close

Вход

Забыли?

вход по аккаунту

Составь и запиши 3 предложения по схеме что;pdf

код для вставкиСкачать
ViPNet
™
OFFICE/TUNNEL
ViPNet Private Network
Руководство
администратора
Версия 1.5
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL
2
Ó 1991 – 2007 ОАО "Инфотекс", Москва, Россия.
Этот документ входит в комплект поставки программного обеспечения, и на него
распространяются все условия лицензионного соглашения.
Ни одна из частей этого документа не может быть воспроизведена, опубликована, сохранена в
электронной базе данных или передана в любой форме или любыми средствами, такими как
электронные, механические, записывающие или иначе, для любой цели без предварительного
письменного разрешения ОАО "Инфотекс".
ViPNet является зарегистрированной торговой маркой программного обеспечения,
разрабатываемого ОАО "Инфотекс".
Все торговые марки и названия программ являются собственностью их владельцев.
ОАО "Инфотекс"
127083, Москва, ул. Мишина, д.56 строение 2
Тел: (495) 737-61-96 (hotline), 737-61-92, факс 737-72-78
E-mail: [email protected]
WWW: http://www.infotecs.ru
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL
3
СОДЕРЖАНИЕ
ВВЕДЕНИЕ....................................................................................................................................... 7
О ДАННОМ ДОКУМЕНТЕ .................................................................................................................... 8
1
ОБЩИЕ ПОЛОЖЕНИЯ ............................................................................................................. 9
1.1
КОМПОНЕНТЫ VIPNET OFFICE............................................................................................. 9
1.1.1
Установочный дистрибутив ViPNet OFFICE ......................................................... 9
1.1.2
ViPNet Manager ......................................................................................................... 9
1.1.3
ViPNet Координатор................................................................................................. 9
1.1.4
ViPNet Клиент ........................................................................................................ 10
1.2
СЕРВИСЫ, ПРЕДОСТАВЛЯЕМЫЕ VIPNET OFFICE ................................................................. 11
2
СРЕДЕ
МИНИМАЛЬНЫЕ ТРЕБОВАНИЯ К АППАРАТНЫМ СРЕДСТВАМ И ОПЕРАЦИОННОЙ
12
2.1
2.2
2.3
VIPNET MANAGER .............................................................................................................. 12
VIPNET КООРДИНАТОР ....................................................................................................... 12
VIPNET КЛИЕНТ ................................................................................................................. 12
3
СЦЕНАРИЙ РАБОТЫ С VIPNET OFFICE .............................................................................. 12
4
ПОЛУЧЕНИЕ НЕОБХОДИМОЙ ИНФОРМАЦИИ.................................................................... 13
5
УСТАНОВКА И НАСТРОЙКА КОМПОНЕНТОВ VIPNET OFFICE.......................................... 14
5.1 ПЕРВЫЙ ЭТАП. СОЗДАНИЕ РАБОЧЕГО МЕСТА АДМИНИСТРАТОРА СЕТИ VIPNET
(УСТАНОВКА VIPNET MANAGER И VIPNET CLIENT). СОЗДАНИЕ СТРУКТУРЫ СЕТИ VIPNET.............. 14
5.1.1
5.1.2
5.1.3
5.1.4
Установка ViPNet Manager .................................................................................... 14
Создание структуры ViPNet, генерация наборов ключей и паролей к ним........ 14
Установка ViPNet Client ......................................................................................... 14
Настройка ViPNet Client......................................................................................... 15
5.2 ВТОРОЙ ЭТАП. УСТАНОВКА КОМПОНЕНТОВ НА СЕРВЕРЫ (КООРДИНАТОРЫ) СЕТИ
VIPNET (УСТАНОВКА VIPNET COORDINATOR). НАСТРОЙКА КООРДИНАТОРОВ ................................. 15
5.2.1
Установка ViPNet Coordinator................................................................................ 15
5.2.2
Настройка ViPNet Coordinator ............................................................................... 16
5.3
ТРЕТИЙ ЭТАП (ТОЛЬКО ДЛЯ VIPNET OFFICE). СОЗДАНИЕ РАБОЧИХ МЕСТ ПОЛЬЗОВАТЕЛЕЙ
(АБОНЕНТСКИХ ПУНКТОВ) СЕТИ VIPNET (УСТАНОВКА VIPNET CLIENT). НАСТРОЙКА VIPNET CLIENT НА
АБОНЕНТСКИХ ПУНКТАХ ........................................................................................................................... 16
5.3.1
Установка ViPNet Client ......................................................................................... 16
5.3.2
Настройка ViPNet Client......................................................................................... 16
6
СОЗДАНИЕ И УПРАВЛЕНИЕ СЕТЬЮ VIPNET...................................................................... 17
6.1
ЗАПУСК ПРОГРАММЫ VIPNET MANAGER И ВЫХОД ИЗ НЕЕ ...................................................... 17
6.2
ТИПОВОЙ ПОРЯДОК КОНФИГУРАЦИИ СЕТИ VIPNET ................................................................ 17
6.3
БАЗОВАЯ КОНФИГУРАЦИЯ СЕТИ VIPNET ............................................................................... 18
6.3.1
Мастер создания защищенной сети ViPNet ........................................................ 18
6.3.2
Автоматическое создание структуры сети ...................................................... 18
6.3.3
Автоматическая генерация связей между сетевыми узлами ViPNet сети....... 19
6.3.4
Редактирование структуры сети ViPNet ........................................................... 21
6.3.5
Редактирование связей......................................................................................... 22
6.3.6
Задание свойств случайных паролей ................................................................... 23
6.3.7
Завершение создания защищенной сети ViPNet ................................................. 23
6.3.8
Создание ключей .................................................................................................... 24
6.4
РАБОТА С VIPNET MANAGER ............................................................................................... 25
6.4.1
Папка Вся сеть (просмотр свойств сети) .......................................................... 25
6.4.2
Папки с именем координатора или АП (просмотр и изменение свойств узлов) 26
6.5
НАСТРОЙКИ РАЗЛИЧНЫХ ПАРАМЕТРОВ СЕТЕВЫХ УЗЛОВ ......................................................... 28
ФРКЕ.00036-05 90 01
Руководство администратора
6.5.1
6.5.2
6.5.3
6.5.4
экран
ViPNet OFFICE/TUNNEL
4
Настройка IP-адресов для координаторов .......................................................... 28
Выбор сервера IP-адресов и настройка IP-адресов для АП ................................ 29
Настройка DNS-имен сетевых узлов ................................................................... 31
Настройки параметров соединения сетевых узлов ViPNet через межсетевой
32
6.5.4.1 Основные принципы осуществления соединений в сети ViPNet. Принцип выбора типа
соединения
32
6.5.4.2 Настройка параметров межсетевого экрана координатора.............................................. 34
6.5.4.2.1 Настройка параметров соединения координатора через другой координатор......... 35
6.5.4.2.2 Настройка параметров соединения координатора через МЭ с динамической
трансляцией
38
6.5.4.2.3 Настройка параметров соединения координатора через МЭ со статической
трансляцией
41
6.5.4.3 Общая настройка параметров межсетевого экрана всех АП координатора .................... 44
6.5.4.4 Настройка параметров межсетевого экрана АП............................................................... 45
6.5.4.4.1 Настройка параметров соединения АП через координатор...................................... 47
6.5.4.4.2 Настройка параметров соединения АП через МЭ с динамической трансляцией
адресов
48
6.5.4.4.3 Настройка параметров соединения АП через МЭ со статической трансляцией
адресов
50
6.5.5
Настройка IP-адресов туннелируемых соединений ............................................ 52
6.5.6
Настройка псевдонимов ........................................................................................ 54
6.5.7
Смена пароля пользователя сетевого узла........................................................ 55
6.5.8
Создание набора ключей сетевого узла............................................................... 57
6.5.9
Задание ограничения срока действия ключей сетевого узла ............................ 58
6.6
ИЗМЕНЕНИЕ СТРУКТУРЫ СЕТИ ............................................................................................. 59
6.6.1
Добавление новых сетевых узлов ........................................................................ 60
6.6.2
Настройка типов связи для добавляемых сетевых узлов.................................. 61
6.6.3
Редактирование имен сетевых узлов .................................................................. 62
6.6.4
Назначение Центром управления сетью другого АП ......................................... 62
6.6.5
Удаление сетевых узлов ....................................................................................... 62
6.6.6
Перемещение АП на другой координатор............................................................ 62
6.6.7
Изменение связей созданных сетевых узлов....................................................... 63
6.7
ВЫЯВЛЕНИЕ КОНФЛИКТНЫХ И НЕПОЛНЫХ ДАННЫХ В КОНФИГУРАЦИИ СЕТИ VIPNET ................. 63
6.8
СОЗДАНИЕ НАБОРОВ КЛЮЧЕЙ .............................................................................................. 65
6.9
ТИПОВОЙ ПОРЯДОК ДЕЙСТВИЙ ПРИ ПЕРЕКОНФИГУРАЦИИ СЕТИ .............................................. 68
6.10 УДАЛЕННОЕ УПРАВЛЕНИЕ СЕТЬЮ VIPNET............................................................................. 68
6.10.1
Отправка обновлений справочно-ключевой информации (наборов ключей) на
сетевые узлы 68
6.10.2
Отправка обновления программного обеспечения ViPNet.................................. 70
6.10.3
Смена мастер-ключей ........................................................................................... 73
6.11 СОЗДАНИЕ И ВОССТАНОВЛЕНИЕ РЕЗЕРВНЫХ КОПИЙ КОНФИГУРАЦИИ СЕТИ VIPNET И ПРОГРАММЫ
VIPNET MANAGER ................................................................................................................................... 75
6.11.1
Восстановление конфигурации ............................................................................ 76
6.11.2
Создание резервной копии текущей конфигурации ............................................ 78
6.11.3
Редактирование списка резервных копий ............................................................ 79
6.11.4
Отмена последнего восстановления конфигурации .......................................... 80
6.12 ДОПОЛНИТЕЛЬНЫЕ ВОЗМОЖНОСТИ ...................................................................................... 80
6.12.1
Удаление сети ....................................................................................................... 80
6.12.2
Создание сети заново ........................................................................................... 81
7
ЗАПУСК И НАСТРОЙКА ПРОГРАММЫ VIPNET КООРДИНАТОР ....................................... 82
7.1
VIPNET КООРДИНАТОР [МОНИТОР]...................................................................................... 83
7.1.1
Как открыть окно Монитора................................................................................ 83
7.1.2
Закрытие Монитора ............................................................................................. 84
ФРКЕ.00036-05 90 01
Руководство администратора
7.1.3
8
ViPNet OFFICE/TUNNEL
5
Основная конфигурация ........................................................................................ 84
ИНТЕГРИРОВАННЫЙ СЕТЕВОЙ ЭКРАН ............................................................................. 86
8.1
УРОВНИ ЗАЩИТЫ ................................................................................................................ 86
8.2
ФИЛЬТРАЦИЯ IP-ТРАФИКА ................................................................................................... 88
8.2.1
Основная информация ........................................................................................... 88
8.2.2
Категории фильтров ............................................................................................ 89
8.2.3
Структура фильтров ........................................................................................... 90
8.2.4
Создание фильтра................................................................................................. 91
9
ИСПОЛЬЗОВАНИЕ СЛУЖБ ИМЕН DNS И WINS В СЕТИ VIPNET ....................................... 96
9.1
9.2
9.3
9.4
ИСПОЛЬЗОВАНИЕ СЛУЖБЫ DNS .......................................................................................... 96
ОСНОВНЫЕ ПРАВИЛА ЗАДАНИЯ DNS-ИМЕН В НАСТРОЙКАХ МОНИТОРА СУ .............................. 97
ПРАВИЛА РЕГИСТРАЦИИ IP-АДРЕСОВ УЗЛА НА DNS-СЕРВЕРЕ ................................................ 97
ПОДДЕРЖКА РАБОТЫ СЛУЖБЫ WINS ТЕХНОЛОГИЕЙ VIPNET. ПРАВИЛА РЕГИСТРАЦИИ IPАДРЕСОВ УЗЛА НА WINS-СЕРВЕРЕ ............................................................................................................ 98
10 КОНФИГУРИРОВАНИЕ УЗЛОВ СЕТИ VIPNET (МАРШРУТИЗАЦИЯ IP-ТРАФИКА) ........... 98
10.1
10.2
10.3
СОЕДИНЕНИЯ БЕЗ ИСПОЛЬЗОВАНИЯ МЕЖСЕТЕВОГО ЭКРАНА .................................................. 99
СОЕДИНЕНИЯ ЧЕРЕЗ "VIPNET-КООРДИНАТОР" ....................................................................101
ШИФРОВАННЫЕ СОЕДИНЕНИЯ ЧЕРЕЗ МЭ, ВНЕШНИЙ IP-АДРЕС КОТОРОГО ИЗВЕСТЕН И НЕ
МЕНЯЕТСЯ В ПРОЦЕССЕ РАБОТЫ (ТИП МЭ " СО СТАТИЧЕСКОЙ ТРАНСЛЯЦИЕЙ АДРЕСОВ ") ...........................103
10.4 ШИФРОВАННЫЕ СОЕДИНЕНИЯ ЧЕРЕЗ МЭ, ГДЕ ВНЕШНИЙ IP-АДРЕС И ПОРТ ДОСТУПА ЗАРАНЕЕ НЕ
ИЗВЕСТНЫ И (ИЛИ) МОГУТ МЕНЯТЬСЯ В ПРОЦЕССЕ РАБОТЫ (ТИП МЭ "С ДИНАМИЧЕСКОЙ ТРАНСЛЯЦИЕЙ
АДРЕСОВ")
106
10.5 СПЕЦИАЛЬНЫЕ СИТУАЦИИ ИСПОЛЬЗОВАНИЯ РАЗЛИЧНЫХ ТИПОВ СОЕДИНЕНИЙ ......................108
10.6 ВИРТУАЛЬНЫЕ IP-АДРЕСА ..................................................................................................108
11 ИСПОЛЬЗОВАНИЕ VIPNET КООРДИНАТОР В КАЧЕСТВЕ ТУННЕЛИРУЮЩЕГО
СЕРВЕРА 109
12 ЗАПУСК И НАСТРОЙКА VIPNET КЛИЕНТ............................................................................112
12.1
12.2
ОТКРЫТИЕ И ЗАКРЫТИЕ ОКНА VIPNET КЛИЕНТ [МОНИТОР] ...................................................113
НАСТРОЙКА VIPNET КЛИЕНТ ..............................................................................................113
13 ОБНОВЛЕНИЕ СПРАВОЧНО-КЛЮЧЕВОЙ ИНФОРМАЦИИ ...............................................115
13.1 ОБНОВЛЕНИЕ СПРАВОЧНО-КЛЮЧЕВОЙ ИНФОРМАЦИИ ПРИ ПОМОЩИ ФАЙЛА *.DST....................115
13.1.1
Сохранение и возврат предыдущей копии ключевой информации ....................116
14 АДМИНИСТРАТИВНЫЕ ФУНКЦИИ......................................................................................117
14.1 РАБОТА В ПРОГРАММЕ С ПРАВАМИ АДМИНИСТРАТОРА ..........................................................117
14.1.1
Настройки программы..........................................................................................117
14.2 ЖУРНАЛ IP-ПАКЕТОВ .........................................................................................................119
14.3 НАСТРОЙКИ ЖУРНАЛА IP-ПАКЕТОВ ......................................................................................121
14.4 УДАЛЕННОЕ УПРАВЛЕНИЕ КОМПЬЮТЕРАМИ ПОЛЬЗОВАТЕЛЕЙ СЕТИ VIPNET ............................122
14.5 СТАТИСТИКА .....................................................................................................................123
14.6 КОНФИГУРАЦИИ .................................................................................................................123
15 ТРАНСПОРТНЫЙ МОДУЛЬ MFTP........................................................................................124
15.1
ПОЛЬЗОВАТЕЛЬСКИЙ ИНТЕРФЕЙС МОДУЛЯ MFTP ................................................................125
16 ПРОГРАММА КОНТРОЛЬ ПРИЛОЖЕНИЙ...........................................................................126
16.1
16.2
16.3
ЗАПУСК ПРОГРАММЫ. ВЫГРУЗКА ПРОГРАММЫ......................................................................126
РАБОТА ПРОГРАММЫ .........................................................................................................128
РЕГИСТРАЦИЯ ПРИЛОЖЕНИЙ, ВЫБРАННЫХ ПОЛЬЗОВАТЕЛЕМ ................................................129
17 ИСПОЛЬЗОВАНИЕ ВСТРОЕННЫХ СЕРВИСНЫХ ФУНКЦИЙ............................................130
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL
6
17.1 ЗАЩИЩЕННЫЙ ОБМЕН СООБЩЕНИЯМИ/ЗАЩИЩЕННАЯ КОНФЕРЕНЦИЯ ....................................130
17.1.1
Отправка и прием сообщений..............................................................................130
17.1.2
Окно Оперативный обмен защищенными сообщениями....................................131
17.1.3
Обработка сообщений в окне Новые сообщения................................................132
17.1.4
Закрытие сеансов и окон сервиса обмен сообщениями .....................................133
17.2 ФАЙЛОВЫЙ ОБМЕН ............................................................................................................133
17.3 ДЕЛОВАЯ ПОЧТА ...............................................................................................................134
17.3.1
Панель инструментов окна Деловой Почты......................................................136
17.4 ВЫЗОВ ВНЕШНИХ ПРИЛОЖЕНИЙ ..........................................................................................137
17.5 W EB-ССЫЛКА ....................................................................................................................138
17.6 ОТКРЫТЬ СЕТЕВОЙ РЕСУРС ................................................................................................138
17.7 ПРОВЕРКА СОЕДИНЕНИЯ С ПОЛЬЗОВАТЕЛЕМ И ИНФОРМИРОВАНИЕ О ЕГО СТАТУСЕ .................139
17.8 БЛОКИРОВКА КОМПЬЮТЕРА ................................................................................................140
18 ИСПОЛЬЗОВАНИЕ АСИММЕТРИЧНЫХ КЛЮЧЕЙ ШИФРОВАНИЯ (ТОЛЬКО ДЛЯ VIPNET
OFFICE) 142
19 РЕГИСТРАЦИЯ VIPNET OFFICE ...........................................................................................144
19.1 ПОКУПКА VIPNET (ПОЛУЧЕНИЕ СЕРИЙНОГО НОМЕРА)...........................................................145
19.2 ЗАПРОС НА РЕГИСТРАЦИЮ (ПОЛУЧЕНИЕ КОДА РЕГИСТРАЦИИ) ...............................................145
19.2.1
Автоматическая регистрация (в онлайновом режиме).....................................146
19.2.2
Запрос по электронной почте .............................................................................148
19.2.3
Запрос через веб-страницу ..................................................................................149
19.2.4
Регистрация по телефону...................................................................................149
19.2.5
Групповая регистрация (через системного администратора) ........................150
19.3 РЕГИСТРАЦИЯ ...................................................................................................................152
19.3.1
Полезная информация о сохранении регистрационных данных........................153
20 ИНСТРУКЦИЯ ДЛЯ СИСТЕМНОГО АДМИНИСТРАТОРА ПО ОСУЩЕСТВЛЕНИЮ
ГРУППОВОЙ РЕГИСТРАЦИИ ПРОГРАММНЫХ ПРОДУКТОВ VIPNET...............................................154
21 РАСШИРЕНИЕ ЛИЦЕНЗИИ...................................................................................................154
ПРИЛОЖЕНИЯ..............................................................................................................................155
1
ТЕРМИНОЛОГИЯ...................................................................................................................155
2
КЛЮЧЕВАЯ СИСТЕМА VIPNET ............................................................................................157
3
ВИДЫ ЛИЦЕНЗИЙ НА VIPNET OFFICE И VIPNET TUNNEL................................................158
3.1
ОГРАНИЧЕНИЯ ДЛЯ НЕЗАРЕГИСТРИРОВАННОЙ ВЕРСИИ (DEMO).............................................158
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL
7
Введение
Современный бизнес все чаще сталкивается с проблемами информационной безопасности в
локальных и глобальных сетях. Локальные, удаленные и мобильные пользователи, а так же
удаленные офисы организаций, нуждаются в надежных и, одновременно, защищенных системах
коммуникации. ViPNet OFFICE, наряду с базовой функцией создания VPN-cоединения, предлагает
пользователям целый ряд важных и удобных защищенных приложений. Программный пакет ViPNet
OFFICE позволяет развернуть высокозащищенную виртуальную сеть без изменения существующей
физической инфраструктуры сети. ViPNet OFFICE очень легко и быстро устанавливается и не
нарушает привычной работы пользователей с сетевыми прикладными задачами. ViPNet OFFICE
защищает корпоративную сеть и ее пользователей от атак злоумышленников, осуществляемых как
извне, так и изнутри этой сети (кроме TUNNEL). Система мер безопасности интегрирована в
технологию ViPNet и основана на следующем принципе:
ПО ViPNet, установленное на все компьютеры сети (рабочие станции и серверы), осуществляет
шифрование и фильтрацию TCP/IP трафика согласно установленной политике безопасности. В
результате, если какой-либо компьютер с установленным ПО ViPNet (находящийся как во внешней
сети, так и во внутреннем защищенном сегменте) соединяется с другим ViPNet компьютером, то это
соединение является шифрованным соединением (туннелем) и, поэтому, изолированным от внешних
сетевых соединений. Основным способом создания VPN сети является организация шифрованных
соединений (туннелей) между каждой парой компьютеров, входящих в VPN, поверх
Интернет/Интранет. Дополнительно, ПО ViPNet обеспечивает расширенный набор средств
безопасности, включая фильтрацию нешифрованного и только что расшифрованного трафика
согласно установленной политике безопасности. Используя термин "сеть", мы подразумеваем любые
виды TCP/IP сетей, включая LAN, Интернет и другие сети, которые могут быть использованы
клиентом для установления сетевого соединения. ViPNet технология совместима с любыми
технологиями доступа к сети – xDSL, ISDN, GPRS, UMTS, WiFi, и т.д.
Ставшие уже традиционными VPN решения, обычно концентрируются преимущественно на
защите трафика между двумя удаленными локальными сетями или между локальной сетью и
удаленными (или мобильными) пользователями. В отличие от них, VPN ViPNet также обеспечивает
создание и защиту непосредственного соединения "клиент-клиент". Благодаря этой особенности и
интеграции модулей ViPNet со встроенной IDS системой и Firewall, ViPNet обеспечивает с равным
успехом, как защиту трафика между удаленными сетями, так и защиту любых двух пользователей
VPN (кроме TUNNEL) , в том числе и в локальной сети. Например, обеспечивается защита двух
пользователей VPN, находящихся в доверенном сегменте сети, которые очень часто в результате
недооценки угрозы становятся объектом нападения для внутреннего нарушителя.
Ядром программного обеспечения ViPNet является так называемый ViPNet [Драйвер], главной
функцией которого является фильтрация и шифрование/дешифрование исходящих/входящих IPпакетов.
Каждый исходящий пакет будет обработан Драйвером следующим образом:
· переадресован или отправлен как есть (без шифрования);
· блокирован;
· зашифрован и отправлен.
Каждый входящий пакет будет обработан следующим образом:
· пропущен как есть, если он не зашифрован и это разрешено правилами фильтрации для
нешифрованного трафика;
· блокирован (в соответствии с установленными правилами фильтрации);
· дешифрован (если пакет был зашифрован) и перенаправлен на дальнейшую обработку
соответствующему приложению.
ViPNet [Драйвер] является сетевым драйвером и работает над вторым уровнем модели OSI,
что позволяет вести обработку пакетов (дешифрование, контроль целостности, фильтрацию и
блокирование) до того как они будут переданы на транспортный уровень (Рисунок 1).
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL
8
Рисунок 1
Такой подход обеспечивает защиту IP-трафика любого приложения, не нарушая привычного
порядка работы пользователя с приложениями, тем самым, развертывание ViPNet, как средства
безопасности, не требует изменения сложившихся бизнес процессов и как следствие – малые
затраты на внедрение.
О данном документе
Настоящее Руководство предназначено для администраторов сети, производящих установку
ViPNet OFFICE/ViPNet TUNNEL в своей организации.
О наиболее типовых схемах использования продукта ViPNet OFFICE можно прочесть в
приложении к данному документу, Схемы использования ViPNet.
Более подробную информацию по компонентам ViPNet OFFICE можно получить из руководств
по программному обеспечению ViPNet Manager, ViPNet Координатор и ViPNet Клиент.
Предполагается, что администратор уже имеет хорошие базовые знания в области TCP/IP-сетей.
Руководство состоит из двух уровней информации, предназначенных для администратора и
пользователя соответственно.
Уровень для администратора включает следующие описания:
· Подготовка установки ViPNet OFFICE.
· Подготовка логической структуры VPN.
· Создание сети ViPNet.
· Конфигурирование сети ViPNet.
· Руководство по настройке ViPNet Координатор и ViPNet Клиент.
Разделы для пользователя дают информацию об использовании различных приложений,
интегрированных в ViPNet Клиент и частично в ViPNet Координатор. Наш опыт говорит о том, что
использование интегрированных в ViPNet приложений существенно повышает эффективность
внутрикорпоративных коммуникаций. В числе предлагаемых в пакете ViPNet OFFICE приложений:
· Защищенные on-line обмен сообщениями и конференции (instant messaging).
· Возможность получения статуса активности других участников VPN сети.
· Получение статуса (отправлен, доставлен, прочтен) для on-line сообщений и off-line
доставки файлов и почтовых конвертов.
· Возможность подписывать почтовые сообщения сертификатами открытого ключа
подписи пользователя и процедура проверки подписи.
· Возможность работы в защищенном режиме с удаленными сетевыми ресурсами.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL
9
Обратите внимание!
Каждый компонент, входящий в пакет ViPNet OFFICE, будет рассмотрен подробно. Если
соответствующий пользовательский интерфейс и настройки для компонентов Координатор и Клиент
одинаковы в какой-либо описываемой ситуации, то в месте описания будет размещена следующая
пиктограмма:
1 Общие положения
1.1 Компоненты ViPNet OFFICE
Пакет ViPNet OFFICE состоит из следующих программных компонент:
· Установочный дистрибутив ViPNet OFFICE
· ViPNet Manager
· ViPNet Координатор
· ViPNet Клиент (для ViPNet TUNNEL этот компонент поставляется только для установки
на рабочее место администратора)
Опишем кратко функциональность каждой из компонент.
1.1.1
Установочный дистрибутив ViPNet OFFICE
Как правило, пакет ViPNet OFFICE поставляется двумя способами: через Интернет-магазин или
на CD-ROM. В установочном дистрибутиве находится ряд файлов, содержащих документацию на
ViPNet OFFICE, а также, непосредственно, сам установочный дистрибутив ViPNet OFFICE.
1.1.2
ViPNet Manager
Компонент ViPNet Manager поможет Вам создать логическую структуру сети ViPNet, определить
необходимые соединения между узлами и произвести различные настройки узлов. После чего Вы
сможете создать наборы ключей и сгенерировать пользовательские и администраторские пароли для
Координаторов и Клиентов в составе приобретенной ViPNet сети.
Соответствующий помощник "Создание сети ViPNet" включен в состав компонента, он поведет
Вас шаг за шагом сквозь процесс создания структуры защищенной сети. Программа ViPNet Manager
должна быть установлена первой. С ее помощью Вы создадите требуемую конфигурацию сети
согласно приобретенной лицензии.
Также ViPNet Manager предоставляет возможность управления сетью ViPNet –
централизованной рассылки на узлы сети ViPNet обновлений справочно-ключевой информации при
ее изменении и программного обеспечения ViPNet.
1.1.3
ViPNet Координатор
Компьютер с установленным на нем программным обеспечением ViPNet Координатор играет
одну из центральных ролей в сети ViPNet. Программа ViPNet Координатор реализует несколько
функций.
Одной из важнейших функций является функция сервера IP-адресов. Логика реализации этой
функции следующая: каждый клиент, будучи активным, соединяется по сети с назначенным ему
Координатором, сообщает ему свой текущий IP-адрес и одновременно получает адреса других
сетевых узлов, активных на данный момент времени. В свою очередь, когда Координатор получает
информацию об IP-адресах активных клиентов с других Координаторов, он рассылает эту
информацию всем своим Клиентам. Если Координатор не получает информацию об адресе от какоголибо Клиента в течение 6 минут, то он считает, что этот Клиент находится в состоянии off-line и
соответственно рассылает эту информацию о статусе остальным подключенным сетевым узлам.
После того, как Клиенты получают информацию о статусе друг друга от своих Координаторов,
они могут устанавливать прямые соединения друг с другом. Это правило распространяется на все online сервисы пакета ViPNet и не распространяется на off-line сервисы "Деловая Почта" и "Файловый
обмен" (см. главу 17). Все данные и служебные файлы, создаваемые этими приложениями,
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 10
маршрутизируются через соответствующие Координаторы, которые в этом случае работают как
специализированные Почтовые Серверы, используя соответствующие таблицы маршрутизации.
Другой важной функцией Координатора является функция ViPNet Firewall для шифрованных
соединений. Эта функция позволяет:
· Нескольким ViPNet клиентам (работающим в локальной сети через Координатор)
работать от имени одного IP-адреса.
· Туннелировать трафик от сетевых узлов локальной сети, не оснащенных программным
обеспечением ViPNet, к другим объектам VPN сети (координатор может просто выполнять
функции туннелирующего сервера, если нет необходимости защищать трафик отдельно
взятого сетевого узла или нет необходимости осуществлять криптографическую
аутентификацию узла внутри локальной сети).
· Перемаршрутизировать шифрованный трафик ViPNet клиентов на адрес своего
координатора (производится подмена IP и MAC-адреса) и межсетевые экраны (Firewall)
других типов.
Координатор также может выполнять функцию классического межсетевого экрана (Gateway
Firewall), который реализует установленные правила фильтрации и политику безопасности для
открытого трафика.
Если Клиент работает через Координатор, выполняющий подмену адресов (NAT)
шифрованного трафика, то весь шифрованный трафик будет маршрутизироваться через
Координатор. При этом Координатор не осуществляет обработку нешифрованного трафика Клиентов.
Этот трафик будет обработан обычным способом в соответствии с имеющейся конфигурацией
операционной системы Клиента и правилами маршрутизации открытого трафика, принятыми в сети.
Если Координатор имеет два или более сетевых адаптера, то для каждого из них могут быть
определены индивидуальные правила фильтрации для проходящего трафика. Таким образом,
Координатор может быть использован для разбиения сети на несколько сегментов.
Координатор может быть установлен на обычной рабочей станции, однако мы рекомендуем его
устанавливать на серверы (например, stand alone или совмещать с серверами SMTP, Web, File, Data
Base и др.), доступ к которым требует администраторских полномочий. В случае использования
производительных серверных платформ размещение Координатора stand alone не требуется, что
позволяет эффективно использовать ранее произведенные капитальные затраты для развертывания
ViPNet сети поверх существующих серверов приложений.
Главное окно Координатора – это ViPNet Координатор [Монитор]. Из этого окна
осуществляется конфигурирование и контроль работы Координатора.
1.1.4
ViPNet Клиент
ПО ViPNet Клиент устанавливается на компьютер, который должен стать частью VPN сети.
Благодаря простому процессу установки, автоматическому определению сетевых установок, набору
предустановленных уровней сетевой безопасности, интуитивно понятному интерфейсу пользователя,
этот модуль не требует для использования каких-либо специальным знаний, и может быть легко
применим обычным пользователем.
ViPNet Клиент включает в себя:
· Интегрированный персональный экран с функцией IDS и функцией контроля активности
приложений (см. главу 8).
· TCP/IP шифратор.
· Ряд очень полезных защищенных коммуникационных приложений и других сервисных
функций (см. главу 17).
Одна из важнейших функций этого модуля – эффективный контроль IP-трафика в течение всего
процесса загрузки операционной системы (ОС). Этот контроль выполняется благодаря
непосредственному взаимодействию между ViPNet [Драйвером] и сетевыми драйверами ОС,
обслуживающими сетевые адаптеры. ОС Windows использует только один сервис для инициализации
загрузки компьютера. Одновременно с началом загрузки запускается log-on процедура
инициализации драйвера ViPNet и ключей шифрования ViPNet, которая осуществляется до log-on
процедуры Windows и инициализации остальных сервисов и драйверов операционной системы.
В результате, ViPNet [Драйвер] первым получает контроль над TCP/IP стеком, обеспечивает
свою готовность шифровать и фильтровать трафик к моменту инициализации драйверов сетевых
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 11
адаптеров, и тем самым обеспечивает защищенное соединение с домен-контроллером,
осуществляет контроль активности запущенных на компьютере приложений и блокирование
нежелательных пакетов извне. Дополнительно к этому, в момент загрузки ОС, ViPNet проверяет
собственные контрольные суммы, гарантирующие целостность программного обеспечения, ключевых
наборов, а также лист приложений, которым разрешена сетевая активность.
Программное обеспечение ViPNet Клиент может быть установлено на любом современном
компьютере с ОС Windows, чтобы защитить его трафик, будь это рабочая станция, удаленный или
мобильный компьютер или сервер.
Главное окно доступное пользователю для конфигурирования и отображения настроек
называется – ViPNet Клиент [Монитор].
1.2
Сервисы, предоставляемые ViPNet OFFICE
Пакет ViPNet OFFICE включает ряд полезных сервисных функций для быстрого и безопасного
обмена данными между участниками VPN и других функций:
Обмен сообщениями/Конференция – эта функция предназначена для передачи сообщений в
реальном масштабе времени между участниками VPN. Эта функция может быть сравнима с такими
инструментами как ICQ, MSN- и AOL Instant Messenger, однако преимуществом ViPNet является то,
что все сообщения шифруются в реальном времени.
Деловая Почта – это почтовый клиент с более мощной, чем в обычных почтовых клиентах
системой верификации и аутентификации, обеспечивающий полный контроль прохождения
документов. Отправка, получение и факт открытия письма строго документируются и отражаются в
соответствующем окне статуса, доступном пользователю. Деловая почта позволяет подтверждать
личность отправителя (его ЭЦП), используя систему сертификатов пользователей, встроенную в
общую систему безопасности. Пользовательский интерфейс приложения отвечает стандартным
требованиям пользователя на подобные почтовые системы.
Файловый Обмен позволяет пользователям быстро и удобно обмениваться файлами без
установки каких-либо дополнительных сервисов, например, ftp или совместного использования
(sharing) ресурсов. Функция интегрирована в оболочку Windows Explorer и реализуется с помощью
контекстного меню, вызываемого по правой кнопке мыши на выбранном для отправки файле или
папке. В меню необходимо всего лишь выбрать опцию Отправить файл адресату ViPNet.
Вызов внешних приложений – ViPNet поддерживает автоматизированный вызов ряда
коммуникационных приложений, таких как MS NetMeeting, VoxPhone, Internet Phone, Compaq
Insight Manager, Microsoft Portrait и Radmin Viewer… с принудительным шифрованием трафика
этих приложений. Список приложений с встроенным вызовом постоянно расширяется. Вы также
можете использовать любые другие коммуникационные приложения, базирующиеся на передаче
TCP/IP трафика, при этом Вам необходимо убедиться, что маршрутизация трафика этих приложений
осуществляется в рамках сети ViPNet, чтобы быть уверенным в гарантированной защите этого
трафика.
Функция Web-ссылка позволяет обратиться к информационным ресурсам компьютера
защищенной (с установленным ПО ViPNet) или открытой сети (без ПО ViPNet), построенным на
основе web-технологии. Для защищенных узлов обращение происходит в защищенном режиме.
Функция Открыть сетевой ресурс позволяет открыть доступные сетевые ресурсы на
компьютере защищенной (с установленным ПО ViPNet) или открытой сети (без ПО ViPNet). Для
защищенных узлов обращение происходит в защищенном режиме.
Проверка соединения с пользователем и информирование о его статусе – эта функция
предоставляет возможность пользователю по своей инициативе узнавать о текущем статусе других
доступных ему пользователей защищенной сети – доступны они или нет, активны или нет и т.д.
Функция Блокировка компьютера позволяет пользователю ViPNet закрывать доступ ко всем
приложениям на рабочем столе, блокировать весь IP-трафик или же выполнять эти действия
одновременно в тот момент, когда пользователю это необходимо, а также пользоваться
автоматической блокировкой через заданный интервал времени.
Более полная и подробная информация изложена в главе 17.
ФРКЕ.00036-05 90 01
Руководство администратора
2 Минимальные
требования
операционной среде
ViPNet OFFICE/TUNNEL 12
к
аппаратным
средствам
и
Пакет ПО ViPNet OFFICE может быть развернут поверх любой сети, использующей ОС MS
Windows. Для использования также доступны модули ViPNet Координатор для ОС Linux и Solaris. Для
получения информации по применению этих ОС просим Вас контактировать с производителем.
Установка ViPNet OFFICE может быть произведена при помощи установочного дистрибутива
ViPNet OFFICE. Размер установочного дистрибутива – 29MB.
Минимальные требования к аппаратным средствам по компонентам, входящим в пакет ПО
ViPNet OFFICE, следующие:
2.1
ViPNet Manager
Этот компонент может быть установлен на компьютер, где планируется организовать рабочее
место администратора сети ViPNet. Помните, что файловые наборы, создаваемые ViPNet Manager,
являются конфиденциальными, поэтому доступ к компьютеру с этим компонентом должен быть
строго ограничен. Системные требования к компьютеру для ViPNet Manager следующие:
· ОС: MS Windows 2000/XP/2003 Server
· Минимум RAM: 64 MB RAM (128 рекомендуется)
· Минимум свободного дискового пространства: 40 MB (100 рекомендуется)
· Процессор не ниже (CPU): Pentium II
2.2 ViPNet Координатор
Все Координаторы, входящие в поставку, должны быть установлены на разные компьютеры.
Минимальные требования к компьютерам следующие:
· ОС: Windows NT4/2000/XP/2003 Server
· Минимум RAM: 128 MB RAM (256 MB рекомендуется)
· Минимум свободного дискового пространства: 100 MB (1 GB рекомендуется)
· Процессор не ниже (CPU): Pentium II
· Как минимум один сетевой адаптер.
На компьютере не должно быть установлено никаких других ПСЭ (Firewall).
2.3
ViPNet Клиент
Все клиенты, входящие в поставку, должны быть установлены на разные компьютеры.
Минимальные требования к компьютерам для установки Клиента следующие:
· ОС: Windows 98SE/ME/NT4/2000/XP/2003 Server
· Минимум RAM: 128 MB RAM (256 рекомендуется)
· Минимум свободного дискового пространства: 40 MB (100 MB рекомендуется)
· Процессор не ниже (CPU): Pentium II
· Сетевой адаптер.
На компьютере не должно быть установлено никаких других ПСЭ (Firewall).
3 Сценарий работы с ViPNet OFFICE
Для настройки работы ViPNet OFFICE мы рекомендуем следующую последовательность
действий:
Шаг 1. Получение необходимой информации о существующей структуре сети (см. главу 4).
Шаг 2. Установка и настройка компонентов ViPNet OFFICE (см. главу 5).
В дальнейшем администратор может изменять конфигурацию и настройки сети ViPNet –
добавлять, удалять узлы, изменять связи и т.д., а затем отправлять изменившиеся наборы ключей на
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 13
СУ. Типовой порядок действий администратора при внесении в действующую сеть каких-либо
изменений описан в главе 6.9.
ViPNet Manager предоставляет возможность администратору централизованно рассылать на
узлы сети ViPNet обновления программного обеспечения ViPNet – ViPNet Клиент и ViPNet
Координатор. О том, как это сделать читайте в главе 6.10.2.
4 Получение необходимой информации
В большинстве случаев логическая структура сети ViPNet (в первую очередь это логическая
привязка Клиентов к соответствующим Координаторам) определяется структурой существующей
сети. В зависимости от имеющейся политики безопасности каждый Координатор пакета ViPNet
OFFICE может быть использован для реализации следующих задач:
Сервер IP-адресов – используется для регистрации активных Клиентов и информирования
Клиентов о текущих IP-адресах других Клиентов.
VPN-шлюз – если Координатор установлен в точке подключения локальной сети к Интернету
(Network Gateway), то он может быть использован мобильными и удаленными Клиентами в качестве
точки доступа в VPN. Одновременно в этом случае Координатор может выполнять функцию
межсетевого экрана, осуществляющего фильтрацию шифрованного и открытого трафика.
VPN NAT-сервер – в этом случае Координатор обеспечивает работу нескольких ViPNet
Клиентов из локальной сети от имени одного внешнего IP-адреса – IP-адреса Координатора. При
таком использовании Координатор обеспечивает надежную защиту сегмента локальной сети,
работающего через этот Координатор. Такой способ использования также позволяет стыковать VPN
ViPNet с другой развернутой VPN системой, шлюз которой будет присоединен к одному из сетевых
адаптеров Координатора.
Туннелирующий сервер – в этой задаче Координатор может быть использован для создания
защищенного туннеля посредством шифрования трафика между различными локальными сетями.
Координатор (в равной мере, как и Клиент) может быть использован для защиты трафика, а
также сетевой защиты серверов, сервисов и приложений (например, домен-контроллер,
SMTP/FTP/Web-серверы и сервер базы данных).
В зависимости от имеющейся политики безопасности, администратору предлагается выявить,
какая именно конфигурация сети ViPNet и настройки потребуются для локальной сети организации.
