «Настройка параметров безопасности»).

Настройки транспорта – пункт предназначен для настроек транспортного модуля ViPNet MFTP (см. руководство пользователя «ViPNet MFTP. Описание работы»).

Настройка прикладных протоколов – вызов окна Настройка для настройки параметров обработки прикладных протоколов (см. п. 10.6, стр. 103) и настройки веб-фильтров (см. п. 12, стр. 106).

Шрифт – настройка шрифтов отображения записей в левой панели главного окна, окнах Защищенная сеть и Блокированные IP-пакеты.

Экспорт псевдонимов – для любого пользователя защищенной сети можно задать псевдоним, вместо того имени, которое прописано в окне Защищенная сеть. Для того чтобы на всех узлах пользователи из окна Защищенная сеть имели имена, заданные Вами, нужно экспортировать с помощью этого пункта меню все псевдонимы в файл с расширением *.spn и разослать его по всем сетевым узлам и там импортировать его с помощью пункта меню Импорт псевдонимов. Подробно о псевдонимах читайте в п. 15.7 на стр.183.

Импорт псевдонимов – файл с псевдонимами поместите в папку установки Монитора в подпапку SaveData и импортируйте с помощью данного пункта меню.

Если установлен флажок Отображать псевдонимы ViPNet-пользователей

Принятые файлы – если для выбранного пользователя защищенной сети существует подкаталог в каталоге принятых файлов, то откроется окно каталога \TaskDir\Receive\[имя узла], где [имя узла] – имя выбранного пользователя. Если для пользователя не существует подкаталога в каталоге принятых файлов или выбрано несколько пользователей, или пункт меню выбран не в окне Защищенная сеть, то откроется окно каталога \TaskDir\Receive. Этот пункт меню всегда доступен.

Web-ссылка – если к выбранному узлу в данный момент есть доступ и работает web-сервер, то Ваш Интернет-браузер отобразит главную страницу этого сервера.

Пункт меню доступен, только если выбран один узел защищенной или открытой сети. Подробнее читайте в п.15.6, стр.182.

Открыть сетевой ресурс – если к выбранному компьютеру в данный момент есть доступ, то Ваш Windows-проводник отобразит доступные сетевые ресурсы на этом компьютере. Пункт меню доступен, только если выбран один узел защищенной или открытой сети. Подробнее читайте в п.15.6, стр.182.

Проверить соединение (F5) – проверка соединения с одним или несколькими выбранными узлами из окна Защищенная сеть. В зависимости от того, установлено соединение или нет, появится соответствующее сообщение с информацией о доступности узла и статусе пользователя (ей). Подробно о статусе пользователя читайте в п. 15.1 на стр.150. Процесс проверки соединения можно прервать, нажав в левом нижнем углу главного окна программы кнопку Отменить.

Выделить все подключенные узлы – выделяются все подключенные к сети ViPNet узлы из окна Защищенная сеть. Одновременно всем выделенным узлам можно, например, послать сообщение или проверить соединение.

Развернуть все (Ctrl+»+») – развернуть все папки и правила доступа в окнах Защищенная сеть, Туннелируемые ресурсы, Открытая сеть, Блокированные IP-пакеты.

Свернуть все (Ctrl+»-«) – свернуть все папки и правила доступа в окнах Защищенная сеть, Туннелируемые ресурсы, Открытая сеть, Блокированные IP-пакеты.

Определить имя – откроется окно для поиска сетевого имени или IP-адресов для выбранного узла защищенной сети.

Журнал регистрации IP-пакетов – откроется раздел Журнал IP-пакетов (см. п.

Работа с журналом IP-пакетов, стр.123) Параметры поиска будут заполнены на основе информации, полученной от выбранного элемента разделов Защищенная сеть, Открытая сеть или Блокированные IP-пакеты, на котором стоял курсор. Пункт меню доступен, только если выбрана одна запись окна. Чтобы произвести поиск в соответствии с установленными автоматически параметрами, нажмите кнопку Поиск.

• Вид – настройка внешнего вида главного окна Панель инструментов – при включении опции отображается панель инструментов; по умолчанию опция включена. При выключении этой опции недоступна опция Подписи к кнопкам (см. след.).

Подписи к кнопкам – данная опция доступна, если включена опция Панель инструментов (см. предыдущий пункт); при включении опции Подписи к кнопкам под каждой кнопкой панели инструментов появляется надпись, обозначающая действие кнопки; по умолчанию опция включена.

Строка состояния – при включении опции появится строка состояния внизу окна; по умолчанию опция включена.

Настроить панель – настройка отображения кнопок на панели инструментов.

Выбор этого пункта меню вызовет окно настроек (Рисунок 6, язык интерфейса окна зависит от языка используемой ОС). В правой части окна (Current toolbar ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 36 buttons) представлены отображаемые кнопки, в левой части (Available toolbar buttons) – кнопки, которые можно добавить для отображения на панели инструментов. Кнопки данного окна Add (Добавить) и Remove (Удалить) предназначены для перемещения кнопок панели инструментов из левой и правой частей соответственно. Кнопки Move Up(Вверх) и Move Down(Вниз) предназначены для настройки порядка отображения кнопок на панели инструментов слева направо. Separator(Разделитель) предназначен для разделения кнопок (групп кнопок) панели инструментов. Кнопка окна Reset (Отмена) возвращает настройку отображения кнопок и их порядок по умолчанию.

Действие от каждого нажатия любой из вышеописанных кнопок окна немедленно отображается на панели инструментов главного окна. Кнопка окна Close (Закрыть) закрывает окно настроек.

7.4 Панель инструментов Панель инструментов расположена ниже строки меню. Панель инструментов содержит кнопки, нажимая на которые осуществляются различные действия. Часть действий можно также осуществить, используя пункты главного меню Действия. Доступность кнопок панели управления зависит от того, где находится курсор. Вы можете скрыть панель инструментов с экрана, щелкнув по пункту меню Вид — Панель инструментов (до удаления флажка).

Вы можете добавлять или удалять кнопки, используя пункт меню Вид — Настроить панель.

Вы можете отобразить на экране подписи к кнопкам, выбрав пункт меню Вид — Подписи к кнопкам (до появления флажка).

7.5 Кнопки на строке состояния В нижней части главного окна расположена строка состояния. Вы можете скрыть строку состояния с экрана, щелкнув по пункту меню Вид — Строка состояния (до удаления флажка).

