Последовательность выполнения. Шаг 1 Особенности взаимодействия защищенных сетей ViPNet версий 2.8 и 3.0

Шаг 1
Особенности взаимодействия защищенных сетей ViPNet версий 2.8 и 3.0

Для обеспечения совместной работы с сетями версии 2.8 в УКЦ необходимо произвести преобразование и импорт межсетевых мастер-ключей версии 2.8. Преобразование производится при первом запуске УКЦ, или путем импорта такой информации по завершению первичной инициализации.

До установки в сети ПО ViPNet Администратор версии 3.0 межсетевое взаимодействие СУ версии 3.0 обеспечивается в полном объеме с учетом тех же ограничений по совместимости, что и в рамках одной сети.

Межсетевое взаимодействие ПО ViPNet Администратор версии 3.0 с сетями версии 2.8 возможно только на индивидуальных симметричных мастер–ключах. При установке ПО ViPNet Администратор поверх версии 2.8 имеющиеся в наличии индивидуальные симметричные мастер – ключи преобразуются к новому формату. Если для связи с некоторой сетью использовались асимметричные ключи, то необходимо осуществить обмен новыми, индивидуальными симметричными мастер–ключами с этими сетями. При этом существует ряд особенностей:

- В версии 2.8 приоритетным для использования являлся асимметричный мастер–ключ. В связи с этим после генерации и экспорта индивидуального симметричного мастера в сети версии 2.8 новый мастер–ключ должен быть помечен как " действующий" (такая возможность появилась, начиная с версии 2.8.9). При невыполнении данного требования УКЦ версии 2.8 будет продолжать использовать асимметричный мастер–ключ, и связь будет утеряна.

- Версия 2.8 не воспринимает формат экспорта версии 3.0, в связи с этим генерация и экспорт мастер–ключа должен осуществляться только в сети версии 2.8 для сети версии 3.0.

- В версии 3.0 не поддерживаются ключи подписи версии 2.7, таким образом, экспорт справочников сертификатов Администраторов (файлы MMMM.chf) и списков отозванных сертификатов (MMMM_rem.sgn) версии 2.7 будет игнорироваться.

С точки зрения первоначального обеспечения межсетевого взаимодействия особенных изменений не произошло в сравнении с версией 2.8.

 

 

Шаг 2
Формирование межсетевого взаимодействия сетей 2.8 и 3.0

Взаимодействие сетей версий 2.8 и 3.0 возможно только по Индивидуальным СММК.

Для работы с сетью версии 3.0 можно использовать ту схему, которая была получена после выполнения Занятия 1 (окно Защищенная сеть Администратора 3 0 показано на Рис. 3.2.). Либо сформировать такую сеть, которая указана в задании.

Для сети версии 2.8 необходимо сформировать защищенную сеть согласно заданию (окно Защищенная сеть Администратора 2 8 показано на Рис. 3.3.).

 

Внимание! Перед модификацией сетей ViPNet и высылкой обновлений необходимо проверить работоспособность каналов связи между узлами защищенной сети. По умолчанию, все СУ сети ViPNet используют канал Через сервер. Для взаимодействия СУ между собой без посредников необходимо использовать канал MFTP.

 

Рис. 3.2. Окно Защищенная сеть Администратора 3 0

Рис. 3.3. Окно Защищенная сеть Администратора 2 8

- РАБОТА В СЕТИ ВЕРСИИ 2.8.

Начальный Экспорт при взаимодействии сетей версий 2.8 и 3.0 формируется в сети версии 2.8. В состав экспорта будет входить набор экспортных справочников и ИСММК. Начальный Экспорт необходимо передать доверенным каналом связи администратору партнерской сети

 

- РАБОТА В СЕТИ ВЕРСИИ 3.0.

При приеме Начального Экспорта экспортные справочники необходимо поместить в каталог ..\NCC\Import, а ИСММК – в каталог ..\KC\Import.

При запуске ЦУСа появятся сообщения о приеме справочников, после чего необходимо прописать межсетевые каналы в Адресной администрации и прописать связи между ТК своей сети и партнерской сети. А также следует указать межсетевой канал (связать между собой Координаторы сетей) между сетями 3.0 и 2.8 (Рис. 3.4.).

Рис. 3.4. Межсетевой канал сетей 2.8 и 3.0

После этого в меню Службы → Экспорт необходимо указать ТК и шлюз на экспорт и сформировать экспортные справочники для передачи их в партнерскую сеть. После формирования справочников следует перейти в УКЦ.

При загрузке УКЦ также появятся предупреждения о приходе импортированной информации из сети 2.8.