Вопросы для получения исходной информации:
· Какая логическая структура VPN соединений наиболее полно отвечает Вашим
требованиям и имеющейся физической структуре сети?
· Сколько рабочих станций, серверов и сегментов локальной сети нуждаются в защите
трафика и сетевой защите?
· Как оптимально распределить количество Клиентов, связанных с тем или иным
Координатором?
· Планируете ли Вы устанавливать Координатор(ы) на отдельные компьютеры или
совместить с какими-либо существующими серверами или рабочими станциями?
· Как должны быть настроены интегрированные в ViPNet персональные сетевые экраны и
МЭ для правильной работы сети и сетевых сервисов. Например, Клиенты и Координаторы
по умолчанию будут блокировать входящий нешифрованный трафик. Поэтому, если на
каких-либо сетевых устройствах, отвечающих за общие сервисы в локальной сети, ViPNet
не установлен, то серверы и рабочие станции с ViPNet будут блокировать входящий
трафик, соответствующий этим сетевым сервисам, если иные правила не будут заданы в
интегрированных в Клиентах и Координаторах Firewall.
Мы рекомендуем администратору сети ViPNet использовать следующий контрольный список
вопросов:
· Необходимое количество VPN узлов.
· Для каждого сегмента локальной сети:
1. Количество серверов, входящих в VPN.
2. ОС для этих серверов.
3. Другие средства защиты информации (Firewalls, антивирусное ПО, другое).
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 14
4. Анализ трафика между сегментами/серверами/рабочими станциями (используемые
сервисы, номера портов и протоколов).
5. Адреса, используемые для серверов (публичные или частные).
6. Как осуществляется доступ к серверам и шлюзам извне локальной сети? Как
организована маршрутизация входящего/исходящего трафика и трансляция
адресов? Какие типы Firewall уже используются в этой задаче? (По возможности
необходимо получить точную схему и описание).
7. Какие приложения планируется защищать с помощью VPN? (базы данных,
CRM/CMS/ERP системы, Web-приложения и т.д.)
· План защищенных соединений (Кто с кем?):
1. Между разнесенными локальными сегментами.
2. Непосредственно между какими VPN Клиентами.
5 Установка и настройка компонентов ViPNet OFFICE
ViPNet OFFICE – это набор компонентов для создания Вашей виртуальной защищенной сети
(VPN), основанной на технологии ViPNet.
Установка ViPNet OFFICE может быть произведена либо с ViPNet-CD, либо путем загрузки
установочного
дистрибутива
ViPNet
OFFICE
с
демо-раздела
нашего
сайта
http://www.infotecs.ru/demo.htm.
Для правильной работы ViPNet OFFICE необходимо соблюдать нижеследующую
последовательность действий по установке и настройке компонентов.
5.1
Первый этап. Создание рабочего места администратора сети ViPNet
(установка ViPNet Manager и ViPNet Client). Создание структуры сети ViPNet
На рабочем месте администратора сети ViPNet должны быть последовательно установлены
компоненты ViPNet Manager и ViPNet Client. ViPNet Manager предназначен для формирования
структуры Вашей сети ViPNet (определения количества серверов, рабочих мест пользователей и
связей между ними), а также для создания наборов ключей и паролей для сетевых узлов ViPNet.
Наборы ключей участвуют в организации защищенных соединений и необходимы для последующей
установки компонентов ViPNet Coordinator и ViPNet Client на сетевые узлы ViPNet. Постоянная
доступность в сети компьютера с установленным ViPNet Manager не требуется, так как ViPNet
Manager на первом этапе используется только для начального создания структуры сети и наборов
ключей. Для связи рабочего места администратора с другими сетевыми узлами ViPNet и для
возможности рассылки наборов ключей при последующем администрировании сети, необходимо на
компьютер с установленным ViPNet Manager установить ViPNet Client, который имеет статус Центра
управления сетью (в ViPNet Manager этот узел отмечен значком ).
На компьютере, где Вы хотите создать рабочее место администратора сети ViPNet необходимо
произвести следующие действия:
5.1.1
Установка ViPNet Manager
1. Если программа установки ViPNet OFFICE еще не запущена, запустите программу установки
ViPNet OFFICE.
2. В окне программы установки ViPNet OFFICE выберите первый этап – Создание рабочего
места администратора сети ViPNet.
3. Нажмите кнопку Установить ViPNet Manager и произведите установку программы ViPNet
Manager. Перезагрузите компьютер.
5.1.2
Создание структуры ViPNet, генерация наборов ключей и паролей к ним
4. Запустите программу ViPNet Manager.
5. В программе ViPNet Manager создайте структуру сети ViPNet и наборы ключей (файлы *.dst)
для узлов сети ViPNet (см. главу 6). Подробную информацию о создании структуры сети и
наборов ключей можно найти в справке ViPNet Manager.
5.1.3
Установка ViPNet Client
6. Еще раз запустите программу установки компонентов ViPNet OFFICE.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 15
7. Если у Вас есть dst-файл с набором ключей для сетевого узла – Центра управления сетью, то
включите флажок У меня есть dst-файл с набором ключей для сетевого узла – Центра
управления сетью. Наборы ключей необходимо было создать ранее в программе ViPNet
Manager.
8. Нажмите кнопку Установить ViPNet Client и произведите установку компонентов ViPNet Client,
в конце установки откажитесь от перезагрузки компьютера.
9. Установите набор ключей. Для этого запустите программу Проводник или другой файловый
обозреватель, в нем выберите dst-файл с набором ключей для сетевого узла – Центра
управления сетью и нажмите Enter или два раза щелкните на dst-файле. (Расположение dstфайла с набором ключей можно найти в главном окне программы ViPNet Manager во вкладке
Ключи сетевого узла - Центра управления сетью). Запустится программа установки ключей.
Произведите установку набора ключей.
10. Перезагрузите компьютер. Перед перезагрузкой запомните или запишите пароль пользователя
данного сетевого узла – Центра управления сетью. Пароли пользователей сетевых узлов
можно найти в главном окне программы ViPNet Manager во вкладке Ключи.
11. При загрузке ViPNet Client введите пароль пользователя сети ViPNet для данного сетевого
узла – Центра управления сетью.
5.1.4
Настройка ViPNet Client
Настройку ViPNet Client на рабочем месте администратора произведите в соответствии с
главой 12 после выполнения второго этапа – установки и настройки координаторов сети ViPNet.
5.2
Второй этап. Установка компонентов на серверы (координаторы) сети ViPNet
(установка ViPNet Coordinator). Настройка координаторов
Компьютер с установленным на нем набором программ ViPNet Coordinator является
коммуникационным центром в сети ViPNet. Он предоставляет службы другим сетевым узлам ViPNet и
является необходимым элементом для функционирования всей сети в целом. Важнейшая функция
координатора – сервер IP-адресов, который участвует в создании прямых защищенных соединений
между сетевыми узлами ViPNet. Сеть ViPNet нуждается хотя бы в одном координаторе – сервере IPадресов. Координатор являющийся сервером IP-адресов должен быть постоянно доступен другим
узлам ViPNet через постоянный IP-адрес или DNS-имя.
5.2.1
Установка ViPNet Coordinator
Для установки ViPNet OFFICE на компьютерах, которые Вы хотите использовать в качестве
координаторов сети ViPNet, Вам потребуются:
· Программа установки ViPNet OFFICE.
· Файлы (*.dst) с наборами ключей для соответствующих координаторов. Наборы ключей
необходимо было создать на первом этапе установки ViPNet OFFICE в программе ViPNet
Manager. Dst-файлы с набором ключей можно скопировать в главном окне ViPNet Manager
из вкладки Ключи соответствующего координатора.
· Пароли пользователей ViPNet для соответствующих координаторов. Пароли
пользователей сетевых узлов можно найти в главном окне программы ViPNet Manager во
вкладке Ключи.
Для установки ViPNet OFFICE на компьютере, который будет использоваться в качестве
координатора сети ViPNet, необходимо произвести следующие действия:
1. Запустите программу установки ViPNet OFFICE.
2. В окне программы установки ViPNet OFFICE выберите второй этап – Установка компонентов
на серверы (координаторы) сети ViPNet.
3. Если у Вас есть dst-файл с набором ключей для координатора на данном компьютере, то
включите флажок У меня есть dst-файл с набором ключей для координатора на данном
компьютере.
4. Нажмите кнопку Установить ViPNet Coordinator и произведите установку компонентов ViPNet
Coordinator, в конце установки откажитесь от перезагрузки компьютера.
5. Установите набор ключей. Для этого запустите программу Проводник или другой файловый
обозреватель, в нем выберите dst-файл с набором ключей для координатора на данном
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 16
компьютере и нажмите Enter или два раза щелкните на dst-файле. Запустится программа
установки ключей. Произведите установку набора ключей.
6. Перезагрузите компьютер.
7. При загрузке ViPNet Coordinator введите пароль пользователя сети ViPNet. Необходимо ввести
пароль для координатора на данном компьютере.
5.2.2
Настройка ViPNet Coordinator
8. Запуск ViPNet Coordinator и рекомендации по настройкам (см. главу 7).
9. Настройка интегрированного межсетевого экрана (МЭ) на Координаторах (см. главу 8).
10. Внимательное чтение главы 10, 11 и финальное конфигурирование Координаторов.
5.3
Третий этап (только для ViPNet OFFICE). Создание рабочих мест
пользователей (абонентских пунктов) сети ViPNet (установка ViPNet
Client). Настройка ViPNet Client на абонентских пунктах
ViPNet Client – это набор программ, который позволяет стационарным и мобильным
компьютерам работать в составе сети ViPNet. ViPNet Client обеспечивает защиту трафика с другими
узлами сети ViPNet и выполняет роль персонального экрана, защищая от сетевых атак. ViPNet Client
можно использовать также на серверах (Mail-, Web-, File-, DB- Server и.т.) для защиты сетевых
ресурсов, при этом будет осуществляться защищенный доступ на эти серверы со стороны других
сетевых узлов ViPNet.
5.3.1
Установка ViPNet Client
Для установки ViPNet OFFICE на компьютерах, которые будут использоваться в качестве
рабочих мест обычных пользователей (абонентских пунктов) сети ViPNet Вам потребуются:
· Программа установки ViPNet OFFICE.
· Файлы (*.dst) с наборами ключей для соответствующих абонентских пунктов. Наборы
ключей необходимо было создать на первом этапе установки ViPNet OFFICE в программе
ViPNet Manager. Dst-файлы с наборами ключей можно скопировать в главном окне ViPNet
Manager из вкладки Ключи соответствующих абонентских пунктов. Если Вы не являетесь
администратором сети ViPNet, то dst-файл с наборами ключей Вам должен предоставить
администратор сети ViPNet.
· Пароли пользователей ViPNet для соответствующих абонентских пунктов. Пароли
пользователей для сетевых узлов можно найти в главном окне программы ViPNet Manager
во вкладке Ключи. Если Вы не являетесь администратором сети ViPNet, то пароль Вам
должен предоставить администратор сети ViPNet.
На компьютерах, которые будут использоваться в качестве рабочих мест обычных
пользователей (абонентских пунктов) сети ViPNet необходимо произвести следующие действия:
1. Запустите программу установки ViPNet OFFICE.
2. В окне программы установки ViPNet OFFICE выберите третий этап – Создание рабочих мест
обычных пользователей (абонентских пунктов) сети ViPNet.
3. Если у Вас есть dst-файл с набором ключей для абонентского пункта на данном компьютере,
то включите флажок У меня есть dst-файл с набором ключей для абонентского пункта на
данном компьютере.
4. Нажмите кнопку Установить ViPNet Client и произведите установку компонентов ViPNet Client,
в конце установки откажитесь от перезагрузки компьютера.
5. Установите набор ключей. Для этого запустите программу Проводник или другой файловый
обозреватель, в нем выберите dst-файл с набором ключей для абонентского пункта на данном
компьютере и нажмите Enter или два раза щелкните на dst-файле с набором ключей.
Запустится программа установки ключей. Произведите установку набора ключей.
6. Перезагрузите компьютер.
7. При запуске ViPNet Client введите пароль пользователя сети ViPNet. Необходимо ввести
пароль пользователя для абонентского пункта на данном компьютере.
5.3.2
Настройка ViPNet Client
Настройте ViPNet Client на рабочих местах пользователей, используя информацию из главы 12.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 17
6 Создание и управление сетью ViPNet
Типовой порядок конфигурации сети ViPNet описан в главе 6.2, следуйте ее рекомендациям.
6.1
Запуск программы ViPNet Manager и выход из нее
Этот раздел описывает процедуру запуска и выхода из программы.
Запуск программы:
В программе ViPNet Manager версии 1.2 изменен формат базы данных сети ViPNet, поэтому
если Вы установили Manager версии 1.2 и выше поверх версии 1.1, то при старте программы будет
предложено конвертировать базу данных сети ViPNet в новый формат. Для запуска Manager
согласитесь с предложением.
Есть несколько способов запуска ViPNet Manager:
Способ 1:
Нажать на кнопку Пуск Вашей ОС MS Windows и выбрать раздел Программы (здесь и далее в
документе подразумевается, что у Вас установлена русская версия ОС Windows или произведена
соответствующая локализация ОС Windows MUI).
По умолчанию искомая программа находится в папке ViPNet à Manager. Однако, если в ходе
установки Вы выбрали другое имя папки для установки программы, то Вам надо найти
соответствующее имя папки и в ней выбрать ViPNet Manager нажатием кнопки мыши.
Если пароль администратора ViPNet Manager для входа в программу еще не был задан, то
появится окно для задания пароля администратора для входа в программу. Задайте пароль, следуя
подсказкам программы. Далее, если структура сети ViPNet еще не создана, то появится окно мастера
создания сети ViPNet (Рисунок 2). Главное окно ViPNet Manager появится уже в ходе последующих
запусков, после ввода пароля администратора.
Способ 2:
Как альтернативный способ запуска, Вы можете использовать соответствующий ярлык на
рабочем столе, если в процессе установки ViPNet Manager Вы согласились с предложением о
создании ярлыка
.
Выход из приложения:
Для выхода из ViPNet Manager просто нажмите на
в правом верхнем углу главного окна
приложения. Если Вы сделали до этого какие-либо изменения в структуре сети ViPNet, то программа
спросит Вас, хотите ли Вы сохранить эти изменения до выхода из программы, а также сформируется
резервная копия текущей конфигурации (см. п.6.11. стр.75).
6.2 Типовой порядок конфигурации сети ViPNet
В этой главе приведен типовой порядок конфигурации сети. Для более подробной информации
по каждому из шагов читайте разделы руководства, указанные в скобках для каждого шага.
1. Первичная (базовая) конфигурация сети ViPNet – создание структуры сети и при
необходимости, создание наборов ключей (п.6.3, стр. 18). Если Вы на данном шаге создадите
наборы ключей и используете их для установки ПО ViPNet на СУ, то для установления
соединений между узлами сети ViPNet необходимо будет произвести ряд ручных настроек
(настройки IP-адресов координаторов, выбор сервера IP-адресов и т.д.) на каждом СУ сети.
Для автоматической настройки ПО ViPNet на СУ, если Вам известны параметры Вашей
будущей сети, рекомендуем необходимые настройки произвести в программе ViPNet Manager
после завершения работы мастера создания сети (см. следующие шаги). Тем самым Вы
избежите ручных настроек ПО ViPNet на каждом узле.
2. Регистрация IP-адресов (п.6.5.1, стр.28) или DNS-имен (п.6.5.3, стр.31) координаторов.
Обязательно выполните этот шаг, если Вам известны IP-адреса или DNS-имена, выделенные
для координаторов. При необходимости выполните регистрацию DNS-имен и для АП (в
соответствии с п.6.5.3, стр.31).
3. Выбор сервера IP-адресов для АП (п.6.5.2, стр.29). Этот шаг нужно выполнять, если в качестве
сервера IP-адресов требуется выбрать координатор, отличный от координатора, на котором
зарегистрирован АП.
4. Настройки параметров соединения сетевых узлов ViPNet через межсетевой экран (п.6.5.4,
стр.32). Этот шаг нужно выполнять, если компьютеры локальной сети работают с внешними
ФРКЕ.00036-05 90 01
Руководство администратора
5.
6.
7.
8.
6.3
ViPNet OFFICE/TUNNEL 18
сетями через какой-либо межсетевой экран (МЭ) или другое устройство, осуществляющее
NAT.
Регистрация максимального числа одновременно туннелируемых координатором соединений
и IP-адресов этих соединений (п.6.5.5, стр.52). Этот шаг нужно выполнять, если конфигурация
Вашей сети предполагает, что координаторы должны осуществлять туннелирование
соединений, и Вам известны IP-адреса этих соединений. Также этот шаг нужно выполнять,
если необходимо перераспределить количество одновременно туннелируемых соединений
между координаторами (после завершения работы мастера создания сети, туннелируемые
соединения распределяются автоматически поровну между всеми координаторами в
соответствии с созданной на тот момент структурой сети).
Задание ограничения срока действия ключей СУ (п.6.5.7, стр.55). Выполните этот шаг, если
требуется ограничить время работы ПО ViPNet (Клиент или Координатор) на каких-либо узлах
сети ViPNet.
Создание наборов ключей (п.6.8, стр.65). Обязательно выполните этот шаг для завершения
создания сети, если Вы отказались от создания ключей в мастере первичной конфигурации
сети, или произвели настройки из предыдущих шагов, или какие-либо другие изменения в
конфигурации сети.
Для возможности в дальнейшем из ViPNet Manager рассылать на СУ обновления наборов
ключей, необходимо подготовить рабочее место администратора ViPNet Manager в
соответствии с п.5.1, стр.14.
Базовая конфигурация сети ViPNet
Если Вы запускаете программу ViPNet Manager в первый раз, и сеть ViPNet еще не создана, то
появится окно Мастер создания сети ViPNet (Рисунок 2).
Этот мастер поможет Вам создать структуру сети ViPNet, наборы ключей и начальные пароли
для всех пользователей VPN (ключевые наборы будут действительны, пока Вы их не аннулируете
или не смените на другие).
6.3.1
Мастер создания защищенной сети ViPNet
Далее следуют рекомендации по использованию мастера.
Рисунок 2
Нажмите кнопку Далее> в окне (Рисунок 2) и следуйте указаниям мастера.
6.3.2
Автоматическое создание структуры сети
После нажатия кнопки Далее> (Рисунок 2), появится окно Автоматическое создание
структуры (Рисунок 3). Вы всегда сможете нажать кнопку <Назад в этом и во всех последующих
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 19
окнах мастера, чтобы вернуться к предыдущему шагу. Чтобы закрыть мастер, нажмите кнопку
Отмена.
Рисунок 3
В окне Автоматическое создание структуры имеется возможность задать параметры для
автоматического создания структуры сети, если включена опция Автоматически создавать
структуру.
По умолчанию практически все параметры уже предустановленны по следующему правилу:
· Количество координаторов и АП равно числу координаторов и АП, заданному в
лицензии. Максимальное количество Координаторов и Клиентов определено купленной
Вами лицензией. Сведения об этом даны в правой части окна Автоматическое
создание структуры.
· По умолчанию префиксы имен Координаторов – "Coordinator", а префиксы имен
Клиентов – "Client".
Вы можете изменить значения по умолчанию на другие, удобные для Вас значения, со
следующими ограничениями:
· Количество координаторов не может быть меньше одного или больше, чем прописано в
лицензии.
· Количество АП может равняться нулю, но не может быть больше, чем прописано в
лицензии.
· Префиксы имен сетевых узлов не должны содержать более 40 символов.
Замечание: АП ЦУС автоматически создается на первом координаторе даже в том случае,
если количество АП на координатор равно нулю или в лицензии разрешены только координаторы и
туннелируемые соединения.
После коррекции предложенных значений нажмите кнопку Далее>.
Если Вы отключили опцию Автоматически создавать структуру, пожалуйста, следуйте
инструкциям пункта 6.3.4. Если нет, то действуйте согласно пункту 6.3.3.
6.3.3
Автоматическая генерация связей между сетевыми узлами ViPNet сети.
После нажатия кнопки Далее> (Рисунок 3), появится окно Автоматическое создание связей
(Рисунок 4). В этом окне Вы можете выбрать тип связи между сетевыми узлами.
Замечание: Это окно появляется, если допустимое лицензией число АП больше нуля, т.е. для
ПК ViPNet Tunnel это окно не появляется.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 20
Рисунок 4
Вы можете выбрать следующие типы связей:
· Связать все сетевые узлы – опция задана по умолчанию. Все СУ будут связаны
между собой.
· Связать все абонентские пункты каждого координатора – абонентские пункты
каждого координатора будут иметь связи только со своим координатором и другими
абонентскими пунктами своего координатора, при этом все координаторы между собой
будут иметь связи.
· Связать каждый абонентский пункт со своим координатором – каждый абонентский
пункт будет иметь связь только со своим координатором, при этом все координаторы будут
иметь связи между собой.
После того как Вы выбрали один из трех типов связи нажмите Далее> чтобы перейти к
следующему шагу. Запустится процесс автоматического создания структуры сети (Рисунок 5). О
состоянии процесса свидетельствуют индикаторы генерации в средней части окна.
Рисунок 5
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 21
По окончании генерации откроется окно Редактирование структуры. Далее переходите к
пункту 6.3.4.
Сгенерированное имя координатора будет выглядеть следующим образом: <Префикс
координатора>1 <X>, где X – номер координатора в порядке возрастания, начиная с 1 (Рисунок 6).
Сгенерированное имя АП будет выглядеть следующим образом: <Префикс АП>2 <X> <Y>, где X
– номер координатора, на котором регистрируется АП, Y – номер АП на данном координаторе
(Рисунок 6).
6.3.4
Редактирование структуры сети ViPNet
Следующее окно мастера называется Редактирование структуры (Рисунок 6). В этом окне
Вы можете отредактировать структуру сети или создать сеть заново в пределах имеющейся
лицензии. Данные о Вашей лицензии отображены в правой части окна Редактирование
структуры. Если число созданных СУ достигло предела, указанного в Вашей лицензии, то об этом
появится сообщение: Создана максимально возможная структура.
Первый АП первого координатора в соответствии с созданной на настоящий момент структурой
сети назначается Центром управления сетью (Рисунок 6, АП ЦУС обозначен значком ).
Рисунок 6
В этом окне вы можете сделать следующие изменения:
· Добавление новых сетевых узлов
Замечание: Если число созданных СУ достигло предела, указанного в Вашей лицензии, то
добавление новых узлов невозможно.
Для добавления координатора выберите позицию Вся сеть и нажмите кнопку Добавить, или в
меню по правой кнопке мыши выберите пункт Добавить координатор, или воспользуйтесь
клавишей Ins на клавиатуре.
Для добавления АП выберите координатор, на котором Вы желаете зарегистрировать АП, и
нажмите кнопку Добавить, или в меню по правой кнопке мыши выберите пункт Добавить
абонентский пункт, или воспользуйтесь клавишей Ins на клавиатуре.
После выбора команды Добавить откроется окно Связи (см. Рисунок 41, п. 6.6.1). В окне
Связи выберите тип связи и нажмите OK.
Добавленный СУ появится в списке других узлов сети. Ему будет присвоено имя, по такому же
шаблону, как при автогенерации (см. пункт 6.3.3). Узел будет добавлен в режиме редактирования,
поэтому его имя можно сразу отредактировать, если требуется.
· Редактирование имен добавленных сетевых узлов
1
2
По умолчанию Coordinator
По умолчанию Client
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 22
Если есть необходимость, то Вы можете отредактировать имена сетевых узлов (координаторов
или АП) по своему усмотрению. Для изменения имени какого-либо сетевого узла выберите его и
нажмите кнопку Изменить, или в меню по правой кнопке мыши выберите пункт Изменить, или
воспользуйтесь клавишей F2 на клавиатуре. Затем отредактируйте имя и нажмите клавишу Enter.
Замечание: Все введенные имена должны быть уникальны, если имя уже существует, то
программа предложит ввести другое имя.
· Удаление сетевых узлов
Для удаления какого-либо узла выберите его и нажмите кнопку Удалить, или в меню по правой
кнопке мыши выберите пункт Удалить, или воспользуйтесь клавишей Del на клавиатуре. Затем
подтвердите удаление, и узел будет удален.
· Назначение другого АП Центром управления сетью
При необходимости можно назначить Центром управления сетью другой АП, для этого
установите курсор на позиции АП, который Вы желаете назначить пунктом ЦУС, вызовите
контекстное меню по правой кнопке мыши и выберите пункт Назначить Центром управления
сетью.
· Перемещение АП на другой координатор
Вы можете перемещать АП с одного координатора на другой при помощи механизма drag-&drop (перетащить и оставить). Установите указатель мыши на имя АП, нажмите левую кнопку мыши и
в таком положении переведите указатель мыши на имя требуемого координатора, затем отпустите
кнопку мыши. АП будет перемещен на этот координатор (т.е. будет на нем зарегистрирован).
· Удаление сети
Для удаления сети нажмите кнопку Очистить структуру (Рисунок 6). После подтверждения
удаления будут удалены все узлы сети.
Если Вы завершили изменения сетевой структуры нажмите Далее> и переходите к пункту 6.3.5.
Замечание: Если в лицензии разрешены туннелируемые соединения, то они распределяются
автоматически поровну между всеми координаторами в соответствии с созданной на настоящий
момент структурой сети.
6.3.5
Редактирование связей
После нажатия кнопки Далее> (Рисунок 6), появится окно Редактирование связей (Рисунок
7), где имеется возможность отредактировать заданные на предыдущем этапе (п. 6.3.3) связи между
узлами создаваемой сети.
Рисунок 7
Для редактирования связей, выберите узел сети в панели Выберите узел, связи которого Вы
желаете отредактировать, а в панели Задайте связи с помощью включения и отключения флажков
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 23
установите нужные связи с узлами сети. Наличие флажка означает, что узлы связаны. Отсутствие
флажка – узлы не связаны.
Замечание: Если Вы не желаете, чтобы АП ЦУС был виден в ViPNet-программах (Монитор,
Деловая почта) других узлов, то следует удалить связи АП ЦУС с другими СУ.
Замечание: Не могут быть отключены обязательные связи – связи между координаторами, а
также связи между координатором и его абонентскими пунктами.
После завершения настроек нажмите кнопку Далее> для продолжения и переходите к пункту
6.3.6.
6.3.6
Задание свойств случайных паролей
Вашему вниманию откроется окно Свойства случайных паролей (Рисунок 8), где
настраиваются параметры паролей пользователей.
Рисунок 8
По умолчанию параметры случайного пароля уже заданы программой (см. Рисунок 8), но при
необходимости их можно изменить.
Параметры случайного пароля следующие:
· Словарь (Русский, Английский или Немецкий) – выбор языка, на каком будет
сформирована парольная фраза для запоминания пароля;
· Слов в парольной фразе (3, 4, 6, 8) – из скольких слов будет состоять парольная
фраза и сколько сформируется парольных фраз (если число слов во фразе равно 3 или 4,
то сформируется одна парольная фраза; если – 6, 8, то сформируется две парольные
фразы);
· Используемых букв (3, 4) – сколько букв от каждого слова парольной фразы будет
использоваться для пароля.
В поле Длина пароля отображается, из скольких символов будет состоять пароль при
заданных выше настройках.
Напомним, что пароль получается из парольной фразы по следующему правилу: в латинском
регистре клавиатуры набираются по N первых букв от каждого из M слов парольной фразы без
пробелов, где N – это число используемых букв, M – число слов в парольной фразе.
После завершения настроек нажмите кнопку Далее> для продолжения и переходите к следующему
пункту.
6.3.7
Завершение создания защищенной сети ViPNet
Откроется окно Завершение создания защищенной сети ViPNet (Рисунок 9), с информацией
о выполненных действиях.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 24
Рисунок 9
На данном этапе Вам предлагается решить, будут ли создаваться ключи прямо сейчас или
позднее. Вы можете создать ключи для узлов сети ViPNet, оставив опцию Создать наборы ключей
после завершения работы мастера включенной.
Однако, напомним, если Вы на данном этапе создадите ключи и используете их для установки
ПО ViPNet на СУ, то для установления соединений между узлами сети ViPNet, необходимо будет
произвести ручные настройки ПО ViPNet (настройки IP-адресов координаторов, выбор сервера IPадресов и т.д.) на каждом СУ сети. Поэтому, если Вам известны параметры Вашей будущей сети, то
рекомендуем необходимые настройки произвести в программе ViPNet Manager после завершения
работы мастера и на данном этапе НЕ формировать ключи, т.е. выключить опцию Создать наборы
ключей после завершения работы мастера. Наборы ключей можно создать позже в главном окне
ViPNet Manager, при необходимости предварительно добавив различные настройки узлов, см. п.6.5,
стр.28.
Выберите нужное значение опции Создать наборы ключей после завершения работы
мастера и нажмите кнопку Готово. По умолчанию опция включена.
Если опция Создать наборы ключей после завершения работы мастера включена, то
начнется процесс формирования ключей для всех сетевых узлов сети (см. Рисунок 10, п. 6.3.8). По
умолчанию опция включена.
Если Вы выключили опцию Создать наборы ключей после завершения работы мастера,
то откроется главное окно ViPNet Manager (см. п. 6.4, стр. 25).
6.3.8
Создание ключей
Набор ключей для каждого сетевого узла размещен в файле с расширением "DST". Исходные
ключи зашифрованы на парольной фразе и потому недоступны третьим лицам непосредственно из
DST-файла.
Если на предыдущем шаге Вы оставили опцию Создать наборы ключей после завершения
работы мастера включенной, то запустится процесс формирования ключей, парольной
информации пользователей для всех сетевых узлов сети и паролей администраторов СУ (Рисунок
10). О состоянии процесса свидетельствует индикатор генерации в средней части окна.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 25
Рисунок 10
В процессе создания ключей запустится электронная рулетка (Рисунок 47), если она еще не
запускалась в данном сеансе работы программы ViPNet Manager, выполните действия, предлагаемые
электронной рулеткой.
После этого появится сообщение о необходимости создания корневого сертификата для
администратора ViPNet Manager (информацию о создании корневого сертификата читайте в п. 6.8,
Рисунок 48, стр. 67). После создания корневого сертификата для администратора ViPNet, генерация
ключей продолжится.
По окончании генерации откроется главное окно ViPNet Manager (см. п. 6.4, стр. 25) и папка с
созданными наборами ключей. Созданные наборы ключей, пароли пользователей и администраторов
сетевых узлов помещаются в подпапку \NCC\KEYS папки, где установлена программа ViPNet
Manager. Наборы ключей размещены в подпапках с именами узлов сети в виде файлов *.DST, пароли
пользователей ViPNet находятся в файле ViPNet.txt, а пароли администраторов СУ – в файле
ViPNet_a.txt.
Внимание! Вы должны создать резервную копию папки \NCC\Keys на отделяемом носителе
(например: floppy, USB-flash или CD). Этот внешний носитель может быть использован в ходе
будущих установок. Убедитесь, что компьютеры, где Вы будете устанавливать программное
обеспечение для Клиентов и Координаторов, имеет соответствующие устройства для использования
указанных носителей.
Все готово для установки ПО ViPNet на компьютеры сети. После установки ПО ViPNet на СУ с
использованием созданных на этом этапе ключей, для установления связи между узлами сети
ViPNet, необходимо будет произвести ручные настройки (настройки IP-адресов координаторов, выбор
сервера IP-адресов и т.д.) на каждом СУ сети.
6.4
Работа с ViPNet Manager
В этом разделе кратко описано главное окно программы ViPNet Manager. Главное окно
содержит дерево структуры сети, главное меню и панель инструментов. Подробное описание
интерфейса программы Вы найдете в руководстве администратора по ViPNet Manager.
Если сеть ViPNet создана, то при запуске программы ViPNet Manager после ввода пароля
администратора откроется главное окно (Рисунок 11), где можно вносить различные изменения в
конфигурацию и настройки сети ViPNet.
Главное окно программы поделено на две панели. В левой панели отображена древовидная
структура созданной сети ViPNet (координаторы и АП, зарегистрированные на этих координаторах).
При выборе в дереве папки Вся сеть, в правой части окна отображается информация о
свойствах всей сети (см. п. 6.4.1).
При выборе какого-либо сетевого узла в дереве, в правой части окна отображается
информация о его текущих свойствах, где Вы можете произвести дополнительные настройки узлов –
задать IP-адреса, выбрать сервер IP-адресов, задать IP-адреса туннелируемых соединений и т.д. (см.
п. 6.4.2).
6.4.1
Папка Вся сеть (просмотр свойств сети)
Выбрав корень дерева (папку Вся сеть), Вы можете получить сведения о всей сети и о
действующей лицензии (Рисунок 11).
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 26
Рисунок 11
Свойства всей сети отображают следующую информацию:
· Сеть – сведения о количестве созданных сетевых узлов сети (координаторов, АП) и
распределенных туннелируемых соединениях.
· Лицензионное соглашение – сведения о действующей лицензии: количество
координаторов, АП, туннелируемых соединений и серийный номер ПП ViPNet. Серийный
номер отображается в том случае, если ПП ViPNet OFFICE зарегистрирован.
С помощью кнопки Создать сеть можно заново создать сеть ViPNet, при этом все данные о
ранее созданной сети будут удалены!
6.4.2
Папки с именем координатора или АП (просмотр и изменение свойств узлов)
При выборе какого-либо сетевого узла в дереве, в правой части окна отобразится информация
о его текущих свойствах (Рисунок 12). Для каждого сетевого узла отображаются сведения о типе
(Координатор или Абонентский пункт) и имени узла. Значок
у абонентского пункта означает, что
абонентский пункт назначен Центром управления сетью.
Вы можете произвести различные настройки сетевых узлов.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 27
Рисунок 12
Свойства сетевых узлов состоят из нескольких вкладок:
· Вкладка Ключи (Рисунок 12) содержит:
* пароль пользователя и парольную фразу для запоминания (эта информация
отображается, если были созданы ключи).
* путь к файлу набора ключей узла (информация отображается, только если на
текущий момент создан набор ключей для данного узла и этот набор ключей
актуален (т.е. после последнего создания ключей не производилось никаких
изменений, затронувших данный узел)).
* кнопку Сменить пароль… – смена пароля пользователя данного узла (см. п.6.5.7,
стр.55).
* кнопку Открыть папку – открытие папки с файлом набора ключей данного узла.
* кнопку Копировать в… – копирование файла набора ключей данного узла в
выбранную Вами папку.
* кнопку Создать набор ключей – создание набора ключей для данного узла (см.
п.6.5.8, стр.57).
* опцию Ограничить срок действия ключей до (по умолчанию выключена) – если
включить эту опцию, то можно задать срок действия набора ключей СУ (см. п.6.5.9,
стр.58), т.е. по истечении этого срока ПО ViPNet (Клиент или Координатор),
установленное на СУ, прекратит свою работу.
· Вкладка Связи – настройка связей выбранного узла (см. п.6.6.7, стр.63).
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 28
· Вкладка IP-адреса – настройка IP-адресов узла, а для АП еще и выбор его сервера IPадресов (о настройках координатора см. п. 6.5.1, стр. 28, о настройках АП см. п.6.5.2,
стр.29).
· Вкладка DNS-имена – настройка DNS-имен выбранного узла (см. п.6.5.3, стр.31).
· Вкладка Псевдонимы – настройка псевдонимов для пользователей узла (см. п.6.5.6,
стр.54).
· Вкладка Межсетевой экран – настройка параметров работы узла через межсетевой
экран (о настройках координатора читайте п. 1, стр. 33, о настройках АП читайте п.6.5.4.4,
стр.45).
· Вкладка Межсетевой экран АП (только для координатора) – настройка параметров
работы через межсетевой экран всех АП, для которых выбранный координатор является
сервером IP-адресов (см. п.6.5.4.3, стр.33).
· Вкладка Туннелирование (только для координатора) –
туннелируемых координатором соединений (см. п.6.5.5, стр.52).
настройка
IP-адресов
Значками
и
помечаются заголовки вкладок и названия СУ (в дереве СУ), в настройках
которых существуют конфликтные или неполные данные (см. п.6.7, стр.63).
6.5
Настройки различных параметров сетевых узлов
После того, как структура Вашей сети сформирована мастером создания защищенной сети
ViPNet, Вы можете производить настройки различных параметров сетевых узлов сети.
· Настройка IP-адресов координаторов сети (см. п. 6.5.1, стр. 28).
· Настройка DNS-имен СУ сети (см. п.6.5.3, стр.31).
· Выбор сервера IP-адресов и настройка IP-адресов для АП (см. п.6.5.2, стр.29).
· Настройка параметров работы СУ через межсетевой экран (см. п.6.5.4, стр.32).
· Задание максимального числа туннелируемых соединений
соединений для каждого координатора (см. п.6.5.5, стр.52).
и
IP-адресов
этих
· Задание псевдонимов (см. п.6.5.6, стр.54).
· Смена пароля пользователя сетевого узла (см. п.6.5.7, стр.55).
· Создание набора ключей сетевого узла (см. п.6.5.8, стр.57).
· Задание ограничения срока действия ключей СУ (см. п.6.5.9, стр.58).
Рекомендуем произвести все необходимые настройки в программе ViPNet Manager, чтобы
избежать дополнительных ручных настроек на каждом СУ сети.
В процессе настройки сети ViPNet, программа Manager отслеживает ситуации неполноты
настроек параметров сети, а также конфликтные данные. Система предупреждений поможет Вам
правильным образом заполнить все данные. Параметры, в значениях которых существуют
конфликтные или неполные данные помечаются значками
и
.Подробнее об этом читайте п. 6.7
на стр. 63.
Внимание! После каких-либо изменений сети необходимо переформировать наборы ключей
(см. п. 6.8, стр. 65) и отправить обновления (см. п.6.10.1, стр.68).
6.5.1
Настройка IP-адресов для координаторов
Настройка IP-адресов для координаторов сети в программе ViPNet Manager производится с
целью установления соединения между узлами сети ViPNet без каких-либо ручных настроек на этих
сетевых узлах. Вместо IP-адресов (или в дополнение к ним) Вы можете задать DNS-имена для
доступа к координатору (см. п.6.5.3, стр.31).
Если IP-адреса или DNS-имена координаторов не будут заданы в программе ViPNet Manager,
то после установки ПО ViPNet на СУ потребуется ручная настройка IP-адресов или DNS-имен. Т.е.
настройку IP-адресов или DNS-имен для таких координаторов необходимо произвести на каждом АП,
для которого этот координатор является сервером IP-адресов или межсетевым экраном, а также на
каждом координаторе, имеющем связь с этим координатором.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 29
Информацию об IP-адресах, выделенных для координаторов, Вы можете получить у сетевых
администраторов Вашей организации.
Для настройки IP-адреса координатора, в левой панели главного окна выберите координатор,
для которого Вы желаете настроить IP-адрес, и в правой панели откройте вкладку IP-адреса (Рисунок
13):
Рисунок 13
1. Добавление IP-адресов координаторов
Для добавления IP-адреса координатора во вкладке IP-адреса (Рисунок 13) для этого
координатора, нажмите кнопку Добавить… Откроется окно IP-адрес, где нужно указать адрес и
нажать OK. Добавленный адрес появится в списке IP-адресов для этого координатора.
Вы можете добавить требуемое количество IP-адресов для каждого координатора.
Замечание: Все введенные IP-адреса для одного координатора должны быть уникальны, а
также не должны совпадать с адресами туннелируемых соединений, если адрес уже существует, то
программа предложит ввести другой адрес.
2. Изменение IP-адресов координаторов
Для изменения ранее введенного IP-адреса координатора, во вкладке IP-адреса (Рисунок 13)
для этого координатора, выберите нужный адрес из списка зарегистрированных IP-адресов и
нажмите кнопку Изменить… Откроется окно IP-адрес, где нужно изменить адрес и нажать OK.
3. Удаление IP-адресов координаторов
Для удаления ранее введенного IP-адреса координатора, во вкладке IP-адреса (Рисунок 13)
для этого координатора, выберите нужный адрес из списка зарегистрированных IP-адресов и
нажмите кнопку Удалить… Затем подтвердите удаление, и адрес будет удален.
6.5.2
Выбор сервера IP-адресов и настройка IP-адресов для АП
В типовом случае задавать какие-либо IP-адреса для АП нет необходимости.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 30
Об адресах и других настройках работы друг друга АП узнают сразу же после своего включения
в сеть, если АП используют сервер IP-адресов, либо находятся в одной локальной сети.
Поэтому для АП очень важно выбрать сервер IP-адресов. Если в программе ViPNet Manager
выбран координатор в качестве сервера IP-адресов, то после установки ПО ViPNet на АП, этот
координатор автоматически будет выбран сервером IP-адресов.
Замечание: По умолчанию для всех АП в качестве сервера IP-адресов установлены
координаторы, на которых эти АП зарегистрированы. Поэтому производить настройки сервера IPадресов нужно только для тех АП, для которых сервер IP-адресов должен отличаться от
координатора по умолчанию (т.е. от координатора, на котором зарегистрированы эти АП).
Для настройки сервера IP-адресов и IP-адресов АП, в левой панели главного окна выберите
АП, для которого Вы желаете произвести настройки, и в правой панели откройте вкладку IP-адреса
(Рисунок 14):
Рисунок 14
1. Выбор сервера IP-адресов
Выберите координатор в качестве сервера IP-адресов в поле Сервер IP-адресов. По
умолчанию выбрано значение координатора, на котором зарегистрирован выбранный АП, в поле
Сервер IP-адресов уже будет установлен этот координатор. При необходимости Вы можете выбрать
другой координатор. В списке для выбора координатора отображаются только те координаторы, с
которыми задана связь.
