Правила формирования виртуальных адресовФормирование виртуальных адресов производится, начиная с некоторого начального адреса, который устанавливается пользователем (по умолчанию имеет значение 11.0.0.1). Формирование виртуальных адресов производится в случае: - Приложение запускается впервые и виртуальные адреса ещё не формировались (виртуальные адреса вычисляются и назначаются для всех узлов). - Пользователь изменил значение начального виртуального адреса (виртуальные адреса вычисляются и назначаются вновь для всех узлов). - Появление нового узла (виртуальный адрес вычисляется и назначается только для него). - У узла появился дополнительный реальный адрес. - У узла появился туннелируемый адрес или диапазон туннелируемых адресов. При вычислении следующего свободного виртуального адреса для узла производится добавление 1 в младшую (последнюю, самую правую) тетраду последнего назначенного виртуального адреса, причём значения 0 и 255 пропускаются. Если значение младшей тетрады последнего назначенного виртуального адреса достигнет 254, то увеличивается значение следующей по старшинству тетрады, а младшая тетрада станет равной 1, например: 11.0.0.1, 11.0.0.2, …, 11.0.0.254, 11.0.1.1, 11.0.1.2, … Назначение виртуального адреса для появившегося у узла дополнительного реального адреса осуществляется путем прибавления к базовому адресу чисел 0.1.0.0, 0.2.0.0, 0.3.0.0 и т.д. Виртуальные адреса вычисляются и назначаются также для списка диапазонов туннелируемых адресов всех координаторов, с которыми связан данный узел. Если список диапазонов туннелируемых адресов – пустой, то виртуальные адреса для него не вычисляются. Формирование виртуальных адресов для списка диапазонов туннелируемых адресов производится, начиная с заданного начального адреса, у которого старшая тетрада увеличена на 1. Например, если значение начального виртуального адреса равно 11.0.0.1, то значение начального виртуального адреса, используемого для формирования виртуальных адресов списка диапазонов туннелируемых адресов равно 12.0.0.1. Значение первого свободного адреса для следующего сервера равно 12.0.2.1, для следующего - 12.0.4.1, и т.д., таким образом, любой сервер может туннелировать до 512 адресов. При вычислении следующего свободного виртуального адреса для списка диапазонов туннелируемых адресов производится добавление 2 во вторую справа тетраду последнего назначенного виртуального адреса. При вычислении следующего свободного виртуального адреса для следующего элемента списка диапазонов туннелируемых адресов производится добавление числа, равного разности значений границ предыдущего диапазона плюс 1 в младшую тетраду последнего назначенного виртуального адреса. Например, для списка {195.210.139.20-195.210.139.25, 195.210.139.30-195.210.139.35} координатора №1 будут назначены виртуальные адреса {11.0.0.1-11.0.0.6, 11.0.0.7-11.0.0.12}, а для списка {195.210.139.40-195.210.139.45, 195.210.139.50-195.210.139.55} координатора №2 будут назначены виртуальные адреса {11.0.2.1-11.0.2.6, 11.0.2.7-11.0.2.12}. Если не меняется стартовый виртуальный адрес, то виртуальные адреса закрепляются за узлами и не зависят от изменения или обнуления реального адреса. Надо отметить, что приведенный здесь алгоритм формирования виртуальных адресов не является единственно возможным или оптимальным. В будущем возможно использование другого алгоритма, удовлетворяющего новым требованиям. 2.7.ViPNet [Клиент] ViPNet [Клиент] - модуль, реализующий на рабочем месте следующие функции: 1. Персональный сетевой экран - позволяет защитить компьютер от попыток несанкционированного доступа, как из глобальной, так и из локальной сети. Персональный сетевой экран позволяет системному администратору или пользователю (при наличии присвоенных ему полномочий): - управлять доступом к данным компьютера из локальной или глобальной сети; - определять адреса злоумышленников, пытающихся получить доступ к информации на Вашем компьютере; - обеспечивать режим установления соединений с другими открытыми узлами локальной или глобальной сети только по инициативе пользователя, при этом компьютер пользователя остается «невидимым» для открытых узлов локальной и глобальной сетей (технология Stealth), что исключает возможность запуска по инициативе извне всевозможных программ «шпионов»; - формировать «черные» и «белые» списки узлов открытой сети, соединение с которыми соответственно «запрещено» или «разрешено»; - осуществлять фильтрацию трафика по типам сервисов и протоколов для данного адреса открытой сети или диапазона адресов, что позволяет, в случае необходимости, ограничить использование «опасных» сервисов на «сомнительных» узлах открытой сети; - осуществлять фильтрацию трафика по типам сервисов и протоколов для связанных с данным узлом других защищенных узлов. - контролировать активность сетевых приложений на данном компьютере, где установлен ViPNet [Клиент], что