Мастер настройки сетевых интерфейсов

При первом запуске ViPNet Координатор [Монитор], если на компьютере не обнаружится стандартная конфигурация, то вызывается Мастер настройки сетевых интерфейсов.

 

Замечание: Мастер не вызывается, если в системе обнаружен один или не обнаружено ни одного сетевого интерфейса.

 

В окне мастера настройки сетевых интерфейсов следует нажать кнопку Далее> (Рис. 6.15.) и далее следовать указаниям мастера. Откроется окно Сетевые интерфейсы (Рис. 6.16.).

Рис. 6.16. Выбор активных сетевых интерфейсов

В окне Сетевые интерфейсы следует выбрать интерфейсы, которые будут активны при работе с ViPNet [Координатор] [Монитор]. По умолчанию все интерфейсы являются активными (т.е. помечены флажками).

Нужно установить активные и неактивные интерфейсы с помощью включения и выключения флажков в начале строки с названием сетевого интерфейса.

Неактивные (отключенные) сетевые интерфейсы не участвуют в передаче IP-пакетов, при этом трафик на них блокируется, и соответствующая информация записывается в журнал IP-пакетов. Для обеспечения работоспособности ViPNet Координатор [Монитор] нужно установить активными не менее двух сетевых интерфейсов (иначе кнопка Далее> будет недоступна).

На последующих шагах мастера будут производиться настройки только активных сетевых интерфейсов. После выбора сетевых интерфейсов нажать кнопку Далее>;. Откроется окно Тип интерфейсов (Рис. 6.17.). В этом окне выбрать тип сетевых интерфейсов – внутренний или внешний.

Рис. 6.17. Тип интерфейса

Для выбора типа сетевого интерфейса следует разместить интерфейс в нужном списке Внешние интерфейсы или Внутренние интерфейсы при помощи кнопок или .

По умолчанию (при первом появлении окна Тип интерфейсов) все интерфейсы размещены в списке Внешние интерфейсы.

Внешний тип сетевого интерфейса рекомендуется выбирать для подключения к внешним сетям (в т.ч. глобальной сети Интернет), внутренний тип – для подключения к локальной защищаемой сети.

После настройки типов сетевых интерфейсов необходимо нажать кнопку Далее>;. Откроется окно Режимы безопасности интерфейсов (Рис. 6.18.). В этом окне для каждого сетевого интерфейса следует настроить режим безопасности.

По умолчанию на внутренних интерфейсах устанавливается 4-й режим, на внешних интерфейсах устанавливается 3-й режим.

Для изменения режима безопасности нужно выбрать сетевой интерфейс из списка Сетевые интерфейсы и ниже в списке Режим интерфейса указать нужный режим (для режима 3 Бумеранг необходимо выбрать еще тип бумеранга) и после нажать кнопку Далее>;.

Откроется окно Антиспуфинг (Рис. 6.19.), где имеется возможность включить или отключить антиспуфинг, а также включить режим редактирования параметров антиспуфинга.

По умолчанию антиспуфинг активизирован на всех сетевых интерфейсах (в опции Антиспуфинг установлен флажок). При включенном антиспуфинге происходит блокирование пакетов с неправильным адресом отправителя. Для обеспечения лучшей безопасности сети рекомендуется включить антиспуфинг.

Рис. 6.19. Выбор режимов безопасности на сетевых интерфейсах

Рис. 6.20. Окно Антиспуфинг

В правилах антиспуфинга для каждого сетевого интерфейса заданы диапазоны IP-адресов, пакеты от которых допустимы на интерфейсе. При этом пакеты, в которых IP-адрес отправителя не попадает в допустимый диапазон адресов, указанный на сетевом интерфейсе, будут блокироваться.

По умолчанию допустимыми считаются следующие адреса отправителя:

для внешних сетевых интерфейсов – адреса, допустимые в Интернет – этовсе IP-адреса, кроме зарезервированных для использования в локальных сетях: 127.0.0.0/8, 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16),

для внутренних интерфейсов – адреса из диапазона соответствующего IP-адресу интерфейса и маске локальной сети.