Для координатора, выбранного в качестве сервера IP-адресов, во избежание ручных настроек
на АП, настройте IP-адрес (см. п.6.5.1) или DNS-имя (см. п.6.5.3).
2. Настройка IP-адресов
Если по каким-либо причинам Вам понадобилось настроить IP-адреса для АП, то для настройки
адресов используйте кнопки Добавить… для добавления адреса, Изменить… для изменения
адреса, Удалить для удаления адреса.
ФРКЕ.00036-05 90 01
Руководство администратора
6.5.3
ViPNet OFFICE/TUNNEL 31
Настройка DNS-имен сетевых узлов
Технология ViPNet позволяет прозрачно использовать службу DNS различным сетевым
приложениям (например, web-браузер, ftp), функционирующим на защищенных компьютерах, для
получения IP-адресов различных прикладных серверов. Технология ViPNet может использовать
службу DNS для получения IP-адресов сетевых узлов ViPNet.
О том, в каких ситуациях для СУ имеет смысл задавать DNS-имена, читайте в п.9.
Если необходимые DNS-имена не будут заданы в программе ViPNet Manager, то после
установки ПО ViPNet на СУ потребуется ручная настройка DNS-имен в программе ViPNet Монитор на
каждом СУ.
Информацию о DNS-именах Вы можете получить у сетевых администраторов Вашей
организации.
Для настройки DNS-имени СУ, в левой панели главного окна выберите СУ, для которого Вы
желаете настроить DNS-имя, и в правой панели откройте вкладку DNS-имена (Рисунок 15):
Рисунок 15
Если DNS-имена еще не настроены, то для возможности их настройки включите опцию
Использовать DNS-имена.
1. Добавление DNS-имен
Для добавления DNS-имени СУ во вкладке DNS-имена (Рисунок 15) для этого узла, нажмите
кнопку Добавить… Откроется окно DNS-имя, где нужно указать имя и нажать OK. Добавленное имя
появится в списке DNS-имен для этого СУ.
Вы можете добавить требуемое количество DNS-имен для каждого СУ.
Замечание: Все введенные DNS-имена для одного СУ должны быть уникальны, если имя уже
существует, то программа предложит ввести другое имя.
2. Изменение DNS-имен
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 32
Для изменения ранее введенного DNS-имени, во вкладке DNS-имена (Рисунок 15) для этого
узла, выберите имя из списка зарегистрированных DNS-имен и нажмите кнопку Изменить…
Откроется окно DNS-имя, где нужно изменить имя и нажать OK.
3. Удаление DNS-имен
Для удаления ранее введенного DNS-имени, во вкладке DNS-имена (Рисунок 15) для этого
узла, выберите имя из списка зарегистрированных DNS-имен и нажмите кнопку Удалить… Затем
подтвердите удаление, и имя будет удалено.
6.5.4
Настройки параметров соединения сетевых узлов ViPNet через межсетевой экран
Если компьютеры локальной сети Вашей организации работают с внешними сетями через
какой-либо межсетевой экран (МЭ) или другое устройство (NAT-устройство), осуществляющее
преобразование внутренних адресов в адреса, доступные из внешней сети3, то в программе ViPNet
Manager рекомендуется произвести настройки параметров межсетевого экрана СУ ViPNet. Эти
настройки необходимы для обеспечения установления соединения между узлами сети ViPNet и
соединений с внешней сетью без каких-либо ручных настроек на самих сетевых узлах.
Информацию о параметрах межсетевых экранов Вы можете получить у сетевых
администраторов Вашей организации.
По умолчанию, для всех координаторов сети ViPNet задано использовать соединение с
внешней сетью напрямую (т.е. без использования МЭ), а для всех АП сети ViPNet задано
использовать соединение с внешней сетью через координатор, являющийся их сервером IP-адресов.
Для того, чтобы правильно произвести настройки, ознакомьтесь с основными принципами
осуществления соединений в сети ViPNet и принципами выбора типа соединения для различных
сетевых узлов сети (см. п.6.5.4.1, стр.32).
Варианты (схемы) использования и настройки параметров различных типов соединения через
МЭ для координатора описаны в п.1, стр.33, для АП – в п.п. 6.5.4.3 и 6.5.4.4, стр.44 и 45
соответственно.
6.5.4.1
Основные принципы осуществления соединений в сети ViPNet. Принцип выбора типа
соединения
Узлы сети ViPNet могут быть подключены к глобальной сети непосредственно, либо могут
работать через межсетевые экраны (МЭ) и другие NAT-устройства различных производителей (в том
числе через ViPNet Координатор).
Оповещение абонентских пунктов об активности и способах подключения других узлов сети для
взаимодействия с ними осуществляет их сервер IP-адресов. Сервер IP-адресов всегда владеет
полным объемом информации обо всех узлах сети, связанных с абонентским пунктом.
Узлы сети ViPNet могут располагаться внутри локальных сетей любого типа, поддерживающих
IP-протокол. Способ подключения к сети может быть любой. Это может быть сеть Ethernet, PPPoE
через XDSL-подключение, PPP через обычный Dial-up или ISDN, сеть сотовой связи GPRS или
Wireless-устройства, сети MPLS или VLAN. ПО ViPNet автоматически поддерживает разнообразные
протоколы канального уровня. Для создания защищенных VPN-соединений между узлами
используются IP-протоколы двух типов (IP/241 и IP/UDP), в которые упаковываются любые другие IPпротоколы.
При взаимодействии абонентских пунктов, доступных друг другу напрямую по реальному
адресу (то есть когда между ними отсутствуют NAT-устройства), автоматически используется более
экономичный протокол IP/241, который не имеет дополнительных UDP-заголовков размером 12 байт.
Исходный пакет в этом случае после шифрования упаковывается в IP-пакет с 241 номером протокола
(Рисунок 16). Этот же протокол используется при взаимодействии любых сетевых узлов,
находящихся в одной локальной сети и принимающих друг от друга широковещательные пакеты.
Рисунок 16
3
То есть выполняется технология трансляции сетевых адресов NAT – Network Address Translation.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 33
При взаимодействии узлов, недоступных друг другу напрямую по реальному адресу (то есть
между ними есть NAT-устройства, в том числе координаторы), автоматически используется протокол
UDP (Рисунок 17), для которого легко обеспечивается прохождение IP-пакетов через любые NATустройства. В этом случае исходный пакет после шифрования упаковывается в UDP-пакет с
заданным портом назначения (по умолчанию 55777).
Рисунок 17
Для обеспечения гарантированного соединения сетевого узла из любых точек сети с другими
сетевыми узлами, в программе ViPNet Manager можно произвести настройки ПО ViPNet (Клиент или
Координатор) в зависимости от способа подключения СУ к внешней сети:
1. Непосредственное подключение к внешней сети (без использования МЭ) – в этом случае
никаких настроек параметров межсетевого экрана выполнять не нужно.
2. Соединение через Координатор, обеспечивающий трансляцию адресов для СУ ViPNet (тип
межсетевого экрана – ViPNet-координатор).
3. Соединение через МЭ (NAT-устройство), на котором возможна настройка статических правил
трансляции адресов (тип межсетевого экрана – Со статической трансляцией адресов).
4. Соединение через МЭ (NAT-устройство), на котором настройка статических правил трансляции
адресов затруднительна или невозможна (тип межсетевого экрана – С динамической
трансляцией адресов).
Каждый узел при включении в сеть сообщает на свой координатор – сервер IP-адресов или
другие координаторы (если узел сам является координатором), необходимую информацию о своих
адресах и способах доступа к ним.
Каждый узел при включении в сеть, а также в процессе работы получает от своего
координатора – сервера IP-адресов или других координаторов (если узел сам является
координатором), необходимую информацию об адресах других узлов, связанных с ним, и способах
доступа к этим адресам.
Если сетевой узел имеет IP-адрес, доступный по общим правилам маршрутизации пакетов в
IP-сети со стороны любых других узлов, с которыми этот узел должен взаимодействовать, например,
имеет публичный адрес сети Интернет или локальной сети, то этому узлу достаточно сообщить
другим узлам только свои IP-адреса. В этом случае достаточно выбрать соединение 1.
Если сетевой узел имеет частный IP-адрес, по которому в соответствии с общими правилами
маршрутизации нельзя получить доступ со стороны некоторых других узлов (например, если на
выходе во внешнюю сеть установлен МЭ или иное NAT-устройство), то такой сетевой узел должен
сообщить другим узлам уже существенно больше информации о себе, чем в предыдущем случае.
Для бесперебойного доступа к данному узлу потребуется не только информация об адресах этого
узла, но и информация об адресах и портах доступа в данный момент через NAT-устройство. В этом
случае должно быть выбрано одно из соединений 2, 3, или 4:
· Соединение 2 выбирается на координаторе, если требуется обеспечить защиту
трафика некоторого внутреннего сегмента локальной сети, на границе которой уже
установлен ViPNet-координатор, выполняющий функции МЭ для ViPNet-клиентов этой
локальной сети. Подробное описание варианта использования и настройки этого
соединения для координатора читайте в п.6.5.4.2.1, стр.35. На абонентском пункте
соединение 2 выбирается в случае, если во внутренней сети установлен ViPNetкоординатор, выполняющий функции МЭ для ViPNet-клиентов этой локальной сети. Этот
ViPNet-координатор может работать или не работать через другие МЭ (или NATустройства). Подробное описание варианта использования и настройки этого соединения
для абонентского пункта читайте в п.6.5.4.4.1, стр.47.
· Соединение 3 выбирается на координаторе, если на границе локальной сети
установлен МЭ (или другое NAT-устройство), на котором можно настроить статические
правила трансляции адресов, обеспечивающие взаимодействие с определенным
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 34
внутренним адресом сети по протоколу UDP с заданным портом. Подробное описание
варианта использования и настройки этого соединения для координатора читайте в
п.6.5.4.2.3, стр.41. На абонентском пункте соединение 3 выбирается в случае, если в
локальной сети нет ViPNet-координатора, но на границе локальной сети установлен МЭ
(или другое NAT-устройство), на котором можно настроить статические правила
трансляции адресов. Подробное описание варианта использования и настройки этого
соединения для абонентского пункта читайте в п.6.5.4.4.3, стр.50.
· Соединение 4 выбирается на координаторе, если на границе локальной сети
установлен МЭ (или другое NAT-устройство), на котором затруднительно настроить
статические правила трансляции адресов. Как правило, использовать такое соединение
необходимо, если подключение к внешней сети производится, например, через xDSLмодем, используемый как Router, через Wireless-устройства, сеть GPRS, других
провайдеров, которые предоставляют частные адреса. Подробное описание варианта
использования и настройки этого соединения для координатора читайте в п.6.5.4.2.2,
стр.38. На абонентском пункте соединение 4 выбирается в случае, если в локальной сети
нет ViPNet-координатора, но на границе локальной сети установлен МЭ (или другое NATустройство), на котором затруднительно настроить статические правила трансляции
адресов. Подробное описание варианта использования и настройки этого соединения для
абонентского пункта читайте в п.6.5.4.4.2, стр.48. Соединение 4 наиболее универсально, и
сетевой узел при использовании этого соединения будет работоспособен и при других
способах подключения к внешней сети.
Следует отметить, что если сетевые узлы находятся в одной локальной сети и способны
получать друг от друга широковещательные пакеты, то независимо от выбранного типа соединения
взаимодействие между ними всегда осуществляется напрямую по IP-адресу узла.
6.5.4.2
Настройка параметров межсетевого экрана координатора
Для настройки параметров межсетевого экрана координатора в левой панели главного окна
выберите координатор, для которого будет осуществляться настройка, и в правой панели откройте
вкладку Межсетевой экран (Рисунок 18). По умолчанию в этой вкладке задано соединение без
использования МЭ, т.е. опция Использовать межсетевой экран выключена.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 35
Рисунок 18
Для настройки соединения координатора через какой-либо МЭ включите опцию Использовать
межсетевой экран (Рисунок 18). Далее в поле Тип межсетевого экрана выберите один из типов
межсетевого экрана, в зависимости от того, через какой МЭ будет осуществляться соединение с
внешней сетью:
· Координатор – в качестве МЭ используется другой ViPNet Координатор (см. п.6.5.4.2.1,
стр.35).
· С динамической трансляцией адресов – используется МЭ стороннего производителя с
динамической трансляцией адресов (см. п.6.5.4.2.2, стр.38).
· Со статической трансляцией адресов – используется МЭ стороннего производителя со
статической трансляцией адресов (п.6.5.4.2.3, стр.41). Этот тип МЭ устанавливается по
умолчанию при включении опции Использовать межсетевой экран.
6.5.4.2.1
Настройка параметров соединения координатора через другой координатор
Вариант использования соединения.
Если необходимо защитить трафик отдельного сегмента локальной сети, на границе которой
уже установлен ViPNet-координатор, выполняющий функции МЭ для ViPNet-клиентов этой локальной
сети, то на границу такого сегмента может быть установлен второй ViPNet-координатор (Рисунок 19).
При этом первый ViPNet-координатор (ближайший к выходу в Интернет) для второго ViPNetкоординатора должен быть выбран в качестве МЭ.
Такое включение координаторов называется каскадным включением (или каскадированием
координаторов). В результате каскадирования координаторов будет реализована автоматическая
маршрутизация шифрованного трафика из внутреннего сегмента сети, как в локальную, так и в
глобальную сеть.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 36
Рисунок 19
Настройки.
Для настройки параметров соединения координатора через другой координатор в левой панели
главного окна выберите координатор, для которого будет осуществляться настройка, и в правой
панели откройте вкладку Межсетевой экран. Если настройки межсетевого экрана еще не
производились или использование МЭ было отключено, то для настройки включите опцию
Использовать межсетевой экран и в поле Тип межсетевого экрана выберите значение
Координатор (Рисунок 20).
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 37
Рисунок 20
Далее настройте следующие параметры:
· В поле IP-адрес адаптера, со стороны которого установлен межсетевой экран
укажите IP-адрес сетевого адаптера, через который будет происходить подключение
другого координатора, выполняющего функции МЭ. По умолчанию в этом поле
установлено значение Не выбран. Вы можете выбрать один из адресов координатора или
значение Выбирается на узле – в том случае, если в момент настройки нельзя точно
указать IP-адрес сетевого адаптера и окончательная настройка координатора будет
производиться вручную на самом координаторе.
Замечание: Для того чтобы в поле IP-адрес адаптера, со стороны которого
установлен межсетевой экран появились для выбора значения IP-адресов,
предварительно их нужно задать во вкладке IP-адреса для настраиваемого координатора
(см. п.6.5.1, стр.28).
· В поле Координатор, выполняющий роль межсетевого экрана укажите
координатор, который будет выполнять функции МЭ. По умолчанию в этом поле
установлено значение Не выбран. Вы можете выбрать один из координаторов, с которым
есть связь.
· В поле Взаимное расположение сетевого узла и координатора укажите, как
расположены по отношению друг к другу настраиваемый координатор и координатор,
который будет выполнять функции МЭ - В одной локальной (маршрутизируемой) сети
или Разделены межсетевым экраном. Это поле отображается только если в поле
Координатор, выполняющий роль межсетевого экрана выбран координатор, также
использующий МЭ (т.е. для него произведены настройки МЭ во вкладке Межсетевой
экран). По умолчанию в этом поле установлено значение В одной локальной
(маршрутизируемой) сети.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 38
Замечание: Для того, чтобы настраиваемая конфигурация корректно работала
необходимо, чтобы настраиваемый координатор и координатор, который будет выполнять
функции МЭ, располагались в одной локальной (маршрутизируемой) сети (т.е. нужно
установить значение В одной локальной (маршрутизируемой) сети) или же
координатор, который будет выполнять функции МЭ, не использовал межсетевой экран
(т.е. нужно выбрать другой координатор, выполняющий роль межсетевого экрана).
6.5.4.2.2
Настройка параметров соединения координатора через МЭ с динамической
трансляцией
Типовой вариант использования соединения.
Если необходимо защитить трафик узлов локальной сети, на границе которой установлено
некоторое устройство (или МЭ), выполняющее трансляцию адресов (NAT), и на этом устройстве
затруднительно настроить статические правила трансляции, то рекомендуется в локальной сети
установить ViPNet-координатор, на одном из сетевых интерфейсов которого настроить параметры
соединения через МЭ с динамической трансляцией (выбрать тип МЭ С динамической трансляцией
адресов). В таком случае для всех ViPNet-клиентов локальной сети нужно настроить работу через
этот координатор (см. п.6.5.4.4.1, стр.47).
Технология работы при использовании соединения через МЭ С динамической
трансляцией адресов.
Соединение через МЭ С динамической трансляцией адресов наиболее универсально и
может использоваться практически в любых ситуациях. Однако основное его назначение –
обеспечить надежную двустороннюю связь с узлами, работающими через устройства NAT, на
которых настройка статических правил трансляции адресов затруднена или невозможна (в том числе
и просто из-за отсутствия полномочий у пользователя). Такая ситуация типична при использовании
простейших сетевых NAT-устройств, например, DSL-модемов, Wireless-устройств, а также при
использовании Internet Connection Sharing (ICS) в ОС Windows, и в других случаях. Затруднительно
также произвести настройки на устройствах NAT, установленных у провайдера (в домашних сетях
Home network, GPRS и других сетях, где провайдер предоставляет частный IP-адрес).
Все NAT-устройства обеспечивают пропуск UDP-трафика благодаря автоматическому
созданию так называемых динамических NAT-правил для пропуска входящего трафика. Эти правила
создаются на основании параметров исходящих пакетов, пропускаемых NAT-устройством. Входящие
пакеты пропускаются в течение определенного промежутка времени (таймаута), если их параметры
соответствуют созданным правилам. По завершении данного промежутка времени, после того, как
был пропущен последний исходящий пакет, соответствующие динамические правила удаляются, и
входящие пакеты начинают блокироваться NAT-устройством. Это означает, что внешний источник не
может инициировать соединение с сетевым узлом, работающим через NAT-устройство, не получив
сначала исходящий трафик от него, который должен инициироваться время от времени со стороны
внутреннего узла для сохранения динамического правила в активном состоянии.
Для преодоления этой проблемы на сетевом узле, работающем через NAT-устройство, нужно
выбрать тип МЭ С динамической трансляцией адресов. Одновременно должен присутствовать
постоянно доступный ViPNet-координатор, расположенный во внешней сети (Рисунок 21). Назовем
его координатором входящих соединений. Для абонентского пункта координатор входящих
соединений – это его сервер IP-адресов. Координатор входящих соединений может быть доступен
напрямую или через межсетевой экран со статической трансляцией адресов. Координатор входящих
соединений не должен работать через тот же МЭ, что и СУ.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 39
Рисунок 21
Сетевой узел, работающий через NAT-устройство, периодически отправляет на свой
координатор входящих соединений UDP-пакеты, чтобы поддерживать динамическое правило в
активном состоянии. По умолчанию период отправки – 25 секунд. Это позволяет любому узлу
внешней сети (внешнему узлу) в любое время присылать на СУ, работающий через NAT-устройство,
IP-пакеты через его координатор входящих соединений. При этом ответные исходящие пакеты СУ
всегда направляет внешнему узлу напрямую, минуя свой координатор входящих соединений. В
результате, после получения первого пакета, внешний узел также начинает передавать весь трафик
напрямую СУ, работающему через NAT-устройство. Таким образом, образуется прямой обмен UDPтрафиком между ViPNet узлами. Такая технология позволяет осуществлять постоянный доступ к
ViPNet-узлам, работающим через NAT-устройства (т.к. на NAT-устройствене удаляются динамические
правила). А также обеспечивается высокая скорость обмена шифрованным трафиком, так как этот
обмен только при инициализации использует специальные Координаторы (координаторы входящих
соединений), после чего весь обмен трафиком идет напрямую между узлами (Рисунок 21).
Настройки.
Для настройки параметров соединения координатора через МЭ с динамической трансляцией
адресов в левой панели главного окна выберите координатор, для которого будет осуществляться
настройка, и в правой панели откройте вкладку Межсетевой экран. Если настройки межсетевого
экрана еще не производились или использование МЭ было отключено, то для настройки включите
опцию Использовать межсетевой экран и в поле Тип межсетевого экрана выберите значение С
динамической трансляцией адресов (Рисунок 22).
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 40
Рисунок 22
Далее настройте следующие параметры:
· В поле IP-адрес адаптера, со стороны которого установлен межсетевой экран
укажите IP-адрес сетевого адаптера, через который будет происходить подключение МЭ
экрана с динамической трансляцией адресов. По умолчанию в этом поле установлено
значение Не выбран. Вы можете выбрать один из адресов координатора или значение
Выбирается на узле – в том случае, если в момент настройки нельзя точно указать IPадрес сетевого адаптера и окончательная настройка будет производиться вручную на
самом координаторе.
Замечание: Для того чтобы в поле IP-адрес адаптера, со стороны которого
установлен межсетевой экран появились для выбора значения IP-адресов,
предварительно их нужно задать во вкладке IP-адреса для настраиваемого координатора
(см. п.6.5.1, стр.28).
· В поле Внешние IP-адреса межсетевого экрана задайте IP-адреса внешнего сетевого
интерфейса межсетевого экрана в том случае если они известны и динамически не
изменяются. Добавить адрес можно при помощи кнопки Добавить, изменить – при помощи
кнопки Изменить, удалить – при помощи кнопки Удалить. При добавлении адреса из
диапазона частных адресов будет выдано предупреждение об этом.
Замечание: Все введенные IP-адреса для одного СУ должны быть уникальны, если
адрес уже существует, то программа предупредит Вас об этом.
· В поле Координатор для входящих соединений укажите координатор, который будет
обеспечивать пропуск трафика через межсетевой экран. Координатор входящих
соединений должен располагаться во внешней сети по отношению к настраиваемому
координатору (т.е. должны быть разделены МЭ), быть доступным (напрямую или через
межсетевой экран со статической трансляцией адресов), а также не работать через тот
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 41
же МЭ, что и настраиваемый координатор. По умолчанию в этом поле установлено
значение Не выбран. Вы можете выбрать один из координаторов, с которым есть связь.
Внимание! Пожалуйста, обратите внимание, что для корректной работы
настраиваемой конфигурации необходимо, чтобы координатор входящих соединений не
работал через межсетевой экран с динамической трансляцией адресов или другой
Координатор.
· Поле Взаимное расположение сетевого узла и координатора – это поле
отображается, только если в поле Координатор для входящих соединений выбран
координатор, использующий МЭ с динамической трансляцией адресов или другой
Координатор (т.е. для координатора произведены соответствующие настройки МЭ во
вкладке Межсетевой экран). Поскольку для обеспечения корректной работы
настраиваемой конфигурации Вы не можете выбрать такой координатор, Вам необходимо
выбрать другой координатор в поле Координатор для входящих соединений. Если для
настройки какой-то специализированной конфигурации Вам все же необходимо произвести
настройки в этом поле, то укажите, как расположены по отношению друг к другу
настраиваемый координатор и координатор входящих соединений – программа разрешит
Вам выбрать только значение В одной локальной (маршрутизируемой) сети, которое
установлено по умолчанию.
· В поле Период опроса координатора укажите период опроса координатора входящих
соединений для обеспечения пропуска входящего трафика через МЭ. По умолчанию этот
период равен 25 секундам. Период опроса не должен намного превышать таймаут
сохранности динамического правила на NAT-устройстве. У разных NAT-устройств этот
таймаут может различаться, но обычно составляет не менее 30 секунд.
· Опция Весь трафик с внешними узлами направлять через координатор – по
умолчанию опция выключена. Если включить опцию, то все соединения с другими узлами
будут происходить ТОЛЬКО через координатор входящих соединений, т.е. описанная выше
технология работы использоваться не будет. В этом случае из-за удлинения маршрута
прохождения пакетов возможно снижение скорости обмена данными, но взамен может
быть получено более стабильное соединение с ресурсами сети ViPNet.
6.5.4.2.3
Настройка параметров соединения координатора через МЭ со статической
трансляцией
Вариант использования соединения.
Если необходимо защитить трафик узлов локальной сети, на границе которой установлен МЭ,
выполняющий трансляцию адресов (NAT), и на этом устройстве есть возможность настроить
статические правила трансляции, то рекомендуется в локальной сети установить ViPNet-координатор
(Рисунок 23), на одном из сетевых интерфейсов которого настроить параметры соединения через МЭ
со статической трансляцией (выбрать тип МЭ Со статической трансляцией адресов). В таком
случае для всех ViPNet-клиентов локальной сети нужно настроить работу через этот координатор (см.
п.6.5.4.4.1, стр.47).
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 42
Рисунок 23
Настройки.
Для настройки параметров соединения координатора через МЭ со статической трансляцией
адресов в левой панели главного окна выберите координатор, для которого будет осуществляться
настройка, и в правой панели откройте вкладку Межсетевой экран. Если настройки межсетевого
экрана еще не производились или использование МЭ было отключено, то для настройки включите
опцию Использовать межсетевой экран и в поле Тип межсетевого экрана выберите значение
Со статической трансляцией адресов (Рисунок 24).
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 43
Рисунок 24
Далее настройте следующие параметры:
· В поле IP-адрес адаптера, со стороны которого установлен межсетевой экран
укажите IP-адрес сетевого адаптера, через который будет происходить подключение МЭ
экрана со статической трансляцией адресов. По умолчанию в этом поле установлено
значение Не выбран. Вы можете выбрать один из адресов координатора или значение
Выбирается на узле – в том случае, если в момент настройки нельзя точно указать IPадрес сетевого адаптера и окончательная настройка будет производиться вручную на
самом координаторе.
Замечание: Для того чтобы в поле IP-адрес адаптера, со стороны которого
установлен межсетевой экран появились для выбора значения IP-адресов,
предварительно их нужно задать во вкладке IP-адреса для настраиваемого координатора
(см. п.6.5.1, стр.28).
· В поле Внешние IP-адреса межсетевого экрана задайте IP-адреса внешнего сетевого
интерфейса межсетевого экрана, в том случае если они известны и динамически не
изменяются. На эти адреса будут направляться пакеты от внешних узлов для
настраиваемого координатора. Добавить адрес можно при помощи кнопки Добавить,
изменить – при помощи кнопки Изменить, удалить – при помощи кнопки Удалить.
Поскольку внешние адреса задаются из диапазона адресов, допустимых в Интернет, то
при добавлении адреса из диапазона частных адресов будет выдано соответствующее
предупреждение.
Замечание: Все введенные IP-адреса для одного СУ должны быть уникальны, если
адрес уже существует, то программа предупредит Вас об этом.
· Опция Зафиксировать внешний IP-адрес – включив эту опцию Вы можете
зафиксировать внешний адрес доступа к настраиваемому координатору через межсетевой
экран. Опция доступна, если в списке внешних адресов указан хотя бы один адрес. По
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 44
умолчанию опция выключена. В отключенном состоянии IP-адрес доступа к координатору
на других узлах регистрируется по внешним параметрам IP-пакета. Если включить опцию и
задать адрес, то внешние узлы будут направлять пакеты для настраиваемого
координатора только по адресу, указанному в этой опции, независимо от адреса,
подставленного во внешние параметры пакета на МЭ. При включении опции в поле справа
по умолчанию появится первый адрес из списка внешних адресов межсетевого экрана. Вы
можете выбрать необходимый адрес из списка внешних адресов межсетевого экрана.
Внимание! Включать эту опцию рекомендуется только в очень редких
специализированных случаях при наличии у МЭ нескольких внешних адресов и при
необходимости специальной маршрутизации, когда требуется направлять входящие
пакеты через определенный адрес независимо от адреса МЭ, с которого ушел пакет.
· Поле Порт доступа UDP – по умолчанию 55777. Порт для обеспечения доступа к
настраиваемому координатору со стороны внешних узлов, заданный на МЭ. Номер порта
имеет смысл изменять, только если внутри локальной сети через один МЭ (или устройство
с NAT) напрямую будут работать несколько СУ ViPNet (т.е. на каждом из этих узлах будет
настроено соединение через МЭ со статической трансляцией адресов). Тогда у каждого
такого сетевого узла номера портов в этом поле должны быть назначены разные.
6.5.4.3
Общая настройка параметров межсетевого экрана всех АП координатора
Если все или большинство АП, для которых в качестве сервера IP-адресов выбран один и тот
же координатор, будут использовать одинаковый тип соединения с внешней сетью, то для таких АП
ViPNet Manager предоставляет возможность произвести общую настройку параметров МЭ на их
сервере IP-адресов.
Для всех остальных АП, которые будут использовать соединение отличное от заданного в
настройках межсетевого экрана АП на его сервере IP-адресов, нужно произвести индивидуальные
настройки для каждого АП во вкладке Межсетевой экран (см. п.6.5.4.4, стр.45).
Принципы выбора типа соединения для АП описаны в п.6.5.4.1, стр.32.
Для настройки параметров межсетевого экрана группы АП, имеющей одинаковый сервер IPадресов, в левой панели главного окна выберите координатор, являющегося сервером IP-адресов
для этой группы АП, и в правой панели откройте вкладку Межсетевой экран АП. По умолчанию в
этой вкладке задано использовать соединение через данный координатор, т.е. опция Использовать
межсетевой экран включена, в поле Тип межсетевого экрана установлено значение
Координатор (Рисунок 25) и в поле Координатор, выполняющий роль межсетевого экрана
отображается координатор, в свойствах которого производится настройка.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 45
Рисунок 25
Вы можете произвести следующие настройки параметров межсетевого экрана группы АП:
Если АП будут соединяться с внешней сетью напрямую, т.е. без использования каких-либо МЭ,
то выключите опцию Использовать межсетевой экран.
Если требуется, чтобы пользователи АП после установки ViPNet Клиент на компьютер сами
выбрали, какой тип соединения им нужно использовать – соединение через ViPNet-координатор или
без использования МЭ, то выберите в поле Тип межсетевого экрана значение Запросить на
абонентском пункте.
Если АП будут соединяться с внешней сетью через ViPNet-координатор, то в поле Тип
межсетевого экрана оставьте значение Координатор и при необходимости измените значение
координатора в поле Координатор, выполняющий роль межсетевого экрана. Подробнее о
соединении через МЭ Координатор читайте в см. п.6.5.4.4.1, стр.47.
Если АП будут соединяться с внешней сетью через МЭ, на котором можно задать статические
правила трансляции адресов, то в поле Тип межсетевого экрана выберите значение Со
статической трансляцией адресов. Подробнее о соединении через МЭ Со статической
трансляцией адресов читайте в п.6.5.4.4.3, стр.41. При настройке этого типа соединения на АП
потребуется ручная настройка портов доступа.
Если АП будут соединяться с внешней сетью через МЭ, на котором невозможно задать
статические правила трансляции адресов, то в поле Тип межсетевого экрана выберите значение С
динамической трансляцией адресов и произведите настройки остальных параметров в
соответствии с п.6.5.4.4.2, стр.48.
Внимание! Настроенные в этом окне параметры действуют только для АП, у которых во
вкладке Межсетевой экран в поле Тип межсетевого экрана выбрано значение Заданный на
своем сервере IP-адресов.
6.5.4.4
Настройка параметров межсетевого экрана АП
Для настройки параметров межсетевого экрана АП в левой панели главного окна выберите АП,
для которого будет осуществляться настройка, и в правой панели откройте вкладку Межсетевой
экран. По умолчанию в этой вкладке задано использовать соединение через межсетевой экран,
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 46
заданный для этого АП на его сервере IP-адресов, т.е. опция Использовать межсетевой экран
включена и в поле Тип межсетевого экрана установлено значение Заданный на своем сервере
IP-адресов (Рисунок 26).
Рисунок 26
Существует несколько вариантов произведения настроек параметров МЭ АП в зависимости от
способа подключения АП к глобальной сети и однотипности настроек для большинства АП:
· Если все или большинство АП, для которых в качестве сервера IP-адресов выбран один
и тот же координатор, будут использовать одинаковый тип соединения с внешней сетью, то
для таких АП имеется возможность произвести общую настройку на их сервере IP-адресов
во вкладке Межсетевой экран АП (см. п.6.5.4.3, стр.44). При этом для самих АП во
вкладке Межсетевой экран должно быть выбрано в поле Тип межсетевого экрана
значение Заданный на своем сервере IP-адресов.
· Для всех остальных АП, которые будут использовать соединение отличное от заданного
в настройках межсетевого экрана АП на его сервере IP-адресов, Вы можете произвести
индивидуальные настройки во вкладке Межсетевой экран. Принципы выбора типа
соединения для АП описаны в п.6.5.4.1, стр.32.
* Если какой-либо АП должен соединяться с внешней сетью напрямую, т.е. без
использования каких-либо МЭ, то для такого АП во вкладке Межсетевой экран
опцию Использовать межсетевой экран нужно выключить.
* Если для какого-либо АП требуется, чтобы пользователь после установки ViPNet
Клиент на компьютер сам выбрал, какой тип соединения ему нужно использовать –
соединение через ViPNet-координатор или без использования МЭ, то для такого АП
во вкладке Межсетевой экран должно быть выбрано в поле Тип межсетевого
экрана значение Запросить на абонентском пункте.
* Описание индивидуальных настроек соединения АП через межсетевые экраны
различных типов находится в последующих главах: Настройка параметров
соединения АП через координатор (п. 6.5.4.4.1, стр. 47), Настройка параметров
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 47
соединения АП через МЭ с динамической трансляцией (п. 6.5.4.4.2, стр. 48),
Настройка параметров соединения АП через МЭ со статической трансляцией
(п. 6.5.4.4.3, стр. 50).
6.5.4.4.1
Настройка параметров соединения АП через координатор
Вариант использования соединения.
Если на границе локальной сети установлен ViPNet-координатор, то для АП локальной сети,
имеющих связь с этим координатором, рекомендуется выбрать этот координатор в качестве узла,
через который и от имени которого будет осуществляться обмен информацией с сетевыми узлами,
находящимися в других сетях (выбрать тип МЭ Координатор). В этом случае координатор (Рисунок
27) играет роль маршрутизатора с NAT-функцией для шифрованных пакетов (IP- и MAC-адреса АП
транслируются). Автоматическая маршрутизация зашифрованных пакетов на координатор
осуществляется без изменения сетевых настроек Windows для TCP/IP. В результате, маршрутизация
нешифрованных пакетов остается неизменной, и работа в сети может быть продолжена сразу после
установки ViPNet. Тем самым для сетевого администратора значительно упрощается процесс
администрирования большой локальной сети за счет минимизации различных настроек на
компьютерах сети после установки ViPNet.
Рисунок 27
Настройки.
Для настройки параметров соединения АП через координатор в левой панели главного окна
выберите АП, для которого будет осуществляться настройка, и в правой панели откройте вкладку
Межсетевой экран. Если использование МЭ было отключено, то для использования включите
опцию Использовать межсетевой экран и в поле Тип межсетевого экрана выберите значение
Координатор (Рисунок 28).
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 48
Рисунок 28
Далее настройте следующие параметры:
· В поле Координатор, выполняющий роль межсетевого экрана укажите
координатор, который будет выполнять функции МЭ. По умолчанию в этом поле
установлено значение своего координатора, на котором зарегистрирован АП. Вы можете
выбрать один из координаторов, с которым есть связь.
· В поле Взаимное расположение сетевого узла и координатора укажите, как
расположены по отношению друг к другу АП и координатор, который будет выполнять
функции МЭ - В одной локальной (маршрутизируемой) сети или Разделены
межсетевым экраном. Это поле отображается, только если в поле Координатор,
выполняющий роль межсетевого экрана выбран координатор, также использующий
МЭ (т.е. для него произведены настройки МЭ во вкладке Межсетевой экран). По
умолчанию в этом поле установлено значение В одной локальной (маршрутизируемой)
сети.
Замечание: Для того, чтобы настраиваемая конфигурация корректно работала
необходимо, чтобы АП и координатор, который будет выполнять функции МЭ,
располагались в одной локальной (маршрутизируемой) сети (т.е. нужно установить
значение В одной локальной (маршрутизируемой) сети) или же координатор, который
будет выполнять функции МЭ, не использовал межсетевой экран (т.е. нужно выбрать
другой координатор, выполняющий роль межсетевого экрана).
6.5.4.4.2
Настройка параметров соединения АП через МЭ с динамической трансляцией
адресов
Вариант использования соединения.
Если в локальной сети нет ViPNet-координатора или АП не имеют возможности использовать
координатор в качестве МЭ, а соединение с внешней сетью происходит через МЭ (или другое NATустройство), на котором затруднительно настроить статические правила трансляции адресов, то на
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 49
таких АП необходимо настроить соединение через этот МЭ (выбрать тип МЭ С динамической
трансляцией адресов).
Технология работы при использовании соединения через МЭ С динамической трансляцией
адресов описана в п.6.5.4.2.2, стр.38.
Настройки.
Для настройки параметров соединения АП через МЭ с динамической трансляцией адресов в
левой панели главного окна выберите АП, для которого будет осуществляться настройка, и в правой
панели откройте вкладку Межсетевой экран. Если использование МЭ было отключено, то для
использования включите опцию Использовать межсетевой экран и в поле Тип межсетевого
экрана выберите значение С динамической трансляцией адресов (Рисунок 29).
Рисунок 29
Далее настройте следующие параметры:
· В поле Внешние IP-адреса межсетевого экрана задайте IP-адреса внешнего сетевого
интерфейса межсетевого экрана в том случае если они известны и динамически не
изменяются. Добавить адрес можно при помощи кнопки Добавить, изменить – при помощи
кнопки Изменить, удалить – при помощи кнопки Удалить. При добавлении адреса из
диапазона частных адресов будет выдано предупреждение об этом.
Замечание: Все введенные IP-адреса для одного СУ должны быть уникальны, если
адрес уже существует, то программа предупредит Вас об этом.
Согласно описанной выше технологии работы при использовании соединения через МЭ С
динамической трансляцией адресов (см. п.6.5.4.2.2, стр.38), координатором входящих соединений
для абонентского пункта является его сервер IP-адресов. Поэтому далее в контексте термина
"координатор входящих соединений" для АП будет использоваться термин "сервер IP-адресов".
Внимание! Пожалуйста, обратите внимание, что для корректной работы настраиваемой
конфигурации необходимо, чтобы сервер IP-адресов не работал через межсетевой экран с
динамической трансляцией адресов или другой Координатор.
· Поле Взаимное расположение сетевого узла и сервера IP-адресов – это поле
отображается, только если в поле Сервер IP-адресов вкладки IP-адреса (см. п.6.5.2,
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 50
стр.29) для настраиваемого АП выбран координатор, использующий МЭ с динамической
трансляцией адресов или другой Координатор (т.е. для координатора были произведены
соответствующие настройки МЭ во вкладке Межсетевой экран). Поскольку для
обеспечения корректной работы настраиваемой конфигурации Вы не можете выбрать
такой координатор, Вам необходимо выбрать другой координатор в поле Сервер IPадресов вкладки IP-адреса. Если для настройки какой-то специализированной
конфигурации Вам все же необходимо произвести настройки в этом поле, то укажите, как
расположены по отношению друг к другу настраиваемый АП и его сервер IP-адресов –
программа разрешит Вам выбрать только значение В одной локальной
(маршрутизируемой) сети, которое установлено по умолчанию.
· В поле Период опроса сервера IP-адресов укажите период опроса сервера IP-адресов
для обеспечения пропуска входящего трафика через МЭ. По умолчанию этот период равен
25 секундам. Период опроса не должен намного превышать таймаут сохранности
динамического правила на NAT-устройстве. У разных NAT-устройств этот таймаут может
различаться, но обычно составляет не менее 30 секунд.
· Опция Весь трафик с внешними узлами направлять через сервер IP-адресов – по
умолчанию опция выключена. Если включить опцию, то все соединения с другими узлами
будут происходить ТОЛЬКО через сервер IP-адресов, т.е. описанная выше технология
работы (см. п.6.5.4.2.2, стр.38) использоваться не будет. В этом случае из-за удлинения
маршрута прохождения пакетов возможно снижение скорости обмена данными, но взамен
может быть получено более стабильное соединение с ресурсами сети ViPNet.
6.5.4.4.3
Настройка параметров соединения АП через МЭ со статической трансляцией
адресов
Вариант использования соединения.
Если в локальной сети нет ViPNet-координатора или АП не имеют возможности использовать
этот координатор в качестве МЭ (Рисунок 30), а на границе локальной сети установлен МЭ (или
другое NAT-устройство), на котором есть возможность настроить статические правила трансляции
адресов, то на каждом АП локальной сети необходимо настроить соединение через этот МЭ (выбрать
тип МЭ Со статической трансляцией адресов).
Рисунок 30
Настройки.
Для настройки параметров соединения АП через МЭ со статической трансляцией адресов в
левой панели главного окна выберите АП, для которого будет осуществляться настройка, и в правой
панели откройте вкладку Межсетевой экран. Если использование МЭ было отключено, то для
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 51
использования включите опцию Использовать межсетевой экран и в поле Тип межсетевого
экрана выберите значение Со статической трансляцией адресов (Рисунок 31).
Рисунок 31
Далее настройте следующие параметры:
· В поле Внешние IP-адреса межсетевого экрана задайте IP-адреса внешнего сетевого
интерфейса межсетевого экрана, в том случае если они известны и динамически не
изменяются. На эти адреса будут направляться пакеты от внешних узлов для
настраиваемого координатора. Добавить адрес можно при помощи кнопки Добавить,
изменить – при помощи кнопки Изменить, удалить – при помощи кнопки Удалить.
