Последовательность выполнения. Шаг 1 Формирование сетей 3.0 и 3.1

Шаг 1
Формирование сетей 3.0 и 3.1

В соответствии с заданием необходимо создать две защищенные сети – 3.0 и 3.1. Сеть 3.0 имеет регистрационный файл для сети ViPNet номер 6670, сеть 3.1 имеет регистрационный файл для сети ViPNet номер 6671.

Окно Защищенная сеть Администратора 3 0 показано на 0. Окно Защищенная сеть Админа 3 1 показано на Рис. 4.3.

После развертывания сетей можно приступать к формированию межсетевого взаимодействия.

Рис. 4.2. Окно Защищенная сеть Администратора 3 0

Рис. 4.3. Окно Защищенная сеть Админа 3 1

Шаг 2
Формирование межсетевого взаимодействия сетей 3.0 и 3.1

Начальный экспорт можно начинать с любой сети, в данном случае это будет сеть 3.0 (6670).

- РАБОТА В СЕТИ 3.0.

Первоначально, в ЦУСе сети 3.0 в меню Службы → Экспорт следует добавить те ТК, которые будут связаны с ТК партнерской сети. По заданию – все ТК сети.

Необходимо выбрать СМ-шлюз, через который будет ходить защищенная информация в партнерскую сеть и скопировать вновь созданный экспорт в папку ..\Export_6671\. После этого в УКЦ, в каталоге Ключевой центр / Доверенные сети ViPNet / Мастер-ключи / Текущие необходимо, посредством меню правой кнопки «мыши» Создать…, сформировать ИСММК (при этом будет предложено ввести номер сети, с которой будет использоваться вновь создаваемый ММК (Рис. 4.4.), после чего посредством меню правой кнопки «мыши» Экспорт… экспортировать его в каталог по умолчанию ..\KC\Export\. Справочники необходимо поместить в каталог для экспорта ..\Export_6671\.

При экспорте будет предложено ввести пароль доля защиты ИСММК.

Далее ИСММК необходимо сделать активным посредством меню правой кнопки «мыши» Ввести в действие… (после этого иконка слева от строки МК станет полноцветной). Теперь на основании действующего МК будут создаваться КН для объектов защищенной сети. Межсетевых Мастер-ключей может быть несколько, но действующим может быть только один! При экспорте ММК помещается в каталог ..\KC\Export\. Файл с наименованием, включающим в себя номера сетей в шестнадцатиричном формате (в данном случае – 1A0E1A0F.key), необходимо из каталога ..\KC\Export\ скопировать в каталог ..\Export_6671\.

Рис. 4.4. Формирование межсетевого мастер-ключа в сети 3.0

Компоненты начального экспорта (ИСММК, пароль к нему, экспортные справочники) необходимо передать доверенным каналом связи Администратору партнерской сети (3.1 – 6671).

 

- РАБОТА В СЕТИ 3.1.

Администратор сети 6671 должен сохранить полученную информацию в каталоге ..\Import_6670\, после чего ИСММК необходимо поместить в каталог ..\KC\Import\, а справочники – в каталог ..\NCC\Import\.

В ЦУСе при загрузке появится предупреждение о том, что программа обнаружила экспортные адресные справочники.

В Прикладной администрации необходимо связать ТК своей сети с ТК партнерской сети согласно заданию. А в Адресной администрации необходимо указать межсетевой канал между СМ-шлюзами двух сетей.

Далее необходимо сформировать справочники и перейти в УКЦ.

В УКЦ в каталоге Ключевой центр / Доверенные сети ViPNet / Мастер-ключи / Входящие находится пока не импортированный ИСММК сети 3.0. Для его импорта необходимо в контекстном меню (появляющегося по щелчку правой кнопки «мыши») выбрать строку Импорт… После проверки пароля защиты ИСММК ключ будет импортирован (каталог … / Текущие), но не введен в действие (полупрозрачная иконка напротив строки записи МК). Для введения МК в действие необходимо в контекстном меню выбрать строку Ввести в действие и согласиться с предупреждением программы о необходимости согласования импорта ММК с администратором партнерской сети.

После импорта ММК необходимо сформировать КН для СУ и ТК своей сети и выслать их в ЦУС.