При необходимости допустимые адреса можно изменять. Пакеты, прошедшие через механизм антиспуфинга, попадают на обработку правилами фильтрации пакетов.

Можно отредактировать параметры антиспуфинга (допустимые адреса отправителя) на следующем шаге мастера, если включить опцию Редактировать параметры антиспуфинга на следующем шаге. Включать эту опцию и редактировать параметры антиспуфинга, установленные программой по умолчанию, рекомендуется только опытным пользователям.

После завершения настроек антиспуффинга нужно нажать кнопку Далее>;.

Если вы опция Редактировать параметры антиспуфинга на следующем шаге была активирована, то откроется окно Параметры антиспуфинга (Рис. 6.20.), где для каждого сетевого интерфейса можно настроить список допустимых адресов отправителя в передаваемых IP-пакетах.

Рис. 6.20. Параметры антиспуфинга

По умолчанию для сетевых интерфейсов уже заданы следующие IP-адреса отправителя:

для внешних сетевых интерфейсов заданы допустимые в Интернет адреса (в поле IP-адреса отправителя выбрано значение Допустимые в Интернет),

для внутренних интерфейсов заданы адреса, соответствующие IP-адресу интерфейса и маске локальной сети (в разделе IP-адреса отправителя выбрана опция Другие и указаны адреса согласно системным данным).

Можно изменить допустимые адреса отправителя в передаваемых пакетах, выбрав сетевой интерфейс из списка, установив переключатель раздела IP-адреса отправителя в нужное положение (Допустимые в Интернет или Другие). При выборе значения Другие настроить необходимые адреса в поле IP-адреса отправителя при помощи кнопок Добавить …, Изменить … и Удалить. Кнопка По умолчанию установит значения адресов для выбранного интерфейса в значение по умолчанию.

После завершения настроек следует нажать кнопку Далее> для продолжения. Откроется окно Система готова к сохранению конфигурации (Рис. 6.21.), где можно убедиться в правильности настроек сетевых интерфейсов, после чего нажать кнопку Далее>;. Откроется окно Завершение работы мастера «Настройка сетевых интерфейсов» с информацией о выполненных действиях (0).

На этом настройка сетевых интерфейсов считается завершенной, все данные о настройке будут помещены в окне Сетевые интерфейсы программы ViPNet [Координатор] [Монитор], где в дальнейшем можно изменять настройки сетевых интерфейсов. Для завершения работы мастера необходимо нажать кнопку Готово и откроется главное окно ViPNet Координатор [Монитор] (Рис. 6.4.).

 

Шаг 3
Дальнейшие настройки ViPNet Координатор

Дальнейшие настройки координатора зависят от настроек, сделанных администратором в ЦУСе.

Рис. 6.21. Сохранение настроек сетевых интерфейсов

Рис. 6.22. Завершение настроек сетевых интерфейсов

Если ViPNet Координатор [Монитор] был полностью сконфигурирован администратором сети ViPNet в программе ЦУС, то в этом случае для обеспечения корректной работы координатора в сети никаких ручных настроек ViPNet Координатор [Монитор] производить не нужно. Также без каких-либо дополнительных настроек будут устанавливаться соединения Сетевых Узлов, расположенные в одной подсети с прямым доступом друг к другу по IP-адресу.

Необходимость в редактировании настроек ViPNet Координатор [Монитор] может появиться в случае изменения физического способа подключения координатора к сети или изменения других сетевых настроек. Вне зависимости от настроек, заданных в ЦУСе, необходимо произвести настройки на межсетевом экране, если работа Координатора должна происходить через установленный на границе сети межсетевой экран со статической либо динамической трансляцией адресов.

На координаторе должна быть произведена настройка маршрутизации трафика.

Если координатор должен использоваться в качестве сервера открытого Интернета, то рекомендуется выполнить соответствующие настройки.

Если ViPNet Координатор [Монитор] не был сконфигурирован администратором сети ViPNet или требуется изменение настроек соединений, то нужно произвести настройки на компьютере с ПО ViPNet [Координатор].

