Текст
ОАО "ИнфоТеКС"
ТЕХНОЛОГИЯ ПОСТРОЕНИЯ
ВИРТУАЛЬНЫХ ЗАЩИЩЕННЫХ СЕТЕЙ
ViPNet WINDOWS+LINUX
версии 3.0
практикум
Учебно-методическое пособие
Москва
2008
ББК: 32.973.26-018.2
Т38
Технология построения виртуальных защищенных сетей ViPNet версии 3.0
Windows+Linux: практикум: Учебно-методическое пособие- Москва: 11-
формат, 2008. - 267 с.
Составители: А.О. Чефранова, А.Г. Стародубов, А.П. Горбачук
Пособие посвящено практическим вопросам использования технологии ViPNet.
Предназначено для учебных курсов по технологии ViPNet, а также для авторизованных
центров ОАО "ИнфоТеКС", на базе которых проходит обучение по учебным
программам подготовки специалистов ViPNet. Также оно может быть рекомендовано
специалистам служб компьютерной безопасности по вопросам построения
комплексных систем защиты информации и применения средств защиты в
автоматизированных системах.
Рецензенты:
Кандидат технических наук Д.М.Гусев,
Все права защищены. Любая часть этого издания не может быть
воспроизведена в какой бы то ни было форме и какими бы то ни было средствами
без письменного разрешения ОАО "ИнфоТеКС".
2
Предисловие
Тенденции рынка средств защиты информации сегодня и завтра определяются все
большей интеграцией информационных технологий в единое сетевое пространство.
Глобальные сети, включая, конечно Интернет, интегрируются с корпоративными сетями. Все
большее число корпоративных сетей строится на базе услуг, предоставляемых местными
телекоммуникационными провайдерами. Все проще становится получить высококлассный
доступ в Интернет, а через него к своим корпоративным ресурсам любым индивидуальным
пользователям из любой точки мира. Качество предоставляемых общедоступных услуг
возрастает быстрыми темпами. Ясно уже, что современный бизнес не может обойтись без
инфокоммуникаций, а процесс интеграции сетевых технологий все более остро предъявляет
требования к их безопасности, что позволило бы бизнесу и отраслям экономики с высокой
степенью уверенности использовать современные инфокоммуникаций для повышения
эффективности своей деятельности.
Но, к сожалению, постоянно усложняющиеся операционные и прикладные системы
современных компьютеров, повышают возможность проведения различного рода сетевых атак,
как из внутренних, так и внешних сетей, что может, наоборот, при активном использовании
инфокоммуникаций привести к существенному снижению эффективности деятельности
бизнеса и различных секторов экономики.
К серьезным проблемам безопасности может привести и наблюдающаяся сегодня
тенденция к безоглядной ориентации на технологии, основанные на открытом распределении
ключей (PKI), надежность которых очень сильно зависит от достижений современной
математики. Эта же проблема относится и к механизмам электронной цифровой подписи,
использование которой в критически важных системах без дополнительных мер защиты
вызывает серьезные опасения.
Поэтому в условиях интеграции сетевых технологий, все возрастающей роли технологий
беспроводных соединений, постоянно повышающейся мобильности пользователей все
большее значение приобретают средства сетевой защиты информации, обеспечивающие
персональную защиту компьютеров, которые независимо от используемых коммуникаций
позволяли бы гарантировать целостность данных, безопасность компьютеров и
конфиденциальность информации.
К таким средствам, безусловно, относятся программные средства VPN,
интегрированные с персональными сетевыми экранами, которые, будучи установленными на
компьютеры, позволяют обеспечить высокий уровень безопасности на самых небезопасных
коммуникациях и позволяют пользователю спокойно воспользоваться всем спектром сервисов
и услуг. Это объясняется тем, что такое программное обеспечение при его правильной
реализации, в отличие от других средств, выполняющих защиту на других более высоких
уровнях (SSL и др.), способно контролировать любой трафик данного компьютера, с высокой
надежностью предотвратить возможные сетевые атаки, сохранить целостность и
конфиденциальность данных. А в наиболее ответственных случаях может осуществлять
исключительно криптографическую, (то есть гарантированно аутентифицированную)
фильтрацию трафика с блокировкой любого открытого трафика. Это полностью исключает
любые возможности по доступу к информации и компьютеру со стороны других компьютеров,
не имеющих необходимых ключей связи, и гарантирует возможность доступа компьютеров,
имеющих соответствующие ключи, только в рамках разрешенных протоколов.
Высокая привлекательность этих технологий определяется их прозрачностью для
любых приложений и независимостью от операционной среды, что позволяет практически
полностью отделить развитие всевозможных сервисов и прикладных систем от проблем
безопасности.
При использовании таких технологий на существующую информационную
инфраструктуру легко накладывается распределенная система персональных и межсетевых
экранов, взаимодействующих между собой по технологии VPN и осуществляющих фильтрацию
и шифрование трафика, что позволяет обеспечить конфиденциальность и достоверность
информации при наличии сетевых атак, как из глобальных, так и из локальных сетей. При этом
обеспечивается возможность построения защищенных подсистем произвольных топологий и
размерности, возможность создания внутри распределенной сети взаимно - недоступных
3
виртуальных защищенных контуров для обеспечения функционирования в единой
телекоммуникационной среде различных по конфиденциальности или назначению
информационных задач. В виртуальный контур могут включаться, как отдельные компьютеры,
так и группы компьютеров, находящиеся в локальных или глобальных сетях.
Технология виртуальных защищенных сетей ViPNet, одновременно ориентированная на
персональную сетевую защиту компьютеров и локальных сетей в целом предназначена для
решения именно таких задач. Технология ViPNet основана на использовании программных
модулей, применяется на любых существующих IP-сетях, коммутируемых и выделенных
каналах, сетях MPLS, технологиях и протоколах GPRS, xDSL, Wireless и др., не требует
специального оборудования и настроек со стороны пользователя, совместима с любым
прикладным программным обеспечением. Технология поддерживается в любых операционных
системах Windows, ОС Linux, Sun Solaris.
Данное пособие является результатом работы целого коллектива сотрудников компании
ОАО "ИнфоТеКС". Появившись в начале в виде отдельных лабораторных работ, пособие в
настоящее время приняло вид полноценного практикума, использование которого позволит
повысить эффективность учебных курсов по технологии ViPNet, а также даст возможность
получить необходимый опыт при самостоятельном разворачивании виртуальных защищенных
сетей ViPNet.
Выражаем огромную благодарность отделу сопровождения и клиентских проектов ОАО
"ИнфоТеКС" за те предложения и замечания, которые позволили приблизить задания,
приводимые в пособии, к реальным потребностям клиентов, персонально: Начальнику отдела
ОСКП Задонскому Дмитрию Сергеевичу, Начальнику отдела проектов Набережному Роману
Владимировичу, а также сотруднику отдела ОСКП Семенову Андрею Викторовичу и др.
Также мы очень благодарны Начальнику отдела прикладного ПО Центра разработки ОАО
"ИнфоТеКС" Поташникову Александру Викторовичу, который консультировал весь наш
отдел во время подготовки пособия, а также программисту отдела Семенову Алексею
Викторовичу.
Заранее выражаем признательность всем, кому предстоит работать с данным пособием,
за предложения и замечания, которые можно направлять по адресу anna-chefr@infotecs.ru.
Отдел учебных программ ОАО "ИнфоТеКС"
4
ВВЕДЕНИЕ 6
ПРАКТИЧЕСКОЕ ЗАНЯТИЕ 1. РАБОТА С ВИРТУАЛЬНОЙ СЕТЬЮ ВЕРСИИ 3.0 13
ПРАКТИЧЕСКОЕ ЗАНЯТИЕ 2. МОДИФИКАЦИЯ ВИРТУАЛЬНОЙ СЕТИ VIPNET 43
ПРАКТИЧЕСКОЕ ЗАНЯТИЕ 3. ВЗАИМОДЕЙСТВИЕ VIPNET-СЕТЕЙ ВЕРСИЙ 3.0 68
№3_1 МЕЖСЕТЕВОЕ ВЗАИМОДЕЙСТВИЕ НА ОСНОВЕ ИСММК .......68
№3_2 МЕЖСЕТЕВОЕ ВЗАИМОДЕЙСТВИЕ НА ОСНОВЕ АММК : .....11 5
№3_3 МОДИФИКАЦИЯ МЕЖСЕТЕВОГО ВЗАИМОДЕЙСТВИЯ : 129
ПРАКТИЧЕСКОЕ ЗАНЯТИЕ 4. РАБОТА С ПО VIPNET [КООРДИНАТОР] LINUX 149
ПРАКТИЧЕСКОЕ ЗАНЯТИЕ 5. РАБОТА С ПО VIPNET [КООРДИНАТОР] WINDOWS 221
5
Введение
В настоящем учебно-методическом пособии представлены основы технологии и
практические задания по курсу «Технология системы защиты информации ViPNet.
Подготовка Администраторов ViPNet версии 3.0 (на платформе Windows)».
В практических заданиях прорабатываются темы, связанные с развертыванием
защищенной VPN-сети на основе новой версии (3.0) программного обеспечения ViPNet,
модификации сети на основе версии 3.0. Также представлены упражнения, позволяющие
освоить работу с основными модулями системы защиты информации ViPNet -
[Администратор], [Клиент] и [Координатор].
Курс рассчитан для профессиональной подготовки сотрудников, в функции которых
входит администрирование защищенных сетей, а также для повышения квалификации
специалистов служб компьютерной безопасности по вопросам построения комплексных систем
защиты информации и применения средств защиты в автоматизированных системах.
Основными целями практикума являются:
Теоретическая и практическая подготовка слушателей в области защиты информации и
защищенных компьютерных сетей.
Приобретение умений и навыков для построения и модификации защищенных сетей по
заданным схемам.
Приобретение опыта в организации межсетевого взаимодействия защищенных сетей
ViPNet.
Внимание!!!
Данное пособие разрабатывалось с учетом последних изменений в
программном обеспечении ViPNet Custom. Но ПО меняется чаще, чем выходят новые
редакции практикума. Мы даем вам уникальную возможность поработать с
новейшими версиями ПО ViPNet. Поэтому некоторые иллюстрации могут не
совпадать с тем, что вы видите на экране. При этом смысл скриншота и все
комментарии остается актуальным. Просим вас отнестись к этому факту с
пониманием.
Требования к подготовке администратора ViPNet
После подготовки Администратор ViPNet v.3.0 должен:
иметь представление:
о современном состоянии, тенденциях и перспективах развития в области
телекоммуникаций;
о структуре и организации различных видов телекоммуникаций;
об общих принципах криптографии и особенностях криптосистемы в продуктах ViPNet;
о составе ключевой информации;
об изменении рабочих параметров и настроек системы ViPNet версии 3.0;
о новых программных модулях системы ViPNet в версии 3.0.
быть способен:
б
создавать и модифицировать защищенные сети ViPNet версии 3.0 по заданным схемам;
организовывать межсетевое взаимодействие сетей ViPNet как между версиями 3.0,
обеспечивать взаимодействие всех объектов сети ViPNet между собой;
обеспечивать работу Координаторов;
обеспечивать работу Центра регистрации и системы PKI;
вести контроль безопасности функционирования программного комплекса ViPNet;
организовывать взаимодействие между серверами и рабочими станциями виртуальных
сетей ViPNet.
знать и использовать:
принципы работы защищенных виртуальных сетей;
принципы действия, технологию использования и методику применения защищенных
сетей;
методы организации защищенных сетей ViPNet версии 3.0.
уметь:
организовывать доступ к защищаемым ресурсам и наделять полномочиями
пользователей (в соответствии с решением по доступу пользователей к информационным
ресурсам и в объеме, соответствующем этому решению);
контролировать выполнение правил работы пользователями компьютеров, на которых
установлено программное обеспечение ViPNet;
проводить аудит журналов на предмет попыток НСД и прочих нарушений;
осуществлять тестирование правильности функционирования ПО ViPNet;
контролировать соблюдение мер информационной безопасности;
оказывать помощь пользователям по применению ПО ViPNet.
владеть:
методами управления защищенными сетями;
технологией организации VPN;
методикой использования системы защиты информации ViPNet версии 3.0.
Продолжительность курса
5 дней (40 академических часов) под руководством инструктора.
Используемое программное обеспечение
ПО ViPNet [Администратор] (версия 3.0);
ПО ViPNet [Координатор] (версии 3.0);
ПО ViPNet [Клиент] (версии 3.0);
ПО ViPNet [Центр Регистрации] (версии 3.0);
ПО ViPNet [Сервис Публикации] (версии 3.0).
Используемые в пособии сокращения и аббревиатуры
АКШ - асимметричный ключ шифрования;
АП - абонентский пункт;
7
АРМ - автоматизированное рабочее место;
ДП - Деловая Почта;
ИСММК- индивидуальный симметричный межсетевой мастер-ключ;
КД - ключевая дискета;
КН - ключевой набор;
КЦ - ключевой центр;
МК- мастер-ключ;
ММК- межсетевой мастер-ключ;
НРПК- набор резервных персональных ключей;
ОИ - Открытый Интернет (технология обработки информации в ПО ViPNet);
ОС - операционная система;
ПО - программное обеспечение;
ПСЭ - персональный сетевой экран;
СГ - сетевая группа;
СКЗИ - система криптографической защиты информации;
СМ - сервер-маршрутизатор;
СОС - список отозванных сертификатов;
СП - Сервис публикаций, программа семейства ViPNet;
СУ - сетевой узел;
ТК-тип коллектива;
УКЦ - удостоверяющий и ключевой центр;
УЛ - уполномоченное лицо;
УЦ - удостоверяющий центр;
ЦР - Центр регистрации, программа семейства ViPNet;
ЦУС - центр управления сетью;
ЭЦП - электронная цифровая подпись;
AD - Active Directory (служба каталогов корпорации Microsoft);
FTP - File Transfer Protocol (протокол передачи файлов);
VPN - [Virtual Private Network] - виртуальная защищенная сеть.
Рекомендации при использовании ПО ViPNet Custom (на ОС Windows) версии 3.0
следующие:
- Использовать файловую систему NTFS.
- Переименовать или удалить пользователя с именем Administrator
{Администратор в русской версии ОС Windows). Должен быть зарегистрирован
только один пользователь, обладающий правами администратора, на которого
и возлагается обязанность управлять ОС.
- Удалить у группы Everyone все привилегии.
- Отключить учетную запись для гостевого входа (Guest).
- Использовать автоматическую блокировку компьютера при отсутствии
активности пользователя свыше 15 мин.
- Установить ограничения на доступ пользователей к системному реестру в
соответствии с принятой в организации политикой безопасности, что
реализуется при помощи ACL или установкой прав доступа.
- Ограничить использование Планировщика задач (Scheduler).
- Устанавливать атрибуты SECURITY_ATTRIBUTES процессов и потоков в
соответствии с требованиями безопасности всей системы в целом.
8
- Для предотвращения стороннего анализа остаточной информации желательно
использовать дополнительные ограничения по доступу к временным файлам.
- Отказаться от использования режима автоматического входа пользователя при
ее загрузке.
- Исключить возможность удаленного редактирования системного реестра через
общедоступные каналы передачи данных.
- Удалить все общие ресурсы на компьютере с установленным ПО СКЗИ «Домен-
К» (в том числе и создаваемые по умолчанию при установке ОС), которые не
используются. Права доступа к используемым общим ресурсам задать в
соответствии с политикой безопасности, принятой в организации.
- Устанавливать выпускаемые Microsoft исправления ошибок ОС, позволяющих
получать привилегии администратора
- Отключить сервис DCOM при использовании общедоступных каналов передачи
данных.
- Запретить вход в ОС через общедоступные каналы передачи данных для всех
пользователей, включая группу Administrators.
- Закрыть доступ к неиспользуемым портам.
- Включать фильтры паролей, устанавливаемые вместе с пакетами обновлений
ОС.
- Ограничить доступ пользователей в каталог %SystemRoot%.
- Установить права доступа к каталогам %Systemroot%\System32\Config,
%Systemroot%\System32\SPOOL, %Systemroot%\Repair,
%Systemroot%\COOKIES, %Systemroot%\FORMS, %Systemroot%\HISTORY,
%Systemroot%\SENDTO, %Systemroot%\PROFILES,
%Systemroot%\OCCACHE, \TEMP, а также файлам boot.ini, autoexec.bat,
config.sys, ntdetect.com и ntldr в соответствии с политикой безопасности,
принятой в организации.
- После установки операционной системы удалить из каталога
%Systemroot%\System32\Config файл sam.sav.
- Использовать систему аудита в соответствии с политикой безопасности,
принятой в организации.
- При работе через общедоступные каналы передачи данных отказаться от
использования протокола SMB, либо в случае необходимости установить в
ключе
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters параметр EnableSecuritySignature (REGJDWORD) со значением 1
и параметр RequireSecuhtySignature (REG_DWORD) со значением 1.
Рекомендуется внести следующие изменения в системном реестре:
в ключе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa установить
параметр RestrictAnonymous (REG_DWORD) со значением 1 для исключения доступа
анонимного пользователя к списку разделяемых ресурсов, а также для исключения
доступа к содержимому системного реестра;
удалить имя SPOOLSS из ключа Н КЕ Y_LOC AL_M AC НIN E\System\
CurrentControlSet\Services\LanManServer\Parameters\NulISessionPipes для исключения
утечки информации при передаче данных по именованному каналу
\\server\PIPE\SPOOLSS;
в ключе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
LanManServer\Parameters установить параметры AutoShareWks (для Windows NT
Workstation) и AutoShareServer (для Windows NT Server), имеющие тип REG_DWORD, со
значением 0 для запрета автоматического создания скрытых совместных ресурсов;
9
* в ключе HKEY__LOCAL_MACHINE\Software\Microsoft\WindowsNT\
CurrentVersionWVinlogon установить параметр CachedLogonsCount (REGJDWORD) со
значением 0 для отключения кэширования паролей последних десяти пользователей,
вошедших в систему;
* в ключе HKEY__LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\
<LogName> (LogName - имя журнала, для которого следует ограничить доступ
пользователям группы Everyone) установить параметр RestrictedGuestAccess
(REGJDWORD) со значением 1 для исключения доступа группы Everyone к системному
журналу и журналу приложений;
* в ключе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\
SessionManager\MemoryManagement установить параметр ClearPageFileAtShutDown
(REGJDWORD) со значением 1 для включения механизма затирания файла подкачки при
перезагрузке;
* в ключе HKEY__LOCAL_MACHINE\System\CurrentControlSet\Control\ SecurePipeServers
установить параметр winreg (REGJDWORD) со значением 1 для ограничения удаленного
доступа к реестру;
* в ключе HKEY_LOCAL_MACHlNE\Software\Microsoft\WindowsNT\
CurrentVersionWVinlogon установить параметр AllocateFloppies (REG_SZ) со значением
1 для исключения параллельного использования дисковода для гибких дисков;
* в ключе HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\
CurrentVersionWVinlogon установить параметр DontDisplayLastUserName (REG_SZ) со
значением 1 для отключения отображения имени последнего зарегистрированного
пользователя;
* в ключе HKEY_LOCAL__MACHINE\System\CurrentControlSet\Control\Lsa установить
параметр AuditBaseObjects (REGJDWORD) со значением 1 для включения аудита
базовых объектов системы;
* в ключе HKEY_LOCAL__MACHINE\System\CurrentControlSet\Control\Lsa
* установить параметр FullPrivilegeAuditing (REGJ3INARY) со значением 1 для включения
аудита привилегий;
* в ключе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\ Parameters
установить параметр EnablePlainTextPassword (REGJDWORD) со значением 0 для
исключения передачи пароля пользователей по сети в открытом виде.
Дополнительно при использовании ОС Microsoft Windows ХР следует произвести
дополнительные настройки:
- Запретить использование функции резервного копирования паролей.
- Отключить режимы отображения окна всех зарегистрированных на компьютере
пользователей и быстрого переключения пользователей.
- Отключить возможность удаленного администрирования компьютера.
Требования к составу программного обеспечения
Установленное программное обеспечение не должно содержать средств разработки и
отладки приложений, а также средств, позволяющих осуществлять несанкционированный
доступ к системным ресурсам. Под средствами разработки подразумеваются также средства
написания программ при помощи языка макроопределений, поставляемого в составе
прикладного программного обеспечения, например, Microsoft Office.
Устанавливаемое программное обеспечение должно содержать средства обнаружения
вирусов. До установки программ пакета ViPNet Администратор и в дальнейшем в процессе
работы должна осуществляться проверка на наличие вирусов.
На компьютере, на котором устанавливается программа ViPNet [Администратор]
[Центр управления сетью], должен быть установлен пакет программ ViPNet [Клиент]. До
установки и первичной инициализации программы ViPNet [Клиент][Монитор] (на этапе
установки и первичного развертывания справочно-ключевой информации) компьютеры, на
которых установлено ПО ViPNet [Администратор] должны быть физически отключены от
10
локальной сети При установке программ ViPNet [Администратор][Центр управления
сетью] и ViPNet [Администратор][Удостоверяющий и ключевой центр] на разные
компьютеры последний должен быть физически отключен от локальной сети.
При наличии подключения локальной сети к сетям общего пользования все компьютеры,
подключенные к сегменту сети, содержащему компоненты ViPNet [Администратор], должны
быть оснащены пакетом программ ViPNet [Клиент]. Данный сегмент сети отделяется от
остальных элементов сети выделенным компьютером, оснащенным программой ViPNet
[Координатор], и не должен иметь подключений к информационным ресурсам сетей общего
пользования.
Программа ViPNet [КлиентЗЕМонитор], устанавливаемая на рабочие места
одновременно с программами ViPNet [Администратор] и ViPNet [Центр Регистрации],
обеспечивает связь с абонентскими пунктами сети ViPNet и одновременно выполняет роль
персонального сетевого экрана. До включения данных рабочих мест в состав локальной сети
рекомендуются нижеперечисленные настройки программы.
При регистрации абонента на АП с задачами Центр управления сетью,
Удостоверяющий и ключевой центр, Центр регистрации им устанавливаются
полномочия не выше уровня 1. При этом автоматически обеспечиваются следующие
ограничения:
Отказ от ввода пароля ViPNet и работа в незащищенном режиме недоступны.
Ограничивается интерфейс пользователя по изменению настроек.
Доступные режимы работы программы ViPNet [Клиент][Монитор] - 1 или 2.
Для выполнения следующих настроек администратор входит в программу ViPNet
[Клиент][Монитор] с правами Администратора АП.
После этого рекомендуются применять нижеперечисленные настройки программы.
Режим работы 1 Блокировать открытый 1Р-трафик.
- Включить опцию «Разрешить мониторинг активности приложений»,
- Включить опции «Обнаружение атак».
- Включить опцию «Перезапускать Монитор при аварийном завершении».
- Установить интервал автоматического блокирования компьютера 15 мин.
Настройки журнала:
- Регистрировать весь IP-трафик.
- Интервал регистрации не более 10 мин.
- Опция Разрешить сохранение пароля в реестре - отключена.
Рекомендуется на данном рабочем месте использовать следующий тип аутентификации
- Сильная аутентификация с использованием пароля и носителя.
По завершении настроек компьютер может быть подключен к локальной сети.
Технология ViPNet версии 3.0
Версия 3.0 имеет ряд принципиальных отличий от предыдущих версий. Основные
отличия заключаются в следующем:
- Изменена ключевая структура и форматы хранения ключевой информации на
сетевых узлах (СУ) и в Ключевом центре (УКЦ).
- Формат исходящих пакетов в драйвере - 4.1, формат пакета 4.0 используется
только для входящих пакетов. Таким образом, связь с версиями 2.7 и ниже
невозможна.
- Изменен формат хранения данных в УКЦ.
- Изменен формат открытого ключа асимметричных ключей шифрования (АКШ) и
порядок рассылки АКШ.
В связи с этим полной совместимости версий нет, особенно в части подписи сообщений и
обмена АКШ. В части шифрования и работы УКЦ и межсетевого взаимодействия
совместимость достигается при соблюдении правил перехода на новую версию.
11
Основные изменения, произошедшие в версии ПО ViPNet 3.0, касаются изменений
ключевой структуры VPN-сети и работы Удостоверяющего и Ключевого центра (УКЦ).
ПО ViPNet Клиент версии 3.0 может быть установлено поверх предыдущих версий
программы. При этом производится автоматическое преобразование ключевой информации,
необходимой для нормальной работы СУ. При преобразовании на СУ формируется
дополнительная ключевая информация. Для этого после ввода пароля при первом старте ПО
вызывается Электронная рулетка. При отказе от генерации случайного числа ключи не могут
быть преобразованы. При этом база данных Деловой Почты остается полностью доступной
для расшифрования.
Ключи версии 2.8 с СУ не удаляются. Таким образом, при возвращении к версии 2.8 (до
установки УКЦ версии 3.0) работоспособность СУ сохраняется. Начиная с версии 2.8.10,
совместимость в части подписи поддерживается в полном объеме.
Не подлежат преобразованию и не поддерживаются в данной версии:
Ключи подписи версии 2.7 и ниже. При проверке подписи корреспонденции в Деловой
Почте, подписанной ключами подписи версии 2.7, будет выдаваться сообщение о неверном
формате подписи. При пересылке таких писем подпись данного формата с вложений будет
автоматически удаляться.
Асимметричные ключи шифрования версии 2.8 и ниже. При приходе конвертов с АКШ
от СУ версий 2.8 и ниже будет формироваться квитанция об отказе от работы на АКШ. В
случае отправки конвертов с АКШ с СУ версии 3.0 на СУ версии 2.8, на принимающей стороне
может возникать сообщение об ошибке при приеме АКШ. В этом случае на принимающей
стороне не формируется квитанция об отказе от работы на АКШ, и ошибка может повторяться.
Поэтому, прежде чем включить сетевой узел в список рассылки АКШ, нужно уточнить версию
ПО ViPNet, установленную на сетевом узле адресата.
УКЦ версии 3.0 можно устанавливать поверх УКЦ версии 2.8. Перед тем, как обновить
версию УКЦ (до версии 3.0) на СУ Администратора, обязательно следует обновить ПО ViPNet
(до версии 3.0) на всех СУ сети.
В связи с тем, что ПО ViPNet Клиент версии 2.8 не совместимо с версией 3.0 по формату
ключевой информации, установка ПО ViPNet Administrator может производиться только после
ПОЛНОГО ОБНОВЛЕНИЯ ВСЕХ СУ ДО ВЕРСИИ ViPNet 3.0. В противном случае, оставшиеся
СУ версии 2.8 потеряют связь с остальными СУ и СУ администратора.
При установке ViPNet Administrator производится преобразование базы данных УКЦ
версии 2.8. Аналогично ПО ViPNet Клиент, не подлежат преобразованию сертификаты ключей
подписи версии 2.7 и ниже, а так же справочники сертификатов Администраторов и списки
отозванных сертификатов этих версий. Так же не подлежат преобразованию асимметричные и
универсальные межсетевые мастер - ключи.
Внимание! До установки и создания ключей в УКЦ версии 3.0 Администратор должен
удостовериться в наличии у каждого пользователя сети файла с резервными персональными
ключами АААА.рк, где АААА последние 4 байта идентификатора пользователя. Данные файлы
формируются УКЦ версии 2.8 в каталоге KC\P_KEYS и должны выдаваться пользователям
одновременно с первичным дистрибутивом ключей. При отсутствии этого файла
автоматический прием первого обновления от УКЦ версии 3.0 будет невозможен.
После установки ViPNet Administrator, новый набор основных мастер - ключей сети
формируется автоматически. Администратор должен создать новые ключевые наборы и
ключевые диски для всех СУ и пользователей сети. При отправке таких обновлений на СУ
Администратор должен обеспечить доставку конвертов с ключами на все СУ. В противном
случае связь с СУ, не получившими обновления, будет утеряна.
При приеме первого обновления от ViPNet Administrator версии 3.0, а так же при смене
мастер - ключа, персональных ключей или при компрометации СУ, необходимо указывать
местоположение файла с резервными персональными ключами.
Внимание! После завершения процедуры обновления возвращение к версии УКЦ 2.8
невозможен!
12
Практическое занятие 1 . Создание виртуальной сети версии 3.0
Цель задания №1
• Создание защищенной сети по заданной схеме с разграничением доступа и
политиками безопасности на основании ПО ViPNet версии 3.0.
• Подготовка АРМ Администратора защищенной сети.
• Подготовка дистрибутивов справочно-ключевой информации для начальной
инсталляции защищенных рабочих мест пользователей защищенной сети на
отдельных сетевых узлах и развертывания защищенной виртуальной сети.
Содержание
• Создание сети 3.0.
• Развертывание рабочего места Администратора 3 0.
Задание № 1
Провести создание и настройку защищенной сети, исходя из перечисленных ниже
условий и топологии сети (Рис. 1.1).
Сформировать дистрибутивы справочно-ключевой информации для начальной
инсталляции защищенных рабочих мест пользователей защищенной сети.
Развернуть АРМ Администратора защищенной сети.
в % ш
U 8 ш
® ш и
® ш ш
Internet
[Координатор-ОИ 3 0]
[Координатор 3 0]
ш & ш
ii S 8
3
ш @ в
вив
[Клиент 3 0] [Криптосервис 3 0] [Центр [Сервис
[Администратор 3 0] регистрации 3 0] Публикации 3 0]
Рис.1.1. Топология сети версии 3.0
13
Условия построения защищенной сети:
В защищенную сеть включаются следующие Сетевые Узлы (СУ):
• Сервер-маршрутизатор Координатор 3 О, на котором регистрируются:
АП Администратор 3 0;
АП Криптосервис 3 0;
АП Центр регистрации 3 0;
АП Сервис публикации 3 0;
АП Клиент 3 0.
• Сервер-маршрутизатор Координатор-ОИ 3 0.
СВЯЗИ СЕРВЕРОВ и СЕТЕВЫХ УЗЛОВ:
Серверы-маршрутизаторы защищенной сети должны иметь межсерверный канал.
Все типы коллективов всех сетевых узлов защищенной сети должны иметь связь между
собой.
АБОНЕНТЫ ЗАЩИЩЕННОЙ СЕТИ:
На каждом СУ (как серверах-маршрутизаторах, так и абонентских пунктах) должно быть
зарегистрировано по одному ТК, в каждом из которых должно быть по одному пользователю:
СМ Координатор 3 0 - ТККоординатор 3 0- Координатор 3 0.
СМ Координатор-ОИ Z0-TK Координатор-ОИ 3 0- Координатор-ОИ 3 0.
АП Администратор 3 0 - ТК Администратор 3 0- Администратор 3 0.
АП Криптосервис 3 0 - ТК Криптосервис 3 0- Криптосервис 3 0.
АП Центр Регистрации 30 - ТК Центр Регистрации 3 0- Центр Регистрации 3 0.
АП Сервис Публикации 3 0 - ТК Сервис Публикации 3 0- Сервис Публикации 3 0.
АП Клиент 3 0 -ТК Клиент 3 0- Клиент 3 0.
ЭЛЕКТРОННУЮ ЦИФРОВУЮ ПОДПИСЬ должны иметь только пользователи сети
ViPNet, зарегистрированные на АП.
АДМИНИСТРАТОРОМ БЕЗОПАСНОСТИ, т.е. Администратором Центра Управления
Сетью и Уполномоченным лицом Удостоверяющего Ключевого Центра защищенной сети
является пользователь Администратор 3 0.
ЗАДАЧИ ДЛЯ СУ:
АП Администратор 3 Одолжен быть зарегистрирован в задачах ЦУС и УКЦ.
СМ Координатор 3 0 должен быть зарегистрирован в задаче Туннель и иметь пять
туннельных лицензий.
СМ Координатор-ОИ 3 Одолжен быть зарегистрирован в задаче Открытый Интернет.
АП Центр Регистрации 3 Одолжен быть зарегистрирован в задаче Центр регистрации.
АП Криптосервис 3 Одолжен быть зарегистрирован в задаче Криптосервис.
Последовательность выполнения
Шаг 1 (9)
Установка ПО ViPNet [Administrator] и [Client]
Для установки защищенного рабочего места Администратора сети VPN необходимы
следующие составляющие:
ПО ViPNet [Администратор] версии 3.0;
ПО ViPNet [Клиент] версии 3.0;
14
набор лицензионных файлов ОАО «ИнфоТеКС»:
- infotecs.re - лицензионный справочник;
- infotecs.reg - файл лицензий на ПО и ПЗ;
русификатор - файл RK.com, который дает возможность использования русских букв
в ЦУСе;
не менее 100 Мб свободного места на жестком диске компьютера.
Замечание: Следует помнить, что в ходе эксплуатации программного обеспечения
необходимый объем рабочего места на жестком диске будет постоянно расти. Поэтому
рекомендуется заранее предусмотреть как минимум пятикратное резервирование доступного
места на HDD по сравнению с начальными требованиями.
Для установки на локальном компьютере ПО ViPNet Administrator необходимо запустить
программу Setup.exe, после появления окна (Рис. 1.2) следует прочесть информацию и нажать
кнопку Далее, ознакомиться с лицензионным соглашением и, в случае согласия, - нажать
кнопку Далее. В случае несогласия с лицензионным соглашением необходимо вернуть ПО
производителю с объяснением причин отказа от приобретения.
Добро пожаловать в мастер установки
приложения ViPNet Administrator.
Этот мастер поможет Вам установить приложение ViPNet Administrator 3.0
(0.1376) на Ваш компьютер. Перед началом установки рекомендуется
закрыть все запущенные приложения Windows.
Нажмите "Далее" для установки приложения или "Отмена" для выхода.
Далее > I Отмена
Рис. 1.2. Мастер (Wizard) установки программы ViPNet Administrator
В следующих окнах необходимо ввести имя пользователя и название организации, после
чего предлагается указать каталог установки рабочих файлов программы (по умолчанию
программу предлагается установить в каталог C:\Program FilesMnfotecsWiPNet Administrator^. В
появившемся окне следует выбрать тип установки программы (из каких компонентов будет
состоять рабочее ПО) (Рис.1.3). Поскольку рабочее место Администратора 3 0 будет являться
одновременно и центром управления виртуальной сетью и центром обработки ключевой
структуры виртуальной сети, необходимо установить оба компонента (Центр управления сетью
и Удостоверяющий ключевой центр) на данную машину. Следует выбрать строку Выборочная
установка и установить «галочки» напротив обеих строк (по умолчанию «галочки»
установлены).
После выбора необходимых компонентов следет нажать кнопку Далее. Удостоверившись,
что все настройки сделаны правильно, необходимо нажать кнопку Готово и подождать, пока
программа установки завершит копирование необходимых файлов на жесткий диск
компьютера.
Для установки на локальном компьютере администратора сети ПО ViPNet Client
необходимо запустить программу Setup.exe, после появления окна (Рис. 1.4) следует прочесть
информацию и нажать кнопку Далее, ознакомиться с лицензионным соглашением и, в случае
15
согласия, - нажать кнопку Далее. В случае несогласия с лицензионным соглашением
необходимо вернуть ПО производителю с объяснением причин отказа от приобретения.
Выберите компоненты, которые требуется установить. Отключите
флажок для тек компонент, которые устанавливать не нужно.
ViPNet Удостоверяющий и Ключевой Центр
[у** ViPNet Центр управления сетьин
Устройство Доступно Требуется Разница
wC:\ 335 MB 19 MB 815 MB
Рис.1.3. Выбор вида установки программы ViPNet Administrator
Добро пожаловать в мастер установки приложения
ViPNet Client.
Этот мастер поможет Вам установить приложение ViPNet Client 3.0 (0.1907) на
Ваш компьютер. Перед началом установки рекомендуется закрыть все
запущенные приложения.
Убедитесь.; что у Вас есть доступ к файлу с ключами (*.DST) и что Вы знаете
пароль к нему, В противном случае отмените установку приложения; нажав
кнопку "Отмена",
Вы можете создать комплект ключей с помощью программ ViPNet Manager или
ViPNet Administrator. Также можно воспользоваться ключевыми файлами
(*.D5T); входящими в комплект демо-версни ViPNet CUSTOM DEMO. Если ПО
ViPNet уже используется в Вашей компании, обратитесь к администратору
Вашей сети за Вашим личным файлом с ключами и паролем к нему.
Нажмите "Далее" для установки приложения или "Отмена" для выхода,
Далее > | Отмена
Рис.1.4. Мастер (Wizard) установки программы ViPNet Client
В следующих окнах необходимо ввести имя пользователя и название организации, после
чего предлагается указать каталог установки рабочих файлов программы (по умолчанию
программу предлагается установить в каталог C:\Program FilesMnfotecsWiPNet Administrator\SS).
В появившемся окне следует выбрать тип установки программы (из каких компонентов
будет состоять рабочее ПО) (Рис. 1.5). Рабочее место Администратора 3 0 должно
полнофункциональным, поэтому необходимо установить оба компонента (Монитор и Деловая
почта) на данную машину. Следует выбрать строку Выборочная установка и установить
«галочки» напротив обеих строк (по умолчанию «галочки» установлены).
Примечание: Для своей работы ПО ViPNet использует следующие каталоги:
NCC- Network Control Center (рабочий каталог ViPNet Центра управления сетью);
КС - Key Center (рабочий каталог ViPNet Удостоверяющего и ключевого центра);
SS - Security Service (рабочий каталог ViPNet Client).
16
Выберите компоненты, которые требуется установить. Отключите
флажок для тех компонент, которые устанавливать не нужно.
|у" ViPNet Монитор
[n7 ViPNet Деловая почта
Устройство Доступно Требуется Разница
С :\ 809 MB 27 MB 781MB
:: Назад
Далее >
Рис.1.5. Выбор вида установки программы ViPNet Client
После выбора необходимых компонентов следет нажать кнопку Далее. Удостоверившись,
что все настройки сделаны правильно, необходимо нажать кнопку Готово и подождать, пока
программа установки завершит копирование необходимых файлов на жесткий диск
компьютера.
В результате установки ПО ViPNet Client будет предложено перегрузить ОС компьютера.
Пока это делать нет необходимости (нажать кнопку Нет), так как ещё не произведена
первоначальная настройка рабочего места администратора защищенной сети.
Замечание: Если ОС компьютера была перезагружена, то на этапе загрузки ОС будет
предложено ввести пароль на вход в программу ViPNet Client. Но пока не была сформирована
ключевая информация Администратора 3 0, поэтому необходимо отказаться от введения
пароля и не указывать транспортный каталог программы ViPNet Client.
Для завершения шага инсталляции рабочего места Администратора защищенной сети
необходимо скопировать файлы в указанные папки:
infotecs.reg, infotecs.re и RK.com в каталог ..\NCC\ (каталог установки ЦУСа);
infotecs.re - з каталог ..\КС\ (каталог установки УКЦ).
ВНИМАНИЕ! Файлы infotecs.re и infotecs.reg являются наиболее важными файлами с
точки зрения защиты авторских прав ОАО «ИнфоТеКС» и прав её клиентов, поэтому следует
хранить их отдельно от основного инсталляционного комплекта и не допускать их свободного
распространения.
Вся ответственность за незаконное распространение файлов лицензий целиком
возложено на Клиента ОАО «ИнфоТеКС».
Шаг 2 (9)
Работа в Адресной администрации ЦУСа
Создание защищенной сети, установка режимов и параметров работы сети производится
в Центре управления сетью (ЦУСе). При указании рабочих каталогов ЦУСа нет необходимости
указывать каталоги, где будет храниться ключевая информация Администратора сети /
Уполномоченного лица, поскольку при распаковке dst-файла Администратора ViPNet-сети
17
программное обеспечение ViPNet автоматически пропишет пути доступа к ключевой
информации.
Работа с виртуальной сетью ViPNet начинается в Центре управления сетью (ЦУСе). Для
загрузки ЦУСа необходимо запустить файл _start.bat, находящийся в рабочем каталоге ЦУСа
..\NCC\, либо запустить ярлык ЦУСа, находящийся на Рабочем столе Windows, либо выбрать
запуск программы ViPNet Центр управления сетью из стандартного меню ОС Windows - Start
(Старт) -» All programs (Программы) —> ViPNet —> Administrator.
Замечание: В описании работы программы будет встречаться символ двух
последовательных точек (..). Этот символ означает корневой каталог ПО ViPNet (как правило
находящийся по адресу С:\ Program Files \ InfoTeCS \ ViPNet Administrator \).
Т.е. запись ..\NCC\ означает, что необходимо смотреть каталог NCC в корневом каталоге
установки ПО ViPNet.
После запуска программа ЦУС предлагает создать несколько служебных каталогов и
запрашивает место, в котором будет храниться информация транспортного каталога и
каталогов обмена информацией с УКЦ (Рис. 1.6). Рекомендуется оставить каталоги,
предложенные программой по умолчанию. Если местонахождение каталогов изменяется,
рекомендуется запомнить точное их расположение.
Каталог файлов от К
Каталог файлов ля КЦ
C:\PROGRA-l\INFOTECS\VIPNET~l\FOR_NCC\
C:\PR0GRA^1\INF0TECS\VIPNET-1\FR0M_NCC\
Рис.1.6. Настройка по умолчанию для каталогов хранения ключевой информации
При выборе настроек по умолчанию необходимо изменить позиции Автоматически
связывать новый ТК со всеми другими ТК (поставить крестик напротив этой строки) и указать
Максимальный уровень полномочий (Рис. 1.7).
Ш^Ш$УШЩёЩттщЩТШШЩ ТК.со всеми другими'Ж - '
*$вток^ ТК *Г пользователя для нового узла.
Срок хранения гаписей в базе запросов (дней.)