– вызов программы Контроль приложений (см. руководство пользователя «Контроль приложений»). Кнопка будет присутствовать на строке состояния, если это определено регистрационным файлом. В противном случае – кнопки не будет.

– кнопка блокировки. Позволяет пользователю по собственному желанию закрыть доступ ко всем приложениям на рабочем столе, заблокировать весь IP-трафик или же выполнить эти действия одновременно (см. п.15.8, стр.183).

— открытие окна Файловый обмен для отправки файлов абонентам сети ViPNet (подробнее см. Отправка и получение файлов (Файловый обмен)).

– вызов транспортного модуля ViPNet MFTP, который выполняет функции серверамаршрутизатора (см. руководство пользователя «ViPNet MFTP. Описание работы»).

7.6 Окно настроек параметров программы Окно Настройка для настройки параметров программы открывается при помощи главного меню Сервис — Настройки. Окно Настройка можно вызвать также при помощи комбинации горячих клавиш Ctrl+Alt+S.

Окно Настройка поделено на две панели. В левой панели отображена структура разделов для настройки. В правой панели отображен перечень параметров настройки выбранного в левой панели раздела (Рисунок 5).

Окно Настройка содержит следующие разделы (Рисунок 8):

• Общие – настройка общих параметров программы (см. п. 16.2).

Предупреждения – настройка предупреждений о различных событиях (см. п.

Запуск и аварийное завершение – настройка параметров запуска и аварийного завершения (см. п. 16.2.2).

• Защищенная сеть – настройка параметров подключения к сети (см. п. 8.2.6).

Фильтр Microsoft SQL – общие настройки SQL фильтров (см. п. 10.5.2.4).

Дополнительные параметры – настройка дополнительных параметров для защищенной сети (см. п. 16.2.3).

• Блокированные IP-пакеты – настройка информирования пользователя о блокировании IP-пакетов (см. п. 14.2.2).

• Обнаружение атак – настройка системы обнаружения вторжений (см. п. 10.6).

• Журнал IP-пакетов – настройки параметров, по которым будет фиксироваться в журнале информация об IP-пакетах (см. п. 14.1.5).

• Обмен сообщениями – настройки службы обмена сообщениями и конференция (см.

• Файловый обмен – настройки службы файлового обмена (см. п. Отправка и получение файлов (Файловый обмен)).

8 Конфигурирование координатора Перед тем, как производить настройки ViPNet, на компьютере с координатором должна быть произведена сетевая настройка Windows, какая бы понадобилась для работы данного компьютера в сети в качестве маршрутизатора без использования ПО ViPNet Coordinator.

ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 39 Для сетевого интерфейса координатора, к которому подключена локальная сеть, должен быть выделен постоянный IP-адрес.

Если координатор будет использоваться в качестве сервера IP-адресов для каких-либо абонентских пунктов, расположенных во внешней сети, то рекомендуется выделить постоянный IPадрес и для сетевого интерфейса координатора, к которому подключена внешняя сеть. В случае работы координатора через межсетевой экран, постоянный IP-адрес нужно выделить и для межсетевого экрана (МЭ). Если нет возможности выделить постоянный IP-адрес, т.е. IP-адрес динамически меняется, то координатор (и/или МЭ) должны иметь DNS-имена (в этом случае IPадреса координатора (и/или МЭ) должны автоматически регистрироваться на DNS-сервере для соответствующего DNS-имени (например, используя службу динамического DNS)).

Если координатор будет взаимодействовать с другим координатором, расположенным во внешней сети, то постоянный IP-адрес или DNS-имя должны быть хотя бы у одного из этих координаторов или их МЭ.

Для обеспечения работоспособности ViPNet Coordinator [Монитор] может потребоваться произвести настройки сетевых интерфейсов компьютера: задать параметры защиты сетевых интерфейсов – режимы безопасности и настройки антиспуфинга (см. п. 10.4).

Дальнейшие настройки координатора зависят от настроек, сделанных администратором в ЦУС (или ViPNet Manager). ViPNet Coordinator [Монитор] может быть сконфигурирован частично или полностью администратором сети ViPNet в административной программе ЦУС (или ViPNet Manager). Если в ЦУС заданы все необходимые адреса координатора, то на других узлах, связанных с ним, ручных настроек производить не потребуется.

Вне зависимости от настроек, заданных в ЦУС (или ViPNet Manager), необходимо произвести следующие настройки:

• Если работа координатора должна происходить через установленный на границе сети межсетевой экран со статической трансляцией адресов, то нужно произвести настройки на межсетевом экране (см. п. 8.2.4, стр.46).

• На координаторе должна быть произведена настройка маршрутизации трафика (см. п.

• Если координатор должен использоваться в качестве сервера открытого Интернета, то рекомендуется выполнить настройки, описанные в п. 8.6 на стр.61.

Если ViPNet Coordinator [Монитор] не был полностью сконфигурирован администратором сети ViPNet или требуется изменение настроек подключения к сети, то нужно произвести настройки ПО

ViPNet Coordinator [Монитор] на Вашем компьютере:

Первым делом после старта программы ViPNet Coordinator [Монитор], если в ЦУС не заданы адреса доступа к другим координаторам, нужно настроить эти адреса доступа для других координаторов (см. п.8.1, стр.40). Далее, при необходимости, настроить параметры подключения координатора к сети в окне Настройка\Защищенная сеть в соответствии с п.8.2, стр.41.

После того, как Вы сделали необходимые настройки в окне Настройка\Защищенная сеть, вернитесь в окно Защищенная сеть и выберите какой-либо координатор из списка сетевых узлов ) на панели (из тех, что Вы настроили). Нажмите кнопку Проверить соединение ( инструментов, или нажмите клавишу F5, или выберите соответствующий пункт в меню, открывающемся при щелчке правой кнопки мыши. Если настройки выполнены верно, то появится сообщение об установке соединения с координатором. Если сообщения не появилось, то еще раз проверьте правильность настроек. Эту процедуру необходимо повторить для всех Координаторов.

Если соединение с координаторами установилось, то все необходимые настройки для других узлов появятся автоматически.

Если Координатор планируется использовать для туннелирования трафика компьютеров локальной сети, то Вам необходимо осуществить настройку IP-адресов для туннелирования (см. п.