В ЦУСе необходимо принять обновления КН и разослать по СУ своей сети. А также в меню Службы → Экспорт необходимо скопировать экспортные справочники в каталог по умолчанию и перенести эти справочники в каталог ..\Export_6670\.

Каталог ..\Export_6670\ необходимо передать по доверенному каналу связи администратору сети 3.0.

- РАБОТА В СЕТИ 3.0.

Администратор сети 3.0 должен переместить импортированные справочники из папки ..\Export_6670\ в каталог ..\NCC\Import.

При загрузке ЦУСа будут выведены сообщения о приходе импорта из партнерской сети.

В Прикладной администрации необходимо связать ТК своей сети с ТК партнерской сети и в Адресной администрации указать межсетевой канал. Также в экспорте необходимо указать СМ-шлюз и ТК на экспорт, после чего сформировать справочники и перейти в УКЦ.

В УКЦ необходимо создать КН для ТК и СУ своей сети и выслать в ЦУС.

Из ЦУСа КН и справочники следует разослать по СУ своей сети.

После обновления ключевой информации и справочников на СУ Администратора 3 0 у него появится защищенная связь с партнерской сетью.

Далее в ЦУСе необходимо скопировать Заключительный экспорт в сеть 3.1.

 

- РАБОТА В СЕТИ 3.1.

Администратор сети 3.1 должен принять Заключительный импорт, сформировать справочники и обновления ключевой информации, и разослать их по СУ своей сети. После этого защищенное соединение между двумя сетями является состоявшимся (Рис. 4.5.).

Рис. 4.5. Окно Защищенная сеть Админа 3 1 и проверка соединения с Администратором 3 0

Контрольные вопросы

1. Каким образом возможно обеспечить взаимодействие сетей версий 2.8 и 3.0? Сетей версий 2.7 и 3.0?

2. Какие виды (типы) межсетевых мастер-ключей используются в версии 3.0?

3. Какие виды экспорта необходимо сформировать для обеспечения взаимодействия между сетями ViPNet? Что будет входить в состав экспортной информации?

4. Где хранятся Мастер-ключи в программной оболочке и на диске?

5. Где хранятся резервные персональные ключи в программной оболочке и на диске?

6. Что должен сделать администратор при смене одного из Мастер-ключей системы?

7. Есть ли отличия в развертывании рабочего места Администратора сети ViPNet в версиях 2.8 и 3.0?

8. Какова длина ключей шифрования и ЭЦП в ПО ViPNet Custom версии 3.0?

Практическое занятие 5. Работа с ПО ViPNet [Клиент]

 

Цель занятия № 5

§ Ознакомление с особенностями ПО ViPNet [Клиент] версии 3.0.

§ Установка и настройка ViPNet [Клиента] версии 3.0 в составе защищенной сети.

Содержание

§ Требования к аппаратным средствам и операционной среде
для ПО ViPNet [Клиент].

§ Установка ПО ViPNet [Клиент] и первичная инициализация справочно-ключевой информации пользователя.

§ Первоначальная настройка программы ViPNet [Клиент].

§ Изучение структуры каталога установки ПО ViPNet [Клиент].

§ Смена режимов безопасности программы [Монитор].

§ Настройка параметров безопасности в программах [Монитор] и [Деловая Почта]/

§ Работа с сертификатами пользователя.

§ Выбор параметров шифрования.

§ Задание параметров пароля пользователя.

§ Задание параметров авторизации пользователя и работа с контейнерами
ключей подписи.

§ Работа с правами Администратора сетевых узлов.

§ Настройки для работы с криптопровайдером ViPNet CSP.

§ Группы и виды сетевых фильтров в ПО ViPNet [Клиент] [Монитор].

§ Работа с Журналом IP-пакетов и журналом Блокированные IP-пакеты.

§ Настройки MFTP.

§ Компрометация ключей пользователя. Использование резервного набора персональных ключей.

§ Активизация нового пользователя на АП.

§ Ручное обновление справочно-ключевой информации при помощи файла *.dst.

§ Восстановление ViPNet Клиент.

Сокращения и принятые обозначения

- Монитор– программа ViPNet Клиент [Монитор].

- ViPNet-координатор(илиКоординатор) – компьютер с ПО ViPNet [Координатор].

- МЭ– межсетевой экран.

- Туннелируемый компьютер– компьютер, трафик которого туннелируется (защищается) координатором ViPNet.