С \f Специальный *
Включать в дистрибутивы АП
шш
Автоматически регистрировать новые С/
\)ЩгШ-ц[0^::р ПЗ ^'ащитгГтрафика
[ХЗ 'АгГ вХПЗ. еловая Почта \w>„
IX) АП и"СМ в ПЗ риптоСервмс
[
ЬШМ^Штхб'Щйый объем
*) Л#/жы$у£у£ф^ справочников
Рис.1.7. Настройки по умолчанию параметров работы ЦУСа
После нажатия кнопки принять программа ЦУС приветствует администратора сети и
предлагает начать с адресной администрации и появляется главное окно Центра управления
сетью (Рис. 1.8). Для начала работы по созданию виртуальной сети необходимо выбрать меню
Службы —> Адресная администрация —> Структура сети ViPNet...
Логическую структуру сети ViPNet в Адресной администрации необходимо создать в
соответствии с Рис. 1.1.
18
{'■Ощйош Управление Файлы Окна Сервис
- П X
16:25:42 ж
^Адресная администрация ^ : , ; ►
* Настре й к и по умолч ан ию ...
Индивидуальная регистрация АП в ПЗ
Групповая регистрация СУ в ПЗ
Прикладная администрация' ►
Экспорт.
Импорт...
Необработанный импорт...
Распределение лицензий...
Про смотр ко нфи гу р аци и
Про вер к а ко нф и гу р аци и
Сформировать все справочники
Справочники АП
Справочники СМ...
Справочники для УКЦ
Архивы баз данных.
Copy right (с) 1991-2007. ОАО Инфотекс
Рис.1.8. Главное окно Центра управления сетью
Лицензию на виртуальную сеть ViPNet можно посмотреть в меню Сервис
(Рис.1.9).
Лицензия
□ X
Рис.1.9. Состав лицензионного файла на виртуальную сеть ViPNet
Замечание: В Адресной администрации ЦУСа манипулятор «мышь» не работает.
Следует использовать для входа в меню клавишу Enter, а для выхода из меню - Esc.
Замечание: Для перехода в режим работы с русской раскладкой необходимо нажать
одновременно и правую и левую клавиши Shift.
Замечание: Используя клавишу F1 в соответствующих различных окнах программы
Адресной администрации ЦУСа, можно найти комбинации клавиш для управления сетью
ViPNet.
Для введения в виртуальную сеть серверов-маршрутизаторов (СМ) необходимо выделить
строку Серверы-маршрутизаторы, нажать Enter и ввести имя нового сервера - СМ
19
Координатор 3 0. Затем в этом же окне необходимо нажать Alt+I для добавления нового СМ -
Координатор-ОИ 3 0.
Напоминание: Абонентские пункты должны быть зарегистрированы за Серверами-
маршрутизаторами. За координатором, зарегистрированном в задаче Открытый Интернет,
не должно быть зарегистрировано ни одного АП.
Для добавления в виртуальную сеть Абонентских пунктов (АП) необходимо выделить
строку с СМ (СМ Координатор 3 0), за которым будет зарегистрирован новый АП, нажать
Enter и нажать комбинацию клавиш Alt+I. В предложенной строке следует ввести
наименование нового АП (например, АП Администратор 3 0). В соответствии с Рис. 1.1
необходимо сформировать структуру защищенной сети.
Для создания межсерверных каналов связи необходимо прописать взаимодействие на
защищенном уровне между двумя координаторами сети. Для этого необходимо зайти в меню
Серверы-маршрутизаторы и выбрать один из СМ. Для указания начала межсерверного
канала следует нажать комбинацию клавиш Alt+M, после чего слева в данной строке появится
«звездочка» со стрелкой. Для указания конца канала необходимо выделить другой
координатор и нажать ту же комбинацию клавиш - Alt+M. Теперь программе следует указать,
что межсерверный канал будет между СМ Координатор 3 0 и СМ Координатор-ОИ 3 0 - для
этого нажать комбинацию клавиш Alt+C. В столбце МСК обоих координаторов будет показано
количество межсерверных каналов (в данном случае - один). В столбце АП обоих
координаторов указано количество сетевых узлов (СУ), которые зарегистрированы за данным
СМ (количество АП плюс сам СМ).
Окно регистрации Серверов-маршрутизаторов должно выглядеть так, как показано на
Рис. 1.10, а окно регистрации АП за СМ Координатор 3 0 - на Рис. 1.11.
Рис.1.10. Создание Координаторов сети и указание межсерверного канала
20
E'stf BosEpaTfFX Помощь ga..]tr I В ст. за тек.|дН-0 Удал.|А,1^Р Поиск|
Рис.1.11. Регистрация АП за СМ Координатор 3 О
" ек. группа^ -HeT^^^fe^'
Esc ВыходЩ&ггед Выоор|
Рис.1.12. Основное окно Адресной администрации ЦУСа
Поскольку работа в Адресной администрации ЦУСа по созданию виртуальной сети
завершена, следует выйти в основное окно (Рис. 1.12) и сформировать таблицы
маршрутизации (часть справочников ЦУСа). Справа зеленым цветом программа показывает,
что в виртуальной сети были произведены изменения и необходимо создание новых таблиц
маршрутизации. Для создания новых таблиц необходимо выделить строку Выдать таблицы
маршрутизации и нажать Enter, после чего программа подтвердит создание новых таблиц.
Теперь работа в Адресной администрации полностью завершена и необходимо выйти в
главное меню ЦУСа (либо нажав кнопку Esc либо выделить строку Выход и нажать Enter).
ШагЗ (9)
Индивидуальная регистрация Абонентских пунктов в Прикладных задачах
АП Администратор 3 О, АП Центр регистрации 3 О, АП Криптосервис 3 0 необходимо
зарегистрировать в прикладных задачах (ПЗ) ЦУС и УКЦ; Центр регистрации; Криптосервис
соответственно. Для этого необходимо зайти в меню Службы —> Индивидуальная
регистрация АП в ПЗ и выделить строку с записью одного из АП, нуждающегося в
регистрации. Например, для регистрации АП Администратор 3 0 в задачах ЦУС и УКЦ
следует выделить строку с записью и нажать кнопку Регистрация. В появившемся окне
выделить «крестиком» строки ЦУС и УКЦ, снять «крестик» с записи Криптосервис (поскольку
АП уже зарегистрирован в задаче Защита трафика) и нажать кнопку Принять.
21
Для АП Центр Регистрации 3 0 необходимо поставить «крестик» в записи Центр
регистрации и снять его в записи Криптосервис. Для АП Криптосервис 3 0 необходимо снять
«крестики» в записи Деловая почта и оставить в записи Криптосервис. Для АП Клиент 3 О
необходимо снять «крестик» в записи Криптосервис, а для АП Сервис Публикации 3 О
необходимо снять «крестики» в записях Деловая почта и Криптосервис.
В результате указанных действий окно регистрации АП в ПЗ приобретет следующий вид
(Рис.1.13).
llilllieieillilliSllSllllillilibi
Рис.1.13. Регистрация АП в прикладных задачах
1ВИШИ111
Шаг 4 (9)
Групповая регистрация Сетевых узлов в Прикладных задачах
Серверы-маршрутизаторы виртуальной сети необходимо зарегистрировать в задаче
Сервер IP-адресов и ее подзадачах. Для этого необходимо зайти в меню Службы —>
Групповая регистрация СУ в ПЗ, выделить строку с записью Сервер IP-адресов и нажать
кнопку Регистрация.
В прикладной задаче Сервер IP-адресов для каждого из Координаторов необходимо
задать следующие параметры работы (изменение параметров производится посредством
кнопок в правом столбце):
• Для СМ Координатор-ОИ 3 0 включить функцию Сервер Открытого Интернета
(Рис.1.14).
• Для СМ Координатор 3 0 включить функцию Туннелирование и задать необходимое
количество туннельных соединений (по заданию - 5) (Рис. 1.15).
■0|А|Имя узла
ггСМХКФрдинатор 3 О
для данного координаторам
^ ' ДДЛИТЬ
■
Интернета"
у>: уннель
^' Выход-
Рис.1.14. Включение функции Открытый Интернет
22
О IАI Имя узла
-t- j jCR Каординатоp-ovj„ 3 0;г
давить
Отмена
*< Cepsep |
Выход'-'
Рис.1.15. Включение функции туннелирования
Шаг 5 (9)
Работа в Прикладной администрации ЦУСа
В Прикладной администрации при регистрации типов коллективов (ТК) необходимо
проверить их связи (по заданию все ТК должны быть связаны между собой). При регистрации
пользователей необходимо снять право владения ЭЦП у Координаторов сети.
Для формирования связей между ТК различных СУ сети ViPNet необходимо зайти в меню
Прикладная администрация —> Регистрация типов коллективов... и проверить с
помощью кнопки справа Связи, какие связи имеют каждый из ТК сети ViPNet.
Далее, для различия СУ и ТК этих СУ необходимо переименовать записи в меню типов
коллективов (с помощью кнопки справа Изм. имя). Например, АП Администратор 3 0 в ТК
Администратор 3 0. То же самое сделать для всех записей ТК всех СУ (Рис. 1.16). С помощью
кнопки Область можно просмотреть, на каком сетевом узле зарегистрирован данный ТК
(область действия данного ТК) (например, Рис. 1.17).
\ТК Клиент J 0/. ;;
. ТК Координатору О
-ТК Координатор-ОИ.''3. О ,
, ТК Криптосервис 3 О"
;ТК Сервис-Публикации З'Я
4 ТК Центр Регистрации 3
у -Поиске
Рис.1.16. Список Типов коллективов защищенной сети
Список ИПОБ КОЛЛеКТИЕОБ
"'Т>.гКосфдинатор"0И:-3' 0JV- '."V; >^
Pi
т
;Т Область: АП Администратор 3 О
Рис.1.17. Область действия ТК Администратор 3 О
После работы с ТК необходимо проверить параметры работы пользователей (абонентов).
Для этого необходимо зайти в меню Прикладная администрация —> Регистрация
пользователей... В этом окне следует отключить право иметь ЭЦП обоим СМ (Рис. 1.18) и
23
переименовать названия пользователей (с помощью кнопки справа Изм. имя), удалив
приставки «АП» и «СМ» (Рис. 1.19).
Имя
5ГЭ
Вы уверены, что хотите выключить право подписи
для данного пользователя?
"** далмть 'ж
Ж
" 4 Выж£" я
Рис.1.18. Отключение права иметь ЭЦП
1
I Удалить
Поиск-С^'"|
ВЫлОД .
Рис.1.19. Окно Регистрация пользователей
С помощью кнопки справа Изм. ТК можно просмотреть для данного пользователя его ТК,
а также если необходимо его изменить - добавлять, удалять, изменять (Рис. 1.20).
П I Имя
Клиент 3 О-
Координатор 3 О
H)dpjP#h>top3H1 3s о
Пользователь : Адм и н и стр ато р
пи со к
11
JKA Координатор 3 О
^TJCjKoopAMrtaTGp-OM 3 О
Криптосервис 3 О
l^K*Сервис Публикации 3 О
^ТК^ Центр Регистрации 3 О
Рис.1.20. Добавление пользователю нового ТК
24
Шаг 6 (9)
Формирование справочной информации и архивов баз данных
По завершении формирования защищенной сети необходимо создать справочники, в
которых отображается информация, необходимая для работы прикладных программ ViPNet
(Монитор, Деловая Почта и др.). До формирования справочников необходимо произвести
логическую проверку виртуальной сети ViPNet, для чего необходимо выбрать меню Службы —>
Проверка конфигурации. В случае отсутствия логических ошибок в сети ViPNet (например,
пользователь не зарегистрирован ни в одном типе коллектива) программа выдаст окно с
записью «Аномальные ситуации не обнаружены». Если же логические ошибки имеют место
быть (аномальные ситуации), необходимо произвести оценку этих моментов и принять
решение о том, нужно ли продолжать дальше работу с виртуальной сетью.
Замечание: Аномальные ситуации не являются критическими ошибками, которые не
позволяют работать защищенной сети. Эти ситуации лишь указывают на то, что такие ошибки
МОГУТ быть.
Если аномальные ситуации не проявились необходимо выбрать меню Службы —>
Сформировать все справочники. В результате такой операции программа ЦУС
сконфигурирует структуру защищенной сети, зафиксирует изменения, которые были введены в
сеть и сформирует набор справочников (Рис. 1.21). Изменения, произведенные в ЦУСе, будут
переданы в УКЦ для формирования ключевой структуры сети ViPNet. В последующем окне
можно будет увидеть, какие справочники и файлы были сформированы.
Найдены новые файлы:
Справочники АП: 5
Таблицы маршрутизации: 2
Справочники для УКЦ: 15
3 атр ач е н но е в р емя :
Рис.1.21. Формирование справочников
После формирования справочников необходимо создать базы данных, которые будут
служить для восстановления информации на определенный момент времени (меню Службы
—> Архивы баз данных... —> Создать).
Структуру созданной виртуальной сети можно просмотреть в меню Службы —>
Просмотр конфигурации —> Структура сети. В широком формате показана сеть в виде
таблицы объектов, в узком - в виде иерархической структуры объектов сети.
Выход из ЦУСа производится с помощью меню Файлы —> Выйти либо комбинацией
клавиш Alt+X
Замечание: в версии 3.0 при переходе из ЦУС в УКЦ выходить из ЦУС нет
необходимости, все изменения происходят автоматически
Шаг 7 (9)
Первичная инициализация Удостоверяющего и ключевого центра
Работа по созданию ключевой инфраструктуры виртуальной сети ViPNet производится в
Удостоверяющем и ключевом центре (УКЦ). Для загрузки УКЦ необходимо запустить файл
keycenter.exe, находящийся в рабочем каталоге УКЦ ..\КС\, либо запустить ярлык УКЦ,
25
находящийся на Рабочем столе Windows, либо выбрать запуск программы ViPNet
Удостоверяющий и ключевой центр из стандартного меню ОС Windows - Start (Старт) —> АН
programs (Программы) —> ViPNet —* Administrator.
При первом старте и в процессе работы УКЦ создает следующие каталоги:
/PSW- каталог для хранения файла с паролем для входа в программу УКЦ, информации
об пользователях, для которых были созданы ключевые диски и др.
/MASTERS - каталог для мастер-ключей;
/P_KEYS - каталог для резервных персональных ключей;
/ARCHIVES - каталог для архивов;
/EXPORT - каталог для экспорта межсетевых мастер-ключей;
/IMPORT - каталог для импорта межсетевых мастер-ключей;
/KEYKEYKE - каталог для упакованных ключевых дисков (КД) и ключевых наборов (КН);
FROMJNCC- каталог для файлов связей пользователей и СУ из ЦУС, предназначенных
для УКЦ (имя каталога можно изменить, выбрав пункт меню Сервис —> Настройка),
FOR_NCC - каталог для файлов, подлежащих отправке в ЦУС (имя каталога можно
изменить, выбрав пункт меню Сервис —> Настройка).
Начало работы с УКЦ версии 3.0 отличается от предыдущих версий ПО ViPNet
введением в действие мастера (визарда) установки (первичной инициализации) УКЦ
(Рис.1.22).
Мастер инициализации
Удостоверяющего и Ключевого
центра
Вас приветствует мастер инициализации Удостоверяющего
и Ключевого центра, который поможет создать ключевую
информацию, необходимую для полноценной работы
приложения,
Если до этого использовались предыдущие версии
приложения, то вся ключевая информация о ранее
созданной сети ViPNet будет преобразована в новый
формат.
Дня продолжения нажмите "Далее".
Дале
... I
Рис.1.22. Начало инициализации УКЦ
Для работы мастера требуется наличие файлов из программы ЦУС. Используя эти
файлы, мастер создаст начальную ключевую информацию для работы программы УКЦ. В
результате работы Мастера будут созданы:
персональный ключ защиты Администратора;
пароль Администратора;
ключ защиты КЦ;
ключ подписи и сертификат Администратора;
Мастер-ключи:
Мастер-ключ персональных ключей (МКПК),
Мастер-ключ ключей защиты (МККЗ),
Мастер-ключ ключей обмена (МККО).
Межсетевой асимметричный мастер-ключ (сформируется, если будет выбрана
соответствующая опция).
26
Мастер инициализации поэтапно предложит ввести параметры работы УКЦ и завершит
первоначальную установку УКЦ развертыванием ключевой инфраструктуры защищенной сети.
После этого необходимо будет лишь создать саму ключевую информацию, предназначенную
пользователям, и передать эту информацию объектам защищенной сети.
Далее мастер предложит выбрать способ взаимодействия с базой данных, в которой
будет храниться информация, необходимая для УКЦ (Рис. 1.23). Поскольку УКЦ версии 3.0
использует формат данных в виде базы данных, на компьютере, на котором установлен УКЦ,
необходимо иметь одну из систем управления базами данных (СУБД).
Выбор драйвера ODBC
Выберите драйвер ODBC для работы с базой данных УКЦ:
Имя Версия Компания Файг
, 4 f N4 . - , 4,00.... Microsoft... OD...
SQL Server 3.35.... Microsoft... SQL..
>
< Назад |i Далее > j j Отмена i Справка
Рис.1.23. Выбор базы данных для УКЦ
На выбор предлагается два вида СУБД - Microsoft Office Access и Microsoft SQL
Server. При выборе одной из СУБД файлы, в которой УКЦ будет сохранять информацию, будут
переведены в формат файлов СУБД. После этого необходимо указать те каталоги, которые
необходимы для работы УКЦ и взаимодействия его с ЦУСом (Рис. 1.24).
Папки Удостоверяющего и Ключевого центра
Папка для приема файлов из ЦУС:
C:\Program Files\InfoTeCS\ViPNet Administrator'iFROM_N( ; [^j
Папка для отправки файлов в ЦУС:
C:\Proqram Files'iInfoTeCS\ViPNet Administrator'iFOR_NC( ■ j... |
Рабочая папка:
C:\Program Files\IrifoTeCS\ViPNet Administrator'iKC [... {
V Папка для приема файлов должна содержать полный
набор справочников сети ViPNet., созданных Центром
Управления Сетью,
Далее ;
Рис.1.24. Указание рабочих папок УКЦ
На следующем этапе следует указать то лицо (администратор сети ViPNet), которое
будет обладать полномочиями заверять своей электронной цифровой подписью сертификаты
27
ЭЦП остальных пользователей системы (аналог Главного абонента в УКЦ версии 2.8)
(Рис. 1.25). А также на этом этапе необходимо ввести данные для сертификата ЭЦП этого лица
- информацию о местоположении, адрес электронной почты (Рис. 1.26), алгоритм
формирования ключей ЭЦП (Рис. 1.27), срок действия сертификата (Рис. 1.28) и другое.
Лицо, которое имеет право работать в УКЦ, называется уполномоченным. В
дальнейшем можно будет поменять уполномоченное лицо либо добавить еще одно.
Назначение администратора сети ViPNet
Выберите имя или идентификатор пользователя, которого
хотите назначить администратором сети ViPNet,
Администратор:
Администратор:
Идентификатор:
1 AGE00и4
Клиент 5 0
Координатор-1
Коордннатор-ОИ 3 0
Криптосервис3 0
Центр регистрации 3 0
; Назад \\ Далее
Рис.1.25. Назначение Администратора (Уполномоченного лица)
Владелец сертификата
Заполните сведения о местонахождении владельца
сертификата:
Город:
Москва
Область:
Московская
Страна:
: ru
E-mail:
admini:a:,6670. rus
Почтовый адрес;
125315, Москва., Ленинградский проспект, д.80-5, а/я 35 |
< Назад |[ Далее > ] | Отмена j [ Справка |
Рис.1.26. Описание владельца сертификата
28
! < Назад К Далее >
Справка |
Рис.1.27. Указание параметров ключа подписи
После создания ключей ЭЦП и сертификата ЭЦП следует указать, в каком месте будет
храниться контейнер ключа подписи (Рис. 1.29) и пароль для входа в УКЦ (Рис. 1.32). При
задании собственного типа пароля - все пароли в УКЦ должны быть длиной не менее 6
символов.
Рекомендации: При тренировочном создании сети рекомендуется использование
простого, запоминающегося пароля (например, 111111).
Контейнер - это место на жестком диске (каталог) либо аппаратный носитель, в котором
хранится личная ключевая информация (ключевая дискета) пользователя.
Рис.1.28. Указание сроков действия сертификатов ЭЦП
В случае, если располагаться контейнер будет в каталоге на диске (в файле), следует
указать путь к этому файлу (Рис. 1.30).
29
Место хранения контейнеров ключа подписи и
ключа защиты УКЦ
Ключ подписи и ключ защиты Оудут сохранены в
защищенных контейнерах. Выберите место их хранения:
Б файле
На внешнем устройстве
| < Назад |[_ Далее >
Справка
Рис.1.29. Указание типа места хранения ключей подписи и ключа защиты УКЦ
В случае, если располагаться контейнер будет на носителе информации, необходимо
указать считыватель (если их несколько) и сохранить информацию на нем (Рис. 1.31). При
введении пароля при входе в [Монитор] необходимо будет указать данный носитель
информации в качестве места хранения контейнера.
1.Л
Место хранения контейнеров ключа подписи и
ключа защиты УКЦ
Выберите папку в которой будут сохранены контейнеры:
iles\InfoTeCS\ViPNet Administrator\KC\Admin_lA0E0004| j ,
< Назад j Далее >
Отмена j справка
Рис.1.30. Указание папки для хранения ключей подписи и ключа защиты УКЦ
30
Место хранения контейнеров ключа подписи и
ключа защиты УКЦ
Выберите устройство, в котором будет сохранены
конте
е-Token (Aladdin] -1
10001Ьбсе
v Сохранить ПИН;
Доступные считыватели:
Доступные устройства:
ПИН.
< Назад
Рис.1.31. Указание носителя для хранения ключей подписи и ключа защиты УКЦ
Следующим этапом станет создание набора Мастер-ключей (МК) (Рис. 1.33). В ПО ViPNet
версии 3.0 используются несколько мастер-ключей для отдельного вида ключевой
информации. Все типы МК защищаются шифрованием на ключе защиты УКЦ.
МК персональных ключей используется для создания персональных ключей
пользователей (в т.ч. резервного набора персональных ключей).
МК ключей защиты используется формирования ключей шифрования защиты ключей
обмена коллективов.
МК ключей обмена используется для формирования ключей шифрования обмена
(связи) коллективов.
Пароль администратора сети ViPNet
X* I Для работы с приложением необходимо создать пароль
^ч< „ > администратора сети ViPNet.
Выберите тип создаваемого пароля:
Собственный пароль
•: Случайный пароль
•: Случайный цифровой пароль
:: Назад |[ Далее ;
Отмена
Рис. 1.32. Указание типа пароля для входа в УКЦ
31
Создание мастер-ключей
По окончании мастера будут созданы мастер-ключи:
Мастер-ключи
V"^ Персональных ключей
;/-:> Ключей защиты коллективов
Ключей обмена
О
Номер
;.дать асимметричным межсетевой мастер-ключ
.\j Асимметричный межсетевой мастер-ключ необходим
для работы с доверенными сетями ViPNet,
< Назад
Данее >
Рис.1.33. Формирование Мастер-ключей системы
Ключи защиты - ключи, используемые для шифрования других ключей. Ключи защиты
могут быть иерархической конструкцией, т.е. одни ключи защиты могут использоваться для
защиты других ключей защиты.
Персональный ключ пользователя - это главный ключ защиты ключей, к которым
имеет доступ пользователь. Этот ключ должен храниться в безопасном месте (например, на
дискете или другом съемном носителе), так как компрометация этого ключа означает
компрометацию всех других ключей пользователя. При компрометации этого ключа Ключевой
центр изменяет вариант персонального ключа.
Номера и варианты. Для плановой смены ключей в сети используется система
номеров мастер-ключей, а для изменения ключей отдельных СУ и коллективов используется
(в частности, при компрометации) система вариантов.
Под компрометацией ключей подразумевается утрата доверия к тому, что
используемые ключи обеспечивают безопасность информации (целостность,
конфиденциальность, подтверждение авторства, невозможность отказа от авторства).
Различают явную и неявную компрометацию ключей. Явной называют компрометацию,
факт которой становится известным на отрезке установленного времени действия данного
ключа. Неявной называют компрометацию ключа, факт которой остается неизвестным для лиц,
являющихся законными пользователями данного ключа.
Пароли. В УКЦ существует три вида паролей:
- пароль Администратора используется Администратором для входа в УКЦ. При
желании Администратор может изменить этот пароль.
- пароли для ключевых дисковиспользуется для входа в прикладные программы в
сети ViPNet.
- пароли Администраторов групп сетевых узлов - такие пароли могут создаваться
для каждого узла, а также для групп СУ, в том числе и для группы «Вся сеть», в
которую входят все узлы сети. Эти пароли используются на сетевых узлах для
входа в ПО ViPNet с правами Администратора и получения дополнительных
возможностей и настроек в программе.
После проведения всех этапов по инициализации УКЦ программа установки начнет
формирование ключевой инфраструктуры сети ViPNet (Рис. 1.34), а затем на экран будет
выведено окно программной оболочки УКЦ (Рис. 1.35), которая также претерпела серьезные
изменения по сравнению с версией 2.8 (например, нет команды меню Автоматическое
формирование ключей...). Инструменты создания, обновления, хранения и выдачи ключевой
информации и сертификатов ЭЦП стали более гибкими и привязанными к определенному
32
действию (например, создание дистрибутивов для пользователей сети ViPNet производится
специально выделенной клавишей).
Завершение инициализации
Удостоверяющего и Ключевого
центра
Выполнение инициализации:
Л Со: д ьние администратора
L.J Создание корневого сертификата
'С о з д а н и е м а с т е р - к л ю ч е й
Импорт мастер-ключей
J Со: двние источника данных ODBC
Заполнение базы данных
"\ Импорт информации о пользователях
^V Импорт служебной информации
L~j Импорт сертификатов пользователей
Время выполнения: 00:21:63
21,1%
Рис.1.34. Завершение инициализации УКЦ и формирование ключевой информации
Сервис Действия Вид Справка
- Щ_! удостоберяющпй центр
+ j Сертификаты пользователей
■■+ >. '.ертифнкаты администраторов
+ .: запросы на сертификаты
+ : * запросы на отзыв сертификатов
•+■ ■■ i lписки отозванных сертификатов
- Ключевой центр
: Своя сеть ViPNet
■ Пользователи
• сетевые узлы
; Сетевые группы
> Ключи
: Ключевые диски
i Резервные персональные ключи
Ключевые наборы
ионовления ключей
: Дистрибутивы КЛЮЧОЙ
; Мастер-ключи
- ;■ Доверенные сети ViPNet
>■ Пользователи
Сетевые узлы
■ Мае тер-ключи
i Текущие
i Входящие
i Исходящие
-г • администраторы
Рис.1.35. Окно каталогов УКЦ
Шаг 8 (9)
Работа в Удостоверяющем и ключевом центре
Перед началом работы в УКЦ рекомендуется произвести первоначальные настройки
программы. Это можно сделать в меню Сервис —> Настройка... или нажав кнопку Настройка
в панели инструментов программы. В окне Пароли можно настроить парольные параметры
работы УКЦ.
33
После прохождения этапа первичной инициализации и произведения настроек
программы необходимо сформировать дистрибутивы для пользователей созданной
защищенной сети. Для этого следует выбрать пункт меню Сервис —> Автоматически
создать —> Дистрибутивы ключей (Рис. 1 36).
-'M,.ILUbJj .J .J- ii-,jr..|
Деиствия Вид Справка
Ключевые наооры !
Сохранить пароли в файле
► Ооновпения клинчей
Открыть сертификат из файла..,
Дистрибутивы клинчей
Импорт
Экспорт справочников...
►
Папка
Запросы на кросс-сертификаты...
jb ...... J Удостоверяющий
Проверка текущих данных
Архивы.,.
Журнал событий.,.
J Ключевой центр
.'■"■в ......J Администраторы
зтов
Настройка...
Выход
Рис.1.36. Меню формирования ключевой информации
При создании дистрибутива пользователя автоматически формируется его сертификат
ЭЦП. В случае, если срок действия сертификата уполномоченного лица истекает до конца
действия рядового пользователя VPN сети, будет выведено предупреждение о том, что срок
действия сертификата пользователя будет ограничен сроком действия сертификата
уполномоченного лица (Рис. 1.37).
Сертификаты пользователей сети ViPNet (как рядовых пользователей, так и
Администраторов УКЦ (Уполномоченных лиц) можно посмотреть в каталоге Удостоверяющий
центр. В этом каталоге также можно посмотреть пришедшие запросы на сертификаты,
пришедшие запросы на отзыв сертификатов, а также информацию об отозванных
сертификатах (справочник списка отозванных сертификатов (СОС)).
pg>^pWr ^j^^^ii^ „^^^>и^ 5i\ I*
срок деиствия сертификата пользователя не может превышать срок действия
сертификата действующего администратора Удостоверяющего центра.
Для сертификата пользователя будет установлена такая же дата окончания
деиствия как и для сертификата действующего администратора.
Рис.1.37. Предупреждение о сроке действия сертификата
При формировании ключевой информации, входящей в файл-дистрибутив, мастером
также будет предложено ввести пароль Администратора сетевого узла (Рис. 1.38), который
позволяет получить расширенные права по управлению системой защиты на конкретном узле
защищенной сети. Пароль может быть собственным, случайным и цифровым и имеет срок
действия и может быть изменен в дальнейшем на самом узле пользователя VPN.
34
И*ул Задайте пароль администратора и срок его действия для
ч у } г доступа к сетевым ••/злам группы Бея сеть.
I Тип пароля: Собственный v
Введите пароль: ••••••
Подтверждение:
iy При вводе пароля мож:но использовать любые буквы,
знаки, а также верхний и нижний регистры. Пароль
должен содержать не менее 6 символов,
'•Действителен 30 ~ ДМей
') Действителен до
Рис. 1.38. Выбор типа пароля для администратора СУ всей группы
Формирование паролей Администраторов СУ осуществляется отдельно от
формирования паролей на дистрибутив. Пароль Администратора СУ может быть задан как на
отдельный компьютер (Рис. 1.39), так и на всю группу, в которую входят несколько компьютеров
(Рис.1.40).
Назад
Вверх
Открыть
( Удостоверяющий и ключе
irj Удостоверяющий цент
Ключевой центр
- ..у,? Своя сеть ViPNet
Пользователи
...j Сетевые узлы
), Сетевые rpynnt
- ,.j Ключи
у....; Ключевые ;
...Резервные г
y.'„j Ключевые к
\.;.) Обновления
,..j Дистрибути
Мастер-клк
- .,.,,.) Доверенные сети V
у Пользователи
.у Сетевые узлы
- ... j Мастер-ключи
.Текущие
у Входящие
, .у Исходящие
: {у Администраторы
: Идентиф
Пароль администратора
■ц СМ Координатор 3 0
АП Администратор 3 0
.j АП Клиент 3 О
,; АП Криптосервис 3 0
..: АП Центр регистрации .'
СМ Координатор-ОИ 3 и
1АОЕООО;
lAOEOOOf
1А0Е00СК
lAOEOOQt
1A0E000E
lAuEOOOf
Общи-
Пароль:
Тип пароля:
Статус:
Действителен до:
111111
Собственный
Действителен
4 января 2007 г.
Сменить пароль..,
Закрыть
Рис.1.39. Окно указания пароля администратора для СУ
35
Рис.1.40. Окно указания пароля администратора для всех СУ группы
После создания дистрибутивов необходимо их раздать пользователям защищенной сети.
Это производится в окне Ключевой центр / Своя сеть ViPNet / Ключи / Дистрибутивы
ключей. Действия можно производить как с отдельным дистрибутивом, так и с набором
файлов-дистрибутивов (Рис. 1.41).
В данном случае необходимо выделить все записи, щелкнуть правой кнопкой «мыши» на
одной из записей (или сразу на все записи) и выбрать пункт меню Перенести в папку...
Созданы для
Идентификатор
Число дистрибутивов в комплекте
У, СМ Координатор 3 0
1А0ЕОООА
1
СМ Координатор-ОИ 3 0
1А0Е000С
1
' АП Администратор 3 0
1A0E000D
1
i % АП Криптосервис 3 0
1А0Е000Е
1
■ АП Центр регистрации 3 0
1A0E000F
..}.
Открыть
Распаковать..,
Перенести в папку,,,
Удалить
Рис.1.41. Контекстное меню в каталоге Дистрибутивы
В появившемся окне мастера (Рис. 1.42) необходимо выбрать каталог на диске (например,
..\Distr), в котором будут храниться файлы-дистрибутивы до их передачи пользователям. Для
проведения операции переноса для всех файлов-дистрибутивов напротив строки Применить
ко всем слева внизу окна следует поставить «галочку».
При необходимости можно перенести ключи подписи на внешнее устройство.
36
С помощью данной операции можно передать пользователю дистрибутивы
; 1 ^ ключей, Для работы пользователя в составе сети ViPNet дистрибутивы
ключей необходимо будет установить на сетевой узел, установленные
1 ключи будут использоваться каждый раз при авторизации пользователя на
j его сетевом узле.
j АКТОрП^-ЦИЯ ПОПЫЮВйТеЛЧ
| Выберите параметры авторизации при работе пользователя с сетью ViPNet.
j Ввод пароля: С клавиатуры v
i Считывание ключей защиты: Из папки на диске v
I iy При авторизации пользователя ввод пароля будет производиться
с клавиатуры. При этом ключ защиты будет считываться из папки
на диске пользователя,
Папка на диске: ogram File5\IntcJeCS\ViPNet Administrator\Di5tr j Обзор... j
! Доступные считыватели: Отсутствуют
Доступные устройства: Отсутствуют
; : _ j Перенести ключи подписи на внешнее устройство
- : : Применить ко всем j u^ ] j отмена j
Рис.1.42. Указание параметров для переноса дистрибутивов
Аналогичную операцию необходимо провести с наборами персональных ключей
пользователей защищенной сети (Рис. 1.43 и Рис. 1.44).
Созданы для
Идентификатор Вариант Последний клинч
Перенести в папку...
Удалить
Рис.1.43. Контекстное меню в каталоге Резервные персональные ключи
Резервный набор персональных клинчей:
Координатор-1
Каталог переноса:
С:\Program Files\InFoTeCS \ ViPNet Administrator'^ j Обзор... !
Ll: Сменить пароль
■Lj Применить ко всем выбранным наборам
! OK j J Отмена i
Рис.1.44. Указание параметров для переноса персональных ключей
37
По умолчанию действующим становится тот Администратор (УЛ), пароль которого
введен для входа в УКЦ.
В меню Сервис —> Журнал событий с помощью фильтров поиска можно просмотреть
действия и события, произошедшие в УКЦ (Рис. 1.45). Каждое событие можно просмотреть
более подробно, щелкнув на нем левой кнопкой «мыши» (Рис. 1.46).
В1
: не сортирое-эть >
1ШШ
Информация
Информация
Л
v
Информация
Информация
«У
Информация
Информация
V
Информация
■У
Информация
V
Информация
Информация
Информация
Информация
8 ноября 2006 г.
11:56:59
8 ноября 2006 г.
11:57:16
8 ноября 2006 г.
11:57:16
8 ноября 2006 г.
11:57:22
8 ноября 2006 г.
11:57:25
8 ноября 2006 г.
11:57:28
8 ноября 2006 г.
11:57:28
8 ноября 2006 г.
а нояоря 2uut' г.
11:57:33
KJZENTER 10
KjCEMTER 1879048204
KJZENTER 1073741825
KJZENTER 1879048193
KJZENTER 1879048204
К_CENTER 187904S198
KJZENTER 1379048204
KJZENTER 1073741825
KJZENTER 1879048198
KJZENTER 1879048204
KJZENTER 1073741325
К CENTER 1879048198
Создание сертификата
истратора.
Экспортирован ключевой
носитель.
Издан сертификат абонента.
Создана ключевая дискета
абонента.
Экспортирован ключевой
носитель.
Создана ключевая дискета
абонента.
Экспортирован ключевой
носитель.
Издан сертификат абонента.
Создана ключевая дискета
абонента.
Экспортирован ключевой
носитель.
Издан сертификат абонента.
Создана ключевая дискета
Рис.1.45. Окно Журнала событий УКЦ
Тип события: информация
Время: 8 ноября 2006 г. 11 ;34:40
Источник: KJZENTER
Идентификатор: 10
Сообщение: Создание сертификата администратора.
Серийный номер сертификата:
Имя издателя: Администратор 3 0, Администратор,, Удостоверяющий и Ключевой центр,
Тестовая сеть № 1, admiri@6670.rus,
#30560С543132353331352C20D09CD0BED181D0BAD0B2D0B02C20D09BD0B5D0BDD0B8D0BDD0B3D;
Московская, Москва, RU
Тип объекта: Корневой сертификат
Рис.1.46. Информация о событии из Журнала событий УКЦ
Шаг 9 (9)
Развертывание защищенного узла Администратора сети ViPNet
Для развертывания защищенного узла Администратора 3 0 необходимо зайти в каталог,
где были сохранены файлы dst - дистрибутивы и скопировать dst-файл Администратора 3 0 в
каталог установки ViPNet Client (по умолчанию - это каталог ..\SS\).
Развертывание защищенного узла может быть произведено следующим способом:
запуском программы ViPNet Client Монитор, при этом необходимо будет указать, где
хранится файл-дистрибутив и куда нужно будет сохранить ключевую
информацию;
38
Замечание: драйвер ViPNet IPLir начнет работать только после перезагрузки ОС
компьютера.
В настоящем случае развертывание защищенного узла Администратора 3 0 будет
происходить посредством ViPNet Монитора. Если перезагрузка ОС компьютера не была
произведена ранее, ее следует произвести сейчас. После перезагрузки драйвер ViPNet
запросит пароль на вход в виртуальную сеть и на начало работы с защищенным узлом.
Необходимо нажать кнопку отмена, согласиться с тем, что будем работать с отключенной
защитой IP-трафика. После загрузки ОС запустить программу монитор и начать первичную
инициализацию по развертыванию защищенного узла. Без первичной инициализации (ее
производят только один раз в самом начале развертывания защищенного узла) драйвер не
будет загружаться.
Для проведения первичной инициализации в окне запроса пароля драйвером необходимо
справа от кнопки Настройка выбрать выпадающее меню (треугольник вниз) и выбрать строку
Первичная Инициализация (Рис.1.47).
Рис.1.47. Начало первичной инициализации ViPNet Client Монитор
Появится Мастер (Wizard-Визард) первичной инициализации (Рис. 1.48), который поможет
развернуть СУ виртуальной сети ViPNet.
39
Вас приветствует мастер
инициализации
справочно-ключевой
информации сетевого узла
Этот мастер соберет всю необходимую
информацию и обеспечит первичную"
инициализацию Вашего сетевого узла.
Для продолжения нажмите кнопку "Далее".
J I
Отмена
Рис.1.48. Мастер первичной инициализации ViPNet Client
Мастер запросит месторасположение файла dst для пользователя, запросит
информацию о том, какие аппаратные носители информации будет использовать абонент для
хранения ключевой информации и пароль к дистрибутиву, а также потребует указать место для
хранения справочников и ключевой информации.
Перед загрузкой Монитора программа спросит пользователя о том, в какой конфигурации
тот желает работать - в обычной или в конфигурации Открытого Интернета. Следует выбрать
обычную конфигурацию (Рис. 1.49).
После загрузки Монитора некоторые из приложений, установленных на компьютере,
попытаются получить доступ к сетевой карте (картам). Программа Контроль приложений,
входящая в состав ПО ViPNet Client (при условии, что разрешение на нее прописано в файле
infotecs.reg) заблокирует выход этих приложений в сеть (как открытую, так и закрытую) и
запросит пользователя о том, какие действия надо предпринять в отношении этих приложений
(Рис. 1.50). В настоящем случае необходимо разрешить работу в сети службы ОС Windows
Generic Host Process. Решение в отношении других программ, запросивших доступ в сеть,
остается за пользователем.
Щ i
иткрытып Интернет
| Не показывать это окно в дальнейшем
Рис.1.49. Окно выбора конфигурации Монитора
40
Рис.1.50. Окно программы Контроль приложений
В итоге на СУ Администратора 3 0 окно Защищенная сеть в Мониторе должно
выглядеть, как показано на Рис.1.51.
Рис.1.51. Окно Защищенная сеть Администратора 3 0
Замечание: В окне Защищенная сеть Монитора показаны:
Синим цветом - настоящий СУ.
Красным цветом - координаторы сети.
Серым и сиреневым цветом - СУ сети ViPNet, связь с которыми есть на уровне типов
коллективов. Если настоящий узел не обменялся служебной информацией с конкретным СУ, то
тот СУ будет показан серым цветом. Если же настоящий узел обменялся служебной
информацией с конкретным СУ, то тот СУ будет показан сиреневым цветом
После развертывания защищенного узла в трее ОС Windows должны появиться значки
программ MFTP (грузовичок), Монитор (семь красных квадратиков) и Контроль приложений
(зеленый шарик на полосатом фоне) (Рис. 1.52).
41
MFTP и
Монитор
Контроль
приложений
\
—"~7^
Рис.1.52. Трей ОС Windows со значками ПО ViPNet
Замечание: Значок MFTP (грузовичок) становится красным, если пришла информация от
абонентов защищенной сети. По значку Монитора при отправке\приеме пакетов бегает белый
квадратик. Значок Контроля приложений становится серым, если программа отключена (не
производится контроль доступа в сеть).
Контрольные вопросы
• Что представляет собой виртуальная сеть ViPNet? Из чего она состоит? Что такое «номер
сети»?