При необходимости, можно произвести и другие настройки для обеспечения соединения с некоторыми СУ, о которых читайте в следующих пунктах:

• Для обеспечения постоянного соединения с координатором, имеющим несколько адресов доступа, можно установить приоритеты выбора каждого адреса для установления по нему соединения (см. п.8.8, стр.66). Как правило, эти настройки выполнять не требуется. Необходимость может возникнуть, только если координатор ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 40 может быть доступен по нескольким каналам связи, имеющим разный приоритет с точки зрения целесообразности использования.

• В п.8.4, стр.53 рассказано о виртуальных адресах сети ViPNet, которые целесообразно использовать для доступа к узлам сети ViPNet для исключения конфликта адресов.

• Технология ViPNet обеспечивает поддержку служб DNS, WINS для различных сетевых приложений, функционирующих на защищенных компьютерах, а также может использовать эти службы в своих целях. В пункте 8.7 (стр.61) рассказано об использовании служб имен DNS и WINS в сети ViPNet.

Далее Вы можете приступать к настройкам фильтрации IP-трафика (см. п.10, стр.78) – настройкам сетевых фильтров и других параметров защиты.

Если Вам необходимо воспользоваться возможностями трансляции IP-адресов, например, для подключения компьютеров локальной сети к открытым ресурсам Интернет, то в соответствии с п. 13 (стр. 113) настройте правила трансляции адресов.

8.1 Настройка IP-адресов или DNS-имен других ViPNet-Координаторов Как правило, все необходимые параметры доступа к другим координаторам должны задаваться в ЦУС. В этом случае дополнительных настроек в данном окне кроме настроек метрик, в случае необходимости, не требуется.

Для настройки IP-адреса или DNS-имени других координаторов вручную в окне Защищенная сеть дважды щелкните левой кнопкой мыши на имени нужного Координатора. Откроется окно Правило доступа (Рисунок 9), выберите вкладку IP-адреса.

Рисунок 9 Для задания IP-адреса Координатора нажмите кнопку Добавить (Рисунок 9) и в открывшемся окне введите IP-адрес, или установив флажок Использовать DNS-имя и нажав кнопку Добавить, укажите DNS-имя Координатора, затем нажмите кнопку OK.

Если Вам известен адрес и порт доступа к Координатору через межсетевой экран/NATустройство, установленный на границе сети, или доступные извне IP-адреса непосредственно координатора, то вместо настройки собственного IP-адреса или DNS-имени произведите настройку IP-адреса доступа и порта на вкладке Межсетевой экран, предварительно установив флажок Использовать настройки работы узла через межсетевой экран.

ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 41 Замечание: Описание вкладок IP-адреса и Межсетевой экран читайте в п.8.9.2, стр.70 и п.8.9.3, стр.71 соответственно. Подробную информацию об использовании DNS-имен читайте в п.

Внимание! Чтобы иметь доступ непосредственно с Вашего Координатора к другому Координатору или его туннелируемым ресурсам необходимо настроить маршрутизацию для IPадресов (виртуальных или реальных), отображенных на вкладке IP-адреса (см. п.8.3, стр.53).

8.2 Настройка параметров подключения к сети Узлы сети ViPNet могут быть подключены к внешней сети непосредственно, либо могут работать через межсетевые экраны (МЭ) и другие NAT-устройства различных производителей (в том числе через другой ViPNet Coordinator).

Как уже упоминалось ранее, узлы сети ViPNet могут располагаться внутри локальных сетей любого типа, поддерживающих IP-протокол. Способ подключения к сети может быть любой. Это может быть сеть Ethernet, PPPoE через XDSL-подключение, PPP через обычный Dial-up или ISDN, сеть сотовой связи GPRS или Wireless-устройства, сети MPLS или VLAN. ПО ViPNet автоматически поддерживает разнообразные протоколы канального уровня. Для создания защищенных VPNтуннелей между узлами используются IP-протоколы двух типов (IP/241 и IP/UDP), в которые упаковываются любые другие IP-протоколы.

При взаимодействии любых сетевых узлов между собой, если между ними отсутствуют межсетевые экраны с преобразованием адресов, используется более экономичный протокол IP/241.

Этот протокол, в отличие от UDP, не имеет дополнительных заголовков размером 8 байт. Исходный пакет после шифрования упаковывается в IP-пакет с 241 номером протокола.

Во всех остальных случаях используется протокол UDP. Исходный пакет после шифрования упаковывается в UDP-пакет с заданным портом назначения (по умолчанию 55777).

Для обеспечения гарантированного соединения сетевого узла из любых точек сети с другими сетевыми узлами, в программе ViPNet Coordinator [Монитор] есть возможность выбрать один из четырех типов подключения в зависимости от способа подключения координатора к внешней сети.

Для выбора типа подключения воспользуйтесь главным меню Сервис — Настройки.

В окне Настройка выберите раздел Защищенная сеть (Рисунок 17) и произведите одну из следующих настроек:

1. Непосредственное подключение к внешней сети (без использования МЭ) – в этом случае флажок Использовать межсетевой экран должен быть снят (см. п.8.2.2, стр.42).

2. Подключение через ViPNet-координатор – в этом случае флажок Использовать межсетевой экран должен быть установлен, в списке Тип межсетевого экрана выбрано значение ViPNet-координатор (см. п.8.2.3, стр.43).

3. Подключение через МЭ (NAT-устройство), на котором возможна настройка статических правил трансляции адресов – в этом случае флажок Использовать межсетевой экран должен быть установлен, в списке Тип межсетевого экрана выбрано значение Со статической трансляцией адресов (см. п.8.2.4, стр.45).

4. Подключение через МЭ (NAT-устройство), на котором настройка статических правил трансляции адресов затруднительна или невозможна – в этом случае флажок Использовать межсетевой экран должен быть установлен, в списке Тип межсетевого экрана выбрано значение С динамической трансляцией адресов (см. п.8.2.5, стр.48).

Описание интерфейса окна Настройка\Защищенная сеть находится в п.8.2.6, стр. 51.

Далее описаны принципы выбора способа подключения координатора к сети (см. п.8.2.1, стр.41).

8.2.1 Принципы выбора способа подключения Оповещение абонентских пунктов об активности и способах подключения других узлов сети для взаимодействия с ними осуществляет их сервер IP-адресов.

Каждый узел при включении в сеть сообщает на свой координатор – сервер IP-адресов или другие координаторы (если узел сам является координатором), необходимую информацию о своих адресах и способах доступа к ним.

Каждый узел при включении в сеть, а также в процессе работы получает от своего координатора – сервера IP-адресов или других координаторов (если узел сам является координатором), необходимую информацию об адресах других узлов, связанных с ним, и способах доступа к этим адресам.

ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 42 Если сетевой узел имеет IP-адрес, доступный по общим правилам маршрутизации пакетов в IP-сети со стороны любых других узлов, с которыми этот узел должен взаимодействовать, например, имеет публичный адрес сети Интернет, то этому узлу достаточно сообщить другим узлам только свои IP-адреса. В этом случае достаточно выбрать подключение 1. Подробное описание варианта использования и настройки этого соединения для координатора читайте в п.8.2.2, стр.42.

Если сетевой узел имеет частный IP-адрес, по которому в соответствии с общими правилами маршрутизации нельзя получить доступ со стороны некоторых других узлов (например, если на выходе во внешнюю сеть установлен МЭ или иное NAT-устройство), то такой сетевой узел должен сообщить другим узлам, расположенным во внешней сети, уже существенно больше информации о себе, чем в предыдущем случае. Для бесперебойного доступа к данному узлу потребуется не только информация об адресах этого узла, но и информация об адресах и портах доступа в данный момент через NAT-устройство.

В этом случае должно быть выбрано одно из подключений 2, 3, или 4:

• Подключение 2 выбирается в случае, если требуется обеспечить защиту трафика некоторого внутреннего сегмента локальной сети, на границе которой уже установлен ViPNet-координатор, выполняющий функции МЭ для ViPNet-клиентов этой локальной сети. Подробное описание варианта использования и настройки этого соединения для координатора читайте в п.8.2.3, стр.43.

• Подключение 3 выбирается в случае, если на границе локальной сети установлен МЭ (или другое NAT-устройство), на котором можно настроить статические правила трансляции адресов, обеспечивающие взаимодействие с определенным внутренним адресом сети по протоколу UDP с заданным портом. Подробное описание варианта использования и настройки этого соединения для координатора читайте в п.8.2.4, стр.45.

• Подключение 4 выбирается в случае, если на границе локальной сети установлен МЭ (или другое NAT-устройство), на котором затруднительно настроить статические правила трансляции адресов. Как правило, использовать такое соединение необходимо, если подключение к внешней сети производится, например, через xDSL-модем, используемый как Router, через Wireless-устройства, сеть GPRS, других провайдеров, которые предоставляют частные адреса. Подробное описание варианта использования и настройки этого соединения для координатора читайте в п.8.2.5, стр.48. Подключение 4 наиболее универсально, и сетевой узел при использовании этого соединения будет работоспособен и при других способах подключения к внешней сети.

Следующие разделы описывают вышеприведенные типы подключений более детально.

8.2.2 Настройка подключения без использования межсетевого экрана Если координатор имеет непосредственное подключение к внешней сети, т.е. может быть доступен напрямую со стороны любых других СУ, например, имеет публичный адрес, то для такого координатора следует настроить подключение без использования межсетевого экрана:

Для выбора типа подключения воспользуйтесь главным меню Сервис — Настройки. В окне Настройка выберите раздел Защищенная сеть. Снимите флажок Использовать межсетевой экран (Рисунок 10).

8.2.3 Настройка подключения через МЭ ViPNet-Координатор (тип МЭ «Координатор «) Вариант использования подключения Если необходимо защитить трафик отдельного сегмента локальной сети, на границе которой уже установлен ViPNet-координатор, выполняющий функции МЭ для ViPNet-клиентов этой локальной сети, то на границу такого сегмента может быть установлен второй ViPNet-координатор (Рисунок 11). При этом первый ViPNet-координатор (ближайший к выходу в Интернет) для второго ViPNet-координатора должен быть выбран в качестве МЭ.

Такое включение координаторов называется каскадным включением (или каскадированием координаторов). В результате каскадирования координаторов будет реализована автоматическая маршрутизация шифрованного трафика из внутреннего сегмента сети, как в локальную, так и в глобальную сеть.

ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 44 Рисунок 11 Настройки.

Для того, чтобы настраиваемая конфигурация корректно работала необходимо, чтобы настраиваемый координатор и координатор, который будет выполнять функции МЭ, располагались в одной локальной или маршрутизируемой сети, то есть между этими координаторами не должно быть устройств NAT.

Для выбора типа подключения воспользуйтесь главным меню Сервис — Настройки. В окне Настройка выберите раздел Защищенная сеть.

• Установлен флажок Использовать межсетевой экран.

• В списке Адаптер, со стороны которого установлен межсетевой экран выбран сетевой адаптер, через который будет происходить подключение к другому координатору, выполняющему функции МЭ.

• В списке Тип межсетевого экрана выбрано значение Координатор.

• В списке Координатор выбран координатор, выполняющий функции МЭ. По умолчанию в списке Координатор установлено значение Не выбран (если иное не задано в ЦУС (или ViPNet Manager)).

Внимание! Вы осуществляете каскадное включение координаторов (см. п. 1.3.5, стр.19). В этом случае нужно помнить, что не следует настраивать использование подключения через Ваш координатор на других СУ. Такие СУ будут доступны только через один координатор и не будут доступны через два координатора. Схема будет работать только для туннелируемых Вашим координатором компьютеров.

По завершении всех действий нажмите OK.

Замечание: Не забудьте произвести настройки координатора, который будет выполнять функции МЭ, если Вы по каким-то причинам не произвели их (см. п.8.1, стр.40).

8.2.4 Настройка подключения через МЭ, на котором можно настроить статические правила трансляции адресов (тип МЭ «Со статической трансляцией адресов») Вариант использования подключения Если необходимо защитить трафик узлов локальной сети, на границе которой установлен МЭ, выполняющий трансляцию адресов (NAT), и на этом устройстве есть возможность настроить статические правила трансляции, то рекомендуется в локальной сети установить ViPNetкоординатор (Рисунок 13), на одном из сетевых интерфейсов которого настроить параметры подключения через МЭ со статической трансляцией (выбрать тип МЭ Со статической трансляцией адресов). В таком случае для всех ViPNet-клиентов локальной сети нужно настроить работу через этот координатор.

ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 46 Рисунок 13 Настройки.

Для обеспечения работы координатора через МЭ со статической трансляцией адресов должны быть произведены настройки: на МЭ, а также настройки на координаторе.

Настройки на межсетевом экране Для организации корректного перенаправления шифрованных пакетов на/от координаторов, необходимо настроить следующие статические правила трансляции на межсетевом экране/NATустройстве для каждого координатора, работающего через данный МЭ:

• Пропускать исходящие UDP-пакеты от адреса координатора во внешнюю сеть;

• Пропускать и перенаправлять входящие UDP-пакеты с портом назначения, заданным в настройках Вашего координатора.