Первым делом после старта программы ViPNet Координатор [Монитор] нужно настроить адреса доступа для других Координаторов. Далее, при необходимости, настроить параметры соединения Координатора с другими узлами сети ViPNet в окне Настройки в соответствии с 0.

После того, как были изменены параметры в окне Настройки, в окне Защищенная сеть выбрать какой-либо координатор из списка сетевых узлов. Нажать кнопку Проверить соединение ( ) на панели инструментов, или нажать клавишу F5, или выберите соответствующий пункт в контекстном меню, открывающемся при щелчке правой кнопки мыши.

Если настройки выполнены верно, то появится сообщение об установке соединения с координатором. Если сообщения не появилось, то еще раз проверьте правильность настроек. Если соединение с Координаторами установилось, то все необходимые настройки для других узлов появятся автоматически.

Если Координатор планируется использовать для туннелирования трафика незащищенных узлов локальной сети, то необходимо осуществить настройку IP-адресов для туннелирования.

При необходимости, можно произвести и другие настройки для обеспечения соединения

 

Шаг 4
Окно «Сетевые интерфейсы»

В дереве настроек программы Монитор в окне Сетевые интерфейсы отображаются все сетевые интерфейсы компьютера, распознаваемые программой ViPNet [Координатор] [Монитор], а также настройки для них (Рис. 6.23.).

Рис. 6.23. Окно «Сетевые интерфейсы»

При необходимости изменения настроек сетевого интерфейса следует вызвать окно Свойства сетевого интерфейса (Рис. 6.24.).

Рис. 6.24. Свойства сетевого интерфейса

Шаг 5
Настройка IP-адресов или DNS-имен других ViPNet Координаторов

Использование службы DNS

Технология ViPNet позволяет прозрачно использовать службу DNS различным сетевым приложениям (например, web-браузер, ftp), функционирующим на защищенных компьютерах, для получения IP-адресов различных прикладных серверов. Технология ViPNet может использовать службу DNS для получения IP-адресов сетевых узлов ViPNet. Для функционирования службы DNS в сети ViPNet на DNS-сервере должны быть зарегистрированы DNS-имена и соответствующие им IP-адреса прикладных серверов с учетом ряда правил.

Настройка IP-адреса или DNS-имени координаторов

Для настройки IP-адреса или DNS-имени других координаторов нужно в окне Защищенная сеть дважды щелкнуть левой кнопкой мыши на имени нужного Координатора. Откроется окно Правило доступа (Рис. 6.25.), в котором следует выбрать вкладку IP-адреса.

Для задания IP-адреса Координатора нажать кнопку Добавить (Рис. 6.25.) и в открывшемся окне ввести IP-адрес, или включив опцию Использовать DNS-имя и нажав кнопку Добавить указать DNS-имя Координатора, затем нажать кнопку OK.

 

Замечание: Если используются виртуальные адреса, то для них необходимо настроить маршрутизацию, чтобы иметь доступ с данного Координатора к Координатору другой сети.

 

Рис. 6.25. Окно Правило доступа

Шаг 6
Правила регистрации IP-адресов узла на WINS-сервере

Технология ViPNet бесконфликтно может поддерживать работу только c защищенным WINS-сервером.

При этом на WINS-сервере, так же как и на DNS-сервере, для соответствующих NetBios-имен регистрируются реальные или виртуальные IP-адреса защищенных компьютеров в соответствии с их видимостью с узла, защищающего WINS-сервер.

Технология ViPNet поддерживает автоматическую регистрацию нужного типа адреса на WINS-сервере. Регистрация IP-адреса МЭ, используемого СУ, на WINS-сервере не допускается и технологией ViPNet в данной версии программы не поддерживается.

 

Шаг 7
Установка приоритетов выбора адресов доступа Координатора (настройка и использование метрики)

Если ViPNet Координатор имеет несколько адресов доступа (например, по разным каналам связи), то можно настроить приоритеты каналов для установления соединения сетевого узла с этим ViPNet Координатором. Приоритет каналов задается с помощью метрики для каждого возможного адреса доступа во вкладке Межсетевой экран (Рис. 6.25.) окна Правило доступа для выбранного Координатора защищенной сети.