Поскольку внешние адреса задаются из диапазона адресов, допустимых в Интернет, то
при добавлении адреса из диапазона частных адресов будет выдано соответствующее
предупреждение.
Замечание: Все введенные IP-адреса для одного СУ должны быть уникальны, если
адрес уже существует, то программа предупредит Вас об этом.
· Опция Зафиксировать внешний IP-адрес – включив эту опцию Вы можете
зафиксировать внешний адрес доступа к настраиваемому АП через межсетевой экран.
Опция доступна, если в списке внешних адресов указан хотя бы один адрес. По умолчанию
опция выключена. В отключенном состоянии IP-адрес доступа к АП на других узлах
регистрируется по внешним параметрам IP-пакета. Если включить опцию и задать адрес,
то внешние узлы будут направлять пакеты для настраиваемого АП только по адресу,
указанному в этой опции, независимо от адреса, подставленного во внешние параметры
пакета на МЭ. При включении опции в поле справа по умолчанию появится первый адрес
из списка внешних адресов межсетевого экрана. Вы можете выбрать необходимый адрес
из списка внешних адресов межсетевого экрана.
Внимание! Включать эту опцию рекомендуется только в очень редких
специализированных случаях при наличии у МЭ нескольких внешних адресов и при
необходимости специальной маршрутизации, когда требуется направлять входящие
пакеты через определенный адрес независимо от адреса МЭ, с которого ушел пакет.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 52
· Поле Порт доступа UDP – по умолчанию 55777. Порт для обеспечения доступа к
настраиваемому АП со стороны внешних узлов, заданный на МЭ. На каждом АП порт
доступа должен иметь свое индивидуальное значение.
6.5.5
Настройка IP-адресов туннелируемых соединений
Если нет необходимости шифрования трафика внутри локальной сети или невозможно
установить ViPNet Клиент на каком-либо сетевом устройстве сети, то можно произвести настройки
адресов компьютеров (устройств) локальной сети
на ViPNet-координаторе для обеспечения
туннелирования пакетов от этих адресов в защищенное соединение до аналогичных ViPNetкоординаторов других локальных сетей.
Если координаторы сети должны осуществлять туннелирование соединений (и в лицензии
разрешены туннелируемые соединения), то Вы можете задать IP-адреса, соединения с которыми
будут туннелироваться каждым координатором, а также максимальное число одновременно
туннелируемых координатором соединений.
Настройка IP-адресов туннелируемых соединений для координаторов сети производится с
целью минимизации ручных настроек ПО ViPNet (непосредственно на каждом СУ), необходимых для
обеспечения туннелирования соединений. Если IP-адреса туннелируемых соединений не будут
заданы для координаторов (которые должны осуществлять туннелирование) в программе ViPNet
Manager, то на каждом координаторе и на всех узлах, связанных с ними, после установки ПО ViPNet
потребуется ручная настройка этих IP-адресов.
Информацию об IP-адресах Вы можете получить у сетевых администраторов Вашей
организации.
Замечание: После завершения работы мастера создания сети, туннелируемые соединения
распределяются автоматически поровну между всеми координаторами в соответствии с созданной на
тот момент структурой сети. При необходимости, Вы можете изменить максимальное число
одновременно туннелируемых координатором соединений (см. ниже абзац 1).
Для настройки максимального числа одновременно туннелируемых координатором
соединений, а также IP-адресов туннелируемых соединений, в левой панели главного окна выберите
координатор, который будет осуществлять туннелирование, и в правой панели откройте вкладку
Туннелирование (Рисунок 32):
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 53
Рисунок 32
1. Задание максимального числа одновременно туннелируемых координатором
соединений
Укажите максимальное число одновременно туннелируемых выбранным координатором
соединений в одноименном поле вкладки Туннелирование (Рисунок 32). Значение этого параметра
Вы можете задать в пределах имеющейся лицензии на туннелируемые соединения. Данные о
лицензионных ограничениях отображены в нижней части вкладки Туннелирование (указано общее
число туннелируемых соединений, т.е. выделенных на всю сеть, а также число свободных). Если
заданное Вами значение будет превышать число свободных туннелируемых соединений, указанное в
Вашей лицензии, то об этом появится предупреждение и установится максимально возможное
значение.
2. Добавление IP-адресов туннелируемых соединений
Для добавления IP-адреса во вкладке Туннелирование (Рисунок 32) для выбранного
координатора, нажмите кнопку Добавить… Откроется окно IP-адрес или диапазон (Рисунок 33), где
нужно указать адрес (в строке IP-адрес) или диапазон адресов (в строке Диапазон) и нажать OK.
Замечание: Все введенные IP-адреса для одного координатора должны быть уникальны, а
также не должны совпадать с зарегистрированными адресами координатора, если адрес (диапазон)
уже существует, то программа предложит ввести другой адрес (диапазон).
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 54
Рисунок 33
Добавленные адреса (диапазоны адресов) появятся в списке IP-адресов туннелируемых
соединений для этого координатора (Рисунок 32).
Вы можете добавить требуемое количество IP-адресов (диапазонов адресов) для каждого
координатора.
Внимание! Количество введенных адресов и диапазонов адресов может превысить заданное
для координатора максимальное число одновременно туннелируемых соединений (см. выше), однако
если при работе координатора будет активизировано большее число туннелируемых соединений,
чем это задано, то соединения начнут блокироваться. Поэтому, введите разрешенное количество
адресов туннелируемых соединений, чтобы избежать подобных проблем.
3. Изменение IP-адресов туннелируемых соединений
Для изменения ранее введенного IP-адреса (диапазона адресов), во вкладке Туннелирование
(Рисунок 32) для выбранного координатора, выберите строку с нужным адресом из списка
зарегистрированных IP-адресов туннелируемых соединений и нажмите кнопку Изменить… Откроется
окно IP-адрес или диапазон (Рисунок 33), где нужно изменить адрес или диапазон адресов и нажать
OK.
4. Удаление IP-адресов туннелируемых соединений
Для удаления ранее введенного IP-адреса (диапазона адресов), во вкладке Туннелирование
(Рисунок 32) для выбранного координатора, выберите строку с нужным адресом из списка
зарегистрированных IP-адресов туннелируемых соединений и нажмите кнопку Удалить… Затем
подтвердите удаление, и адрес или диапазон адресов будет удален.
6.5.6
Настройка псевдонимов
Для каждого пользователя сетевого узла имеется возможность задать список псевдонимов.
Псевдонимы задаются в том случае, если на узлах сети планируется использовать внешние
приложения со встроенными криптографическими функциями ViPNet Криптопровайдер.
Для настройки псевдонимов пользователя, в левой панели главного окна выберите сетевой
узел, для пользователя которого Вы желаете настроить псевдонимы, и в правой панели откройте
вкладку Псевдонимы (Рисунок 34):
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 55
Рисунок 34
1. Добавление псевдонимов
Для добавления псевдонима пользователя во вкладке Псевдонимы (Рисунок 34) нажмите
кнопку Добавить… Откроется окно Псевдоним пользователя, где нужно указать псевдоним и
нажать OK. Добавленный псевдоним появится в списке псевдонимов для этого СУ.
Длина имени каждого псевдонима ограничена 245 символами. Вы можете добавить требуемое
количество псевдонимов для каждого СУ.
Замечание: Все введенные для одного пользователя псевдонимы должны быть уникальны,
если псевдоним уже существует, то программа предупредит об этом. Различным пользователям
разрешается назначать одинаковые псевдонимы.
2. Изменение псевдонимов
Для изменения ранее введенного псевдонима пользователя, во вкладке Псевдонимы (Рисунок
34), выберите псевдоним из списка зарегистрированных псевдонимов и нажмите кнопку Изменить…
Откроется окно Псевдоним пользователя, где нужно изменить псевдоним и нажать OK.
3. Удаление псевдонимов
Для удаления ранее введенного псевдонима пользователя, во вкладке Псевдонимы (Рисунок
34), выберите нужный псевдоним из списка зарегистрированных псевдонимов и нажмите кнопку
Удалить… Затем подтвердите удаление, и псевдоним будет удален.
6.5.7
Смена пароля пользователя сетевого узла
Для каждого пользователя сетевого узла имеется возможность изменить пароль. Изменение
пароля может потребоваться как в случае централизованной смены паролей в рамках используемой
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 56
политики безопасности, так и по просьбе отдельных пользователей (например, пользователю не
нравится его текущий пароль).
Для смены пароля пользователя выберите в левой панели главного окна сетевой узел, для
которого надо сменить пароль, откройте вкладку Ключи и нажмите кнопку Сменить пароль…
(Рисунок 35).
Рисунок 35
В процессе создания нового пароля запустится электронная рулетка (Рисунок 47), если она еще
не запускалась в данном сеансе работы программы ViPNet Manager. Выполните действия,
предлагаемые электронной рулеткой.
После электронной рулетки откроется окно Пароль пользователя (Рисунок 36), в котором
будет предложен пароль, сгенерированный случайным образом. Вы можете принять предложенный
пароль, нажав кнопку ОК, или запросить другой пароль, нажав кнопку Другой.
Рисунок 36
Для просмотра параметров сгенерированного пароля или их изменения (настройки) нажмите
кнопку Свойства…. Настройка параметров пароля аналогична настройке параметров пароля в
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 57
мастере создания сети ViPNet (см. п. 6.3.6). В случае изменения параметров пароля будет
сгенерирован новый пароль.
Пароль пользователя можно не только сгенерировать с помощью электронной рулетки (т.е.
получить случайный пароль), но и задать вручную. Для задания собственного пароля выберите тип
пароля Собственный и дважды введите пароль (Рисунок 37). Чтобы запомнить новый пароль,
нажмите кнопку ОК.
Рисунок 37
Внимание! После смены пароля пользователя необходимо переформировать набор ключей
для данного узла (см. п. 6.5.8) и отправить обновления (см. п. 6.10.1).
6.5.8
Создание набора ключей сетевого узла
Создание набора ключей для одного конкретного сетевого узла целесообразно выполнять в
случае таких изменений сети ViPNet, которые касаются только этого узла (например, при смене
пароля пользователя сетевого узла). При изменениях сети, затрагивающих несколько сетевых узлов,
рекомендуется использовать процедуру централизованного создания наборов ключей (см. п. 6.8).
Для создания нового набора ключей выберите в левой панели главного окна сетевой узел, для
которого требуется переформировать ключи, откройте вкладку Ключи и нажмите кнопку Создать
набор ключей (Рисунок 38). Кнопка будет недоступна, если переформирование ключей для данного
узла не требуется.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 58
Рисунок 38
Созданный набор ключей следует отослать на сетевой узел, используя отправку обновлений
справочно-ключевой информации (см. п. 6.10.1).
6.5.9
Задание ограничения срока действия ключей сетевого узла
Для каждого СУ имеется возможность задавать срок действия его набора ключей, по истечении
которого ПО ViPNet (Клиент или Координатор), установленное на СУ, прекратит свою работу. По
умолчанию срок действия ключей всех СУ не ограничен.
Для задания срока действия ключей, в левой панели главного окна выберите СУ, для которого
Вы желаете ограничить срок действия ключей, и в правой панели откройте вкладку Ключи (Рисунок
39):
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 59
Рисунок 39
Включите опцию Ограничить срок действия ключей до (по умолчанию выключена) и
выберите из выпадающего календаря (справа от опции) дату окончания срока действия набора
ключей. По умолчанию датой окончания срока действия ключей является текущая дата.
Замечание: Нельзя выбрать дату истечения срока действия ключей более раннюю, чем
текущая дата. Если лицензия ViPNet Manager имеет ограниченный срок действия, то срок действия
ключей не может быть установлен больше, чем срок лицензии. Информацию о сроке действия
лицензии Вы можете посмотреть в окне О программе, выбрав в главном меню Справка -> О
программе…
6.6
Изменение структуры сети
При необходимости Вы можете изменять структуру сети: конфигурацию сети, имена узлов, и
т.д.
Все эти действия осуществляются из главного окна ViPNet Manager (Рисунок 40).
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 60
Рисунок 40
Вы можете произвести следующие изменения:
· Добавление новых сетевых узлов (см. п. 6.6.1). Перед добавлением новых узлов не
забудьте настроить типы связей этих узлов (см. п. 6.6.2).
· Редактирование имен добавленных сетевых узлов (см. п. 6.6.3).
· Выбор другого АП в качестве Центра управления сетью (см. п. 6.6.4, стр. 62).
· Удаление сетевых узлов (см. п. 6.6.5).
· Перемещение АП на другой координатор (см. п. 6.6.6).
· Изменение связей созданных сетевых узлов (см. п. 6.6.7).
Внимание! После каких-либо изменений сети необходимо переформировать наборы ключей
(см. п. 6.8).
6.6.1
Добавление новых сетевых узлов
Замечание: Если число созданных СУ достигло предела, указанного в Вашей лицензии, то
добавление новых узлов невозможно.
Для добавления координатора выберите позицию Вся сеть, вызовите главное меню
Редактировать (или меню по правой кнопке мыши) и выберите пункт Добавить координатор,
или на панели инструментов нажмите кнопку Добавить координатор (
), или воспользуйтесь
клавишей Ins на клавиатуре.
Для добавления АП выберите координатор, на котором Вы желаете зарегистрировать АП,
вызовите главное меню Редактировать (или меню по правой кнопке мыши) и выберите пункт
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 61
Добавить абонентский пункт, или на панели инструментов нажмите кнопку Добавить
абонентский пункт (
), или воспользуйтесь клавишей Ins на клавиатуре.
После выбора команды Добавить (АП или координатор) откроется окно Связи (Рисунок 41),
если при настройке ViPNet Manager была включена опция Запрашивать связи в отдельном окне
при создании сетевых узлов (см. п. 6.6.2). Окно Связи откроется также в случае, если в нем ранее
была выключена опция Применять для всех новых узлов. В этом окне выберите тип связи и
нажмите OK. Если в дальнейшем для вновь добавляемых сетевых узлов надо устанавливать такой
же тип связи, то включите опцию Применять для всех новых узлов.
Рисунок 41
Добавленный СУ появится в списке других узлов сети. Ему будет присвоено имя, по такому же
шаблону, как при автогенерации. Узел будет добавлен в режиме редактирования, поэтому его имя
можно сразу отредактировать, если требуется.
После добавления узлов, Вы можете, при необходимости, произвести настройки различных
параметров этих сетевых узлов (см. п. 6.5).
6.6.2
Настройка типов связи для добавляемых сетевых узлов
Настройка типов связи выполняется в окне Настройка (Рисунок 42), которое открывается из
главного окна программы ViPNet Manager с помощью пункта главного меню Сервис -> Настройка….
Выберите позицию Связи в левой части этого окна, а затем выберите тип связи. Выбранный
тип связи будет использоваться только для вновь добавляемых сетевых узлов.
Рисунок 42
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 62
Вы можете выбрать следующие типы связи:
· Связать со всеми сетевыми узлами – опция задана по умолчанию. СУ будет связан
со всеми остальными СУ.
· Связывать со всеми абонентскими пунктами своего координатора – абонентский
пункт будет связан только со своим координатором и другими абонентскими пунктами
своего координатора. Координатор будет связан со всеми координаторами.
· Связывать абонентский пункт только со своим координатором – абонентский пункт
будет связан только со своим координатором. Координатор будет связан со всеми
координаторами.
Если включить опцию Запрашивать связи в отдельном окне при создании сетевых
узлов, то при добавлении нового СУ необходимо будет задать тип связи (см. п. 6.6.1). При
выключенной опции для всех новых узлов будет использоваться указанный в настройке тип связи. По
умолчанию опция выключена.
Для сохранения настроек нажмите OK.
6.6.3
Редактирование имен сетевых узлов
Если есть необходимость, то Вы можете отредактировать имена сетевых узлов (координаторов
или АП) по своему усмотрению. Для изменения имени какого-либо сетевого узла выберите его,
вызовите главное меню Редактировать (или меню по правой кнопке мыши) и выберите пункт
Изменить, или на панели инструментов нажмите кнопку Изменить (
), или воспользуйтесь
клавишей F2 на клавиатуре. Затем отредактируйте имя и нажмите клавишу Enter.
Замечание: Все введенные имена должны быть уникальны, если имя уже существует, то
программа предложит ввести другое имя.
6.6.4
Назначение Центром управления сетью другого АП
При первоначальном создании сети Центром управления сетью автоматически назначается
первый АП первого координатора.
При необходимости можно назначить Центром управления сетью другой АП, для этого
выберите АП, который Вы желаете назначить пунктом ЦУС, вызовите главное меню Редактировать
(или меню по правой кнопке мыши) и выберите пункт Назначить Центром управления сетью.
Внимание! Для возможности отправки ключей на узлы сети ViPNet необходимо создать наборы
ключей для АП ЦУС и установить их на компьютере администратора ViPNet Manager (см. п. 5.1,
стр.14). Если АП ЦУС уже был развернут на компьютере администратора ViPNet Manager, то после
назначения Центром управления сетью другого АП, нужно установить ключи нового ЦУС вместо
предыдущих.
6.6.5
Удаление сетевых узлов
Для удаления какого-либо узла выберите его, вызовите главное меню Редактировать (или
меню по правой кнопке мыши) и выберите пункт Удалить, или на панели инструментов нажмите
кнопку Удалить (
), или воспользуйтесь клавишей Del на клавиатуре.
Затем подтвердите удаление, и узел будет удален.
Внимание! Если удаляется координатор, то вместе с ним будут удалены и все АП,
зарегистрированные на нем.
Внимание! При удалении АП ЦУС его функции будут назначены другому АП. Если АП ЦУС уже
был развернут ранее на компьютере администратора ViPNet Manager (см. п. 5.1, стр.14), то для
возможности отправки наборов ключей на СУ с нового АП ЦУС, необходимо создать наборы ключей
для этого АП и установить их на компьютере администратора ViPNet Manager вместо предыдущих.
6.6.6
Перемещение АП на другой координатор
Вы можете перемещать АП с одного координатора на другой при помощи механизма drag-&drop (перетащить и оставить). Установите указатель мыши на имя АП, нажмите левую кнопку мыши и
в таком положении переведите указатель мыши на имя требуемого координатора, затем отпустите
кнопку мыши. АП будет перемещен на этот координатор (т.е. будет на нем зарегистрирован).
ФРКЕ.00036-05 90 01
Руководство администратора
6.6.7
ViPNet OFFICE/TUNNEL 63
Изменение связей созданных сетевых узлов
Вы можете изменять связи созданных сетевых узлов.
Рисунок 43
Для изменения связей, в левой панели главного окна выберите сетевой узел, связи которого Вы
желаете изменить, и в правой панели откройте вкладку Связи (Рисунок 43), где с помощью
включения и отключения флажков установите нужные связи с другими узлами сети. Наличие флажка
означает, что узлы связаны. Отсутствие флажка – узлы не связаны.
Замечание: Не могут быть отключены обязательные связи – между координаторами, а также
между координатором и его абонентскими пунктами.
6.7
Выявление конфликтных и неполных данных в конфигурации сети ViPNet
В процессе конфигурирования и настройки сети ViPNet (см. п. 6.3 и п. 6.5), программа Manager
отслеживает ситуации неполноты настроек параметров сети, а также конфликтные ситуации.
Данные являются неполными, если они потребуют ручных настроек непосредственно на узлах
сети ViPNet.
Данные являются конфликтными, если они приведут к установке узлов сети ViPNet в состояние,
не соответствующее предполагаемому при настройке, при котором сеть ViPNet может работать
некорректно, либо вообще не работать. Поэтому, если в конфигурации сети выявлены конфликтные
данные, то формирование наборов ключей для СУ программа не разрешает до тех пор, пока
конфликты не будут устранены.
Система предупреждений поможет Вам правильным образом заполнить все данные. По мере
формирования конфигурации сети рядом с параметрами, где указаны конфликтные данные,
появляются значки
, а рядом с параметрами, где указаны неполные данные, появляются значки
(Рисунок 44). При щелчке левой кнопкой мыши на значке программа подсказывает, какие именно
данные являются конфликтными или неполными для данного параметра, и выдает подробные
рекомендации по устранению конфликта или неполноты данных (Рисунок 45). Об устранениях
конфликтных и неполных данных при помощи этих рекомендаций читайте ниже в описании окна
Проверка конфигурации сети ViPNet (Рисунок 45).
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 64
Рисунок 44
Значками
и
помечаются также заголовки вкладок и названия СУ (в дереве СУ), в
настройках которых существуют конфликтные или неполные данные (Рисунок 44).
Для одного и того же параметра одновременно может существовать несколько конфликтных
ситуаций и ситуаций неполноты данных. Если для параметра есть конфликтные данные, то всегда
отображается значок конфликтных данных –
(даже если существуют также неполные данные),
при нажатии на значок выводится сообщение обо всех существующих конфликтных и неполных
данных для этого параметра. Если конфликтных данных нет, но есть неполные данные, то
отображается значок неполных данных
, при нажатии на который выводится сообщение обо всех
существующих неполных данных для этого параметра.
Вы можете запустить полную проверку созданной сети на наличие неполных и конфликтных
данных, выбрав пункт главного меню Сервис -> Проверить конфигурацию. Также полная проверка
конфигурации сети производится на этапе создания наборов ключей (т.е. при выборе пункта главного
меню Сервис -> Ключи -> Создать наборы ключей, см. п.6.8). При нахождении конфликтных и/или
неполных данных выводится подробная информация по каждому узлу сети, для которого
произведены конфликтные или неполные настройки параметров (Рисунок 45):
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 65
Рисунок 45
В этом окне (Проверка конфигурации сети ViPNet) выводится подробная информация о
конфликтных и/или неполных данных (с указанием имени узла, для которого обнаружены
конфликтные и/или неполные данные, названия параметра, сути проблемы), а также указаны
способы устранения каждого конфликта или ситуации неполных данных. Текст способов устранения
конфликтов и ситуаций неполных данных представляет собой гиперссылки. Для устранения какойлибо проблемы, выберите один из способов устранения и щелкните на нем левой кнопкой мыши,
откроется главное окно программы Manager на параметре соответствующего сетевого узла, изменяя
который Вы сможете устранить проблему. После устранения проблемы, вернувшись обратно в окно
проверки конфигурации сети, Вы можете нажать кнопку Повторить проверку для того чтобы еще раз
проверить конфигурацию. Если проверка конфигурации сети происходила на этапе создания наборов
ключей, то после того, как будут устранены все конфликты и неполные данные, запустится процесс
создания ключей. Вы можете не устранять неполные данные, нажав кнопку Пропустить, после этого
также запустится процесс создания ключей. Однако после установки на СУ ПО ViPNet с такими
ключами, скорее всего Вам понадобится производить ручные настройки нужной конфигурации
непосредственно на каждом СУ. Если в конфигурации сети выявлены конфликтные данные, то кнопка
Пропустить будет недоступна, и соответственно формирование наборов ключей для СУ запрещено
до тех пор пока Вы не устраните все конфликтные данные. Для отмены процесса создания ключей
нажмите кнопку Отмена.
6.8
Создание наборов ключей
Ключи требуется создавать, если при первичной конфигурации сети Вы отказались от их
создания, а также после любых изменений в сети.
Для создания ключей выберите в главном меню пункт Сервис -> Ключи -> Создать наборы
ключей (Рисунок 46).
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 66
Рисунок 46
Замечание: Перед началом процесса формирования ключей производится полная проверка
конфигурации сети на наличие конфликтных и неполных данных, при их обнаружении появится
подробная информация о каждом проблемном параметре (Рисунок 45). Если выявлены конфликтные
данные, то формирование наборов ключей запустится только после их устранения. Если выявлены
неполные данные, то рекомендуем их также устранить перед формированием ключей. Подробно о
конфликтных и неполных данных и об их устранении читайте в п. 6.7, стр. 63.
Запустится процесс формирования наборов ключей для сетевых узлов сети. Для узлов, ключи
которых еще ни разу не создавались, сформируется также парольная информация для
пользователей и администраторов сетевых узлов в соответствии с настройками свойств случайного
пароля (пункт главного меню Сервис -> Настройка…).
В процессе создания ключей запустится электронная рулетка (Рисунок 47), если она еще не
запускалась в данном сеансе работы программы ViPNet Manager. Выполните действия,
предлагаемые электронной рулеткой.
Рисунок 47
--------------------------------------------------------------------------------------------------------------------------------------
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 67
Если наборы ключей формируются впервые, то после электронной рулетки появится
сообщение о необходимости создания корневого сертификата для администратора ViPNet Manager4.
Нажмите OK. Откроется окно Запрос на сертификат.
Рисунок 48
По умолчанию необходимые свойства корневого сертификата администратора (имя владельца
(Administrator) и срок действия (5 лет)) уже заданы программой (Рисунок 48), но если требуется, то их
можно изменить:
В окне Запрос на сертификат Вы можете изменить имя (и другие свойства) на вкладке
Субъект, а также на вкладке Срок действия изменить срок действия сертификата (но не менее 5
лет).
При необходимости внесите какие-либо изменения в окно Запрос на сертификат, и нажмите
кнопку OK. Сертификат администратора будет издан, после чего создание наборов ключей
продолжится.
-------------------------------------------------------------------------------------------------------------------------------------По окончании процесса создания наборов ключей, появится окно с рекомендациями по
дальнейшим действиям администратора.
Если наборы ключей формировались не в первый раз, то в окне будет доступна и включена
опция Отправить наборы ключей. Если созданные наборы ключей предназначены для СУ, на
которых уже установлено и работает ПО ViPNet, то наборы ключей можно отправить этим СУ по
защищенной сети. Пароли пользователей и администраторов таких СУ остаются прежними. Для
отправки наборов ключей оставьте опцию Отправить наборы ключей включенной и нажмите OK.
Если подготовка рабочего места администратора (п. 5.1, стр.14) произведена корректно, то откроется
окно Отправка наборов ключей (Рисунок 51). Порядок отправки обновлений описан в п. 6.10.1, стр.
68.
Если наборы ключей формировались в первый раз или ПО ViPNet на СУ еще не установлено,
то необходимо вручную произвести установку наборов ключей (файлов *.DST) на СУ, доставляя их на
носителях.
Вся информация о расположении файла с набором ключей, пароле и парольной фразе
отобразится в свойствах каждого сетевого узла во вкладке Ключи (см. п. 6.4.2, стр. 27).
4
Сертификат администратора ViPNet Manager необходим для заверения (подписи) сертификатов пользователей сети
ViPNet при их издании.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 68
Наборы ключей появятся в папке для файлов наборов ключей (подпапка \NCC\KEYS папки, где
установлена программа ViPNet Manager). Все пароли пользователей запишутся в файл ViPNet.txt в
этой же папке, а пароли администраторов СУ запишутся в файл ViPNet_a.txt. Для открытия этой
папки используйте пункт главного меню Сервис -> Ключи -> Наборы ключей….
Наборы ключей будут размещены в подпапках с именами узлов сети в виде файлов *.DST.
После каких-либо изменений в сети и последующей генерации ключей, не все ключи могут
переформироваться. Те ключи, которые изменились, скопируются в отдельную папку (подпапку
\NCC\CHANGED_KEYS папки, где установлена программа ViPNet Manager). Для открытия этой папки
используйте пункт главного меню Сервис -> Ключи -> Неотправленные наборы ключей….
6.9 Типовой порядок действий при переконфигурации сети
В этой главе приведен типовой порядок действий администратора при внесении в
действующую сеть каких-либо изменений: регистрация или удаление координаторов, АП, добавление
или удаление связей и т.д. Для более подробной информации по каждому из шагов читайте разделы
руководства, указанные для каждого шага.
1. В соответствии с главами 6.5 и (или) 6.6 внесите необходимые изменения в структуру и (или)
настройки сети.
2. Сформируйте наборы ключей в соответствии с главой 6.8.
3. Отправьте сформировавшиеся обновления наборов ключей на узлы сети в соответствии с
главой 6.10.1.
6.10 Удаленное управление сетью ViPNet
ViPNet Manager позволяет администратору производить удаленное управление сетью ViPNet, а
именно осуществлять централизованное обновление справочно-ключевой информации и
программного обеспечения ViPNet на узлах сети в заданное время.
Для того чтобы администратор ViPNet Manager имел возможность рассылать на СУ различные
обновления, необходимо, чтобы его рабочее место было подготовлено в соответствии с главой 5.1.
Внимание! При отправке обновлений убедитесь, что на компьютере запущен ViPNet Клиент,
поскольку отправку обновлений осуществляет транспортный модуль VIPNet MFTP, периодически
запускаемый программой ViPNet Клиент.
Процесс отправки наборов ключей описан в п.6.10.1, стр.68.
Процесс отправки обновлений ПО ViPNet описан в п.6.10.2, стр.70.
Программа ViPNet Manager ведет журнал проведения обновлений – наборов ключей и ПО
ViPNet. Информация об обновлении записывается в специальный текстовый файл offmupdate.log,
который расположен в папке установки программы. В файле отображается список запросов на
обновление и ответов на них с информацией о получателе, имени файла обновления, времени
подготовки обновления, времени проведения обновления и т.д.. Для просмотра файла выберите в
главном меню пункт Сервис -> Журнал обновлений.
6.10.1 Отправка обновлений
сетевые узлы
справочно-ключевой
информации
(наборов
ключей)
на
При различных изменениях в структуре сети ViPNet (добавление, удаление СУ, изменение
связей и т.д.), для ранее созданных СУ, которых коснулись изменения, сформируются новые наборы
ключей. Эти наборы ключей администратору ViPNet Manager необходимо разослать на СУ.
Замечание: При добавлении в сеть ViPNet новых СУ, рекомендуется перед отправкой
обновлений на СУ принимать обновления наборов ключей в программе ViPNet Клиент на компьютере
администратора (АП ЦУС). Иначе в дальнейшем добавленным СУ нельзя будет отправлять
обновления. По умолчанию прием обновлений в ViPNet Клиент происходит в автоматическом
режиме, если в ViPNet Клиент заданы другие настройки, то прием обновлений осуществляйте в
соответствии с документацией по ViPNet Клиент.
Для отправки наборов ключей на СУ выберите в главном меню пункт Сервис -> Ключи ->
Отправить наборы ключей… (Рисунок 49).
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 69
Рисунок 49
Если подготовка рабочего места администратора ViPNet Manager произведена некорректно, то
появится сообщение с указанием проблемы и способа ее решения.
Если подготовка рабочего места администратора ViPNet Manager произведена корректно, то
откроется окно Отправка наборов ключей (Рисунок 51).
Если для АП ЦУС были сформированы обновления наборов ключей, то они отправятся
автоматически. Если обновление на АП ЦУС еще не было принято программой ViPNet Клиент, то до
открытия окна Отправка наборов ключей появится соответствующее сообщение (Рисунок 50).
Рисунок 50
Примите обновление на АП ЦУС перед отправкой ключей и нажмите кнопку Продолжить,
откроется окно Отправка наборов ключей (Рисунок 51). Для отмены отправки наборов ключей
нажмите кнопку Отмена.
Замечание: Если на АП ЦУС не будет принято сформированное для него обновление наборов
ключей, то некоторые сетевые узлы невозможно выбрать в окне Отправка наборов ключей
(Рисунок 51) для отправки им обновлений.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 70
Рисунок 51
В этом окне выберите сетевые узлы для отправки наборов ключей, пометив их флажками. По
умолчанию все узлы уже выбраны для отправки им обновления. Если каким-то узлам наборы ключей
отправлять не нужно, удалите флажки перед именами этих узлов.
Для осуществления быстрого поиска нужных записей из списка Вы можете настроить фильтр на
записи окна (Рисунок 51). Для этого в поле Найти введите символ или часть последовательных
символов из названия записи. Все записи, содержащие в названии введенную последовательность
символов, отобразятся в отфильтрованном списке. Фильтрация записей производится по всем
колонкам окна Отправка наборов ключей. Кнопка
очищает фильтр. Фильтр никаким образом не
влияет на отправку обновлений.
При необходимости измените дату и время обновления наборов ключей на выбранных СУ, т.е.
дату и время вступления в силу отправленных ключей на сетевых узлах. По умолчанию датой и
временем обновления наборов ключей являются текущие дата и время.
Далее, для отправки наборов ключей нажмите кнопку Отправить. Отправка ключей произойдет
после запуска транспортного модуля ViPNet MFTP.
Если при отправке наборов ключей произошли какие-либо ошибки, то появится
соответствующее сообщение.
В случае успешного завершения отправки появится сообщение об этом.
Замечание: В случае невозможности по каким-то причинам отправить обновление на СУ, то
необходимо вручную произвести переустановку этого СУ с новым набором ключей (файлом *.DST).
6.10.2 Отправка обновления программного обеспечения ViPNet
ViPNet Manager предоставляет возможность администратору централизованно разослать на
узлы сети ViPNet обновления программного обеспечения ViPNet – ViPNet Клиент и ViPNet
Координатор.
По вопросу получения набора файлов обновления ПО ViPNet обратитесь в компанию
Инфотекс. После получения набора файлов обновления скопируйте их в какую-либо одну папку (без
подпапок).
Внимание! Обновление ПО ViPNet возможно только на сетевых узлах, где у текущих
пользователей Windows есть права администратора. Если обновление отправлено, а прав
администратора у пользователя нет, то обновление не пройдёт, ПО ViPNet останется
работоспособным, но возможны проблемы при доустановке компонент и удалении ПО.
Для отправки обновления ПО ViPNet выберите в главном меню пункт Сервис -> Обновить
программное обеспечение сети ViPNet…
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 71
Если подготовка рабочего места администратора ViPNet Manager произведена некорректно, то
появится сообщение с указанием проблемы и способа ее решения.
Если подготовка рабочего места администратора ViPNet Manager произведена корректно, то
запустится мастер обновления программного обеспечения сети ViPNet (Рисунок 52).
Опишем по шагам процесс работы мастера.
Шаг 1
Рисунок 52
В этом окне для продолжения нажмите кнопку Далее> (Рисунок 52) и следуйте указаниям
мастера.
Шаг 2
Откроется окно Папка с обновлением (Рисунок 53).
В этом и во всех остальных окнах мастера, описанных ниже, Вы можете нажать кнопку <Назад
для возвращения к предыдущему окну или кнопку Отмена для отмены работы мастера.
Рисунок 53
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 72
В окне Папка с обновлением укажите папку, где находится набор файлов для обновления ПО
ViPNet. По умолчанию в качестве папки с обновлением выбрана папка установки программы ViPNet
Manager. Для выбора другой папки используйте кнопку Обзор….
Замечание: После выбора другой папки, она запомнится программой, и при следующем
использовании мастера обновления в качестве папки с обновлением по умолчанию будет указана эта
папка.
После выбора папки нажмите кнопку Далее>.
Шаг 3
Откроется окно Обновление на сетевых узлах (Рисунок 54).
Рисунок 54
В этом окне укажите сетевые узлы, на которых необходимо обновить ПО ViPNet, пометив их
флажками. По умолчанию все узлы уже выбраны для отправки им обновления. Если каким-то узлам
обновление ПО ViPNet отправлять не нужно, удалите флажки перед именами этих узлов.
Кнопка Включить все – включает флажки для всех СУ. Кнопка Отключить все – выключает
флажки для всех СУ.
ПО ViPNet будет отправлено тем СУ, которые помечены флажками.
Замечание: Если какие-либо сетевые узлы невозможно выбрать для отправки им обновлений,
то это означает, что не обновлены наборы ключей для АП ЦУС. Для решения этой проблемы,
нажмите кнопку Отмена, создайте наборы ключей (если они не созданы, см. п.6.8, стр.65) и обновите
ключевые наборы АП ЦУС (см. п.6.10.1, стр.68), а затем снова запустите мастер обновления ПО
ViPNet.
Для осуществления быстрого поиска нужных записей из списка Вы можете настроить фильтр на
записи окна (Рисунок 54). Для этого в поле Найти введите символ или часть последовательных
символов из названия записи. Все записи, содержащие в названии введенную последовательность
символов, отобразятся в отфильтрованном списке. Если координаторы содержат абонентские пункты,
соответствующие фильтру, то такие координаторы также отобразятся. Кнопка
очищает фильтр.
Фильтр никаким образом не влияет на отправку обновлений.
Для продолжения нажмите кнопку Далее>.
Шаг 4
Откроется окно Время вступления в действие (Рисунок 55).
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 73
Рисунок 55
В этом окне настройте следующие параметры:
Укажите дату и время начала обновления ПО ViPNet, т.е. дату и время вступления в действие
отправленных обновлений на сетевых узлах. По умолчанию датой и временем обновления являются
текущие дата и время.
Если опция Перезагружать компьютеры сетевых узлов после обновления
программного обеспечения выключена, то после обновления ПО ViPNet на СУ, в случае если
потребуется перезагрузка компьютера, ПО ViPNet не запустится и будет выдано сообщение о
необходимости перезагрузки (с кнопками OK – перезагрузить, Отмена – не перезагружать). Пока
пользователь не нажмет на одну из кнопок, сообщение о перезагрузке будет отображаться на экране
и ПО ViPNet будет выгружено. Для того, чтобы обновление вступило в силу, пользователю
необходимо перезагрузить компьютер (нажать кнопку OK).
Если требуется, чтобы компьютер пользователя сетевого узла в случае необходимости
перезагрузился сразу после обновления на нем ПО ViPNet (без участия пользователя), то включите
опцию Перезагружать компьютеры сетевых узлов после обновления программного
обеспечения. Эту опцию требуется обязательно включать при отправке обновления ПО ViPNet на
координаторы, работающие без оператора (и если доступ к ним затруднен).
По завершении настроек нажмите кнопку Далее>.
Шаг 5
Отправка обновлений произойдет после запуска транспортного модуля ViPNet MFTP.
На АП будет отправлено обновление ViPNet Клиент, на координатор – ViPNet Координатор.
Если при отправке обновлений произошли какие-либо ошибки, то появится соответствующее
сообщение. В случае успешного завершения процесса откроется окно Завершение обновления
программного обеспечения ViPNet с информацией о выполненных действиях.
Для закрытия мастера нажмите кнопку Готово.
6.10.3 Смена мастер-ключей
Мастер-ключи служат для создания ключевых наборов сетевых узлов в рамках сети ViPNet. При
компрометации ключей сетевых узлов, а также при плановой смене ключей, проводимой в целях
поддержки безопасности сети, требуется смена мастер-ключей и, как следствие, создание новых
ключевых наборов.
Ключевые наборы, созданные с использованием новых мастер-ключей, необходимо разослать
на все сетевые узлы с помощью отправки обновлений справочно-ключевой информации. Для
сохранения работоспособности сети дата обновления при отправке должна быть назначена с учетом
того, чтобы все узлы успели получить обновления. Рекомендуемая дата обновления ключевых
наборов при смене мастер-ключей – через 10 дней после отправки обновлений. На сетевых узлах, не
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 74
успевших получить обновления до назначенной даты, ключевые наборы придется обновлять
вручную, доставляя их на внешних носителях.
В процессе смены мастер-ключей формируется также новый ключ подписи администратора и
новый сертификат ключа подписи администратора (корневой сертификат).
Рекомендуется проводить плановую смену мастер-ключей не реже одного раза в год или с
другой периодичностью, удовлетворяющей требованиям используемой политики безопасности.
Для смены мастер-ключей выберите в главном меню пункт Сервис -> Ключи -> Сменить
мастер-ключи (Рисунок 56).
Рисунок 56
Перед началом процесса появится предупреждение о последствиях смены мастер-ключей
(Рисунок 57). Для продолжения включите опцию Сменить мастер-ключи и нажмите кнопку
Продолжить.
Рисунок 57
В процессе смены мастер-ключей запустится электронная рулетка (Рисунок 47), если она еще
не запускалась в данном сеансе работы программы ViPNet Manager. Выполните действия,
предлагаемые электронной рулеткой.
После электронной рулетки появится сообщение о необходимости создания корневого
сертификата, в котором следует нажать кнопку ОК. Далее появится окно Запрос на сертификат, в
котором Вы можете изменить, если требуется, информацию о субъекте и сроке действия
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 75
сертификата (см. п. 6.8, Рисунок 48, стр. 67). После внесения изменений нажмите кнопку ОК для
продолжения процесса.
Состояние процесса смены мастер-ключей отображается в индикаторе процесса (Рисунок 58).
Под индикатором процесса дополнительно высвечивается информация о создании ключей для узлов
сети.
Рисунок 58
Созданные наборы ключей помещаются в подпапку \NCC\KEYS той папки, где установлена
программа ViPNet Manager (с раскладкой по папкам с именами узлов сети). Дополнительно они
копируются в подпапку \NCC\CHANGED_KEYS (как измененные и неотправленные наборы ключей).
Для рассылки новых наборов ключей по сетевым узлам используйте отправку обновлений справочноключевой информации (см. п. 6.10.1), назначив дату обновления через 10 дней после отправки.
6.11 Создание и восстановление резервных копий конфигурации сети ViPNet и
программы ViPNet Manager
Программа ViPNet Manager предоставляет возможность вернуться к предыдущим версиям
конфигурации и настроек сети ViPNet, используя резервные копии, созданные автоматически
программой или вручную администратором ViPNet Manager.
ViPNet Manager автоматически (без запросов к пользователю) создает резервную копию
текущей конфигурации сети ViPNet в следующих ситуациях:
· при выходе из программы в случае каких-либо изменений конфигурации или настроек,
· при восстановлении конфигурации из какой-либо резервной копии,
· при полной очистке структуры сети,
· при создании сети заново.