Рис. 3.5. Предупреждение о приходе справочника сертификатов администраторов

На предложение импортировать справочник сертификатов администраторов из доверенных сетей (Рис. 3.5.) следует нажать Да. В появившемся окне необходимо выбрать сертификат Администратора 2 8 и просмотреть его (кнопка Сертификат). После этого сертификат необходимо импортировать (кнопка Импорт сертификата).

Далее следует выйти из окна импорта сертификатов администраторов других сетей и появится окно с предложением создать ключевые наборы для СУ своей сети (Рис. 3.7.), на которое необходимо ответить Нет, поскольку еще не был импортирован ИСММК из сети версии 2.8.

Импортированный сертификат Администратора 2 8 можно посмотреть в каталоге Удостоверяющий центр / Сертификаты администраторов / Доверенные сети ViPNet / Текущие (Рис. 3.8.).

ИСММК из сети 2.8 в настоящий момент находится в каталоге Ключевой центр / Доверенные сети ViPNet / Мастер-ключи / Входящие (Рис. 3.9.). Перед импортом можно проверить целостность и правильность пароля защиты этого мастер-ключа посредством меню Проверить… из контекстного меню, появляющегося после щелчка правой кнопкой «мыши» на записи мастер-ключа.

Рис. 3.6. Импорт сертификата администратора другой сети

Рис. 3.7. Предложение создать ключевые наборы

Рис. 3.8. Сертификат администратора другой сети

Рис. 3.9. Импортированный, но не введенный в действие ИСММК

Для импортирования мастер-ключа необходимо щелкнуть на его записи правой кнопкой «мыши» и выбрать строку меню Импорт… После указания пароля защиты мастер-ключ будет импортирован и помещен в каталог … Мастер-ключи / Текущие.

Иконка перед строкой записи импортированного мастер-ключа полупрозрачная, поскольку ИСММК импортирован, но не введен в действие. Для введения в действие этого МК необходимо щелкнуть на его записи правой кнопкой «мыши» и выбрать строку меню Ввести в действие. Программа запросит подтверждение на введение в действие (Рис. 3.10.) и, при согласии, сделает его действительным (иконка станет полноцветной) и текущим (поскольку он один присутствует в каталоге).

Рис. 3.10. Предупреждение о согласовании

Информацию о пользователях и СУ партнерской сети можно просмотреть в каталоге Ключевой центр / Доверенные сети ViPNet / Пользователи или … / Сетевые узлы.

Теперь можно сформировать ключевые наборы для ТК и СУ своей сети и выслать их в ЦУС. Из ЦУСа КН и справочники необходимо разослать по СУ своей сети в виде обновлений.

Теперь Ответный Экспорт необходимо передать доверенным каналом связи администратору партнерской сети.

 

- РАБОТА В СЕТИ ВЕРСИИ 2.8.

Полученный импорт из сети версии 3.0 необходимо поместить в каталог ..\NCC\Import и начать работу в ЦУСе. При загрузке ЦУСа будет выведено предупреждение о полученном импорте для ЦУСа и УКЦ.

В Прикладной администрации необходимо связать ТК своей сети с ТК партнерской сети согласно заданию, после этого – в Адресной администрации указать СМ-шлюз, и далее – сформировать справочники.

При загрузке УКЦ будут выведены предупреждения о появившемся импорте из партнерской сети. На вопрос об импорте справочников с вариантами сетевых узлов для смежных сетей (Рис. 3.11.) следует ответить Да. Так же следует ответить Да на вопрос об импорте справочников сертификатов ЭЦП Главных абонентов из смежных сетей (Рис. 3.12.). В появившемся окне следует просмотреть перед импортом предложенные сертификаты и только после этого – импортировать их.

Рис. 3.11. Предупреждение о приходе экспорта

Также необходимо согласиться на предложение импортировать справочники СОС из сети версии 3.0 (Рис. 3.13.).

После импорта всех видов сертификатов из сети версии 3.0 будет предложено сформировать КН для узлов своей сети (Рис. 3.14.). На это предложение следует отказаться и сформировать КН с помощью меню Службы → Автоматическое формирование ключей…, после чего КН следует перенести в ЦУС и, вместе со справочниками, разослать по СУ своей сети.

Рис. 3.12. Предупреждение о приходе справочника сертификатов ЭЦП главных абонентов другой сети

Рис. 3.13. Предупреждение о приходе СОС из смежной сети

Рис. 3.14. Предложение создать КН для СУ своей сети

После рассылки КН и справочников по СУ своей сети необходимо отправить уже по защищенному каналу Заключительный Экспорт для сети версии 3.0. Для этого следует зайти в меню Службы Экспорт и скопировать в папку по умолчанию экспортные справочники для сети версии 3.0, после чего зайти в меню Управление → Отправить измененные файлы → Экспорт и нажать на кнопку Отправить.