• Что такое «сетевой узел»? Из чего состоит идентификатор сетевого узла?
• Что такое «коллектив»? Из чего состоит идентификатор коллектива?
• Что такое «тип коллектива»? Из чего состоит идентификатор типа коллектива?
• Что такое «область действия ТК»?
• Кто такой пользователь сети ViPNet? Из чего состоит идентификатор пользователя?
• Чем определяется наличие защищенного канала связи между пользователями сети
ViPNet?
• Что такое «прикладная задача»?
• Что такое «полномочия пользователя»? Для каких прикладных задач задаются
полномочия?
• В какой программе определяется возможность пользователю иметь ЭЦП?
• Что происходит в ЦУСе при нажатии кнопки «Сформировать все справочники»?
• Какие лицензионные файлы необходимы при установке ПО ViPNet Client и ПО ViPNet
Coordinator?
• Каким образом версию 2.8 на рядовом компьютере заменить на версию 3.0? Как сменить
версию ПО ViPNet в защищенной сети? Возможно ли вернуть предыдущую версию ПО?
• С какими версиями ПО ViPNet несовместима версия 3.0?
42
Практическое занятие 2 . Модификация виртуальной сети ViPNet
Цель задания № 2
• Проведение модификации защищенной сети ViPNet.
• Управление виртуальной сетью ViPNet.
Содержание
• Изменения в Адресной и Прикладной администрациях ЦУСа.
• Формирование новых адресных справочников и справочников для УКЦ.
• Формирование новой ключевой информации в УКЦ.
• Перенос сформированной ключевой информации из УКЦ в ЦУС.
• Рассылка обновлений из ЦУСа.
• Настройка транспортного модуля.
• Обновление адресной и ключевой информации.
• Контроль прохождения обновлений из ЦУСа.
• Проверка прохождения обновлений с клиентского рабочего места.
Термины и понятия
Компрометация ключей абонента.
Автоматическая генерация ключей.
Электронная рулетка.
Ключевой набор.
Ключевая дискета.
Адресные справочники АП и СМ.
Рассылка обновления.
Журнал запросов и ответов.
Транспортный модуль.
Виды модификации и обновления защищенных сетей ViPNet
Изменение (модификация) сети ViPNet является очень важным действием по управлению
виртуальной сетью. Изменения могут быть следующими:
4. Модификация без компрометации.
1.1 Модификация с формированием ключей - ДОБАВЛЕНИЕ ИЛИ УДАЛЕНИЕ:
Сетевого Узла (СУ).
Типа Коллектива (ТК).
Пользователя (Абонента).
Связей между ТК.
ЭЦП пользователю.
1.2 Модификация без формирования ключей - ПЕРЕИМЕНОВАНИЕ:
Изменение имени Сетевого Узла (СУ).
43
Изменение имени Типа Коллектива (ТК).
Изменение имени Пользователя (Абонента).
5. МОДИФИКАЦИЯ С КОМПРОМЕТАЦИЕЙ (внеплановая смена ключей):
1.1 УДАЛЕНИЕ С КОМПРОМЕТАЦИЕЙ:
Сетевого Узла (СУ) (вместе с его пользователями).
Типа Коллектива (вместе с его пользователями).
Пользователя (Абонента).
1.2 КОМПРОМЕТАЦИЯ БЕЗ УДАЛЕНИЯ:
Сетевого Узла.
Пользователя (Абонента).
6. СМЕНА ОСНОВНОГО МАСТЕР-КЛЮЧА - Плановая смена всех ключей.
7. ПРОВЕДЕНИЕ ОБНОВЛЕНИЙ:
1.1 Обновление адресных справочников для АП и СМ.
1.2 Обновление КН для АП и СМ.
1.3 Обновление и создание новой КД для Пользователя АП и СМ.
1.4 Смена пароля Уполномоченного Лица.
1.5 Смена пароля пользователя.
1.6 Формирование нового сертификата ЭЦП пользователя.
1.7 Формирование дистрибутивов.
Модификация защищенной сети ViPNet версии 3.0 будет включать в себя:
создание нового сервера-маршрутизатора (СМ Координатор Linux);
регистрация за СМ Координатор Linux нового абонентского пункта (АП Клиент Linux);
добавить в ТК Администратор 3 0 нового пользователя Контролер 3 0; сделать
пользователя скрытым в зтом ТК;
создать Сетевую Группу (СГ) ДОМЕН в составе пяти АП (МАРС, ЮПИТЕР, САТУРН,
УРАН, НЕПТУН); АП ДОМЕНА имеют одноименных абонентов; ТК ДОМЕН связан только с ТК
Администратор 3 0\
назначить Уполномоченным Лицом (УЛ) абонента Юпитер; сделать УЛ Юпитер
действующим УЛ;
создать абонента Клиент 3 1 в ТК Клиент 3 0;
удалить из СГ ДОМЕН АП Уран;
удалить пользователя Клиент 3 1 с компрометацией.
компрометация ключей пользователя Нептун без его удаления
сменить Основной Мастер-ключ системы.
Внимание! Перед модификацией сети ViPNet и высылкой обновлений необходимо
проверить работоспособность каналов связи между узлами защищенной сети. По умолчанию,
все СУ сети ViPNet используют канал Через сервер. Для взаимодействия СУ между собой без
посредников необходимо использовать канал MFTP.
44
Шаг1 (12)
Настройка защищенных каналов передачи информации
Для передачи информации внутри защищенной сети используются каналы MFTP - путь
передачи информации от одного узла до другого.
По умолчанию установлен канал с посредником - Через сервер.
Поскольку в настоящей работе нет физического присутствия серверов-маршрутизаторов,
Администратор 3 0 не может выслать никому (в том числе себе) информацию. Для того, чтобы
информация была передана (выслана и получена), необходимо для Администратора 3 О
установить канал передачи информации без посредника - MFTP.
Настройка каналов производится в программе MFTP - следует дважды щелкнуть
«мышкой» на грузовичке и в появившемся окне выбрать меню Настройки (Рис.2.1).
Дале следует выбрать запись «АП Администратор 3 0» и дважды щелкнуть «мышкой» на
ней. В появившемся окне (Рис.2.2) в абзаце Тип канала необходимо выбрать опцию MFTP,
проставить все «галочки» и поставить время опроса базы данных (для учебных целей
рекомендуется 3-5 сек).
Замечание: IP-адрес узла не обязательно прописывать, поскольку узлы обменяются
друг с другом информацией и адреса появятся автоматически.
Рис.2.1. Окна программы MFTP
Рис.2.2. Настройка канала взаимодействия АП Администратор 3 О
После этого следует нажать кнопку ОК дважды и выйти в окно Монитора.
45
Шаг 2 (12)
Добавление с сеть ViPNet СМ Координатор Linux и АП Клиент Linux
В Адресной администрации (меню Службы —> Адресная администрация —>
Структура сети ViPNet) в списке Серверов-маршрутизаторов необходимо добавить (Alt+I)
СМ Координатор Linux и зарегистрировать за новым CM (Alt+I) АП Клиент Linux (Рис.2.3).
Необходимо связать СМ Координатор Linux межсерверным каналом с СМ Координатор 3 О
(это производится клавишами Alt+C и Alt+M). После этого необходимо создать новые таблицы
маршрутизации.
5<СГ'1 Координатор Liпи>:;:
АП Клиент Linux -
wy, л ч^Ш^^^"» t £00001 u 00017, > Вкл
Рис.2.3. Создание СМ Координатор Linux и АП Клиент Linux
В Прикладной администрации (меню Службы —> Прикладная администрация —>
Регистрация типов коллективов) необходимо переименовать новые СУ в ТК Координатор
Linux и ТК Клиент Linux и проверить связи вновь созданных ТК (все ТК должны быть связаны со
всеми). При необходимости добавить отсутствующие связи.
Переименовать пользователей (наименования должны быть без приставок) и отказать
Координатору Linux в праве иметь ЭЦП в меню Службы —> Прикладная администрация -»
Регистрация пользователей.
Далее необходимо сформировать справочники (Службы —> Сформировать все
справочники), удостовериться в отсутствии аномальных ситуаций, после чего следует начать
работу в УКЦ.
В УКЦ в меню Сервис —> Автоматически создать необходимо сформировать
дистрибутивы (строка Дистрибутивы) - автоматически будут созданы наборы резервных
персональных ключей (НРПК) для вновь созданных пользователей, после чего перенести
созданную информацию в каталог на диске. Далее следует сформировать обновления
ключевой информации (строки Ключевые наборы и Обновления ключей) для существующих
пользователей (после чего перенести эту информацию из окон Ключевой центр / Своя сеть
ViPNet / Ключи / Обновления ключей (Ключевые наборы) в ЦУС посредством правой кнопки
«мыши» - строка Перенести в ЦУС).
Дистрибутивы следует выдать на носителе информации новым пользователям сети
ViPNet, а в ЦУСе необходимо разослать справочную и ключевую информацию, полученную из
УКЦ, на СУ виртуальной сети в виде обновлений (меню Управление —> Отправить
измененные файлы —> Ключевые наборы для СУ и Справочники АП и СМ). Обратите
внимание на дату обнавления справочно-ключевой информации: по умолчанию она
выставлена в формате текущая дата, время + 24 часа.
Внимание!
Чтобы обновление произвести «немедленно», необходимо установить время проведения
обновления «прошедшим числом»
После прохождения обновлений в окне Защищенная сеть сетевых узлов сети должны
появиться фильтры для вновь созданных узлов (Рис.2.4).
46
£J Защищенная сеть
Qli <1Р-пакеты веек адресатов:?
+ Q у ^Широковещательные IP-пакеты всех адресатов>
* ; Избранное
0t.,;. < 192,163.0.1 > АП Администратор 3 0
0
В г <0.0.0.0> АП Клиент Linux
а;
в,
0 , О'К.ЬЙ.О.-:;. СМ Ккрятмтог- SO
0 / -:.0.П.О.0.:: СМ Координатор LinUK
Рис.2.4. Окно защищенная сеть с новыми СУ
ШагЗ (12)
Добавление пользователя Контролер 3 0 в ТК Администратор 3 0
Добавление пользователя происходит в меню Службы —> Прикладная администрация
—> Регистрация пользователей. В появившемся окне необходимо добавить нового
пользователя Контролер 3 0 в ТК Администратор 3 0. В окне Список типов коллективов
пользователя необходимо скрыть пользователя Контролер 3 0 в ТК Администратор 3 О,
путем нажатия на кнопку «Открытый» (Рис.2.5).
Поль зо вате.
1ь: Контролер 3 0
■1112 ЗРйВЙ?
1111111 шшят
llllllll
IfSill .щшжт
Рис.2.5. Введение пользователя в ТК в скрытом виде
В УКЦ следует сформировать ключевую информацию для созданного пользователя
(дистрибутив и НРПК) и сохранить ее в каталоге на диске. А также следует сформировать
обновление ключевой информации для объектов защищенной сети и выслать ее в ЦУС.
Из ЦУСа обновления необходимо разослать по СУ сети. Дистрибутив пользователя
Контролер 3 0 следует поместить в каталог ..\SS\. После этого необходимо выгрузить
[Монитор], если он был загружен, и произвести первичную инициализацию (Рис.2.6) для
дистрибутива пользователя Контролер 3 0. Ключевая информация пользователя должна быть
сохранена в каталоге, отличном от каталога хранения ключевой информации абонента
Администратор 3 0.
В дальнейшем пользователь Контролер 3 0 сможет использовать ПО ViPNet
[Клиент][Монитор] следующим образом - при вводе пароля он должен будет указать каталог,
где хранится его ключевая информация (по умолчанию предлагается ..\SS\user_AAAA, где
АААА - номер пользователя в ЦУСе). Без указания каталога хранения ключевой информации
ПО будет загружать профиль абонента по умолчанию - Администратор 3 0.
47
Рис.2.6. Окно входа в ПО ViPNet
Шаг 4 (12)
Добавление СГ ДОМЕН
Создание сетевой Группы ДОМЕН (СГ ДОМЕН) производится в Адресной администрации
ЦУСа в меню Группы сетевых узлов. Группу ДОМЕН необходимо сделать текущей
(комбинация клавиш ALT+G).
После создания СГ необходимо создать пять АП - МАРС, ЮПИТЕР, САТУРН, УРАН,
НЕПТУН. Указанные АП необходимо зарегистрировать за СМ Координатор Linux. Далее
вышеуказанные абонентские пункты необходимо включить в текущую группу (клавиша INS).
Слева от наименований АП появятся «звездочки» - * (Рис.2.7). В меню Серверы-
маршрутизаторы напротив наименования СМ Координатор Linux также появится
«звездочка» (Рис.2.8).
—--АП хервера.<СМ КоординаторjUnux>_,fc Л ,,
Рис.2.7. Добавление СУ, входящие в СГ ДОМЕН, за СМ Координатор Linux
_ ^->.ерверы-маршрути&а"горы~ r^z „ ^»
имя - ^Г#Щ*%^^^
СИ Координатор ОШй^
СМ Координатор-ОИ13£0#ЩШ 00002 *ШюЛ,00(Ю23|Ъ001*¥Ш^
ем Координатор Linux
ииии;: ииии/ uuuOl uuulb ькл
Рис.2.8. Окно Серверы-маршрутизаторы
Следующим действием будет создание ТК Домен, областью действия которого будет
являться СГ Домен. Далее создаем пользователей МАРС, ЮПИТЕР, САТУРН, УРАН, НЕПТУН
(РИС.2.9). Каждого из пользователей необходимо зарегистрировать в ТК ДОМЕН и на
соответствующем сетевом узле, входящем в СГ ДОМЕН. После указанных действий следует
выполнить условие по связи ТК ДОМЕН. Помните, что по условию задания ТК Домен связан
только с ТК Администратор 30.
48
ш
+ 1 сатурн
уран
- + Центр регистрации•3 Ц
+ ЮПИТЕР J
Рис.2.9. Добавление пользователей, входящих в СГ ДОМЕН
Завершающим действием в ЦУСе станет формирование справочников.
После перехода в УКЦ следует сформировать дистрибутивы, НРПК и обновления
ключевой информации распределить их по соответствующим местам (дистрибутивы и НРПК в
папку на выдачу абонентам, обновления - в ЦУС). Далее из ЦУСа информацию необходимо
разослать на СУ сети.
После прохождения обновлений в окне Защищенная сеть сетевых узлов сети должны
появиться фильтры для вновь созданных узлов (Рис.2.10Рис.2.4).
Шаг 5 (12)
Назначение пользователя ЮПИТЕР Уполномоченным Лицом
Назначение абонента ЮПИТЕР Уполномоченным лицом (УЛ) производится в УКЦ. В
меню Администраторы можно увидеть всех УЛ системы. Назначить нового УЛ можно,
щелкнув правой кнопкой «мыши» по одной из записей УЛ и выбрав сроку Создать...
(Рис.2.11). После прохождения всех этапов инициализации Администратора сети ViPNet в
окне Администраторы можно увидеть вновь созданного Администратора ЮПИТЕР. Причем
ЮПИТЕР сразу становится действующим УЛ, что обозначается яркими цветами иконки. Иконка
Администратора 3 0 становится тусклой. Щелкнув правой кнопкой «мыши» по записи
Администратор 3 0 и выбрав строку Назначить текущим, можно сделать текущим УЛ
указанного абонента.
Рис.2.10. Окно защищенная сеть с СУ, входящими в СГ ДОМЕН
Имя администратора
i Идентификатор
* ЮПИТЕР
Открыть
Создать...
Назначить текущим
Сменить
Сертификат
Удалить
Рис.2.11. Назначение текущим Администратором
49
Шаг 6 (21)
Добавление пользователя Клиент 3 1
Создание абонента Клиент 3 1 производится в меню Регистрация пользователей в
Прикладной администрации.
В УКЦ необходимо сформировать дистрибутив для нового пользователя.
Подумайте, где в мониторе можно удостовериться, что этот пользователь
добавлен?
Шаг 7 (12)
Удаление АП УРАН
Удаление АП УРАН производится в Адресной администрации ЦУСа. После этого
необходимо в УКЦ сформировать ключевую информацию для объектов защищенной сети и
разослать ее по СУ защищенной сети.
Подумайте, если удаляем СУ, то нужно ли удалять ТК и абонента, расположеннх на
данном СУ?
Шаг 8 (12)
Модификация с компрометацией:
Удалить пользователя Клиент 3 1 с компрометацией.
Явная компрометация - удаление пользователя с компрометацией
Внимание: Не удаляйте УЛ!
Замечание: УДАЛЕНИЕ пользователя с компрометацией не отличается от
УДАЛЕНИЯ пользователя без компрометации, если этот пользователь работал на
своем СУ один, т.е. никаких других пользователей на его СУ больше не было
зарегистрировано, и если этот пользователь не зарегистрирован на другом СУ.
В противном случае процедура удаления пользователя с компрометацией
отличается от удаления пользователя без компрометации.
Замечание: Аналогично проводится процедура УДАЛЕНИЯ Сетевого Узла (СУ)
вместе с удалением его пользователей с компрометацией, а также УДАЛЕНИЕ
Типа Коллектива с удалением его пользователей с компрометацией.
Указание: При удалении Пользователя с компрометацией необходимо:
В ЦУСе - провести изменения в структуре сети, сформировать все справочники.
В УКЦ - сформировать обновления ключей для всех АП, с которыми был связан
скомпрометированный пользователь, и для всех узлов, где он был зарегистрирован, а затем
перенести их в ЦУС.
В ЦУСе - разослать обновленные справочники и ключи.
Последовательность выполнения задания
I. ЦУС:
Создать архив структуры сети перед модификацией. Для этого «Службы->Архивы баз
данных» нажать кнопку «Создать».
Сделать изменения в структуре сети, а именно:
Удалить пользователя Клиент 3 1 с компрометацией.
50
Если этот пользователь был один в своем ТК Клиент 3 0, то удалить ТК Клиент 3 0.
Замечание: так как в ТК Клиент 3 0 есть еще другие пользователи, удалять этот ТК не нужно.
Сформировать все справочники
II. УКЦ:
Сформировать новую ключевую информацию. Для этого:
Поскольку на АП Клиент 3 0, где был зарегистрирован скомпрометированный
пользователь Клиент 3 1, остался пользователь Клиент 3 0, то выбрать (будет активна запись)
«сервис -» автоматически создать -> Ключи при компрометации..» и сформировать ключевую
информацию для узлов и пользователей, с которыми был связан Клиент 3 1.
Перенести новую готовую ключевую информацию в ЦУС.
III. ЦУС:
Разослать обновления из ЦУСа на СУ, для которых сформированы новые справочники и
ключи.
III. Монитор и Деловая Почта:
Удостовериться в программах на АП Администратор 3 0, что модификация прошла
успешно:
Для этого запустить программу Монитор и после прохождения обновления в окне
Защищенная сеть увидеть, что удаленный СУ отсутствует, если этот СУ был удален.
Замечание: Если на данном СУ остались другие ТК, то в Защищенной сети фильтр для данного
СУ останется. В данном случае АП Клиент 3 0 останется, т.к. на нем остался пользователь
Клиент 3 0.
Запустив программу Деловая почта на АП АдминистраторЗ 0 в Адресной книге увидеть,
что в ней отсутствует пользователь Клиент 3 1. Рис. (2.11.1).
;Адресная книга корпоративной
Si аП Администратор 3 U
Si АП Клиент 3 О
- ТК Клиент 3 О
fj' Клиент 3 О
Si АП Криптосервис 3 О
Si АП Марс.
АП Нептун
АП Сатурн
Si АП Сервис Публикации 3 О
Si АП Уран
Si АП Центр Регистрации 3 О
Si АП Юпитер
jam пшенной почты:
v j Закрыть
Рис. 2.11.1 Адресная книга в Деловой почте
51
Проводите процедуру УДАЛЕНИЯ Сетевого Узла (СУ) вместе с удалением его
пользователей с компрометацией, а также УДАЛЕНИЕ Типа Коллектива с удалением его
пользователей с компрометацией.
Модификация с компрометацией:
Провести процедуру компрометации ключей пользователя Нептун без его удаления с АП
Нептун (у Нептуна украли ключевую информацию).
Явная компрометация - компрометация пользователя без его удаления
Внимание: Не компрометируйте УЛ!
Замечание: При компрометации пользователя для него в УКЦ создается новый
пароль.
Указание: При компрометации Пользователя без его удаления из
защищенной сети необходимо:
В ЦУСе-сформировать «Справочники для УКЦ —> Компрометация ключей». (Рис. 2.11.2)
fCny*£fel• Управление Файлы Окна Сервис
Адресная администрация ►
Настройки по унопчанию ...
Индивидуальная регистрация АП в ПЗ
Групповая регистрация СУ в ПЗ
Прикладная администрация ►
Экспорт...
Импорт...
Необработанный импорт...
Просмотр конфигурации
Проверка конфигурации
Сформировать все справочники
Справочники АП
Справочники СМ.
ЯКОб. ОАО ИнФотек
§§S \ \\ V ^ч\\
Справочники связей сетевых узлов...
Справочники связей пользователей...
Дистрибутивы ►
Справочники узлов, связанных с др. сетями..
"Компрометация кпючей
\
Справочники связей сетевых узлов...
Справочники связей пользователей...
Дистрибутивы ►
др. сетями..
Выбо^по сетевым узлам...
Рис. 2.11.2 Компрометация ключей без удаления пользователя
В УКЦ - сформировать обновления ключей для всех АП, с которыми связан
скомпрометированный пользователь Нептун, и для всех узлов, где он зарегистрирован, а затем
перенести их в ЦУС.
В ЦУСе - разослать обновленные справочники и ключи.
Разослать обновления из ЦУСа на СУ, для которых сформированы новые справочники и
ключи:
Отправить обновленные КН из ЦУСа в строгой очередности (!):
- Выбрать время для обновления (число, час, минута, секунда).
- Сначала разослать КН и КД на скомпрометированный узел АП Нептун
- Далее разослать КН на остальные узлы, с коллективами которых связан
скомпрометированный пользователь. Установить время прохождения
обновления, не ранее прохождения обновления на скомпрометированном
узле.
- В последнюю очередь разослать КН на узел, на котором установлен ЦУС, на
АП Администратор 3 0. Установить время прохождения обновления, не ранее
52
прохождения обновления на скомпрометированном узле и остальных узлах, с
коллективами которых связан скомпрометированный пользователь.
Замечание 1: Если нарушить порядок рассылки, то можно потерять защищенную
связь со скомпрометированным Сетевым Узлом.
Замечание 2: Аналогично делается КОМПРОМЕТАЦИЯ всего Сетевого Узла
вместе со всеми его пользователями.
Важное замечание: Если пользователь скомпрометировал (потерял, украли и т.д.)
не только dst-файл, но и набор резервных персональных ключей - файл *.рк, то в
этом случае необходимо провести процедуру компрометации для всего узла, а
для него необходимо сформировать новый дистрибутив с новым набором
резервных персональных ключей (файл *.рк).
Однако дистрибутив для него вы можете создать только после проведения
процедуры компрометации.
Проводите процедуру Компроментации Сетевого Узла (СУ) вместе с его
пользователем.
Шаг 9 (12)
Смена Основного Мастер-ключа персональных ключей пользователей
Смена Мастер-ключа (МК) системы может быть произведена для каждого МК из
представленных в УКЦ версии 3.0. В настоящем задании необходимо сменить Мастер-ключ
персональных ключей.
Тип глюча
_оздан в сети
;-.* Мветер-ключ защить
\г [■■]зстер-ключ ибиена
Рис.2.12. Меню смены мастер-ключей
Для этого необходимо зайти в УКЦ, меню Ключевой центр / Своя сеть ViPNet / Ключи /
Мастер-ключи и , щелкнув правой кнопкой «мыши», выбрать меню Сменить... (Рис.2.12)
После запроса авторизации для изменения Мастер-ключа (Рис.2.13) необходимо ввести
пароль УЛ и создать новый МК. После этого в ЦУСе необходимо сформировать и выслать
справочники в УКЦ для создания КН и КД и в самом УКЦ заново сформировать новую
ключевую информацию для объектов защищенной сети, после чего выслать в ЦУС для
пересылки на указанные объекты.
ВНИМАНИЕ! После выполнения данной операции своя сеть ViPNet
станет неработоспособной.
Ключ Мастер персональных ключей является действующим. После
смены мастер-ключа, для работоспособности сети, необходимо
будет заново создать и разослать ключевые наборы для всех
сетевых узлов.
W сменить ключ Мастер персональных ключей
Продолжить
Отмена
Рис.2.13. Предупреждение о смене мастер-ключа
53
Шаг 10 (12)
Работа с ПО ViPNet [Администратор] [Сервис публикации]
ViPNet Администратор [Сервис публикации] (СП) предназначена для публикации
сертификатов пользователей ViPNet, сертификатов администраторов УКЦ и списков
отозванных сертификатов. Кроме того, в программе реализованы и механизмы доступа к
опубликованной информации по стандартным протоколам.
Программная оболочка [Сервиса публикаций] состоит из нескольких ОКОН, работа С
которыми будет описана ниже.
* ViPNet Administrator J
Общие
Пользователь
Серверы публикации
Импорт СОС
ViPNet Сервис публикации позволяет публиковать сертификаты пользователей ViPNetj
администраторов Удостоверяющего и Ключевого центра, доверенные сертификаты, а
также списки отозванных сертификатов. Сертификаты автоматически публикуются
при попадании в папку приема файлов из Удостоверяющего и Ключевого центра.
О программе... \
v Автоматически запускать при старте Windows
Р При минимизации окна сворачивать в область уведомлений на панели задач
'W При закрытии окна сворачивать в область уведомлений на панели задач
У Выдавать предупреждение при выходе из приложения
Папка приема файлов из Удостоверяющего и Ключевого центра:
i C:\Program FilestfnfoTeCS\ViPNet Administrator\FROM_KC
Папка отправки файлов в Удостоверяющий и Ключевой центр:
I С:'"Program Files ilnfoTeCS'iViPNet Administrator\FOR_KC
Обзор...
Обзор...
Рис.2.14. Окно Общие в Сервисе публикаций
В окне Общие (Рис.2.14) необходимо настроить работу [Сервиса публикаций] при
взаимодействии с УКЦ. Для этого в каталоге установки ПО ViPNet [Администратор] следует
создать папки ..\FOR_KC\ и ..\FROM_KC\, используя которые СП будет обмениваться с УКЦ
информацией о сертификатах системы, а также установить «галочки» напротив тех строк,
режимы которых необходимы для работы.
В окне Пользователь (Рис.2.15) указан тот абонент системы, который ввел пароль для
входа в саму программу, его коллектив и состав самого коллектива.
54
ООщие
Пользователь
С ерверы п у б ли к а ц t п-
Импорт СОС
Сведения о пользователе:
1 • Идентификатор пользователя:
1А0Е0003
1 • Имя сетевого узла:
АП Администратор 3 0
! • Идентификатор сетевого узла:
1A0E000C
1 • Имя сети:
Тестовая сеть № 1
j • Номер сети:
6670
Коллективы, в которых зарегистриров.
зн пользователь:
J Имя коллектива
j" Идентификатор
] Все коллективы
OOOOIAOEOOOCO
; ТК Администратор 3 0
Состав коллектива:
000Е1А0Е000С0
! Имя пользователя
| Идентификатор
Администратор
Справка
Рис.2.15. Окно Пользователь в Сервисе публикаций
В окне Серверы публикации (Рис.2.16) выводится список серверов в виде таблицы,
содержащей краткую информацию о серверах, используемых для публикации списка
отозванных сертификатов (СОС) и сертификатов. «Галочки» в строке перед именем позволяют
включать или отключать участие серверов в публикации.
ООщие
Пользователь
Серверы публикации
Импорт СОС
Серверы публикации сертификатов:
| 1-мг.1я /•
; 0 Domain
\ 0 ServerFTP
■; Тип ] Адрес
ШАР 100.100.100,109
FTP 172.16.241.200
Добавить..
Применить | Вернуть
Справка
Рис.2.16. Окно Серверы публикации в Сервисе публикаций
В окне Импорт СОС показаны так называемые точки распространения СОС. Точки
распространения СОС - это центры хранения сертификатов (Удостоверяющие центры - УЦ),
с которыми данный СП будет обмениваться информацией по отозванным сертификатам.
Для публикации сертификатов необходимо в УКЦ, в меню Сервис —> Настройка в
каталоге Публикации (Рис.2.17) указать те типы сертификатов, которые нужно будет
опубликовывать, а в подкаталоге Точки доступа указать те компьютеры, на которых хранятся
опубликованные сертификаты.
55
Рис.2.17. Окно Публикации в Настройках Сервиса публикаций
При указании точек доступа необходимо указать Тип данных и указать сетевой путь к
компьютеру, на котором будут опубликованы сертификаты (Рис.2.18). Окно Точки доступа в
окне Настройка будет выглядеть так, как показано на Рис.2.19.
Рис.2.18. Введение точки доступа
После завершения процесса опубликования серверов, на которых будут храниться
сертификаты в общем доступе, необходимо оповестить как внутренних так и внешних
пользователей об этом событии. В дальнейшем проверка сертификатов может осуществляться
с помощью серверов публикации на основе ПО ViPNet [Сервис публикации].
56
. Папки ViPNet Администратор..
- lJ Пароли
!..x) Случайные пароли
С'\ Пароли администраторов
i_r.> Персональные ключи
- qfi Сертификаты
Л Срок действия
i Список отозванных серти
- < I Публикации
? Томги доступа
3§ Архивация
j Журнал событий
il.i Лицензионное ограничение
с jl Настройка списков точек доступа
Тип данны>
Сетевой путь
ернннын номер
\ Состояние !
I ■>] AIA
t>DP
aia. mfotecs.ru 01C7 1513 8930 D7F0 0000 00... Вкл,
cdp.infotecs.ru lAOEjem.crl Вкл.
Добавить
Справка
Рис.2.19. Окно Точки доступа Сервиса публикаций
Найти опубликованные сертификаты на одном из серверов публикации возможно из
самой программы Сервис публикации посредством контекстного меню, появляющегося после
щелчка правой кнопкой «мыши» на иконке программы в трее (в правом нижнем углу экрана)
(Рис.2.20).
В меню Найти можно указать объекты, которые необходимо найти на серверах
публикации (Пользователей сертификатов, Издателей сертификатов, СОС сетей ViPNet, СОС
внешних сетей).
ViPNet Сервис публикации
Пользователей сертификатов
Издателей сертификатов
Списки отозванных сертификатов сетей ViPNet
к Списки отозванных сертификатов внешних сетей
I Справка
I О программе
t ■■
-ograrn Piles'iInroTe... j
Выход
Рис.2.20. Контекстное меню Сервиса публикации
Для поиска необходимо указать один из серверов, на котором хранится запрашиваемая
информация, и указать номер сети, к которой принадлежит пользователь и его сертификат
(Рис.2.21).
Шаг 11 (12)
Работа с ПО ViPNet [Центр регистрации]
В случае, когда лицо, не входящее в состав защищенной сети, (внешний пользователь)
желает получить сертификат ЭЦП (это право гарантировано каждому гражданину России по
Конституции и Федеральному Закону №1 от 10.01.2002 года) оно может обратиться в любой
Удостоверяющий Центр, который оказывает услуги по выдаче сертификатов ЭЦП.
ПО ViPNet [Администратор] [Удостоверяющий и Ключевой центр] может формировать и
хранить информацию о сертификатах ЭЦП, выданную внешним пользователям и для удобства
работы Администраторов системы ViPNet для создания и хранения сертификатов
пользователей (как внешних так и внутренних) можно использовать ПО [Центр регистрации].
57
Искать на сервере:
Параметры поиска
Имя или псевдоним:
Идентификатор:
Должность:
Подразделение:
Департамент:
Организация:
Результаты поиска
Имя V
Алексей Бурков
Г
Инфотею:
\преподаватель
Город:
Область:
Страна:
Электронный адрес:
Почтовый адрес:
Неструктур, имя:
Начать поиск
~~Э
Москва
Организация
; электронный адрес
Рис.2.21. Окно поиска пользователей сертификатов
Программа [Центр Регистрации] (ЦР) предназначена для регистрации пользователей
и создания различных запросов по созданию сертификатов, а для пользователей сети ViPNet
создаются не только запросы на сертификаты, но и запросы на ключевые дистрибутивы. Также
ЦР формирует запросы на отзыв и приостановление (и возобновление) действия
сертификатов.
Все созданные запросы отправляются в УКЦ, в котором запросы рассматриваются и
будут либо удовлетворены, либо отклонены. Только запрос на сертификат со статусом
"удовлетворен" становится сертификатом. После получения сертификата пользователь сможет
пользоваться им (подписывать документы) на любом АП сети ViPNet. Если рассматривается
запрос на создание ключевого дистрибутива, то пользователь, для которого рассматривается
этот запрос, при удовлетворении запроса, становится пользователем сети ViPNet или
внутренним пользователем (регистрируется в ЦУС, т.е. получает идентификатор), получая с
дистрибутивом ключей и сертификат.
ЦР выполняет следующие основные функции:
Регистрация пользователей, в том числе с возможностью извлечения информации о
пользователях из различных, в том числе уже существующих источников данных. В источниках
данных можно указать серверы с регистрационными данными пользователей ViPNet;
Генерация секретного ключа подписи и сохранение его на персональном ключевом
носителе внешнего пользователя.
Ввод персональных данных для сертификата пользователя.
Формирование запроса на сертификат;
Формирование запроса на дистрибутив ключей (и сертификат автоматически);
Подпись запроса на сертификат ключом действующего администратора ЦР.
Отправка заверенного запроса в УКЦ (через ЦУС).
Прием сертификатов из УКЦ (происходит автоматически).
Просмотр запросов и принятых сертификатов.
Формирование запроса на отзыв сертификата.
Формирование запроса на приостановление действия сертификата.
58
Формирование запроса на возобновление ранее приостановленного действия
сертификата.
Ведение журнала событий и действий пользователей ЦР.
Перед работой с ЦР необходимо указать параметры работы программы. Это делается
меню Сервис —> Настройка и Сервис —> Параметры безопасности.
В Настройках программы ЦР необходимо указать транспортный каталог, в котором
расположены модули обмена информации с другими СУ сети ViPNet, параметры архивации и
регистрации событий, происходящих в ЦР, при необходимости следует указать Источники
данных, из которых будет производиться импортирование информации о внешних
пользователях, желающих получить сертификат ЭЦП, а также параметры для запросов на
дистрибутивы и сертификаты.
В Параметрах безопасности следует указать либо просмотреть стандартную
информацию о пользователе, который в настоящий момент работает в ЦР, его сертификатах,
ключах шифрования, пароле и т.д.
В меню Сервис —> Контейнер ключей... для формирования защищенных соединений
можно указать контейнер того лица, которое имеет право работать в ЦР.
В меню Сервис —> Архивы... можно восстановить ту конфигурацию ЦР, которая
необходима в для работы в настоящий момент времени.
В меню Сервис —> Журнал событий... можно просмотреть архив тех событий, которые
происходили в системе ЦР.
Посредством меню Сервис —> Отправить/получить запросы можно вызывать
соединение с УКЦ и туда отправлять запросы или оттуда получать заверенные сертификаты.
Для регистрации пользователя необходимо выбрать меню Действия —> Регистрация
пользователей (либо выбрать значок
в панели инструментов). В появившемся окне
Мастера (Wizard) (Рис.2.22) следует выбрать один из вариантов введения пользователя в
Центр регистрации.
При использовании внешних источников данных (Рис.2.23) будет предложено настроить
работу с Active Directory (службой каталогов ОС Windows производства корпорации Microsoft)
(Рис.2.24).
Регистрация пользователя
Этот мастер поможет зарегистрировать нового
пользователя. Зарегистрированного пользователя
можно будет ввести в состав сети ViPNet и получить для
него сертификат электронной цифровой подписи.
зарегистрировать пользователя самостоятельна
Использовать внешние источники данных
Далее >
итмена справка
Рис.2.22. Окно регистрации нового пользователя в Центре регистрации
59
Рис.2.23. Окно выбора источника данных для импорта пользователей в Центре регистрации
Рис.2.24. Окно поиска пользователей из службы каталогов Active Directory
При использовании пути Зарегистрировать пользователя самостоятельно будет
предложено ввести данные о пользователе (Рис.2.25) и, по завершении регистрации, будет
предложено создание дистрибутива справочно-ключевой информации и запроса на
сертификат (Рис.2.26). В настоящий момент создавать дистрибутив не надо, поскольку
указанный пользователь не входит в систему VPN.
Далее появится мастер для создания запроса на сертификат (Рис.2.27), после указания
места хранения контейнера ключа подписи и пароля на контейнер будет создан запрос и
отправлен в УКЦ, где запрос будет обработан (Рис.2.28).
60
Сведения о пользователе
Заполните сведения о пользователе.
»• Имя:
Псевдоним:
Идентификационный номер:
Должность:
Подразделение;
Организация:
Неструктурированное имя:
] Бурков Anei
I преподаватепь
'чебный центр ИнфоТеКС
[ ОАО "ИнфоТеКС"
< Назад Далее >
Рис.2.25. Сведения о пользователе при регистрации
Завершение регистрации
Регистрация пользователей:
ifl ' г "''"
Бурков млексеи
иОнов пение данных
Регистрация успешно завершена.
Для работы зарегистрированных пользователей в сети
ViPNet необходимо создать и отправить запросы на
дистрибутивы ключей, а также запросы на сертификаты
в Удостоверяющий и Ключевой центр.
Г~ Создать запрос на дистрибутив ключей
V Создать запрос на сертификат
Рис.2.26. Окно завершения регистрации нового пользователя
В УКЦ в окне Удостоверяющий центр / Запросы на сертификаты можно увидеть
запросы, приходящие в УКЦ, удовлетворенные запросы и отклоненные. Если в настройках УКЦ
был установлен параметр «Автоматически удовлетворять запросы на сертификат», то все
запросы на сертификаты будут автоматически удовлетворяться и сам заверенный сертификат
отправляться лицу, запросившему удостоверение. Если параметр не был установлен - при
каждом новом запросе у Уполномоченного лица будет запрашиваться разрешение на
удовлетворение запроса.
После обработки запросов сертификаты помещаются в каталог Удостоверяющий центр
/ Запросы на сертификаты - если запросы были удовлетворены - в каталог
/Удовлетворенные, если запросы были отклонены - в каталог /Отклоненные.
61
Рис.2.27. Окно Мастера создания запроса на сертификат
Создание
а ~ ~ !
Справк
Рис.2.28. Окно завершения Мастера создания запроса на сертификат
В последующей работе информацию о зарегистрированных пользователях можно
посмотреть в каталоге Пользователи (Рис.2.29), их сертификаты - в каталоге
Сертификаты (Рис.2.30). В каталоге Запросы можно увидеть все запросы, сделанные из
Центра регистрации (на дистрибутив, на сертификат (Рис.2.31), на отзыв сертификата
(Рис.2.32)), а в каталоге Списки отозванных сертификатов - справочники СОС,
действующие в настоящий момент времени.
62
Сервис Действия Вид Справк
Назад
Вверх
: Центр регистрации
: Пользователи
;.: Сертификаты
. Запросы
Запросы на ди
. Запросы на се|
Запросы на от
Списки отозваннь
Имя пользователя
ттттт
"I Newllser
, :;, Oenisov и.
^ с - -
Kuznesov М.
% Serov V.
од
Зар. польз,.
чо)
Зап. на ди
[идентиф... I Дистриб... j З-эрегис^]
- 2/2/2001
ОЗАЕ0О0С 2/2/200"
03АЕ000Е 2/3/20СИ
2/3/JJ0i
0SAE000F fff 2/6/200i
2/6/2001
vi'7i vi ifii
' a-
►
j Искать в:] Имя пользователя w j з
; Всего: 9 Найдено:9 Выделено: 1 \ 2/7/2006 6:27
Рис.2.29. Окно Пользователи Центра регистрации
Сервис Действия Вид Справка
Назад
1,ентр регистрации
Пользователи
Сертификаты
Запросы
j Запросы на ди
: Запросы на се\
;. Запросы на от
Списки отозваннь
Вверх
; Владелец ...
j Идентифик..
1 Издатель
| Деист ви,.
] Действителен ij^
k..J Oernsov и.
Ivanov A.
2/3/2006
2/3/2007
' JF.aiL*3i..
U00FOSAE
Ivanov A.
2/6/2006
2/6/2007
jF„v а о
Ivanov A.
2/6/2006
2/6/2007
HIJ Kuznesov М.
ULU208AE
Ivanov A.
2/9/2006
2/9/2007
Ь uznt-M.v П
Ivanov A.
2/6/2006
2/6/2007
000E03AE
Ivanov A.
2/3/2006
2/3/2007
IrMj-hma '"'
000D0SAE
Ivanov A,
2/9/2006
2/9/2007
!! iNikjshma О,
OOOD08AE
Ivanov A.
2/9/2006
2/9/2007
4 Ivanov Д»" V
* ' '-2/3/2006
jLJoiga
Ivanov A.
2/3/2006
2/3/2007
Ivanov A.
2/9/2006
2i,,:Ji'20ri7 ^
i
j '"J Искать e:| Владелец сертификата ▼ j : j • '<■■■" ;
Всего: 19 Найдено: 19 Выделено:! 2/9/2006 4:32 PM CGMT+03:00)
Рис.2.30. Окно Сертификаты Центра регистрации
Действия Вид Справк.:
На ад
: Центр регистрации
: Пользователи
сертификаты
запросы
Запросы на дистрибутивы клк
запросы на отзыв сертификат
пи ttt т е энньi »-рtt |nt зт е
J jJ
"Я Иск
-П.х
Сс
здан для
1 '..ерииныи номер
; mbtop запроса
1 Статус ^ ^
Fr-h D
Щ Ii- _ иг F2
<~ п hall
' A.