- Защищенный компьютер–компьютер, являющийся сетевым узлом.

- Защищенный DNS или WINS сервер – сервер, размещенный на защищенном компьютере.

Задание

§ В локальной сети организации некоторые компьютеры должны быть защищены с помощью ПО ViPNet Клиент, а некоторые должны остаться незащищенными, т.н. открытыми, ресурсами.

§ Необходимо:

- Установить на компьютеры, подлежащие защите, ПО ViPNet [Клиент].

- Провести первичную инициализацию справочно-ключевой информации пользователя ViPNet [Клиента].

- Провести первичную настройку программы ViPNet [Клиент].

- Настроить работу ViPNet [Клиента] в составе защищенной сети (осуществить передачу информации по VPN-каналам и проверить ее защищенность).

 

Условия построения защищенной сети

13. В состав VPN-сети входят следующие компоненты (Рис. 5.1.):

Рис. 5.1. Схема защищенной сети

2.- Локальная сеть класса С - 192.168.1.х:

- Администратор сети;

- Сервер-Маршрутизатор [Координатор-1];

- Сервер-Маршрутизатор [Координатор-2];

- Сервер-Маршрутизатор [Координатор-ОИ];

- Клиенты защищенной сети, зарегистрированные за Координатором-1 (от 1-1 до 1-N);

- Клиенты защищенной сети, зарегистрированные за Координатором-2 (от 2-1 до 2-N);

- Незащищенные компьютеры.

Все Сетевые Узлы защищенной локальной сети связаны друг с другом.

 

 

Последовательность выполнения занятия

Шаг 1
Требования к аппаратным средствам и операционной среде для ПО ViPNet [Клиент]

ПО ViPNet Клиент может работать на IBM-совместимых компьютерах (стационарных или переносных) с модемом или сетевым адаптером со следующей рекомендуемой конфигурацией - процессор - не менее Pentium III; ОЗУ - не менее 128 Мбайт; свободного места на жестком диске должно быть не менее 100 Мбайт; операционная система - Windows 98SE/ Me/ 2000/ XP/ Server 2000/2003.

Используемая версия программы Internet Explorer должна быть не ниже 4.0. На компьютере не должно быть установлено никаких других персональных сетевых экранов – ПСЭ (Firewall).

Программное обеспечение ViPNet Клиент предполагает стандартные сетевые настройки компьютеров, на которые устанавливается это ПО.

Внимание! Использование ViPNet Клиент одновременно с другими сетевыми экранами может привести к конфликтам между программами и вызвать проблемы с доступом в сеть. Перед установкой ViPNet Клиент необходимо убедиться, что все другие сетевые экраны удалены с компьютера.

Внимание! Не забудьте установить правильные настройки Часового пояса, даты и времени на компьютере. В противном случае связь компьютера с другими узлами защищенной сети может отсутствовать.

Внимание! Если ПО ViPNet устанавливается на ОС Windows 2000/XP/Server 2003, то программе установки (Setup.exe) необходимо, чтобы запускал ее пользователь, имеющий права администратора ОС Windows. Поэтому обычному пользователю необходимо временно дать администраторские права для установки ViPNet Клиент, после чего их можно снять.

 

Шаг 2
Установка ПО ViPNet [Клиент] и первичная инициализация справочно-ключевой информации пользователя

Для установки ViPNet Клиент на рабочую станцию необходимо иметь:

- Установочный комплект в виде файла setup.exe (предоставляется администратором защищенной сети).

- Ключевой дистрибутив – файл с расширением.DST, в котором в склеенном виде помещена необходимая адресная и ключевая информация для обеспечения первичного запуска и последующей работы прикладной программы ViPNet (предоставляется администратором Удостоверяющего и Ключевого Центра).

- Парольная информация (пароль) для рабочей станции (предоставляется администратором Удостоверяющего и Ключевого Центра).

Процесс установки программы ViPNet Клиент может проходить как в интерактивном, так и в неинтерактивном режиме.

Интерактивный режим установки

Для начала процесса установки ViPNet Клиент:

- Двойным кликом левой клавишей «мышки» запустить файл setup.exe, находящийся в установочном комплекте, при этом в составе ViPNet [Клиента] будет установлена также программа ViPNet [Контроль приложений]. Если устанавливать программу [Контроль приложений] нет необходимости, следует из командной строки (Старт → Run (или нажать комбинацию клавиш Win+R)) запустить команду setup.exe /norf.