Если внутри Вашей сети несколько координаторов, работающих через данный МЭ, то для каждого координатора порт доступа должен иметь свое индивидуальное значение.

По умолчанию в настройках координатора порт доступа имеет значение 55777. Если внутри Вашей сети координатор, работающий через данный МЭ, единственный, то настройте этот порт и на МЭ.

Замечание: Подробное описание настроек на устройстве, через которое работает Ваш компьютер, читайте в руководстве пользователя к этому устройству.

Настройки на координаторе Для выбора типа подключения воспользуйтесь главным меню Сервис — Настройки. В окне Настройка выберите раздел Защищенная сеть (Рисунок 14).

ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 47 Рисунок 14

В этом окне должны быть настроены следующие параметры (Рисунок 14):

• Установлен флажок Использовать межсетевой экран.

• В списке Адаптер, со стороны которого установлен межсетевой экран выбран сетевой адаптер, через который будет происходить подключение к межсетевому экрану.

• В списке Тип межсетевого выбрано значение экрана Со статической трансляцией адресов.

• В поле Порт инкапсуляции в UDP-пакеты указан порт для обеспечения доступа к Вашему координатору со стороны внешних узлов, заданный в настройках правил трансляции для Вашего координатора на МЭ (см. выше). По умолчанию в этом поле установлено значение 55777. Если внутри Вашей сети через один МЭ (или устройство с NAT) работает несколько СУ ViPNet, то в этом случае, на каждом координаторе, работающем через один и тот же МЭ, порт доступа должен иметь свое индивидуальное значение.

Как правило, больше никаких настроек производить не нужно. IP-адрес доступа к Вашему координатору через межсетевой экран на других узлах регистрируется автоматически по внешним параметрам IP-пакета, поэтому настройка IP-адреса доступа не требуется. Этот адрес определится в процессе работы и отобразится в поле IP-адрес доступа (Рисунок 14).

• Флажок Зафиксировать внешний IP-адрес доступа через межсетевой экран по умолчанию снят. Устанавливать этот флажок рекомендуется только в очень редких специализированных случаях при наличии у МЭ нескольких внешних адресов и при необходимости специальной маршрутизации, когда требуется направлять входящие пакеты через определенный адрес независимо от адреса МЭ, с которого ушел пакет.

Установив флажок Вы можете в поле Внешний IP-адрес зафиксировать внешний адрес доступа через межсетевой экран к Вашему координатору. Т.е. внешние узлы будут направлять пакеты для Вашего координатора только по адресу, указанному в поле Внешний IP-адрес, независимо от адреса, подставленного на МЭ во внешние параметры пакета. При установке флажка Зафиксировать внешний IP-адрес доступа через межсетевой экран в поле Внешний IP-адрес по умолчанию появится первый адрес из списка внешних адресов межсетевого экрана. Вы можете выбрать необходимый адрес из доступного списка внешних адресов межсетевого экрана или указать вручную.

По завершении всех действий нажмите OK.

Замечание: Не забудьте произвести на координаторе настройки маршрутизации на межсетевой экран (шлюз по умолчанию или маршруты для удаленных подсетей). Подробнее читайте в п.8.3, стр.53.

8.2.5 Настройка подключения через МЭ, на котором затруднительно настроить статические правила трансляции адресов (тип МЭ «С динамической трансляцией адресов») Вариант использования подключения Если необходимо защитить трафик узлов локальной сети, на границе которой установлено некоторое устройство (или МЭ), выполняющее трансляцию адресов (NAT), и на этом устройстве затруднительно настроить статические правила трансляции, то рекомендуется в локальной сети установить ViPNet-координатор, на одном из сетевых интерфейсов которого настроить параметры подключения через МЭ с динамической трансляцией (выбрать тип МЭ С динамической трансляцией адресов). В таком случае для всех ViPNet-клиентов локальной сети нужно настроить работу через этот координатор.

Технология работы при использовании подключения через МЭ С динамической трансляцией адресов Подключение через МЭ С динамической трансляцией адресов наиболее универсально и может использоваться практически в любых ситуациях. Однако основное его назначение – обеспечить надежное двустороннее соединение с узлами, работающими через устройства NAT, на которых настройка статических правил трансляции адресов затруднена или невозможна (в том числе и просто из-за отсутствия полномочий у пользователя). Такая ситуация типична при использовании простейших сетевых NAT-устройств, например, DSL-модемов, Wireless-устройств, а также при использовании Internet Connection Sharing (ICS) в ОС Windows, и в других случаях.

Затруднительно также произвести настройки на устройствах NAT, установленных у провайдера (в домашних сетях Home network, GPRS и других сетях, где провайдер предоставляет частный IPадрес).

Все NAT-устройства обеспечивают пропуск UDP-трафика благодаря автоматическому созданию так называемых динамических NAT-правил для пропуска входящего трафика. Эти правила создаются на основании параметров исходящих пакетов, пропускаемых NAT-устройством.

Входящие пакеты пропускаются в течение определенного промежутка времени (таймаута), если их параметры соответствуют созданным правилам. По завершении данного промежутка времени, после того, как был пропущен последний исходящий пакет, соответствующие динамические правила удаляются, и входящие пакеты начинают блокироваться NAT-устройством. Это означает, что внешний источник не может инициировать соединение с сетевым узлом, работающим через NATустройство, не получив сначала исходящий трафик от него, который должен инициироваться время от времени со стороны внутреннего узла для сохранения динамического правила в активном состоянии.

Для преодоления этой проблемы на сетевом узле, работающем через NAT-устройство, нужно выбрать тип МЭ С динамической трансляцией адресов. Одновременно должен присутствовать постоянно доступный ViPNet-координатор, расположенный во внешней сети (Рисунок 15). Назовем его координатором для организации соединений с внешними узлами. Координатор для организации соединений с внешними узлами должен быть доступен напрямую или через межсетевой экран со статической трансляцией адресов. Координатор для организации соединений с внешними узлами не должен работать через тот же МЭ, что и СУ.

ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 49 Рисунок 15 Сетевой узел, работающий через NAT-устройство, периодически отправляет на свой координатор для организации соединений с внешними узлами UDP-пакеты, чтобы поддерживать динамическое правило в активном состоянии. По умолчанию период отправки – 25 секунд. Это позволяет любому узлу внешней сети (внешнему узлу) в любое время присылать на СУ, работающий через NAT-устройство, IP-пакеты через его координатор для организации соединений с внешними узлами. При этом ответные исходящие пакеты СУ всегда направляет внешнему узлу, не использующему тип МЭ С динамической трансляцией адресов, напрямую, минуя свой координатор для организации соединений с внешними узлами. В результате, после получения первого пакета, внешний узел, не использующий тип МЭ С динамической трансляцией адресов, также начинает передавать весь трафик напрямую СУ, работающему через NAT-устройство. Таким образом, образуется прямой обмен UDP-трафиком между ViPNet узлами. Такая технология позволяет осуществлять постоянный доступ к ViPNet-узлам, работающим через NAT-устройства (т.к.

на NAT-устройствене удаляются динамические правила). А также обеспечивается высокая скорость обмена шифрованным трафиком, так как этот обмен только при инициализации использует специальные Координаторы (координаторы для организации соединений с внешними узлами), после чего весь обмен трафиком идет напрямую между узлами (Рисунок 15). Следует учитывать, что исходящий трафик от сетевого узла с типом МЭ С динамической трансляцией адресов на другой такой же узел всегда идет через координатор для организации соединений с внешними узлами другого узла.

Настройки Для выбора типа подключения воспользуйтесь главным меню Сервис — Настройки. В окне Настройка выберите раздел Защищенная сеть (Рисунок 16).

ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 50 Рисунок 16

В этом окне должны быть настроены следующие параметры (Рисунок 16):

• Установлен флажок Использовать межсетевой экран.

• В списке Адаптер, со стороны которого установлен межсетевой экран выбран сетевой адаптер, через который будет происходить подключение к межсетевому экрану.

• В списке Тип межсетевого выбрано значение экрана С динамической трансляцией адресов.

• Согласно описанной выше технологии работы при использовании соединения через МЭ С динамической трансляцией адресов, необходимо, чтобы где-то во внешней сети существовал ViPNet-Координатор (координатор для организации соединений с внешними узлами), к которому возможен постоянный доступ со стороны Вашего координатора. Этот координатор должен быть доступен напрямую или через межсетевой экран со статической трансляцией адресов. Этот Координатор должен быть выбран в поле Координатор для организации соединений с внешними узлами. Через этот координатор будут происходить входящие соединения с Вашим координатором. Если для выбранного координатора не задан адрес, то задайте его в соответствии с п.8.1, стр.40.

Внимание! Для корректной работы настраиваемой конфигурации необходимо, чтобы координатор для организации соединений с внешними узлами не работал через межсетевой экран с динамической трансляцией адресов или другой Координатор.

• Параметр Допустимый таймаут отсутствия трафика по умолчанию равен 25 секундам. Ваш координатор с данным периодом будет производить отправку UDPпакетов на свой координатор входящих соединений, чтобы поддерживать динамическое правило на NAT-устройстве в активном состоянии. Этот период может быть настроен индивидуально, однако установленный по умолчанию период в 25 секунд вполне достаточен для работы с большинством NAT-устройств. При изменении периода следует учитывать, что период опроса не должен превышать таймаут сохранности динамического правила на NAT-устройстве.

• Флажок Весь трафик с внешними сетевыми узлами направлять через координатор – по умолчанию снят. Если установить флажок, то все соединения с другими узлами будут происходить ТОЛЬКО через свой координатор входящих соединений.

У разных NAT-устройств таймаут устанавливается разный, но обычно не менее 30 секунд.

ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 51

• В поле Порт инкапсуляции в UDP-пакеты отображена информация о порте доступа UDP (по умолчанию 55777). Как правило, этот параметр изменять не нужно. Параметр определяет номер порта, от которого UDP-пакеты уходят с Вашего координатора (порт отправителя пакета), и на который такие пакеты приходят на Ваш координатор (порт получателя пакета). Этот порт модифицируется на NAT-устройстве при отправке пакетов и восстанавливается при их приеме.

По окончании настроек нажмите OK.

Внимание! Узел в режиме С динамической трансляцией адресов для взаимодействия с узлами, работающими через какой-либо ViPNet-координатор, должен быть связан с этим координатором.

Замечание: При работе с некоторыми модемами DSL, если не проходит передача длинных пакетов, можно уменьшить значение MSS (максимальный размер сегмента) в окне настроек монитора Настройка\Защищенная сеть\Дополнительные параметры (см. п. 16.2.3, параметр

Уменьшить максимальный размер сегмента (MSS) протокола TCP на:)

8.2.6 Описание окна Настройка\Защищенная сеть В окне Настройка\Защищенная сеть (Рисунок 17) производятся настройки параметров подключения к сети Вашего сетевого узла.

Для вызова окна Настройка воспользуйтесь главным меню Сервис — Настройки. В окне Настройка выберите раздел Защищенная сеть.

8.3 Настройка маршрутизации IP-трафика Для обеспечения маршрутизации между сетевыми интерфейсами, в сетевых настройках Windows должен быть включен IP-forwarding. Эта функция включается программой установки при установке ViPNet Coordinator на компьютер.

ViPNet-координатор при прохождении через него транзитных IP-пакетов от своих туннелируемых ресурсов или от других сетевых узлов своей локальной сети на входящем интерфейсе производит следующую подмену в этих пакетах: адреса назначения подменяются на адреса доступа к другим ViPNet-узлам через Firewall или координаторы, через которые эти узлы работают.

Поэтому на компьютерах с ViPNet-координатором, который имеет несколько внешних каналов для взаимодействия с другими ViPNet-координаторами и сетевыми узлами должна быть настроена таблица маршрутизации (routing) в соответствии с адресами подсетей, в которые входят адреса доступа к другим координаторам через разные каналы. Эти адреса можно увидеть на вкладках Межсетевой экран узлов. Точно также должны быть заданы маршруты для адресов своих туннелируемых ресурсов и защищенных узлов локальной сети, если они расположены в иных подсетях, чем интерфейсы координатора.

Кроме того, для работы с другими узлами или туннелируемыми ими устройствами приложений непосредственно с координатора необходимо настроить таблицу маршрутизацию для реальных или виртуальных адресов, отображаемых на вкладках IP-адреса и Туннель соответствующих сетевых узлов.

Внимание! Если в одной локальной сети установлено больше одного координатора с двумя и более сетевыми интерфейсами и они доступны друг другу по двум и более адресам из разных подсетей, то для обеспечения правильного информирования внешних узлов об адресах доступа к координаторам и узлам, работающим через указанные координаторы, необходимо организовать взаимодействие между этими координаторами только через внешний интерфейс.