Отправлен
Nihshma О.
MiCtj - им Acu
Gonchat с
•A.
Доставлен
L -
Oloa
nlLi-. EEm^
ijoncharo1
1 m.
Удовлетворен
owner 1
ill _r ^ =>9 1E1
3 n har
t A.
Удовлетворен
L '■>;
Denisov О.
UIO . .,4E
Goncharn-
• h.
Удовлетворен
\
Ft а з О
UlCb 2aFa У7b...
ij п har
'A.
Удовлетворен
\ u.nr i f1
01C6 2AFF BF4...
" n har
' «.
Удовлетворен
^ Ь
TaLab О
01C6 2C93 7F9...
ij п har
' a.
Удовлетворен
Г
fjih hiruu
ЩО .Dcl C2
Goncharo'
' a.
Удовлетворен
ForTTTTT
UlCb2D52 3D7...
(j п hat
' <4.
'Отклонен
Oloa N.
01C6 2D53B29...
'jorichar o1
• A.
Удовлетворен ^
11
Всего: 17 Найдено: 17 Выделено:! 2/9/2006 4:43 PM (GMT+03:00)
Рис.2.31. Окно Запросы на сертификат Центра регистрации
63
Сервис Действия Вид Справка
Назад :г Вверх
.□5.x
Дер;
: Центр регистрации
. Пользователи
i Сертификаты
. "■■ Запросы i.s;:-l
Запросы на дистрибутивы \ пт-к* jV А
■■ ■_; Запросы на сертификаты \.~~.
Списки отозванных сертификатов
Создан для
С л uwnerl
1 'П»-( 1
Nih'shina О
Создан
2м-С" '&
! Сериин..
01С6 2...
niO- Z
niCft 2...
ПН >-:
[Автор зап... ! И., i Статус | Причина
Inl-otecs Ne... Отправлен Прекращение действ!
1пГг»-р. Гjt- , i / н ^c-h рзщ>=ние Д*=-П1 TEI
Inrotecs Ne... •; лило»i>::it Приостановка действ
Infotecs Ne... 0... итправлен Приостановка действ
J*"] Искать в:[Создан для
; Всего: 4 : Найдено: 4 Выделено:! ; 2/9/2006 4:47 РМ (GMT+03:00)
Рис.2.32. Окно Запросы на отзыв сертификата Центра регистрации
Шаг 12 (12)
Работа с ПО ViPNet [Криптосервис]
Программа ViPNet [Криптосервис] предназначена для автоматизированного
защищенного обновления ключей, справочников и сертификатов открытого ключа электронной
цифровой подписи (ЭЦП) пользователей.
ПО ViPNet CryptoService состоит из следующих основных модулей:
Самого модуля ViPNet CryptoService, осуществляющего защищенное
автоматизированное обновление ключевой, справочной информации, сертификатов, а также
смену паролей пользователя.
Транспортного модуля (ViPNet MFTP), реализующего обмен управляющей, адресной,
ключевой информацией с ЦУСом.
Различие между ViPNet [Клиентом] и ViPNet [Криптосервисом] заключается в том, что
[Клиент] имеет сетевой экран (файрволл) и систему Домен-К для операций шифрования и
ЭЦП, а Криптосервис имеет только систему Домен-К для операций шифрования и ЭЦП.
Если какая-либо компания использует сетевые экраны корпоративного уровня,
[Криптосервис] поможет защитить информацию с помощью технологий шифрования и ЭЦП.
* ■ЙшШиР II II
полномочия
Справка | Групповая регистрация АП и СМ в одной из ПЗ
Рис.2.33. Регистрация в задаче Криптосервис
СУ, на котором будет развернут [Криптосервис], должен быть зарегистрирован в
одноименной прикладной задаче в ЦУСе (Рис.2.33). Взаимодействие [Криптосервиса] с УКЦ
происходит по защищенному каналу, поскольку для развертывания [Криптосервиса]
используется стандартный файл *.dst с ключами шифрования связи.
64
Так же как и в [Клиенте], пользователь [Криптосервиса] может сменить свой сертификат
(отправить запрос) и установить для работы асимметричные ключи шифрования.
Программная оболочка [Криптосервис] состоит из нескольких окон, работа с которыми
будет описана ниже.
В окне Пользователь (Рис.2.34) указана информация о текущем пользователе (о том,
который ввел пароль при входе в программу), в этом окне можно пользователя сменить (кнопка
Сменить пользователя...) и просмотреть его параметры безопасности (кнопка Параметры
безопасности...)
I.;,.)
Пользователь Информация о пользователе:
Элемент : Значение
Имя пользователя Криптосервис 3 О
ID пользователя 1A0E00Q5
Имя АП АП Криптосервис 3 Г
Номер АП 1AUE000E
Имя сети Тестовая сеть № 1
Номер сети 6670
Параметры безопасности..
.менить пользователя...
Справка j Закрыть !
Рис.2.34. Окно Пользователь [Криптосервиса]
В окне Транспорт (Рис.2.35) можно указать настройки транспортного модуля MFTP
(каталог транспортного модуля, каналы работы с СУ сети, проведение обновлений).
21
4>-<J
Транспорт
llill
Тр-ьнспортный каталог
Вы можете изменить каталог транспортного модуля.
I C:\Prograrn FilestfnfoTeCS'i, ViPNet CrypfcoService
Настройки транспортного модуля
Вы можете посмотреть и/или изменить настройки
транспортного модуля.
Настройки.,
Дополнительно
Р Вызывать транспортный модуль при запуске приложения
! Автоматически проводить обновления
Справка j закрыть
Рис.2.35.Окно Транспорт [Криптосервиса]
В окне Параметры (Рис.2.36) можно указать некоторые из параметров работы с ПО
[Криптосервис] (например, горячие клавиши для работы с ПО).
65
Параметры
Запуск;■
Р Автоматически стартовать при входе в Windows
Горячие клавиши
Окно программы:
Транспортный модуль:
jMone
Дополнительно
Р Сворачивать в трей при минимизации окна
Р Сворачивать в трей при закрытии окна
[ Выводить предупреждение при выходе из приложения
Справка
Рис.2.36. Окно Параметры [Криптосервиса]
Для создания запроса на сертификат пользователя в окне Пользователь необходимо
щелкнуть кнопку Параметры безопасности, в появившемся окне для запроса на сертификат
следует выбрать закладку Подпись, где необходимо выбрать кнопку Обновить сертификат
(Рис.2.37). В появившемся Мастере (Wizard) необходимо указать параметры создаваемого
сертификата и подписи и, с помощью Электронной рулетки, создать новый сертификат и
отправить его в УКЦ.
Ключи j Администратор \ Криптопровайдер
Пользователь Подпись | Шифрование Пароль
Информация о текущем сертификате;
♦ Кому выдан: Криптосервис 3 и
• Кем выдан: Администратор 3 О
• Серийный номер: 01 С7 0D 51 С А 60 76 АО 00 00 00 ОМА 0Е 00 05
j • Срок действия; с 21,11,2006 по 21.11,2007
* Статус; дейстбителоп
Параметры подписи
Алгоритм хеширова!
\Г0С\ Р 34.11-94
Дополнительно
*У Извещать об истечении срока действия
текущего сертификата за
j 15 Дней
v Автоматически вводить в действие изданные сертификаты
Сертификаты Запросы на сертификат j Изданные сертификаты I
Рис.2.37. Настройка параметров безопасности в Криптосервисе
В УКЦ в окне Удостоверяющий центр / Запросы на сертификаты можно увидеть
запросы, приходящие в УКЦ, удовлетворенные запросы и отклоненные. Если в настройках УКЦ
был установлен параметр «Автоматически удовлетворять запросы на сертификат», то все
запросы на сертификаты будут автоматически удовлетворяться и сам заверенный сертификат
отправляться лицу, запросившему удостоверение. Если параметр не был установлен - при
каждом новом запросе у Уполномоченного лица будет запрашиваться разрешение на
удовлетворение запроса.
66
После обработки запросов сертификаты помещаются в каталог Удостоверяющий центр
/ Запросы на сертификаты - если запросы были удовлетворены - в каталог
/Удовлетворенные, если запросы были отклонены - в каталог /Отклоненные.
На закладке Шифрование есть возможность поменять симметричные ключи
шифрования связи на асимметричные. Параметры настройки работы с асимметричным
ключом аналогичны параметрам работы в ViPNet [Клиенте].
Контрольные вопросы
• Что входит в состав ПО ViPNet [Администратор]?
• Первичная инициализация - что это такое?
• Уполномоченное лицо - кто это? Сколько их может быть?
• Что представляет собой Основной Мастер-ключ в ПО версии 3.0?
• Какие функции выполняет ПО [Сервис публикации], [Центр регистрации] и
[Криптосервис]?
• Какие ГОСТы используются для работы с ключами шифрования и ЭЦП?
• Что такое компрометация? Какие виды компрометации Вы знаете?
• Каков срок действия сертификатов Уполномоченных лиц и рядовых пользователей?
• Какие пароли применяются в системе ViPNet? Для чего они служат?
• Для чего нужна Сетевая Группа?
• Что такое «мастер-ключ»? Где хранится Основной Мастер-ключ?
• Уполномоченное лицо, кто это?
• Что такое файл-дистрибутив (dst-файл)? Для чего он нужен?
• Что содержится в полном дистрибутиве? Что содержится в минимальном
дистрибутиве?
• Что находится в ключевой дискете (КД)?
• Что находится в ключевом наборе (КН)?
• Какая ключевая информация формируется в УКЦ для пользователя сети ViPNet?
• Какая ключевая информация формируется в УКЦ для коллектива пользователей?
• Какая ключевая информация формируется в УКЦ для СУ?
• Где формируются адресные справочники и таблицы маршрутизации?
• В каком каталоге находятся справочники, КД и КН на СУ Администратора
безопасности?
• Чем защищаются КН каждого пользователя защищенной сети?
Рис.2.38.
67
Практическое занятие 3 . Межсетевое взаимодействие защищенных
сетей ViPNet с помощью Симметричного
Межсетевого Мастер-Ключа
Цель задания №3 (часть 1) Построение Межсетевого взаимодействия с
помощью Симметричного Межсетевого Мастер-Ключа
• Организовать межсетевое взаимодействие защищенных ViPNet-сетей с помощью
Симметричного Межсетевого Мастер-Ключа.
• Отработать процедуру установления межсетевого взаимодействия.
Содержание
• Первоначальное развертывание двух защищенных сетей (см. Практическое занятие № 1).
• Инсталляция рабочих мест администраторов двух защищенных сетей.
• Теоретическая проработка схемы объединения защищенных сетей.
• Формирование Начального экспорта в первой защищенной сети.
• Передача Начального Экспорта во вторую защищенную сеть.
• Импорт (прием) Начального Экспорта и формирование Ответного Экспорта во второй
защищенной сети.
• Генерация новой ключевой информации и рассылка ее Сетевым Узлам второй
защищенной сети.
• Передача Ответного Экспорта в первую защищенную сеть.
• Импорт (прием) Ответного Экспорта в первой защищенной сети.
• Формирование Заключительного экспорта для второй защищенной сети.
• Генерация новой ключевой информации и рассылка ее всем Сетевым Узлам первой
защищенной сети.
• Проверка правильности установления межсетевого взаимодействия.
• Отправление Заключительного экспорта во вторую защищенную сеть.
• Импорт (прием) Заключительного экспорта во второй защищенной сеть.
Задание №3 (Часть 1):
• Организовать межсетевое взаимодействие двух ViPNet сетей с помощью
Индивидуального Симметричного Межсетевого Мастер-Ключа (ИСММК), исходя из
перечисленных ниже условий и приведенной схемы (Рис.3.1).
• Отработать процедуру подготовки экспорта в другую сеть и приема импорта из другой
сети.
68
Компьютер_1 !
(Фурманов) !
Компьютер_2|
(Буров) |
ОФИС сеть № 6670
Сервер
Офис
Маршрутизатор
Internet
Маршрутизатор
ФИЛИАЛ сеть № 6671
Сервер
Филиал
Компьютер^ Компьютер_4
(Петров) (Васечкин)
Рис.3.1.Схема для организации межсетевого взаимодействия
Условия построения защищенной ViPNet-сети (Офис):
• В защищенную ViPNet-сеть (Офис) входят следующие Сетевые Узлы:
СМ Сервер Офис.
АП Компьютер_1 (Фурманов).
АП Компьютер_2 (Буров).
• Администратором и УЛ защищенной ViPNet-сети (Офис) является Фурманов.
• Защищенная сеть Офиса имеет следующий номер - № 6670.
Условия построения защищенной ViPNet-сети (Филиал):
• В защищенную ViPNet-сеть (Филиал) входят следующие Сетевые Узлы:
СМ Сервер Филиал.
АП Компьютер_3 (Петров).
АП Компьютер_4 (Васечкин).
• Администратором и УЛ защищенной ViPNet-сети (Филиал) является Петров.
• Защищенная сеть Филиала имеет следующий номер - № 6671.
69
Условия установления межсетевого взаимодействия сетей Офиса и
Филиала:
• Полная связность сетей - все Сетевые Узлы обеих сетей участвуют в межсетевом
взаимодействии (все «видят» всех).
• Межсетевое взаимодействие организуется на Индивидуальном Симметричном
Межсетевом Мастер-ключе (ИСММК).
Процедура установления
межсетевого взаимодействия двух защищенных сетей
Процедура установления межсетевого взаимодействия двух защищенных сетей с
помощью Симметричного ММК состоит из четырех (4) этапов:
1.Сеть № 6670:
1.8 Формирование Начального Экспорта и передача его в сеть № 6671.
8.Сеть № 6671:
1.1 Импорт Начального Экспорта.
1.2Формирование Ответного Экспорта и передача его в сеть № 6670.
1.3Формирование новых Ключевых Наборов для узлов своей сети (№ 6671).
Э.Сеть № 6670:
1.1 Импорт Ответного Экспорта.
1 ^Формирование Заключительного Экспорта в сеть № 6671.
1 ^Формирование новых Ключевых Наборов для своих узлов сети (№ 6670).
10.Сети № 6670 и № 6671:
1.1 Проверка установления межсетевого взаимодействия.
1.20тправка Заключительного Экспорта из сети № 6670 по защищенному каналу связи в
сеть № 6671.
1.3Импорт Заключительного Экспорта в сети № 6671.
Внимание! Передача экспорта должна производиться по защищенным каналам
передачи данных или каким-либо доверенным образом.
Начальный Экспорт для случая Симметричного ММК содержит 3 (три) составляющие:
• Экспортные справочники сети № 6670 (формируются в ЦУСе и в УКЦ сети № 6670), в
состав которых входят, кроме адресных справочников и информации о шлюзах,
Сертификат ЭЦП УЛ, Список Доверенных Сертификатов ЭЦП УЛ (СДС), Списки
Отозванных Сертификатов (СОС) сети.
• Симметричный Межсетевой Мастер-Ключ для сети № 6671 (генерируется в УКЦ сети
№ 6670).
• Пароль защиты Симметричного Межсетевого Мастер-Ключа (генерируется в УКЦ сети
№ 6670 при экспорте СММК).
70
Ответный Экспорт для случая Симметричного ММК содержит всего 1 (одну)
составляющую:
• Экспортные справочники сети № 6671 (формируются в ЦУСе сети № 6671 и
частично в УКЦ сети № 6671), в состав которых входят, кроме адресных справочников
и информации о шлюзах, Сертификат ЭЦП УЛ, Список Доверенных Сертификатов
ЭЦП УЛ (СДС), Списки Отозванных Сертификатов (СОС) сети, файл с вариантами
сетевых узлов сети, коллективы которых участвуют в межсетевом взаимодействии.
Заключительный Экспорт из сети № 6670 в сеть № 6671 при первоначальном
формировании межсетевого взаимодействия содержит полный набор экспортных
справочников, в состав которых входит важный файл:
• Файл 1A0E1A0F.var - с вариантами сетевых узлов сети №6670, коллективы которых
участвуют в межсетевом взаимодействии с сетью №6671. Этот файл в состав
Начального экспорта не входил, поскольку пока не было связей между коллективами
двух сетей.
Замечание: Отправка Заключительного Экспорта в другую сеть особенно
важна при модификации межсетевого взаимодействия, поскольку в его состав
входит файл 1A0E1A0F.var с вариантами сетевых узлов сети №6670,
коллективы которых участвуют в межсетевом взаимодействии. В случае
компрометации ключей в одной из сетей без данного файла модификация
межсетевого взаимодействия пройдет некорректно.
Отличие двух вариантов Симметричных Межсетевых Мастер-Ключей -
Универсального (УСММК) и Индивидуального (ИСММК) заключается в том, что
УСММК можно передавать в произвольное количество защищенных сетей, а
ИСММК создается для двух конкретных защищенных сетей.
Внимание! Симметричные Межсетевые Мастер-Ключи (УСММК, ИСММК)
защищаются специальными паролями. Только используя эти пароли, Межсетевые
Мастер-Ключи можно импортировать в других защищенных сетях!
Последовательность выполнения занятия 3 (часть1)
Итак, пусть у нас имеются две защищенные ViPNet-сети - защищенная сеть Офиса,
которая имеет лицензированный номер № 6670, и защищенная сеть Филиала, которая имеет
лицензированный номер № 6671.
Кто из администраторов двух сетей начнет процесс установления межсетевого
взаимодействия, не имеет значения.
Пусть процесс установления межсетевого взаимодействия начинает администратор
защищенной сети Офиса, т. е. администратор сети № 6670 - Фурманов.
Шаг 1 (27)
Формирование двух защищенных сетей
Перед тем как приступить к организации межсетевого взаимодействия,
необходимо развернуть две ViPNet-сети, исходя из вышеприведенных схем и
условий. В качестве справочника можно воспользоваться Практическим занятием
№ 1.
71
Защищенные сети Офиса и Филиала имеют следующие номера: № 6670 и
№ 6671.
Пусть администратор сети № 6670 начинает процесс установления
межсетевого взаимодействия.
Процедура формирования
Начального Экспорта в ЦУСе и в УКЦ сети № 6670
ЦУС сети №6670:
• Создание архива ЦУСа.
• Формирование Начального Экспорта для сети № 6671:
Выбор коллективов (ТК) и Узлов на экспорт.
Задание СМ-шлюза.
Копирование экспорта.
• Экспорт Справочников сертификатов УЛ а также справочников СОС
УКЦ сети №6670:
• Формирование Индивидуального Симметричного Межсетевого Мастер-Ключа для сети №
6671.
• Экспорт (по паролю) Индивидуального Симметричного Межсетевого Мастер-Ключа для
сети № 6671.
Рабочее место Администратора сети №6670:
• Подготовка папки с Начальным Экспортом для сети № 6671.
• Передача (доверенным способом) Начального Экспорта Администратору сети № 6671.
Процедура формирования Начального Экспорта в ЦУСе и в УКЦ сети № 6670 подробно
описана в шагах № 1 - №5.
Шаг 2(27)
Создание архива и формирование Начального Экспорта в ЦУСе сети № 6670
Запускаем ЦУС сети № 6670.
Создание архива ЦУСа первой сети № 6670
Перед началом процедуры установления межсетевого взаимодействия
создадим на всякий случай архив ЦУСа.
Для этого выбираем Службы^Архивы баз данных и нажимаем кнопку
«Создать».
Формирование Начального Экспорта в ЦУСе сети № 6670
Для этого переходим в меню Службы -> Экспорт... (Рис.3.2) Перед нами
появляется окно формирования экспорта, нажимаем кнопку Добавить и в
72
появившемся окне вводим номер сети, для которой готовим экспорт, т.е. 6671
(Рис.3.3).
УпраЕление Файлы Окна Сервис
Адресная администрация У
Настройки по умолчанию .'. .
Индивидуальная регистрация АП в ПЗ
I руппоеая регистрация СУ в ПЗ
Прикладная администрация У
Экспорт, .«* ,
Импорт...
Необработанный импорт...
Распределение лицензий...
Просмотр конфигурации
П ро верка ко нф игу р аци и
Сформировать все справочники
Справочники АП
Справочники СМ...
Справочники для УКЦ
>-
Архивы баз данных...
- □ X
13 :59": 32
Рис.3.2.Меню Службы в ЦУСе
Службы Управление Файлы Окна Сервис 14:09:55 ж;
Номер)Имя сети
JДействие (Дата
Имя ети Q
i
Рис.3.3.Задание номера сети для формирования экспорта
В строку Имя сети можно внести комментарий о сети, для которой готовим
экспорт. Эта строка имеет справочное назначение и никуда не передается.
На экспорт необходимо передать Сетевые Узлы (Узлы) и соответствующие
им Типы Коллективов (ТК) (Рис.3.3). Это делается для того, чтобы в дальнейшем
организовать связи этих коллективов сети № 6670 с коллективами сети № 6671 и
сформировать ключи шифрования для них.
Исходя из условий задачи (полная связность), выбираем ТК на экспорт. Для
этого нажимаем последовательно в появляющихся окнах кнопки ТК, Добавить,
Все, если вы хотите передать на экспорт все свои коллективы (если же вы хотите
передать не все коллективы, то выберите из списка нужные ТК), и затем Принять.
Получаем окно с выбранными на экспорт ТК (Рис.3.4).
73
l .С луяйы У п р ав л е н и е - Файлы Окна Се р в и с
14 :12:09 ^
Рис.3.4.Экспортируемые ТК
Нажимаем на кнопку Выход и попадаем в основное окно подготовки
экспорта (Рис.3.5).
Теперь необходимо проконтролировать, что у нас выбраны Сетевые Узлы
на экспорт. Для этого нажимаем кнопку Узлы.
Замечание: В том случае, когда сначала выбираются ТК, соответствующие им СУ
выбираются автоматически. Если же сначала выбрать СУ, то потом придется
выбирать еще и ТК.
_ !□] х|
Службы Управление---.Файлы Окна Сервис
Номер!Имя сети
MB
*Выйти
14:44:29-
П Помощь
Рис.3.5.Окно подготовки экспорта в ЦУСе
Шаг 3(27)
Задание сервера-шлюза в сети № 6670
При установлении межсетевого взаимодействия необходимо в обеих ViPNet-
сетях определить сервер (СМ) для организации шлюзов. Шлюзы необходимы для
того, чтобы определять путь прохождения конвертов, формируемых Деловой
Почтой (ДП), и файлов, пересылаемых по файловому обмену, а также конвертов
для ЦУСов.
74
Итак, требуется задать криптошлюз. Делаем это нажатием кнопки СМ-шлюз.
Перед нами появляется информационное окно, говорящее о том, что шлюз
не задан (Рис.3.6).
Службы Управление Файлы Окна Сервис
Нонер|Имя сети
1 ЯШ&Тш
I 1
4 сн-ШЖ,
Шлюз не задан
П Помощь
Рис.3.6.Сообщение об отсутствии шлюза
Нажимаем на кнопку Сменить шлюз и выбираем сервер (СМ), который мы
хотим использовать в качестве шлюза (в нашем случае сервер один, его и
выбираем) (Рис.3.7), нажимаем на кнопку Принять.
службы управление Файлы Окна Сервис
_ П X
14;f3:V9 ж!
Номер|Имя сети
|Действие |Дата
Удалить л
у'опи решать: ^,
JCMCK
Выход:" v V,
Рис.3.7.Окно выбора шлюза
Теперь желательно еще раз убедиться, что мы сделали все правильно:
Проверяем наличие экспортируемых Узлов.
Проверяем наличие экспортируемых ТК.
Проверяем наличие СМ-шлюза.
75
Шаг 4(27)
Копирование начального экспорта в ЦУСе сети № 6670
Сейчас мы находимся в меню экспорта (Рис.3.5). Нажимаем кнопку
Копировать.
Перед нами появляется окно задания пути для копирования экспорта
NEW\EXPORT (Рис.3.8). Запоминаем этот путь и нажимаем кнопку Принять.
Рис.3.8.Задание пути для копирования экспорта
После того, как ЦУС скопирует файлы экспорта, на экране появится
информационное окно (Рис.3.9). Нажимаем на любую клавишу и выходим из
ЦУСа.
Экспорт скопирован в каталог
NEU\EXP0RT\6671\
Затраченное время:
Рис.3.9.Экспорт скопирован в папку
В результате наших действий Экспортные справочники Начального
экспорта скопированы в папку ...NCC\NEW\EXPORT\6671. Оттуда мы их и
возьмем для передачи Администратору второй сети № 6671.
Состав Экспортных справочников Начального экспорта показан наРис.3.10.
76
Фанл Правка Бид Изоранное сервис справка
Program Files\InfoTeCS\ViPNet Administrator\NCC\f«W\EXPORT\6671
Ш 1A0E.TRL
j Переход
■ ABN
АР
APDB
ARC
: DB
EXPORT
IMPORT
: MAP
M5K
; NEW
APDB
. EXPORT
Q 1AOE_REM.CRL
•J AL6670.TXT
AN6670.TXT
"J BC6670.TXT
DC6670.TXT
EN6670.TXT
jg|GT6670.WAY
IP667U.TXT
'„'■ MG6670.TXT
MM6670.TXT
^ TU667U.TXT
Ш UC6670.TXT
Щ UL6670.TXT
I - UN6670.TXT
Тип: Текстовый документ
Изменен: 04.03.2008 16:36
Размер: 96 байт
Рис.3.10.Состав Экспортных справочников Начального экспорта
На этом подготовка Начального Экспорта в ЦУСе сети № 6670 завершается.
Однако в УКЦ сети № 6670 необходимо сформировать Симметричный
Межсетевой Мастер-Ключ для сети № 6671 и экспортировать в составе
Начального Экспорта.
Шаг 5(27)
Генерация Индивидуального СММК для сети № 6671 в УКЦ сети № 6670
Нам осталось создать Индивидуальный Симметричный Межсетевой Мастер-
Ключ (ИСММК) сети №6670 для второй сети №6671 и подготовить его для
экспорта в эту сеть №6671, т.е. зашифровать ИСММК на специально созданном
пароле.
Для этого запускаем программу Удостоверяющий и Ключевой Центр сети
№ 6670.
Далее выбираем Ключевой центр -> Доверенные сети -> Мастер Ключи->
Текущие (Рис.3.11). После этого в контекстном меню выбираем Создать.
77
сервис Действие
Зил (.правка
юстоверяющии и ключевой центр
: Удостоверяющий центр
Ключевой центр
j Своя сеть ViPf-Jet
: Пользователи
: Сетевые углы
Сетевые группы
- j Ключи
Кпючеьые диски
Резервные персональные к
Ключевые наборы
. Обновления ключей
Дистрибутивы ключей
Мастер-ключи
■ Доверенные сети ViPNet
Пользователи
.... Сетевые узлы
Мастер-ключи
Входящие
Исходящие
Администраторы
Искать в: Тип ключа
Всего: 0 Найдено:0 Выделено: 0 04.03.2008 14: IS (GM
Рис.3.11.Меню генерации межсетевых мастер-ключей в КЦ
Перед нами появится окно (Рис.3.12), в котором нам необходимо задать тип
ключа, а также номер внешней сети, в случае выбора ИСММК, т.е. 6671.
\ Задайте тип мастер-клинча
(?) Индивидуальный
Введите номер внешней сети в диапазоне от 1 до 65535,
исключая номер собственной сети 6670.
• Асимметричный
Алгоритм ключа:
П з р .э м е т р ь I а п г" о р и т м а:
О Универсальный
Рис.3.12.Задание номера внешней сети
Нажимаем кнопку ОК, перед нами появляется информационное окно (рис.
3.13), в котором присутствует номер генерируемого индивидуального межсетевого
мастер-ключа и предупреждающая информация о том, что ключи шифрования,
созданные на основе нового ИСММК, не смогут стыковаться со старыми ключами
шифрования, которые создавались на существующем межсетевом мастер-ключе
(если он уже есть).
Нажимаем кнопку Создать (Рис.3.13), отвечаем на вопрос нажатием кнопки
ОК (Рис.3.13), «крутим» рулетку и еще раз нажимаем кнопку ОК.
78
Рис.3.13.Окно предупреждения
Индивидуальный Симметричный Межсетевой Мастер-Ключ сети №6670 для
второй сети №6671 создан.
Шаг 6(27)
Экспорт ИСММК для сети №6671
Теперь нам осталось подготовить созданный Индивидуальный
Симметричный Межсетевой Мастер-Ключ сети №6670 для второй сети №6671
для экспорта в эту сеть.
Для этого выбираем раздел Ключевой центр -> Доверенные сети ->
Мастер Ключи-> Текущие (Рис.3.14).
Н-эт.-эд fle>epx Сссд. обпое-... Дерево Настройка
удосюсеря^щпм и ».:л.счс-е-оГ| центр у*/'!' ' -У-С.-] у', у' ' Ъ ' ".уу;;:7:7:;у" " . ; Vу;::у;:у-"■/" ■"':
чЬ VA-:-:TCD<pnK4U...-. ц.---Р ■ I . . . j
|.;.1ючн6,-,й цкнтр Тип Для «тл Создан е сети Номер ключа Создан
.; Сеоя сеть VST-f-ieh Индивидуальный симпетричпый для с«тм Ш1 v£7l **?о 01О2 70E9D96.. 04.03.2008 14:21:10 ;
Пс.ль5С€.атепи
.." Сете-еы-:- '-л-пы I
• Сетевые группы ]
' Ключевые диски :
F'e:^pcncir nirp'.oti.a.'iuMte кя^'ч
у, Ключес-ые наборы
иомое ле.мия t: n.Tjчей i
Дис т рибу 1 ие.ы к пючей ;
Маст*р.гпи>чи ;
Доьс-ренны-> сс-ти ViPM>H
Польгс-с-ьте-пн
Сете&ы* у;.пы
. Мастер-»-, пючи
.;. Входящие
Ио.одчщи-г
■'\ Администраторы > ■
> v: Искать ь. ■ Тип ключа v
ieo Всего: 1 Найдено: 1 Выделено: 0 04.03.2003 14:23 (GMT+03:00)
Рис.3.14.Окно действующих межсетевых мастер-ключей
В появившемся окне подсвечиваем запись Индивидуальный Симметричный
Межсетевой Мастер-Ключ сети 6670 для сети 6671 и по контекстному меню
выбираем пункт Экспортировать (Рис.3.15).
79
Назад
—■J Удостоверяющий и ключевом центр
+ Удостоверяющий цеитр
- Ключевой центр
- •: Своя сеть ViPNet
.: Пользователи
... Сетевые узлы
'. Сетееые группы
; Ключи
; Ключевые диски
., Резервные repcon-snt ш
Ключевые наборы
Обновления ключей
Дистрибутивы ключей
Мастер-ключи
Доверенные сети ViPNet
; Пользователи
Сетевые узлы
'. Мастер-ключи
' Текущие
. Входящие
Исходящие
Администраторы
Создать..
Обновить
'v Искать в: Тип ключа
Зсего: 1 Найдено:! Выделено: О
04.03.200S 14:24 (GMT+03:00)
Рис.3.15.Экспорт межсетевых мастер-ключей
После экспорта необходимо ввести ИСММК в действие для этого нужнов
контекстном меню выбрать пункт Ввести в действие
Если мы выходили из программы УКЦ то сначала нам придется «крутить
рулетку», а затем на экране появится окно (Рис.3.16)с запросом ввода пароля для
защиты экспортируемого ИСММК.
Внимание! Запомните этот пароль.
На этом пароле зашифровывается Индивидуальный Симметричный
Межсетевой Мастер-Ключ (ИСММК) для сети №6671 для безопасной передачи
Администратору второй сети № 6671.
В случае утери пароля Администратор сети № 6671 не сможет
импортировать данный ИСММК и в результате не сможет сформировать новую
ключевую информацию.
В случае утери пароля придется снова экспортировать ИСММК и запоминать
новый пароль.
[п ^тшМЩ? * ^v
г I Задайте пароль для экспорта мастер-ключа.
| Введите пароль:
I Подтверждение:
J r'7' OK I Отмена
____ ZZIZZ-I^^
Рис.3.16.Пароль для защиты ИСММК
Экспортированный ИСММК появляется в папке ..KC\Export
Также необходимо экспортировать справочники сертификатов (рис 3.17)
После этого программу УКЦ сети № 6670 можно закрыть, поскольку все
необходимые действия в ней для формирования Начального Экспорта
сделаны.
80
Рис.3.17
Дерево Настройка
Создам б сети Нос
i670 01С
vvy Действия Вид Справка
Автоматически создать ► • >'■;
Сохранить паропи в файпе ► ' "-;
, .. эх Созд. обнов...
иткрыть сертификат из файла...
Импорт ► | :>Ч- '
к ТИП \ ЛКЫз ДЛЯ I 1-ТИ
Запросы на кросс-сертификаты... ^Индивидуальный симметричный для сети 6671 6671
Проверка текущие, данных
Восстановление конфигурации...
Журнал событий...
Настройка...
Бы-од
Обновления ключе»
Дистрибутивы КЛЮ'
Мастер-ключи
Доверенные сети ViPNet
Пользователи
Сетевые узлы
Мастер-ключи
Текущие
• Входящие
Исходящие
Администраторы :*
ч v- Искать в: Тип ключа v
Мастер первичной инициализации Удостоверяющего и Ключевого Центра Всего: 1 Найдено:! Выделено: О 05,03.2008 9:34 (GMT+03:00)
Рис.3.18.Экспортирование справочников сертификатов
Из УКЦ поступил список корневых сертификатов
Рис.3.19.Список Корневых сертификатов в ЦУСе
Из УКЦ поступил список отозванных сертификатов
Рис.3.20.Список отозванных сертификатов в ЦУСе
Отправить экспорт?
Рис.3.21.Приглашение оправить экспорт
После того как экспорт справочников был произведен в ЦУС появится следующие
сообщения (рис. 3.18; 3.19)
Кроме того, появится предложение «Отправить экспорт?» (рис. 3.20), на
который отвечаем отрицательно «Нет», т.к. пока нет защищенного канала связи с
другой сетью.
Таким образом, Начальный Экспорт для случая Симметричного ММК
содержит 3 (три) составляющие:
Экспортные справочники, которые формируются в ЦУСе и УКЦ сети № 6670.
Симметричный Межсетевой Мастер-Ключ, который генерируется в УКЦ сети № 6670.
Пароль защиты Симметричного Межсетевого Мастер-Ключа, который генерируется при
экспорте СММК в УКЦ сети № 6670.
81
Все, что остается сделать Администратору сети № 6670, - это собрать
вместе все три составляющие Начального Экспорта и передать их
Администратору сети № 6671 по надежному каналу передачи данных.
Шаг 7(27)
Передача Начального Экспорта для сети № 6671 ее администратору
Соберем все составляющие Начального Экспорта в одну папку.
Для этого произведем следующие действия.
• На жестком диске создадим папку Начального Экспорта, например C:\EXP__for__6671\, куда
соберем составляющие Начального Экспорта.
• ЦУС 6670: Из каталога ЦУСа ..\NCC\New\Export\6671\ берем всю папку .. \6671\ с
экспортными адресными справочниками.
Замечание: В этих справочниках, в частности, находятся:
Список Доверенных Сертификатов, содержащий Сертификат ЭЦП УЛ сети № 6670
нового образца стандарта X509V.3 (для версии 2.8), - это файл 1A0E.trl.
Списки Отозванных Сертификатов сети № 6670 - это файлы 1 A0E_rem.crl.
Здесь 1А0Е обозначает шестнадцатеричный номер сети (6670 - 1A0E, 6671 - 1A0F).
• Копируем весь каталог ..\NCC\New\Export\6671 в папку Начального Экспорта
C:\EXP_for_6671.
• УКЦ 6670: Из каталога Ключевого Центра ..\KC\Export берем файл
..\KC\Export\1A0E1A0F.key с экспортированным ИСММК для сети № 6671.
• Копируем этот файл 1A0E1A0F.key в нашу папку Начального Экспорта -
C:\EXP_for_6671\.
• Создаем файл, в который помещаем пароль для защиты экспортируемого ИСММК, и
затем этот файл перемещаем в нашу папку - C:\EXP_for_6671\.
• Теперь всю папку Начального Экспорта C:\EXP_for_6671 \ необходимо заархивировать и
передать Администратору сети № 6671 по надежному каналу передачи данных
(например, с помощью фельдъегеря).
На этом этапе работа Администратора сети № 6670 по созданию
Начального Экспорта закончена.
Однако Администратору сети № 6670 еще предстоит принять Ответный
Экспорт из сети № 6671, на его основе создать Ключевые Наборы (ключи
шифрования) для своих узлов, которые участвуют в межсетевом взаимодействии,
и отправить Заключительный Экспорт в сеть № 6671.
Шаг 8(27)
Размещение Начального Экспорта из сети № 6670
в папках Импорта ЦУСа и УКЦ сети №6671
Администратор сети № 6671 должен принять Начальный Экспорт из сети №
6670 и разместить его файлы в папках Импорта ЦУСа и УКЦ сети № 6671
следующим образом:
ЦУС 6671:
Содержимое папки ..\EXP_for_6671\6671\*.*, состоящее из экспортных справочников
Начального Экспорта из сети № 6670, копируем в ЦУС сети № 6671 в папку ..\NCC\lmport\.
УКЦ 6671:
82
Файл с Индивидуальным СММК копируем из папки ..\EXP_for_6671\1A0E1A0F.key в
Ключевой Центр сети № 6671 в папку ..\KC\lmport\.
•Пароль для защиты импортированного ИСММК запоминаем.
•И далее переходим к процедуре импорта Начального Экспорта в ЦУСе и в УКЦ сети
№ 6671.
После размещения файлов Начального Экспорта по папкам импорта ЦУСа и
УКЦ сети №6671 нужно провести процедуру импорта данного экспорта.
Процедура импорта (приема) Начального Экспорта в ЦУСе и в УКЦ
заключается в следующем.
Процедура импорта (приема)
Начального Экспорта в ЦУСе и в УКЦ сети № 6671
и создание Ответного Экспорта
ЦУС сети №6671:
• Создание архива ЦУСа.
• Подключение межсетевого канала между СМ-шлюзами двух сетей № 6670 и №6671.
• Формирование таблиц маршрутизации в сети №6671.
• Установление связей между коллективами (между ТК) двух сетей №6670 и №6671.
• Формирование Ответного Экспорта для сети № 6670:
Выбор коллективов (ТК) и Узлов на экспорт.
Задание СМ-шлюза.
Копирование экспорта.
• Проверка отсутствия аномальных ситуаций.
• Формирование всех справочников.
УКЦ сети №6671:
• Создание экспорта с вариантами сетевых узлов для сети № 6670.
• Импорт Списка Сертификатов ЭЦП УЛ сети № 6670 и Списка Отозванных Сертификатов
сети № 6670.
• Импорт (по паролю) Индивидуального Симметричного Межсетевого Мастер-Ключа из
сети № 6670.
• Формирование новых Ключевых Наборов (ключей связи) для своих узлов (сети № 6671),
участвующих в межсетевом взаимодействии с сетью № 6670 и перенос их в свой ЦУС
(сети № 6671).
ЦУС сети №6671:
• Рассылка Ключевых Наборов и адресных справочников (обновлений) на свои узлы (сети
№ 6671).
Рабочее место Администратора сети №6671:
• Подготовка папки с Ответным Экспортом для сети № 6670.
• Передача (доверенным способом) Ответного Экспорта Администратору сети № 6670.
После выполнения перечисленных действий сеть №6671 будет готова к
межсетевому взаимодействию с сетью №6670.
Замечание: Однако сеть №6670 пока не будет готова к межсетевому
83
взаимодействию, т.к. ее администратор пока не импортировал Ответный j
Экспорт и не сделал для своих узлов ключи связи с узлами сети №6671.
Процедура импорта (приема) Начального Экспорта в ЦУСе и в УКЦ сети №
6671 и подготовка Ответного Экспорта подробно описана в шагах № 8 - №14.
Шаг 9(27)
Создание архива и подключение межсетевого канала в сети № 6671
Итак, переходим к процедуре импорта (приема) Начального Экспорта в
ЦУСе и в УКЦ сети № 6671.
Для этого загружаем ЦУС сети № 6671.
Затем мы увидим сообщение о принятых новых файлах для УКЦ: Списка
Доверенных Сертификатов сети № 6670- файла с расширением * TRL,
сертификата ЭЦП УЛ сети № 6670 - файла с расширением *.CHF и списков
отозванных сертификатов сети № 6670 - файлов с расширением *.CRL
(Рис.3.22).
1
В импорте есть новые Файпы для КЦ: TRL CHF CRL SGN |
Рис.3.22.Поступили новые справочники
Затем появляется сообщение об изменениях в импорте (Рис.3.23),
сообщение об изменении в файлах с информацией о шлюзах gt*.way с
рекомендацией проверить настройку межсетевых каналов (Рис.3.24).
Есть изменения в IMPORT.
Рекомендуется: сформировать справочники
Рис.3.23.Сообщение об изменении в импорте
V.Vv.VvAV.Vv.Vv.'
Есть изменения в Файлах gt*.way-
Проверьте настройку межсетевых каналов
Рис.3.24.Сообщение об изменении в файле шлюзов
Создание архива ЦУСа второй сети № 6671
Перед началом процедуры приема Начального Экспорта создадим на
всякий случай архив ЦУСа.
84
Для этого выбираем Службы -> Архивы баз данных и нажимаем кнопку
«Создать».