Имеется возможность явно указать тот канал, через который узел будет работать всегда, когда этот канал доступен. Если самый приоритетный канал по каким-то причинам недоступен, то канал связи выберется в соответствии с настроенными для оставшихся каналов приоритетами. Когда самый приоритетный канал станет доступен, соединение с Координатором вновь установится через него.

Минимальная цифра метрики имеет больший приоритет в сравнении с мтрикой с большей цифрой.

 

Замечание: В данной версии программы определение приоритетных каналов с помощью метрики осуществляется только для Координаторов, работающих через МЭ со статической трансляцией адресов или работающих без использования МЭ.

Настройка метрики

Для настройки адресов доступа и метрики во вкладке Межсетевой экран (Рис. 6.26.) для одного из СУ сети ViPNet необходимо нажать кнопку Изменить для редактирования адреса и (или) метрики, или кнопку Добавить для добавления нового адреса, откроется окно IP-адрес доступа (Рис. 6.26.):

Опция Автоматическое назначение метрики по умолчанию включена, т.е. метрика для адреса доступа назначена автоматически. Это означает, что метрика равна 0, если для всех адресов доступа узла метрика назначена автоматически, либо, если хотя бы для одного адреса вручную назначено какое-либо значение метрики, то значение автоматической метрики на 100 миллисекунд больше максимального значения из метрик, назначенных вручную.

Для того, чтобы указать определенное значение метрики, следует отключить опцию Автоматическое назначение метрики, после чего станет доступно для редактирования поле Метрика, где можно задать значение метрики из диапазона от 1 до 9999.

 

Рис. 6.26. Назначение метрики

По окончании настроек в окне IP-адрес доступа необходимо нажать кнопку OK для сохранения настроек или кнопку Отмена для отмены настроек.

По умолчанию метрика назначается автоматически. В колонке Метрика отображается значение Автоматически (см. Рис. 6.26.), т.е. текущий адрес доступа координатора определяется программой автоматически. Если хотя бы для одного адреса вручную задать значение метрики, то автоматическое определение текущих адресов доступа прекращается, и адреса начинают определяться в соответствии со значениями метрики.

Правила назначения метрик

Метрики определяют задержки (в миллисекундах) при посылке тестовых пакетов для определения доступности канала. Чем метрика больше, тем больше задержка. Выбирается тот канал, доступность которого в результате тестовых посылок определится быстрее.

Назначение для адреса доступа наименьшей метрики приведет к тому, что узел будет выбирать для работы с координатором канал связи с этим адресом доступа всегда, когда этот канал доступен.

Канал связи с наименьшей метрикой считается самым приоритетным каналом работы для узла. Чем больше разница между метриками (наименьшей и назначенной другим адресам доступа), тем меньше вероятность, что при каких-либо сбоях самого приоритетного канала будет выбран менее приоритетный канал с большей метрикой.

Если метрики равны, то для работы будет выбран тот канал, через который соединение с координатором установится наиболее быстрым способом.

Если хотя бы для одного адреса доступа координатора значение метрики задано вручную и выбран не самый приоритетный канал (не с наименьшей метрикой), то определение доступности других каналов связи с целью возвращения к каналу с наименьшей метрикой, начнется одновременно с проверкой наличия соединения по выбранному каналу. Проверка наличия соединения по выбранному каналу осуществляется путем периодических опросов IP-адреса доступа координатора через этот канал.

Опрос координатора производится в соответствии с заданным периодом опроса (опция Параметры опросав окне Дополнительно). Между координаторами период опроса по умолчанию равен 15 минутам, между АП и координатором – 5 минутам.

При старте программы [ Монитор] и при выполнении функции проверки соединения вручную всегда осуществляется проверка доступности всех каналов связи с целью выбора для работы с координатором канала с наименьшей метрикой. После определения канала доступа, текущий адрес доступа отобразится в первой строке колонки IP-адрес вкладки Межсетевой экран.

 

Шаг 8
Настройка параметров соединения Координатора с другими узлами

Узлы сети ViPNet могут быть подключены к глобальной сети непосредственно, либо могут работать через межсетевые экраны (МЭ) и другие NAT-устройства различных производителей (в том числе через ViPNet Координатор).