Кроме конфигурации и настроек сети, в сохраняемую в резервной копии конфигурацию входят
текущие настройки самой программы ViPNet Manager.
При наличии созданных резервных копий программа позволяет редактировать их список.
Для работы с резервными копиями сети ViPNet выберите в главном меню пункт Сервис ->
Восстановление конфигурации…
Запустится мастер восстановления конфигурации (Рисунок 59).
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 76
Рисунок 59
Набор доступных действий в мастере восстановления конфигурации зависит от наличия
резервных копий конфигураций и произведенных действий по восстановлению конфигурации.
Могут быть доступны следующие действия:
· Восстановить конфигурацию ViPNet Manager (см. п.6.11.1, стр.76) – восстановление
конфигурации из созданных резервных копий. Действие недоступно, если не создано ни
одной резервной копии конфигурации.
· Создать резервную копию текущей конфигурации (см. п.6.11.2, стр.78) – создание
резервной копии существующей на текущий момент конфигурации сети ViPNet и
программы ViPNet Manager.
· Редактировать список резервных копий (см. п.6.11.3, стр.79) – удаление резервных
копий и изменение комментариев. Действие недоступно, если не создано ни одной
резервной копии конфигурации.
· Отменить последнее восстановление (см. п.6.11.4, стр.80) – отмена последнего
произведенного восстановления конфигурации. Действие доступно после восстановления
конфигурации из какой-либо резервной копии, если после этого восстановления не
создавалось других резервных копий.
Выберете нужное действие и нажмите кнопку Далее>.
6.11.1 Восстановление конфигурации
Для восстановления конфигурации сети из резервной копии выберите Восстановить
конфигурацию ViPNet Manager в мастере восстановления. Откроется окно Выбор резервной
копии (Рисунок 60), где Вы можете выбрать резервную копию для возврата к более раннему
состоянию конфигурации сети ViPNet.
В этом и во всех остальных окнах мастера, описанных ниже, Вы можете нажать кнопку <Назад
для возвращения к предыдущему окну или кнопку Отмена для отмены работы мастера.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 77
Рисунок 60
В окне Выбор резервной копии отображены все созданные (автоматически и вручную)
резервные копии конфигурации сети ViPNet. В колонке Дата и время создания указана дата и
время создания резервной копии, в колонке Комментарий – комментарий к ней. Резервные копии,
созданные автоматически имеют следующие комментарии:
· Создана при завершении работы – комментарий резервной копии, созданной при
выходе из программы.
· Создана при создании сети – комментарий резервной копии, созданной при создании
сети заново.
· Создана при восстановлении программы
созданной при восстановлении конфигурации.
– комментарий резервной копии,
· Создана при удалении сети – комментарий резервной копии, созданной при полной
очистке структуры сети.
Резервные копии можно отсортировать по времени или по комментариям (по умолчанию
отсортировано по дате и времени создания).
Выберите резервную копию, из которой Вы хотите восстановить конфигурацию и настройки
сети ViPNet, и нажмите кнопку Далее>:
· Если в восстанавливаемой конфигурации использовался пароль администратора,
отличающийся от текущего, то откроется окно Пароль доступа для ввода пароля
администратора (Рисунок 61).
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 78
Рисунок 61
Введите пароль, использующийся при создании восстанавливаемой конфигурации и
нажмите кнопку Далее>. Если введенный пароль верный, то запустится процесс
восстановления конфигурации.
Замечание: После восстановления конфигурации текущий пароль администратора
для входа в ViPNet Manager не изменится.
· Если пароль администратора совпал или отсутствует, то запустится процесс
восстановления конфигурации.
По завершении процесса откроется окно Завершение восстановления конфигурации
ViPNet Manager с информацией о выполненных действиях.
Замечание: При необходимости, Вы всегда можете отменить последнее восстановление или
восстановить конфигурацию из другой резервной копии, вернувшись на первую страницу мастера,
или если мастер уже закрыт, заново запустив его.
Для закрытия мастера нажмите кнопку Готово. Если требуется осуществить еще какие-то
действия при помощи мастера восстановления, то для возвращения на первую страницу мастера (см.
Рисунок 59, п.6.11, стр.75) нажмите кнопку В начало.
6.11.2 Создание резервной копии текущей конфигурации
Для создания резервной копии текущей конфигурации выберите Создать резервную копию
текущей конфигурации в мастере восстановления. Откроется окно Создание резервной копии
(Рисунок 62), где Вы можете задать комментарий к резервной копии.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 79
Рисунок 62
Введите комментарий к резервной копии и нажмите Далее>. Комментарий вводить
необязательно, однако ввод комментария поможет Вам быстрее найти нужную резервную копию в
случае восстановления конфигурации, особенно если введенный комментарий будет легко узнаваем
в списке резервных копий. Максимальная длина комментария ограничена 200 символами.
Впоследствии комментарии можно отредактировать (см. п.6.11.3, стр.79).
Резервные копии конфигурации создаются в подпапке \Restore папки установки программы
ViPNet Manager.
Замечание: В случае если для сохранения резервной копии недостаточно места на диске, то
появится соответствующее сообщение. Для возможности создания резервной копии Вам потребуется
увеличить свободное место.
Далее запустится процесс резервного копирования. По завершении процесса откроется окно
Завершение создания резервной копии конфигурации с информацией о выполненных действиях.
Для закрытия мастера нажмите кнопку Готово. Если требуется осуществить еще какие-то
действия при помощи мастера восстановления, то для возвращения на первую страницу мастера (см.
Рисунок 59, п.6.11, стр.75) нажмите кнопку В начало.
6.11.3 Редактирование списка резервных копий
Для редактирования списка резервных копий выберите Редактировать список резервных
копий в мастере восстановления. Откроется окно Редактирование списка резервных копий
(Рисунок 63), где Вы можете произвести редактирование списка – удалить резервные копии или
изменить комментарий.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 80
Рисунок 63
В этом окне отображены все созданные (автоматически и вручную) резервные копии
конфигурации сети ViPNet (подробнее об атрибутах резервных копий в описании окна Выбор
резервной копии см. Рисунок 60, п.6.11.1, стр.76).
Для удаления ненужных резервных копий, выберите одну или несколько (с помощью Shift +
левая кнопка мыши, либо Ctrl + левая кнопка мыши) резервных копий и нажмите кнопку Удалить.
После подтверждения выбранные резервные копии удалятся.
Для изменения комментария, выберите одну из копий и нажмите кнопку Изменить
комментарий. Затем отредактируйте текст комментария и нажмите клавишу Enter.
После внесения изменений станет доступна кнопка Далее>, нажмите ее для продолжения.
Запустится процесс сохранения изменений в списке резервных копий. По завершении процесса
откроется окно Завершение редактирования списка резервных копий с информацией о
выполненных действиях.
Для закрытия мастера нажмите кнопку Готово. Если требуется осуществить еще какие-то
действия при помощи мастера восстановления, то для возвращения на первую страницу мастера (см.
Рисунок 59, п.6.11, стр.75) нажмите кнопку В начало.
6.11.4 Отмена последнего восстановления конфигурации
Для отмены последнего восстановления конфигурации выберите Отменить последнее
восстановление в мастере восстановления. Запустится процесс отмены последнего
восстановления конфигурации. По завершении процесса откроется окно Завершение отмены
последнего восстановления конфигурации с информацией о выполненных действиях. Будет
восстановлена конфигурация, сохраненная перед осуществлением последнего восстановления.
Для закрытия мастера нажмите кнопку Готово. Если требуется осуществить еще какие-то
действия при помощи мастера восстановления, то для возвращения на первую страницу мастера (см.
Рисунок 59, п.6.11, стр.75) нажмите кнопку В начало.
6.12 Дополнительные возможности
6.12.1 Удаление сети
Для полного удаления сети выберите в главном меню пункт Сеть -> Очистить (Рисунок 64).
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 81
Рисунок 64
После подтверждения удаления существующая сеть ViPNet будет УДАЛЕНА.
Замечание: При удалении сети сформируется резервная копия текущей конфигурации (см.
п.6.11. стр.75).
6.12.2 Создание сети заново
Чтобы создать новую сеть взамен раннее созданной, выберите в главном меню пункт Сеть ->
Создать или нажмите кнопку Создать сеть, предварительно выбрав в левой панели папку Вся
сеть (Рисунок 65).
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 82
Рисунок 65
Запустится мастер создания сети ViPNet (см. п. 6.3.1). Если в процессе работы мастера Вы
нажмете кнопку Отмена, то будет восстановлена сеть, существующая до момента запуска мастера.
Замечание: При создании новой сети сформируется резервная копия текущей конфигурации
ранее созданной сети (см. п.6.11. стр.75).
7 Запуск и настройка программы ViPNet Координатор
Для сетевого интерфейса координатора, к которому подключена локальная сеть, должен быть
выделен постоянный IP-адрес.
Если координатор будет использоваться в качестве сервера IP-адресов для каких-либо
абонентских пунктов, расположенных во внешней сети, то рекомендуется выделить постоянный IPадрес и для сетевого интерфейса координатора, к которому подключена внешняя сеть. В случае
работы координатора через межсетевой экран, постоянный IP-адрес нужно выделить и для
межсетевого экрана (МЭ). Если нет возможности выделить постоянный IP-адрес, т.е. IP-адрес
динамически меняется, то координатор (и/или МЭ) должны иметь DNS-имена (в этом случае IPадреса координатора (и/или МЭ) должны автоматически регистрироваться на DNS-сервере для
соответствующего DNS-имени (например, используя службу динамического DNS)).
Если координатор будет взаимодействовать с другим координатором, расположенным во
внешней сети, то постоянный IP-адрес или DNS-имя должны быть хотя бы у одного из этих
координаторов или их МЭ.
Внимание! Перед запуском ViPNet Координатор убедитесь, что все другие Firewall удалены с
компьютера. После удаления перезагрузите компьютер. На ОС Windows XP убедитесь, что
встроенная в ОС функция "Internet Connection Firewall" отключена. А при установленном Service Pack
2 также необходимо выключить "Брандмауэр Windows" (в свойствах сетевого подключения).
Использование ViPNet Координатор одновременно с другими Firewall может привести к конфликтам
между программами и вызвать проблемы с доступом в сеть.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 83
При старте ПО ViPNet Координатор появится окно для ввода пароля. Введите пароль и
нажмите OK.
Если после этого Вы должны сделать дополнительный logon для входа в домен или для
подключения к какому-либо серверу сети, то у Вас могут быть проблемы с успешным подключением,
если Координатор или Клиент не установлены на домен-контроллере. Все попытки соединения с
другими узлами, не оснащенными ViPNet, будут блокироваться интегрированным сетевым экраном,
входящим в состав только что установленного Координатора. Чтобы исключить проблемы
блокирования соединений с другими узлами сети Вам необходимо либо также установить на эти узлы
программу ViPNet, либо соответствующим образом настроить интегрированный сетевой экран для
пропуска соответствующего трафика этих узлов (см. главу 8).
После успешного входа в систему программа ViPNet Координатор [Монитор] автоматически
стартует. Откроется окно ViPNet Координатор [Монитор] (Рисунок 66) и появится значок
уведомлений на панели задач.
в области
7.1 ViPNet Координатор [Монитор]
Монитор – это в буквальном смысле программа-монитор для управления конфигурацией
Координатора и контроля его параметров. (ViPNet Клиент имеет практически такую же программумонитор).
7.1.1
Как открыть окно Монитора
Для открытия окна Монитора щелкните мышью на значке
в области уведомлений на панели
задач (область рабочего стола Windows, по умолчанию расположенная в правом нижнем углу
экрана).
Рисунок 66
Рисунок 66 представляет внешний вид окна Монитора сразу после первого запуска программы.
Левая часть экрана содержит средства конфигурирования и администрирования в виде древовидной
структуры. Выбрав любую папку дерева слева, Вы увидите справа его содержание. Верхняя часть
окна содержит главное меню и панель задач для вызова часто используемых функций и приложений.
Сразу после открытия окна по умолчанию выбрана папка Защищенная сеть. Соответственно,
в правой части окна показаны все сетевые узлы ViPNet, VPN соединение с которыми было разрешено
на этапе создания структуры сети с помощью ViPNet Manager. Сетевые узлы будут высвечиваться
разными цветами:
· Серый – сетевой узел в состоянии off-line;
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 84
· Голубой – обозначает данный локальный узел;
· Красный – этим цветом выделены все Координаторы;
· Фиолетовый – ViPNet Клиенты в состоянии on-line.
Цвета отображения могут быть изменены, если в главном меню выбрать Сервис à Цвет…
Дополнительно статус узла показан с помощью следующих значков (вид значков зависит от
используемой ОС Windows):
– локальный узел
– узел в состоянии off-line
(или
) – Клиент в состоянии on-line
– Координатор в состоянии on-line (на Клиенте наличие такого значка у Координатора
означает, что Координатор является сервером IP-адресов для данного Клиента)
Значительная часть настроек в папках Защищенная сеть, Открытая сеть,
Блокированные IP-пакеты и Режимы связана с настройкой работы интегрированного сетевого
экрана. Эти настройки должны быть объектами повышенного внимания администратора при
развертывании сети ViPNet. Необходимую информацию Вы можете найти в описании Главы 8.
Папка Настройки позволяет выбрать и настроить тип соединения в зависимости от
реализованного физического способа подключения сетевого узла (Глава 10).
Остальные элементы дерева содержат инструменты для получения статистической
информации, создания готовых конфигураций, расширения возможностей администрирования и т.п.
Их детальное описание приведено далее вместе с описанием интегрированных приложений.
7.1.2
Закрытие Монитора
Нажатием на символ
в правом верхнем углу главного окна Монитора Вы можете закрыть
окно программы, свернув его в значок в области уведомлений на панели задач. Чтобы выгрузить
программу Монитор, нажмите Выход в главном меню Монитора.
Внимание! После выгрузки программы ViPNet Монитор, ViPNet драйвер остается активным и
продолжает шифрование и фильтрацию IP-трафика согласно правилам, установленным для сетевого
экрана данного сетевого узла на момент выгрузки программы Монитор. Если Вы не хотите работать в
защищенном режиме, то Вы можете выбрать в окне Режимы 5-й уровень безопасности - „Отключить
драйвер” (см. главу 8) и после этого закрыть или выгрузить Монитор. Тот же результат достигается,
если в ходе загрузки системы нажать кнопку Отмена на появившемся приглашении ввести пароль
или клавишу Esc на клавиатуре и подтвердить сделанный выбор.
7.1.3
Основная конфигурация
Все дальнейшие действия по настройке ViPNet Координатор [Монитор] после его загрузки будут
зависеть от необходимой функциональности координатора, а также настроек, заданных в программе
ViPNet Manager. Если в Manager (п.6.5) были заданы все необходимые настройки для требуемой
конфигурации координатора (IP-адреса, соединение без использования МЭ или с использованием
МЭ, туннелирование адресов, использование в качестве сервера ViPNet-Firewall и др.), то никаких
ручных настроек ПО ViPNet Координатор производить не нужно, кроме настроек режимов на сетевых
интерфейсах координатора (см. п. 8.1).
Если необходимые настройки в ViPNet Manager НЕ заданы, то потребуется произвести ручные
настройки ПО ViPNet на координаторе. Мы настоятельно рекомендуем прочесть главу 10 до того, как
Вы продолжите настройку Координатора. Эта глава описывает коммуникационные технологии ViPNet.
О наиболее типовых схемах использования продукта ViPNet OFFICE можно прочесть в
приложении к данному документу, Схемы использования ViPNet.
Рекомендация
Чтобы избежать проблем с настройкой, мы рекомендуем для начала установить 4-й уровень
защиты Координатора с выключенным сетевым экраном. Если Координатор имеет несколько сетевых
адаптеров, то Вы должны повторить эту процедуру для каждого из них. Сетевой адаптер можно
выбрать из главного меню (Сервис à Сетевые адаптеры).
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 85
После того как все запланированные соединения между Координаторами и Клиентами будут
созданы и проверены, Вы можете активировать сетевой экран и приступить к его настройке согласно
Вашей политике безопасности. Рекомендации по настройке даны в главе 8.
Ввод IP-адресов или DNS-имен других Координаторов
Замечание: Ввод IP-адресов или DNS-имен других Координаторов выполнять не нужно, если
Вы произвели необходимые настройки IP-адресов или DNS-имен в программе ViPNet Manager (см. п.
6.5.1 или п.6.5.3).
Если с помощью ViPNet Manager было создано более одного Координатора, то для начала
нужно обеспечить соединение между ними. Чтобы это сделать, необходимо в правила доступа для
каждого Координатора ввести IP-адреса доступа к ним или DNS-имя. Под IP-адресом доступа
подразумевается либо непосредственно публичный адрес Координатора (по которому он подключен
в Интернет), либо публичный IP-адрес шлюза/межсетевого экран/прокси-сервера локальной сети,
через который работает Координатор. Для более детальной информации обращайтесь к главе 10.
О том, в каких случаях следует задавать DNS-имена, а также о правилах задания, Вы можете
прочитать в п. 9.
Чтобы добавить IP-адрес другого Координатора (в правила доступа для Координатора, на
котором Вы сейчас находитесь) Вам необходимо выбрать соответствующий Координатор в доступном
Вам списке узлов папки Защищенная сеть (Рисунок 66) и дважды щелкнуть на нем мышью.
Откроется окно Правило доступа, выберите в нем вкладку IP-адреса (Рисунок 67), далее нажмите
кнопку Добавить…, введите IP-адрес в появившемся окне и дважды нажмите ОК.
Для добавления DNS-имени, в этой же вкладке (Рисунок 67) включите опцию Использовать
DNS-имя, нажмите кнопку Добавить…, введите DNS-имена с в появившемся окне и дважды нажмите
ОК.
Рисунок 67
Эту процедуру необходимо повторить для всех Координаторов.
Выбор типа соединения
Замечание: Выбор типа соединения выполнять не нужно, если Вы произвели необходимые
настройки в программе ViPNet Manager (см. п. 6.5.4). Вне зависимости от настроек, заданных в
Manager, если работа координатора должна происходить через установленный на границе сети
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 86
межсетевой экран со статической трансляцией адресов, то нужно произвести дополнительные
настройки на межсетевом экране (см. п. 10.3).
После того как адреса других Координаторов были определены для данного конкретного
Координатора, необходимо настроить его VPN соединение, для чего надо перейти в папку
Настройки (Рисунок 68). В зависимости от того, установлен ли перед Координатором для выхода в
Интернет какой-либо межсетевой экран или нет, Вы должны решить активировать или нет опцию
Использовать внешний межсетевой экран. Глава 10 описывает возможные настройки в этой
ситуации.
Рисунок 68
Настройка туннелей
Если Координатор планируется использовать для туннелирования трафика незащищенных
узлов локальной сети, то Вам необходимо осуществить настройку туннелей. Более детальная
информация в главе 11.
Проверка соединения между Координаторами
После того как Вы сделали необходимые настройки в окне Настройки, вернитесь обратно в
окно Защищенная сеть и выберите другой Координатор в доступном списке сетевых узлов.
Нажатием правой кнопки мыши Вам необходимо вызвать контекстное меню и выбрать там команду
Проверить соединение…, либо нажать клавишу F5 на клавиатуре или кнопку
на панели
инструментов. На экране должно появиться сообщение об успешном соединении "Сервер <…>:
соединение установлено.". Если этого не произошло, то Вы должны еще раз проверить корректность
установок в окне Настройки.
После того как соединение между Координаторами было успешно установлено, Вы можете
продолжить настройку интегрированного сетевого экрана на Координаторе и установку Клиентов.
8 Интегрированный сетевой экран
8.1
Уровни защиты
Встроенный сетевой экран Координатора может легко быть переключен между пятью
стандартными уровнями защиты. Переключение уровней защиты осуществляется в окне Режимы
(Рисунок 69), там же приводится их краткое описание.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 87
Рисунок 69
Если координатор выполняет функции межсетевого экрана и маршрутизатора с несколькими
сетевыми интерфейсами, разделяющими сети друг от друга, то для каждого сетевого интерфейса
задается свой режим безопасности, в зависимости от требуемого результата. Название и IP-адрес
выбранного адаптера отображается в заголовке главного окна. Для выбора адаптера пользуйтесь
главным меню Сервис à Сетевые адаптеры.
Ниже приводится описание политик безопасности для каждого уровня:
1. Режим 1: Блокировать открытый IP-трафик. Наиболее защищенный от сетевых атак из
Интернет режим – равносилен физической изоляции Координатора от внешних сетей (для
выбранного адаптера). Через сетевой адаптер Координатора в этом режиме проходит только
шифрованный трафик других ViPNet узлов, нешифрованный трафик полностью блокируется
независимо от настроек фильтров в окне Открытая сеть. При этом к шифрованному
трафику с каким-либо другим узлом ViPNet могут быть дополнительно применены правила
фильтрации трафика, установленные для этого узла (меню Действия à Правила доступа
…).
2. Режим 2: Разрешить зарегистрированный открытый IP-трафик. Этот режим
обеспечивает пропуск шифрованного трафика от ViPNet узлов, с которыми разрешено
соединение, возможна его дополнительная фильтрация, также как и для уровня безопасности
1. Нешифрованный трафик от других узлов пропускается, если это разрешено правилами
фильтрации, заданными в окне Открытая сеть (см. пункт 8.2).
3. Режим 3: Бумеранг (Разрешить инициативные открытые соединения). Этот режим
как наиболее часто используемый на практике установлен по умолчанию. Интегрированный
сетевой экран Координатора (Клиента) в этом случае настроен таким образом, что
пользователю разрешено делать инициативные соединения с узлами в сети Интернет или
открытыми узлами локальных сетей. Однако, соединения, инициированные из внешней сети,
будут блокироваться. VPN соединения осуществляются так же, как и в предыдущих режимах.
Образно говоря, этот режим позволяет узлам-участникам сети ViPNet достаточно безопасно
работать с внешними ресурсами, при этом ViPNet сеть оказывается изолированной от атак,
инициированных извне (если только эти атаки не спровоцированы инициативным соединением
участника VPN с опасным внешним ресурсом).
· Жесткий бумеранг… обеспечивает анализ и фильтрацию входящего трафика по
нескольким параметрам (IP-адрес, протокол, порт и др. параметрам).
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 88
· Мягкий бумеранг… обеспечивает анализ и фильтрацию входящего трафика только по
IP-адресу и протоколу.
Фильтры, установленные в окне Открытая сеть, применяются в данном режиме согласно
следующему правилу:
Если Вы добавите правило для конкретного IP-адреса в окне Открытая сеть, то режим
бумеранг не будет применен к этому адресу, то есть явно заданное правило в этом случае будет
более приоритетным.
4. Режим 4: Не блокировать открытый IP-трафик. В этом режиме интегрированный сетевой
экран деактивирован, однако продолжает работать Журнал регистрации IP-пакетов и Вы
можете анализировать трафик, проходящий через узел (см. пункт 14.2). Работа с
зашифрованным трафиком производится как в предыдущих режимах. Этот режим в основном
предназначен для пробного развертывания системы и ее тестирования. Не рекомендуется
использовать в качестве основного режима, за исключением случаев совместного
использования с межсетевыми экранами других производителей.
5. Режим 5: Отключить драйвер. ViPNet драйвер в этом режиме полностью деактивирован,
шифрование и фильтрация трафика не осуществляются.
Внимание! В этом режиме сетевой адаптер становится полностью открытым и незащищенным
от возможных сетевых атак, Журнал IP-пакетов не ведется.
Журнал IP-пакетов сохраняется для каждого уровня безопасности (исключая 5 уровень) и
содержит информацию о блокированных и пропущенных IP-пакетах (см. пункт 14.2).
Уровень безопасности можно также поменять из контекстного меню, вызываемого на значке
ViPNet
в области уведомлений на панели задач.
Окно Режимы также содержит следующие опции:
Отключить все протоколы, кроме IP, ARP, RARP – эта опция определяет, должны ли быть
блокированы пакеты, не входящие в стек протоколов TCP/IP. ViPNet предназначен для работы только
с IP-пакетами и пропускает без обработки пакеты других протоколов (например, IPX/SPX, NetBEUI и
др.) по умолчанию, если указанная опция выключена. Если опция включена, то ViPNet будет
блокировать все пакеты, не относящиеся к IP, ARP и RARP. Пакеты протоколов ARP и RARP всегда
пропускаются, так как они необходимы для успешной работы IP-протокола.
Также Вы можете определить основные параметры, используемые при загрузке программы, в
нижней части окна под заголовком При старте программы…:
· Указать режим безопасности, используемый при запуске программы;
· Будет ли активен режим отключения всех протоколов, кроме IP, ARP, RARP сразу
после перезагрузки или запуска программы;
· Будет ли активирована функция Блокировать компьютер; Эта функция принуждает
пользователя вводить пароль сразу после старта программы Монитор после загрузки ОС
Windows, чтобы гарантировать вход в программу только авторизованным пользователям.
8.2
Фильтрация IP-трафика
Вам необходимо организовать фильтрацию трафика, чтобы блокировать или пропускать IPпакеты в зависимости от IP-адреса, используемого протокола и его параметров. Какие возможности
для этого имеются?
8.2.1
Основная информация
· Древовидная структура фильтров представлена в правой части окна Монитора отдельно
для окна Защищенная сеть и для окна Открытая сеть. Эта структура позволяет с равным
успехом создать фильтры для отдельного взятого IP-адреса и для диапазона IP-адресов
(первый уровень фильтров). После задания адреса или диапазона адресов для правил
фильтрации могут быть определены протоколы, направление установления соединений и
номера портов (второй уровень фильтров). Более детальная информация об этом дана
в пункте 8.2.3.
· Фильтры для нешифрованного трафика (окно Открытая сеть) должны быть созданы
для каждого сетевого адаптера отдельно.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 89
· К моменту установки детальных правил доступа для каждого сетевого адаптера должен
быть определен свой режим безопасности. После чего Вы можете дополнительно
настроить фильтры для более полного контроля в рамках выбранного режима.
· Для окон Защищенная сеть и Открытая сеть ряд фильтров установлен по
умолчанию. Эти фильтры могут быть изменены, но не могут быть полностью удалены: <IPпакеты всех адресатов>, <Широковещательные IP-пакеты всех адресатов>, <Все
незарегистрированные IP-адреса> и <Широковещательные IP-пакеты>.
8.2.2
Категории фильтров
1. Фильтры Широковещательных пакетов:
· Фильтр <Широковещательные IP-пакеты всех адресатов> из окна Защищенная сеть –
определяет правила фильтрации шифрованных широковещательных пакетов.
· Фильтр <Широковещательные IP-пакеты> из окна Открытая сеть – определяет
правила фильтрации для нешифрованных широковещательных пакетов.
Предустановленные настройки фильтров широковещательных пакетов разрешают пропуск
следующих пакетов:
ü Broadcast packets nbname (порт 137) и nbdatagram (порт 138) – необходим
для NETBIOS.
ü Broadcast packets bootp (порты
функционирования сервиса DHCP.
67
и
68)
–
необходим
для
ü Broadcast packets iplirdatagram (порт 2046) – необходим для локальных
функций ViPNet.
Фильтры широковещательных пакетов не зависят от остальных фильтров.
2. Главный фильтр:
· Фильтр с именем <IP-пакеты всех адресатов> (окно Защищенная сеть) – определяет
общее правило для всех ViPNet узлов, видимых в этом окне.
· Фильтр с именем <Все незарегистрированные IP-адреса> (окно Открытая сеть) –
определяет общие правила для всех IP-адресов, не указанных в списке этого окна.
Предустановленные настройки фильтра <Все незарегистрированные IP-адреса>
запрещает прохождение всех незарегистрированных IP-пакетов, кроме следующих:
ü Разрешен пропуск входящих пакетов UDP по портам 138 (своему и чужому)
от всех незарегистрированных IP-адресов. Этот фильтр нужен для того,
чтобы после установки ПО ViPNet на компьютер, который может работать
как Master Browser, другие компьютеры в локальной сети, незащищенные
ПО ViPNet, не потеряли доступ к совместно используемым папкам в
локальной сети. Если установлен 3 режим работы, то такого фильтра
достаточно для обеспечения работы данной службы.
ü Разрешен пропуск входящих и исходящих пакетов ICMP с типом 3 и кодом
4 для всех незарегистрированных IP-адресов. Этот фильтр нужен для
корректной работы Вашего компьютера с сетевым оборудованием
(например, некоторыми DSL-модемами, Wireless-устройствами), на
котором может быть установлено значение MTU (максимальный размер
блока передачи данных) меньше стандартного значения для Ethernet
сетей.
3. Индивидуальные фильтры:
· Фильтр конкретного узла ViPNet, указанного в списке окна Защищенная сеть. Список
ViPNet Клиентов и Координаторов, которые видны пользователю в окне Монитора, и есть
список индивидуальных фильтров. К каждому узлу сети ViPNet можно привязать свой
набор фильтров используя вызов контекстного меню для данного узла (Правила
доступаàДобавить фильтр протоколов…). Созданные фильтры отображаются в окне
программы Монитор под именем каждого сетевого узла ViPNet (см. пункт 8.2.3).
· Фильтр для конкретных адреса или диапазона адресов в Открытой сети. О том, как
их создать читайте в п. 8.2.4.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 90
4. Фильтр сетевого адаптера (Интерфейсный фильтр, только для Координатора):
· Фильтр отображается в окне Открытая сеть в виде IP-адреса и соответствующего
имени сетевого адаптера. Фильтр определяет общие правила фильтрации
нешифрованных пакетов, приходящих (или исходящих) на локальную машину через
соответствующий сетевой адаптер.
5. Фильтр протокола:
· Определяет правила фильтрации для пакетов по протоколу, направлению установления
соединения и номеру порта. Этот фильтр может быть создан только как подфильтр
(второй уровень фильтров) для одного из фильтров ранее описанных категорий.
6. Microsoft SQL фильтр:
· Если ViPNet Координатор или Клиент установлен поверх Microsoft SQL Server, то можно
создать подфильтр для индивидуального фильтра какого-либо сетевого узла
отображенного в окне Защищенная сеть. Этот фильтр работает на уровне протокола
TDS (data-transfer-protocol of MS SQL).
Фильтры “первого уровня” включают фильтры категорий 1,2,3,4; “второго уровня” – категории 5
и 6.
8.2.3
Структура фильтров
Отображение фильтров в окне Монитора представлено в форме дерева (Рисунок 70).
Уровень 1
Уровень 2
Уровень 1
Уровень 2
Рисунок 70
Фильтры второго уровня могут быть выключены (символ ) (не путать с удалением фильтра).
Общее правило следующее: Если фильтр отмечен галочкой
- это означает "пропустить"
соответствующий трафик, если нет – то "блокировать".
Если фильтр первого уровня не имеет фильтров второго уровня и отмечен галочкой, это
означает, что он пропускает трафик без ограничений, если галочка отсутствует
– это означает, что
фильтр блокирует трафик.
Если же фильтр первого уровня отмечен галочкой и содержит фильтры второго уровня
(фильтры протоколов), то он будет пропускать пакеты, удовлетворяющие его правилам, за
исключением пакетов, описанных фильтрами второго уровня (Рисунок 71).
Рисунок 71
Если фильтр первого уровня не отмечен галочкой, то все пакеты будут блокированы, за
исключением пакетов, определенных фильтрами второго уровня (Рисунок 72).
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 91
Рисунок 72
Вы можете легко переключать режимы фильтрации, щелкнув мышью на символе
или
символе
перед фильтром первого уровня. При этом автоматически инвертируется и
установленный тип фильтров второго уровня (фильтров протоколов).
Фильтры протоколов, подчиненные одному и тому же фильтру первого уровня, всегда имеют
один тип: либо пропускающий, либо блокирующий (всегда противоположный типу соответствующего
фильтра первого уровня).
8.2.4
Создание фильтра
Пользователь может создать следующие фильтры:
· Фильтры первого и второго уровня для окна Открытая сеть.
· Только фильтры второго уровня для индивидуальных фильтров узлов ViPNet,
главного фильтра <IP-пакеты всех адресатов> и фильтра широковещательных пакетов в
окне Защищенная сеть, а также для главного фильтра Все незарегистрированные IPадреса, фильтра Широковещательные IP-пакеты в окне Открытая сеть.
Для создания фильтра первого уровня в окне Открытая сеть откройте контекстное меню (по
правой кнопке мыши) на корневом имени Открытая сеть, и выберите Правила доступа à
Добавить правило… (Рисунок 73).
Рисунок 73
Появится окно Правило доступа (Рисунок 74), теперь Вы можете добавить IP-адрес или
диапазон IP-адресов для фильтра, нажав кнопку Добавить… и в появившемся меню вручную ввести
IP-адрес или диапазон адресов, после чего нажать кнопку OK. Далее Вам необходимо выбрать,
разрешить работу с этим(и) IP-адресом(ами) или блокировать. Для этого установите
переключатель в соответствующее положение. Вы можете дать название созданному правилу в
строке Псевдоним. Для сохранения нажмите кнопку OK.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 92
Рисунок 74
Аналогичным образом Вы можете создать фильтр (добавить новое правило фильтрации) по
сетевому имени или URL, воспользовавшись тем же пунктом контекстного меню Правила доступа
à Добавить правило… (Рисунок 73). Появится окно Правило доступа (Рисунок 75). В строке Имя
компьютера наберите URL (например, имя web-сайта, ftp) или сетевое имя компьютера, и нажмите
кнопку OK или клавишу ENTER. Откроется окно поиска, и произведётся поиск IP-адресов. Если
адреса определятся, то они появятся в окне IP-адрес. Далее Вам необходимо выбрать, разрешить
работу с этим(и) IP-адресом(ами) или блокировать. Для этого установите переключатель в
соответствующее положение. Вы можете дать название созданному правилу в строке Псевдоним.
Для сохранения нажмите кнопку OK.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 93
Рисунок 75
Здесь же (Рисунок 74 и Рисунок 75) Вы можете сразу добавить один или более подфильтров
для только что созданного фильтра. Для этого нажмите кнопку Фильтр протоколов…. Подфильтр
может также быть создан позже. Для этого надо выбрать фильтр первого уровня в окне Открытая
сеть, потом выбрать Добавить фильтр протоколов… из меню Правила доступа (Рисунок 76).
Рисунок 76
В обоих случаях появится окно Фильтр протоколов (Рисунок 77). В нем Вам надо выбрать
протокол и другие необходимые параметры.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 94
Рисунок 77
Используйте эту же процедуру для создания правил фильтрации по протоколам в окне
Защищенная сеть.
Также есть другой удобный способ для создания правил фильтрации трафика для внешних
узлов. Окно Блокированные IP-пакеты содержит список IP-адресов внешних узлов, трафик которых
был блокирован системой защиты (Рисунок 78). Более того, древовидная структура содержит
дополнительную информацию о протоколах и параметрах блокированных пакетов для каждого IPадреса (заблокированного внешнего узла).
IP-адрес, пакеты с
которого (или на
который) были
заблокированы
Параметры
блокированных IPпакетов с данного IPадреса (или на данный
IP-адрес)
Рисунок 78
Часть адресов из списка блокированных пакетов может принадлежать внешним узлам, которым
Вы доверяете и хотели бы включить их в разрешающий список окна Открытая сеть. Чтобы
проделать это в отношении отдельных адресов этого списка, необходимо выбрать в окне
Блокированные IP-пакеты запись с IP-адресом или с параметрами блокированного IP-пакета
(протоколом), и в меню по правой кнопке мыши выбрать пункт Правила доступа -> Добавить
правило… (Рисунок 79).
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 95
Рисунок 79
Далее откроется окно, где можно выбрать тип правила (Рисунок 80).
Рисунок 80
Выбрав Разрешить данный протокол для данного IP-адреса, Вы получите для данного
адреса фильтр и соответствующий подфильтр для протокола в окне Открытая сеть.
Выбрав Разрешить данный протокол для всех IP-адресов, Вы получите подфильтр
протокола, добавленный к главному фильтру <Все незарегистрированные IP-адреса> в окне
Открытая сеть.
Опция Разрешить любые протоколы для данного IP-адреса позволит создать в окне
Открытая сеть фильтр первого уровня, разрешающий пропуск трафика от/к соответствующему
узлу независимо от используемого протокола.
Выбор опции Запретить любые протоколы для данного IP-адреса приведет к созданию в
окне Открытая сеть блокирующего фильтра первого уровня для трафика с соответствующим
внешним узлом.
Это удобный способ (своего рода "обучаемый режим настройки") для отбора узлов в белый
список и нейтрализации "опасных узлов" в черном списке.
Любой фильтр созданный таким образом может обрести имя. Используйте для этого функцию
Определить имя… до того, как Вы согласно вышеописанной процедуре зарегистрируете
соответствующий IP-адрес в качестве фильтра первого уровня (вызов функции производится из
контекстного меню). Тогда, после регистрации фильтра, найденное имя узла будет добавлено к
имени фильтра (Рисунок 81), что поможет Вам ориентироваться в созданных "белом" и "черных"
списках. Вы можете также вручную дать название созданному правилу, открыв для соответствующего
правила окно Правило доступа и указав имя в строке Псевдоним (Рисунок 74). Для сохранения
нажмите кнопку OK.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 96
Рисунок 81
По умолчанию уведомление о блокированных пакетах отключено. Вы можете задать способ
уведомления в окне Блокированные IP-адреса à Настройка (Рисунок 82).
Рисунок 82
9 Использование служб имен DNS и WINS в сети ViPNet
В этой главе рассказано об использовании служб имен DNS и WINS в сети ViPNet:
· В п.9.1, стр.96 рассмотрены различные варианты использования службы DNS и указаны
случаи, когда требуется задание DNS-имен в настройках программы ViPNet Монитор.
· В п.9.2, стр.97 указаны основные правила задания DNS-имен в настройках программы
ViPNet Монитор на СУ.
· В п.9.3, стр.97 описаны правила регистрации IP-адресов узлов на DNS-сервере.
· В п.9.4, стр.98 рассказано о поддержке работы службы WINS технологией ViPNet.
9.1
Использование службы DNS
Технология ViPNet позволяет прозрачно использовать службу DNS различным сетевым
приложениям (например, web-браузер, ftp), функционирующим на защищенных компьютерах, для
получения IP-адресов различных прикладных серверов. Технология ViPNet может использовать
службу DNS для получения IP-адресов сетевых узлов ViPNet.
Для функционирования службы DNS в сети ViPNet на DNS-сервере должны быть
зарегистрированы DNS-имена и соответствующие им IP-адреса прикладных серверов с учетом ряда
правил, указанных в п.9.3, стр. 97.
Поддержка функционирования службы DNS технологией ViPNet обеспечивается автоматически
или при задании необходимых DNS-имен в настройках Монитора сетевых узлов. Рассмотрим
различные варианты использования службы DNS:
1. Прикладной сервер установлен на защищенном компьютере. На защищенном DNS-сервере в
качестве IP-адреса для DNS-имени этого прикладного сервера зарегистрирован реальный или
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 97
виртуальный адрес защищенного компьютера в соответствии с указанными ниже правилами
регистрации IP-адресов на DNS-сервере (см. п.9.3, стр. 97). В этом случае настроек DNS-имен
в модулях ViPNet производить не требуется.
2. Прикладной сервер установлен на СУ, работающем через МЭ (NAT-устройство). На
защищенном DNS-сервере в качестве IP-адреса для DNS-имени этого прикладного сервера
зарегистрирован IP-адрес МЭ (NAT-устройства). В этом случае данное DNS-имя требуется
задать в настройках Монитора тех узлов, которые будут обращаться к прикладному серверу по
DNS-имени. При задании DNS-имен в программе ViPNet Manager, данное DNS-имя требуется
задать в настройках СУ, где установлен прикладной сервер.
3. DNS-имя и соответствующий ему IP-адрес защищенного прикладного сервера
зарегистрированы на публичном (открытом) DNS-сервере. В этом случае данное DNS-имя
требуется задать в настройках Монитора тех узлов, которые будут обращаться к прикладному
серверу по DNS-имени. При задании DNS-имен в программе ViPNet Manager, данное DNS-имя
требуется задать в настройках СУ, где установлен прикладной сервер, а если прикладной
сервер установлен на туннелируемом каким-либо координатором компьютере, то данное DNSимя требуется задать в настройках этого координатора.
Следует учитывать, что публичные DNS-серверы могут быть подвержены различным
сетевым атакам с целью заставить защищенный компьютер, которому разрешена работа с
открытыми ресурсами, обратиться на компьютер атакующего. Если такая атака путем подмены
IP-адреса запрашиваемого сетевого ресурса будет реализована, то атакующий компьютер
может попытаться получить интересующую его информацию с защищенного компьютера.
Для предотвращения такого рода атак, целесообразно в настройках Монитора
сетевых узлов, использующих публичный DNS-сервер, задавать DNS-имена для всех
защищенных прикладных серверов, даже, если они не регистрируются на публичных DNSсерверах. В этом случае, если такая атака и осуществится, то переадресованная информация
будет зашифрована и атакующему компьютеру окажется недоступной.