- После запуска программы установки на экране появится окно Добро пожаловать (Рис. 5.2.).

Рис. 5.2. Установка ViPNet Клиент

- При запросе вида установки (Рис. 5.3.) следует выбрать те программы, которые должны быть установлены на компьютер – при выборе вида Типичная будут установлены два модуля (т.н. Прикладные Задачи - ПЗ) – [Монитор] и [Деловая Почта]. При выборе вида Выборочная можно будет выбрать любую из указанных ПЗ.

- После установки программа предложит перезагрузить ОС компьютер. Если Администратор УКЦ уже выдал файл dst для компьютера, этот файл необходимо поместить в каталог установки ViPNet [Клиента] (по умолчанию С: \Program Files\Infotecs\ViPNet [Клиент]) и перегрузить ОС компьютера. После перезагрузки ViPNet [Клиент] автоматически предложит использовать файл dst для развертывания защищенного узла сети и, после введения пароля для входя в защищенную сеть, компьютер будет защищен сетевым экраном и системой шифрования. В случае, если для компьютера нет файла dst, рекомендуется запросить его у Администратора УКЦ и проделать вышеуказанные операции по развертыванию защищенного узла.

 

Неинтерактивный режим установки.

- Установка ПО ViPNet Клиент в неинтерактивном режиме означает, что процесс установки программы не будет отражаться на экране компьютера. Параметры установки программы указываются в специальном файле silent.ini. Эти параметры будут переданы программе установки при запуске файла Setup.exe, если при старте указать запустить команду Setup.exe -a silent.ini.

Рис. 5.3. Компоненты ViPNet [Клиента]

Файл silent.ini имеет параметры, указанные в Таблице 1. Значения параметров, приведенных в таблице, принимаются по умолчанию.

Таблица 1

Параметры	Комментарии
[version] signature=" $CHICAGO$"	Этот параметр необходимо оставить без изменения.
[Components] setup.inf iplir.inf winmail.inf ss.inf	Здесь указываются устанавливаемые компоненты. При установке ПО ViPNet Клиент полностью нужно указать 4 параметра (как показано). При установке только ПО ViPNet Клиент [Монитор] нужно указать setup.inf, iplir.infиss.inf (winmail.inf нужно удалить). При установке только ПО ViPNet Клиент [Деловая почта] нужно указать setup.inf, winmail.infиss.inf(iplir.inf нужно удалить).
[Install] Desktop=1	Здесь указываются: Desktop=1 - создавать ярлыки на рабочем столе Desktop=0 – не создавать ярлыки на рабочем столе

 

В процессе загрузки (или перезагрузки) ОС компьютера откроется окно для идентификации пользователя с приглашением ввести пароль (Рис. 5.4.).

Существует три способа авторизации пользователя ViPNet:

· посредством ввода пароля пользователя с клавиатуры,

· посредством ввода пароля пользователя с какого-либо внешнего устройства хранения данных,

· путем авторизации при помощи пароля и устройства одновременно.

 

Внимание! Для использования внешнего устройства хранения данных необходимо его подключить, установить соответствующие драйверы этого устройства.

 

Если программа ViPNet Клиент запускается в первый раз, то пользователь должен выполнить процедуру первичной инициализации справочно-ключевой информации, которая находится в вашем файле дистрибутиве abn_AAAA.dst. Эту же процедуру необходимо выполнить при обновления ключевой и справочной информации при помощи ключевого дистрибутива (dst-файла).

Рис. 5.4. Окно авторизации пользователя

Первичная инициализация (при первом запуске программы ViPNet)

При первом запуске программы ViPNet в окне ввода пароля (Рис. 5.4.) следует нажать кнопку Настройка и выбрать опцию Первичная инициализация. Появится окно Мастера инициализации справочно-ключевой информации пользователя (Рис. 5.5.). Необходимо нажать кнопку Далее>;, откроется окно (Рис. 5.6.), в котором следует указать путь к файлу дистрибутива abn_AAAA.dst, воспользовавшись кнопкой Обзор …. После выполнения поиска и указания пути следует нажать кнопку Далее>;.

