Технология ViPNet версии 3.0

Версия 3.0 имеет ряд принципиальных отличий от предыдущих версий. Основные отличия заключаются в следующем:

- Изменена ключевая структура и форматы хранения ключевой информации на сетевых узлах (СУ) и в Ключевом центре (УКЦ).

- Формат исходящих пакетов в драйвере – 4.1, формат пакета 4.0 используется только для входящих пакетов. Таким образом, связь с версиями 2.7 и ниже невозможна.

- Изменен формат хранения данных в УКЦ.

- Изменен формат открытого ключа асимметричных ключей шифрования (АКШ) и порядок рассылки АКШ.

В связи с этим полной совместимости версий нет, особенно в части подписи сообщений и обмена АКШ. В части шифрования и работы УКЦ и межсетевого взаимодействия совместимость достигается при соблюдении правил перехода на новую версию.

Основные изменения, произошедшие в версии ПО ViPNet 3.0, касаются изменений ключевой структуры VPN-сети и работы Удостоверяющего и Ключевого центра (УКЦ).

ПО ViPNet Клиент версии 3.0 может быть установлено поверх предыдущих версий программы. При этом производится автоматическое преобразование ключевой информации, необходимой для нормальной работы СУ. При преобразовании на СУ формируется дополнительная ключевая информация. Для этого после ввода пароля при первом старте ПО вызывается Электронная рулетка. При отказе от генерации случайного числа ключи не могут быть преобразованы. При этом база данных Деловой Почты остается полностью доступной для расшифрования.

Ключи версии 2.8 с СУ не удаляются. Таким образом, при возвращении к версии 2.8 (до установки УКЦ версии 3.0) работоспособность СУ сохраняется. Начиная с версии 2.8.10, совместимость в части подписи поддерживается в полном объеме.

Не подлежат преобразованию и не поддерживаются в данной версии:

Ключи подписи версии 2.7 и ниже. При проверке подписи корреспонденции в Деловой Почте, подписанной ключами подписи версии 2.7, будет выдаваться сообщение о неверном формате подписи. При пересылке таких писем подпись данного формата с вложений будет автоматически удаляться.

Асимметричные ключи шифрования версии 2.8 и ниже. При приходе конвертов с АКШ от СУ версий 2.8 и ниже будет формироваться квитанция об отказе от работы на АКШ. В случае отправки конвертов с АКШ с СУ версии 3.0 на СУ версии 2.8, на принимающей стороне может возникать сообщение об ошибке при приеме АКШ. В этом случае на принимающей стороне не формируется квитанция об отказе от работы на АКШ, и ошибка может повторяться. Поэтому, прежде чем включить сетевой узел в список рассылки АКШ, нужно уточнить версию ПО ViPNet, установленную на сетевом узле адресата.

УКЦ версии 3.0 можно устанавливать поверх УКЦ версии 2.8. Перед тем, как обновить версию УКЦ (до версии 3.0) на СУ Администратора, обязательно следует обновить ПО ViPNet (до версии 3.0) на всех СУ сети.

В связи с тем, что ПО ViPNet Клиент версии 2.8 не совместимо с версией 3.0 по формату ключевой информации, установка ПО ViPNet Administrator может производиться только после ПОЛНОГО ОБНОВЛЕНИЯ ВСЕХ СУ ДО ВЕРСИИ ViPNet 3.0. В противном случае, оставшиеся СУ версии 2.8 потеряют связь с остальными СУ и СУ администратора.

При установке ViPNet Administrator производится преобразование базы данных УКЦ версии 2.8. Аналогично ПО ViPNet Клиент, не подлежат преобразованию сертификаты ключей подписи версии 2.7 и ниже, а так же справочники сертификатов Администраторов и списки отозванных сертификатов этих версий. Так же не подлежат преобразованию асимметричные и универсальные межсетевые мастер – ключи.

 

Внимание! До установки и создания ключей в УКЦ версии 3.0 Aдминистратор должен удостовериться в наличии у каждого пользователя сети файла с резервными персональными ключами AAAA.pk, где AAAA последние 4 байта идентификатора пользователя. Данные файлы формируются УКЦ версии 2.8 в каталоге KC\P_KEYS и должны выдаваться пользователям одновременно с первичным дистрибутивом ключей. При отсутствии этого файла автоматический прием первого обновления от УКЦ версии 3.0 будет невозможен.