Узлы сети ViPNet могут располагаться внутри локальных сетей любого типа, поддерживающих IP-протокол. Способ подключения к сети может быть любой. Это может быть сеть Ethernet, PPPoE через XDSL-подключение, PPP через обычный Dial-up или ISDN, сеть сотовой связи GPRS или Wireless-устройства, сети MPLS или VLAN. ПО ViPNet автоматически поддерживает разнообразные протоколы канального уровня.

Для создания защищенных VPN-соединений между узлами используются IP-протоколы двух типов (IP/241 и IP/UDP), в которые упаковываются любые другие IP-протоколы.

При взаимодействии любых сетевых узлов, принимающих друг от друга широковещательные пакеты, а также при взаимодействии между координаторами и сетевыми узлами, использующими эти координаторы в качестве межсетевого экрана (на СУ произведены соответствующие настройки ViPNet), используется более экономичный протокол IP/241. Этот протокол не имеет дополнительных UDP-заголовков размером 8 байт. Исходный пакет после шифрования упаковывается в IP-пакет с 241 номером протокола. Во всех остальных случаях используется протокол UDP. Исходный пакет после шифрования упаковывается в UDP-пакет с заданным портом назначения (по умолчанию 55777).

Настройка параметров соединения Координатора с другими узлами

Для обеспечения гарантированного соединения сетевого узла из любых точек сети с другими сетевыми узлами, в программе ViPNet Координатор [Монитор] есть возможность выбрать один из четырех типов соединения в зависимости от способа подключения Координатора к внешней сети.

Тип соединения выбирается в окне Настройки (Рис. 6.27.):

§ Непосредственное подключение к внешней сети (без использования МЭ) – в этом случае опция Использовать межсетевой экран должна быть выключена.

§ Соединение через ViPNet-координатор – в этом случае опция Использовать межсетевой экран должна быть включена, в опции Тип межсетевого экрана выбрано значение ViPNet-координатор.

§ Соединение через МЭ (NAT-устройство), на котором возможна настройка статических правил трансляции адресов – в этом случае опция Использовать межсетевой экран должна быть включена, в опции Тип межсетевого экрана выбрано значение Со статической трансляцией адресов.

§ Соединение через МЭ (NAT-устройство), на котором настройка статических правил трансляции адресов затруднительна или невозможна – в этом случае опция Использовать межсетевой экран должна быть включена, в опции Тип межсетевого экрана выбрано значение С динамической трансляцией адресов.

Рис. 6.27. Окно «Настройки» ViPNet Координатора

Шаг 9
Сетевые фильтры

Для того, чтобы правильно выполнить настройки правил фильтрации, необходимо понимать основные принципы фильтрации IP-пакетов в программе Монитор. Правила фильтрации IP-трафика являются результатом действия правил антиспуфинга, характеристик выбранного режима безопасности для каждого сетевого интерфейса и списка сетевых фильтров для конкретных IP-адресов, протоколов и портов, заданных пользователем.

Список сетевых фильтров задается пользователем в виде древовидной структуры отдельно для Защищенной сети и Открытой сети. Принципы фильтрации различаются для защищенной и открытой сети.

Для Защищенной сети:

Дерево фильтров позволяет задавать фильтры на отдельный IP-адрес (первый уровень фильтрации) и определять фильтры на типы протоколов, направление установления соединения (прохождения IP-пакетов) и номера портов (второй уровень фильтрации).

Существуют автоматически создаваемые сетевые фильтры, которые можно модифицировать, но нельзя удалять: главный и широковещательный фильтры для Защищенной сети.

Для Открытой сети:

Сетевые фильтры настраиваются по паре адресов пакета (IP-адресу отправителя и получателя или диапазону IP-адресов отправителей и получателей).

Окно Открытая сеть поделено на четыре группы фильтрации для разных типов пакетов:

Широковещательные IP-пакеты ;

Локальные входящие IP-пакеты ;

Локальные исходящие IP-пакеты;

Транзитные IP-пакеты.