4. Служба DNS может быть использована, если для некоторого координатора или NATустройства, например DSL-модема, через который работает данный координатор, нет
возможности выделить постоянный IP-адрес. Если этот IP-адрес необходим для доступа к
данному координатору со стороны других координаторов, имеющих непостоянный адрес, или
со стороны АП, для которых данный координатор является сервером IP-адресов, то следует
обеспечить регистрацию такого адреса (для соответствующего DNS-имени) на DNS-сервере
(например, используя службу динамического DNS). Все такие DNS-имена должны быть
обязательно заданы в настройках Монитора указанных выше узлов, с которых необходим
доступ к координатору. При задании DNS-имен в программе ViPNet Manager, все такие DNSимена должны быть обязательно заданы в настройках координатора.
9.2
Основные правила задания DNS-имен в настройках монитора СУ
Задать DNS-имена в настройках Монитора можно в программе Manager (см. п. 6.5.3) или
непосредственно в программе ViPNet Монитор на СУ.
В программе ViPNet Монитор DNS-имена задаются в окне Правило доступа (вкладка IPадреса) для соответствующих сетевых узлов.
В окне Правило доступа для каждого СУ может быть задано несколько DNS-имен для работы
с несколькими прикладными серверами, размещенными на СУ. Для АП порядок следования DNSимен значения не имеет.
DNS-имена туннелируемых координатором компьютеров задаются в окне Правило доступа
для этого координатора общим списком вместе с DNS-именами самого координатора. Однако на
первом месте всегда должно задаваться DNS-имя, для которого на DNS-сервере зарегистрированы
IP-адреса доступа к координатору.
9.3
Правила регистрации IP-адресов узла на DNS-сервере
Перечислим ряд правил, которые нужно учитывать при регистрации DNS-имен и
соответствующих IP-адресов узлов на DNS-сервере:
1. Для обеспечения взаимодействия координатора с другими узлами требуется, чтобы узлы
знали IP-адреса доступа к этому координатору. Поэтому, если в ViPNet Manager заданы адреса
координатора только в виде DNS-имени, то на DNS-сервере, куда будут обращаться узлы,
должны быть зарегистрированы все IP-адреса доступа к координатору. Если какие-то IP-
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 98
адреса доступа к координатору заданы непосредственно в ViPNet Manager, то на DNS-сервере
эти адреса можно не регистрировать.
2. На публичных (открытых) DNS-серверах можно регистрировать только реальные адреса
защищенных компьютеров. Для СУ, работающих через МЭ (NAT-устройство или координатор),
можно опубликовать также IP-адрес этого МЭ.
3. На защищенных DNS-серверах:
· для DNS-имени СУ или туннелируемого компьютера могут быть зарегистрированы
реальные или виртуальные IP-адреса в соответствии с их видимостью с узла,
защищающего DNS-сервер, т.е.:
* если DNS-сервер расположен на каком-либо СУ, то необходимо зарегистрировать
IP-адреса, по которым соответствующий защищенный компьютер доступен с этого
СУ,
* если DNS-сервер расположен на туннелируемом компьютере, то необходимо
зарегистрировать IP-адреса, по которым соответствующий защищенный компьютер
доступен с координатора, осуществляющего туннелирование DNS-сервера.
· Для DNS-имени СУ могут быть также зарегистрирован IP-адрес NAT-устройства или
координатора, через который работает этот СУ.
4. Незащищенному компьютеру при обращении на защищенный DNS-сервер сообщаются только
реальные адреса запрашиваемого узла и адрес МЭ, если он зарегистрирован.
9.4
Поддержка работы службы WINS технологией
регистрации IP-адресов узла на WINS-сервере
ViPNet.
Правила
Технология ViPNet бесконфликтно может поддерживать работу только c защищенным WINSсервером. При этом на WINS-сервере, так же как и на DNS-сервере (см. выше), для соответствующих
NetBios-имен регистрируются реальные или виртуальные IP-адреса защищенных компьютеров в
соответствии с их видимостью с узла, защищающего WINS-сервер. Технология ViPNet поддерживает
автоматическую регистрацию нужного типа адреса на WINS-сервере.
Регистрация IP-адреса МЭ, используемого СУ, на WINS-сервере не допускается и
технологией ViPNet в данной версии программы не поддерживается.
10 Конфигурирование
трафика)
узлов
сети
ViPNet
(маршрутизация
IP-
Дальнейшее конфигурирование узлов сети ViPNet зависит от необходимой функциональности,
а также настроек, заданных в программе ViPNet Manager. Если в Manager (п.6.5) были заданы все
необходимые настройки для требуемой конфигурации (соединение без использования МЭ или с
использованием МЭ), то никаких ручных настроек ПО ViPNet производить не нужно. Вне
зависимости от настроек, заданных в Manager, если работа СУ должна происходить через
установленный на границе сети межсетевой экран со статической трансляцией адресов, то нужно
произвести дополнительные настройки на межсетевом экране (см. п. 10.3).
Если необходимые настройки в ViPNet Manager НЕ заданы или нужно изменить настройки на
другие, то потребуется произвести ручные настройки ПО ViPNet на СУ (читайте далее).
Для того, чтобы правильно произвести настройки, ознакомьтесь с основными принципами
осуществления соединений в сети ViPNet и принципами выбора типа соединения для различных
сетевых узлов сети (см. п.6.5.4.1, стр.32).
Итак, чтобы обеспечить гарантированное соединение с другими сетевыми узлами ViPNet,
ViPNet Координатор и ViPNet Клиент предоставляют пользователю возможность выбора одного из 4-х
типов соединения с ними, который может быть установлен в окне Настройки (Рисунок 68):
1. Непосредственное соединение с другими узлами – опция Использовать внешний
межсетевой экран… должна быть выключена (Рисунок 83).
2. Соединение с другими узлами через локальный Координатор, обеспечивающий NAT для
трафика данного Клиента – опция Использовать внешний межсетевой экран… должна быть
включена, в качестве параметра Тип межсетевого экрана должен быть выбран ViPNetкоординатор (Рисунок 86).
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 99
3. Соединение через межсетевой экран/NAT систему, NAT-правила которой могут быть
модифицированы – в этом случае параметр Тип межсетевого экрана: Со статической
трансляцией адресов (Рисунок 88, Рисунок 89).
4. Соединение через межсетевой экран/NAT систему, NAT-правила которой не могут быть
модифицированы – в этом случае параметр Тип межсетевого экрана: С динамической
трансляцией адресов (Рисунок 90, Рисунок 91). Этот тип соединения, как правило,
рекомендуется при удаленной работе ViPNet Клиента через сеть GPRS/UMTS и хот-споты
WiFi.
Следующий раздел описывает вышеприведенные 4 типа соединений более детально.
10.1 Соединения без использования межсетевого экрана
В этом случае опция Использовать внешний межсетевой экран в окне Настройки для
ViPNet Координатора выключена (Рисунок 83). Для ViPNet Клиента в том же окне Вы можете
дополнительно выбрать доступный Координатор в качестве сервера IP-адресов (поле Сервер IPадресов (Рисунок 84)).
Рисунок 83
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 100
Рисунок 84
Такой тип соединения должен быть выбран на Клиенте, если Клиент имеет хотя бы один IPадрес, который может быть доступен напрямую (например, публичный IP-адрес). Сетевые узлы с
такой настройкой всегда соединяются друг с другом напрямую, используя IP/241 протокол. При этом
шифрованный трафик от таких Клиентов к Координаторам, а также другим Клиентам, которые
работают через Координаторы, всегда инкапсулирован в UDP-пакеты.
Внимание! Сетевой узел с типом соединения (1), работающий внутри локальной сети с
частным адресом и осуществляющий выход в Интернет через межсетевой экран/NAT систему, не
будет способен устанавливать соединения с другими сетевыми узлами ViPNet, расположенными вне
локальной сети с ее частной системой IP-адресов.
Если Координатор использует тип соединения (1) и находится на границе двух сетей, то он
обеспечивает NAT-сервис для всех ViPNet соединений в обоих направлениях. Для всех IP-пакетов,
инкапсулированных в UDP и прошедших Координатор, обеспечивается подстановка IP-адреса
соответствующего сетевого адаптера Координатора.
К тому же, Координатор может выполнять функцию туннелирующего сервера. В этом случае он
шифрует открытый трафик заданной группы компьютеров локальной сети (в общем, любых IPустройств – IP-телефонов, Web-камер и т.п.), пакует его в UDP и отправляет к другим сетевым узлам
ViPNet или другим незащищенным компьютерам (IP-устройствам), работающим через другие
Координаторы (Рисунок 85).
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 101
Рисунок 85
IP-трафик рабочих станций без программного обеспечения ViPNet принимается сетевым
адаптером Координатора и может быть протуннелирован (зашифрован для последующей отправки
какому-либо узлу). В этом случае шифрованные IP-пакеты будут отправлены с IP-адресом этого
адаптера (NAT-функция для туннелируемого трафика).
10.2 Соединения через "ViPNet-Координатор"
Если Координатор используется как шлюз для локальной сети, и, Клиенты этой локальной сети
соединяются через такой Координатор с внешней сетью, то Координатор становится сетевым узлом
(криптошлюзом), пропускающим трафик локально подключенных к нему узлов наружу под
собственным именем.
В этом случае опция Использовать внешний межсетевой экран должна быть включена, и в
качестве параметра Тип межсетевого экрана должен быть установлен ViPNet-координатор
(Рисунок 86, окно Настройки для ViPNet Клиента). По умолчанию, Клиент привязан к тому
Координатору, который был назначен при создании Клиента с помощью ViPNet Manager. Однако, Вы
всегда можете выбрать любой доступный Вам Координатор из предложенного списка в поле ViPNetкоординатор. Например, это очень удобно для мобильных пользователей ViPNet. Перемещаясь из
одного офиса в другой, они могут всегда выбирать ближайший к ним Координатор в локальной сети и
немедленно получать доступ к ресурсам распределенной сети ViPNet с наивысшим качеством.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 102
Рисунок 86
Выбирая на Клиенте различные Координаторы в качестве МЭ, Вам лучше сохранять сервер IPадресов неизменным (хотя он тоже может быть выбран из доступного списка), чтобы быть
уверенным, что список допустимых соединений, полученных Вами от своего сервера IP-адресов
является полным (другой Координатор в качестве сервера IP-адресов может иметь не полный список
разрешенных Вашему Клиенту соединений).
Координатор, даже работающий через другой Координатор, не нуждается в сервисе Сервера
IP-адресов, так как он обменивается информацией со всеми доступными Координаторами. Поэтому,
в Настройках он не имеет окна-меню для назначения доступного сервера (Рисунок 87).
Настраивая Координатор, работающий через другой Координатор, Вы также должны в поле
Сетевой адаптер, со стороны которого установлен межсетевой экран правильно выбрать
соответствующий сетевой адаптер Координатора, направленный на этот другой координатор.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 103
Рисунок 87
Возможность опционального выбора различных Координаторов обеспечивает своего рода
резервирование криптошлюзов в сети, если один из Координаторов недоступен, то можно выбрать
другой, доступный из списка, и продолжить работу.
Если Клиент настроен для работы в сети ViPNet через Координатор, то шифрованный трафик
этого Клиента к/от узлам(ов), недоступных ему напрямую по их адресу, будет перенаправлен к ним
(от них) Координатором. В этом случае Координатор играет роль маршрутизатора с NAT-функцией
для шифрованных пакетов (IP- и MAC-адреса Клиента транслируются).
Автоматическая маршрутизация шифрованных пакетов Клиента на Координатор
осуществляется без изменения сетевых настроек ОС для TCP/IP. Настройка шлюза по умолчанию
(“default gateway” из настроек “Internet Protocol (TCP/IP) Properties”) для TCP/IP трафика остается той
же, что и до установки ViPNet. В результате, маршрутизация нешифрованных пакетов остается
неизменной, и работа в сети может быть продолжена сразу после установки ViPNet, который создает
новые маршруты только для шифрованного IP-трафика.
В больших сетях, разделенных маршрутизаторами и коммутаторами на несколько сегментов, в
которых политика безопасности реализуется с помощью контроля множества IP-адресов и
протоколов, благодаря технологии ViPNet (используя Координатор), можно уменьшить количество
контролируемых параметров. Администратору достаточно только сделать установки для UDP,
локальных туннелируемых адресов сегмента и перенаправления (redirect) шифрованного UDPтрафика на локальный адрес Координатора (Рисунок 27).
Если необходимо защитить трафик отдельного сегмента сети, то на границу этого сегмента
может быть поставлен второй Координатор (Рисунок 19). При этом первый Координатор (ближайший
к выходу в Интернет) для второго Координатора должен быть выбран в поле Тип межсетевого
экрана окна Настройки в качестве ViPNet Координатора (настройки аналогичны, см. Рисунок 87).
В результате такого каскадирования Координаторов будет реализована автоматическая
маршрутизация шифрованного трафика из внутреннего сегмента в локальный сегмент и далее в
глобальную сеть.
10.3 Шифрованные соединения через МЭ, внешний IP-адрес которого известен
и не меняется в процессе работы (тип МЭ " Со статической трансляцией
адресов ")
Если Межсетевой экран с функцией NAT защищает границу локальной сети (а это наиболее
часто встречающаяся ситуация), то любое соединение с внешней сетью (Интернетом)
осуществляется через этот экран.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 104
Сетевые узлы ViPNet также могут работать через такое устройство. Если устройство
разрешает менять статические правила NAT, то опция Тип межсетевого экрана должна иметь
значение Со статической трансляцией адресов (Рисунок 88; соответствующие настройки окна
Настройки для Клиента показаны на рисунке). Настраивая Координатор, Вы также должны выбрать
в поле Сетевой адаптер, со стороны которого установлен межсетевой экран
соответствующий сетевой адаптер Координатора, который размещен со стороны межсетевого
экрана/NAT-устройства, установленного на границе локальной сети (Рисунок 89).
Поле Порт доступа UDP (по умолчанию 55777) имеет смысл изменять, только если внутри
Вашей сети через один МЭ/NAT-устройство работает напрямую несколько узлов с ПО ViPNet. В этом
случае у всех таких узлов номера портов должны быть разные (см. ниже).
Опция Зафиксировать внешний IP-адрес доступа через межсетевой экран по умолчанию
выключена. Включать эту опцию рекомендуется только в очень редких специальных случаях при
наличии у МЭ нескольких адресов и при необходимости специальной маршрутизации, когда
требуется направлять входящие пакеты через определенный адрес независимо от адреса МЭ, с
которого ушел пакет. При включении этой опции внешние узлы будут направлять пакеты для
настраиваемого узла только по адресу, который Вы укажете в поле IP-адрес доступа, независимо от
адреса, подставленного на МЭ.
Рисунок 88
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 105
Рисунок 89
Если Вам нужно разместить в сети несколько ViPNet Клиентов (Рисунок 23), то возможно
использовать Координатор с одним или более сетевыми адаптерами. Одному из адаптеров для
работы через межсетевой экран/NAT должен быть установлен Тип межсетевого экрана: Со
статической трансляцией адресов. Этот же межсетевой экран должен быть выбран в качестве
шлюза по умолчанию для ОС, на которой установлен Координатор. После установки Клиентов
(предполагается, что на момент их создания с помощью ViPNet Manager они были "привязаны" к
рассматриваемому Координатору и заданы адреса этого координатора), для них в окне Настройки в
поле Тип межсетевого экрана будет автоматически подставлено значение ViPNet-Координатор.
В этом случае все клиентские шифрованные пакеты будут маршрутизироваться через Координатор
(Рисунок 23).
На Клиенте настройки работы через МЭ Со статической трансляцией адресов требуется
производить, если в локальной сети нет ViPNet-координатора или клиенты не имеют возможности
работать через ViPNet-координатор. Если есть ViPNet-координатор, установленный во внутренней
сети, то на АП следует настроить работу через этот ViPNet-координатор (т.е. в поле Тип
межсетевого экрана следует выбрать ViPNet-координатор (п.10.2)), а настройки через МЭ (Со
статической трансляцией адресов) произвести на координаторе. Если Клиенты в локальной сети
не имеют возможности работать через Координатор (Рисунок 30), то Вы должны изменить в окне
Настройки на Клиентах значение поля Тип межсетевого экрана на значение Со статической
трансляцией адресов и при необходимости настройте остальные параметры окна (см. выше).
Используемый межсетевой экран или NAT-устройство должно быть назначено в качестве шлюза по
умолчанию для ОС рабочих станций, где установлены Клиенты.
Внимание! Каждый Клиент в этом случае должен иметь свой индивидуальный UDP-порт для
обмена зашифрованным трафиком, отличный от других Клиентов (см. Рисунок 88). Это требуется для
того, чтобы исключить конфликты в случае использования одного и того же порта, по умолчанию
55777.
Также Вы должны настроить следующие статические правила на межсетевом экране/NATустройстве, чтобы корректно перенаправлять шифрованные пакеты:
· Для схемы с Координатором (Рисунок 23):
* Пропускать исходящие UDP-пакеты с адресом и портом, используемыми
Координатором (по умолчанию порт 55777, однако он может быть изменен);
* Перенаправлять входящие UDP-пакеты на адрес Координатора.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 106
· Для схемы без Координатора (Рисунок 30):
* Пропускать исходящие UDP-пакеты с адресами и портами каждого Клиентаотправителя;
* Перенаправлять входящие UDP-пакеты на локальные адреса Клиентов, выбирая
того или иного Клиента согласно указанному в пакете номеру UDP-порта.
10.4 Шифрованные соединения через МЭ, где внешний IP-адрес и порт доступа
заранее не известны и (или) могут меняться в процессе работы (тип МЭ "С
динамической трансляцией адресов")
Это соединение практически универсально и может быть использовано в большинстве
случаев. Основное предназначение этого типа соединения – обеспечить VPN соединение для
Клиентов, работающих через устройство с динамическим NAT или межсетевой экран, таблица
маршрутизации которого не может быть модифицирована (в том числе и просто из-за отсутствия
полномочий у пользователя).
Технология работы при использовании соединения через МЭ С динамической трансляцией
адресов описана в п.6.5.4.2.2, стр.38. Обязательно прочитайте этот раздел для того чтобы правильно
произвести настройки.
Для настройки такого соединения в поле Тип межсетевого экрана для Клиента
(работающего через NAT-устройство) должно быть выбрано значение С динамической
трансляцией адресов (Рисунок 90).
Рисунок 90
Также необходимо, чтобы где-то во внешней сети существовал Координатор (координатор
входящих соединений), к которому возможен постоянный доступ со стороны Клиента. Этот
координатор может быть доступен напрямую или через межсетевой экран со статической
трансляцией адресов. Этот Координатор должен быть выбран в качестве сервера IP-адресов для
такого Клиента.
Для установки ViPNet Координатора в режим работы через устройство с динамической
трансляцией адресов нужно в окне Настройки в поле ViPNet-Координатор для организации
входящих соединений выбрать другой Координатор, который может быть постоянно доступен
(Рисунок 91). Также, Вы должны в поле настроек Сетевой адаптер, со стороны которого
установлен межсетевой экран выбрать сетевой адаптер Координатора направленный в "сторону"
NAT-устройства, через который работает настраиваемый Вами Координатор.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 107
Рисунок 91
Сетевой узел (Клиент или Координатор) периодически отправляет UDP-пакеты
соответствующему Координатору входящих соединений (серверу IP-адресов), чтобы поддерживать
динамическое правило "живым". По умолчанию период отправки – 25 секунд (Рисунок 91).
Период отправки служебных пакетов на координатор входящих соединений (опция Период
опроса сервера IP-адресов\ViPNet-координатора для обеспечения пропуска входящего
трафика через межсетевой экран) может быть настроен индивидуально, однако установленный
по умолчанию период в 25 сек. вполне достаточен для работы с большинством NAT-устройств с
динамическими правилами.
Окно Настройки содержит опцию Любой трафик с внешними узлами направлять через
сервер IP-адресов\ViPNet-Координатор, которая по умолчанию выключена. Если ее включить, то
весь входящий и исходящий трафик будет маршрутизирован через координатор входящих
соединений (сервер IP-адресов), что может привести к существенному снижению скорости обмена
данными. Поэтому, использовать эту опцию рекомендуется только в отдельных случаях, описанных в
пункте 10.5.
Если Вы хотите, чтобы несколько Клиентов работало через NAT-устройство, то желательно
использовать для этого Координатор с одним и более сетевым адаптером для концентрации
шифрованного трафика этих Клиентов. В этом случае следующие настройки должны быть в первую
очередь применены к Координатору:
· для одного из сетевых адаптеров Координатора в поле его настроек Тип межсетевого
экрана необходимо выбрать С динамической трансляцией адресов;
· другой Координатор сети ViPNet, доступ к которому возможен по публичному адресу
(напрямую или через межсетевой экран, обеспечивающий перенаправление пакетов
пришедших на этот публичный адрес), должен быть установлен в настройках этого
Координатора в качестве ViPNet-Координатора для организации входящих
соединений (Рисунок 91);
· в качестве адреса шлюза по умолчанию в "Сетевых свойствах" ОС, на которой
установлен Координатор, должен быть установлен адрес NAT-устройства.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 108
После установки Клиентов (предполагается, что при создании с помощью ViPNet Manager они
были "привязаны" к рассматриваемому Координатору и заданы адреса этого координатора) в поле
Тип межсетевого экрана окна Настройки этих Клиентов будет автоматически установлено
значение ViPNet-координатор. В таком случае, все клиентские IP-пакеты будут направлены к/от
NAT-устройству через Координатор от имени адреса сетевого адаптера Координатора.
Если Клиенты в локальной сети не имеют возможности работать через Координатор, то нужно
изменить в окне Настройки на Клиентах значение поля Тип межсетевого экрана на значение С
динамической трансляцией адресов и при необходимости настройте остальные параметры окна
(см. выше, Рисунок 90). Используемое NAT-устройство должно быть назначено в качестве шлюза по
умолчанию для ОС компьютеров, где установлены Клиенты.
При работе с некоторыми модемами DSL, если не проходит передача длинных пакетов, можно
уменьшить значение MSS в окне дополнительных настроек Монитора (окно Настройки ->
Дополнительно, опция Уменьшить значение MSS на:)
10.5 Специальные ситуации использования различных типов соединений
В некоторых случаях необходимо выбрать тип соединения, не соответствующий
рекомендациям предыдущих разделов.
Если Клиент доступен по публичному адресу и в поле Тип межсетевого экрана у него
выбрано значение Со статической трансляцией адресов, это приводит к тому, что все остальные
сетевые узлы (включая сервер IP-адресов для этого Клиента) начинают видеть этого Клиента "как бы"
работающим через межсетевой экран (то есть адрес Клиента для внешних узлов превратится в адрес
несуществующего межсетевого экрана). В этом случае вообще все соединения Клиента с другими
узлами будут осуществляться только по UDP-протоколу, включая и локальные соединения, которые
ранее использовали IP/241. В результате этот Клиент будет дополнительно доступен во всех случаях
по так называемому "виртуальному адресу". Это может быть очень удобно для сегментирования сети
и организации разграничения доступа к информации по IP-адресу. К такому же результату
(возможности использовать виртуальные адреса) приводит выбор в поле Тип межсетевого экрана
значения С динамической трансляцией адресов, однако это порождает дополнительный трафик
через сервер IP-адресов, так что для целей перехода на виртуальные адреса первый вариант более
удобен.
Как мы уже отмечали, когда сетевой узел находится в одном сегменте сети с Координатором на
границе этого сегмента, то целесообразно устанавливать этот сетевой узел в режим работы через
этот ViPNet-координатор (установив в поле Тип межсетевого экрана значение ViPNetкоординатор). Вместе с тем сетевые узлы будут работоспособны, если выбрать и другое значение
поля Тип межсетевого экрана. А именно, выбор значения С динамической трансляцией
адресов или Со статической трансляцией адресов приведет к маршрутизации шифрованного
трафика через другой Координатор (Вы также должны будете установить IP-адрес этого
координатора как шлюз по умолчанию в сетевых свойствах ОС Windows на клиентских компьютерах).
Это позволит опытному администратору создавать различные правила маршрутизации.
Если удаленные пользователи (например, пользователи, работающие из дома), работающие
через всевозможные NAT-устройства (на которых нельзя изменять таблицы маршрутизации), выбрав
в поле Тип межсетевого экрана значение С динамической трансляцией адресов дополнительно
включат опцию Любой трафик с внешними узлами направлять через сервер IP-адресов, то они
получат более стабильные коммуникации с ресурсами в сети ViPNet, хотя при этом возможно
некоторое замедление за счет концентрации трафика обмена на сервере IP-адресов.
10.6 Виртуальные IP-адреса
Каждый сетевой узел ViPNet автоматически генерирует один или более (в зависимости от
количества сетевых адаптеров) виртуальный IP-адрес для каждого другого сетевого узла ViPNet,
имеющего с ним связь. Эти виртуальные адреса не зависят от реальных адресов и определяются
уникальными идентификаторами сетевых узлов.
Каждый сетевой узел имеет свой собственный список виртуальных адресов. Все стандартные
сетевые приложения могут использовать эти виртуальные адреса. ViPNet драйвер подменяет адреса
в момент отправки и получения IP-пакетов (включая протоколы для таких сервисов как DNS, WINS,
NetBIOS и т.п.)
Сетевой узел использует виртуальные адреса для организации взаимодействия с сетевыми
узлами, работающими через NAT-устройства (включая Координатор) и использующими частные IPадреса. Сетевой узел автоматически переходит на использование реальных адресов другого узла,
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 109
если другой узел меняет точку подключения к сети и получает публичный адрес (такое часто
происходит с мобильными пользователями).
Эта технология необходима, когда участвующие в соединении сетевые узлы из разных
подсетей имеют одинаковые частные IP-адреса. Такая ситуация случается все чаще и чаще, так как
все больше устройств (wireless, xDSL и пр.) вынуждают использовать в локальных системах
"стандартные" частные адреса типа 192.168.*.*. Виртуальные адреса позволяют эффективно решать
эту проблему.
Также виртуальные адреса можно использовать, если Вы хотите создать правила доступа к
ресурсу на основе виртуальных адресов. Для чего это нужно? Известно, что одной из сетевых угроз
является подделка IP-адреса, если этот адрес используется для идентификации. Однако в сети
ViPNet это невозможно. В момент приема пакета из сети, ViPNet драйвер передает его приложению
после замещения его оригинального адреса соответствующим виртуальным. Такая операция
происходит только в случае успешного расшифрования пакета на ключах отправителя, то есть после
проверки идентичности отправителя пакета. Это обеспечивает защиту от подмены адреса
отправителя и делает надежными правила доступа на основе виртуальных адресов.
Начальный адрес для генератора виртуальных адресов может быть изменен в окне
Настройки à Дополнительно. По умолчанию это адрес 11.0.0.1 (Маска сети: 255.0.0.0).
Для туннелируемых адресов начальным виртуальным адресом по умолчанию является
(12.0.0.1), либо на 1 больше значения первой триады начального адреса для генератора виртуальных
адресов.
11 Использование ViPNet Координатор в качестве туннелирующего
сервера
Если нет необходимости шифрования трафика в пределах локальной сети или невозможно
установить Клиент на каком-либо сетевом устройстве, то можно настроить Координатор для
туннелирования (шифрования) трафика между локальными сетями5. Вы можете связать между собой
в защищенную сеть до пяти локальных сетей (количество сетей и количество Клиентов зависит от
количества Координаторов/Клиентов согласно имеющейся у Вас лицензии6) (см. пункт 3).
Перед настройкой туннелей, в том случае если соответствующие настройки не были
произведены в программе ViPNet Manager (см.п. 6.5.4), Вам необходимо согласно рекомендациям
Главы 10 корректно настроить типы соединений для Координаторов, которые будут далее
использованы для туннелирования трафика.
Также должны быть настроены интегрированные в Координатор сетевые экраны (для каждого
сетевого адаптера), так как по умолчанию Координатор будет блокировать все пакеты идущие от
туннелируемых адресов (см. главу 8). Т.е. для каждого сетевого адаптера должны быть выбраны
необходимые режимы безопасности и при необходимости настроены разрешающие фильтры
открытой сети для туннелируемых адресов на сетевом адаптере, который находится в подсети
туннелируемых адресов.
Если сетевой адаптер координатора (осуществляющий туннелирование компьютеров), шлюз по
умолчанию (настроенный в сетевых настройках ОС координатора) и сами туннелируемые
компьютеры находятся в одной подсети, то на координаторе (для сетевого адаптера,
осуществляющего туннелирование) необходимо обеспечить блокировку открытых исходящих ICMPсообщений (с типом сообщения 5 и кодом сообщения 1)7. По умолчанию, такую блокировку
осуществляет интерфейсный фильтр координатора в окне Открытая сеть, поскольку этот фильтр
запрещает прохождение всех открытых IP-пакетов от (для) сетевого адаптера координатора. Поэтому
специальную настройку соответствующего запрещающего фильтра протоколов следует производить
для интерфейсного фильтра только в случае, если действие интерфейсного фильтра было изменено
на разрешение прохождения пакетов.
Следующие три шага должны быть выполнены для того, чтобы туннели были настроены.
Сетевые установки для туннелируемых узлов
В качестве адреса шлюза по умолчанию для этих узлов должен быть назначен локальный IPадрес того сетевого адаптера Координатора, который находится в подсети туннелируемых узлов.
5
Пакет ViPNet TUNNEL содержит только Координаторы и наиболее удобен для указанной цели.
Пакет ViPNet CUSTOM предлагает неограниченное количество Координаторов для создания туннелей согласно
Вашим требованиям.
7
т.е. запретить ICMP Redirect
6
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 110
Установки на Координаторах
Замечание: Если настройки IP-адресов туннелируемых соединений для всех координаторов
были заданы в программе ViPNet Manager (см. п. 6.5.5), то настройки IP-адресов, указанные ниже в
этом разделе, выполнять не нужно.
Нажмите кнопку IP-адреса для туннелирования в окне Настройки, чтобы настроить
туннелируемые соединения (Рисунок 92).
Рисунок 92
Появится окно IP-адреса для туннелирования, где Вы можете ввести диапазон или
отдельные адреса узлов локальной сети, трафик которых должен быть туннелирован Координатором
(Рисунок 93).
Рисунок 93
Новые адреса могут быть добавлены нажатием кнопки Добавить… Используйте кнопку
Изменить…, чтобы изменить существующие адреса. Нажмите OK для сохранения и завершения
настроек (Рисунок 93).
Внимание! Количество введенных адресов может превысить лицензию, однако туннельные
соединения будут доступны только для лицензированного количества узлов, остальные узлы по мере
их активации будут блокированы. Поэтому, введите разрешенное количество туннельных адресов,
чтобы избежать подобных проблем.
Далее нажмите кнопку Применить в общем окне Настройки (Рисунок 92) для сохранения
изменений настроек координатора.
Для координаторов других сетей, которые осуществляют туннелирование, необходимо также
задать туннелируемые IP-адреса в записи соответствующего координатора.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 111
Выберите в окне Защищенная сеть другой Координатор и дважды щелкните кнопкой мыши на
нем. Появится окно Правило доступа (Рисунок 94) (это окно также можно вызвать из контекстного
меню на имени Координатора, где нужно выбрать пункт меню Правила доступа -> Открыть…).
Выберите в окне вкладку Туннель, включите опцию Использовать IP-адреса для
туннелирования, нажмите Добавить… и введите соответствующие IP-адреса рабочих станций,
которые будут туннелироваться этим Координатором.
Включите опцию Использовать виртуальные IP-адреса в случае возможного конфликта IPадресов подсетей. Повторите эту процедуру для всех Координаторов из Защищенной сети,
которые предполагается использовать для туннелирования.
Вышеописанная процедура должна быть выполнена на всех Координаторах сети ViPNet,
которые осуществляют туннелирование.
Установки на Клиенте
Замечание: Если настройки IP-адресов туннелируемых соединений для всех координаторов
были заданы в программе ViPNet Manager (см. п. 6.5.5), то настройки IP-адресов для Клиентов,
указанные ниже в этом разделе, выполнять не нужно.
Следующие установки должны быть совершены в отношении Клиента, которому необходимо
иметь соединение с туннелируемыми узлами.
Дважды щелкните на имени Координатора, который будет обеспечивать туннельное
соединение с незащищенным узлом. Появится окно Правило доступа (Рисунок 94). Выберите
вкладку Туннель и убедитесь, что опция Использовать IP-адреса для туннелирования включена.
Нажмите Добавить… и введите IP-адреса, которые должны туннелироваться.
Включите опцию Использовать виртуальные IP-адреса в случае конфликта адресов
подсетей. Для сетевых приложений, запущенных на локальных туннелируемых рабочих станциях,
используйте в этом случае виртуальные адреса удаленных сетей.
В окне Правило доступа Вы можете видеть соответствие между виртуальными и реальными
адресами (Рисунок 94). Для работы с приложениями Вы всегда должны использовать адреса
выделенные жирным шрифтом (включение опции Использовать виртуальные IP-адреса
приведет к тому, что виртуальные адреса будут выделены жирным шрифтом).
Вы можете настроить DNS-сервер (см. п. 9), который обеспечит трансляцию виртуальных
адресов в имена, чтобы было проще конфигурировать туннелируемые устройства.
Если Клиент время от времени используется в удаленном режиме, и ему необходимо
удаленное соединение с туннелируемыми рабочими станциями в его "родной" локальной сети, то эти
локальные адреса должны быть добавлены в список туннелируемых по процедуре, указанной ранее.
В этом случае Вы должны оставить опцию Не использовать Координатор для туннелирования
локальных IP-адресов включенной. Иначе, соединение между Клиентом и туннелируемыми узлами
будет невозможно, если и те и другие в данный момент находятся в локальной сети.
Также, если по отдельным адресам, заданным в списке для туннелирования, не требуется
производить туннелирование (шифрование информации), то Вы можете настроить эти адреса в
разделе Исключения:, предварительно включив опцию Не использовать координатор для
туннелирования следующих IP-адресов.
После того как Вы сделали все настройки для удаленного Координатора нажмите Применить в
окне Правило доступа и далее OK.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 112
Рисунок 94
Настройки, указанные в этой главе, необходимо повторить для каждого Координатора каждой
локальной сети, к туннелируемым компьютерам которых у Клиента должен быть доступ.
При необходимости, для туннелируемых координатором компьютеров можно задать DNSимена. DNS-имена задаются в окне Правило доступа (вкладка IP-адреса) для этого координатора
общим списком вместе с DNS-именами самого координатора. Однако на первом месте всегда должно
задаваться DNS-имя, для которого на DNS-сервере зарегистрированы IP-адреса доступа к
координатору.
О наиболее типовых схемах использования продукта ViPNet OFFICE можно прочесть в
приложении к данному документу, Схемы использования ViPNet.
12 Запуск и настройка ViPNet Клиент
К этому моменту настройка Координаторов должна быть уже завершена, чтобы обеспечить
соединения между Клиентами, находящимися в различных сетях. Для функционирования VPN не
обязательно, чтобы все Клиенты, зарегистрированные в ViPNet Manager, были установлены.
Внимание! Перед запуском ViPNet Клиент убедитесь, что все другие МЭ удалены с
компьютера. После удаления перезагрузите компьютер. Убедитесь, что на компьютере с ОС Windows
XP, куда Вы собираетесь устанавливать ViPNet Клиент, выключен встроенный сетевой экран. ОС
Windows предлагает использовать "ICF" (Internet Connection Firewall) каждый раз, когда Вы создаете
дополнительное “dial-up”, LAN или “high-speed” соединение. Пожалуйста, откажитесь от этого
предложения или деактивируйте ICF после создания дополнительного соединения. Использование
ViPNet Клиент одновременно с другими МЭ может привести к конфликтам между программами и
вызвать проблемы с доступом в сеть.
При старте ПО ViPNet Клиент появится окно для ввода пароля. Введите пароль и нажмите OK.
Если после этого Вы должны сделать дополнительный log-on для входа в домен или для
подключения к какому-либо серверу сети, то у Вас могут быть проблемы с успешным подключением,
если Координатор или Клиент не установлены на домен-контроллере. Все попытки соединения с
другими узлами, не оснащенными ViPNet, будут блокироваться интегрированным сетевым экраном,
входящим в состав только что установленного Клиента. Чтобы исключить проблемы блокирования
соединений с другими узлами сети Вам необходимо либо также установить на эти узлы программу
ViPNet, либо соответствующим образом настроить интегрированный сетевой экран для пропуска
соответствующего трафика этих узлов (см. главу 8).
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 113
После успешного входа в систему программа ViPNet Клиент [Монитор] автоматически стартует.
Откроется окно ViPNet Клиент [Монитор] и появится значок
задач.
в области уведомлений на панели
12.1 Открытие и закрытие окна ViPNet Клиент [Монитор]
После установки ViPNet Клиент и перезапуска ОС пользователю будет доступна программа
ViPNet Клиент [Монитор] – для администрирования и настройки Клиента (далее просто Монитор).
Открытие и закрытие Монитора описано в пунктах 7.1.1 и 7.1.2.
12.2 Настройка ViPNet Клиент
Клиенты, размещенные в одном сегменте сети с прямым доступом друг к другу по IP-адресу,
соединение между которыми было разрешено в программе ViPNet Manager, могут устанавливать
шифрованное соединение без каких-либо дополнительных настроек. Для организации соединений с
удаленными Клиентами или сетевыми узлами, находящимися в других сетях Вам необходимо
сделать ряд клиентских настроек.
Все дальнейшие действия по настройке ViPNet Клиент [Монитор] после его загрузки будут
зависеть от настроек, заданных в программе ViPNet Manager. Если в Manager (п.6.5) были заданы все
необходимые настройки для клиента, то никаких ручных настроек ПО ViPNet Клиент производить не
нужно. Если необходимые настройки в ViPNet Manager НЕ заданы, то потребуется произвести ручные
настройки ПО ViPNet Клиент.
О наиболее типовых схемах использования продукта ViPNet OFFICE можно прочесть в
приложении к данному документу, Схемы использования ViPNet.
Рекомендация:
Для упрощения начального развертывания Клиентов в сети мы рекомендуем в начале
устанавливать на клиентах 4-й режим безопасности.
После того как все необходимые VPN соединения будут организованы, Вы сможете приступить
к настройке клиентских персональных сетевых экранов согласно рекомендациям Главы 8.
В первую очередь Клиент должен знать IP-адрес своего Координатора. Это может быть
постоянный адрес самого Координатора или адрес межсетевого экрана/NAT-устройства,
обеспечивающего перенаправление трафика от Клиента на Координатор. Более детально
информация дана в Главе 10.
Замечание: Если настройки IP-адреса или DNS-имени своего Координатора были заданы в
программе ViPNet Manager (см. п. 6.5.1 или п.6.5.3), то настройку IP-адреса или DNS-имени,
указанную ниже, выполнять не нужно.
О том, в каких случаях следует задавать DNS-имена, а также о правилах задания, Вы можете
прочитать в п. 9.
Выберите Координатор Вашего Клиента в окне Защищенная сеть и дважды щелкните на его
имени, чтобы открыть окно Правило доступа (Рисунок 95). Выберите вкладку IP-адреса и нажмите
Добавить… После этого введите IP-адрес Координатора, нажмите OK два раза подряд для
сохранения настроек.
Для добавления DNS-имени, в этой же вкладке (Рисунок 95) включите опцию Использовать
DNS-имя, нажмите кнопку Добавить…, введите DNS-имена с в появившемся окне и дважды нажмите
ОК.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 114
Рисунок 95
После этого Вам надо выбрать тип соединения между Клиентом и выбранным Координатором.
Откройте главное окно Монитора Клиента (см. п. 7.1.1) и выберите там окно Настройки (Рисунок 96).
В поле Сервер IP-адресов Вы увидите Координатор, выбранный в качестве сервера IP-адресов для
Вашего Клиента еще на этапе создания сети в ViPNet Manager, а также, если в ViPNet Manager были
произведены настройки МЭ, то по умолчанию опция Использовать межсетевой экран будет
включена и в качестве МЭ указан назначенный в ViPNet Manager МЭ. В зависимости от способа
физического подключения к сети Вам, возможно, понадобится изменить настройки опции
Использовать межсетевой экран и параметров работы через межсетевой экран. Детальная
информация о том, какой тип соединения должен быть выбран, приведена в главе 10.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 115
Рисунок 96
После того, как Вы сделали необходимые настройки в окне Настройки, вернитесь обратно в
окно Защищенная сеть и выберите там Ваш Координатор из списка доступных сетевых узлов.
Нажав правую кнопку мыши, Вы увидите контекстное меню. Выберите Проверить соединение из
этого меню, нажмите клавишу F5 или кнопку
на панели задач. Если после этого Вы не получили
сообщения об успешном соединении с Координатором, то еще раз проверьте правильность настроек
в окне Настройки.
13 Обновление справочно-ключевой информации
При различных изменениях в сети ViPNet (добавление, удаление СУ и т.д.) может изменяться
справочно-ключевая информация (ключевые дискеты, ключевые наборы, справочники) для СУ. В
этом случае администратор ViPNet Manager пришлет обновления на СУ. По умолчанию обновление
произойдет в автоматическом режиме, если не активны сеансы передачи сообщений или
конференция. Процесс обновления можно настроить (будет ли программа при приходе обновления
предупреждать об этом или обновится автоматически). Более подробно об этом читайте в
документации ViPNet Клиент и ViPNet Координатор.
Если по каким-либо причинам централизованное удаленное обновление справочно-ключевой
информации из ViPNet Manager не может произойти, то существует возможность произвести
обновление с нового файла с набором ключей (dst-файла), который должен передать администратор
ViPNet Manager. Об этом читайте в п.13.1, стр.115.