Рис. 5.5. Окно мастера инициализации

Откроется окно Местонахождение справочно-ключевого дистрибутива (Рис. 5.7.). В случае, если весь дистрибутив пользователя находится на дискете, то в окне Местонахождение справочно-ключевого дистрибутива необходимо нажать кнопку Далее>;.

В случае, если часть ключевой информации в УКЦ была перенесена на некоторое ключевое устройство и выдана пользователю вместе с дистрибутивом, на данной странице следует отметить галочкой опцию Использовать дополнительный носитель. Затем выбрать нужное устройство считывания в поле Доступные считыватели и Доступные устройства и нажать кнопку Далее>. В открывшемся окне ввода пароля (Рис. 5.8.) следует ввести пароль для доступа к информации, хранящейся в dst-файле.

Рис. 5.6. Путь к справочно-ключевому дистрибутиву

Рис. 5.7. Местонахождение справочно-ключевого дистрибутива

Откроется окно выбора места хранения адресных справочников и ключевой информации (Рис. 5.9.), в котором следует указать путь к каталогу, в котором будут храниться адресные справочники, а также путь к каталогу, в котором будут храниться ключи пользователя. После завершения выбора нажать кнопку Далее>;.

Если дистрибутив содержит набор резервных персональных ключей пользователя (AAAA.pk), то откроется страница для указания пути для распаковки резервного набора персональных ключей (Рис. 5.10.). Если нет, то откроется страница готовности к выполнению инициализации (Рис. 5.11.), в которой отображается собранная информация.

Рис. 5.8. Окно ввода пароля

Рис. 5.9. Каталоги хранения справочников и ключевой информации

Страница (Рис. 5.10.) отображается только в том случае, если дистрибутив содержит набор резервных персональных ключей пользователя, т.е. программа установки обнаружила (0), что дистрибутив содержит набор резервных персональных ключей, который может потребоваться при компрометации действующих ключей пользователя. Нужно указать каталог для сохранения набора резервных персональных ключей. Рекомендуется хранить эти ключи на дискете или ином съемном носителе.

Сохраняемый набор персональных ключей будет защищен паролем. По умолчанию используется пароль к дистрибутиву. Есть возможность изменения пароля (кнопка Пароль). Откроется окно для ввода нового пароля. В этом окне можно изменить пароль. Для этого следует включить опцию Изменить пароль, далее ввести новый пароль и подтвердить его. Для принятия нового пароля нажать ОК, для отказа от введенного пароля – кнопку Отмена.

Рис. 5.10. Сохранение резервных персональных ключей

После указания каталога (Рис. 5.10.) (и, может быть, изменения пароля) необходимо нажать кнопку Далее>;. Откроется страница готовности к выполнению инициализации, в которой отображается собранная информация (Рис. 5.11.). В окне указываются выбранные на предыдущих этапах установки ПО параметры. Если информация верна, необходимо нажать кнопку Далее>. Откроется окно завершения работы мастера инициализации (Рис. 5.12.). В окне завершения работы мастера по умолчанию отмечена «галочкой» опция Запустить приложение, которая показывает, что, при нажатии кнопки Готово, будет запущена программа ViPNet [Клиент] [Монитор].

Рис. 5.11. Готовность к выполнению инициализации

Рис. 5.12. Завершение работы мастера инициализации

После успешной установки ключей программа ViPNet Клиент [Монитор]стартует автоматически и откроется окно ViPNet Клиент [Монитор](Рис. 5.13.), в котором появится значок в области уведомлений на панели задач.

После первого запуска программы, может быть задан вопрос о желании работать через ViPNet-координатор. В этом случае пользователь должен выбрать ответ на вопрос. Если администратор в ЦУСе не произвел настройки АП для подключения к сети ViPNet, то сконфигурировать ViPNet Клиент [Монитор] для работы с другими узлами ViPNet необходимо вручную.

Рис. 5.14. Окно ViPNet Клиент [Монитор]

Шаг 3
Первоначальная настройка программы ViPNet [Клиент]

Перед тем, как производить настройки ViPNet, на компьютере должна быть произведена сетевая настройка Windows, которая необходима для работы данного компьютера в сети без использования ПО ViPNet Клиент.