В группе фильтрации Широковещательные IP-пакеты существует автоматически созданный сетевой фильтр Все широковещательные IP-пакеты, который пользователь при необходимости может модифицировать, отключить или удалить.

В остальных группах фильтрации по умолчанию фильтры не заданы, т.е. фильтрация осуществляется в рамках установленного режима безопасности. Дерево фильтров позволяет пользователю задавать собственные сетевые фильтры в каждой группе фильтрации..

Каждый сетевой фильтр изначально состоит из Правила доступа и подчиненного ему фильтра протоколов с именем Все протоколы. В Правиле доступа настраиваются адреса (отправителя и получателя пакета) по которым будет осуществляться отбор пакетов для фильтрации. Подчиненный фильтр Все протоколы определяет условия фильтрации пакетов и действие фильтра (Пропускать или Блокировать пакеты). Для каждого Правила доступа можно добавлять дополнительные фильтры протоколов. Фильтрация пакетов может быть настроена в зависимости от времени.

Список сетевых фильтров для Защищенной сети

Окно Защищенной сет ь (Рис. 6.4.) поделено на три группы фильтрации.

Главный фильтр с именем IP-пакеты всех адресатов – определяет общее правило фильтрации для всех сетевых узлов из окна Защищенная сеть.

Широковещательный фильтрс именем Широковещательные IP-пакеты всех адресатов – определяет правило фильтрации для всех шифрованных широковещательных пакетов. Работа фильтров для широковещательных пакетов не зависит от настроек других фильтров.

Индивидуальные фильтры - фильтры для конкретных сетевых узлов Защищенной сети.

Фильтр протоколов – может быть настроен для широковещательного, главного и индивидуального фильтров. Фильтр протоколов всегда подчинен какому-либо фильтру из указанных выше.

Microsoft SQL фильтр – может быть использован при установке ViPNet Координатор на Microsoft SQL сервер с целью ограничения доступа пользователей (с установленным ПО ViPNet) на SQL сервер, либо для предотвращения прихода нежелательных данных. Фильтр работает на уровне протокола TDS (протокол передачи данных для MS SQL). Microsoft SQL фильтр всегда подчинен какому-либо индивидуальному фильтру для пользователя Защищенной сети.

Список сетевых фильтров для Открытой сети

Окно Открытая сеть (Рис. 6.28.) поделено на четыре группы фильтрации (по типам обрабатываемых пакетов):

Широковещательные IP-пакеты – группа фильтрации предназначена для настройки правил фильтрации широковещательных пакетов.

Правила фильтрации широковещательных пакетов задаются только для входящего трафика (т.е. адресованных на один из адресов компьютера с ViPNet Координатор [Монитор]). Для исходящего трафика действуют правила установленного режима. По умолчанию этот фильтр блокирует все входящие широковещательные пакеты, за исключением пакетов для отдельных протоколов, а именно разрешены:

Широковещательные пакеты nbname (порт 137) и nbdatagram (порт 138) предназначены для организации работы службы имен NETBIOS – определения имен компьютеров, входящих в Microsoft Network.

Широковещательные пакеты bootp (порты 67 и 68) предназначены для организации работы службы DHCP – получения компьютером IP-адреса при его загрузке.

Рис. 6.28. Окно Открытая сеть

Локальные входящие IP-пакеты – группа фильтрации предназначена для настроек фильтрации нешироковещательных IP-пакетов, приходящих на локальную машину (т.е. адресованных на один из адресов компьютера с ViPNet Координатор [Монитор]).

В эту группу можно добавить Собственный сетевой фильтр (Рис. 6.28.) –(Правило доступа + фильтр протоколов Все протоколы) для IP-пакетов с заданными пользователем параметрами. По умолчанию фильтр пропускает пакеты.

IP-адреса отправителя – в этом разделе можно добавить, изменить или удалить IP-адреса отправителя пакета или диапазон IP-адресов. Адреса отправителя, если заданы адреса получателя, могут не задаваться. В этом случае считается, что задан диапазон 0.0.0.0 – 255.255.255.255.