Настройка межсетевого канала
Начнем с настройки межсетевого канала.
Для этого заходим в Адресную администрацию в меню Службы -> Адресная
администрация.
Перед нами появляется сообщение об изменении конфигурации
межсетевых каналов (Рис.3.25).
Рис.3.25.Сообщение адресной администрации
Нажимаем пробел и попадаем в основное меню адресной администрации.
Выбираем пункт Межсетевые каналы.
Перед нами появляется список межсетевых каналов.
В данном случае межсетевой канал один и выключен (Рис.3.26).
Как видно, имя чужого СМ-шлюза (из первой сети №6670) задано, а своего
еще нет.
Информация о шлюзе первой сети №6670 взята из файла Начального
Экспорта gt6670.way.
Сеть *Имя'чцкого^шпюэа
Межсетевые** каналы 1
»^Номер'Имя_своего:шпюэа"^ »Сост
Е$с Возсрит§П Помощь||ЙН~Р Поиск!
Рис.3.26.Межсетевой канал выключен
Для того чтобы включить межсетевой канал, нажимаем на кнопку Enter два
раза. После первого нажатия кнопки Enter мы открываем окно выбора шлюзового
СМ, после второго нажатия на кнопку Enter мы назначаем шлюзовой СМ из
списка доступных.
В окне Межсетевые каналы появится имя своего сервера (СМ Сервер
Филиал), а Состояние изменится на Вкл (Рис.3.26)
85
Рис.3.27.Межсетевой канал включен
Замечание: Если в вашей сети несколько Серверов-маршрутизаторов, то из
их списка нужно выбрать тот, который будет выполнять роль СМ-шлюза в
сеть № 6670.
Имя выбранного СМ-шлюза вам необходимо запомнить для того,
чтобы чуть позже выбрать его при формировании Ответного Экспорта в
первую сеть.
Если в списке уже имеются межсетевые каналы, то при добавлении
нового возможны циклы, о чем ЦУС вас предупредит.
Нажимаем Esc и попадаем в основное меню программы ЦУС.
Проведение маршрутизации
Выполняем маршрутизацию, нажимая на запись Выдать таблицы
маршрутизации (Рис.3.28), и затем выходим в главное меню.
Рис.3.28.Проведение маршрутизации
86
Шаг 10(27)
Установление связей между ТК сетей №№ 6670 и 6671
Теперь необходимо установить связи коллективов (ТК), импортированных из
первой сети № 6670, с теми коллективами (ТК) сети № 6671, которые вы будете
чуть позже отправлять в качестве ОтветногоЭкспорта в сеть № 6670.
Для этого выбираем пункт меню Службы -+ Прикладная администрация ->
Регистрация типов коллективов...
В появившемся списке Типов Коллективов (Рис.3.29) мы видим три новых ТК
и справа помечено, что они принадлежат сети № 6670.
Службы Управление Файлы Окна Сервис 16:42:43
г,;^_.;;.,,,.;,, щршшшшрщ^
F1 Помощь
Рис.3.29.Список ТК с импортированными ТК из первой сети № 6670
Выбираем один из ТК первой сети № 6670, например, ТК Компьютере
(Фурманов) 6670 и нажимаем кнопку Связи.
Список связей ТК Компьютере (Фурманов) 6670 пока пустой, поэтому
нажимаем кнопку Добавить.
Поскольку по условию данного задания требуется полная связность между
сетями, т.е. связать все ТК одной сети с ТК второй сети, то нажимаем на кнопки
Все и Принять.
Теперь ТК Компьютере (Фурманов) 6670 связан со всеми ТК второй сети
№ 6671.
Нажимаем кнопку Выйти.
Повторим вышеописанные действия для всех (двух) оставшихся ТК сети №
6670 - ТК Компьютере (Буров) 6670 и ТК Сервер Офис 6670.
Теперь по нажатию кнопки Связи для любого ТК сети № 6670 мы увидим
список ТК (Рис.3.30).
87
Управление йаилъ? Окна Сервис
X
16:14:53 ж
Список ^ипов ^-коллективе Б
Тип коллектива: ТК Компьютер_1 (Фурманов)
^писок^ ^
6670
......
Рис.3.30.Список связей экспортированных ТК
Рис.3.31.
Шаг 11 (27)
Формирование Ответного Экспорта в сети № 6671 для сети № 6670
Итак, ЦУС сети № 6671 импортировал Начальный Экспорт из сети № 6670.
Теперь необходимо сформировать Ответный Экспорт в сеть № 6670.
Для этого выбираем пункт меню Службы -> Экспорт... и попадаем в меню
подготовки экспорта (Рис.3.32).
Службы Управление Файлы Окна Сервис
X;:v::|:v х;
11:39:31
" Выйти
la
оиск
ПОИСК** С::
; F1 Помощь
Рис.3.32.Окно экспорта второй сети № 6671
Как видим, здесь (Рис.3.32) уже присутствует запись для сети № 6670,
поскольку ЦУС сети № 6671 импортировал Начальный Экспорт из сети № 6670.
Нам необходимо выбрать состав Ответного Экспорта, а именно, Узлы и ТК
сети № 6671.
Выбор ТК на экспорт
Чтобы выбрать коллективы на экспорт, подсвечиваем запись 6670 и
нажимаем кнопку ТК.
Затем в появляющихся окнах последовательно нажимаем кнопки Добавить,
Все (поскольку по условию задания требуется связать все ТК второй сети с ТК
первой сети) и Принять.
Получаем окно с выбранными на экспорт ТК (Рис.3.33).
-jnjxj
Спужбы Управление Файпы Окна Сероис
15:28:19
Сеть: 6678
ТК Компьютере (Петров)^
ТК Компьютере (Васечкин")
f/X '?оиск;';"'",
•л
i щ
j П Помощь
Рис.3.33.Список экспортируемых ТК
После этой операции в папке ..NCC\Export\6670 появляется файл на экспорт
UC6671.txt со связями ТК сетей.
Выбор Узлов на экспорт
Нажимаем на кнопку Узлы и проверяем, какие Узлы выбраны.
Если список Узлов пуст, то нажимаем на кнопки Добавить, Все (так как по
условию задания требуется полная связанность), Принять и Выйти.
Замечание: В некоторых ситуациях (исходя из политики безопасности в сети),
коллектив (ТК) Администратора одной (скажем, второй) сети не связывается ни с
одним коллективом (ТК) другой (первой) сети, поэтому ТК Администратора
второй сети не отправляется на Экспорт в первую сеть, но Узел
Администратора второй сети, тем не менее, отправляется на Экспорт в
первую сеть.
В этом случае после окончания процедуры установления межсетевого
взаимодействия Администратор второй сети не будет иметь связей с
коллективами узлов второй сети, но он будет обладать ключами шифрования
трафика (на уровне сетевых узлов), что позволит ему иметь связь с ЦУСом
первой сети.
В этом случае после окончания процедуры установления межсетевого
взаимодействия Администратор второй сети не будет иметь связей с
коллективами узлов второй сети, но он будет обладать ключами шифрования
трафика (на уровне сетевых узлов), что позволит ему иметь связь с ЦУСом
первой сети.
89
Шаг 12(27)
Задание СМ-шлюза и копирование Ответного Экспорта в ЦУСе сети № 6671
Задание СМ-шлюза
Находясь в окне экспорта (Рис.3.32), нажимаем на кнопку СМ-шлюз, затем
кнопку Сменить шлюз.
Перед нами появляется окно выбора шлюзов (рис. 3.7), в котором
присутствует единственный СМ второй сети № 6671 - СМ Сервер Филиал.
Подсвечиваем его, нажимаем кнопку Принять и снова попадаем в окно
экспорта. После этой операции в папке .. NCC\new\Export\6670 появляется файл
gt6671.way.
Замечание: Если в вашей сети несколько Серверов-маршрутизаторов, то из их
списка нужно выбрать тот, который будет выполнять роль СМ-шлюза в первую
сеть, а именно, тот, который вы выбрали при настройке межсетевых каналов в
Адресной администрации ЦУСа.
Копирование Ответного Экспорта
Все, что осталось сделать, - это скопировать Ответный Экспорт в каталог по
умолчанию ...\NEW\EXPORT и выйти в основное меню ЦУСа.
Для этого нажимаем кнопку Копировать, экспорт копируется в папку
...\NEW\EXPORT, затем Принять, нажимаем на любую клавишу и потом на кнопку
Esc.
После этой операции в папке ..NCC\new\Export\6670 появляются все файлы
Экспортных адресных справочников Ответного Экспорта за исключением файла
1A0F1A0E.var с вариантами сетевых узлов второй сети № 6671, который
формируется в УКЦ сети № 6671.
Мы импортировали Начальный Экспорт в ЦУСе сети №6671. Теперь нужно
провести импорт информации Начального Экспорта в УКЦ сети №6671.
Шаг 13(27)
Проверка отсутствия аномальных ситуаций и
формирование всех справочников в ЦУСе сети № 6671
Поскольку мы задали новые связи между коллективами (ТК), необходимо
сформировать новую ключевую и адресную информацию, а для этого нужно
сначала сформировать все справочники, в которых прописана новая информация
о структуре сети.
Перед тем, как сформировать справочники, необходимо проверить
отсутствие аномальных ситуаций.
Проверка существования аномальных ситуаций
Убедиться в том, что вся информация о структуре сети была введена
правильно можно в пункте меню Службы -> Проверка конфигурации.
Если есть аномальные ситуации, то их необходимо устранить.
Формирование всех справочников
Далее переходим к формированию справочников. Для этого выбираем
Службы -> Сформировать все справочники.
При этом ЦУС анализирует структуру сети, создает справочники для
Абонентских Пунктов, Таблицы маршрутизации, Экспорт в другие сети и
90
Справочники для Удостоверяющего Ключевого Центра (УКЦ) и выдает окно
отчета (Рис.3.34).
§ Найдены новые Файлы:
| Справочники АП: 2
| Табпицы маршрутизации: 2
§ Экспорт в другие сети: 1
: Справочники для УКЦ: 4
| Затраченное время:
Рис.3.34.Анализ структуры сети после
формирования всех справочников
В данном случае ЦУС сети № 6671 создал:
Справочники для АП - их нужно будет отправить на свои Абонентские Пункты.
Таблицы маршрутизации - их нужно будет отправить на свои Серверы-
маршрутизаторы.
Экспорт в другие сети - его нужно будет передать в другие сети (в данном случае в
сеть №6671) - это и есть Ответный экспорт в первую сеть №6670 без файла 1A0F1A0E.var
с вариантами сетевых узлов второй сети № 6671, который будет сформирован в УКЦ сети №
6671 и помещен в эти экспортные справочники чуть позже.
Справочники для Удостоверяющего Ключевого Центра (УКЦ) - наличие этих
справочников сигнализирует о том, что в УКЦ вам нужно сделать новую ключевую
информацию для сетевых узлов вашей сети, поскольку они теперь связаны с узлами первой
сети №6670 и им требуются ключи связи (шифрования) с узлами первой сети.
Справочники для Удостоверяющего Ключевого Центра помещаются в папку
обмена ЦУСа с Ключевым Центром - ..\ViPNet[AflMHHHCTpaTop]\From_NCC.
Шаг 14(27)
Импорт Списка Сертификатов ЭЦП УЛ и Списка Отозванных Сертификатов первой сети №
6670 в УКЦ второй сети № 6671
Переходим в УКЦ сети № 6671 в данном случае по трем причинам:
поскольку в ЦУСе сети №6671 сформированы справочники для УКЦ с целью создания
ключей связи своих узлов (сети №6671) с узлами сети №6670;
поскольку из сети №6670 пришел Начальный Экспорт, в состав которого входят
компоненты, которые нужно импортировать в УКЦ сети №6671, а именно, Симметричный
Межсетевой Мастер-Ключ, Справочник Отозванных Сертификатов (СОС) из сети №6670 и
Справочники сертификатов ЭЦП администраторов сети № 6670;
поскольку в УКЦ сети №6671 необходимо сформировать файлы для Ответного
Экспорта в сеть №6670.
Итак, загружаем УКЦ сети № 6671.
91
Появляется сообщение «Обнаружен справочник сертификатов ЭЦП
Уполномоченных Лиц из смежной сети. Вы желаете импортировать его
сейчас?» (Рис.3.35).
7
Обнаружен справочник сертификатов
администраторов из доверенной сети ViPNet.
Вы желаете импортировать его сейчас?
Да
Нет
Рис.3.35.Предложение об импорте сертификатов ЭЦП
Администраторов
Отвечаем «Да».
Появляется окно со списком справочников сертификатов ЭЦП
Администраторов из других сетей (в данном случае из сети № 6670) (Рис.3.36).
Сеть 1А0Е
~>0 Компьютер,. 1 (Фург
Владелец сер... Издатель
Серийный номер Действ... Действ... Стату
> Сертификат I Импорт сертификата ! Показывать: Все сертификаты
Рис.3.36.Импорт сертификатов ЭЦП
Администраторе из других сетей
Выделяем первую из записей Сеть <6670> и нажимаем кнопку
Просмотреть сертификат ЭЦП.
Появляется окно (Рис.3.37), в котором можно посмотреть сам сертификат
ЭЦП УЛ, дату создания и срок окончания действия подписи.
92
ибщие Состав Путь сертификации
Сведения о сертификате
Этот сертификат:
♦Обеспечивает получение идентификации от
у д а л е н н о г о к о м п ь ю т е р а
♦ Подтверждает удаленному компьютеру
идентификацию вашего компьютера
♦Подтверждает, что программное обеспечение
получено от конкретного издателя
Кому выдан: Компьютеру (Фурманов)
Кем выдан: Компьютере (Фурманов)
Действителен с 02.07,2008 по 02.07,2010
)• Установить сертификат.,,
I ОК
Рис.3.37.Просмотр сертификата ЭЦП УЛ сети № 6670
Нажимаем кнопку ОК. Напротив записи Сеть <6670> (Рис.3.38) появится
галочка, после этого можно импортировать справочники сертификатов ЭЦП
Администраторов сети № 6670.
Сеть iauE
Н Компьютер^! (Фург
Владелец пер,,. Издатель
Серийный номер Действ... Действ... Статус
> I Сертификат I Импорт сертификата | Показывать: j Все сертификаты
Рис.3.38.Просмотр и импорт сертификатов ЭЦП
Администраторв из других сетей
Нажимаем на кнопку Импорт (Рис.3.38), в появившемся окне (Ошибка!
Источник ссылки не найден.) нажимаем кнопку ОК, потом еще раз ОК.
93
Рис.3.39.
Внимание! Только после того, как подпись была просмотрена, ее можно
импортировать!
Затем, если имеются другие справочники (Рис.3.38), то проделываем эти же
действия по импорту второго сертификата ЭЦП УЛ сети 6670. Как только окно
импорта (Рис.3.38) станет пустым, нажимаем Закрыть.
Далее появляется сообщение «Обнаружен справочник отозванных
сертификатов из смежной сети. Вы желаете импортировать его сейчас?»
(Рис.3.40).
ШТегТ^ j
! t 't'Hdpy * г^Пр-JE 'ЧНИЬ "Т" E-lHHtl < ^рТИфИЬ -il* 'В И \-W t Н' -И С^ТИ
| *г В ь I же л а ете и м п о рти р о в ать е го с е и час?
No
Рис.3.40.Предложение об импорте справочника СОС
Отвечаем «Да».
После этого появится окно импорта справочников отозванных сертификатов
ЭЦП абонентов из других сетей (Рис.3.41).
, * f£f Сеть <Ь670>
Рис.3.41.Импорт СОС
Замечание: Список справочников отозванных сертификатов ЭЦП абонентов из
других сетей является важной составляющей экспорта в другую сеть.
Этот список появляется даже в случае, если он является пустым. С
течением времени по той или иной причине в него будут помещаться
сертификаты, отозванные Главным Абонентом. Эту информацию, естественно,
должны знать пользователи из других сетей, с которыми имеется межсетевое
взаимодействие.
Выделяем запись Сеть <6670>) нажимаем кнопку Импорт и два раза ОК
(Рис.3.42).
94
? Импортировать справочник отозванных сертификатов ЭЦП
•*' аоонентов из сети оь / и:••
Cancel
J I If mpT СПр С ЧН! IKa Г TO Е iHHblX и^рТИ JI IKdTuB ^ЦП
абонентов завершен.
OK
Рис.3.42.Импорт СОС
Как только окно импорта станет пустым, нажимаем Закрыть.
Далее появляется окно с предложением провести обновление ключевых
наборов в связи с импортом сертификатов ЭЦП Администраторв смежных сетей
(Рис.3.43).
Изменились справочники сертификатов администраторов смежных сетей. Необходимо
обновить ключевые наборы для сетевых узлов. Произвести обновление сейчас?
No
Рис.3.43.Вопрос о начале обновления ключевых наборов СУ
Можно ответить «Нет».
Замечание: Если вы проводите первоначальную установку межсетевого
взаимодействия, то можно ответить «Нет», т.к. далее вам все равно придется
импортировать ММК и формировать КН для своих пользователей.
Если же межсетевое взаимодействие у вас уже функционирует и к вам в сеть
пришла новая информация из смежных сетей, то можно ответить «Да» и затем
перенести обновленные КН в ЦУС для последующей рассылки обновленных КН
своим пользователям.
Шаг 15(27)
Импорт ИСММК из сети № 6670
Мы импортировали списки сертификатов УЛ и списки отозванных
сертификатов из сети № 6670.
Кроме того, мы пока отказались от формирования новой ключевой
информации, имеющей отношение к установлению межсетевого взаимодействия.
Это связано с тем, что пока не был импортирован из сети № 6670
Индивидуальный Симметричный Межсетевой Мастер-ключ (ИСММК), с помощью
которого формируются новые ключи для межсетевого взаимодействия.
Перейдем к импорту ИСММК.
Замечание: При использовании Симметричных Межсетевых Мастер-Ключей их
достаточно создать только в одной сети (обычно в той сети, которая формирует
Начальный Экспорт).
В нашем случае ИСММК создан в сети № 6670 и формировать ИСММК в
сети № 6671 не требуется, достаточно импортировать ИСММК, созданный в
сети № 6670, и далее воспользоваться им для формирования ключевой
информации для связи сетей № 6670 и №6671.
95
Для импорта ИСММК выбираем раздел Ключевой центр -> Доверенные
сети ViPNet -> Мастер Ключи -> Входящие (Рис.3.44).
>■• i-CNoTc £ I ИГ: <!»3 V
Бсего: 1 Наймно:! Бь-^елего: i 05.03.2003 13:57 fG^ ^03:00?
Рис.3.44.Импорт межсетевых мастер-ключей
Нажимаем на правую кнопку мыши и в контекстном меню выбираем
Импортировать
Далее в появившемся окне необходимо ввести тот самый пароль защиты
ИСММК, который выдал УКЦ сети № 6670 при его экспортировании. Вводим
пароль и потом ОК.
После импорта ИСММК он появляется в Ключевой центр -> Доверенные
сети ViPNet -> Мастер Ключи -> Текущие.
Теперь осталось только ввести в действие импортированый ИСММК.
(Рис.3.45)
Довеземте сети V=?Ne1
>. v Искать б: : Тип «теме
Всего:! Найдено:! Выделено: 0 0-.03.200S 16:33 (GMT+03:00}
Рис.3.45.Ввод в действие Мастер-ключа смежных сетей
96
Все, что нам осталось сделать в УКЦ, - сформировать КН, и экспортировать
справочники сертификатов ЭЦП для узлов сети № 6671 и перенести их в ЦУС для
рассылки в виде обновлений и экспорта
Шаг 16(27)
Формирование новых КН в УКЦ сети № 6671 и перенос их в ЦУС
Только после того, как мы импортировали ИСММК, можно приступать к
формированию новой ключевой информации для узлов сети № 6671, коллективы
которых связаны с коллективами, экспортированными из сети № 6670.
Выбираем Сервис —> АвтоматическиСоздать^ ключевые наборы:
Замечание: При первоначальной настройке УКЦ мы не устанавливали опцию
Автоматически переносить в ЦУС готовые ключи (не рекомендуется устанавливать эту
опцию).
Переносим вновь созданные КН в ЦУС.
Нажимаем на кнопку ОК и выходим из УКЦ.
Шаг 17(27)
Рассылка обновлений из ЦУСа сети № 6671
Запускаем ЦУС сети № 6671.
Перед нами появляются информационные окна, сообщающие о поступлении
в ЦУС списка корневых сертификатов, а также информации об изменении
вариантов сетевых узлов и новой ключевой информации (Рис.3.46).
На вопрос «Отправить экспорт?» отвечаем «Нет», т.к. пока нет ключей для
связи с сетью № 6670.
Из УКЦ поступил список корневых сертификатов
Из УКЦ поступила инф-ция об изменении вариантов сетевых узлов
Отправить экспорт?
97
Из УКЦ поступили новые ключи для АП
Отправить ключи?
Рис.3.46.Информационные окна
На вопрос об отправке ключей отвечаем утвердительно и в появившемся
окне:
Нажимаем кнопки Все и Отправить.
Изменяем дату обновления на «прошедшее число».
Нажимаем кнопку Принять, а потом Выйти.
Теперь отправим адресные справочники. Для этого:
Выбираем пункт меню Управление -> Отправить измененные файлы -> Справочники
АПиСМ...
В появившемся окне нажимаем кнопки Все и Отправить.
Изменяем дату обновления на «прошедшее число».
Нажимаем кнопку Принять, а потом Выйти (в реальной ситуации можно ставить любую
дату).
Выходим из ЦУСа.
Шаг 18(27)
Передача Ответного Экспорта для сети № 6670 ее администратору
Напомним, что Ответный Экспорт для случая Симметричного ММК
содержит 1 (одну) составляющую:
Экспортные справочники, которые готовятся в ЦУСе и УКЦ второй сети.
Поместим Ответный Экспорт в папку.
Для этого производим следующие действия.
На жестком диске создадим папку Ответного Экспорта, например C:\EXP_for_6670\, куда
помещаем Ответный Экспорт.
ЦУС 6671: Из каталога ЦУСа ..\NCC\New\Export\6670\ берем экспортные адресные
справочники (этот путь был установлен по умолчанию - Шаг 11).
Замечание: В этих справочниках, в частности, находятся:
Сертификат ЭЦП УЛ сети № 6671 старого образца (для версии 2.7) - это файл 1 AOF.chf.
Список Доверенных Сертификатов, содержащий Сертификат ЭЦП УЛ сети № 6671
нового образца стандарта X509v.3 (для версии 2.8), - это файл 1A0F.trl.
Списки Отозванных Сертификатов сети № 6670 - это файлы 1AOF _rem.crl.
98
Файл 1A0F1A0E.var с вариантами сетевых узлов второй сети № 6671, коллективы
которых связаны с коллективами первой сети №6670.
Здесь 1A0F обозначает шестнадцатеричный номер сети (6671 - 1A0F, 6670 - 1А0Е).
Копируем весь каталог ..\NCC\New\Export\6670 в папку Ответного Экспорта
C:\EXP_for_6670.
Теперь всю папку Ответного Экспорта C:\EXP_for_6670\ необходимо заархивировать и
передать Администратору сети № 6670 по надежному каналу передачи данных (например, с
помощью фельдъегеря).
На этом работа Администратора сети № 6671 по установлению межсетевого
взаимодействия закончена.
Далее Администратор сети № 6671 (поле импорта Ответного Экспорта в сети № 6670)
должен перейти к шагу № 26 данного занятия и сделать следующее:
проверить правильность процедуры установления межсетевого взаимодействия;
принять Заключительный Экспорт из сети № 6670.
Шаг 19(27)
Размещение Ответного Экспорта из сети № 6671
в папках Импорта ЦУСа и УКЦ сети №6670
Администратор первой сети № 6670 принимает Ответный Экспорт из сети №
6671 и размещает его файлы в папках Импорта ЦУСа и УКЦ сети №6670
следующим образом:
ЦУС 6670:
Содержимое папки ..\EXP_for_6670\6670W*, состоящее из экспортных справочников
Ответного Экспорта из сети № 6671, копируем в ЦУС сети № 6670 в папку ..\NCC\Import\.
И далее переходим к процедуре импорта Ответного Экспорта в ЦУСе и в УКЦ сети № 6670.
После размещения файлов Ответного Экспорта по папкам импорта ЦУСа и
УКЦ сети №6670 нужно провести процедуру импорта Ответного экспорта.
Процедура импорта (приема)
Ответного Экспорта в ЦУСе и в УКЦ сети № 6670
и создание Заключительного Экспорта в сеть № 6671
ЦУС сети №6670:
• Создание архива ЦУСа.
• Подключение межсетевого канала между СМ-шлюзами двух сетей № 6670 и №6671.
• Проведение маршрутизации.
• Проверка связей между коллективами (между ТК) двух сетей №6670 и №6671.
• Проверка отсутствия аномальных ситуаций.
• Формирование всех справочников (формирование Заключительного Экспорта в ЦУСе).
УКЦ сети №6670:
• Создание экспорта с вариантами сетевых узлов для сети (формирование
Заключительного Экспорта в УКЦ).
• Импорт Списка Сертификатов ЭЦП УЛ сети № 6671 и Списка Отозванных Сертификатов
сети № 6671.
99
Создание архива ЦУСа первой сети № 6670
Перед началом процедуры импорта Ответного Экспорта создадим на всякий
случай архив ЦУСа.
Для этого нажимаем Службы->Архивы баз данных и нажимаем кнопку
«Создать».
Настройка межсетевого канала
Теперь необходимо настроить межсетевой канал, который включается в
Адресной администрации.
Для этого выбираем пункт меню Службы Адресная администрация ->
Адреса в сети «Инфотекс»...
Перед нами появляется сообщение об «Изменении конфигурации
межсетевых каналов».
Нажимаем пробел и попадаем в основное меню адресной администрации.
Выбираем пункт Межсетевые каналы.
Перед нами появляется список межсетевых каналов.
В данном случае межсетевой канал один и пока выключен (Рис.3.50).
Рис.3.50.Межсетевой канал выключен
Нетрудно видеть, что имя чужого СМ-шлюза задано, а своего еще нет.
Для того, чтобы включить межсетевой канал, нажимаем на кнопку Enter два
раза - внизу окна появится имя своего сервера (СМ Сервер Офис), а состояние
изменится на Вкл (Рис.3.51).
101
Рис.3.51.Межсетевой канал включен
Нажимаем Esc и попадаем в основное меню.
Замечание: Если в вашей сети несколько Серверов-маршрутизаторов, то из
их списка нужно выбрать тот, который выбран в качестве СМ-шлюза в
Экспорте во вторую сеть № 6671.
Проведение маршрутизации
Выполним маршрутизацию. Для чего нажимаем на запись Выдать таблицы
маршрутизации и выходим в главное меню ЦУСа (нажимаем Esc).
Шаг 21(27)
Проверка наличия связей между ТК сетей №№ 6670 и 6671
В справочниках связей Ответного Экспорта уже содержится информация о
тех связях между ТК двух сетей, которые установил администратор сети № 6671.
Поэтому устанавливать эти связи в ЦУСе сети № 6670 не требуется. Мы просто
проверим, что все сделано правильно и что связи между ТК сетей №№ 6670 и
6671 установлены.
Для этого выбираем пункт меню Службы -> Прикладная администрация ->
Регистрация типов коллективов.
В появившемся списке типов коллективов должны быть также ТК из сети №
6671 (Рис.3.52).
102
Службы Управление Файлы Окна Сервис
09:5i:33 \
ТК Компьютере <Буров>
ТК Коипь.ютер_3 <Петров>
ТК Компьютере <Васечкян>
ТК Сервер Офис
ТК Сервер Филиал
6671 |
1
6671 I
->Гдалйтьг^
' класть XV—
Поиек~су
F1 Помощь
Рис.3.52.Список ТК после приема экспорта
Для контроля установленных связей поочередно просмотрим связи
коллективов (ТК) своей сети № 6670 (или сети № 6671).
Например, для Фурманова список связей будет иметь вид, представленный
на Рис.3.53.
П X
Службы Управление Файлы Окна Сервис 09:53:25
:^ 4 4 4 чл : „ чч. У:, Л \ ;u \ ЧШ«Щ
11
^ Тип коллектива: ТК Компыотер_1 <Фурманов>
1 -
I
1^
*^ч
ТК Компьютере <Петррв>
ТК Компьютере СВасечкйн} 1
ТК Сервер Офис 4> »<
ТК Сервер Филиал s > ~ г
6671
6671
6671 |
*- Удалить
щ
| Г" выйти- W^m
F1 Помощь ftlt-X Выйти F10 Меню
Рис.3.53.Список связей ТК Компьютере (Фурманов)
Замечание: При отсутствии каких-либо связей в список связей добавьте
нужные связи, нажав кнопку «Добавить»
Замечание: В некоторых ситуациях (исходя из политики безопасности), ТК
Администратора сети не связывается ни с одним ТК.
После проверки связей Типов Коллективов сетей №№ 6670 и 6671
переходим к формированию всех справочников и затем к формированию в УКЦ
новых Ключевых Наборов для своих Сетевых Узлов, которые участвуют в
межсетевом взаимодействии.
103
Шаг 22(27)
Проверка отсутствия аномальных ситуаций и
формирование всех справочников в ЦУСе сети № 6670
Перед тем, как сформировать справочники, необходимо проверить
отсутствие аномальных ситуаций.
Проверка существования аномальных ситуаций
Убедиться в том, что вся информация о структуре сети была введена
правильно можно в пункте меню Службы -> Проверка конфигурации.
Если есть аномальные ситуации, то их необходимо устранить.
Формирование всех справочников
Поскольку мы импортировали Ответный Экспорт из сети №6671, то
произошли изменения в структуре нашей сети.
Следовательно, далее мы должны сформировать все справочники.
Для этого нажимаем Службы -> Сформировать все справочники.
При этом ЦУС анализирует структуру сети и создает новые Справочники АП, Таблицы
маршрутизации, Экспорт в сеть 6671, Файлы для своего УКЦ и выдает окно отчета такого же
типа, что и окно, представленное на Рис.3.34.
Внимание! Не спешите закрывать окно отчета после формирования всех
справочников.
Внимательно посмотрите, какие новые файлы найдены.
От того, какие новые файлы найдены, зависит ваша дальнейшая работа с
программами ЦУС и УКЦ.
Создайте себе привычку - делать в этом месте паузу для
планирования дальнейших своих действий.
В данном случае ЦУС сети №6670 создал;
Справочники для АП - их нужно будет отправить на свои Абонентские Пункты.
Таблицы маршрутизации - их нужно будет отправить на свои Серверы-
маршрутизаторы.
Экспорт в другие сети - его нужно будет передать в другие сети (в данном случае в
сеть №6671) - это и есть Заключительный экспорт во вторую сеть №6671.
Справочники для Удостоверяющего Ключевого Центра (УКЦ) - наличие этих
справочников сигнализирует о том, что в УКЦ вам нужно сделать новую ключевую
информацию для сетевых узлов вашей сети, поскольку они теперь связаны с узлами сети
№6671 и им нужны ключи шифрования.
Справочники для Удостоверяющего Ключевого Центра помещаются в папку
обмена с Ключевым Центром - ..\ViPNet[AflMHHHCTpaTop]\From_NCC.
104
• Формирование новых Ключевых Наборов (ключей связи) для своих узлов, участвующих в
межсетевом взаимодействии с сетью № 6671 и перенос их в свой ЦУС.
• Рассылка новых Ключевых Наборов и адресных справочников (обновлений) на свои узлы
(сети № 6670).
• Проверка установления межсетевого взаимодействия с сетью № 6671.
• Отправка по межсетевому каналу связи Заключительного Экспорта Администратору сети
№ 6671.
После выполнения перечисленных действий сеть №6670 будет готова к
межсетевому взаимодействию с сетью №6671.
Процедура импорта Ответного Экспорта и отправка Заключительного
Экспорта в ЦУСе и в УКЦ сети № 6670 подробно описана в шагах № 19 - №26.
Итак, переходим к процедуре импорта (приема) Ответного Экспорта и
формированию Заключительного Экспорта в ЦУСе и в УКЦ сети № 6670.
Для этого загружаем ЦУС сети № 6670.
Перед нами появляется сообщение (Рис.3.47).
В импорте есть новые Файлы для КЦ: TRL CHF CRL SGN UAR
Нажимаем любую клавишу и перед нами появляются окна (Рис.3.48 -
Рис.3.49).
ЦУС сети №6670:
Шаг 20(27)
Подключение межсетевого канала в ЦУСе сети № 6670
Рис.3.47.Поступили новые справочники
Рис.3.48.Рекомендация по формированию справочников
Есть изменения в Файлах gt**„ way -
Проверьте настройку межсетевых каналов
Рис.3.49.Рекомендация по настройке межсетевых каналов
100
Шаг 23 (27)
Импорт Списка Сертификатов ЭЦП УЛ второй сети в УКЦ первой сети
Переходим в УКЦ сети № 6670 в данном случае по двум причинам:
поскольку в ЦУСе сети №6670 сформированы справочники для УКЦ с целью создания
ключей связи своих узлов (сети №6670) с узлами сети №6671;
поскольку из сети №6670 пришел Ответный Экспорт, в состав которого входят
компоненты, которые нужно импортировать в УКЦ сети №6670, а именно, Справочник
Отозванных Сертификатов (СОС) из сети №6671 и Справочники сертификатов ЭЦП УЛ сети №
6671.
Загружаем УКЦ сети № 6670.
Как и в УКЦ сети № 6671, перед нами появляется сообщение «Обнаружено
изменение в составе смежных сетей. Создать экспорт с вариантами сетевых
узлов для смежных сетей?» о создании экспорта с вариантами сетевых узлов для
смежных сетей.
На данный вопрос отвечаем утвердительно «Да».
В результате этой операции формируется файл 1А0Е1 AOF.var с вариантами
сетевых узлов сети № 6670, коллективы которых связаны с коллективами сети
№6671.
Файл 1А0Е1 AOF.var помещается в экспортные справочники
Заключительного Экспорта ..NCC\New\Export. Данный файл особенно важен
для обеспечения нормальной работы в случае компрометации ключей в одной из
взаимодействующих сетей.
Далее появляется окно с предложением провести обновление ключевых
наборов в связи с импортом сертификатов Администраторов смежных сетей
(см.Рис.3.43).
На этот вопрос можно ответить «Нет».
Замечание: Если вы проводите первоначальную установку межсетевого
взаимодействия, то можно ответить «Нет».
Если же межсетевое взаимодействие у вас уже функционирует и к вам в сеть
пришла новая информация из смежных сетей, то можно ответить «Да» и затем
перенести обновленные КН в ЦУС для последующей рассылки обновленных КН
своим пользователям.
После предложения о вводе пароля Администратора (Фурманова)
появляется сообщение «Обнаружен справочник сертификатов ЭЦП УЛ из
смежной сети. Вы желаете импортировать его сейчас?» (Рис.3.54).
Рис.3.54.Информация об обнаружении справочников сертификатов
ЭЦП Администраторов из смежных сетей
Отвечаем «Да» и перед нами появляется окно со списком справочников
сертификатов ЭЦП УЛ из других сетей (Рис.3.55).
Обнаружен справочник сертификатов
администраторов из доверенной сети ViPNet.
Бы желаете импортировать его сейчас?
Нет
105
->й Компьютер_3 (Петр
Владелец сер... Издатель Серийный номер Действ... Действ... Статус
L J Компьютер^.. Компьютер_3 ... 01С8 DC09 С15... 02.07.2... 02.07.2... Деист..
Показывать: Все сертификаты
Рис.3.55.Окно импорта ЭЦП Администраторов
Выделяем по очереди все предложенные записи и нажимаем кнопку
Просмотреть сертификат.
Появляется окно просмотра сертификата (Рис.3.56), в котором нажимаем
кнопку ОК.
Если сертификатов несколько, то просматриваем все сертификаты.
s ОЬщпе Состав Путь сертификации
^rrr^J Сведения о сертификате
Этот сертификат:
♦Обеспечивает получение идентификации от
удаленного компьютера
♦ Подтверждает удаленному компьютеру
идентификацию вашего компьютера
♦ Подтверждает, что программное обеспечение
получено от конкретного издателя
Кому выдан: Компьютер^ (Петров)
Кем выдан: Компьютер_3 (Петров)
Действителен с 02.07.200S по 02,07,2010
[ Установить сертификат.,,
Рис.3.56.Просмотр сертификата ЭЦП Уполномоченного лица сети № 6671
Внимание! Только после того, как сертификат будет просмотрен, его можно
импортировать!
Нажимаем на кнопку Импорт (Рис.3.55) и Закрыть. Импорт сертификата
ЭЦП УЛ сети № 6671 завершен.
106
Шаг 24(27)
Импорт Списка Отозванных Сертификатов из второй сети № 6671
После того, как мы импортировали сертификаты ЭЦП УЛ сети № 6671,
появляется сообщение «Обнаружен справочник отозванных сертификатов из
смежной сети. Вы желаете импортировать его сейчас?»
Отвечаем «Да». Выделяем запись Сеть <6671>, нажимаем кнопку Импорт и
два раза нажимаем ОК.
Шаг 25(27)
Формирование новых КН в УКЦ сети № 6670 и перенос их в ЦУС
После того, как мы импортировали сертификаты ЭЦП Уполномоченных лиц
сети № 6671 и списки отозванных сертификатов, можно перейти к формированию
новой ключевой информации для узлов своей сети № 6670, коллективы которых
связаны с коллективами, экспортированными из второй сети № 6671.
Появляются два окна (Рис.3.57) с предложением обновить ключевые наборы
для сетевых узлов и сформировать новые ключевые наборы для всех связанных
с ними сетевых узлов своей сети.
11-:мен11 щ 1«:ь спрзьочн v- \ i cepTi ф ih =itub адг-u ihi 1стр_1ТороБ смел ны сетей
Нйг.6 одимо обновить кпы'ЧёЕые наборы дня сет^вьь узлоб Произвести
обновление сей час ?
№
i 7 Поступила информация об изменении вариантов сетевых узлов смежных сетей.
Же паете сформировать новые ключевые наборы для всех связанных с ними
с етевы >: у з нов своей сети?
Yes I No
Рис.3.57.Вопрос о начале обновления ключевых наборов СУ
На первый вопрос отвечаем «Нет», а на второй отвечаем «Да»
Замечание: Если вы нажмете «Нет», то процедуру обновления и
формирования ключевых наборов для сетевых узлов своей сети можно
осуществить, выбрав пункт меню Сервис -> Автоматически создать. ->
Ключевые наборы
Новые Ключевые Наборы (КН) необходимо перенести в ЦУС и разослать в виде
обновлений ключевой информации своим узлам.
Нажимаем на кнопку ОК и выходим из УКЦ.
Текже необходимо провести экспорт справочников сертификатов УЛ и СОС. Для этого
выбираем Сервис -> Экспорт справочников
107
Шаг 26(27)
Рассылка обновлений Ключевых Наборов и адресных справочников
из ЦУСа сети № 6670
Запускаем ЦУС сети № 6670.
Перед нами появляется целый ряд сообщений (Рис.3.58)
Из УКЦ поступил список корневых сертификатов
ажните
$ Из УКЦ поступила инф-ция об изменении вариантов сетевых узлов
Рис.3.58.Информационные сообщения
На вопрос об отправке экспорта отвечаем «Нет», так как пока защищенный межсетевой
канал не установлен, и, следовательно, Заключительный Экспорт во вторую сеть отправлен не
будет.
Также появляются сообщения о поступлении новых ключей для АП и вопрос об отправке
ключей (Рис.3.59).
Рис.3.59.Информационные сообщения
108
Отправка Ключевых Наборов
Сначала на узлы своей сети отправим обновления Ключевых Наборов, а
затем обновления Адресных справочников. Для этого:
Выбираем пункт меню Управление —> Отправить измененные файлы -> Ключевые
набора для СУ... .
После ввода пароля УЛ появляется окно (Рис.3.60), в котором нажимаем кнопки Все и
Отправить.
F1 Помощь
Рис.3.60.Список КН для отправки
Меняем дату обновления на «прошедшее число», чтобы обновление прошло сразу, и
нажимаем кнопку Принять, а потом Выйти.
Отправка адресных справочников
Теперь отправим обновления адресных справочников. Для этого:
Выбираем пункт меню Управление -> Отправить измененные файлы -> Справочники
АПиСМ...
В появившемся окне нажимаем кнопки Все и Отправить.
Изменяем дату обновления на «прошедшее число», чтобы обновление прошло сразу, и
нажимаем кнопку Принять, а потом Выйти.
После того, как обновления ключей и справочников дойдут до узлов своей
сети, в том числе до узла Администратора сети № 6670 (Фурманова), и вступят в
силу, в окне Защищенная сеть программы Монитор этих узлов появятся
фильтры для узлов второй сети №6671, с которыми имеется связь на уровне
коллективов.
В этом случае узлы первой сети № 6670 будут готовы к межсетевому
взаимодействию с узлами второй сети № 6671.
Внимание! Мы пока не отправили Заключительный Экспорт, который имеется
в пункте меню Управление -> Отправить измененные файлы -> Экспорт,
поскольку мы ответили «Нет» на вопрос об отправке экспорта из-за того, что у
нас пока не было защищенного межсетевого соединения.
Далее Администратор сети № 6670 должен перейти к заключительному шагу
№26 данного занятия, на котором он должен:
109
проверить правильность процедуры установления межсетевого взаимодействия;
и отправить Заключительный Экспорт в сеть № 6671.
