Принцип работы ViPNet-драйвера

Ядром программного обеспечения ViPNet является так называемый ViPNet-драйвер, основной функцией которого является фильтрация и шифрование/дешифрование входящих и исходящих IP-пакетов.

Каждый исходящий пакет обрабатывается ViPNet-драйвером в соответствии с одним из

следующих правил:

 переадресуется или отправляется в исходном виде (без шифрования);

 блокируется;

 шифруется и отправляется;

 шифруется и переадресуется.

Каждый входящий пакет обрабатывается следующим образом:

 пропускается (если он не зашифрован и это разрешено правилами фильтрации для нешифрованного трафика);

 блокируется (в соответствии с установленными правилами фильтрации);

 расшифровывается (если пакет был зашифрован) и перенаправляется для дальнейшей обработки соответствующим приложением.

ViPNet-драйвер работает между канальным уровнем и сетевым уровнем модели OSI, что позволяет осуществлять обработку IP-пакетов до того как они будут обработаны стеком протоколов TCP/IP и переданы на прикладной уровень. Таким образом, ViPNet-драйвер защищает IP-трафик всех приложений, не нарушая привычный порядок работы пользователей.

Благодаря такому подходу, внедрение технологии ViPNet не требует изменения сложившихся бизнес-процессов, а затраты на развертывание сети ViPNet невелики.

Примечание. На приведенной схеме модели OSI допущены следующие упрощения:

 Транспортный и сеансовый уровни объединены в транспортный уровень.

 Прикладной уровень и уровень представления объединены в прикладной уровень.

Следующая схема иллюстрирует работу ViPNet-драйвера при обработке запроса на просмотр веб-страницы. Страница размещена на IIS-сервере, который работает на компьютере Б.

Компьютер A отправляет на компьютер Б запрос по протоколу HTTP. Запрос передается на нижние уровни стека TCP/IP, при этом на каждом уровне к нему добавляется служебная информация. Когда запрос достигает ViPNet-драйвера, он зашифровывает запрос и добавляет к нему собственную информацию. ViPNet-драйвер, работающий на компьютере B, принимает запрос и удаляет из него служебную информацию ViPNet. Затем ViPNet-драйвер расшифровывает запрос и передает по стеку TCP/IP на прикладной уровень для обработки.

ViPNet-драйвер может работать в одном из следующих режимов:

1.«Блокировать открытый 1Р-трафик».

С компьютерами VPN-сети разрешена шифрованная связь.

С открытыми ресурсами связь блокируется.

2.«Разрешить зарегистрированный открытый IP-трафик».

С компьютерами VPN-сети разрешена шифрованная связь.

Компьютер защищенной сети, может устанавливать открытые соединения с компьютера­ми или устройствами, в VPN-сеть не входящими, зарегистрировав их IP-адреса.

3. «Бумеранг (Разрешить инициативные открытые соединения)».

С компьютерами VPN-сети разрешена шифрованная связь.

В то же время этот режим используется для безопасной работы с открытыми ресурсами сети Интернет. Его суть заключается в том, что открытые соединения допускаются только в тех случаях, когда защищенный компьютер инициирует эти соединения.

Есть «Жесткий Бумеранг» и «Мягкий Бумеранг».

«Жесткий Бумеранг» - это режим Бумеранга, в котором анализ поступающей во время со­единения информации производится по большому числу параметров (адрес, протокол, порт).

«Мягкий бумеранг» - анализ поступающей во время соединения информации производит­ся по меньшему числу параметров (адрес, протокол).

В жестком режиме не удастся работать с теми прикладными протоколами, которые пыта­ются передавать ответную информацию не по тому порту, который был открыт для исходящего трафика. Если есть необходимость работы по таким протоколам, то следует перейти в мягкий режим. Исключение составляют протокол FTP, для которого выполняется специальная обра­ботка в режиме жесткого бумеранга.

Для каждого получаемого IP-пакета осуществляется одно из трех действий: пропустить в незащищенном виде (если пакет незашифрован), не пропускать вообще, расшифровать (если пакет зашифрован) и передать приложению в открытом виде.

Обработка входящих IP-пакетов

В случае работы с протоколом FTP в активном режиме (режиме, в котором FTP-сервер от­крывает соединение с клиентом) при прохождении команды PORT создается специальный частный фильтр, пропускающий TCP-соединение от FTP-сервера на локальную машину по соот­ветствующим портам. Этот фильтр не отображается для пользователей.

4. «Не блокировать открытый IP-трафик».

С компьютерами VPN-сети разрешена шифрованная связь.

Со всеми открытыми ресурсам устанавливаются открытые соединения.

5. «Отключить драйвер» - работа в открытом режиме со всеми существующими ресур­сами