Это может быть обеспечено путем задания меньшей метрики для адресов доступа координаторов друг к другу через внешнюю подсеть.

8.4 Виртуальные адреса сети ViPNet При первом старте программы ViPNet Монитор на сетевом узле, автоматически формируется один или более виртуальных IP-адресов для каждого сетевого узла из окна Защищенная сеть, а также для адресов, туннелируемых координаторами из окна Защищенная сеть. Число формируемых виртуальных адресов зависит от числа реальных адресов и числа туннелируемых адресов узла.

Каждый сетевой узел ViPNet имеет свой собственный список виртуальных адресов для других узлов и туннелируемых адресов. Большинство стандартных сетевых приложений могут использовать эти виртуальные адреса при соединении с соответствующими узлами. ViPNet драйвер подменяет адреса в момент отправки и получения IP-пакетов для всех стандартных протоколов (включая протоколы для таких сервисов как DNS, WINS, NetBIOS и т.п.).

Сетевой узел для организации взаимодействия с другими СУ по умолчанию использует виртуальные адреса, в том случае, если тип подключения этих СУ определился ПО ViPNet, как «работающие через межсетевой экран» (подробнее о типах подключений читайте в п. 8.2). Однако для соединения с узлами, от которых данный узел получает широковещательные пакеты, а также в ряде других случаев, когда не ожидается конфликта IP-адресов с другим узлом, всегда используются их реальные адреса, независимо от определившегося типа подключения.

Сетевой узел автоматически переходит на использование реальных адресов другого узла, если другой узел меняет способ подключения к сети и, например, отключает использование Firewall.

Или мобильный узел перемещается в локальную сеть и начинает происходить обмен ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 54 широковещательными пакетами. Автоматический переход от использования на узле А для некоторого узла В реального адреса на виртуальный адрес может произойти при изменении способа подключения к сети узла В, только если в настройках узла А для узла В включено использование виртуального адреса.

Для организации взаимодействия с туннелируемыми адресами сетевой узел по умолчанию всегда использует реальные адреса. Перейти на использование виртуальных адресов можно только вручную, установив соответствующий флажок.

Данная технология становится совершенно незаменимой при необходимости организации соединений между СУ, расположенными в подсетях с одинаковыми частными IP-адресами. Такая ситуация встречается все чаще и чаще в связи с широким распространением технологий Wireless, xDSL, Home Network и др., где для локальной системы присваиваются «стандартные» частные адреса типа 192.168.*.*. Присвоенные программой ViPNet неповторяющиеся виртуальные адреса полностью решают данную проблему.

Другой областью использования виртуальных адресов является возможность их применения для разграничения доступа к информационным ресурсам. Для чего это нужно? Всегда считалось, что использование IP-адреса в качестве критерия разграничения доступа, является крайне ненадежным средством, из-за возможности его легкой подделки. Однако в сети ViPNet подделка адреса невозможна. В момент приема пакета из сети, ViPNet драйвер передает его приложению после замещения реального адреса отправителя соответствующим виртуальным адресом. Такая операция происходит только в случае успешного расшифрования пакета на ключах отправителя, то есть после идентификации отправителя пакета. Это обеспечивает защиту от подмены адреса отправителя и делает надежными разграничение доступа к ресурсам на основе виртуальных адресов, которые никак не зависят от истинных IP-адресов узла-отправителя.

Общие принципы назначения виртуальных адресов.

По умолчанию начальный адрес для генератора виртуальных адресов – 11.0.0.1 (маска подсети: 255.0.0.0). Начальный адрес можно изменить в окне Настройка\Защищенная сеть\Дополнительные параметры (параметр Стартовый IP-адрес для генератора виртуальных IP–адресов, см. п. 16.2.3). Начиная с этого адреса, происходит автоматическое формирование виртуальных IP-адресов для реальных адресов узлов из окна Защищенная сеть и одиночных туннелируемых адресов. Для туннелируемых диапазонов адресов начальным виртуальным адресом по умолчанию является 12.0.0.1, либо адрес, в котором значение первого октета на 1 больше значения первого октета начального адреса для генератора виртуальных адресов.

Сформированные виртуальные адреса СУ отображаются в окне Правило доступа на вкладке IP-адреса (п. 8.9.2, стр. 70) каждого СУ, а виртуальные адреса для туннелируемых адресов отображаются на вкладке Туннель (п.8.9.4, стр.72) координатора, осуществляющего туннелирование.

Виртуальные адреса для реальных адресов сетевых узлов не закрепляются за конкретными реальными адресами, они закрепляются за уникальными идентификаторами сетевых узлов, присвоенными в ЦУС/Manager. Виртуальные адреса для одиночных туннелируемых адресов закрепляются за каждым адресом. Виртуальные адреса закрепляются за сетевыми узлами и одиночными туннелируемыми адресами до тех пор, пока сетевые узлы и туннелируемые адреса не будут удалены: сетевые узлы из окна Защищенная сеть администратором в ЦУС/Manager, а туннелируемые адреса – из настроек туннелируемых адресов.

При обновлениях адресных справочников, а также при изменениях в списке реальных адресов для какого-либо узла или добавлении одиночного туннелируемого адреса, сформированные виртуальные адреса не изменяются. Вновь добавленные сетевые узлы, реальные IP-адреса узлов и одиночные туннелируемые адреса получают новые свободные виртуальные адреса. Виртуальные адреса, выделенные для туннелируемых диапазонов адресов, могут измениться при добавлении новых диапазонов туннелируемых адресов.

При смене пользователем начального адреса для генератора виртуальных адресов производится переформирование всех виртуальных адресов.

8.5 Настройки координатора для туннелирования открытого трафика ViPNet-координатор может выполнять туннелирование открытого трафика от заданных компьютеров локальной сети, на которых не установлен ViPNet Client (см. п.1.3.4).

Туннелируемый адрес, явно указанный в настройках туннелируемых адресов узла (т.е. не в составе диапазона адресов).

ФРКЕ.00005-04 32 01 Руководство администратора ПО ViPNet Coordinator 55 Для осуществления координатором функции туннелирования должны быть произведены следующие настройки:

• В ЦУС (ViPNet Manager) для координатора разрешено туннелирование и задано максимальное число IP-адресов, которое координатор сможет одновременно туннелировать.