 

После установки ViPNet Administrator, новый набор основных мастер – ключей сети формируется автоматически. Администратор должен создать новые ключевые наборы и ключевые диски для всех СУ и пользователей сети. При отправке таких обновлений на СУ Aдминистратор должен обеспечить доставку конвертов с ключами на все СУ. В противном случае связь с СУ, не получившими обновления, будет утеряна.

При приеме первого обновления от ViPNet Administrator версии 3.0, а так же при смене мастер – ключа, персональных ключей или при компрометации СУ, необходимо указывать местоположение файла с резервными персональными ключами.

Внимание! После завершения процедуры обновления возвращение к версии УКЦ 2.8 невозможен!

Практическое занятие 1. Создание виртуальной сети версии 3.0

 

 

Цель задания №1

§ Создание защищенной сети по заданной схеме с разграничением доступа и политиками безопасности на основании ПО ViPNet версии 3.0.

§ Подготовка АРМ Администратора защищенной сети.

§ Подготовка дистрибутивов справочно-ключевой информации для начальной инсталляции защищенных рабочих мест пользователей защищенной сети на отдельных сетевых узлах и развертывания защищенной виртуальной сети.

 

Содержание

§ Создание сети 3.0.

§ Развертывание рабочего места Администратора 3 0.

 

Задание № 1

§ Провести создание и настройку защищенной сети, исходя из перечисленных ниже условий и топологии сети (Рис. 1.1.).

§ Сформировать дистрибутивы справочно-ключевой информации для начальной инсталляции защищенных рабочих мест пользователей защищенной сети.

§ Развернуть АРМ Администратора защищенной сети.

Рис. 1.1. Топология сети версии 3.0

 

Условия построения защищенной сети:

В защищенную сеть включаются следующие Сетевые Узлы (СУ):

§ Сервер-маршрутизатор Координатор 3 0, на котором регистрируются:

- АП Администратор 3 0;

- АП Криптосервис 3 0;

- АП Центр регистрации 3 0;

- АП Сервис публикации 3 0;

- АП Клиент 3 0.

§ Сервер-маршрутизатор Координатор-ОИ 3 0.

 

СВЯЗИ СЕРВЕРОВ и СЕТЕВЫХ УЗЛОВ:

Серверы-маршрутизаторы защищенной сети должны иметь межсерверный канал.

Все типы коллективов всех сетевых узлов защищенной сети должны иметь связь между собой.

АБОНЕНТЫ ЗАЩИЩЕННОЙ СЕТИ:

На каждом СУ (как серверах-маршрутизаторах, так и абонентских пунктах) должно быть зарегистрировано по одному ТК, в каждом из которых должно быть по одному пользователю:

СМ Координатор 3 0 – ТК Координатор 3 0 – Координатор 3 0.

СМ Координатор-ОИ 3 0 – ТК Координатор-ОИ 3 0 – Координатор-ОИ 3 0.

АП Администратор 3 0 – ТК Администратор 3 0 – Администратор 3 0.

АП Криптосервис 3 0 – ТК Криптосервис 3 0 – Криптосервис 3 0.

АП Центр Регистрации 3 0 – ТК Центр Регистрации 3 0 – Центр Регистрации 3 0.

АП Сервис Публикации 3 0 – ТК Сервис Публикации 3 0 – Сервис Публикации 3 0.

АП Клиент 3 0 – ТК Клиент 3 0 – Клиент 3 0.

ЭЛЕКТРОННУЮ ЦИФРОВУЮ ПОДПИСЬ должны иметь только пользователи сети ViPNet, зарегистрированные на АП.

АДМИНИСТРАТОРОМ БЕЗОПАСНОСТИ, т.е. Администратором Центра Управления Сетью и Уполномоченным лицом Удостоверяющего Ключевого Центра защищенной сети является пользователь Администратор 3 0.

Задачи для СУ:

АП Администратор 3 0 должен быть зарегистрирован в задачах ЦУС и УКЦ.

СМ Координатор 3 0 должен быть зарегистрирован в задаче Туннель и иметь пять туннельных лицензий.

СМ Координатор-ОИ 3 0 должен быть зарегистрирован в задаче Открытый Интернет.

АП Центр Регистрации 3 0 должен быть зарегистрирован в задаче Центр регистрации.

АП Криптосервис 3 0 должен быть зарегистрирован в задаче Криптосервис.