 

- РАБОТА В СЕТИ ВЕРСИИ 3.0.

В ЦУСе при загрузке появляется вопрос об обработке импорта (Рис. 3.15.). Следует ответить Да и в появившемся меню выбрать кнопку Обработать. Появятся предупреждающие окна о пришедшем импорте.

Рис. 3.15. Предупреждение о приходе импорта

В меню Службы → Экспорт необходимо еще раз указать экспортные ТК и СМ-шлюз, после чего сформировать справочники и отправить их в УКЦ.

В УКЦ необходимо принять уже импортированный справочник администраторов доверенных сетей, сформировать КН для СУ своей сети и отправить их в ЦУС, из которого эти КН необходимо разослать по указанным СУ.

В результате экспортных операций взаимодействие между Администраторами защищенных сетей версий 2.8 и 3.0 будет завершено. СУ Администраторов будут взаимодействовать по защищенному каналу (Рис. 3.16.).

Рис. 3.16. Окно Защищенная сеть Администратора 3 0 и проверка соединения с Администратором 2 8

 

Практическое занятие 4. Взаимодействие ViPNet-сетей версий 3.0

 

 

Цель задания № 4

§ Создание защищенных сетей на основе ПО ViPNet версий 3.0.

§ Изучение особенностей взаимодействия ключевых структур сетей ViPNet версии 3.0.

§ Обеспечение межсетевого взаимодействия сетей ViPNet версии 3.0.

 

Содержание

§ Создание виртуальных сетей 3 0 и 3 1.

§ Настройка межсетевого взаимодействия между сетями.

 

Задание № 4

§ Создать и настроить защищенные сети в соответствии с нижеперечисленными условиями и топологией сети (Рис. 4.1.).

§ Настроить межсетевое взаимодействие между сетями посредством Индивидуального симметричного межсетевого Мастер-ключа (ИСММК).

Рис. 4.1. Взаимодействие ViPNet-сетей версии 3.0 и 3.1

Условия построения защищенной сети 3 0:

В защищенную сеть включаются следующие Сетевые Узлы (СУ):

Сервер-маршрутизатор Координатор 3 0, на котором регистрируются:

- АП Администратор 3 0;

- АП Клиент 3 0.

 

СВЯЗИ СЕРВЕРОВ и СЕТЕВЫХ УЗЛОВ:

Все типы коллективов всех сетевых узлов защищенной сети должны иметь связь между собой.

АБОНЕНТЫ ЗАЩИЩЕННОЙ СЕТИ:

На каждом СУ (как серверах-маршрутизаторах, так и абонентских пунктах) должно быть зарегистрировано по одному ТК, в каждом из которых должно быть по одному пользователю.

ЭЛЕКТРОННУЮ ЦИФРОВУЮ ПОДПИСЬ должны иметь только пользователи сети ViPNet, зарегистрированные на АП.

АДМИНИСТРАТОРОМ БЕЗОПАСНОСТИ, т.е. Администратором Центра Управления Сетью и Уполномоченным лицом Удостоверяющего Ключевого Центра защищенной сети является Администратор 3 0.

 

Условия построения защищенной сети 3.1:

В защищенную сеть включаются следующие Сетевые Узлы (СУ):

Сервер-маршрутизатор Сервер-маршрутизатор 3 1, на котором регистрируются:

- АП Админ 3 1;

- АП Пользователь 3 1.

 

СВЯЗИ СЕРВЕРОВ и СЕТЕВЫХ УЗЛОВ:

Все типы коллективов всех сетевых узлов защищенной сети должны иметь связь между собой.

АБОНЕНТЫ ЗАЩИЩЕННОЙ СЕТИ:

На каждом СУ (как серверах-маршрутизаторах, так и абонентских пунктах) должно быть зарегистрировано по одному ТК, в каждом из которых должно быть по одному пользователю.

ЭЛЕКТРОННУЮ ЦИФРОВУЮ ПОДПИСЬ должны иметь только пользователи сети ViPNet, зарегистрированные на АП.

АДМИНИСТРАТОРОМ БЕЗОПАСНОСТИ, т.е. Администратором Центра Управления Сетью и Уполномоченным лицом Удостоверяющего Ключевого Центра защищенной сети является Админ 3 1.

 

Условия построения межсетевого взаимодействия:

Все ТК обеих сетей должны иметь право обмениваться информацией в защищенном виде со всеми ТК партнерской сети.

Шлюзом в сети 3.0 должен быть СМ Координатор 3.0. Шлюзом в сети 3.1 должен быть СМ Координатор 3.1.