Шаг 27(27)
Проверка правильности выполненной процедуры установления межсетевого
взаимодействия и отправка (и прием) Заключительного Экспорта
Проверка правильности установления межсетевого взаимодействия в сети № 6670
Загружаем программу Монитор Администратора сети № 6670 (Фурманова) и
перенастраиваем (в учебном классе) транспортный модуль MFTP на работу по
каналу «MFTP», как мы это делали в Практическом занятии № 2 (шаг № 8).
Замечание: В вашей организации на своем рабочем месте Администратора
защищенной сети вы можете оставить прежний канал транспортного модуля
«Через сервер».
После перенастройки транспортного модуля принимаем обновление
справочников и ключевой информации на узле Администратора - на АП
Компьютере (Фурманов), как в Практическом занятии № 2 (шаг № 9).
После успешного прохождения обновления ключевой информации и
адресных справочников и перезагрузки программы Монитор в окне Защищенная
сеть должны появиться новые фильтры для узлов второй сети № 6671, с
коллективами которых Администратор сети № 6670 имеет связь (Рис.3.61).
| Выход Сервис Действия Вид Справка
: Принято..,
» !
; 2" ViPNet Client I <т<
Защищенная сеУь
* - ^f*< ^ \„7 *: V; |
j j Qj" <1Р-паке;ТЫ веек адресатов::*
i г Избранное \ +
[ ] у ^.Широковещательные IP-пакеты всех адресатов>
!! " \ Открытая сеть \
*• Избранное :
i - Блокированные IP-пакеты \
VA ьк1 АП Компьютер 1 (Фурманов)
I tyf Настройка \
□ J ■ ф ~ -
! Режимы \
( | 4%jb&JLamiwX\Tr_p„3 (^и^двИVPN N?6671)
i £VJ Статистика IP-пакетов !
1 - Г-1» Настройки Jr
0 S{ СМ Сервер Оф;к:
% г i Дополнительно / \
,r-7j v& f ^< Ррьер фигмая (VPN |N«hh /1) \
% < Для фильтров V \
J
i • х Обнаружение атак
У
f - .»■■■>' Журнал IP-пакетов \
^^^^ ^^^^
i Настройка журнала \
\ - \ Конфигурации \
% Основная конфигурация
1 % И О 14 / м
Рис.3.61 .Окно Монитора после проведенного обновления
Отсутствие ошибок и правильный набор фильтров в окне Защищенная сеть
- показатель того, что Вы все сделали правильно.
110
Отправка Заключительного Экспорта в сеть № 6671 Администратором сети № 6670
Поскольку у нас появился защищенный канал связи с сетью №6671, то мы
теперь можем отправить Заключительный Экспорт в сеть № 6671.
В данном случае Заключительный Экспорт содержит все файлы (Рис.3.62),
три из которых новые. Это:
файл 1А0Е1 AOF.var - с вариантами сетевых узлов сети №6670, которые участвуют в
межсетевом взаимодействии с сетью № 6671;
файл 1A0E.tr! - список сертификатов ЭЦП УЛ сети №6670;
файл UC6670.txt - справочник, в котором прописаны связи коллективов своих узлов
(сети №6670) с коллективами сети №6671, которые участвуют в межсетевом взаимодействии
этих сетей.
Файл Правка Вид Избранное Сервис Справка
■ Назад
Поис
Папки
Папки
\Program Files\InfоTeС\'
+ J FORJ-JCC
•+■ ;3 FROM_NCC
+ КС
- NCC
J ABM
ap
, APDB
'] ARC
DE:
+. j EXPORT
'+ ") IMPORT
„/ MAP
J MSK
- л , NEW
+ ) APDB
'iPNet Admini5trator\NCC\NEW\EXPORT\6670
x ^ 1A0F1AUE.VAR
^ .Щ 1A0F.TRL
Q 1A0F_REM.CRL
AL6671.TXT
AN6671.TXT
BC6671.TXT
DC6671.TXT
■ EN6671.TXT
jif GT6671.WAY
IP6671.TXT
Nijb6"?l.TXT
NN6671.TXT
' TIJ6671.TXT
UC6671.TXT
UL6671.TXT
" UN6671.TXT
j Переход
Рис.3.62.Состав Заключительного Экспорта в сеть № 6671
Для отправки Заключительного Экспорта в ЦУСе сети №6670 произведем
следующие действия:
Выбираем пункт меню Управление -> Отправить измененные файлы -> Экспорт.
Из списка сетей выбираем нужный номер сети - в данном случае №6671.
Нажимаем кнопку Отправить.
Проверка правильности установления межсетевого взаимодействия в сети № 6671
Замечание: Проверка правильности установления межсетевого
взаимодействия в сети производится аналогичным образом.
Импорт Заключительного Экспорта Администратором сети № 6671
Поскольку между сетями появился защищенный канал связи, то
Администратор сети № 6671 (Петров) в своем ЦУСе (если программа ЦУС
загружена) получит сообщение (Рис.3.63) о приеме Заключительного Экспорта из
сети № 6670.
111
Замечание: Если ЦУС сети № 6671 не загружен, то после загрузки появится
сообщение об изменении в импорте, представленное на Рис.3.23.
Имеется необработанный импорт. Обработать его сейчас?
Рис.3.63.Соообщение о появлении Заключительного Экспорта
в ЦУСе сети № 6671
Заключительный Экспорт из сети №6670 необходимо импортировать.
На вопрос «Обработать его сейчас?» можно ответить «Нет» и посмотреть
отличия в импорте.
Для этого вызываем Службы ~> Необработанный импорт -> Отличия
(Рис.3.64).
Рис.3.64.0кно «Необработанный импорт»
И далее нажимаем кнопку Отличия (Рис.3.65).
Рис.3.65.Отличия в необработанном импорте после приема
Заключительного Экспорта
112
Если на вопрос «Имеется необработанный импорт. Обработать его
сейчас?» ответить «Да», то вы сразу попадаете в окно Необработанный импорт
и там можете посмотреть Отличия в импорте.
Замечание: До приема импорта (на случай непредвиденных ситуаций) можно
создать архив ЦУСа. Для этого нужно зайти в Службы -> Архивы баз данных ->
Создать.
Если в процессе приема импорта вы допустили какую-либо ошибку, то
можно будет зайти в Службы -> Архивы баз данных, выбрать созданный архив и
нажать Восстановить.
Просмотрев Отличия в импорте, обрабатываем импорт, нажав Обработать
(см. Рис.3.64).
Появляется сообщение (Рис.3.66):
Рис.3.66.Информационное окно импорта в ЦУСе
Если теперь Администратор сети № 6671 (Петров) выберет пункт меню
своего ЦУСа Службы —> Необработанный импорт, то в открывающемся окне не
должно быть никаких записей, относящихся к сети № 6670.
На этом прием Заключительного Экспорта в сети № 6671 закончен.
Если сейчас нажать в ЦУСе кнопку Сформировать все справочники, то
появится сообщение «Новые файлы не найдены» (Рис.3.67).
\44S\4SSSSS\S\SV
ЧЧЧЧЧ'ч'чЧЧЧ'ЧЧч.'Ц
Новые Файлы не найдены
Затраченное время:
Рис.3.67.Ответ на формирование всех справочников
в ЦУСе сети № 6671 после приема Заключительного Экспорта
Итак, работа Администраторов сетей № 6670 и №6671 по установлению
межсетевого взаимодействия закончена. Весь экспорт отправлен, импорт принят,
а защищенный канал между сетями установлен.
Как проверить, что защищенный канал между сетями установлен?
Отправьте друг другу письмо по Деловой Почте, файл по файловому
обмену, сообщение по чату.
Замечание: Если в ЦУСе второй (или первой) сети в ЦУСе в меню Службы ->
Необработанный импорт имеется необработанная импортированная
информация, относящаяся к первой (или второй) сети, то Администратор
второй (или, соответственно, первой) сети нажимает кнопку Обработать и
далее Сформировать все справочники.
113
Итак, на простом примере мы разобрали процедуру установления
межсетевого взаимодействия двух ViPNet-сетей с использованием
Индивидуального Симметричного Межсетевого Мастер-Ключа (ИСММК).
ВАЖНЫЕ ЗАМЕЧАНИЯ:
• Экспорт в другую сеть, который вы будете готовить в дальнейшем, нужно теперь
отсылать по действующему защищенному каналу передачи данных.
• Для того, чтобы отправить подготовленный экспорт в другую сеть в ЦУСе, необходимо
выбрать пункт меню Управление -> Отправить измененные файлы -> Экспорт...,
выбрать экспорт в нужную сеть и нажать кнопку Отправить.
• Для установления межсетевого взаимодействия с использованием Симметричных ММК
необходимо наличие надежного канала передачи данных для обмена Начальным и
Ответным Экспортами между Администраторами ViPNet-сетей.
• Для тех случаев, когда надежный канал передачи данных отсутствует, предусмотрена
асимметричная схема установления межсетевого взаимодействия (схема Диффи-
Хелмана) с помощью Асимметричных Межсетевых Мастер-Ключей (АММК), которую
рассмотрим во второй части данного практического занятия.
114
Практическое занятие 3 (часть 2). Межсетевое взаимодействие защищенных сетей ViPNet
с помощью Асимметричного Межсетевого Мастер-Ключа
Цель задания 3 (часть 2)
• Организовать межсетевое взаимодействие защищенных ViPNet-сетей с помощью
Асимметричного Межсетевого Мастер-Ключа (АММК).
• Отработать процедуру установления межсетевого взаимодействия.
Содержание
• Формирование Начального Экспорта в первой защищенной сети.
• Передача Начального Экспорта во вторую защищенную сеть.
• Импорт (прием) Начального Экспорта и формирование Ответного Экспорта во второй
защищенной сети.
• Генерация новой ключевой информации во второй защищенной сети и рассылка ее своим
Сетевым Узлам.
• Передача Ответного Экспорта в первую защищенную сеть.
• Импорт (прием) Ответного Экспорта в первой защищенной сети.
• Формирование Заключительного Экспорта для второй защищенной сети.
• Генерация новой ключевой информации и рассылка ее всем Сетевым Узлам первой
защищенной сети.
• Проверка правильности установления межсетевого взаимодействия.
• Отправление Заключительного Экспорта во вторую защищенную сеть.
• Импорт (прием) Заключительного Экспорта во второй защищенной сети.
Термины и понятия
Экспорт и Импорт при межсетевом взаимодействии.
Сервер - шлюз (СМ - шлюз).
Межсерверные каналы.
Асимметричный Межсетевой Мастер Ключ (АММК).
Открытая часть Асимметричного Межсетевого Мастер-Ключа.
Экспорт и Импорт Открытой части Асимметричного Межсетевого Мастер-Ключа.
Регистрация списков сертификатов ЭЦП УЛ из других сетей.
Регистрация списков отозванных сертификатов из других сетей.
Задание №3 (Часть 2):
Организовать межсетевое взаимодействие двух ViPNet-сетей с помощью
Асимметричного Межсетевого Мастер-Ключа (АММК), исходя из перечисленных в Задании №3
(часть 1) условий и приведенной схемы (Рис.3.1).
Отработать процедуру подготовки экспорта в другую сеть и приема импорта из другой
сети в случае Асимметричного Межсетевого Мастер-Ключа (АММК).
Замечания:
• Условия установления межсетевого взаимодействия не меняются за исключением
115
того, что в данной части задания №3 необходимо использовать другой тип
Межсетевого Мастер-Ключа - Асимметричный ММК.
• В отличие от Симметричного ММК, который формируется в одной из сетей,
Асимметричный ММК должен быть сформирован в каждой из сетей. После чего
администраторы этих сетей должны обменяться Открытыми Частями (ОЧ) своих АММК,
сохраняя Закрытые Части (34) своих АММК в тайне.
• После того, как администраторы обеих сетей обменялись Открытыми Частями своих
АММК, в каждой защищенной сети формируется общий (одинаковый) Межсетевой Мастер-
Ключ по схеме Диффи-Хелмана. Обращаем внимание на то, что вся процедура создания
общего Межсетевого Мастер-Ключа осуществляется без передачи по открытым каналам
связи какой-либо секретной информации.
Последовательность выполнения занятия 3 (часть2)
Итак, пусть у нас имеются две защищенные ViPNet-сети - защищенная сеть
Офиса, которая имеет лицензированный номер № 6670, и защищенная сеть
Филиала, которая имеет лицензированный номер № 6671.
Кто из администраторов двух сетей начнет процесс установления
межсетевого взаимодействия, не имеет значения.
Пусть процесс установления межсетевого взаимодействия начинает
администратор защищенной сети Офиса, т. е. администратор сети № 6670.
Процедура установления
межсетевого взаимодействия двух защищенных сетей с помощью Асимметричного ММК
Процедура установления межсетевого взаимодействия двух защищенных сетей с
помощью Асимметричного ММК (как и в случае Симметричного ММК) состоит из четырех (4)
этапов:
1. Сеть № 6670:
• Формирование Начального Экспорта и передача его в сеть № 6671.
2.Сеть № 6671:
• Импорт Начального Экспорта.
• Формирование Ответного Экспорта и передача его в сеть № 6670.
• Формирование новых Ключевых Наборов для узлов своей сети (№ 6671).
116
З.Сеть № 6670:
• Импорт Ответного Экспорта.
• Формирование Заключительного Экспорта в сеть № 6671.
• Формирование новых Ключевых Наборов для своих узлов сети (№ 6670).
4.Сети № 6670 и № 6671:
• Проверка установления межсетевого взаимодействия.
• Отправка Заключительного Экспорта из сети № 6670 по защищенному каналу связи в
сеть № 6671.
• Импорт Заключительного Экспорта в сети № 6671.
Внимание! Передача экспорта должна производиться по защищенным каналам передачи
данных или каким-либо доверенным образом.
Начальный экспорт для случая Асимметричного ММК содержит 2 (две)
составляющие:
• Экспортные справочники первой сети (формируются в ЦУСе), в состав которых
входят, кроме адресных справочников и информации о шлюзах, Сертификат ЭЦП УЛ,
Список Доверенных Сертификатов ЭЦП Администраторов (СДС), Списки Отозванных
Сертификатов (СОС).
• Открытая часть (ОЧ) Асимметричного Межсетевого Мастер-Ключа первой сети
(генерируется в УКЦ первой сети).
Ответный экспорт для случая Асимметричного ММК также содержит 2
(две) составляющие (в отличие от случая Симметричного ММК):
• Экспортные справочники второй сети (готовятся в ЦУСе), в состав которых входит,
кроме адресных справочников и информации о шлюзах, Сертификат ЭЦП УЛ второй сети,
Список Доверенных Сертификатов ЭЦП Администраторе (СДС) второй сети, Списки
Отозванных Сертификатов (СОС) второй сети.
• Открытая часть (ОЧ) Асимметричного Межсетевого Мастер-Ключа второй сети
(генерируется в УКЦ второй сети).
Заключительный Экспорт из первой сети во вторую сеть при первоначальном
формировании межсетевого взаимодействия содержит полный набор экспортных
справочников, в состав которых входит важный файл: 1А0Е1 AOF.var - с вариантами сетевых
узлов сети №6670, коллективы которых участвуют в межсетевом взаимодействии. Этот файл в
состав Начального Экспорта не входил, поскольку пока не было связей между коллективами
двух сетей.
Замечание: Отправка Заключительного Экспорта в другую сеть особенно
важна при модификации межсетевого взаимодействия, поскольку в его состав
входит файл 1A0E1A0F.var с вариантами сетевых узлов сети №6670,
коллективы которых участвуют в межсетевом взаимодействии.
В случае компрометации ключей в одной из сетей без данного файла
модификация межсетевого взаимодействия пройдет некорректно.
117
Шаг 0 (15)
Удаление межсетевого взаимодействия, основанного на ИСММК
Перед тем как приступить к организации межсетевого взаимодействия (в
учебном классе!), необходимо вернуться к прежней конфигурации
защищенных ViPNet-сетей, которые использовались в задании №3
(часть 1).
Для того, чтобы заново не инсталлировать рабочие места двух
администраторов снова и не формировать «с нуля» две защищенные сети,
выполним ряд «хитрых» действий, в результате которых получим две
сформированные защищенные сети Офиса и Филиала, но уже без
установленного в задании №3 (часть 1) между ними межсетевого взаимодействия.
Итак, приступим к нулевому, подготовительному шагу.
Можно, конечно, все сделать вручную - удалить экспорт, межсетевой канал
и межсетевые связи, но мы сделаем это быстрее и проще.
Если вы помните, то после того как были завершены все необходимые
действия в ЦУСе при первоначальном развертывании сети (до установления
межсетевого взаимодействия), мы закрывали программу «ЦУС», а при ее
закрытии программа предлагала нам создать архив.
В этот архив помещаются все данные той конфигурации сети, которую мы
сформировали в адресной и прикладной администрациях.
Архив создается для того, чтобы в случае сбоя или при потере каких-либо
данных восстановить прежнюю конфигурацию сети.
Воспользуемся этим архивом и восстановим ту конфигурацию сети, которая
была создана в ЦУСе до установления межсетевого взаимодействия.
Для этого загружаем ЦУС сети № 6670 (и, соответственно, ЦУС сети №
6671) и выбираем пункт меню Службы -> Архивы баз данных...
Перед нами появится окно (Рис.3.68) со списком всех архивов, которые ЦУС
формировал (у вас может быть другой список архивов).
Рис.3.68.Архивы баз данных ЦУСа
Из списка архивов выберем тот архив, который был сформирован до
установления межсетевого взаимодействия в соответствии с заданием №3 (часть
1), и нажмем кнопку Восстановить.
118
ЦУС задаст сначала вопрос о восстановлении баз данных из архива, а затем
спросит - Создавать ли архив текущих баз данных.
На оба вопроса ответим утвердительно, нажимая на кнопку Да.
После чего ЦУС восстановит базы данных из первого архива, а нам
останется нажать на кнопку Выйти. В результате мы попадем в основное меню
ЦУСа.
Необходимо убедиться, что базы данных восстановлены.
Для этого выбираем пункт меню Прикладная администрация ->
Регистрация типов коллективов...
В списке Типов Коллективов не должно быть ТК сети № 6671, которые были
импортированы из сети № 6671.
Если в списке Типов Коллективов нет ТК сети № 6671, то нажимаем на
кнопку Выйти и выбираем пункт меню Службы -> Экспорт...
Замечание: Если в списке Типов Коллективов имеются ТК сети № 6671, то
нажимаем на кнопку Выйти и выбираем пункт меню Службы ~> Архивы баз
данных...
Далее из списка архивов выбираем более ранний архив и нажимаем кнопку
Восстановить. После чего выбираем пункт меню Прикладная администрация
-> Регистрация типов коллективов... и убеждаемся, что базы данных
восстановлены.
Запись об экспорте останется (задание №3, часть 1) и поэтому для
избежания аномальных ситуаций при формировании всех справочников мы ее
удалим, нажав на кнопку Удалить, и подтвердив это нажатием на кнопку Да, а
затем нажмем на кнопку Выйти.
Поскольку мы восстановили данные из старого архива, то теперь
необходимо сформировать все справочники, выбрав одноименный пункт в меню
Службы-> Сформировать все справочники.
Для АП Компьютер_1 (Фурманов), т.е. для АП Администратора сети Офиса
№ 6670, которым в соответствии со схемой сети является Фурманов, необходимо
выслать обновленные (со старой структурой сети) адресные справочники (см. Шаг
25 задания №3, часть 1).
После этого загрузим программу Монитор рабочего места Администратора
сети № 6670 Фурманова (см. Шаг 26 задания №3, часть 1).
Так как транспортный модуль АП Компьютере (Фурманов) уже настроен, то
обновление с адресными справочниками будет принято сразу.
И после перезагрузки программы Монитор мы увидим, что в списке
фильтров Защищенной сети пропали фильтры для Сетевых Узлов сети № 6671
(Рис.3.69).
119
Защищенная сеть
-■■] j j- <1Р-пакеты всех адресагов>
0 !
"j Основная конфигурац
Рис.3.69.Окно Монитора АП Компьютере (Фурманов)
после восстановления старого архива и принятия
обновленных адресных справочников
Закрываем программу Монитор.
На самом деле мы обновили только адресные справочники, а Ключевые
Наборы все еще содержат ключи шифрования для Сетевых Узлов сети № 6671,
но для нас это сейчас не важно, поскольку позже мы все равно будем проводить
обновление Ключевых Наборов.
Загружаем УКЦ сети № 6670.
Выбираем пункт меню Программа -ч> Архивы и из представленного на
Рис.3.70 списка выбираем архив, который был сформирован до установления
межсетевого взаимодействия в соответствии с заданием №3 (часть 1), и жмем
Восстановить.
\ Дата
12005.12.27
: 2005.1 2.30
Время
16.1 1.35
13.40.31
Создать
Восстановить
Удалить
Закрыть
Рис.3.70.Восстановление архива УКЦ
Затем выбираем Ключевой центра Доверенные сети ViPNet^ Мастер-
Ключи-^Текущие
Если там осталось упоминание о симметричном ММК, то с помощью
контекстного меню сначала делаем ключ недействующим! А затем удаляем его!
120
Теперь можно выйти из УКЦ сети № 6670. Все что требуется мы сделали.
Замечание: Все вышеописанные действия надо теперь проделать и для сети №
6671, за исключением того, что необходимо удалить уже данные о сети № 6670,
т.е. файлы с номером 1А0Е (т.е. 6670).
По завершении всех действий Шага № 0 мы должны получить две
защищенные сети, как бы только что сформированные и готовые для
установления межсетевого взаимодействия в соответствии с заданием.
Поскольку многие шаги будут такими же, как и в первой части, далее по
тексту будут приводиться ссылки на них.
Шаг 1(15)
Формирование Начального Экспорта в ЦУСе сети № 6670
Переходим к формированию межсетевого взаимодействия на
Асимметричных Межсетевых Мастер Ключах.
Напомним:
Начальный экспорт для случая АММК содержит 2 составляющие:
• Экспортные справочники, которые готовятся в ЦУСе.
• ОЧ (открытая часть) Асимметричного Межсетевого Мастер-Ключа, которая генерируется в
УКЦ.
Для формирования Экспортных справочников необходимо сделать первые
три шага, что и в задании №3 (часть 1).
Поэтому выполняем Шаги 1 - 3 из задания №3 (часть 1) в ЦУСе сети № 6670.
После выполнения первых трех шагов задания Экспортные справочники в
сеть № 6671 будут готовы.
Шаг 2(15)
Генерация Асимметричного ММК для сети № 6670
Для генерации ОЧ (открытой части) Асимметричного Межсетевого Мастер-
Ключа переходим в УКЦ сети № 6670.
Отметим, что Асимметричный ММК, в отличие от Симметричного ММК,
генерируется не для удаленной защищенной сети, а для своей, и состоит из двух
частей:
Закрытой Части (34 АММК), которая хранится в тайне.
Открытой Части (ОЧ АММК), которая передается в другую защищенную сеть в составе
Начального (или Ответного) Экспорта.
Именно Открытыми Частями АСММК и должны, в данном случае,
обменяться администраторы сетей № 6670 и № 6671.
Запускаем программу УКЦ сети № 6670.
Выбираем пункт меню Ключевой центр-> Доверенные сети ViPNet ->
Мастер-Ключи->Текущие (Рис.3.71).В контекстном меню выбираем «Создать...»
121
I Сервис Действия Вид Справка
Назад
~/ Удостоверяющий и ключевой цен'
+ Удостоверяющий центр
- Ключевой центр
- .„. j Своя сеть ViPNei:
_j Пользователи
...,.) Сетевые узлы
Сетевые группы
- Ключи
j Ключевые диски
Резервные персона.
.... j Ключевые наборы
...I;) Обновления ключе»
v.j Дистрибутивы КЛЮ'
Мастер-ключи
~ ~J Доверенные сети ViPNet
]LJ Пользователи
О Сетевые узлы
-; Мастер-ключи
Текущие
j Входящие
у Исходящие
Администраторы
Созд. обнов..
Для сети
v Искать в: Тип ключа ^
Всего; 0 Найдено: 0 Выделено: 0 11.03.2008 9:5S (GMT+03:00)
Рис.3.71.Меню генерации мастер-ключей в УКЦ
Перед нами появляется информационное окно (Рис.3.72).
задайте тип мастер-клинча
(...) Инд и в и д у а л ь н ы й
Алгоритм ключа:
ГОСТ Р 34.10-2001 DH v
Параметры алгоритма:
ГОСТ Р 34.10-2001 EDH Параметры по умолча! v
') Универсальный
создать
Рис.3.72.Окно создания АММК
Нажимаем кнопку Создать, отвечаем на вопрос нажатием кнопки ОК,
«крутим» рулетку и еще раз нажимаем кнопку ОК.
Асимметричный Межсетевой Мастер-Ключ для сети № 6670 создан, но его
Открытую Часть (ОЧ) надо еще экспортировать.
122
Шаг 3(15)
Экспорт ОЧ сгенерированного АММК сети № 6670
Для экспорта ОЧ АММК сети № 6670 выбираем раздел Ключевой центр-*
Доверенные сети—> Мастер-Ключи->Текущие.
В появившемся окне подсвечиваем запись Асимметричный межсетевой
для сети 6670 и по контекстному меню выбираем кнопку Экспортировать
(Рис.3.73).
В появившемся окне вводим пароль Администратора и нажимаем на кнопку
ОК.
.ервис Действия Вид Справка
Назад
' Удостоверяющий и ключевой цен
удостоверяющий центр
Ключевой центр
: Сбоя сеть- ViPNet
■< Пользователи
; Сете-вые vsnbi
..., Сетевые группы
- ;.: Ключи
,Ключевые диски
Резервные персона
.„} Ключевые наборы
Обновления ключ*1
Дистрибутивы кпьу
■ ,j Мастер-ключи
- • Доверенные, сети ViPNc-t
Пользователи
j Сетевые углы
- .,j Мастер-ключи
Текущие
: > Входящие
'„■ Исходящие
Администраторы
Созд. обнов..
создать..
Обновить
Дерево Настроика
Для сети создан в сети Номер t
люча
у '■ Искать &; Тип ключз .
Всего! 1 Найдено:! Выделено: 1 11.03.2008 10:01 (GMT+03:00)
Рис.3.73.Экспорт межсетевых мастер-ключей
В результате ОЧ (открытая часть) Асимметричного Межсетевого Мастер-
Ключа для сети № 6670 подготовлена для экспорта в сеть № 6671.
Затем этого вводим ключ в действие, (используя контекстное меню).
И последнее действие в УКЦ: необходимо сформировать «Экспорт
справочников...»
После этого программу УКЦ сети № 6670 можно закрыть, т.к. все
необходимые действия в ней сделаны.
Все, что теперь осталось сделать администратору сети № 6670, - это
собрать вместе все (две) составляющие Начального Экспорта и передать их
администратору сети № 6671 любым доступным ему способом.
Шаг 4(15)
Подготовка и передача Начального Экспорта администратору сети № 6671
Напомним, что Начальный экспорт для случая Асимметричного ММК
содержит 2 (две) составляющие:
• Экспортные справочники, которые готовятся в ЦУСе первой сети.
• ОЧ (открытая часть) Асимметричного Межсетевого Мастер-Ключа первой сети,
которая генерируется в УКЦ первой сети.
123
Соберем обе составляющие Начального Экспорта в одну папку.
Для этого производим следующие действия.
• На жестком диске создадим папку Начального Экспорта, например,
C:\EXP_for_6671\, куда соберем составляющие Начального Экспорта.
• Из ЦУСа берем экспортные адресные справочники, которые находятся в каталоге
..\NCC\New\Export\6671\.
Замечание: В этих справочниках, в частности, находятся:
Список Доверенных Сертификатов, содержащий Сертификат ЭЦП УЛ сети № 6670
нового образца стандарта X509v.3 - это файл 1A0E.trl.
Списки Отозванных Сертификатов сети № 6670 - это файлы 1 A0E_rem.crl.
Здесь 1А0Е обозначает шестнадцатеричный номер сети (6670 - 1АОЕ, 6671 - 1A0F).
• Копируем весь каталог ..\NCC\New\Export\6671 в папку Начального Экспорта
C:\EXP_for_6671.
• Из УКЦ берем файл *.сег с экспортированной 04 (открытой частью) АММК сети №
6670. Этот файл находится в папке ..\KC\ExportV
• Копируем файл *.сег (экспортированную ОЧ АММК) в папку Начального Экспорта -
C:\EXP_for_6671V
• Теперь всю папку Начального Экспорта C:\EXP_for_6671 \ необходимо
заархивировать и передать Администратору сети № 6671 любым доступным
способом.
На этом этапе работа Администратора сети № 6670 по созданию
Начального экспорта закончена.
Однако ему еще предстоит принять Ответный экспорт из сети № 6671 и на
его основе создать Ключевые Наборы (ключи шифрования) для своих узлов,
которые участвуют в межсетевом взаимодействии.
Шаг 5(15)
Прием (импорт) Начального Экспорта администратором сети № 6671.
Администратор сети № 6671 принимает (импортирует) Начальный Экспорт
из сети № 6670 следующим образом:
• Содержимое папки ..\EXP_for_6671\6671Y\* (экспортные адресные справочники) копирует
в ЦУС сети № 6671 в папку ..\NCC\IMPORT\.
• ОЧ АММК сети № 6670 (файл *.р00) копирует из папки ..\EXP_for_6671\ в Ключевой Центр
сети № 6671 в папку ..\КС\ IMPORT \.
Шаг 6 (15)
Подключение межсетевого канала, образование требуемых связей, формирование
Экспортных справочников для Ответного Экспорта и всех справочников в ЦУСе, импорт
справочников сертификатов ЭЦП уполномоченных лиц сети № 6670 и справочников
отозванных сертификатов сети № 6670 в УКЦ сети № 6671
Поскольку Администратор сети № 6671 принял Начальный Экспорт из сети
№ 6670, то он должен его импортировать в ЦУСе и в УКЦ своей сети.
124
Поэтому далее Администратор сети № 6671 в ЦУСе своей сети № 6671
принимает импорт, подключает межсетевой канал, образует требуемые связи с
ТК сети № 6670, формирует Экспортные справочники для Ответного Экспорта;
формирует все справочники в ЦУСе.
Далее переходит в УКЦ сети № 6671, где импортирует справочники
сертификатов ЭЦП Уполномоченных лиц сети № 6670 и справочники отозванных
сертификатов сети № 6670.
Для выполнения этих действий Администратор сети № 6671 выполняет
Шаги 8 - 13 из задания №3 (часть 1).
Шаг 7(15)
Импорт ОЧ АММК сети № 6670 в УКЦ сети № 6671
Поскольку Администратор сети № 6671 принял Начальный Экспорт из сети
№ 6670, в состав которого входит ОЧ АММК сети № 6670, то он должен
импортировать ОЧ АММК сети № 6670.
Для импорта ОЧ АММК сети № 6670 производим следующие действия в УКЦ
сети № 6671:
Выбираем раздел Ключевой центр -> Доверенные сети ViPNet-^ Мастер-ключи ->
Входящие
Перед нами появится окно, в котором будет присутствовать запись Асимметричный
(Рис.3.74).
В столбце Номер можно посмотреть номер ключа.
В контекстном меню нажимаем на кнопку Импортировать и затем ОК.
Всего: 1 Найдено:! Выделено:1
Рис.3.74.Список ММК для импорта
В результате этих действий мы импортировали ОЧ АММК сети № 6670.
Теперь, в свою очередь, администратор сети № 6671 должен сгенерировать
свой Асимметричный Межсетевой Мастер-Ключ и подготовить его Открытую
Часть для экспорта в сеть № 6670.
125
Шаг 8(15)
Генерация Асимметричного ММК для сети № 6671
Для генерации Асимметричного Межсетевого Мастер-Ключа сети № 6671:
Выбираем пункт меню Ключевой центра Доверенные сети-^ Мастер-Ключи->Текущие
(см. Рис.3.71).
По контекстному меню создаем Асимметричный Межсетевой Мастер Ключ для сети №
6671.
Перед нами появляется информационное окно, в котором присутствует номер
генерируемого мастер-ключа и предупреждающая информация о том, что ключи шифрования,
созданные на основе нового мастер-ключа, не смогут стыковаться со старыми ключами
шифрования, которые создавались на существующем мастер-ключе (если он уже есть).
Нажимаем кнопку Создать мастер-ключ, отвечаем на вопрос нажатием кнопки ОК,
«крутим» рулетку и еще раз нажимаем кнопку ОК.
АММК для сети № 6671 создан.
Шаг 9(15)
Экспорт ОЧ сгенерированного АММК сети № 6671
Для подготовки на экспорт Открытой Части Асимметричного Межсетевого
Мастер-Ключа сети № 6671:
Выбираем раздел Ключевой центр-* Доверенные сети-* Мастер-Ключи->Текущие.
В появившемся окне подсвечиваем запись Асимметричный межсетевой для сети 6671
и нажимаем кнопку Экспортировать
В появившемся окне вводим пароль УЛ сети № 6671 и нажимаем два раза на кнопку ОК.
В результате этих действий мы подготовили ОЧ АММК сети № 6671 на
экспорт в сеть № 6670.
Шаг 10(15)
Формирование новых КН, перенос их в ЦУС и рассылка обновлений
Поскольку у Администратора второй сети № 6671 имеется полная
информацию из первой сети № 6670, то он может:
сформировать новые Ключевые Наборы для своих узлов, которые участвуют в
межсетевом взаимодействии с узлами сети № 6670;
перенести новые готовые КН в свой ЦУС;
разослать эти новые КН своим узлам в виде обновлений ключевой информации.
Для этого Администратор сети № 6671 выполняет Шаги 15 - 16 из задания 3
(часть 1).
После приема обновлений ключевой информации и адресных справочников
на узлах второй сети № 6671, эти узлы будут готовы к межсетевому
взаимодействию.
126
Шаг 11(15)
Подготовка и передача Ответного Экспорта администратору сети № 6670
Напомним, что Ответный экспорт для случая Асимметричного ММК
содержит 2 (две) составляющие:
• Экспортные справочники, которые готовятся в ЦУСе второй сети.
• Открытая часть Асимметричного Межсетевого Мастер-Ключа второй сети, которая
генерируется в УКЦ второй сети.
Соберем все составляющие Ответного Экспорта в одну папку.
Для этого производим следующие действия.
• На жестком диске создадим папку Ответного Экспорта, например C:\EXP_for_6670\, куда
соберем составляющие Ответного Экспорта.
• Из ЦУСа берем экспортные адресные справочники, которые находятся в каталоге
..\NCC\New\Export\6670\ (этот путь был установлен по умолчанию - Шаг 11).
Замечание: В этих справочниках, в частности, находятся:
Список Доверенных Сертификатов, содержащий Сертификат ЭЦП УЛ сети № 6671
нового образца стандарта X509v.3, - это файл 1A0F.trl.
Списки Отозванных Сертификатов сети № 6670 - это файлы 1AOF _rem.crl.
Здесь 1A0F обозначает шестнадцатеричный номер сети (6671 - 1A0F, 6670 - 1А0Е).
• Копируем весь каталог ..\NCC\New\Export\6670 в папку Ответного Экспорта
C:\EXP_for_6670.
• Из УКЦ берем файл *.сег с экспортированной ОЧ АММК сети № 6671. Он находится в
папке ..\KC\ExportV
• Копируем файл *.сег с экспортированной ОЧ АММК сети № 6671 в папку Ответного
Экспорта - C:\EXP_for_6670V
• Теперь всю папку Ответного Экспорта C:\EXPJ:or_6670\ необходимо заархивировать и
передать администратору сети № 6670 любым доступным способом.
На этом работа Администратора сети № 6671 по установлению межсетевого
взаимодействия закончена.
Далее Администратор сети № 6671 должен перейти к шагу № 26 данного
занятия и проверить правильность процедуры установления межсетевого
взаимодействия.
Шаг 12(15)
Прием Ответного Экспорта администратором сети № 6670
Администратор сети № 6670 принимает (импортирует) Ответный Экспорт из сети №
6671 следующим образом:
• Содержимое папки ..\EXP_for_6670\6670\*.* (экспортные адресные справочники)
копирует в ЦУС сети № 6670 в папку ..\NCC\IMPORT\.
• ОЧ АММК сети № 6671 (файл *.сег) копирует из папки ..\EXP_for_6671\ в Ключевой Центр
сети № 6670 в папку ..\KC\IMPORT\.
127
Шаг 13(15)
Подключение межсетевого канала, проверка наличия требуемых связей, формирование
всех справочников в ЦУСе, импорт справочников сертификатов ЭЦП Уполномоченных
лиц сети № 6671 и справочников отозванных сертификатов сети № 6671 в УКЦ сети №
6670
Для этого Администратор сети № 6670 выполняет Шаги 19 - 23 из задания 3 (часть 1).
Шаг 14(15)
Импорт ОЧ АММК сети № 6671 в УКЦ сети № 6670
Поскольку мы приняли Ответный Экспорт из сети № 6671, в состав которого входит ОЧ
АММК сети № 6671, то мы должны импортировать ОЧ АММК сети № 6671.
Для импорта ОЧ АММК сети № 6671 производим следующие действия в УКЦ сети №
6670:
Выбираем раздел Ключевой центр-* Доверенные сети-> Мастер-Ключи->Текущие.
Перед нами появится окно, в котором будет присутствовать запись Асимметричный
(Рис.3.75).
В столбце Номер можно посмотреть номер ключа.
Нажимаем на кнопку Импортировать, затем нажимаем кнопку ОК.
Сервис Действия Ч - Г-р?ок
) Доверенные сети
Сетей we ray г
.дан з сет:i Нокер-:
Открыт!
? Резерзг.ые ^ерсо
; аовеоенмые сет., v«PMer
iпользователи
j Сетезые узлы
найдено: 1 Выделено: и
Рис.3.75.Список входящих
Межсетевых Мастер-Ключей (для импорта)
Шаг 15(15)
Формирование новых КН, перенос их в ЦУС, рассылка обновлений и проверка
правильности выполненной процедуры установления межсетевого взаимодействия,
отправка и прием Заключительного Экспорта
Далее Администратор сети № 6670 выполняет Шаги 24 - 26 из задания 3 (часть 1).
На этом выполнение задания 3 (часть 2) заканчивается.
128
Практическое занятие 3 (часть 3). Модификация межсетевого
взаимодействия защищенных сетей ViPNet
Цель задания 3 (часть 3)
При установленном межсетевом взаимодействия двух защищенных ViPNet-
сетей отработать процедуру модификации межсетевого взаимодействия при
различных условиях.
Содержание
• Добавление нового сетевого узла в межсетевое взаимодействие (задание 3.3.1).
• Удаление сетевого узла из межсетевого взаимодействия (задание 3.3.2).
Процедура модификации
межсетевого взаимодействия двух защищенных сетей
Процедура модификации межсетевого взаимодействия двух защищенных
сетей состоит из трех этапов:
1 Сеть № 6670:
• Формирование Начального Экспорта и передача его в сеть № 6671.
2 Сеть № 6671:
• Импорт Начального Экспорта.
• Формирование Ответного Экспорта и передача его в сеть № 6670.
• Формирование новых Ключевых Наборов для узлов своей сети (№ 6671).
3 Сеть № 6670:
• Импорт Ответного Экспорта.
• Формирование новых Ключевых Наборов для узлов своей сети (№ 6670).
Замечание: В зависимости от того, как два Администратора проводят модификацию
межсетевого взаимодействия, может не быть Заключительного Экспорта, о котором
сказано в задании 3 (часть 1 и часть 2).
В частности, в первом задании 3.3.1 данного пункта приведен пример процедуры
модификации межсетевого взаимодействия, когда Заключительный Экспорт не
формируется.
Начальный Экспорт содержит одну (1) составляющую: Экспортные справочники
первой сети (готовятся в ЦУСе или могут появиться в ЦУСе, например, после
изменения сертификата ЭЦП УЛ сети).
Замечание: Здесь не обсуждается вопрос о смене Межсетевого Мастер-Ключа.
Ответный Экспорт также содержит всего одну (1) составляющую:Экспортные
справочники второй сети (готовятся в ЦУСе).
129
Задание 3.3.1. Добавление нового СУ в межсетевое взаимодействие
Условия модификации межсетевого взаимодействия:
• Будем считать, что межсетевое взаимодействие сетей №6670 и №6671 функционирует
нормально:
в обеих сетях имеется СМ-шлюзы и Сетевые Узлы, которые обмениваются информацией
по защищенным каналам связи.
• Пусть в сети №6670 появился новый узел СУ5_6670, на котором зарегистрирован один
коллектив с TK5J3670, состоящий из одного пользователя с именем Аб5_6670.
• Будем считать, что узел СУ5_6670 сформирован, развернут и имеет связь со своим
ЦУСом, Координатором и другими сетевыми узлами своей сети №6670.
• Пусть данный узел СУ5_6670 пока не участвует в межсетевом взаимодействии сети
№6670 с сетью №6671.
• Требуется:
добавить узел СУ5_6670 в межсетевое взаимодействие сети №6670 с сетью №6671;
связать его с одним или несколькими узлами СУИ3671 сети №6671.
Шаг 1 (6)
Формирование Начального Экспорта Администратором сети №6670
Модификацию межсетевого взаимодействия начинает Администратор сети
№6670.
• ЦУС 6670: Создаем архив ЦУСа.
Для этого заходим в Службы -> Архивы баз данных Создать.
Если при формировании экспорта вы допустите какую-либо ошибку, то можно будет
зайти в Службы -> Архивы баз данных, выбрать созданный архив и нажать Восстановить,
т.е. восстановить прежнее состояние ЦУСа.