Если ViPNet Клиент [Монитор] был сконфигурирован администратором сети ViPNet в программе ЦУС, то для обеспечения корректной работы АП в сети никаких ручных настроек ViPNet Клиент [Монитор] производить не нужно. Также без каких-либо дополнительных настроек будут устанавливать соединения вашего АП с другими узлами, которые расположены в одной подсети с прямым доступом друг к другу по IP-адресу.

Необходимость в редактировании настроек ViPNet Клиент [Монитор] может появиться в случае изменения физического способа подключения АП к сети или при изменении других сетевых настроек.

Необходимые настройки

Вне зависимости от настроек, заданных в ЦУСе, в случае работы АП через МЭ со статической трансляцией адресов, должны быть произведены настройки на самом межсетевом экране.

Первым делом после старта программы ViPNet Клиент [Монитор] на вашем АП для установления соединения с другими узлами сети ViPNet нужно настроить свой сервер IP-адресов – выбрать сам сервер в окне Настройки и указать его адрес доступа в окне Защищенная сеть.

Настройка IP-адреса или DNS-имени компьютеров защищенной сети.

Для настройки IP-адреса или DNS-имени какого-либо из компьютеров, входящих в защищенную сеть VPN, необходимо в окне Защищенная сеть дважды щелкнуть левой кнопкой «мыши» на строке с названием этого компьютера. В появившемся окне Правило доступа перейти на вкладку IP-адрес и, с помощью кнопки Добавить, указать один из IP-адресов выбранного компьютера.

 

Информация. Компьютеры защищенной сети периодически высылают в широковещательном режиме информацию о себе другим узлам сети. В этой информации указаны IP-адреса самого компьютера, его идентификатор, выданный в ЦУСе, IP-адреса доступа к компьютеру через устройство сопряжения и др. Прописывать вручную IP-адреса компьютеров защищенной сети требуется в крайних случаях.

 

Включив в том же окне закладки опцию Использовать DNS-имя и нажав кнопку Добавить, можно указать DNS-имя этого компьютера.

Настройка доступа к компьютеру защищенной сети через межсетевой экран.

В случае расположения какого-либо из компьютеров сети ViPNet за устройством, выполняющем функцию трансляции адресов (например, NAT, Сетевой экран, прокси), для удобства доступа к этому компьютеру есть возможность указать его firewall-IP – IP-адрес доступа к указанному компьютеру через IP-адрес другого компьютера (файрволла).

Если известен адрес доступа к компьютеру через межсетевой экран/NAT-устройство, установленный на границе сети, то вместо настройки IP-адреса или DNS-имени искомого компьютера аналогичным образом можно произвести настройки этих адресов. Для этого следует во вкладке Межсетевой экран включить опцию Использовать настройки работы узла через межсетевой экран (Рис. 5.15.).

В поле IP-адреса доступа отображаются IP-адреса межсетевого экрана (ViPNet-координатора или другого МЭ), через которые можно получить доступ к узлу. Эти адреса регистрируются Монитором автоматически, могут задаваться администратором сети ViPNet в ЦУСе и пользователем на СУ вручную.

Рис. 5.15. Настройка IP-адреса или DNS-имени Сервера IP-адресов

Рис. 5.16. Вкладка Межсетевой экран

Если таких адресов несколько, то для АП текущий адрес доступа определяется Монитором автоматически, а для координатора автоматически или с учетом заданной метрики.

При потере соединения по текущему (самому верхнему в списке) адресу доступа, Монитор автоматически начнет определять другой адрес доступа к узлу. В результате текущим адресом доступа станет адрес, по которому соединение с узлом установится раньше или, если хотя бы для одного адреса доступа вручную задано значение метрики, текущий адрес доступа будет определяться с учетом метрик. Соответственно этот адрес переместится на первую строку колонки IP-адрес.

Выбор координатора в качестве сервера IP-адресов.

Для удобства работы можно выбрать один из Координаторов ViPNet сети в качестве сервера IP-адресов. Для этого в окне Настройки в поле Сервер IP-адресов необходимо выбрать Координатор, который будет являться сервером IP-адресов (Рис. 5.17.), и нажать кнопку Применить.

Рис. 5.17. Окно Настройки

Информация об IP-адресе межсетевого экрана (МСЭ или МЭ) и порте доступа сообщается программой через сервер IP-адресов всем остальным узлам, с которыми связан настоящий Абонентский Пункт (АП).

Дополнительные настройки.