IP-адреса получателя – в этом разделе можно добавить, изменить или удалить IP-адреса получателя пакета или диапазон IP-адресов. Адреса получателя, если заданы адреса отправителя, могут не задаваться. В этом случае считается, что задан диапазон 0.0.0.0 – 255.255.255.255.

 

Замечание: При добавлении правила доступа в группу фильтрации Локальные исходящие IP-пакеты или Локальные входящие IP-пакеты в полях IP-адреса отправителя или IP-адреса получателя соответственно должны присутствовать адреса компьютера ViPNet Координатор [Монитор]. Такие настройки проверяются при сохранении.

 

Рис. 6.29. Добавление Собственного сетевого фильтра

Локальные исходящие IP-пакеты – группа фильтрации предназначена для настроек фильтрации нешироковещательных IP-пакетов, исходящих с локальной машины (т.е. адресованных от одного из адресов компьютера с ViPNet Координатор [Монитор]). В эту группу можно добавить Собственный сетевой фильтр (Рис. 6.30).

Транзитные IP-пакеты – группа фильтрации предназначена для настроек фильтрации нешироковещательных IP-пакетов, проходящих через локальную машину как через маршрутизатор (т.е. пакетов, адреса получателя и отправителя которых не совпадают ни с одним из адресов компьютера с ViPNet Координатор [Монитор]). В эту группу также можно добавить Собственный сетевой фильтр (Рис. 6.28.).

Настройка расписания применения фильтров для Открытой сети

Для каждого фильтра протоколов для Открытой сети имеется возможность настроить расписание работы этого фильтра, т.е. время, когда фильтр будет включен и когда отключен. Для настройки расписания применения фильтра следует нажать в окне Фильтр протоколов (Рис. 6.30.) кнопку Настроить расписание… Откроется окно Расписание (Рис. 6.31.). После настройки расписания работы фильтра, в окне Открытая сеть в колонке Расписание для этого фильтра появится значок наличия расписания (Рис. 6.28.).

 

Рис. 6.30. Добавление Собственного сетевого фильтра

Рис. 6.31. Настройка Расписания применения фильтров Открытой сети

Порядок применения фильтров и зависимость от режима безопасности

Принцип применения фильтров для открытой и защищенной сети несколько отличается.

Для Защищенной сети:

- если фильтр имеет два уровня, то сначала применяются подчиненные фильтры протоколов, а потом фильтр первого уровня (если пакет не соответствует условиям ни одного из подчиненных фильтров).

Для Открытой сети:

- для каждой группы фильтрации все фильтры применяются друг за другом по порядку сверху вниз, так, как они отображены в окне Открытая сеть, т.е. для каждого правила доступа применяются по порядку все подчиненные ему фильтры протоколов.

Применение разрешающих сетевых фильтров для открытого трафика происходит по следующему принципу:

- Разрешающие фильтры в окне Открытая сеть разрешают не отдельные пакеты, а соединения. Т.е. все сетевые фильтры применяются к пакетам, инициирующим соединения. При приходе первого пакета, удовлетворяющего параметрам сетевого фильтра, устанавливается соединение, и далее внутри этого соединения пропускаются все входящие и исходящие пакеты, отвечающие заданному правилом фильтрации адресу, протоколу и параметрам протокола. Действие разрешающих фильтров аналогично действию режима " жёсткий бумеранг", но в отличие от этого режима, пакетами, инициирующими соединения, могут быть как исходящие, так и входящие пакеты (в зависимости от настроек сетевого фильтра).

Блокирующие фильтры открытого трафика блокируют пакеты указанного в фильтре направления кроме тех пакетов, которые являются ответами в рамках разрешенных соединений, заданных другими разрешающими фильтрами.

Любой фильтр протоколов может быть отключен. В этом случае в обработке пакетов он участвовать не будет, но запись об этом фильтре сохранится.

Работа фильтров зависит от установленных режимов безопасности.

- Если установлен 5-й режим, то через такой сетевой интерфейс пропускаются все пакеты вне зависимости от каких-либо установок фильтров.

- При этом пакеты от защищенных адресатов не будут расшифровываться и будут восприниматься прикладными программами как испорченные.