Замечание: Если при выполнении этого задания в учебном классе в вашей сети №6670
нет узла СУ5_6670, на котором зарегистрирован коллектив с ТК5_6670, состоящий из одного
пользователя с именем Аб5_6670, то необходимо сначала ввести данный узел в состав своей
сети.
Для этого можно пользоваться инструкцией, которая прописана в практическом задании
№ 2, а затем приступить к выполнению данного задания.
• ЦУС 6670: Устанавливаем связи своего коллектива ТК5_6670 с чужими коллективами
TKL6671 сети №6671, с которыми мы хотим связать свой ТК.
Для этого заходим в Службы -> Прикладная администрация -> Регистрация типов
коллективов. r \
Выделяем ТК5_6670, нажимаем Связи, затем Добавить.
Затем из списка типов коллективов отмечаем те коллективы TKiJ3671 второй сети
№6671, с которыми мы хотим связать данный ТК5_6670 своей сети.
Например, связываем его с ТК Компьютер_3 (Петров).
• ЦУС 6670: Добавляем новый ТК5_6670 в экспорт с сетью №6671.
130
Для этого заходим в Службы -» Экспорт. :_.___
В списке Экспорта выбираем нужный номер сети (в данном случае - это сеть 6671).
Нажимаем ТК —> Добавить. Выбираем из списка нужный ТК5_6670. Затем Принять.
Далее должны скопировать новый экспорт. Для этого нажимаем Экспорт Копировать
в папку, которая предложена по умолчанию - в папку ...\NCC\New\Export.
В этой папке ...\NCC\New\Export можно посмотреть экспорт, который вы подготовили и
который в данном случае имеет такой вид (Рис.3.76):
Файл Правка Вид Избранное Сервис Справка
} Назад ^ У Поиск Папки /\ { „'N
j С:''Program Files\InfoTeCS\ViPNet Administrator\NCC\NEVAE:^OP.T\6670 >v , J Переход
x Ш 1a0f1age.V
orj'jcc
,,. jS 1a0f.trl
rom_ncc
Q1a0f_rem.c
_ al6671.txt
abn
•': an6671.txt
: : bc6671.txt
: ap
Л DPiP
i^i dc6671.txt
:'-'■}.. en6671.txt
HrUD
: arc
;li]gt6671.wa4
;V; ip6671.txt
e>:port
' \ ng6671.txt
; import
;'.;! nn6671.txt
map
Г - tu6671.txt
: m5k
!' • uc6671.txt
I II ,L С "7 1 ТУТ
new
r \ apdb
ULbt'1 . I Л 1
un6671.txt
Рис.3.76.Состав Начального Экспорта
• ЦУС 6670: Поскольку мы произвели изменения в структуре сети, то далее мы должны
сформировать все справочники.
Для этого нажимаем Службы -> Сформировать все справочники.
Создаются новые Справочники АП, Таблицы маршрутизации, Экспорт в сеть 6671 и
Файлы для своего УКЦ.
Внимание!
Внимательно посмотрите, какие новые файлы найдены. В зависимости
от того, какие новые файлы найдены, вы будете планировать свою
дальнейшую работу с программами ЦУС и УКЦ.
Создайте себе привычку - делать в этом месте паузу для
планирования дальнейших своих действий.
После нажатия кнопки Сформировать все справочники ЦУС
проанализировал структуру сети и создал новые справочники:
Справочники для АП - их нужно будет отправить на свои Абонентские Пункты.
Таблицы маршрутизации - их нужно будет отправить на свои Серверы-
маршрутизаторы.
Экспорт в другие сети - нужно будет передать в другие сети, а именно, в сеть №6671 -
это и есть Начальный экспорт в сеть №6671.
Справочники для Удостоверяющего Ключевого Центра (УКЦ) - наличие этих
справочников сигнализирует о том, что в УКЦ вам нужно сделать новую ключевую
131
информацию для сетевых узлов вашей сети, поскольку они теперь связаны с узлами сети
№6670.
Справочники для УКЦ помещаются в папку обмена с Ключевым Центром -
..\ViPNet[AflMHHHCTpaTop]\From_NCC.
• ЦУС 6670: Сформированные адресные справочники и экспорт в сеть №6671 можно сразу
же отправить.
Отправим адресные справочники. Для этого:
- выбираем Управление -> Отправить измененные файлы -» Справочники
АП и СМ -> Отправить.
- Выбираем время, когда хотим, чтобы прошло обновление на свои АП и СМ.
Отправим Начальный Экспорт в сеть №6671. Для этого:
- выбираем Управление -> Отправить измененные файлы -> Экспорт.
- Из списка сетей,'с'которыми у вас имеется межсетевое взаимодействие,
выбираем номер сети, в которую нужно отправить Начальный Экспорт (в
данном случае это сеть № 6671) и нажимаем Отправить.
• После приема обновления адресных справочников:
в программе Монитор узла СУ5_6670 в окне Защищенная сеть должны появиться
фильтры для узлов СУ1_6671 сети №6671 (в данном случае АП Компьютер^ (Петров)), с
которыми вы установили связь узла СУ5_6670;
в программе Деловая Почта в Адресной книге появятся записи для узла АП
Компьютер_3 (Петров), для коллектива ТК Компьютер_3 (Петров) и для пользователя Петрова.
Замечание: Однако пока на узле СУ5_6670 нет ключей связи с узлами
второй сети CyiJ3671 (АП Компьютер_3 (Петров)).
Поэтому программа Деловая Почта узла СУ5_6670 при попытке
отправки письма узлам СУ1_6671 сети №6671 выдаст сообщение типа,
представленного на Рис.3.82, а программа Монитор узла СУ5_6670 при
попытке отправки сообщения (чат) или файла по файловому обмену узлам
СУП3671 сети №6671 выдаст сообщение типа, представленного на Рис.3.83.
• Для создания ключей связи узла СУ5_6670 с узлами второй сети СУИ3671 переходим в
УКЦ 6670, поскольку в ЦУСе сформированы справочники для УКЦ.
• УКЦ 6670: Выбираем Сервис -> Автоматически создать -> ключевые наборы. В
результате формируются ключи связи (КН) своего узла СУ5__6670 с узлами второй сети
СУ1_6671.
• УКЦ 6670: Переносим готовый КН для своего узла СУ5_6670 в ЦУС с целью последующей
отправки на этот узел. Для этого:
выбираем Ключевой центр Своя сеть ViPNet-> ключи -> Ключевые наборы ;
переносим по правой кнопке мыши готовый КН в свой ЦУС.
• Возвращаемся в ЦУС 6670. В ЦУСе 6670 появляются сообщения о поступлении новых
ключей для АП:
• ЦУС 6670: Отправляем новый Ключевой Набор (КН). Для этого:
Выбираем Управление Отправить измененные файлы -> Ключевые наборы для
СУ .
Из списка выбираем запись СУ5__6670, нажимаем Отправить.
132
Затем выбираем время, когда хотим, чтобы прошло обновление на узле СУ5_6670 и
нажимаем Принять.
• После приема обновления ключевой информации на узле СУ5_6670 в программе
Монитор и Деловая Почта появятся ключи связи этого узла СУ5_6670 с узлами второй
сетиСУ1 6671.
Замечание: Теперь пользователь узла СУ5_6670 из программы Монитор может посылать
сообщения и файлы пользователям узлов второй сети СУИ3671 по защищеннуму каналу
связи, а из программы Деловая почта может посылать защифрованные и подписанные
письма.
Однако пользователь узла СУ5_6670 не получит ответ на свои послания до тех пор, пока
узлы второй сети СУ1_6671 не получат от своего администратора обновления справочников и
ключей связи с узлом СУ5_6670.
Шаг 2(6)
Приём Начального Экспорта из сети 6670 и
формирование Ответного Экспорта Администратором сети 6671
• ЦУС 6671: После того, как Начальный Экспорт из сети № 6670 дойдет до ЦУСа сети
№ 6671, в ЦУСе сети № 6671 появится сообщение «Имеется необработанный
импорт. Обработать его сейчас?» (Рис.3.77).
Замечание: Это сообщение (Рис.3.77) появляется, если программа ЦУС сети №
6671 была уже загружена.
Если программа ЦУС сети № 6671 не была загружена, то после ее загрузки
появится сообщение, представленное на Рис.3.79.
На вопрос «Обработать его сейчас?» (Рис.3.77) можно ответить «Нет» и
посмотреть отличия в импорте в меню Службы -> Необработанный импорт -»
Отличия (Рис.3.78).
Имеется необработанный импорт. Обработать его сейчас?
Рис.3.77.Вопрос об обработке импорта
133
Fl Помощь
Рис.3.78.Отличия в необработанном импорте
Если на вопрос «Имеется необработанный импорт. Обработать его
сейчас?» (Рис.3.77) ответить «Да», то вы сразу попадете в окно
Необработанный импорт и там можете посмотреть Отличия в импорте.
Замечание: До приема импорта (на случай непредвиденных ситуаций) вы
можете создать архив ЦУСа сети №6671. Для этого нужно зайти в Службы ->
Архивы баз данных -> Создать.
Если в процессе приема импорта вы допустили какую-либо ошибку, то
можно будет зайти в Службы Архивы баз данных, выбрать созданный
архив и нажать Восстановить.
После просмотра Отличий обрабатываем импорт, для этого нажимаем
кнопку Обработать.
Появляется сообщение «Есть изменения в IMPORT. Рекомендуется
сформировать справочники» (Рис 3.79):
Есть изменения в IMPORT.
Рекомендуется сформировать справочники
Рис.3.79.Рекомендация сформировать справочники
• ЦУС 6671: Проверим наличие нового коллектива TK5J3670 из сети №6670 в списке Типов
коллективов сети № 6671.
Для этого заходим в Службы -> Прикладная администрация -» Регистрация типов
коллективов.
Проверяем наличие связей коллектива ТК5_6670 с своими коллективами TKi__6671.
- Если связи имеются, то переходим к формированию всех справочников (пункт 3
данного шага). -
- Если связей нет, то устанавливаем необходимые связи и переходим к
формированию всех справочников.
134
- Замечание: В этом случае Ответный Экспорт в сети №6670 нужно будет
принять по полной программе, а именно, так, как описано в данном шаге 2 (по
приему Начального Экспорта).
• ЦУС 6671: Поскольку мы приняли импорт из другой сети, то произошли изменения в
структуре сети. Поэтому далее мы должны сформировать все справочники.
Для этого нажимаем Службы -> Сформировать все справочники.
Создаются новые Справочники АП, Таблицы маршрутизации, Экспорт в сеть 6670,
Файлы для своего УКЦ и появляются сообщения (Рис.3.80).
Внимание! Не спешите закрывать окно, представленное на Рис.3.80.
Внимательно посмотрите, какие новые файлы найдены.
От того, какие новые файлы найдены, зависит ваша дальнейшая работа с
программами ЦУС и УКЦ.
Создайте себе привычку - делать в этом месте паузу для планирования
дальнейших своих действий.
F
| Найдены новые Файлы:
Справочники ДП:
2
I
АР\1A0F000A.АР 0 7.02.06 1Ц:00:08
AP\1A0FO00B.АР, 07.02.06 ДЧ:О0:08
АР\1 Щ0#Ъ. АР 07.02.06 1,4:00:08
Таблицы маршрутизации:
1 Экспорт в другие сети:
Z Справочники для УКЦ:
2
1
4
1
ABN\AMATRIX.DAT 07.02:06 14:00:08
&BN\NMATRIX.DAT, 07Г02,06: 00:08
MAP\NM00|AfDAT 07.02-.06"Й:00:08
§ Затраченное время:
HAP\APN000A.CRG 07.02106 14:00:08
R\APN000B.CRG 07.02.0G 14:00:08 .
J
R\hPNuuuC^CRG 07.02;06 14:4)0:08
ee70|yc6|?rti.txt 07.02^06 14:00.08
Рис.3.80.Новые сформированные файлы
После нажатия кнопки Сформировать все справочники программа ЦУС
проанализировала структуру сети и в связи с изменениями в структуре сети
создала новые справочники:
Справочники для АП - их нужно будет отправить на свои Абонентские Пункты.
Таблицы маршрутизации - их нужно будет отправить на свои Серверы-
маршрутизаторы.
Экспорт в другие ceniu - нужно будет передать в другие сети, а именно, в сеть №6670 -
это и есть Ответный экспорт в сеть №6670.
Справочники для УКЦ (Удостоверяющего Ключевого Центра) - наличие этих
справочников сигнализирует о том, что в УКЦ вам нужно сделать новую ключевую
информацию для сетевых узлов вашей сети, поскольку они теперь связаны с узлами сети
№6670.
Справочники для УКЦ помещаются в папку обмена с Ключевым Центром -
..WiPNet[AflMHHHCTpaTop]\From_NCC.
• ЦУС 6671: Сформированные адресные справочники, таблицы маршрутизации и Ответный
Экспорт в сеть №6670 можно сразу же отправить.
Отправим адресные справочники и таблицы маршрутизации на свои узлы:
135
- Для этого выбираем Управление Отправить измененные файлы ->
Справочники АП и СМ. Выделяем узлы и нажимаем Отправить.
- Выбираем время, когда хотим, чтобы прошло обновление на свои АП и СМ и
нажимаем Принять.
Отправим Ответный экспорт в сеть №6670:
- Для этого выбираем Управление -> Отправить измененные файлы->
Экспорт.
- Из списка сетей, с которыми у вас имеется межсетевое взаимодействие,
выбираем номер сети, в которую нужно отправить Ответный Экспорт (в
данном случае это деть № 6670) и нажимаем Отправить.
Замечание: Вторая сеть №6671 передает в первую сеть № 6670 Ответный
Экспорт, в состав которого входит файл UC6671.txt, в котором прописаны новые
связи коллективов TKi_6671 с коллективом ТК5_6670.
В сети №6670 пока находится старый справочник UC6671.txt, в котором не
прописаны новые связи. На Рис.3.81 представлены отличия старого и нового
справочника UC6671.txt.
File Edit
llAOEOOOC
1А0Е000С
1A0E000C
1A0E000D
1A0E0G0D
1A0E000D
1A0E000E
1A0E000E
1A0E000E
Format
1AOFOOOC:
1AOFOOOD
1A0F000E
1A0F000C
1A0F000D
1A0F000E
1A0F000C
1A0F000D
1AOFOOOE
Vie i
Help
j File ^Ed7t
11A0E000C
[ 1AOEGOОС
1A0E000C
1AOEOOOD
1A0E000D
1AOEOOOC)
1A0E000E
1AOEOOOE
1AOEOOOE
1AOEOOOF
1AOEOOOF
1AOEOOOF
Format
1AOFOOOC
1AOFOOOD
1A0F000E
1AOFOOOC
1A0F000D
1AOFOGGE
1AOFOOOC
1AOFOGGD
1AGFGOOE
1AOFOOOC
1AOFOGGD
1AOFOGGE
Vie\
Help
Рис.3.81.Старый (слева) и новый (справа) справочник со связями коллективов
• После приема обновлений адресных справочников на узлах CYi_6671:
в программе Монитор этих узлов в окне Защищенная сеть должен появиться фильтр
для узла СУ5_6670 сети №6670, с которым установлена связь при межсетевом
взаимодействии.
Но ключей связи с узлом СУ5_6670 на узлах СУ1_6671 пока нет, поэтому отправить
сообщение или письмо по защищенному каналу не удастся. Для создания ключей связи
необходимо перейти в УКЦ.
Замечание: Программа Деловая Почта узлов СУ1_6671 при попытке отправки
письма новому узлу СУ5_6670 выдаст сообщение такого типа (Рис.3.82):
136
Ошибка отправки письма N 1
Нет клинчей для связи с абон
с абонентским пунктом получателя '[СУ5_6670 (Сеть N 6670)]'
ОК
Рис.3.82.Сообщение об ошибке
Программа Монитор узлов СУ1_6671 при попытке отправки сообщения (чат)
или файла по файловому обмену новому узлу СУ5_6670 выдаст сообщение
(Рис.3.83):
1^ Rc=32: CEnvelope: :PackEnvelope error: Rc=32 <Ключ не найден.>
Рис.3.83.Сообщение об ошибке
• Переходим в УКЦ 6671 по двум причинам:
поскольку в ЦУСе 6671 сформированы справочники для УКЦ с целью создания ключей
связи своих узлов СУ1_6671 с узлами первой сети СУ5_6670,
поскольку из сети №6670 пришел Начальный Экспорт, в состав которого входят
компоненты, которые нужно импортировать в УКЦ сети №6671, а именно, Справочник
Отозванных Сертификатов (СОС) из сети №6670 и Справочники сертификатов ЭЦП
Уполномоченных лиц сети № 6670.
• Загружаем УКЦ сети №6671, появляется сообщение (Рис.3.84):
Рис.3.84.Вопрос об импорте справочника сертификатов ЭЦП УЛ из смежной сети
На вопрос об импорте справочника сертификатов ЭЦП УЛ из смежной сети (сети № 6670)
отвечаем утвердительно «Да».
Далее появляется сообщение (Рис.3.85).
Обнаружен справочник сертификатов ЭЦП
главных абонентов из смежной сети.
Вы желаете импортировать его сейчас?
Yes
No
137
I j Полученные сертификаты ЭЦП
\С главных абонентов сети "6670"
уже существуют в хранилище сертификатов,
Такие сертификаты не треб у нот
импорта и будут удалены.
Рис.3.85.Сообщение о наличии в хранилище сертификатов ЭЦП УЛ
сети № 6670
После нажатия кнопки «ОК» появляется сообщение (Рис.3.86).
9 , Поступила информация об изменении вариантов сетевых узлов смежных сетей
*'"*' Желаете сформировать новые ключевые наборы для всех'связанных с ними сетевых уз нов
своей сети?
No
Рис.3.86.Вопрос о формировании новых КН для своих узлов
На вопрос «Желаете сформировать новые ключевые наборы для всех
связанных с ними сетевых узлов своей сети?» отвечаем утвердительно «Да».
Запускается электронная рулетка и формируются новые КН для всех узлов
СУ1_6671, которые связаны с узлом СУ5_6670 сети №6670 (Рис.3.87).
П ро гра м м а ^ /}е йств и я^ ^ ^К^н^ф|Тг^р^ ц и я ^ ^ В и д По м о щь *~% ~-^~
Назад
- Ключевом центр
- __] Абоненты
13 Своей сеп i
О Смежных сетей
- Сетевые узлы
Сз Своей сети
QСмежных сетей
—I Администраторы
- -J Готовые ключи
lJ Абонентов
}
—i Д11С Tp 11О У ШВЫ
- _J Мастер-ключ и
- LJ Действующие
. Вверх
..Дерево
HacTi
! Имя
l/^CM Сервер Филиал
\(vАП Компьюте|:>_:?; (Петров)
j?^АП Компьютер_4 (Васечкин)
Идентн.
1A0F00.
1 АО 100.
1A0F00.
Тип
Пол мы и
Полный
Полный
Фильтр
▼ ! 1 екать е|Им
ГОТОВО
Рис.3.87.Готовые ключевые наборы для удлов сети № 6671
• УКЦ 6671:
Готовые КН из Ключевой центр -> Своя сеть ViPNEt -» ключи -> Ключевые неаборы
переносим в ЦУС №6671 (Рис.3.87).
Для этого выделяем узлы, для которых созданы КН, по правой кнопке мыши выбираем
Перенести -> В ЦУС.
138
Возвращаемся в ЦУС 6671: Появляются сообщения «Из УКЦ поступили новые ключи
для АП» и затем «Отправить ключи?» (Рис.3.88):
Отправить ключи?
Из УКЦ поступили новые ключи для ДП
Рис.3.88.Вопрос об отправке ключей
• ЦУС 6671:
Отправляем новые КН из Управление -> Отправить измененные файлы Ключевые
наборы для СУ -> Отправить.
Выбираем время, когда мы хотим, чтобы прошло обновление ключей для своих АП и СМ.
• После прохождения обновления ключей в программах Монитор и Деловая Почта узлов
СУП3671 появятся ключи для связи с узлом СУ5__6670 сети №6670.
Шаг 3(6)
Приём Ответного Экспорта Администратором сети 6670
ЦУС 6670: После того, как Ответный Экспорт из сети № 6671 дойдет до ЦУСа сети №
6670, в ЦУСе сети № 6670 появится сообщение «Имеется необработанный импорт.
Обработать его сейчас?» (Рис.3.89).
Рис.3.89.Окно «Необработанный импорт» в ЦУСе сети № 6670
На вопрос «Обработать его сейчас?» отвечаем «Да», попадаем в окно
Необработанный импорт и там просматриваем Отличия в импорте, нажав
кнопку Службы -> Необработанный импорт -> Отличия (Рис.3.90).
Рис.3.90.Отличия в импорте в ЦУСе сети № 6670
После просмотра Отличий обрабатываем импорт. Для этого нажимаем
кнопку Обработать.
139
Появляется сообщение «Есть изменения в IMPORT. Рекомендуется
сформировать справочники» (Рис.3.91):
Есть изменения в IMPORT.
Рекомендуется сформировать справочники
Рис.3.91.Информационное окно
Далее, как нам советует программа ЦУС, формируем все справочники, нажимая Службы
Сформировать все справочники. После чего получаем сообщение (Рис.3.92):
Новые Файпы не найдены
Затраченное время:
Рис.3.92.Информационное окно
Это сообщение информирует нас о том, что мы закончили модификацию
межсетевого взаимодействия сетей № 6670 и № 6671.
Замечание: Если Администратор Сети № 6670 снова сделает какие-либо изменения в
структуре своей сети, которые затрагивают узлы другой сети № 6671, и отошлет экспорт в сеть
№ 6671, то в ЦУСе сети № 6671 опять появится сообщение «Имеется необработанный
импорт. Обработать его сейчас?».
В этом случае все действия по приему экспорта необходимо проделать в том же порядке.
На этом задание 3.3.1 по добавлению узла СУ5_6670 в межсетевое взаимодействие
сетей № 6670 и № 6671 заканчивается.
Задание 3.3.2. Удаление СУ из межсетевого взаимодействия
Условия модификации межсетевого взаимодействия
• Будем считать, что межсетевое взаимодействие сетей №6670 и №6671 функционирует
нормально:
- в обеих сетях имеется СМ-шлюзы и Сетевые Узлы, которые обмениваются
информацией по защищенным каналам связи.
• В сети №6671 имеется узел АП Компьютер_4 (Васечкин), на котором зарегистрирован
один коллектив ТК Компьютер_4 (Васечкин) и работает один пользователь Васечкин,
который участвует в межсетевом взаимодействии сети №6671 с сетью №6670.
• Требуется:
140
удалить узел АП Компьютер_4 (Васечкин) из межсетевого взаимодействия
сетей №6671 и №6670.
Шаг 4 (6)
Формирование Начального Экспорта Администратором сети 6671 для сети 6670
• ЦУС 6671: Создаем архив ЦУСа.
Для этого заходим в Службы -» Архивы баз данных -> Создать.
Если при формировании экспорта вы допустили какую-либо ошибку, то можно будет
зайти в Службы -» Архивы баз данных. Выбрать созданный архив и нажать Восстановить,
т.е. восстановить прежнее состояние ЦУСа.
• ЦУС 6671: Удалим ТК Компьютер_4 (Васечкин) и АП Компьютере (Васечкин) из
межсетевого взаимодействия с сетью №6670. Для этого:
Заходим в Службы -> Экспорт.
Из списка Экспорта выбираем нужный номер сети (в данном случае - это сеть 6670).
Нажимаем Экспорт -> ТК.
Выбираем из списка ТК Компьютер_4 (Васечкин). Далее нажимаем Удалить. На вопрос
«Вы уверены, что хотите удалить?» отвечаем Да. Затем Выйти.
Нажимаем Экспорт -> Узлы.
Выбираем из списка АП Компьютер^ (Васечкин). Далее нажимаем Удалить. На вопрос
«Вы уверены, что хотите удалить?» отвечаем Да. Затем Выйти.
Далее Экспорт —> Копировать в папку (по умолчанию) ..\New\Export. В этом каталоге
можно посмотреть справочники экспорта, котрые будут отсылаться в сеть №6670.
• ЦУС 6671: Проверим связи ТК Компьютер_4 (Васечкин).
Для этого заходим в Службы -» Прикладная администрация Регистрация типов
коллективов.
Нажимаем Связи.
В появляющемся окне списка связей коллектива ТК Компьютер_4 (Васечкин) удаляем
коллективы (ТК) сети №6670 (связи со ТК сети № 6671 оставляем).
• ЦУС 6671: Далее формируем все справочники.
Для этого нажимаем Службы -> Сформировать все справочники.
Создаются новые Справочники АП, Таблицы маршрутизации, Экспорт (в сеть №6670),
Файлы для своего УКЦ и появляется сообщение (Рис.3.93).
Внимание! Не спешите закрывать окно, представленное на Рис.3.93.
Внимательно посмотрите, какие новые файлы найдены.
От того, какие новые файлы найдены, зависит ваша дальнейшая работа с
программами ЦУС и УКЦ.
141
Найдены новые Файпы: J
Справочники АП: 1 5
Табпицы маршрутизации: 1 f
Экспорт в другие сети: 1 S
Справочники для УКЦ: 2 S
Затраченное время: f
Рис.3.93.Новые сформированные файлы
После нажатия кнопки Сформировать все справочники программа ЦУС
проанализировала структуру сети и в связи с изменениями в структуре сети
создала новые справочники:
Справочники для АП - их нужно будет отправить на свои Абонентские Пункты.
Таблицы маршрутизации - их нужно будет отправить на свои Серверы-
маршрутизаторы/
Экспорт в другие сети - нужно будет передать в другие сети, а именно, в сеть №6670 -
это и есть Начальный экспорт в сеть №6670.
Справочники для УКЦ (Удостоверяющего Ключевого Центра) - наличие этих
справочников сигнализирует о том, что в УКЦ вам нужно сделать новую ключевую
информацию для АП Компьютере (Васечкин), поскольку он теперь не связан с узлами сети
№6670.
Справочники для УКЦ помещаются в папку обмена с Ключевым Центром -
..\ViPNet[AflMHHHCTpaTop]\From_NCC.
• ЦУС 6671: Сформированные адресные справочники, таблицы маршрутизации и Экспорт в
сеть №6670 можно сразу же отправить.
Отправим адресные справочники и таблицы маршрутизации на свои узлы:
- Для этого выбираем Управление -> Отправить измененные файлы
Справочники АП и СМ. Выделяем узлы и нажимаем Отправить.
- Выбираем время, когда хотим, чтобы прошло обновление на свои АП и СМ и
нажимаем Принять.
Отправим Начальный Экспорт в сеть №6670:
- Для этого выбираем Управление -> Отправить измененные файлы.
- Из списка сетей, с которыми у вас имеется межсетевое взаимодействие,
выбираем номер сети, в которую нужно отправить экспорт (в данном случае
это сеть № 6670) и нажимаем Отправить.
Поскольку ЦУС 6671 сформировал справочники для УКЦ, переходим в УКЦ
6671.
• УКЦ 6671: Выбираем Сервис -> Автоматически создать. Ключевые наборы
Создаются ключи связи (КН) для АП Компьютер_4 (Васечкин).
• УКЦ 6671: Переносим готовые КН для АП Компьютер_4 (Васечкин) в ЦУС.
Для этого выбираем Ключевой центр -> Своя сеть \ЛРМе^ключи -> ключевые
наборы и переносим по правой кнопке мыши готовые КН в ЦУС.
142
Возвращаемся в ЦУС 6671
• ЦУС 6671: Появляются сообщения (Рис.3.94):
Из УКЦ поступили новые ключи для ЯП Отправить ключи?
Рис.3.94.Вопрос об отправке ключей
• ЦУС 6671: Отправляем новые ключи на АП Компьютере (Васечкин). Для этого:
Выбираем Управление -> Отправить измененные файлы -> Ключевые наборы для
СУ.
Отмечаем АП Компьютере (Васечкин) и затем нажимаем Отправить.
Выбираем время, когда хотим, чтобы прошло обновление на АП Компьютере (Васечкин)
и нажимаем Принять.
• После приема обновлений справочников и ключей на АП Компьютере (Васечкин):
в программе Монитор этого узла в окне Защищенная сеть должны удалиться фильтры
для сетевых узлов сети №6670, с которыми Васечкин был связан,
в Адресной книге программы Деловая Почта пропадут записи для узлов, коллективов и
пользователей сети №6670.
Шаг 5(6)
Приём начального экспорта из сети 6671 и формирование Ответного Экспорта
Администратором сети 6670
• ЦУС 6670: Появляется сообщение «Имеется необработанный импорт. Обработать его
сейчас?». Отвечаем «Да» (Рис.3.95).
Имеется необработанный импорт. Обработать его сейчас?
Рис.3.95.Вопрос об обработке импорта
Просматриваем отличия в пункте меню Службы Необработанный
импорт -> Отличия.
Отличия (Рис.3.96) содержатся в справочниках пользователей сети 6671,
списках регистрации узлов из сети 6671, списках удаленных связей ТК из сети
6671, справочниках СУ из сети 6671, справочниках связей ТК из сети 6671,
персональных списках пользователей из сети 6671, справочников типов
коллективов из сети 6671.
143
F1 Помощь
Рис.3.96.Отличия в импорте в ЦУСе сети № 6670
Замечание: До приема импорта (на случай непредвиденных ситуаций) можно
создать архив ЦУСа. Для этого нужно зайти в Службы -> Архивы баз данных
-> Создать.
Если в процессе приема импорта вы допустили какую-либо ошибку, то
можно будет зайти в Службы -> Архивы баз данных, выбрать созданный
архив и нажать Восстановить.
• ЦУС 6670: Обрабатываем импорт, для чего нажимаем Обработать.
Далее появляется сообщение «Есть изменения в IMPORT. Рекомендуется
сформировать справочники» (Рис.3.97):
Есть изменения в IMPORT.
Рекомендуется сформировать справочники
Рис.3.97.Информационное окно
• ЦУС 6670: Проверяем, имеют ли свои коллективы (ТК) связь с ТК Компьютер_4
(Васечкин).
Для этого заходим в Службы -> Прикладная администрация -> Регистрация типов
коллективов.
В списке ТК должен отсутствовать ТК Компьютер__4 (Васечкин) из сети №6671.
• ЦУС 6670: Далее формируем все справочники
Для этого нажимаем Службы -» Сформировать все справочники.
Создаются новые Справочники АП, Таблицы маршрутизации, Экспорт (в сеть №6671),
Файлы для своего УКЦ и появляется сообщение (Рис.3.98).
144
Внимание! Не спешите закрывать окно, представленное на Рис.3.98.
Внимательно посмотрите, какие новые файлы найдены.
От того, какие новые файлы найдены, зависит ваша дальнейшая работа с
программами ЦУС и УКЦ.
Найдены новые Файлы: (
Справочники ЯП: 2 |
Таблицы маршрутизации: 2 |
Экспорт в другие сети: 1 §
Справочники для УКЦ: Ч |
Затраченное время: s
Рис.3.98.Новые сформированные файлы
После нажатия кнопки Сформировать все справочники программа ЦУС
проанализировала структуру сети и в связи с изменениями в структуре сети
создала новые справочники:
Справочники для АП - их нужно будет отправить на свои Абонентские Пункты.
Таблицы маршрутизации - их нужно будет отправить на свои Серверы-
маршрутизаторы.
Экспорт в другие сети - нужно будет передать в другие сети, а именно, в сеть №6671 -
это и есть Ответный экспорт в сеть №6671.
Справочники для УКЦ (Удостоверяющего Ключевого Центра) - наличие этих
справочников сигнализирует о том, что в УКЦ вам нужно сделать новую ключевую
информацию для своих узлов, поскольку они теперь не связаны с узлом АП Компьютере
(Васечкин) сети №6671.
Справочники для УКЦ помещаются в папку обмена с Ключевым Центром -
..\ViPNet[AflMHHHCTpaTop]\From_NCC.
• ЦУС 6670: Сформированные адресные справочники, таблицы маршрутизации и Экспорт в
сеть №6671 можно сразу же отправить.
Отправим адресные справочники и таблицы маршрутизации на свои узлы:
- Для этого выбираем Управление -> Отправить измененные файлы -»
Справочники АП и СМ. Выделяем узлы и нажимаем Отправить.
- Выбираем время, когда хотим, чтобы прошло обновление на свои АП и СМ и
нажимаем Принять.
Отправим Ответный Экспорт в сеть №6671:
- Для этого выбираем Управление -» Отправить измененные файлы ->
Экспорт.
- Из списка сетей, с которыми у вас имеется межсетевое взаимодействие,
выбираем номер сети, в которую нужно отправить экспорт (в данном случае
это сеть № 6671) и нажимаем Отправить.
Замечание: Сеть №6670 передает в сеть №6671 Ответный Экспорт,
который в данном случае состоит из одного файла справочника UC6670.txt, в
котором прописаны связи коллективов сетей №6670 и №6671.
145
• После приема на узлах сети №6670 обновлений справочников в программе Монитор в
окне Защищенная сеть должен отсутствовать фильтр для АП Компьютер_4 (Васечкин) из
сети №6671.
Поскольку ЦУС 6670 сформировал справочники для УКЦ, то переходим в УКЦ
6670.
• УКЦ 6670: Вызываем Программа -> Автоматическое формирование ключей.
Создаются ключи связи (КН) для своих узлов, которые были связаны с АП Компьютер_4
(Васечкин).
• УКЦ 6670: Переносим готовые КН для своих узлов в ЦУС.
Для этого выбираем Ключевой центр -> Своя сеть ViPNet -> ключи -> Ключевые
наборы и переносим по правой кнопке мыши готовые КН в ЦУС.
• Возвращаемся в ЦУС 6670: Появляется сообщение
«Из УКЦ поступили новые ключи для АП» и затем
«Отправить ключи?» (Рис.3.99):
| Из УКЦ поступили новые ключи для АП Отправить ключи?
Рис.3.99.Вопрос об отправке ключей
• ЦУС 6670: Отправляем новые ключи на свои узлы. Для этого:
Выбираем Управление -> Отправить измененные файлы -> Ключевые наборы для
СУ
Отмечаем узлы, на которые нужно отправить, и затем нажимаем Отправить.
Выбираем время, когда хотим, чтобы прошло обновление на выделенные узлы, и
нажимаем Принять.
• После приема обновлений справочников и ключей на узлах сети №6670:
в программе Монитор этих узлов в окне Защищенная сеть должен удалиться фильтр
для узла АП Компьютер_4 (Васечкин) из сети №6671;
в Адресной книге программы Деловая Почта пропадут записи для узла АП
Компьютер^ (Васечкин), коллектива ТК Компьютер_4 (Васечкин) и пользователя Васечкин
из сети №6671.
Шаг 6(6)
Приём ответного экспорта Администратором сети 6671
Загружаем ЦУС 6671.
• ЦУС 6671: Появляется сообщение «Имеется необработанный импорт. Обработать его
сейчас?» (Рис.3.100). Отвечаем Да.
146
Имеется необработанный импорт. Обработать его сейчас?
Рис.3.100.Вопрос об обработке импорта
• ЦУС 6671: Просмотрим отличия в Службы —» Необработанный импорт Отличия.
Пришло обновление справочника связей сетей UC6670.txt из сети №6670 (Рис.3.101).
ххххИсчеэли строки в иСбе70.ТХТ|(свяои ТКио сети 6670)*
Рис.3.101.Вопрос об обработке импорта
• ЦУС 6671: Обрабатываем импорт. Для этого нажимаем Службы -> Необработанный
импорт -> Обработать.
• ЦУС 6671: Появляется сообщение «Есть изменения в IMPORT. Рекомендуется
сформировать справочники» (Рис.3.102).
Есть изменения в IMPORT.
Рекомендуется сформировать справочники
Рис.3.102.Информационное окно
ЦУС 6671: Формируем все справочники: Службы -» Сформировать все справочники. В
результате появляется сообщение «Новые файлы не найдены» (Рис.3.103).
Новы© Файлы не найдены
Затраченное время:
Рис.3.103.Информационное окно
На этом задание 3.3.2 по удалению АП Компьютер__4 (Васечкин) из межсетевого
взаимодействия сетей №6670 и № 6671 заканчивается.
Рис.3.104.
147
Контрольные вопросы
• Какие виды (типы) межсетевых мастер-ключей используются в версии 3.0?
• Какие виды экспорта необходимо сформировать для обеспечения взаимодействия
между сетями ViPNet? Что будет входить в состав экспортной информации?
• Где хранятся Мастер-ключи в программной оболочке и на диске?
• Где хранятся резервные персональные ключи в программной оболочке и на диске?
• Что должен сделать администратор при смене одного из Мастер-ключей системы?
• Есть ли отличия в развертывании рабочего места Администратора сети ViPNet в
версиях 2.8 и 3.0?
• Какова длина ключей шифрования и ЭЦП в ПО ViPNet Custom версии 3.0?
148
Практическое занятие 4 . Работа с ПО ViPNet (Координатор) Linux
Цель занятия №4
• Ознакомление с особенностями ПО ViPNet [Координатор] Linux версии 3.0.
• Установка и настройка ViPNet [Координатор] Linux версии 3.0 в составе защищенной
сети.
• Настройка и эксплуатация ПО ViPNet [Координатор] Linux в режиме горячего
резервирования
Содержание
• Состав программного обеспечения ViPNet Linux
• Некоторые особенности установки ViPNet Linux
• Способы установки ПО ViPNet Linux
• Установка ViPNet Linux
• Удаление ViPNet Linux
• Описание консольный утилит, входящих в состав ПО Координатор Linux
• Обзор каталогов и файлов конфигурации, необходимых для работы ПО,
окончательный этап настройки
• Задания по настройкам ПО ViPNet Linux Координатора
• Настройка и эксплуатация ПО ViPNet Linux Координатор в режиме горячего
резервирования
Состав программного обеспечения ViPNet Linux
Компьютер с установленным ПО ViPNet Linux может использоваться в качестве Клиента
или Координатора, в зависимости от того, какие ключевые базы (dst-файл) используются на
конкретном компьютере.
ПО ViPNet Linux состоит из следующих функциональных частей:
Низкоуровневый драйвер сетевой защиты - drviplir, взаимодействующий
непосредственно с драйверами сетевых карт и контролирующий весь обмен трафиком данного
компьютера с внешней сетью.
Управляющая программа-демон - iplircfg, которая осуществляет загрузку
необходимых параметров драйверу, рассылку и прием информации об IP-адресах клиентов,
ведение журнала трафика и т.п. Рекомендуется, чтобы эта программа всегда была запущена,
но при ее останове драйвер продолжает работать и обмен трафиком не прерывается.
Консольные утилиты iplir, позволяющие просматривать информацию об объекте сети
ViPNet, журнал трафика, работать с конфигурациями настроек и т.п.
Программа-демон слежения - watchdog, которая следит за наличием в памяти
демонов ViPNet (iplircfg, mftpd) и периодически, если не находит их в процессах, перезапускает.
Кроме того, данный демон может регистрироваться в драйвере watchdog и осуществляет его
периодический опрос. В случае аварийного завершения работы программы слежения, что
свидетельствует о нестабильной работе системы, опрос драйвера watchdog завершается, и он
перезагружает систему.
Демон резервирования -failover, который позволяет настроить кластер из двух
компьютеров, видимых в сети как один логический узел. Один из узлов работает, в то время
как второй находится в режиме ожидания. Если на активном компьютере происходит какой-
либо сбой, он перезагружается и входит в режим ожидания, а второй компьютер кластера
берет на себя функции активного. Этот процесс происходит практически прозрачно для других
компьютеров сети.
149
Демон - mftp, который обеспечивает передачу конвертов Деловой Почты и файлового
обмена между рабочими станциями, а также удаленное обновление справочников, ключевых
баз станций и ПО ViPNet.
Демон - snmp, который позволяет получать статистику работы ViPNet с удаленных узлов
по протоколу SNMP.
Некоторые особенности установки ViPNet Linux
Для установки ПО ViPNet Linux необходим компьютер с процессором Pentium-Ill 450MHz
или выше, не менее 100 Мбайт свободного места на жестком диске, не менее 128 Мбайт
оперативной памяти. На компьютере должна быть установлена ОС Linux одного из следующих
дистрибутивов:
• RedHat Linux 7.3;
• RedHat Enterprise Linux 4.0 AS;
• Linux SuSe 9.2, 10.0;
• SuSE Linux Enterprise Server 10;
• Linux Slackware 10.2 (только ядро 2.4.31).
Работа ViPNet Linux на других дистрибутивах Linux возможна, но не гарантируется. Также
не гарантируется нормальная работа ПО ViPNet Linux на одном компьютере совместно со
сторонними средствами преобразования трафика, со сторонними средствами защиты,
работающими на канальном, сетевом или транспортном уровне (в частности, ipchains и
iptables), и со сторонними средствами шифрования трафика (IPSec и т.д.).
В системе должно использоваться ядро Linux из подмножества версий 2.4.x (от 2.4.2 до
2.4.31 включительно) или 2.6.x (до 2.6.18 включительно).
Для установки необходимо иметь:
• Дистрибутив ПО ViPNet Linux;
• Дистрибутив ключевых баз, которые будут использоваться на данном компьютере,
(файл *.dst).
Установка производится пользователем, имеющим права администратора (root, user ID
= 0).
При установке необходимо иметь доступ к консоли компьютера, на котором
устанавливается ViPNet, поскольку до окончательной настройки необходимых параметров
компьютер может оказаться недоступным по сети.