В окне Настройки (0) можно произвести ряд дополнительных настроек:

- Отключить работу всех протоколов, кроме IP, ARP, RARP. При включении этой опциибудут отключены сетевые протоколы IPX/SPX, NetBEUI из стека протоколов Microsoft, если они установлены в системе. По умолчанию опция выключена.

- Блокировать компьютер при старте программы – позволяет блокировать доступ к рабочему столу компьютера после старта программы. Разблокировать доступ можно, введя пароль. По умолчанию опция выключена. Для сохранения настроек следует нажать кнопку Применить.

 

Установка приоритетов выбора адресов доступа координатора (настройка и использование метрики).

Если Координатор, с которым ViPNet Клиент связан, имеет несколько адресов доступа (например, по разным каналам связи), то можно настроить приоритеты каналов для установления соединения с этим Координатором.

- Имеется возможность явно указать тот канал, через который данный узел будет работать всегда, когда этот канал доступен.

- Если самый приоритетный канал по каким-то причинам недоступен, то канал связи выберется в соответствии с настроенными для оставшихся каналов приоритетами.

- Когда самый приоритетный канал станет доступен, соединение с Координатором вновь установится через него.

Приоритет каналов задается с помощью метрики для каждого возможного адреса доступа в окне Правило доступа, вкладка Межсетевой экран (Рис. 5.18) для выбранного координатора защищенной сети.

Рис. 5.18. Назначение метрики

 

Замечание: В данной версии программы определение приоритетных каналов с помощью метрики осуществляется только для Координаторов, работающих через МЭ со статической трансляцией адресов или работающих без использования МЭ.

 

По умолчанию метрика назначается автоматически, т.е. текущий адрес доступа координатора определяется программой автоматически в соответствии с тем, насколько быстро пришел ответ с соответствующего адреса. Значение автоматической метрики на 100 миллисекунд больше максимального значения из метрик, назначенных вручную.

Для того, чтобы указать определенное значение метрики, необходимо отключить опцию Автоматическое назначение метрики, при этом станет доступно для редактирования поле Метрика, где можно задать значение метрики из диапазона от 1 до 9999.

 

 

Шаг 4
Изучение структуры каталога установки ПО ViPNet Клиент

 

Примечание: при указании каталога нахождения каких-либо файлов/каталогов может использоваться символ двух последовательных точек (..), например ..\NCC\. Этот символ указывает на корневой каталог установки программного обеспечения ViPNet (по умолчанию – C: \Program Files\Infotecs\ (ViPNet [Administrator] или ViPNet [Coordinator] или ViPNet [Client])).

-

Каталог установки ПО ViPNet Клиент показан на Рис. 5.19..

- ..\d_station\ – содержит ключевой набор пользователя.

- ..\user_0007\ – ключевая дискета пользователя.

- ..\CСС – каталог обмена с ЦУСом (обновлений):

- ..\ССС\log\ – содержит файл update.txt, в котором отражаются результаты проводимых обновлений.

- ..\ССС\old\ - содержит старые адресные справочники, которые обновлялись.

-..\ССС\IN\,..\ССС\out\,..\ССС\Key\,..\ССС\NEW\ – рабочие каталоги.

- ..\databases\ – содержит журнал IP-пакетов и файл конфигурации Монитора (common.stg).

- ..\in\ – входящий транспортный каталог.

- ..\out\ – исходящий транспортный каталог.

- ..\SMTPIN\; ..\SMTPOUT\ – входящий и исходящий транспортные каталоги при работе через SMTP/POP3 канал.

- ..\IPCONFIG\ – содержит файл с конфигурацией TCP/IP локального компьютера.

- ..\MS\ – содержит файлы программы «Деловая Почта».

- ..\TaskDir\ – каталог хранения файлов, подготовленных к файловому обмену и принятых по файловому обмену от других пользователей.

- ..\rf\ – каталог программы «Контроль приложений».

- ..\TRASH\ – корзина транспортного модуля.

- ..\media\ – файлы музыкального сопровождения событий.

Рис. 5.19. Структура каталога установки ViPNet [Клиента]

Полное описание файлов и каталогов, создаваемых и используемых при работе ПО ViPNet Клиент, можно узнать в документации на программное обеспечение ViPNet.