- Пакеты для защищенных адресатов будут отправляться открытыми.

В остальных режимах работа происходит следующим образом:

- Первым делом определяется, относится ли пакет (входящий или исходящий) к адресату защищенной сети и является ли он зашифрованным.

- Если от адресата защищенной сети приходит незашифрованный пакет, то он блокируется (события 22 и 23).

Для шифрованных пакетов применяются фильтры Защищенной сети в следующем порядке:

· Сначала применяется главный фильтр. В результате применения фильтра пакет может быть заблокирован (событие 10).

· Для широковещательных шифрованных пакетов применяется широковещательный фильтр Защищенной сети. В результате применения фильтра пакет может быть заблокирован (событие 3).

· Затем для нешироковещательных пакетов применяется индивидуальный фильтр (включая его подчиненные фильтры протоколов), установленный именно для этого адресата.

· Далее, для нешироковещательных пакетов, по которым не было принято решение, если настроен Microsoft SQL фильтр, он применяется, в результате пакет может быть заблокирован.

· Если пакет не был заблокирован ни в одном из фильтров, то он пропускается.

Для нешифрованных пакетов применяются фильтры Открытой сети, то работа фильтров зависит от установленного режима безопасности.

- Если установлен 1-й режим, то все пакеты блокируются вне зависимости от настроенных разрешающих сетевых фильтров.

- Если установлен 4-й режим, то все пакеты пропускаются вне зависимости от настроенных запрещающих сетевых фильтров.

- Если установлен 2-й или 3-й режим, то для поступившего на сетевой интерфейс пакета сначала определяется, к какой группе фильтрации он относится, и в зависимости от типа пакета по порядку сверху вниз применяются сетевые фильтры из соответствующей группы фильтрации:

· Для широковещательных пакетов применяются фильтры группы Широковещательные IP-пакеты. В результате применения этих фильтров пакет может быть либо заблокирован, либо пропущен.

· Для нешироковещательных локальных входящих пакетов (т.е. пакетов, адреса получателя которых совпадают с одним из адресов локальной машины) применяются фильтры группы Локальные входящие IP-пакеты (если таковые настроены). В результате применения этих фильтров пакет может быть либо заблокирован, либо пропущен.

· Для нешироковещательных локальных исходящих пакетов (т.е. пакетов, адреса отправителя которых совпадают с одним из адресов локальной машины) применяются фильтры группы Локальные исходящие IP-пакеты (если таковые настроены). В результате применения этих фильтров пакет может быть либо заблокирован, либо пропущен.

· Для нешироковещательных транзитных пакетов (т.е. пакетов, адреса получателя и отправителя которых не совпадают ни с одним из адресов локальной машины) применяются фильтры группы Транзитные IP-пакеты (если таковые настроены). В результате применения этих фильтров пакет может быть либо заблокирован, либо пропущен.

· Для всех остальных пакетов, по которым не было принято решение предыдущими фильтрами, действует режим работы, настроенный на сетевых интерфейсах - если установлен 2-й режим, то все пакеты блокируются, если установлен 3-й режим, то работает механизм бумеранга.

Шаг 10
Настройка трансляции IP-адресов (NAT)

Трансляция сетевых адресов (NAT) – это технология, позволяющая преобразовывать IP-адреса, использующиеся в одной сети в IP-адреса, использующиеся в другой. NAT обычно применяется для решения двух основных задач:

- NAT позволяет локальным сетям, использующим частные адреса, получать доступ к ресурсам Интернет.

- NAT позволяет скрыть внутреннюю структуру локальной сети, в результате чего становится практически невозможным напрямую атаковать тот или иной узел локальной сети.

Функции NAT конфигурируются на компьютере, разграничивающем локальную (внутреннюю) сеть и глобальную сеть (например, Интернет). Этот компьютер должен иметь как минимум два сетевых интерфейса.

- Один из сетевых интерфейсов, обеспечивающий доступ в Интернет и имеющий публичный IP-адрес (внешний интерфейс).

- Один из сетевых интерфейсов (внутренний интерфейс), который может иметь любой адрес (как частные, так и пуб