13.1 Обновление справочно-ключевой информации при помощи файла *.dst
Для обновления ключевой и справочной информации при помощи файла с набором ключей
(dst-файла), dst-файл необходимо запустить. Сразу после запуска файла программа сообщит Вам
(Рисунок 97):
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 116
Рисунок 97
Далее Вы можете продолжить установку, выбрав кнопку Продолжить, или отказаться от
установки, выбрав кнопку Отмена. Если Вы решили продолжить установку, и, если ПО ViPNet в
данный момент загружено на Вашем компьютере, то после нажатия на кнопку Продолжить, появится
сообщение программы о том, что для продолжения установки необходимо завершить работу ПО.
После выгрузки ПО ViPNet установка будет продолжена. Появится окно для указания
местонахождения dst-файла (Рисунок 98).
Рисунок 98
Укажите dst-файл и нажмите кнопку Продолжить. Если не было никаких ошибок, то появится
сообщение об успешной установке ключей. Если произошли какие-то ошибки, то программа сообщит
Вам о них, и ключи не будут установлены. Для более детального разъяснения Вам следует
обратиться за помощью к администратору сети ViPNet.
После успешной установки ключей можно запустить ПО ViPNet.
13.1.1 Сохранение и возврат предыдущей копии ключевой информации
При обновлении ключей СУ всегда выполняется резервное копирование существующей
ключевой информации СУ заменяемого ключевого набора в подкаталог CCC\backup каталога
установки ПО ViPNet. При необходимости можно всегда возвратить предыдущую ключевую
информацию из резервной копии.
Резервная копия представляет собой ключевую и справочную информацию. Она помещается в
подкаталог .\ССС\backup\[<год, например, 2004>,<число, например, 15 сентября>,<время –
ЧЧ.ММ.СС>] каталога расположения ключевой информации. Внутри каталога с указанием года, числа
и времени располагается:
· папка с содержимым ключевой дискеты (например, abn_034A\key_disk\) того
пользователя АП, для которого производилось обновление ключей;
· папка station;
· набор файлов, относящихся к данному СУ.
Для того, чтобы произвести откат к резервной копии, выберите нужную резервную копию, т.е.
откройте папку с соответствующим числом, временем и годом. Далее из этой папки скопируйте папку
station и все файлы (то, что мы выше назвали "набор файлов, относящихся к данному СУ") в каталог
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 117
расположения ключевой информации. Далее папку key_disk скопируйте также в каталог
расположения ключевой информации. На все вопросы о замене файлов ответьте положительно.
14 Административные функции
14.1 Работа в программе с правами администратора
В программу Монитор (Клиент и Координатор) можно войти с правами Администратора СУ
(пароль для входа с правами администратора СУ записан в файле ViPNet_a.txt). При входе в
программу с правами Администратора предоставляются дополнительные возможности по настройке
и работе программы.
Для входа в программу с правами администратора нужно при загрузке Монитора в окно ввода
пароля ввести сначала пароль администратора, а затем пароль пользователя. А именно:
Для того чтобы ввести пароль администратора, в поле ввода пароля набираются символы
@@@@@, а затем пароль администратора и нажимается кнопка OK. Затем программа спросит о
смене пароля администратора. Если требуется сменить пароль, то нажмите Да, в противном случае –
Нет. Если Вы нажали кнопку Да, то появляется возможность ввести собственный пароль
Администратора.
После ввода пароля администратора появится окно для ввода пароля пользователя. После
ввода пароля пользователя программа предоставит дополнительные возможности настройки и
работы. Станут доступными:
· окно Администратор (п. 14.1.1), где можно произвести различные настройки для
пользователей СУ,
· просмотр журнала регистрации действий пользователей АП и администратора,
произведенных в программе Монитор (п. 14.1.1),
· запрос журнала регистрации IP-пакетов на каком-либо удаленном АП или координаторе
(кнопка Удаленный запрос…, п. 14.2) из окна Защищенная сеть.
· более подробная информация о статусе пользователя защищенной сети при проверке
соединения (п. 17.7).
Зайти в программу с правами администратора можно и в процессе работы программы не
перезапуская ее, для этого в главном окне в меню Сервис нужно выбрать пункт Смена
пользователя…, появится окно с предложением ввести пароль. Введите пароли, как описано выше.
14.1.1 Настройки программы
В окне Администратор предоставляется возможность произвести различные настройки для
пользователя (Рисунок 99):
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 118
Рисунок 99
Если необходимо, чтобы пользователю было доступно только окно Защищенная сеть, а в
главном меню Действия и контекстном меню для записей в окне Защищенная сеть были
недоступны все подпункты пункта меню Правила доступа, включите опцию Ограничить интерфейс
пользователя. При этом пользователь сможет из системного меню, щелкнув правой кнопкой мыши
на значке
в области уведомлений на панели задач, выполнить ряд дополнительных действий:
· установить 1, 2 или 3 режим работы, сменить конфигурацию (выбрав нужную из
предложенного списка существующих конфигураций), выбрать режим блокировки
компьютера (п. 17.8).
Можно настроить программу таким образом, что при следующей загрузке операционной
системы, ViPNet [Монитор] запускаться не будет и установится 5 режим, т.е. компьютер будет
полностью открыт для доступа извне. Если требуется такая настройка, то, для этого нужно включить
опцию Не активизировать защиту IP-трафика при загрузке операционной системы.
Можно настроить программу таким образом, чтобы при следующей загрузке операционной
системы, ViPNet [Монитор] запускаться не будет и установится режим, заданный по умолчанию в окне
Режимы в разделе При старте программы… Если требуется такая настройка, то, для этого нужно
включить опцию Не запускать монитор после входа в операционную систему.
Если необходимо, чтобы при запуске компьютера было запрещено отменить запуск ViPNet
[Монитор] (т.е. в окне ввода пароля кнопка Отменить и закрывающий значок [x] станут недоступны),
то нужно включить опцию Обязательный ввод пароля при входе в операционную систему.
Можно задать время, через которое будет производиться блокировка работы компьютера,
указав его в поле Интервал автоматического блокирования. Блокировка произойдет, если в
течение этого времени не дотрагиваться до клавиатуры и мыши. По умолчанию в этом поле
установлено значение 0, это означает, что автоматическая блокировка отключена.
Все произведенные действия можно сохранить, если нажать кнопку Применить или отменить,
если нажать кнопку Отменить.
Нажав кнопку Журнал событий можно просмотреть журнал регистрации действий
пользователя и администратора, произведенных в программе.
Журнал событий можно открыть и сохранить в формате HTML и XLS, используя контекстное
меню, открывающееся щелчком правой кнопки мыши.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 119
14.2 Журнал IP-пакетов
Вы можете просмотреть отчет по всем входящим и исходящим IP-пакетам, как для
Координатора, так и для Клиента.
Окно Журнал IP-пакетов (Рисунок 100) позволяет создавать отчеты, применяя следующие
фильтры:
· Интервал времени (дни, часы, минуты)
· Направление трафика (входящий, исходящий или весь трафик)
· Крипто-признак (зашифрованные, открытые или все IP-пакеты;
· IP-адрес отдельного узла защищенной сети или все IP-адреса защищенной сети
· Имя отдельного узла защищенной сети или все узлы защищенной сети
· Номер локального порта или диапазон номеров
· Номер удаленного порта или диапазон номеров
· Протокол
· Счетчик (фильтрация согласно количеству соединений одного типа к/от узла, по
умолчанию от 1 до 65535)
· Событие (Вы можете выбрать для анализа соединение конкретного типа)
· Ограничить число показываемых записей (можно установить количество отображаемых
последних записей в журнале регистрации IP- пакетов, по умолчанию "0" – отображаются
все записи за заданный интервал дат и времени).
Если Вы, не сделав никаких настроек в окне Журнал IP-пакетов, нажмете Найти…, то в окне
Журнал регистрации IP-пакетов будет показан журнал за последние сутки (Рисунок 101).
Используйте кнопку По умолчанию, чтобы осуществить сброс всех фильтров в исходное
состояние. При этом значения, введенные в полях Отдельный IP-адрес, Отдельный узел и
Отображаемых записей не изменятся.
Кнопка Время по умолчанию устанавливает значение временного интервала в значение по
умолчанию.
Если войти в программу с паролем администратора СУ, то в окне Журнал IP-пакетов
появится кнопка Удаленный запрос… (Рисунок 100) для запроса журнала регистрации IP-пакетов с
подключенных сетевых узлов из окна Защищенная сеть.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 120
Рисунок 100
Верхняя часть окна Журнал регистрации IP-пакетов (Рисунок 101) содержит записи,
отобранные согласно настройкам фильтра (Рисунок 100). Нижняя часть окна содержит сводную
информацию для выбранной записи.
Символы из первой колонки имеют следующее значение:
– IP-пакеты пропущены
– IP-пакеты блокированы
– Исходящие открытые IP-пакеты
– Входящие открытые IP-пакеты
– Входящие шифрованные IP-пакеты
– Исходящие шифрованные IP-пакеты
– IP-пакеты относятся к определенной (специфической) группе событий (см. список всех
событий в выпадающем меню настроек фильтра журнала IP-пакетов, Рисунок 100)
– IP-пакеты блокированы системой обнаружения вторжений
В строке состояния (внизу окна) (Рисунок 101) отображается размер IP-пакетов выбранной
записи, номер записи и общее число записей в журнале. Если выделить несколько записей журнала,
то отобразится сумма значений поля Размер для выделенных записей (в байтах). Вы можете
выделить сразу все записи журнала, воспользовавшись комбинацией клавиш Ctrl+A.
Журнал IP-пакетов можно сортировать по параметрам простым нажатием на имя колонки.
Строки Начало интервала и Конец интервала описаны в п. 14.3.
Кнопки панели инструментов:
· IP-пакет – Сводная информация для выбранной записи
· Имя – Имя хоста для выбранной записи (для удаленного IP-адреса)
· Поиск – Контекстный поиск в журнале
· Обновить – Обновить информацию в окне
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 121
Рисунок 101
Если навести указатель мыши на одну из записей журнала и нажать правую кнопку, откроется
контекстное меню (Рисунок 101). Выбрав соответствующий пункт, Вы можете производить действия,
аналогичные действиям кнопок панели инструментов.
Вы можете экспортировать полученный отчет, выбрав Просмотр в HTML-формате или
Просмотр в XLS-формате из меню Файл или контекстного меню.
14.3 Настройки журнала IP-пакетов
Выбрав Настройки журнала в окне Журнал IP-пакетов (Рисунок 102), Вы имеете
возможность задавать следующие настройки:
Интервал регистрации IP-пакетов (по умолчанию: 60 мин.) – этот параметр может быть
установлен для уменьшения числа записей в журнале. Работает он следующим образом. При
регистрации IP-пакета определенного типа (с каким-либо адресом, портом, протоколом, и т.д.) в
журнале создается новая запись, и в течение указанного в этом параметре времени подсчитывается
количество пакетов такого же типа (т.е. с тем же адресом, портом, протоколом, и т.д.) без создания
новых записей. Количество пакетов фиксируется в графе Счетчик. Когда время, указанное в
Интервале регистрации IP-пакетов закончится, то при регистрации очередного пакета такого же
типа создастся новая запись. Соответственно при приходе какого-либо пакета другого типа с другими
характеристиками, для него создается своя запись и выполняется тот же принцип. В графах Начало
интервала и Конец интервала окна Журнал регистрации IP-пакетов (Рисунок 101)
отображаются момент начала и момент завершения подсчета однотипных пакетов. Такой принцип
позволяет существенно уменьшить размер журнала IP-пакетов, так как одной его строке
соответствует серия зарегистрированных однотипных событий. Чем больше параметр Интервал
регистрации IP-пакетов, тем более компактным будет журнал IP-пакетов, однако при этом
уменьшается точность определения времени прохождения IP-пакетов каждого типа. Если Вы
установите значение 0, то Вы получите информацию о каждом отдельном IP-пакете, но размер
журнала может получиться очень большим.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 122
Рисунок 102
Размер журнала – максимальный размер для журнала (по умолчанию: 1MB). Если размер
журнала начинает превышать это значение, то все записи журнала в хронологическом порядке
перемещаются в архив журналов (в папку с именем Архив журналов папки Журнал IP-пакетов
(Рисунок 103)). Папка Архив журналов формируется при создании первого архива журнала.
Рисунок 103
Размера архива журналов – этот параметр ограничивает максимальный размер архива
журналов (по умолчанию: 10MB). Вы получите уведомление о необходимости увеличения размера
архива, как только его текущий размер превысит установленное в этом параметре значение. Если Вы
проигнорируете эту подсказку, то часть самых старых записей журнала в хронологическом порядке
будет удалена из архива, чтобы освободить место для новых записей.
14.4 Удаленное управление компьютерами пользователей сети ViPNet
Программа Монитор позволяет получить защищенный доступ на удаленный компьютер
пользователя сети ViPNet (из окна Защищенная сеть), используя внешние программы удаленного
доступа к компьютерам Remote Administrator (Radmin), VNC или Remote Desktop Connection.
Для запуска необходимой программы выберите пользователя в окне Защищенная сеть и
затем выберите пункт с названием программы (Вызвать Radmin Viewer, Вызвать VNC Viewer или
Remote Desktop Connection) в главном меню Действия -> Внешние программы (или в
аналогичном меню по щелчку правой кнопки мыши).
Пункты меню будут активными, если на Вашем компьютере установлена выбранная программа,
а также пользователь, к компьютеру которого осуществляется доступ, имеет ненулевой IP-адрес
доступа. Для получения доступа на выбранный компьютер пользователя на нем должно быть
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 123
установлено, запущено и настроено соответствующее серверное программное обеспечение (Radmin
Server, VNC Server и т.д.).
При соблюдении вышеописанных условий после выбора необходимого пункта меню появится
окно соединения, и если соединение установлено появится окно ввода пароля для доступа к
выбранному узлу.
Загрузить установочный комплект Remote Administrator версии 2.2 можно со страницы
http://www.radmin.com/download/. Пакет Remote Administrator версии 2.2 содержит компоненты Сервер
и Клиент.
Загрузить установочный комплект усовершенствованной версии отдельного клиента Radmin 3.0
Viewer (beta) можно со страницы http://www.radmin.com/radmin/new/rviewer.php. Radmin 3.0 Viewer
совместим с Remote Administrator версии 2.2.
Загрузить установочный комплект VNC можно со страницы http://www.realvnc.com/download.html.
Пакет VNC содержит компоненты Сервер и Клиент.
Загрузить установочный комплект Remote Desktop Connection можно с web-сайта Microsoft. В
ОС Windows Server 2003 и Windows XP программа Remote Desktop Connection установлена по
умолчанию.
14.5 Статистика
В окне Статистика IP-пакетов отображается информация об обработанных программой
входящих и исходящих IP-пакетах, пропущенных и блокированных в соответствии с фильтрами,
настроенными для открытой и защищенной сети. Статистика по другим блокированным пакетам не
отображается. Эта информация может быть полезна для первоначальной настройки Клиента или
Координатора (Рисунок 104).
Рисунок 104
14.6 Конфигурации
Вы можете создать одну и более различных конфигураций, сохранив в них все сделанные
настройки Монитора, которые могут быть загружены в зависимости от обстоятельств применения
ViPNet. Обслуживание и модификация конфигураций осуществляется в окне Конфигурации.
Конфигурация по умолчанию называется Основная конфигурация, она содержит набор
установок по умолчанию и не может быть переименована или удалена после того, как была создана в
ходе установки ViPNet Клиент/Координатор.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 124
Вызовите контекстное меню, щелкнув правой кнопкой мыши в левой панели на записи
Конфигурации, и выберите команду Создать новую конфигурацию… (Рисунок 105), чтобы
создать новую конфигурацию с именем Новая конфигурация.
Переименуйте новую конфигурацию с помощью вызова контекстного меню и выбора опции
Переименовать.
После того как Вы завершите все задуманные изменения в настройках Монитора, опять же с
помощью вызова контекстного меню на имени конфигурации, в который Вы хотите сохранить
произведенные настройки, выберите команду Сохранить текущую конфигурацию…, чтобы
сохранить все сделанные Вами изменения в настройках.
Рисунок 105
Для переключения между конфигурациями снова воспользуйтесь вызовом контекстного меню
на имени соответствующей конфигурации и выберите команду Установить данную
конфигурацию…. Активная конфигурация будет выделена жирным шрифтом.
При следующем старте ViPNet Клиента/Координатора в специальном окне (Рисунок 106) Вам
будет дана возможность выбрать необходимую конфигурацию из числа сохраненных Вами ранее.
Рисунок 106
15 Транспортный модуль MFTP
Модуль MFTP является важной частью ViPNet Координатора и Клиента. Этот модуль
обеспечивает передачу "транспортных" файлов - конвертов, создаваемых приложениями Деловая
почта (п. 17.3) и Файловый обмен (п. 17.2).
Функции модуля MFTP на ViPNet Клиенте:
Модуль MFTP запускается вместе с программой ViPNet [Монитор] и отображается в области
уведомлений на панели задач значком
. Модуль проверяет, есть ли на Координаторе конверты,
предназначенные Клиенту. Если таковые имеются, то модуль обеспечивает загрузку этих конвертов
после двухсторонней аутентификации. После загрузки последнего конверта из доступных конвертов
модуль прекращает работу и перезапускается для очередного запроса доступных на Координаторе
конвертов через 15 минут (это значение параметра по умолчанию; может быть изменено). Это так
называемый клиентский режим работы модуля.
Если у Вас запущено приложение Деловая почта, то модуль MFTP будет находиться в
запущенном состоянии до момента выгрузки приложения.
Если Вы осуществляете отправку файла или папок с помощью приложения Файловый обмен,
то модуль запускается только на момент выполнения этой задачи, после чего выгружается.
Функционирование модуля MFTP на ViPNet Координаторе:
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 125
На ViPNet Координаторе модуль MFTP работает в так называемом серверном режиме. Он
запускается одновременно с ViPNet Координатором и остается активным в течение всей активности
ViPNet Координатора. При получении конвертов Координатор определяет дальнейший маршрут их
передачи и осуществляет пересылку согласно маршруту на следующий узел (другой Координатор
или Клиент). Если конверт имеет несколько адресатов, то распределение конверта осуществляется
согласно списку. В зависимости от установок на Координаторе, Координатор либо пробует
инициативно соединиться с адресатом для передачи ему конверта, либо ждет ближайшего
инициативного соединения от Клиента.
Внимание! В случае разрыва соединения между MFTP двух узлов в момент передачи конверта,
модуль MFTP всегда сможет продолжить "отправку/получение" конверта с точки разрыва после
восстановления соединения. В терминологии FTP-клиентов такое свойство называют "возможностью
докачки файлов".
15.1 Пользовательский интерфейс модуля MFTP
Как уже отмечалось ранее, модуль MFTP запускается одновременно вместе с запуском ViPNet
Клиента или Координатора. О том, что модуль уже запущен, говорит значок
в области
уведомлений на панели задач. Модуль также может быть запущен (перезапущен) вручную, нажатием
на кнопку
в правой нижней части окна Монитора. Для открытия главного окна модуля
в области уведомлений на панели задач.
MFTP (Рисунок 107) достаточно щелкнуть на значке
Рисунок 107
Чтобы закрыть окно, выберите пункт меню Закрыть. Выбрав после этого в выпадающем меню
пункт Скрыть, Вы обратно минимизируете окно в значок в области уведомлений на панели задач.
Выбрав пункт Выйти, Вы выйдете из программы (выгрузите программу из памяти компьютера).
Верхняя часть окна отображает четыре индикатора прогресса приема/передачи конвертов.
Информация о работе модуля MFTP (создании и разрыве соединений и т.д.) отображается в нижней
части окна – протоколе работы модуля. Эта информация может быть полезна при настройке и
обслуживании сети ViPNet.
Для немедленного соединения модуля MFTP с Координатором нажмите кнопку Опросить.
Использование команды Очередь в главном меню позволит Вам получить информацию о
неотправленных конвертах (причиной неотправки может быть, например, разрыв соединения на
соответствующем направлении).
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 126
После выбора в главном меню пункта Очередь появится новое окно Поиск конвертов в
очереди (Рисунок 108). Это окно позволит Вам настроить фильтры для поиска неотправленных
конвертов. По умолчанию выдается список конвертов за последние 10 дней.
Рисунок 108
Мониторинг отправленных и полученных транспортных пакетов можно вести, используя
команду Журнал в главном меню. Выбрав Журнал, Вы увидите соответствующее окно настройки
фильтров запроса Поиск конвертов в журнале, структура полей которого идентична окну Поиск
конвертов в очереди (Рисунок 108).
Внимание! Изменять настройки в меню Настройки рекомендуется только в специальных случаях в
ходе обслуживания сети. Пожалуйста, обратитесь за консультациями в службу поддержки Инфотекс
до того, как Вы сделаете какие-либо изменения в этом разделе меню.
16 Программа Контроль приложений
Эта программа обеспечивает непрерывный мониторинг сетевой активности локальных
приложений на сетевом узле.
Программа Контроль приложений устанавливается на компьютер в составе ViPNet Клиент
или ViPNet Координатор.
После установки на компьютер Клиента или Координатора и перезагрузки системы, программа
Контроль приложений будет работать независимо от основной программы (Клиент или
Координатор).
Сразу после перезагрузки системы по умолчанию (впоследствии можно изменить настройку
старта программы при загрузке системы) после ввода пароля в основную программу ViPNet стартует
программа Контроль приложений. После загрузки программы Контроль приложений появится
значок программы
на панели задач в области уведомлений.
16.1 Запуск программы. Выгрузка программы
Окно программы Контроль приложений может быть вызвано нажатием кнопки
на строке
состояния окна основной программы ViPNet ((Рисунок 109, например, Клиент) или щелчком на значке
программы
на панели задач в области уведомлений.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 127
Рисунок 109
Появится окно программы Контроль приложений (Рисунок 110).
Рисунок 110
Как только программа Контроль приложений будет запущена, по умолчанию она начнет
слежение за приложениями, выполняющими сетевые операции согласно правилам по умолчанию
(впоследствии эти правила можно изменить).
Для того, чтобы свернуть окно программы в значок на панели задач, используйте в окне Χ
(Скрыть) или пункт меню верхнего уровня Файл -> Скрыть.
Для того, чтобы выключить слежение (без выгрузки программы), щелкните на значке программы
Контроль приложений ( ) на панели задач системы; появится контекстное меню (Рисунок 111);
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 128
далее щелкните по пункту меню Включить слежение до установления значения Отключить
слежение. Значок станет неактивным .
Рисунок 111
Для того чтобы выгрузить программу из памяти, используйте пункт меню верхнего уровня
Файл -> Выход (Рисунок 110). Окно программы будет закрыто (исчезнет и значок программы на
панели задач).
Замечание: Если на Вашем компьютере установлена ОС Windows XP (SP 2 и выше), то при
выключении слежения или при выгрузке из памяти программы Контроль приложений Windows
Security Center8 (если не отключены настройки оповещения) сообщит об отключении ViPNet Firewall
(т.е. защиты Вашего компьютера программным обеспечением ViPNet).
16.2 Работа программы
Как только программа Контроль приложений начнет слежение за приложениями, и какоелибо приложение впервые проявит сетевую активность, то, согласно настройкам по умолчанию, на
Вашем экране появится окно с сообщением о том, что такое-то приложение запрашивает разрешения
на работу с сетью. Существует 2 типа окон в зависимости от приложения, запрашивающего
разрешение на выполнение сетевой операции: приложение, не относящиеся к сервисам ОС Windows
(Рисунок 112), и приложение, относящееся к сервисам ОС Windows9 (Рисунок 113). Сервисное
приложение может иметь один исполняемый модуль, но запускает несколько сервисов.
8
Windows Security Center (Центр обеспечения безопасности Windows) – компонент Windows XP (SP2) предназначенный
для централизованного управления параметрами безопасности компьютера.
9 Сервисное приложение – это программа Windows, выполняющая сервисные функции. Например – это различные
приложения типа клиент/сервер, Web серверы, серверы баз данных и др. Сервисное приложение часто работает в фоновом
режиме.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 129
Рисунок 112
Рисунок 113
В каждом из окон, в поле Событие, отображается название сетевой операции, которую
пытается исполнить приложение, запрашивающее разрешение события. В полях Удаленный адрес и
Удаленный порт (если он есть) отображаются соответственно IP-адрес и порт, по которым
выполняется сетевая операция.
В каждом из окон имеются сведения о приложении (название программы, производитель,
версия программы и путь к программе).
Если Вы хотите разрешить данному приложению (Рисунок 112) или процессу (Рисунок 113)
выполнять сетевые операции, то нажмите в окне кнопку Разрешить, если хотите запретить – кнопку
Запретить. Разрешение или запрещение выполнения приложения означает регистрацию
приложения. При разрешении приложение будет зарегистрировано в так называемом белом списке,
при запрещении – в черном.
Приложения, зарегистрированные в черном списке, будут блокироваться. Приложения,
зарегистрированные в белом списке, будут разрешены к выполнению. Каждый раз, когда приложение
из белого списка проявит снова сетевую активность, программа будет выполнять авторизацию этого
приложения. Если авторизация пройдет успешно, то приложение будет допущено к выполнению.
Если авторизация пройдет неуспешно, то согласно настройкам по умолчанию, на Вашем экране
появится окно с сообщением о том, что приложение изменилось и снова запрашивает разрешения на
работу с сетью.
16.3 Регистрация приложений, выбранных пользователем
Пользователь сам может регистрировать приложение в том или ином списке. Для этого в
правой части окна Зарегистрированные приложения (Рисунок 110) нужно щелкнуть правой
кнопкой мыши на любой строке и в появившемся меню (Рисунок 114) выбрать пункт Добавить или
нажать клавишу Insert на клавиатуре. Откроется окно для поиска файла Добавить файл в список.
После выбора приложения программа спросит, в каком списке (белом или черном) Вы хотите
зарегистрировать выбранное Вами приложение. Если Вы не выберите список, то приложение будет
занесено в черный список.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 130
Рисунок 114
С помощью этого меню можно удалить выбранное приложение или посмотреть его свойства.
17 Использование встроенных сервисных функций
Пакет ViPNet OFFICE включает набор сервисов для быстрого и защищенного обмена данными.
Этот набор включает в себя следующие сервисы:
· Защищенный обмен сообщениями/Защищенная конференция (п. 17.1),
· Файловый обмен (п. 17.2),
· Защищенная Деловая Почта (п. 17.3),
· Вызов внешних приложений (п. 17.4),
· Сервисы "Web-ссылка" и "Открыть сетевой ресурс" (п. 17.5 и 17.6).
Имеется также ряд других полезных сервисных функций:
· Проверка соединения с пользователем и информирование о его статусе (п. 17.7),
· Блокировка компьютера (п. 17.8).
Более подробную информацию по сервисам можно получить из руководств по программному
обеспечению ViPNet Координатор и ViPNet Клиент.
17.1 Защищенный обмен сообщениями/Защищенная конференция
Участники VPN сети ViPNet могут вести обмен сообщениями в реальном времени, либо
организовать on-line конференцию с несколькими участниками.
Процесс обмена сообщениями между пользователями ViPNet называется сеансом. Обмен
сообщениями может происходить в нескольких сеансах. У каждого участника сеанса, отправленные и
полученные им в этом сеансе сообщения, записываются в протокол сеанса. Для каждого сеанса
ведется свой протокол, т.е. все сообщения одного сеанса записываются в один и тот же протокол. У
каждого участника одновременно может вестись несколько сеансов, причем какие-то участники, с
которыми данный участник в данный момент обменивается сообщениями, могут входить в разные
сеансы. Если поступит сообщение от участника, не входящего ни в один из открытых сеансов, то
откроется новый сеанс сообщений, и создастся новый протокол.
Сервис Оперативный обмен защищенными сообщениями обеспечивает визуальное
различение новых и непрочтенных сообщений:
Новые сообщения – это сообщения, которые пользователь еще не обработал (не ответил, не
принял или не удалил), но мог просмотреть (прочитать) в окне Новые сообщения.
Непрочтенные сообщения – это новые сообщения, которых пользователь еще не видел, т.е.
те сообщения, которые не были просмотрены в окне Новые сообщения.
17.1.1 Отправка и прием сообщений
Чтобы инициировать обмен сообщениями с кем-либо из участников VPN, Вы должны выбрать
этого участника (участников) в окне Защищенная сеть главного окна Монитора. Вы сможете
инициировать обмен сообщениями или конференцию, нажав соответственно значок обмена
сообщениями (
) или конференции (
) в главном окне Монитора или воспользоваться меню
верхнего уровня Новый (Обмен сообщениями… или Конференция…) в окне Оперативный
обмен защищенными сообщениями (в том случае, если оно уже открыто). При нажатии на эти
значки или использовании меню появится соответственно окно обмена сообщениями Оперативный
обмен защищенными сообщениями или новый сеанс в уже открытом окне обмена сообщениями
(см. п. 17.1.2). Теперь можно написать и отправить сообщение выбранным участникам. Для этого
введите сообщение в панели Сообщение (Рисунок 115) и нажмите кнопку Отправить (или клавишу
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 131
F5). Также для отправки сообщений можно настроить дополнительную горячую клавишу в настройках
обмена сообщениями.
Все сеансы обмена сообщениями будут отображаться в окне Оперативный обмен
защищенными сообщениями. Вы можете выбрать сеанс (щелкнув на нем мышью один раз), с
которым хотите работать.
Если поступит сообщение на Ваш АП, то Вы будете извещены об этом миганием значка
в
области уведомлений на панели задач (по умолчанию, поскольку существует несколько способов
оповещения о приходе сообщения, и задается это в настройках обмена сообщениями).
Для того чтобы прочитать новые поступившие сообщения сеанса, нужно нажать на значок
в
области уведомлений на панели задач или в окне обмена сообщениями на кнопку панели
инструментов
. Если сообщения пришли в текущий сеанс10, то откроется окно Новые
сообщения (см. п. 17.1.3), поскольку все поступившие новые сообщения одного сеанса (по
умолчанию) отображаются в этом окне, появление которого можно отключить, используя настройки
обмена сообщениями.
17.1.2 Окно Оперативный обмен защищенными сообщениями
Окно обмена сообщениями представляет Рисунок 115 (справа – один сеанс, слева – много
сеансов).
Рисунок 115
В случае одного сеанса окно обмена сообщениями состоит из 3 горизонтальных панелей:
· Получатели сообщений – в этой панели перечислены адресаты, с которыми
организован сеанс обмена сообщениями, и после отправки сообщений отображается
статус сообщений:
* Буква "О" – сообщение отправлено, но не доставлено
* Буква "Д" – сообщение доставлено, на экране получателя появилось уведомление
* Буква "Ч" – сообщение прочитано получателем
* Буква "П" – сообщение прочитано и получатель собирается ответить на сообщение
(воспользовавшись кнопками Ответить или Ответить с цитатой в окне Новые
сообщения)
Отправляемые сообщения нумеруются (1, 2, 3, ...) в порядке их отправки. Колонки с
номерами сообщений располагаются в обратном порядке (т.е. на первом месте
появляется признак самого последнего сообщения). Сообщения отправляются только
тем пользователям у кого стоят "галочки" (т.е. пользователи включены).
· Протокол сеанса – здесь ведется протокол сеанса, который может быть сохранен в
обычный текстовый файл.
10
Сеанс, в котором пользователь последний раз работал или работает в настоящий момент. Если у пользователя нет
ни одного сеанса, то при поступлении первого сообщения какого-либо сеанса, этот сеанс становится текущим.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 132
· Сообщение – здесь вводится текст сообщений для отправки. Для отправки набранного
сообщения необходимо щелкнуть на кнопке Отправить на панели инструментов окна или
нажать F5 на клавиатуре.
В случае, если сеансов 2 и более, то справа добавляется вертикальная панель Сеансы, в
которой можно выбирать сеансы для работы нажатием левой кнопки мыши. Для каждой строки
сеанса выводится следующая информация:
·
(статус сеанса) – возможные состояния сеанса:
ü (пусто) – сообщения обработаны, нет новых сообщений, сеанс не закрыт;
ü
– есть новые сообщения, и сеанс не закрыт; если щелкнуть мышью на
этом значке, то откроется окно Новые сообщения (см. п. 17.1.3);
ü
– есть новые сообщения, но сеанс закрыт инициатором (только в окне
для не инициатора сеанса);
ü
– сообщения обработаны, нет новых сообщений, сеанс завершен
инициатором (только в окне для не инициатора сеанса).
· № – номер сеанса
· Получатели – имена получателей
(перечисляются через точку с запятой).
данного
сеанса
обмена
сообщениями
· Новых – количество новых сообщений. Если нет новых сообщений, то поле пусто.
· Не прочитано – количество непрочтенных сообщений. Если нет непрочтенных
сообщений, то поле пусто.
Строки с информацией о сеансе выделяются полужирным шрифтом, если среди новых
сообщений есть непрочтенные.
17.1.3 Обработка сообщений в окне Новые сообщения
В окне Новые сообщения (Рисунок 116) отображаются все новые сообщения, принадлежащие
одному сеансу.
Рисунок 116
Сообщения в окне располагаются в порядке их поступления. Первым в списке находится самое
раннее сообщение; последнее поступившее сообщение находится в конце списка.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 133
Чтобы прочитать сообщение, его нужно выбрать из списка. Тогда ниже в этом окне под
заголовком Сообщение: отображается текст выбранного сообщения.
Строки непрочтенных сообщений в списке выделяются полужирным шрифтом. Сообщение
считается прочитанным, если оно просматривалось Вами не менее 3 секунд. После этого строка
сообщения отображается обычным шрифтом.
В окне Новые сообщения Вы можете произвести обработку сообщений, а именно прочитать и
сохранить сообщение в протоколе сеанса (при помощи кнопки Принять), прочитать и сохранить в
протоколе сеанса одновременно все сообщения (при помощи кнопки Принять все), сразу написать
ответ на пришедшее сообщение (при помощи кнопки Ответить или Ответить с цитатой) или удалить
сообщение (при помощи кнопки Удалить).
Кнопка Закрыть предназначена для закрытия окна (равносильно нажатию на X в верхнем
правом углу окна).
Если Вы хотите постоянно наблюдать, что происходит в окне Новые сообщения для текущего
сеанса, то включите опцию Показывать это окно поверх всех окон.
17.1.4 Закрытие сеансов и окон сервиса обмен сообщениями
Для закрытия сеанса можно использовать пункт меню Сеанс -> Закрыть, или пункт
контекстного меню Закрыть, или клавишу F8, или кнопку Закрыть ( ) на панели инструментов
окна Оперативный обмен защищенными сообщениями. При закрытии сеанса, строка с
выбранным сеансом в окне Оперативный обмен защищенными сообщениями исчезнет из списка
сеансов в панели Сеансы.
Перед тем, как программа закроет сеанс, появится сообщение о необходимости сохранения
протокола сеанса (по умолчанию).
Для закрытия окна Оперативный обмен защищенными сообщениями нужно нажать на X
(закрыть) в правом верхнем углу окна или воспользоваться пунктом главного меню Сеанс -> Выход.
Вместе с окном закроются все открытые сеансы обмена сообщениями и все окна, относящиеся к
сервису обмена сообщениями.
Перед тем, как программа закроет окно Оперативный обмен защищенными сообщениями,
появится сообщение с вопросом, нужно ли сохранить протокол сеанса (по умолчанию).
17.2 Файловый обмен
Используя эту функцию, Вы можете отправлять и получать файлы от других участников VPN:
1. В папке Защищенная сеть главного окна Монитора выберите участника VPN, которому Вы
хотите послать файл.
2. Затем найдите на панели задач Монитора кнопку
и нажмите на нее (либо используйте
контекстное меню, оставаясь на имени получателя). Сразу после этого Вам будет доступно
окно Файловый обмен (Рисунок 117).
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 134
Рисунок 117
3. Находясь в этом окне, выберите файл, который Вы хотите отправить, используя для этого
кнопку Добавить (
). После этого нажмите Отправить (
).
Для просмотра всех ранее полученных Вами файлов нажмите кнопку Принято (
). Вы
увидите папку, содержащую подпапки с именами пользователей ViPNet, от которых Вы когда-либо
получали файлы. В указанных подпапках расположены все ранее полученные от них файлы.
Все принятые файлы записываются (по умолчанию) в каталог, где установлен ViPNet в папку
TaskDir\Receive, а далее в каталог с именем пользователя, который отправил файл.
17.3 Деловая Почта
Деловая Почта – одно из приложений опционально доступных пользователю ViPNet Клиент (это
приложение не может быть установлено вместе с Координатором) – позволяет пользователю
шифровать и подписывать электронно-цифровой подписью (ЭЦП) почтовые сообщения и приложения
к ним, после чего отправлять их другим участникам сети ViPNet. Интерфейс приложения отвечает
сложившимся требованиям пользователей к аналогичным почтовым программам, что позволяет
приступить к его использованию без какой-либо специальной подготовки.
4. Чтобы запустить Деловую Почту нажмите кнопку
в правом нижнем углу окна Монитора.
Появится главное окно приложения (Рисунок 118).
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 135
Рисунок 118
5. Чтобы подготовить новое письмо нажмите на кнопку
окно письма (Рисунок 119).
на панели инструментов. Появится
Рисунок 119
6. Напишите текст сообщения в нижней части окна письма.
7. Введите заголовок письма в соответствующем поле (Тема).
8. Выберите получателя (получателей) нажатием на кнопку
9. Нажмите на кнопку отправки
хотите его отправить.
в окне письма.
в окне письма, если Вы уже завершили написание письма и
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 136
10. Для прочтения соответствующего письма дважды щелкните левой кнопкой мыши на строке с
этим письмом (Рисунок 118).
11. Если к Вам придет письмо, то Вы будете уведомлены об этом окном с информацией о том, что
получены новые письма.
17.3.1 Панель инструментов окна Деловой Почты
Рисунок 120 отображает все кнопки панели инструментов главного окна Деловой Почты:
Рисунок 120
По умолчанию панель инструментов содержит следующие кнопки и в следующем порядке
слева направо:
·
- создать новое письмо
· Запустить транспортный модуль MFTP
· Печать
· Удалить
(Отпр/Получ)- вызов транспорта.
текста письма
- возможность удаления папки или письма
· Шифрование
- возможность зашифровать письмо
· Расшифрование
- возможность расшифровать письмо
· Ответить автору письма
- при нажатии на кнопку появится меню, состоящее из 2
пунктов: ответить, либо ответить автору с вложениями
· Ответить всем
при нажатии на кнопку появится меню, состоящее из 2 пунктов:
ответить всем либо ответить всем с вложениями
· Переслать письмо
· Подписать письмо текущим сертификатом
· Проверить подпись
· Удалить подпись
.
· Поиск документа
На панель инструментов главного окна к кнопкам по умолчанию можно добавить следующие
кнопки (подробнее см. пункт меню Вид à Панель инструментов à Настройка…)
· Смена пользователя
· Справка
- возможность поменять пользователя
- контекстная подсказка.
· Показать адресную книгу
- будет вызвана адресная книга, в которой можно
произвести организацию папок для помещения в эти папки абонентских пунктов в
соответствии выбранной Вами структурой (разбить на группы по каким-то признакам).
· Запуск внешних программ
· Вызов настроек Деловой Почты
· Настройка параметров безопасности
В колонке "Атрибуты" главного окна Деловой Почты (Рисунок 118) Вы можете контролировать
статус каждого письма, в том числе такие важные параметры, как – было ли письмо доставлено и
прочитано адресатом.
Статус письма (для входящих и исходящих папок) обозначается следующими буквами:
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 137
Ш – Письмо зашифровано
П – Подписано
У – Упаковано и готово для отправки
О – Отправлено, но еще не доставлено
Д – Доставлено (на компьютер получателя)
Ч – Письмо прочитано.
Н – Подпись письма или хотя бы одного из вложений неверна
Дополнительная информация:
Вызов защищенных приложений Файловый Обмен и Деловая Почта интегрирован в графическую
оболочку Windows Explorer. Это позволяет отправлять файлы и папки непосредственно из любого
файлового менеджера, поддерживающего контекстное меню Windows Explorer (Рисунок 121).
Рисунок 121
17.4 Вызов внешних приложений
ViPNet поддерживает использование внешних приложений таких, как Microsoft NetMeeting,
VoxPhone, Internet Phone, Compaq Insight Manager, Microsoft Portrait, VNC Viewer, Remote
Desktop Connection и Radmin Viewer11…. Если какое-либо из приложений уже установлено на
компьютерах пользователей ViPNet сети, то его можно использовать как и ранее, с той лишь
разницей, что теперь весь трафик этого приложения будет зашифрован при обмене между
пользователями VPN.
Чтобы вызвать внешнее приложение для совместного использования с каким-либо другим
пользователем VPN, используйте вызов контекстного меню в окне Защищенная сеть на его имени.
Выберите в появившемся пункт меню Внешние программы и далее необходимое Вам приложение,
чтобы запустить его в преконфигурированном и защищенном режиме (Рисунок 122).
11
Про вызов Radmin Viewer, VNC Viewer и Remote Desktop Connection более подробно написано в главе 14.4.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 138
Рисунок 122
В результате, другому пользователю будет автоматически предложено подтвердить запуск того
же сетевого приложения на его компьютере.
17.5 Web-ссылка
Если какой-либо Web-сервер или Web-приложение установлено на одном компьютере вместе с
ViPNet Клиентом или Координатором, то другие пользователи VPN, которым разрешено соединение с
этим узлом, могут осуществлять защищенное (шифрованное) соединение с ним, используя для этого
вызов контекстного меню в окне Защищенная сеть (аналогично вызову внешних приложений, см.