• Произведена настройка туннелируемых координатором адресов в ЦУС (ViPNet Manager) или непосредственно на ViPNet-координаторе. Рекомендуется все настройки производить в ЦУС (ViPNet Manager). В этом случае информация о туннелируемых координатором устройствах станет доступной всем узлам защищенной сети, которые связаны с данным координатором. Иначе ручные настройки придется производить на каждом координаторе, где есть туннелируемые ресурсы и на всех узлах, которым требуется получить доступ к туннелируемым ресурсам некоторого координатора. Если настройки не были произведены в ЦУС (ViPNet Manager), то настройте туннелируемые адреса на ViPNet-координаторе в окне Туннелируемые ресурсы по кнопке IP-адреса (см. п.8.5.1, стр.55).

• Если настройки туннелируемых адресов для других координаторов не были произведены в ЦУС (ViPNet Manager), то произведите настройки туннелируемых адресов для всех координаторов, к туннелируемым устройствам которых, нужен доступ.

Настройки производятся в окне Защищенная сеть для каждого координатора в правиле доступа на вкладке Туннель (см. п.8.5.2, стр.57).

Внимание! Производите настройки туннелируемых адресов или только в ЦУС (ViPNet Manager), или только вручную на сетевых узлах. Если в ЦУС Вашей сети или ЦУС другой сети, с которой взаимодействует Ваша сеть, будут внесены какие либо изменения в список туннелируемых IP-адресов некоторого координатора, то все ручные настройки, произведенные для этого координатора, будут удалены!

• Для сетевого интерфейса, со стороны которого находятся туннелируемые ресурсы, рекомендуется установить 2 режим безопасности (устанавливается по умолчанию).

• Если свои туннелируемые ресурсы должны взаимодействовать между собой, но расположены со стороны разных сетевых интерфейсов, то задайте разрешающее транзитное правило между соответствующими адресами в фильтрах открытой сети (в окне Открытая сеть).

• По умолчанию в окне Туннелируемые ресурсы присутствует правило, разрешающее прохождение трафика между всеми туннелируемыми ресурсами данного координатора и всеми защищенными узлами, с которыми этот координатор связан. И, если не требуется накладывать ограничения на это взаимодействие, то никаких дополнительных фильтров настраивать не надо. Но при необходимости ограничений, Вы можете настроить соответствующие фильтры между туннелируемыми ресурсами и защищенными узлами в окно Туннелируемые ресурсы (см. п. 10.5.3.4 (стр.99)).

Внимание! Не забудьте настроить маршрутизацию IP-пакетов на туннелируемых устройствах.

Маршрутизация должна быть настроена таким образом, чтобы пакеты, предназначенные для туннелирования, адресовались на сетевой интерфейс координатора, осуществляющего туннелирование. Взаимодействие туннелируемых устройств с внешними защищенными узлами осуществляется по IP-адресам (реальным или виртуальным) в соответствии с тем, как видны защищенные узлы или туннелируемые ими устройства с Вашего координатора.

Пример настройки защищенного туннеля с использованием ViPNet-координаторов рассмотрен в п. 8.5.3.

8.5.1 Настройка IP-адресов для туннелирования своим координатором Для осуществления настройки IP-адресов для туннелирования в окне Туннелируемые ресурсы нажмите кнопку IP-адреса (Рисунок 18). Эта кнопка доступна, если в ЦУС (или ViPNet Manager) разрешено туннелирование (задано максимальное число одновременно туннелируемых IP-адресов).

Рисунок 19 Задать новые диапазоны или отдельные значения IP-адресов для туннелирования можно с помощью кнопки Добавить, изменить уже существующие настройки (например, заданные в ЦУС (или ViPNet Manager)) можно с помощью кнопки Изменить (Рисунок 19).

С помощью кнопки Удалить Вы можете удалить ненужные адреса.

Внимание! Количество введенных в окне IP-адреса для туннелирования (Рисунок 19) адресов и диапазонов адресов может превышать максимальное число одновременно туннелируемых адресов, заданное для координатора в ЦУС (или ViPNet Manager). Однако если на координатор одновременно попадут IP-пакеты от большего числа туннелируемых адресов, чем это задано администратором в ЦУС (или ViPNet Manager), то соединения с адресами, превышающими лимит одновременно туннелируемых адресов, начнут блокироваться. В журнале отобразятся заблокированные IP-пакеты с событием 16 (Превышено количество туннелируемых IP-адресов).

При блокировании первого IP-пакета с событием 16 появится сообщение: «IP-пакеты для адреса адрес блокированы, так как превышено количество одновременно туннелируемых IP-адресов, заданное администратором ViPNet-сети». Это сообщение появляется один раз за сеанс работы ViPNet Монитор. Чтобы избежать подобных проблем введите разрешенное количество адресов

туннелируемых соединений или примите меры, чтобы на координатор попадали IP-пакеты, только от тех компьютеров, которые должны работать через туннель.

По завершении всех настроек в окне IP-адреса для туннелирования для их сохранения нажмите OK.

8.5.2 Настройка IP-адресов, туннелируемых другими координаторами Если требуется обеспечить доступ к устройствам, туннелируемым другими координаторами, и в ЦУС (или ViPNet Manager) не задана вся необходимая информация об IP-адресах этих туннелируемых устройств, то на Вашем координаторе необходимо задать IP-адреса, туннелируемые другими координаторами.

Для настройки, в окне Защищенная сеть дважды щелкните левой кнопкой мыши на имени нужного координатора. Откроется окно Правило доступа. В правиле доступа координатора, на котором в ЦУС (или ViPNet Manager) разрешено туннелирование IP-адресов, есть вкладка Туннель (Рисунок 20).

Рисунок 20 В соответствии с описанием вкладки Туннель (см.

п.8.9.4, стр.72) произведите следующие настройки:

Для задания новых диапазонов или отдельных значений IP-адресов для туннелирования установите флажок Использовать IP-адреса для туннелирования (иначе шифрование пакетов с IP-адресами назначения, заданными в списке, производиться не будет), далее добавьте новые IPадреса или измените уже существующие настройки (например, заданные в ЦУС (или ViPNet Manager)). Следует иметь ввиду, что, если из ЦУС придут новые списки туннелируемых адресов для координатора, запись о котором Вы настраиваете (отличающиеся от ранее созданных в ЦУС), то будет применен этот новый список взамен настроенного Вами вручную. Во избежание проблем всегда производите настройку туннелируемых адресов либо только в ЦУС, либо только на координаторе.

Источник