позволяет вовремя обнаружить и заблокировать активность несанкционированно установленных и запущенных программ «шпионов», которые могут передавать злоумышленникам сведения об информации, обрабатываемой на данном компьютере (пароли доступа, данные о кредитных картах, идентификаторы для доступа в корпоративные базы данных и др.) 2. Установление защищенных соединений между компьютерами, оснащенными ViPNet [Клиент], для любых стандартных сетевых приложений. Для любых сетевых приложений обеспечиваются следующие основные функции: - шифрование IP-пакетов с добавлением в них информации для обеспечения целостности, контроля времени, идентификации (авторизации) и скрытия первоначальной структуры пакета; - блокировка шифрованных пакетов при нарушении их целостности, превышении допустимой разницы между временем отправки и текущим временем (защита от переповторов) или при невозможности аутентифицировать пакет; - предоставление СОМ интерфейса для вызова криптографических функций и их использования Web приложениями. Возможность установления защищенных соединений между компьютерами, оснащенными ViPNet [Клиент] позволяет: - организовать схему защищенного использования всевозможных Web-приложений, в том числе Web-trading, Web-ordering, Web-хостинга, Web-вещания и т.д., с доступом к Web-платформе, на которой установлен ViPNet [Клиент], только определенному списку участников VPN. Данная схема обеспечивает пользователям и корпорации гибкое и безопасное использование всевозможных Web-приложений как наиболее простого и доступного средства коллективной работы корпорации и ее партнеров; - защитить и дополнительно авторизовать все соединения между локальными, мобильными и удаленными пользователями, оснащенными ViPNet [Клиентом], и корпоративными серверами приложений, баз данных, SQL-серверами, также оснащенными ViPNet [Клиентом]. Это открывает широкие возможности по безопасному внедрению всевозможных ERP-систем, финансово-учетных систем, работающих в реальном времени, систем типа «Клиент-Банк», «Интернет-Банкинг», CRM (Customer Relationship Management) систем и прочих систем, где с одной стороны накапливается конфиденциальная информация, требующая соблюдения правил информационной безопасности и управления доступом, а с другой стороны необходима коллективная работа с приложениями на сети разных категорий пользователей; - использовать недорогие и общедоступные сетевые ресурсы открытой сети для передачи конфиденциальной информации. 3. Услуги защищенных служб реального времени для организации обмена сообщениями, проведения конференций, защищенных аудио- и видео-переговоров позволяют: - обмениваться сообщениями или организовывать циркулярный обмен сообщениями, в процессе которого организатор такого обмена видит все сообщения, в то же время участники обмена сообщений друг друга не видят. При этом ведутся и могут быть сохранены протоколы всех сообщений; - проводить защищенные конференции; - оперативно видеть подтверждения доставки и прочтения сообщений; - проводить защищенные аудио- (Voice over IP) и видео-переговоры (конференции) При этом, технология ViPNet поддерживает любые стандартные программные и аппаратные средства для проведения аудио- и видео-конференций, основанные на IP-технологиях. 4. Сервис защищенных почтовых услуг – защищенный почтовый клиент с возможностями аутентификации отправителя и получателя, а также обеспечивающий контроль за прохождением и использованием документов. Деловая почта - модуль, входящий в состав ViPNet [Клиент], позволяет: - передавать электронные сообщения по открытым каналам связи с защитой на всем маршруте следования от отправителя до получателя, при этом в качестве открытого канала могут быть использованы стандартные сервера SMTP/POP3; - одновременно с самим сообщением защитить прикрепленные к нему файлы; - организовать по установленным правилам защищенный автопроцессинг стандартных документов, «рождаемых» другими приложениями и системами управления бизнесом (бухгалтерскими, банковскими, управленческими и пр.); - осуществлять поиск документа в почтовой базе документов по множеству параметров (отправитель, получатель, тема, дата, период, контекст и т.п.) - подтверждать личность отправителя, используя ЭЦП, встроенную в общую систему безопасности; - передать сообщение только тем получателям, для которых оно предназначалось, а также при необходимости автоматически отправить копии сообщений на заданные в ЦУС узлы; - подтвердить получение и использование сообщений, а также дату, время получения и личности получателей; - вести учетную нумерацию сообщений. Кроме вышеперечисленных функций ViPNet [Клиент] предоставляет СОМ интерфейс для вызова криптофункций и их совместного использования с Web приложениями. Более подробно о ViPNet [Клиенте] и его модулях можно узнать из учебно-методического пособия “Технология построения виртуальных защищенных сетей ViPNet: практикум”.
|