п.17.4).
При этом данный Web-сервер будет доступен только участникам сети ViPNet (если им
разрешено это соединение и фильтрами второго уровня разрешено соединение для
соответствующих портов и протоколов). Это позволяет реализовать идею защищенного Интернетпортала (или внутрикорпоративного WEB-портала), в который могут быть интегрированы различные
приложения – CRM, CMS, приложения на основе баз данных и многое другое.
Для инициализации такого защищенного соединения выберите сетевой узел ViPNet, на котором
активированы Web-сервисы, нажмите правую кнопку мыши чтобы открыть контекстное меню, после
чего в этом меню выберите опцию Web-ссылка (см. Рисунок 122).
17.6 Открыть сетевой ресурс
Функция Открыть сетевой ресурс позволяет открыть доступные сетевые ресурсы на
компьютере защищенной или открытой сети. Для узлов окна Защищенная сеть соединение
происходит в защищенном режиме.
Чтобы воспользоваться этим сервисом выберите нужный Вам узел из окна Защищенная сеть
или зарегистрированный адрес из окна Открытая сеть. Для выбранного узла используйте опцию
Открыть сетевой ресурс, которая может быть вызвана через главное меню Действия (или через
контекстное меню по правой кнопке мыши), или непосредственно нажмите кнопку Ресурс ( ) на
панели инструментов (см. Рисунок 122).
В результате Ваш Windows-проводник отобразит доступные сетевые ресурсы на этом
компьютере. Пункт контекстного меню и сервис доступны, если выбран только один узел защищенной
или открытой сетей.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 139
17.7 Проверка соединения с пользователем и информирование о его статусе
Программа Монитор (Клиент и Координатор) предоставляет возможность пользователю по
своей инициативе узнавать о текущем статусе других пользователей из окна Защищенная сеть –
доступны они или нет, активны или нет и т.д. Для работы этой функции необходимо, чтобы узел,
статус которого нужно узнать, имел версию ПО ViPNet не ниже 2.8.9.
Для того чтобы узнать статус пользователя(ей) проверьте соединение с ним(и), выбрав в окне
Защищенная сеть в меню по щелчку правой кнопки мыши пункт Проверить соединение или
нажав клавишу F5 на клавиатуре (Рисунок 123).
Можно проверить соединение и узнать статус сразу нескольких пользователей, расположенных
в одной папке. Для этого нужно выбрать папку с нужными пользователями в окне Защищенная сеть
и в меню по щелчку правой кнопки мыши пункт Проверить соединение. Для проверки соединения
сразу со всеми пользователями защищенной сети выберите папку Защищенная сеть.
Рисунок 123
В зависимости от того, установлено соединение или нет, появится соответствующее сообщение
с информацией о статусе пользователя (ей) (например, как Рисунок 124). Сообщение появляется на
20 секунд, после чего оно исчезает с экрана компьютера.
После проверки соединения может также измениться значок в начале строки с пользователем,
отображающий статус соединения с пользователем (см. п. 7.1.1).
Различают три статуса пользователя:
· Активен – пользователь доступен (соединение установлено) и в течение последних 15
минут использовал клавиатуру и (или) мышь на своем компьютере.
· Неактивен – пользователь доступен, но в течение последних 15 минут не использовал
клавиатуру и (или) мышь на своем компьютере.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 140
· Недоступен – соединение не установлено, скорее всего, у пользователя выключен
компьютер или программа ViPNet [Монитор].
Если соединение установлено, то появится одно из следующих сообщений (Рисунок 124):
Рисунок 124
Если соединение не установлено, то сообщение об этом появится только в том случае, если
выключена опция Не выводить сообщения о недоступности сетевых узлов в окне Настройки
-> Дополнительно (по умолчанию эта опция включена).
Если войти в программу с правами администратора, то для пользователя, с которым
проверяется соединение, выводится сообщение с дополнительной информацией (Рисунок 125).
Рисунок 125
17.8 Блокировка компьютера
Пользователь программы ViPNet [Монитор] (Клиент и Координатор) может по собственному
желанию закрыть доступ ко всем приложениям на рабочем столе, заблокировать весь IP-трафик или
же выполнить эти действия одновременно, используя кнопку Блокировки.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 141
¯
Рисунок 126
Для выполнения блокировки нужно нажать на кнопку
, находящуюся на строке состояния
главного окна программы Монитор (Рисунок 126). По умолчанию программа выполнит тот тип
блокировки, который осуществлялся пользователем в последний раз, а если блокировка не
выполнялась ни разу, то – блокировку всех приложений компьютера и IP-трафика.
Существует несколько режимов блокировки. Режим можно выбрать в меню, которое появится,
если нажать на стрелку Отобразить меню блокировки, находящуюся рядом с этой кнопкой
(Рисунок 126). В этом меню полужирным шрифтом отмечено значение по умолчанию, которое будет
выполнено при нажатии на кнопку блокировки. Можно выполнить следующие режимы блокировки:
· Блокировать компьютер и IP-трафик – при выборе этого режима произойдет
выгрузка программы, и отобразится окно ввода пароля с информацией – IP-трафик
заблокирован. Будет закрыт доступ ко всем приложениям "рабочего стола" на Вашем
компьютере, а также блокирован весь входящий и исходящий IP-трафик. Для продолжения
работы необходимо ввести пароль и нажать кнопку OK.
· Блокировать компьютер – при выборе этого режима, выгрузки программы не
происходит, трафик не блокируется. В результате будет закрыт доступ ко всем
приложениям "рабочего стола" на Вашем компьютере. Отобразится окно ввода пароля с
именем пользователя и предложением ввести его пароль (и только его, смена
пользователя не допускается) для продолжения работы.
· Блокировать IP-трафик – при выборе этого режима происходит выгрузка программы
и блокируется весь входящий и исходящий IP-трафик. Отобразится окно ввода пароля с
информацией – IP-трафик заблокирован. Однако, в отличие от значения Блокировать
компьютер и IP-трафик, останется открытым доступ ко всем приложениям на Вашем
компьютере. Для продолжения работы программы необходимо ввести пароль и нажать
кнопку OK.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 142
При выборе любого режима он выделяется полужирным шрифтом и будет выполняться по
умолчанию, а также сохраняется для текущей конфигурации.
Если в окне Администратор задан Интервал автоматического блокирования (см. п.
14.1.1), то через указанное время, в течение которого пользователь не будет дотрагиваться до
клавиатуры и мыши, произойдет установленное действие блокировки.
В окне Настройки -> Дополнительно при включении опции Вывести кнопку блокировки
IP-трафика и компьютера на экран, при загрузке программы на "рабочем столе" в правом нижнем
углу экрана отобразится большая кнопка Блокировки
, при нажатии на которую выполнится
действие, определенное для кнопки блокировки, находящейся внизу главного окна программы
(Рисунок 126). По умолчанию опция о выводе кнопки на экран выключена.
Вы можете также блокировать доступ к рабочему столу компьютера сразу после старта
программы, поставив "галочку" в опции Блокировать компьютер окна Режимы.
18 Использование асимметричных ключей шифрования (только
для ViPNet OFFICE)
Возможность работать на асимметричных ключах доступна только для Клиентов.
Опционально на каждом АП (Клиенте) для каждого другого АП может быть включена
подсистема открытого распределения ключей. В этом случае автоматически с заданным периодом
порождается собственная пара асимметричных ключей шифрования: секретный и открытый ключ.
Новый открытый ключ, подписанный сертификатом абонента, отправляется на узлы, для которых
включена подсистема открытого распределения. На базе открытых ключей других объектов, подпись
и сертификат которых верны, и собственного секретного ключа вырабатывается дополнительный
симметричный ключ обмена, который действует до формирования одной из сторон новой пары
ключей. В этом случае итоговый ключ обмена между двумя объектами формируется, как
криптографическая свертка двух ключей: симметричного ключа обмена, сформированного в ViPNet
Manager и симметричного ключа, созданного на базе асимметричных ключей по протоколу открытого
распределения ключей.
Смена ключа не прерывает текущих сеансов, поскольку специальная технология обеспечивает
переход на новый ключ, только когда обе стороны будут уверены в их наличии.
Обновление асимметричных ключей шифрования между узлами происходит автоматически в
заданные сроки без участия пользователей и центра управления сетью.
Для начала работы на асимметричных ключах, необходимо выполнить следующие действия:
1. В главном окне программы ViPNet Клиент Монитор выбрать пункт главного меню Сервис->
Настройка параметров безопасности… В открывшемся окне нажать кнопку Настройка
конфигурации. Откроется окно Конфигурация (Рисунок 127), в этом окне включить опцию
Использовать асимметричные ключи шифрования, а также в следующей опции Период
автоматической смены асимметричных ключей шифрования в днях (0-365) установить
необходимый период смены ключей (ненулевое значение). Для сохранения настроек нажмите
OK.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 143
Рисунок 127
2. Затем в окне Защищенная сеть дважды щелкнуть левой кнопкой мыши на имени
пользователя (АП), с которым Вы хотите работать на асимметричных ключах. Откроется окно
Правило доступа. Выберите вкладку Общие ,включите опцию Использовать
асимметричные ключи шифрования (Рисунок 128) и нажмите OK, тогда для данного
абонентского пункта будет сформирован асимметричный ключ и на АП выслана открытая
часть этого ключа. После получения АП открытой части ключа, если у него разрешено
использование асимметричных ключей шифрования, в ответ будет сформирован другой
асимметричный ключ, и открытая часть будет выслана обратно на Ваш АП. После этого работа
между этими АП будет происходить с использованием этих ключей.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 144
Рисунок 128
19 Регистрация ViPNet OFFICE
Регистрационные действия необходимо осуществить только в отношении модуля ViPNet
Manager.
При каждом запуске незарегистрированной программы ViPNet Manager, на экране Вашего
монитора будет появляться окно с предложением о регистрации ViPNet (Рисунок 129).
Рисунок 129
Если Вы пока не готовы регистрировать программу, то для запуска незарегистрированной
программы выберите опцию Запустить ViPNet Manager и нажмите кнопку Далее, а для отмены
запуска – кнопку Отмена.
Замечание: Вы всегда сможете вызвать процедуру регистрации из главного меню программы
ViPNet Manager.
Если срок работы программы в демо-режиме закончился, то для выбора будет доступна только
опция регистрации.
Для регистрации программы выберите опцию Зарегистрировать ViPNet Manager и нажмите
кнопку Далее. Запустится мастер регистрации ViPNet Manager (Рисунок 130).
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 145
Рисунок 130
Для регистрации ViPNet Manager необходимо выполнить следующие действия:
1. Купить соответствующую лицензию для ViPNet OFFICE и получить серийный номер (см.п.19.1).
Для покупки выберите опцию Купить (получить серийный номер).
Замечание: Если ViPNet OFFICE был приобретен Вами на компакт-диске, то серийный
номер уже входит в комплект поставки, и Вы можете отправлять запрос на регистрацию.
2. После получения серийного номера или если у Вас уже есть серийный номер, сделать запрос
на регистрацию в компанию "Инфотекс", и получить код регистрации (см. п.19.2). Для отправки
запроса на регистрацию выберите опцию Запрос на регистрацию (получить код
регистрации).
3. После получения кода регистрации зарегистрировать ViPNet Manager (см. п. 19.3). Для
регистрации продукта выберите опцию Зарегистрировать.
Замечание: В случае запроса на регистрацию через Интернет (в онлайновом режиме)
регистрация будет выполнена автоматически.
19.1 Покупка ViPNet (получение серийного номера)
Для покупки ViPNet выберите опцию Купить (Рисунок 130) в мастере регистрации и нажмите
кнопку Далее>. Откроется Интернет-сайт компании Инфотекс на странице заказа программных
продуктов ViPNet, где сможете купить необходимый Вам продукт.
После открытия Интернет-сайта мастер регистрации перейдет на следующий шаг, где
содержится информация о покупке ViPNet и координаты для связи с компанией "Инфотекс". Нажмите
кнопку Готово. Если срок работы программы ViPNet в демо-режиме не закончился, то Вам будет
предложено запустить программу.
После покупки ViPNet через Интернет-сайт, Вы получите серийный номер по электронной
почте.
Далее необходимо отправить запрос на регистрацию программы (см. п.19.2).
19.2 Запрос на регистрацию (получение кода регистрации)
Для отправки запроса на регистрацию выберите опцию Запрос на регистрацию (Рисунок 130)
в мастере регистрации и нажмите кнопку Далее>. Откроется окно Способ запроса на регистрацию
(Рисунок 131), где Вы можете выбрать способ запроса на регистрацию для получения кода
регистрации.
В этом и во всех остальных окнах, описанных ниже, Вы можете нажать кнопку <Назад для
возвращения к предыдущему окну или кнопку Отмена для отмены работы мастера.
Запрос на регистрацию может отправить лично пользователь программы ViPNet (обычная
регистрация – автоматическая в онлайновом режиме, по электронной почте, через веб-страницу, по
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 146
телефону), также имеется возможность организовать один запрос от нескольких пользователей через
системного администратора организации (групповая регистрация).
Рисунок 131
В окне Способ запроса на регистрацию выберите один из способов запроса на регистрацию
ViPNet, который Вам удобен, и нажмите кнопку Далее >:
· Автоматическая (online) – регистрация ViPNet через Интернет в онлайновом режиме
(см. п. 19.2.1).
· По электронной почте – отправка запроса по электронной почте (см. п. 19.2.2).
· Через веб-страницу – отправка запроса через Интернет-сайт компании Инфотекс (см.
п. 19.2.3).
· По телефону – данные для регистрации ViPNet Вы можете сообщить по телефону и по
полученному коду регистрации сразу зарегистрировать программу (см. п. 19.2.4).
· Групповая регистрация (через системного администратора) – этот способ следует
выбирать, если Вы не самостоятельно будете отправлять запрос на регистрацию
программы ViPNet, а через системного администратора организации (см. п. 19.2.5).
Замечание: Если у Вас еще нет серийного номера, то вернитесь в начало мастера регистрации
(Рисунок 130) и выберите опцию Купить.
19.2.1 Автоматическая регистрация (в онлайновом режиме)
После выбора опции Автоматическая (online) откроется окно Регистрационные данные
(Рисунок 132) для заполнения регистрационных данных.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 147
Рисунок 132
В этом окне Вам необходимо заполнить серийный номер в поле Серийный номер и при
желании указать дополнительную информацию в поле Дополнительные сведения, а также адрес
электронной почты.
Замечание: Если Вы ранее на каком-либо шаге мастера заполняли поле Серийный номер, то
это значение будет подставлено автоматически и Вам останется только его проверить.
Остальные поля заполняются автоматически. В поле Код компьютера подставлен код Вашего
компьютера12. В полях Пользователь и Организация подставлены значения (имя и название
организации), указанные Вами при установке программы. Вы можете изменить эти значения, если
потребуется.
После ввода данных нажмите кнопку Далее>. Откроется окно, в котором отображается время
ожидания ответа на отправленный через Интернет запрос на регистрацию (Рисунок 133).
Рисунок 133
На регистрацию в онлайновом режиме отводится не более 3-х минут. Если в течение 3-х минут
не удалось установить подключение к серверу системы регистрации и получить ответ на запрос, то
12
Код компьютера - код, однозначно идентифицирующий каждый компьютер.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 148
появится соответствующее сообщение (Рисунок 134) и произойдет возврат к окну заполнения
регистрационных данных (Рисунок 132).
Рисунок 134
При отказе в регистрации также будет выполнен возврат к окну заполнения регистрационных данных.
В этом случае необходимо проверить правильность серийного номера и попробовать
зарегистрироваться еще раз.
В случае успешной регистрации мастер перейдет на следующий шаг, где сообщается об успешной
регистрации программного продукта и даны полезные рекомендации по сохранению регистрационных
данных (более подробно о сохранении регистрационных данных читайте в п. 19.3.1).
Нажмите кнопку Готово. Вам будет предложено запустить программу ViPNet (если мастер
регистрации запускался не из главного меню программы ViPNet).
19.2.2 Запрос по электронной почте
После выбора опции По электронной почте (Рисунок 131) откроется
Регистрационные данные (Рисунок 135) для заполнения регистрационных данных.
окно
Рисунок 135
В этом окне Вам необходимо заполнить серийный номер в поле Серийный номер и при
желании указать дополнительную информацию в поле Дополнительные сведения.
Замечание: Если Вы ранее на каком-либо шаге мастера заполняли поле Серийный номер, то
это значение будет подставлено автоматически и Вам останется только его проверить.
Остальные поля заполняются автоматически. В поле Код компьютера подставлен код Вашего
компьютера. В полях Пользователь и Организация подставлены значения (имя и название
организации), указанные Вами при установке программы, Вы можете изменить эти значения, если
потребуется.
После ввода данных нажмите кнопку Далее>. Откроется окно письма, установленного у Вас
почтового клиента, с подставленными параметрами.
Вам остается только отправить письмо. После того, как компания Инфотекс обработает Вашу
заявку, Вы получите по электронной почте код регистрации программного продукта ViPNet.
После открытия письма почтового клиента мастер регистрации перейдет на следующий шаг,
где содержится информация о сроке ответа и координаты для связи с компанией "Инфотекс".
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 149
Нажмите кнопку Готово. Если срок работы программы ViPNet в демо-режиме не закончился, то Вам
будет предложено запустить программу.
После получения кода регистрации Вы можете зарегистрировать программу/продукт (см. п.
19.3).
19.2.3 Запрос через веб-страницу
После выбора опции Через веб-страницу (Рисунок 131) откроется Интернет-сайт компании
"Инфотекс" на странице заполнения и отправки регистрационных данных.
Заполните регистрационные данные и нажмите кнопку Отправить. После того, как компания
Инфотекс обработает Вашу заявку, Вы получите код регистрации программного продукта ViPNet.
После открытия Интернет-сайта мастер регистрации перейдет на следующий шаг, где
содержится информация о сроке ответа и координаты для связи с компанией "Инфотекс". Нажмите
кнопку Готово. Если срок работы программы ViPNet в демо-режиме не закончился, то Вам будет
предложено запустить программу.
После получения кода регистрации Вы можете зарегистрировать программу/продукт (см. п.
19.3).
19.2.4 Регистрация по телефону
После выбора опции По телефону (Рисунок 131) откроется окно Запрос на регистрацию по
телефону (Рисунок 136).
Рисунок 136
В этом окне отображены данные, которые Вам необходимо сообщить в компанию "Инфотекс",
позвонив по указанному телефону, для получения кода регистрации.
После того, как Вам будет сообщен код регистрации нажмите кнопку Далее>. Откроется окно
Зарегистрировать (Рисунок 137), где можете произвести регистрацию программы.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 150
Рисунок 137
В этом окне заполните серийный номер в поле Серийный номер и сообщенный Вам код
регистрации в поле Код регистрации.
Замечание: Если Вы ранее на каком-либо шаге мастера заполняли поле Серийный номер, то
это значение будет подставлено автоматически и Вам останется только его проверить.
После ввода данных нажмите кнопку Далее>. Если все поля были заполнены правильно, то
программный продукт ViPNet зарегистрируется и мастер перейдет на следующий шаг, где
сообщается об успешной регистрации программного продукта и даны полезные рекомендации по
сохранению регистрационных данных (более подробно о сохранении регистрационных данных
читайте в п.19.3.1).
Нажмите кнопку Готово. Вам будет предложено запустить программу ViPNet (если мастер
регистрации запускался не из главного меню программы ViPNet).
19.2.5 Групповая регистрация (через системного администратора)
Групповая регистрация предназначена для регистрации пользователями сразу нескольких
копий программ ViPNet через своего системного администратора.
Процесс регистрации в этом случае следующий: пользователь программы ViPNet создает файл
со своими регистрационными данными, который затем передает системному администратору.
Системный администратор собирает файлы с регистрационными данными от всех пользователей,
формирует общий запрос и отправляет его в компанию "Инфотекс". Далее системный администратор
получает из "Инфотекс" файл с кодами регистрации программ каждого пользователя, после чего
передает этот файл пользователям, и далее пользователи могут зарегистрировать свою программу.
Создание файла с регистрационными данными:
После выбора опции Групповая регистрация (через системного администратора)
(Рисунок 131) откроется окно Регистрационные данные (Рисунок 138) для заполнения
регистрационных данных.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 151
Рисунок 138
В этом окне Вам необходимо заполнить серийный номер в поле Серийный номер и при
желании указать дополнительную информацию в поле Дополнительные сведения.
Замечание: Если Вы ранее на каком-либо шаге мастера заполняли поле Серийный номер, то
это значение будет подставлено автоматически и Вам останется только его проверить.
Остальные поля заполняются автоматически. В поле Код компьютера подставлен код Вашего
компьютера13. В полях Пользователь и Организация подставлены значения (имя и название
организации), указанные Вами при установке программы, Вы можете изменить эти значения, если
потребуется.
После ввода данных нажмите кнопку Далее>. Откроется окно Сохранение регистрационных
данных, где необходимо указать каталог для сохранения файла с регистрационными данными
(Рисунок 139).
Рисунок 139
13
Код компьютера - код, однозначно идентифицирующий каждый компьютер.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 152
Укажите каталог при помощи кнопки Обзор… и нажмите кнопку Далее>. Регистрационные
данные сохранятся в текстовом файле <Серийный номер14>.txt. Мастер перейдет на следующий шаг,
где содержится информация о Ваших дальнейших действиях. Нажмите кнопку Готово. Если срок
работы программы ViPNet в демо-режиме не закончился, то Вам будет предложено запустить
программу.
Передайте Вашему системному администратору файл с регистрационными данными. После
получения от системного администратора файла с кодом регистрации Вы можете зарегистрировать
программу/продукт (см. п. 19.3).
19.3 Регистрация
Для регистрации программы выберите опцию Зарегистрировать (Рисунок 130) в мастере
регистрации и нажмите кнопку Далее>. Откроется окно Серийный номер (Рисунок 140).
Рисунок 140
В этом окне необходимо заполнить серийный номер в поле Серийный номер.
Замечание: Если Вы ранее на каком-либо шаге мастера заполняли поле Серийный номер, то
это значение будет подставлено автоматически и Вам останется только его проверить.
После ввода данных нажмите кнопку Далее>. Откроется окно Код регистрации (Рисунок 141),
где необходимо указать код регистрации.
14
Имя файла соответствует серийному номеру программы
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 153
Рисунок 141
Выберите способ регистрации, который Вы использовали (Рисунок 141):
· Обычная регистрация – выбирайте эту опцию, если Вы сами отправляли запрос на
получение кода регистрации в компанию "Инфотекс". В этом случае укажите код
регистрации, полученный от компании "Инфотекс".
· Групповая регистрация – выбирайте эту опцию, если запрос на регистрацию
отправлялся через Вашего системного администратора. В этом случае укажите путь файла
с кодом регистрации, который Вам передал системный администратор, при помощи кнопки
Обзор…
После ввода данных нажмите кнопку Далее>. Если все поля были заполнены правильно, то
программный продукт ViPNet зарегистрируется и мастер перейдет на следующий шаг, где
сообщается об успешной регистрации программного продукта и даны полезные рекомендации по
сохранению регистрационных данных (более подробно о сохранении регистрационных данных
читайте в п.19.3.1). Нажмите кнопку Готово. Вам будет предложено запустить программу ViPNet
(если мастер регистрации запускался не из главного меню программы ViPNet).
19.3.1 Полезная информация о сохранении регистрационных данных
После регистрации программы ViPNet все регистрационные данные сохраняются в
15
специальном хранилище – файле *.brg . Этот файл расположен в каталоге установки программы
ViPNet. После успешной регистрации программы, а также во всех других случаях, когда система
регистрации предлагает сохранить файл *.brg, рекомендуем сохранить его в надежном месте. Файл
*.brg может потребоваться после переустановки на компьютере ранее зарегистрированной на нем
программы ViPNet (например, после переустановки программы в другой каталог или после
форматирования диска, где была установлена программа). В этом случае, после установки
программы ViPNet, скопируйте сохраненный файл *.brg в каталог установки и запустите программу
ViPNet. Программа будет считаться зарегистрированной при условии, что верны регистрационные
данные (т.е. после последнего изменения кода регистрации не было существенных изменений
конфигурации Вашего компьютера).
Информация о регистрационных данных (серийном номере, коде компьютера, коде регистрации
и др.) записывается также в журнал регистраций – текстовый файл reginfo.txt. Этот файл расположен
в каталоге установки программы ViPNet. Информацию из этого файла можно использовать для
ручной регистрации программы после ее переустановки (например, при утере файла *.brg).
Информация о последних регистрационных данных находится в начале файла.
15
Название файла *.brg зависит от установленной программы.
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 154
20 Инструкция для системного администратора по осуществлению
групповой регистрации программных продуктов ViPNet
Групповая регистрация предназначена для регистрации программ ViPNet несколькими
пользователями через ответственного за регистрацию ViPNet, т.е. человека, специально
назначенного для координации действий по регистрации (как правило, таким человеком является
системный администратор организации).
Процесс групповой регистрации следующий:
Перед тем, как производить групповую регистрацию необходимо, чтобы все пользователи
имели серийный номер продукта. Если серийного номера нет, то пользователям необходимо его
получить, выбрав в мастере регистрации (Рисунок 130) опцию Купить.
Каждый пользователь, желающий зарегистрироваться, должен на своем рабочем месте
сформировать запрос на групповую регистрацию (см. п. 19.2.5), в результате чего будет создан файл
с регистрационными данными <Серийный номер16>.txt. Этот файл передается пользователем своему
системному администратору.
Замечание: Системный администратор может организовать сохранение этих файлов
пользователями сразу на какой-либо общедоступный сетевой диск.
Системный администратор собирает файлы с регистрационными данными пользователей, а
затем производит склейку содержимого всех файлов в один файл каким-либо способом.
Наиболее предпочтительным способом является использование команды copy:
Скопируйте все файлы пользователей в один каталог, убедитесь, что в нем нет лишних файлов
с расширением .txt. Затем в этом каталоге в командной строке наберите copy *.txt registration.all.
Замечание: Вместо registration.all можно использовать любое другое имя файла.
Далее администратор формирует групповой запрос на получение кодов регистрации ViPNet в
компанию "Инфотекс", т.е. полученный файл (registration.all) в виде вложения к письму отправляет
по адресу [email protected] В теме письма можно написать: Групповая регистрация ViPNet, текст
письма может быть любой.
Замечание: Если в регистрации участвует один пользователь можно отправить файл с его
регистрационными данными без обработки.
После того, как компания "Инфотекс" обработает запрос, системный администратор получит по
электронной почте письмо с вложением в виде текстового файла, содержащего коды регистрации
программного продукта ViPNet для всех пользователей, участвующих в групповой регистрации. Далее
этот файл нужно передать пользователям или выложить на общедоступный сетевой диск, чтобы
пользователи смогли зарегистрировать, установленную у них программу ViPNet (см. п. 19.3).
21 Расширение Лицензии
Если Вы достигли максимального значения сетевых узлов, предусмотренных Вашей лицензией,
Вы можете увеличить их количество, получив от дистрибьютора или производителя новую лицензию.
Для этого Вам необходимо связаться с дистрибьютором или производителем, сообщить номер
сформированной у Вас сети ViPNet и желаемые параметры новой лицензии. Посмотреть номер
Вашей сети ViPNet можно в окне О программе, выбрав в главном меню Справка -> О программе…
После оплаты изменений лицензии Вам будет выслан файл infotecs.reg. Поместите этот файл
в папку установки программы ViPNet Manager и перезапустите программу. ViPNet Manager перейдет
на использование лицензии из файла infotecs.reg.
После расширения лицензии Вы получите возможность добавлять дополнительные сетевые
узлы и туннельные лицензии.
16
Имя файла соответствует серийному номеру программы пользователя
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 155
Приложения
1 Терминология
Ниже даны определения базовых понятий, которые используются в данном документе:
Клиент или Абонентский пункт (АП)
Компьютер с установленной версией программного обеспечения ViPNet Клиент (более
детально см. пункт 1.1)
Координатор
Компьютер с установленной версией программного обеспечения ViPNet Координатор (более
детально см. пункт 1.1).
Сетевой узел
Клиент, Координатор или туннелируемый Координатором сетевой узел.
Защищенный компьютер
Компьютер, являющийся сетевым узлом или туннелируемым компьютером.
Туннелируемый компьютер
Компьютер, трафик которого туннелируется координатором ViPNet.
Незащищенный (открытый) компьютер
Компьютер, на котором не установлено ПО ViPNet и который не является туннелируемым
компьютером.
Лицензия
Лицензия определяет максимально возможное количество Координаторов и Клиентов, а также
максимально допустимое количество туннелируемых адресов. Лицензия ограничивает максимальную
конфигурацию программных продуктов ViPNet OFFICE и включена в серийный номер,
предоставляемый пользователю после покупки соответствующего продукта. Возможно обновление
лицензии на лицензию большего объема.
Соединение
Защищенный канал (шифрованное соединение) между двумя сетевыми узлами.
Сетевая структура ViPNet
Сеть ViPNet объединяет все сетевые узлы логически выделенной сети. Каждый Клиент должен
быть зарегистрирован на конкретном Координаторе. В процессе работы с ViPNet Manager Вы можете
выбрать типы соединений между сетевыми узлами. В дальнейшем связи можно изменять. Между
координаторами, а также между координатором и его абонентскими пунктами существуют
обязательные связи. Такие связи не могут быть отключены. Если в лицензии разрешены
туннелируемые соединения, то при первоначальном создании сети они распределяются
автоматически поровну между всеми координаторами в соответствии с созданной на настоящий
момент структурой сети. В дальнейшем максимальное число одновременно туннелируемых
координатором соединений можно изменить.
Для возможности рассылки на узлы сети ViPNet различных обновлений, один из АП
назначается Центром управления сетью (ЦУС). При первоначальном создании сети Центром
управления сетью автоматически назначается первый АП первого координатора. В дальнейшем
пунктом ЦУС можно назначить другой АП.
Если администратор не желает, чтобы АП ЦУС был виден в ViPNet-программах (Монитор,
Деловая почта) других узлов, то АП ЦУС не следует связывать с другими СУ. Независимо от наличия
связей, для обеспечения возможности управления узлами своей сети, вся необходимая ключевая
информация для связи с узлами своей сети будет сформирована автоматически.
АП ЦУС необходимо развернуть на компьютере администратора ViPNet Manager. После чего
рабочее место администратора будет готово для управления сетью (рассылки обновлений). В
дальнейшем при изменении структуры сети нужно будет просто обеспечивать обновление наборов
ключей на АП ЦУС в программе ViPNet Клиент (по умолчанию обновление в ViPNet Клиент проходит
автоматически).
Сертификат открытого ключа подписи (далее сертификат) пользователя
Электронный документ, содержащий открытый ключ электронной цифровой подписи (ЭЦП)
пользователя (абонента) сети. Сертификат используется для подтверждения подлинности ЭЦП
абонента под электронным документом и подтверждения того, что документ подписан именно им. В
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 156
ПК ViPNet сертификат создается программой ViPNet Manager и заверяется электронной цифровой
подписью Администратора ViPNet Manager. Срок действия сертификата администратора можно
задать (но не менее 5 лет). Срок действия сертификата пользователей фиксирован и составляет 3
года.
Спецификация содержимого и формат сертификата в сети ViPNet соответствует стандарту
X.509 версии 3 и Федеральному закону РФ "Об электронной цифровой подписи".
Наборы ключей (Ключи)
Наборы ключей для каждого сетевого узла находятся в *.DST файле, который необходим для
активации сетевого узла. Такой файл создается для каждого узла программой ViPNet Manager (см.
пункт 2).
Обновление наборов ключей
Процесс осуществления администратором ViPNet Manager централизованного управления
ключевыми базами сетевых узлов. А именно, при различных изменениях в сети ViPNet (добавление,
удаление СУ, изменение связей и т.д.) изменяется справочно-ключевая информация для узлов сети,
которых коснулись изменения, и, формируется обновление наборов ключей. Эти наборы ключей
администратору ViPNet Manager необходимо разослать на СУ.
Обновление ПО ViPNet
Процесс осуществления администратором ViPNet Manager централизованного обновления
версии программного обеспечения ViPNet на сетевых узлах.
Центр управления сетью (ЦУС)
С абонентского пункта, назначенного в программе ViPNet Manager Центром управления
сетью, администратор ViPNet Manager может отправлять на сетевые узлы различные обновления –
наборов ключей и ПО ViPNet.
Пользователь сети ViPNet
Пользователь программы ViPNet (Клиент или Координатор).
Пароль пользователя. Случайный пароль на основе парольной фразы
Пароль пользователя необходим для входа в любую программу ViPNet. Пароль, состоящий из
случайного набора чисел и знаков, достаточно трудно запомнить, поэтому ViPNet Manager создает
парольные фразы, которые в свою очередь могут быть использованы для получения пароля.
Парольные фразы могут быть созданы на русском, английском и немецком языках. Фразы
представляют собой грамматически корректные конструкции, однако слова составляющие фразу
выбираются абсолютно случайным образом из большого по объему словаря (русского, немецкого или
английского). Парольная фраза может содержать 3 или 4 слова, при желании пароль может быть
создан из двух парольных фраз.
Чтобы получить пароль из парольной фразы, достаточно взять Х первых букв из каждого слова
парольной фразы содержащей Y слов (без пробелов). Пользователь сам задает параметры X и Y, а
также язык парольной фразы.
Например:
Пароль создается из фразы, содержащей 4 слова на русском языке:
Затейливый ювелир утащил сдобу
При использовании 4-х первых буквы каждого слова фразы мы получим следующий пароль:
"Затеювелутащсдоб" или "pfnt.dtkenfoclj," в латинице.
Транспортный пакет
Пакет, создаваемый приложениями "Деловая почта" или "Файловый обмен". Пакет содержит
заголовок с параметрами, необходимыми для маршрутизации его в сети ViPNet (не путать с
маршрутизацией IP-пакетов!).
Пароль администратора СУ
Используется для входа в ПО ViPNet (Клиент или Координатор) с правами администратора для
получения возможности произвести дополнительные настройки ПО ViPNet.
Администратор ViPNet Manager
Пользователь программы ViPNet Manager, отвечающий за конфигурирование сети ViPNet,
создание и обновление справочно-ключевой информации для сетевых узлов.
Пароль администратора ViPNet Manager
Пароль для входа в программу ViPNet Manager.
Внешняя сеть
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 157
Сеть, имеющая другое адресное пространство по отношению к своей (внутренней) сети.
Внешние IP-адреса
Адреса внешней сети.
Межсетевой экран или другое устройство, выполняющие NAT
Межсетевой экран или другое устройство, осуществляющее преобразование внутренних
адресов сети в адреса, доступные из внешней сети, т.е. выполняющее технологию трансляции
сетевых адресов (NAT) – Network Address Translation. ПО ViPNet в своих настройках различает три
типа МЭ (NAT-устройств):
· ViPNet-координатор – компьютер с установленным на нем ПО ViPNet Координатор,
обеспечивает NAT только для ViPNet-узлов (СУ) локальной сети.
· Со статической трансляцией адресов – МЭ или некоторое устройство, обеспечивающее
NAT, на котором можно настроить статические правила трансляции адресов,
обеспечивающие взаимодействие с определенным внутренним адресом локальной сети по
UDP-протоколу с заданным портом.
· С динамической трансляцией адресов – МЭ или некоторое устройство, обеспечивающее
NAT, на котором затруднительно настроить статические правила трансляции адресов.
Частные адреса
Для сетей на базе протокола IP, не требующих непосредственного подключения к Интернет,
выделено три диапазона IP-адресов: 10.0.0.0-10.255.255.255; 172.16.0.0-172.31.255.255; 192.168.0.0192.168.255.255, которые никогда не применяются во внешних (глобальных) сетях (в т.ч. и в
Интернет). Любая организация может использовать любые наборы адресов из этих диапазонов для
узлов своей локальной сети.
IP-адреса допустимые в Интернет
Все IP-адреса, кроме зарезервированных для использования в локальных сетях частных IPадресов.
Защищенный DNS или WINS сервер
Сервер, размещенный на защищенном компьютере.
Защищенные прикладные серверы
(WEB-сервер, почтовый сервер, FTP-сервер и т.д.) – соответствующие серверы, размещенные
на защищенном компьютере.
Публичный (открытый) DNS-сервер
Сервер, размещенный на незащищенном (открытом) компьютере.
2 Ключевая система ViPNet
Криптографическая система ViPNet базируется на комбинации криптографии с симметричными
ключами и криптографии с открытым (асимметричным) распределением ключей. Симметричные
алгоритмы используются для шифрования и контроля целостности передаваемой информации.
Используемые при этом ключи парной связи являются специальной функцией от предварительно
сформированных симметричных ключей и выработанных пользователями асимметричных ключей
(секретного и открытого), смена которых осуществляется на регулярной основе. Основным
результатом применения такой комбинированной ключевой системы является то, что для
администратора сети становится невозможным осуществить доступ к данным пользователей, хотя
ему и известны исходные ключевые наборы симметричных ключей пользователей, выработанные им
с помощью ViPNet Manager (см. п. 1.1.2). После того как пользователь с помощью ViPNet Клиент
выработает свой секретный ключ (см. п. 18), ключ парной связи становится неизвестен
администратору.
Криптографическое ядро системы ViPNet реализует следующие криптоалгоритмы: AES (256
бит), ГОСТ (256 бит), 3DES (168 бит), DES (56 бит) и RC6 (256 бит). Алгоритмом по умолчанию
является ГОСТ (256 бит), остальные алгоритмы могут быть свободно выбраны самим пользователем.
Длина ключа для асимметричной ключевой системы (открытый и секретный ключи) равна 1024 бит
(ГОСТ Р 34.10-2001).
Как уже было отмечено выше, секретный асимметричный ключ вырабатывается Клиентом
независимо и хранится в секрете от остальных пользователей. В дальнейшем пользователь создает
на его основе открытый ключ, после чего открытые ключи сохраняются в специальном списке и
рассылаются остальным пользователям. Перед отправкой другим пользователям (или сетевым
ФРКЕ.00036-05 90 01
Руководство администратора
ViPNet OFFICE/TUNNEL 158
узлам) соответствующие списки открытых ключей шифруются на симметричном ключе парной связи с
соответствующим сетевым узлом. Указанная мера исключает угрозу подмены списка "в пути".
Асимметричный ключ пользователя (предназначенный для последующего шифрования данных)
комбинируется с открытым ключом другого пользователя, в итоге вырабатывается новый ключ,
который известен только паре "отправитель-получатель". Именно этот ключ используется для защиты
трафика между этими двумя пользователями.
Система ViPNet не использует директории для публикации открытых ключей.
Для развертывания ViPNet структуры, ViPNet Manager создает индивидуальный набор ключей в
виде *.DST файла для каждого сетевого узла. Этот файл необходим для инициализации программы
ViPNet на сетевом узле (Координатора или Клиента). Файл DST включает в себя начальные наборы
симметричных ключей, адресные справочники для связи с другими сетевыми узлами и
регистрационный файл infotecs.re.
Последующее распределение асимметричных ключей между сетевыми узлами полностью
автоматизировано.
3 Виды лицензий на ViPNet OFFICE и ViPNet TUNNEL
Таблица 1 представляет возможные варианты комплектации:
Таблица 1
Комплектации
ViPNet OFFICE
Число
Координаторов
Число
Клиентов
Число туннелей
Demo
2
2
2
Light
1
5
5
Standard
2
10
10
Advanced
3
15
15
Corporate
5
30
25
Standard
2
-
20
Advanced
3
-
30
Комплектации
ViPNet TUNNEL
Corporate
4
40
Каждая комплектация включает лицензию, которая определяет максимально разрешенное
количество Координаторов, количество Клиентов и разрешенное количество сетевых узлов, трафик
от/к которым может быть туннелирован Координатором.
Вы всегда можете сделать обновление имеющейся лицензии на лицензию большего объема.
Более детальная информация по этому вопросу дана в главе 21 настоящего руководства.
3.1
Ограничения для незарегистрированной версии (Demo)
Сразу после установки ViPNet Manager будет работать как незарегистрированная версия со
следующими ограничениями:
Вы сможете использовать программу только в течение 60 дней, после чего ее невозможно
будет загрузить.
Незарегистрированная версия также ограничивает возможности администратора по
расширению компонент сети. Невозможно будет создать сетевых узлов больше, чем это
предусмотрено для пакета ViPNet OFFICE Demo. Демо-сеть включает только 2 Координатора и 2
Клиента, а также туннельные лицензии всего лишь для 2 IP-адреса, трафик которых может
туннелироваться Координаторами. Наборы ключей для сетевых узлов будут действительны только 60
дней. Таким образом, по истечении 60 дней ПО ViPNet (Клиент или Координатор), установленное на
узлах сети, будет автоматически выведено из работы. Помните это, когда будете устанавливать
ViPNet OFFICE Demo в сети, использующейся в реальных бизнес процессах Вашей организации.
Чтобы легально использовать ViPNet Manager после тестовой фазы и/или иметь возможность
изменять структуру ViPNet сети согласно текущим запросам и без ограничения по времени,
необходимо зарегистрировать программу (для более детальной информации см. главу 19).
Процедура регистрации касается только модуля ViPNet Manager.
ФРКЕ.00036-05 90 01
1/--страниц
Пожаловаться на содержимое документа