Шаг 5
Смена режимов безопасности программы Монитор

Режим безопасности определяет типовое правило фильтрации IP-пакетов, которое в дальнейшем можно модифицировать настройками сетевых фильтров для пакетов определенного типа (для конкретных адресов, протоколов и портов) в окне Защищенная или Открытая сеть. Изменение режима безопасности работы компьютера в сети можно произвести в окне Режимы (Рис. 5.20.). Можно произвести ряд настроек в разделе При старте программы … (Рис. 5.21.), которые будут определять параметры работы программы Монитор сразу после ее старта.

Рис. 5.20. Режимы безопасности ПО ViPNet

Первый режим (Блокировать открытый IP-трафик) позволяет работать компьютеру только в защищенной сети.

Второй режим (Разрешить зарегистрированный открытый IP-трафик) в дополнение к взаимодействию с компьютерами, которые входят в состав защищенной сети, позволяет обмениваться информацией с компьютерами, не имеющими ПО ViPNet. Эти компьютеры может указать только сам пользователь и с такими компьютерами взаимодействие происходит в открытом, незащищенном виде.

Третий режим (Разрешить инициативные открытые соединения) разрешает взаимодействие только с теми компьютерами, информацию от которых запросил сам пользователь, работающий за сетевым экраном ViPNet. Причем трафик будет фильтроваться по нескольким параметра в зависимости от того, какой вид Бумеранга используется:

· При использовании Жесткого Бумеранга фильтрация IP-пакетов будет производиться по IP-адресам назначения и отправки, протоколу передачи и порту работы соединения.

· При использовании Мягкого Бумеранга фильтрация IP-пакетов будет производиться по IP-адресам назначения и отправки и протоколу передачи.

Четвертый режим (Не блокировать открытый IP-трафик) выключает работу сетевого экрана ViPNet (любой IP-пакет будет принят/выслан и обработан), но оставляет работать систему шифрования на основе криптоядра Домен-К. Однако журналирование (логирование) IP-пакетов работает и в Журнал IP-пакетов записываются все пакеты, которые приходили и уходили с сетевых интерфейсов компьютера.

Пятый режим (Отключить драйвер) полностью выключает систему защиты компьютера – и сетевой экран и системы шифрования. Операционная система компьютера работает в незащищенном режиме.

 

Замечание: Режим безопасности, который может установить пользователь, зависит от уровня полномочий, определенных для каждого АП администратором в ЦУСе.

 

Задание: Для выполнения задания объединитесь в пары. Один из пользователей ставит различные режимы безопасности работы драйвера ViPNet, после чего второй пользователь использует сетевые команды для доступа к защищенному компьютеру (например, ping, tracert, поиск компьютеров в сети с дальнейшей попыткой захода на компьютер, (в защищенной сети клавишу F5)). Далее следует зайти в меню Журнал IP-пакетов, настроить фильтры поиска пакетов и просмотреть журнал. Определить, в соответствии с какими политиками безопасности и в каких режимах драйвер выполняет свои функции.

Шаг 6
Настройка параметров безопасности в программах Монитор и Деловая Почта

Для редактирования параметров безопасности из настроек программы ViPNet [Клиент] [Монитор] в панели инструментов необходимо выбрать меню Сервис ® Настройка параметров безопасности (0).

Рис. 5.21. Меню Сервис

В появившемся окне Настройка параметров безопасности (Рис. 5.22.) указаны следующие вкладки:

- Пользователь – содержит информацию о пользователе, вошедшем в программу [Монитор] или [Деловая Почта], а также предоставляет возможность сменить пользователя.

- Подпись – предназначена для работы с сертификатами ЭЦП.

- Шифрование – предназначена для задания параметров шифрования и настройки работы на асимметричных ключах шифрования.

- Пароль – предназначена для задания параметров пароля и последующей смены пароля.

- Ключи – предназначена для задания параметров авторизации (способов входа в основную программу ViPNet) и для работы с контейнерами ключей подписи.

- Администратор – предназначена для входа в основные программы ViPNet с правами администратора и последующего выхода, а режиме администратора становятся доступны дополнительные настройки.

- Криптопровайдер – предназначена для настройки работы с контейнерами и сертификатами, необходимыми для работы с криптопровайдером ViPNet CSP.

Рис. 5.22. Окно Настройка параметров безопасности

Шаг 7
Работа с сертификатами ЭЦП пользователя

 

Замечание: Работа с сертифика