ViPNet Linux работает в тесном взаимодействии с другими компонентами ViPNet (ЦУС,
УКЦ), которые работают в ОС Windows. При этом через систему удаленного обновления на
компьютеры с ПО ViPNet Linux пересылаются некоторые файлы, содержащие ключи и другую
информацию.
Поскольку в Windows, в отличие от Linux, имена файлов и каталогов не являются
чувствительными к регистру символов, то реальное имя файла в Windows может содержать
строчные или заглавные буквы в зависимости от многих факторов, не всегда зависящих от
создающей их программы.
ViPNet Linux преобразует все используемые им имена файлов и каталогов в нижний
регистр.
Внимание: Для того, чтобы избежать потенциальных проблем, необходимо соблюдать
несложное правило:
Все имена каталогов, в которые распаковывается дистрибутив ViPNet Linux, в которых
хранятся ключевые базы и т.п., должны содержать только латинские символы нижнего
регистра, цифры, а также знаки «минус», «подчерк» и т.п.
Не используйте заглавные символы в этих именах.
Перед установкой ПО ViPNet Linux необходимо проверить наличие необходимых
системных компонент и установить те из них, которые не установлены.
150
Инсталлятор ViPNet Linux не проверяет наличие в системе этих компонент и при попытке
установки ViPNet Linux на компьютере, где их нет, система может оказаться в
неработоспособном состоянии.
Для работы ПО необходимы следующие установленные пакеты (Таблица 1)
Таблица 1
Название пакета
Версия,
не ниже
не выше
Ядро Linux серии 2.4.x, или
Ядро Linux серии 2.6.x
2.4.2
2.6.0
2.4.31
2.6.18
bash - командный интерпретатор
1.10
syslogd - менеджер системных логов
1.3
modutils - пакет для работы с модулями
2.1
sh-utils - пакет для командного интерпретатора
2.0
fileutils - пакет для работы с файлами
4.0
psmisc - программы работы с процессами
18.3
net-tools - программы работы с сетью
1.53
grep - программа анализа строк
2.3
logrotate-утилита ротации логов
3.0
гоп - системный планировщик задач (необходим
автоматический запуск при старте системы для
работы функционала ротации логов.
3.0
Для установки ПО, дополнительно к указанным необходимы следующие пакеты (их можно
удалить после успешной установки ViPNet):
Название пакета
Версия, не ниже
Версия, не выше
дсс - Компилятор Си
Серии 2.x не ниже 2.95
Серии 3.x не ниже 3.2
Серии 4.x не ниже 4.0.2
Id - компоновщик
2.1.9
glibc - системные библиотеки
2.1.3
При использовании патча ядра для
перехвата сетевых пакетов:
Исходные тексты ядра Linux серии
2.4.x, или
Исходные тексты ядра Linux серии 2.6.x
2.4.2
2.6.0
2.4.31
2.6.18
tar - архиватор
1.13
make - обработчик скриптов сборки
3.75
gzip - компрессор файлов
1.2
patch - программа установки патча
2.5
151
Способы установки ПО ViPNet Linux
В настоящий момент ПО ViPNet Linux поддерживает два способа инсталляции:
использование патча ядра,
использование технологии NETFILTER.
А. Использование патча ядра
Первый способ требует, чтобы перед установкой ПО ViPNet Linux был установлен
специальный патч ядра, поставляемый с дистрибутивом ПО ViPNet Linux.
После установки патча ядро Linux необходимо пересобрать и только после этого
производить установку ПО ViPNet Linux.
Кроме того, при использовании данного способа не рекомендуется использовать
исходные тексты ядра Linux, которые поставляются в составе дистрибутивов.
Б. Использование технологии NETFILTER
В случае использования технологии NETFILTER установка патча не требуется,
функционал перехвата пакетов является стандартным компонентом любого из
поддерживаемых ядер Linux.
В большинстве случаев необходимые параметры ядра включены по умолчанию и
пересборка ядра не требуется.
При выборе данного варианта перехвата пакетов можно использовать ядра,
поставляемые с поддерживаемыми дистрибутивами Linux, а не только официальные версии
ядер.
Выбор метода встраивания ПО ViPNet Linux остается за Вами.
Важное замечание: При использовании технологии NETFILTER с некоторыми
дистрибутивами Linux на основе ядра серии 2.6.x без пересборки ядра необходимо
установить ряд пакетов, требуемых для сборки драйверов ViPNet.
Таблица 2
Название дистрибутива
Название пакета
SuSe Linux Professional 9.2,
SuSe Linux 10.0
kernel-source
Slackware 10.2
kernel-source-2.4.31-noarch-1
SuSE Linux Enterprise Server
10.0
kernel-source-2.6.16.21-08
В рамках данного курса рассмотрим установку ПО ViPNet Linux только с
использованием технологии NETFILTER.
Установка ViPNet Linux
Установка ПО ViPNet Linux состоит из нескольких этапов:
1 этап. Распаковка архива дистрибутива ПО ViPNet Linux.
2 этап. Установка ПО ViPNet Linux из распакованного дистрибутива.
3 этап. Распаковка дистрибутива ключевых баз - dst-файла.
4 этап. Первоначальные настройки.
5 этап: Загрузка модулей для корректной работы ПО ViPNet Linux.
152
; Создание конфигурационных файлов.
1 этап: Распаковка дистрибутива ПО ViPNet Linux
Скопируйте в какой-либо каталог, например, в каталог /оР« архив с файлами
дистрибутива ПО V.P.e, Linux,
• Находясь в папке /opt из консоли распакуйте данный архив командой
tar xvfz <file>,
где <file> = distribute-i386-linux2.x-*.tar.gz - это архив с ПО ViPNet Linux.
• После распаковки архива distribute-i386-linux2.x-*.tar.gz в папке /opt будет создан
каталог distribute, внутри которого находится несколько каталогов - doc, patch и, кроме
того, файл distribute.tar.gz, в котором находится дистрибутив ПО ViPNet Linux (Рис.4.1).
ГЖ~~—— ^ Boc4,m_|l;s settings Help
|Lt: FTP is built in the Midnight Uonmander, check the File/Hr Q
1Ше1р:/ТМе;«В 3UieW 4Edit SCopy^Ren^^
Рис.4.1.Папка с дистрибутивом ПО ViPNet Linux
2 этап: Установка ПО ViPNet Linux
Переходим в каталог distribute и из консоли выполняем команду инсталляции ПО
ViPNet Linux:
./install.sh
затем, нажав Cntr-O, перейти в консоль,
- либо В КОНСОЛИ ВВеСТИ KOIv^Hfl^Opt^diS^ _
драЛоГ;==:^
конфигурирование ViPNet Linux.
153
Инсталляция состоит из следующих шагов:
- Step 1: Выбор дистрибутива ПО ViPNet Linux. На данном этапе инсталлятор
проводит поиск доступных для установки дистрибутивов ПО ViPNet Linux в текущем каталоге. В
каталоге distribute инсталлятор найдет дистрибутив distribute.tar.gz, который и будет
предложен для установки. Из двух вариантов ответа выбираем первый - [1], т.е. выбираем
данный файл дистрибутива для установки и нажимаем Enter. Далее отвечаем Yes на вопрос о
желании продолжить инсталляцию.
- Step 2: Распаковка выбранного дистрибутива ПО ViPNet Linux. После успешного
выбора дистрибутива инсталлятор производит его распаковку во временный каталог и после
завершения распаковки выводит лицензионное соглашение. Переход к следующему этапу
инсталляции возможен только после подтверждения согласия с лицензионным соглашением -
Yes.
- Step 3: Анализ текущей установленной конфигурации ViPNet. Здесь программа
пытается найти уже установленное ПО. Так как мы с Вами этого не имеем, то переходим к
следующему пункту. Замечание: Если найдена установленная конфигурация ViPNet, то
пользователю задается вопрос - хочет ли он использовать текущую конфигурацию. В случае
положительного ответа конфигурация сохраняется, а в случае отрицательного в процессе
дальнейшей установки будет предложено выбрать новую конфигурацию.
- Step 4: Подготовка к установке. На данном этапе проводится ряд дополнительных
проверок и ряд других действий, необходимых для дальнейшей установки (определение
метода перехвата пакетов, поддержка дистрибутива Linux, компилятора и т.д.). Переход к
следующему этапу возможен лишь при успешном окончании подготовительного этапа. На
вопрос о желании продолжить инсталляцию отвечаем Yes.
- Step 5: Установка драйверов. Производится окончательная компиляция драйверов
под текущее ядро Linux и их установка.
- Step 6: Установка приложений. На текущей стадии производится установка
приложений, скриптов, файлов конфигурации, конфигурация стартовых скриптов.
- Step 7: Сохранение параметров автоматического старта приложений.
- Замечание: В случае если на step 3 была обнаружена текущая установленная
конфигурация ViPNet Linux, и пользователь решил ее сохранить, то после успешного
сохранение параметров автоматического старта приложений (step 7) пользователю будет
предложено стартовать службы ViPNet Linux. На этом процесс инсталляции завершается. Если
пользователь отказался стартовать службы ViPNet Linux, то он должен запустить их вручную
или перезагрузить компьютер.
- Step 8: Выбор файла конфигурации ViPNet Linux (*.dst - дистрибутива
ключевых баз). На данном этапе инсталлятор проводит поиск доступных файлов
конфигурации (файлов с расширением *.dst) в текущем каталоге. Пользователю также
предлагается:
о [1] - выбрать другой каталог для поиска или
о [2] - закончить установку. В случае завершения установки на текущем этапе
пользователю необходимо будет выбрать файл конфигурации вручную и распаковать его в
выбранный каталог командой.
о Выбираем [2] и операцию распаковки ключевых баз выполним в следующем пункте
(Рис.4.2).
Замечание: Если во время инсталляции у вас возникли какие-либо ошибки и
вы не дошли до Step 8, то причину их возникновения можно найти в лог-
файле vipnet_install.log.
154
Session Edit View Bookmarks Settings Help
-}□]*
CC CM] /tmp/distll49811460/src/tmp/drukrniface.o
* j
LD [Ml /tmp/distll49811460/src/tmp/itcsud.o
Building modules, stage 2.
MODPOST
CC /tmp/distll49811460/src/tmp/itcsud.mod.0
LD [M] /tmp/distll49811460/src/tmp/itcsud.ko
nake[l]: Leauing directory Vusr/src/1inux-2.6.5-7.97-obj/i386/default'
STEP 6: Install applications
STEP 7: Saue startup configuration
STEP 8: Select UiPNet configuration file (~.DST)
Searching in '/opt/distribute'...
[ 1 ] Change directory
L 2 ] Skip selection
Choice:2
Please select and unmerge UiPNet configuration file manually! (See documenta
t ion)
Installation completed.
linux:~ tt В
it i
* i
Рис.4.2.Окончание установки ПО ViPNet Linux
Итак, после успешного завершения всех вышеописанных действий нам необходимо
сделать step 8, т.е. распаковать файл *.dst с дистрибутивом ключевых баз.
3 этап (step 8): Распаковка дистрибутива ключевых баз - *.сЫ-файла
• После установки ПО ViPNet Linux необходимо установить справочно-ключевую
информацию для вашей Linux-станции, которая содержится в дистрибутиве ключевых
баз - в файле abn_AAAA.dst, где АААА - последние четыре цифры из идентификатора
пользователя. Данный файл передается администратору Linux-станции
администратором сети ViPNet,
• Для того, чтобы распаковать дистрибутив ключевых баз - файл abn_AAAA.dst
выполняем команду (Рис.4.3):
unmerge abnAAAA.dst /opt/iplir .
Замечание: Программа unmerge предназначена для распаковки dst-
файлов - дистрибутива ключевых баз ViPNet.
Программа unmerge расклеивает заданный файл в заданный
каталог. Если каталог не существует, он создается:
unmerge <файл_дистрибутива> <каталог_распаковки>
После выбора каталога производится автоматическая распаковка файла конфигурации
abn_AAAA.dst в указанный каталог (Рис.4.3).
' '".'i-In!'*
Sesstor
i Edit View
Bookmc
irks Settings Help
linux:~ й cd /opt/distribute/coordinator_l/
1 inux :/opt/distribute/coordinator__l ft Is
1 inux:/opt/distribute/coordinator_l ft unmerge abn_0001.dst /opt/iplir
1 inux:/opt/distribute/coordinator_l й |
Рис.4.3.Распаковка дистрибутива в каталог/opt/iplir
В каталоге /opt/iplir размещается (Рис.4.4):
- ваша Ключевая Дискета в папке /opt/iplir/user/key_disk (Рис.4.5),
155
ваш Ключевой Набор в папке /opt/iplir/station (Рис.4.5),
адресные справочники, таблицы маршрутизации, лицензионный справочник
infotecs.re в папке /opt/iplir.
Session Edit View Bookmarks Settings He
linux: tt cd /opt/distribute/coordinator_l/
1inux:/opt/distribute/coordinator_l tt Is
1inux:/opt/distribute/coordinator_l tt immerge abn_Q001.dst /opt/iplir
1inux:/opt/distribute/coordinator_l tt cd /opt/iplir/
1inux:/opt/iplir tt Is
apa00Oa.txt extnet.doc nmatrix.dat nodel.tim user
apnOOOa.crg infotecs.re node1.map nodel.xnu
0001.pk apnOOOa .txt ipl iradr .doc nodel.reg stat u.m
1inux:/opt/iplir tt |
Рис.4.4.Каталог /opt/iplir с адресными справочниками
, IП < X
Session Edit
Bo ok ma iks Settinas Help
linux:'" tt cd /opt/distribute/coordinator_l/
1inux:/opt/distribute/coordinator_l tt Is
1inux:/opt/distribute/coordinator_l tt immerge abn_O001.dst /opt/iplir
1inux:/opt/distribute/coordinator_l tt cd /opt/iplir/
1inux:/opt/iplir tt Is
apa00Oa.txt extnet.doc nmatrix.dat nodel.tim ц>: <-»r
apnOOOa.crg infotecs.re nodel.nap nodel.xnu
0001.pk apn000a.txt ipliradr.doc nodel.reg „-
1inux:/opt/iplir tt cd /opt/iplir/user
1inux:/opt/iplir/user tt Is
. . . km„.eisk
1inux:/opt/iplir/user tt cd /opt/iplir/station/
1inux:/opt/iplir/station tt Is
OOOaOOOO.cck lab2_ren.crl Iab2_trl.p7s key_info.aps
labZOOOa.pck lab2_ren .sgn adrn_liash
1inux:/opt/iplir/station tt |
Рис.4.5.Каталог /opt/iplir/user с Ключевой Дискетой
и каталог/opt/iplir/station с Ключевым Набором
После распапковки ключевых баз ViPNet Linux практически готов к работе. Осталось
только произвести первоначальную настройку ПО.
4 этап: Первоначальные настройки
Для того, чтобы все управляющие демоны и утилиты, входящие в состав ПО ViPNet Linux,
знали, где расположены конфигурационные файлы, необходимо явно указать им путь до
каталога ключевых баз пользователя.
• Для этого необходимо провести редактирование файла /etc/iplirpsw, который
указывает местоположение ключевых баз.
Этот файл текстовый и имеет следующую структуру (Рис.4.6):
первая строка - полный путь к каталогу, где находятся ключевые базы,
вторая строка - пароль доступа к этим базам (пароль пользователя ViPNet Linux),
остальные строки игнорируются.
156
Session Edit View Bookmarks Settings Help
-1 птх
File: iplirpsw
Col G
1О0И
lHelp 2UnUrap 3Quit 4Hex 5Line 6RxSrch!
Рис.4.6.Файл /etc/iplirpsw
Первые две строки содержат пример синтаксиса этого файла, эти строки нужно удалить
и вписать свои (Рис.4.7):
о Ключевые базы находятся в папке /opt/iplir,
о пароль пользователя ViPNet Linux в нашем случае «111111».
ье-зг.юп Edit vie-л boukmaiH Settings l-k-lj'
iplirpsw
[~H~-3 5 L:[ 1+1 2/ 31
lHelp 2Saue ЗИагк 4Replac 5Copy 6Houe
Рис.4.7.Путь к каталогу ключевых баз и пароль
Отредактируйте также файл /etc/iplirnetpsw (Рис.4.8): в его первой строке также нужно
указать пароль пользователя ViPNet Linux (Рис.4.9), вторую строку оставьте в виде 127.0.0.1.
! _ П'Х
on Edit View Bookmarks Settings Help
iplimetpsw С 3 9 L:[ 1+1 2/ 23
4Wr V- if А,7
lllely 2S«ve 3M«rk IReplac 5Сиру GMoue
Рис.4.8.Файл /etc/iplirnetpsw
ssion hclit view Bookmarks Settings Help
_iOtX
iplirnetpsw
[-M-~3 Э L:C 1+1 2/ 23
lHelp 2Saue ЗМагк 4Repiac 5Copy 6Moue
Рис.4.9.Свой пароль и адрес
Более подробно файл /etc/iplirnetpsw описывается в документации по ViPNet Linux.
Замечание: Если сейчас перезагрузиться командой reboot, то после перезагрузки
автоматически стартуют команды, которые загружают модули, необходимые для корректной
работы ПО ViPNet Linux-Координатор, и ViPNet Linux Координатор будет готов к работе
(Рис.4.10).
157
Session Edit View Bookmarks Settings Help
' 1 - □ *
linux:~ tt mc
1inux:/opt/iplir/station tt ..
1 inux:/opt/iplir/user tt Is
i p 1 i r . con f i p 1 i r . db-ethO :-j ;; d I ;ч~k
storage.dbl
iplir.conf-ethO iplir.seru mftp.conf
storage.dbi uatchdog.ini
1inux:/opt/iplir/user tt |
Рис.4.10.Конфигурационные файлы после перезагрузки Linux
Мы перезагружаться не будем, а загрузим необходимые модули «вручную», чтобы понять
механизм загрузки.
5 этап: Загрузка модулей для корректной работы ПО Координатор
Итак, необходимо загрузить модули, необходимые для корректной работы ПО ViPNet
Linux-Координатор.
Загрузка модулей, необходимых для корректной работы ПО ViPNet Linux-Координатор
проводится командой (Рис.4.11) vipmod start
Внимание: команду vipmod необходимо будет выполнить лишь в том случае, если не
загружены модули drviplir и itcswd.
Наличие данных модулей можно проверить командой Ismod (Рис.4.11):
Ismod | grep -е drviplir -е itcswd
- Модуль ядра ОС drviplir является драйвером низкоуровневой защиты drviplir.
- Модуль itcswd - это драйвер watchdog.
Замечание: Загрузку модулей можно провести автоматически, если
перезагрузить систему (см. предыдущее замечание).
Команду vipmod можно выполнить только с флагом start.
Session Edit View Bookmarks Settings Help
_ П X
apnOOOa.crg infotecs.re nodel.nap nodel.xnu
+ \
0001. pk apn000a.txt ipliradr.doc nodel. reg s'buioo
1inux:/opt/iplir tt cd /opt/iplir/user
1inux:/opt/iplir/user tt Is
1inux:/opt/iplir/user tt cd /opt/iplir/station/
1inux:/opt/iplir/station tt Is
OOOaOOOO.cck lab2_rem.cr1 lab2_tr1.p7s key_ info.aps
lab2000a.pck labZ_rem.sgn adm_lmsh
1inux:/opt/iplir/station tt mc
1inux:/opt/iplir/station tt cd /
linux:/ tt Ismod1grep -e druiplir -e itcsud
linux:/ tt Ismod 1 grep -e druiplir -e itcsud
linux:/ tt uipmod start
Loading UiPNet modules
linux:/ tt Ismod 1 grep -e druiplir -e itcsud
druiplir 328484 0
itcsud 37504 0
Jl. ■
linux:/ tt |
и :
Рис.4.11.Загрузка модулей для корректной работы ПО ViPNet Linux
158
6 этап (последний): Создание конфигурационных файлов
После редактирования файлов /etc/iplirpsw и /etc/iplirnetpsw нужно произвести
установочный запуск управляющей программы, которая создаст свои файлы конфигурации.
Все операции по управлению драйвером производятся с помощью скрипта iplir, который
находится в каталоге /sbin. Более подробно о скрипте iplir смотри ниже.
Итак, далее выполняем команду iplir check, которая создаст все необходимые
конфигурационные файлы, необходимые для работы драйвера низкоуровневой защиты
(Рис.4.12).
Session Е
dit View Booki
narks betting
s Help
linux:~ tt iplir check
Checking IpLir config files
i
-.,1 Shell
Рис.4.12.Создание конфигурационных файлов
Созданные файлы находятся внутри каталога /opt/iplir, содержащего ключевые базы, в
подкаталоге /opt/iplir/user.
Командой Is -1F можно посмотреть созданные конфигурационные файлы (Рис.4.13).
Создаются:
- основной конфигурационный файл iplir.conf, в котором настраивается работа с
узлами защищенной сети,
- один или несколько файлов конфигурации iplir.conf-ethO, iplir.conf-eth1 и т.д. для
каждого сетевого интерфейса ViPNet Координатора, где настраиваются параметры
открытой сети, режимы безопасности и другие параметры.
- Более подробная информация о этих и других конфигурационных файлах
находится в следующих разделах.
Session Edit View Bookmarks Settings Help
1inux:/opt/iplir/user tt iplir check
* i
Checking IpLir config files
1inux:/opt/iplir/user й Is -IF
/
/
ipl ir.conf
iplir.conf-ethO
iplir.seru
\--; /. -/
storage.dbi
storage.dbl
1i mix:/opt/i p1i r/user tt |
Ш Shell
Рис.4.13.Конфигурационные файлы
Замечание: Если на вашем компьютере не настроены сетевые интерфейсы, то список
конфигурационных файлов будет короче (Рис.4.14).
159
Session Edit Vie л Bookmarks Settings Help
' _ □ X
linux:'" tt iplir check
Checking IpLir config files
linux:~ tt mc
1inux:/opt/iplir/user tt Is
iplir. conf key... d i sk storage. db i storage . db 1
1inux:/opt/iplir/user tt Q
Рис.4.14.Конфигурационные файлы
В списке файлов (Рис.4.14) будут отсутствовать файлы конфигурации интерфейсов
Координатора iplir.conf-ethO и т.д.
Для создания файлов конфигурации интерфейсов необходимо задать параметры
сетевых интерфейсов вашего компьютера.
В SuSe Linux настройка параметров сетевых интерфейсов проводится в программе
yast, в Linux Slackware с помощью команды netconfig.
После настройки параметры сетевых интерфейсов можно посмотреть с помощью
команды ifconfig (Рис.4.15).
Кроме того, после настройки параметров сетевых интерфейсов необходимо выполнить
команду iplir check, которая создаст конфигурационные файлы, а также проверяет их
синтаксис, если файлы уже существуют.
После этого в составе списка конфигурационных файлов появятся файлы iplir.conf-
eth*. На Рис.4.13 можно увидеть файл iplir.conf-ethO с конфигурацией нулевого сетевого
интерфейса Координатора.
^'"gy^
Session Edit View Bookmarks Settings Help
1inux:/opt/iplir/user tt yast *ч
1inux:/opt/iplir/user tt ifconfig \
ethO Link encap:Ethernet HUaddr 00:0C:29:74:25:2D '
inet addr:62.231.10.19 Beast:62.231.10.31 Mask:255.255.255.240 |
inet6 addr: fe80::20c:29ff:fe74:252d/64 Scope:Link |
UP BROADCAST NOTRAILERS RUNNING MULTICAST MTU:1500 Metric:1
RX packets:14713 errors:0 dropped:0 ouerruns:0 frame:0 I
TX packets:1085 errors:0 dropped:0 ouerrims:0 carrier:0 i
col lisions:0 txqueuelen:1000
RX bytes:3231314 (3.0 Mb) TX bytes:624750 (610.1 Kb) |
Interrupt:10 Base address:0xl400 i
lo Link encap:Local Loopback ,
inet addr.127.0.0.1 Mask:255.0.0.0 -!
inet6 addr: :: 1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:115 errors:0 dropped:0 ouerruns:0 frame:0 \
TX packets:115 errors:0 dropped:0 ouerruns:0 carrier:0 \
collisions:© txqueuelen:0
RX bytes:7348 (7.1 Kb) TX bytes:7348 (7.1 Kb) #|
* i
M Shell j
Рис.4.15.Параметры сетевого интерфейса
На этом установка и первоначальная настройка ViPNet Linux Координатора закончена.
160
Удаление ViPNet Linux
Если возникла необходимость полностью удалить ViPNet Linux с компьютера, то
нужно воспользоваться скриптом rmiplir, который помещается после установки в каталог/sbin.
Для того чтобы удалить ViPNet Linux необходимо запустить этот скрипт с параметром
YES, т.е. из консоли выполнить команду:
rmiplir YES,
что исключает возможность случайного удаления ViPNet Linux.
Скрипт rmiplir удаляет ПО ViPNet Linux, файлы конфигурации в каталоге /etc, файлы
устройств в каталоге /dev и т.п.
Скрипт rmiplir не удаляет ключевые базы ViPNet Linux.
Удалить вручную в папке /opt весь каталог /opt/iplir, которая содержит ключевые базы
ViPNet Linux. Это можно сделать из консоли командой rm или из файлового менеджера
Midnight Commander обычным способом
Кроме того, не удаляется сам скрипт rmiplir - его также нужно удалить из каталога /sbin
вручную.
После удаления ViPNet Linux необходимо перезагрузить систему помощью команды
reboot.
Замечание: В папке /opt оставим каталог /opt/distribute, в котором находится
дистрибутив с ПО ViPNet Linux.
Описание консольный утилит,
входящих в состав ПО Координатор Linux
Перед началом работы с ПО ViPNet Linux необходимо изучить основные консольные
утилиты, с помощью которых вы будете в дальнейшем управлять своей системой.
vipmod,
iplir,
mftp,
watchdog.
Всего таких утилит четыре:
Начнем подробно разбирать их все, начав с vipmod.
♦ vipmod - это команда, которая на этапе загрузки системы загружает модули,
необходимые для корректной работы ПО Координатор.
Команду vipmod можно выполнить только с флагом start.
Ее необходимо будет выполнить лишь в том случае, если не загружены драйверы
drviplir и itcswd. Наличие их можно проверить командой Ismod (Рис.4.11):
linux:~#> Ismod | grep -е drviplir
-е itcswd
- Модуль drviplir является низкоуровневым драйвером защиты.
- Модуль itcswd - драйвер watchdog.
• iplir - как уже говорилось, является основной управляющей программой.
161
Выполнение ее без каких-либо ключей покажет все доступные опции
(Рис.4.16):
linux:~#> iplir
Usage: iplir {start|stop|check|unload|view|info|ifinfo|passwd|config|logrotate}
Session Edit View Bookmarks Settings Help
linux:~ ft iplir
|Usage: iplir {start I stop I check I unload I иieuI info I if infoIpassudIconfigIlogrota
te>
linux:~ ft I
Рис.4.16.Опции утилиты iplir
Теперь разберем опции комманды iplir в отдельности.
162
Таблица 3
Опции Комманды Iplir
Консольная
комманда
описание
iplir start
запускает управляющую программу ViPNet. Если при этом не
существуют файлы конфигурации, то они создаются, как и по команде
iplir check.
iplir stop
останавливает управляющую программу ViPNet. При этом
драйвер продолжает работать.
iplir check
создает конфигурационные файлы, а также проверяет их
синтаксис, если файлы уже существуют. Кроме того, если файлы
конфигурации уже существуют, то данная команда восстанавливает в
них фильтры, необходимые для прохождения служебных пакетов ViPNet
(широковещательные пакеты по портам 2046, 2048, 2050 протокола
UDP). Эти фильтры присутствуют по умолчанию, и их наличие
необходимо для нормальной работы защищенной сети.
iplir unload
останавливает управляющую программу ViPNet и выгружает
драйвер ViPNet.
iplir info
просмотр информации о защищенной станции. Показывает
информацию о локальной или удаленной защищенной станции. Команда
предназначена для просмотра системной и статистической информации,
получаемой от удаленного абонента. Системная информация включает в
себя:
о версию управляющей программы и драйвера, установленных
на компьютере,
о идентификатор и имя удаленного абонента,
о режим безопасности на каждом интерфейсе и т.п.
Статистическая информация включает в себя информацию по
обработке входящих и исходящих IP-пакетов для заданного
интерфейса.
iplir Ifinfo
позволяет просмотреть туже информацию, что и iplir info, но на
указанном сетевом интерфейсе:
iplir ifinfo ethl - позволяет просмотреть статистику на интерфейсе
ethl.
iplir view
просмотр журнала IP-пакетов. Позволяет просматривать журнал ip-
пакетов локальной или удаленной защищенной станции.
iplir passwd
смена пароля пользователя. Позволяет сменить пароль
пользователя ViPNet.
iplir config [флаг]
управление конфигурациями ViPNet, где флаг смотри на Рис.4.17.
Позволяет производить сохранение, восстановление, удаление и
просмотр конфигураций ViPNet.
163
Session Edit View Bookmarks Settings Help
Usage:
iplir config saue NAME [ful1Ipartial]
iplir config load NAME
iplir config delete NAME
iplir config list
linux:~ tt |
Рис.4.17.Флаги команды iplir config
iplirlogrotate
средство управления ротацией и архивированием log-фалов
iplircfg. Позволяет при помощи стандартного демона OS Linux
logrotate.d производить ротацию и архивирование log-файлов,
которые находятся в директории /var/log/ и имеют расширении Мод.
• mftp - программа управления транспортным модулем.
Вводим команду mftp без опций (Рис.4.18):
Coordinator:~#> mftp
Usage: mftp {start|stop|check|info|restart|logrotate}
Session
Edit View Bookmarks 'bettings Help
1inux:
tt mftp
Usage:
mftp {start 1 stop 1 check 1 info 1restart 1logrotate}
1inux:
tt
1inux:
tt
1inux:
tt
1inux:
~ tt
Рис.4.18.Утилита mftp
Таблица 4
Опции комманды MFTP
комманда
Описание
mftp start
запускает демон MFTP;
mftp stop
останавливает демон MFTP;
mftp check
создает конфигурационный файл mftp.conf транспортного модуля (если он
не был создан), корректирует его параметры и, если необходимо,
перезаписывает его;
mftp info
выводит на стандартный вывод информацию об очереди исходящих
конвертов;
mftp restart
перезапускает демон MFTP.
164
logrotate
средство управления ротацией и архивированием log фалов транспортного
модуля MFTP. Позволяет при помощи стандартного демона OS Linux
logrotate.d производить ротацию и архивирование log файлов, которые
находятся в директории /var/log/ и имеют расширении Мод.
Настройка транспортного модуля
Все настройки транспортного модуля содержатся в его конфигурационном файле,
который называется mftp.conf (см. ниже) и расположен в подкаталоге /opt/iplir/user, где
находится распакованный дистрибутив ключевых баз. Данный конфигурационный файл
создается при первом старте MFTP-демона и содержит значения параметров по умолчанию.
Для правильной работы транспортного модуля необходимо внести соответствующие
изменения в его конфигурационный файл!
• watchdog - предназначен для слежения за работой системы, управляющей
программы - iplir, а также транспортного модуля mftp.
Выводим на консоль возможные опции:
Coordinator:~#> watchdog
Usage: watchdog {start|stop}
Набор действий по управлению системой watchdog сведен к минимуму:
watchdog start - запускает службу;
watchdog stop - останавливает службу;
При загрузке системы автоматически загружается драйвер watchdog, а также
выполняется команда watchdog start.
Состав ПО watchdog и принципы его работы
Система watchdog состоит из драйвера и программы-демона, работающей в фоновом
режиме. Драйвер watchdog работает на очень низком уровне и в большинстве случаев
сохраняет работоспособность даже в случаях, когда система уже не реагирует на внешние
события.
Программа-демон при запуске регистрируется в драйвере и периодически опрашивает
его, подтверждая работоспособность системы. Если по истечении заданного промежутка
времени драйвер обнаруживает, что опроса не было, то он перезагружает систему. Перед этим
он делает попытку записать на диск кэш-буферы системы, чтобы не возникло ошибок в
файловой системе, однако это не всегда возможно.
При корректном останове программы-демона (например, при изменении настроек
управляющей программы ViPNet) она сообщает драйверу об этом, и драйвер перестает
следить за временем опроса, так что система не будет перезагружена.
Кроме того, демон watchdog периодически проверяет наличие в памяти управляющей
программы ViPNet. Если программа не найдена в памяти, демон watchdog запускает ее.
Настройка параметров watchdog
Администратор может настраивать параметры работы watchdog путем редактирования
файла watchdog.ini (см. ниже), расположенного в подкаталоге user каталога, где хранятся
ключевые базы ViPNet.
165
Обзор каталогов и файлов конфигурации, необходимых для работы
ПО, окончательный этап настройки
Обзор каталогов и файлов конфигурации
После выполнения всех действий, описанных выше, мы переходим к обзору файлов и
директорий, необходимых для корректной работы ПО.
Как уже говорилось выше, в файле /etc/iplirpsw должна быть указан каталог, где
располагаются все основные файлы.
Это каталог/opt/iplir.
Именно в него мы с Вами переходим и выполняем команду Is -1F (Рис.4.19).
Session Mil View Bookmaiks Settings Help
lOOOl.pk
apaOOOa.txt
apnOOOa.erg
apnOOOa.txt
extnet.doc
j V:/
infotecs.re
i p 1 i r . p i cl
ipl iradr.do$
knnatrix.dat
n .key
nftp .pid
nnatrix.dat
nodel.map
nodel.reg
nodel.tun
nodel.xnu
Рис.4.19.Содержимое каталога /opt/iplir.
Теперь выясним назначение каждого из этих файлов и директорий.
Описание будет представлено в виде таблицы.
Сразу отметим, что приведенные здесь файлы не являются конфигурационными.
Описание
Все эти файлы являются адресными
справочниками.
В файле apn\txt вы можете увидеть с какими
СУ вы связаны на уроне ТК.
В ipliradr.do$ храниться информация о адрес
для туннелирования, адресах доступа к другим
узлам, настройках работы узлов через
межсетевые экраны.
node*.tun - хранит информацию о количестве
лицензий на туннелирования вашего
Координатора и других, с которыми связан ваш
Координатор.
Файл/Директория
Группа файлов, начинающихся на
ар*,
extnet.doc,
ipliradr.do$,
m.key,
node02c0.tun,
knmatrix.dat, nmatrix.dat,
node2.map, node2.reg,
node2.tun, node2.xnw, nodename.doc
infotecs. re
Файл лицензии.
Группа файлов, имеющих расширение , Файлы, где указаны номера pid для запущенных
*.pid процессов.
, r., L , Файлы, которые создаются во время
vipnet_files.txt, инсталляции.
166
Описание
vipnet_files.txt - здесь храниться информация О'
файлах, созданных во время инсталляции.
vipnet_install.log - здесь ведется логирование
этапа установки ПО.
Каталоги, которые создает транспортный
модуль MFTP после выполнения команд mftp
start или mftp check.
В эти директории попадают конверты
приходящие на координатор или отправляемые
с координатора.
Папка для отладочных core-файлов. Эти файлы
будут создаваться, если какая-либо из программ
ViPNet завкршиться с ошибкой.
В этой папке хранятся ключевые наборы вашего
узла сети ViPNet.
Директория, где хранятся конфигурационные
файлы ПО ViPNet Координатор и ваша
ключевая дискета.
Предназначение файлов
Теперь постараемся более подробно разобрать предназначение всех
файлов, которые находятся в папке /opt/iplir/user.
Выполним команду:
Coordinator: /opt/iplir/user # Is -1F
Файл
описание
iplir.conf
основной конфигурационный файл ПО Координатор. Здесь
настраивается работа с узлами в защищенной сети
iplir.conf-eth*
файл конфигурации Координатора, где настраиваются параметры
открытой сети, режим безопасности, который будет установлен на
интерфейсе, а так же производится конфигурация журнала ip-
пакетов. Файлов с такой маской может столько, сколь сетевых
интерфейсов существует в Вашем компьютере. Для АП создается
только файл iplir.conf-ehtall. Так как на АП нельзя распространять
различные политики безопасности на сетевые интерфейсы.
iplir.db-eth*
зашифрованная база журнала ip-пакетов, которую можно посмотреть
командой iplir view.
iplir.serv
файл, где описаны стандартные сервизы, такие как http, ssh, ftp,
используемые в системе. Существование этого не
конфигурационного файла позволяет упростить настройки фильтров
по ip-адресу или СУ как открытой, так и защищенной сети.
mftp.conf
файл конфигурации транспортного модуля MFTP
Файл/Директория
vipnet_install.log
in/
out/
smtpin/
smtpout/
local/
trash/
upgrade/
coredumps/
station/
user/
167
mftpenv.db
зашифрованная база очереди транспортных конвертов на
Координаторе.
storage.*
зашифрованный архив конфигурационных файлов, создаваемых
командой iplir config save.
watchdog.ini
конфигурационный файл демона watchdog.
key__disk
в этой директории находится ключевая дискета абонента.
Содержание файлов
После того, как вы узнали о всех основных файлах, используемых для работы ПО,
постараемся разобрать содержание каждого из этих файлов.
Описание будет организовано следующим образом: открываем файл и построчно
описываем каждый параметр.
Для того, чтобы осмысление давалось проще, начнем с самых простых файлов.
Файл watchdog.ini
Администратор может настраивать параметры работы watchdog путем редактирования
файла watchdog.ini (Рис.4.20), расположенного в подкаталоге user каталога, где хранятся
ключевые базы ViPNet.
Файл watchdog.ini состоит из нескольких секций.
Для каждого демона, за которым следит watchdog, существует собственная секция.
Каждая секция начинается со строки, где содержится имя секции в квадратных скобках.
Каждая секция содержит несколько параметров. Строка с параметром начинается с имени
параметра, затем идет знак = и пробел, затем значение этого параметра.
[monitor] - секция, описывающая параметры работы демона watchdog.
- usewatchdog = no - указывает, нужно ли использовать слежение за работоспособностью
операционной системы. Значения yes или по.
Рис.4.20.Файл mftp.ini
168
- watchdogtime = 120 - задает периодичность опроса драйвера. Время задается в
секундах. Гарантируется, что при прекращении опроса драйвер произведет
перезагрузку не позже, чем через watchdogtime * 2 секунд после последнего опроса.
- userestart = yes - указывает, нужно ли следить за наличием в памяти управляющей
программы ViPNet - iplircfg - и перезапускать ее. Может принимать значения yes или
по.
[mftp] - описывает параметры слежения на транспортным модулем MFTP.
- restarttime = 120 - задает периодичность проверки состояния управляющей программы в
секундах.
- userestart = yes - указывает, нужно ли следить за наличием в памяти демона mftpd и
перезапускать его. Может принимать значения yes или по.
- restarttime = 120 - задает периодичность проверки состояния программы в секундах.
- [driver] - описывает параметры работы с watchdog драйвера низкоуровневой защиты
iplir.
- usewatchdog = no - указывает, должен ли драйвер ViPNet регистрироваться в драйвере
watchdog и периодически опрашивать его. Может принимать значения yes или по.
- watchdogtime = 15 - периодичность опроса драйвера в секундах.
[debug] - секция определяет параметры ведения лог-файлов функционирования демона
watchdog, которые ведутся во время работы.
- debuglevel = 3 - уровень отладки, число от -1 до 5, по умолчанию 3. Значение параметра
-1 отключает ведение логирования.
- debuglogfile = /var/log/watchdog.debug.log - задает имя лог-файлу.
Файл mftp.conf
Все настройки транспортного модуля содержатся в конфигурационном файле mftp.conf
(Рис.4.21), который расположен в подкаталоге /opt/iplir/user. Данный конфигурационный файл
создается при первом старте MFTP-демона и содержит значения параметров по умолчанию.
Для правильной работы транспортного модуля необходимо внести соответствующие
изменения в этот конфигурационный файл.
Рис.4.21.Файл mftp.conf
169
В этом конфигурационном файле описывается настройка транспорта для обмена
конвертами между СУ в сети ViPNet, с которыми вы имеете связь на уровне коллективов (ТК).
Для каждого узла защищенной сети существует своя секция, где описываются настройки.
Необходимо добавить, что MFTP может работать по разным каналам:
[channel] - секции, описывающие настройки связи с узлами по MFTP.
- smpt/рорЗ - конверты передаются при помощи почтовых серверов и
- через сам mftp - транспорт, организованный ПО ViPNet.
- id = 0x1 А76000В - идентификатор СУ в сети ViPNet;
- name = Administrator - имя узла;
- type = mftp - тип канала для связи. Принимает значения: mftp, viaserv, local, smtp.
Если модуль MFTP работает в режиме сервера, то по умолчанию значение параметра
"тЛр"для всех узлов. Если модуль MFTP работает в режиме клиента, то по умолчанию
значение параметра "mftp" для своего сервера-маршрутизатора и "viaserv" для всех
остальных станций. Если данный параметр отсутствует, то берется значение по
умолчанию;
- ip = 192.168.1.1 - ip-адрес удаленного СУ;
- call_timeout = -1 - определяет интервал опроса в секундах соответствующей
удаленной станции. При значении параметра "-1" опрос не производится. Если модуль
MFTP работает в режиме сервера, то по умолчанию значение параметра "-1" для всех
станций. Если модуль MFTP работает в режиме клиента, то по умолчанию значение
параметра "300" для своего сервера-маршрутизатора. Если данный параметр
отсутствует, то берется значение по умолчанию;
- call_flag = по - используется для каналов типа MFTP и SMTP. При установке значения
параметра в "yes" попытка передачи конверта по данному каналу будет производиться
немедленно. В противном случае конверт будет оставаться в очереди до тех пор, пока
инициатором соединения по данному каналу не станет уделенная станция (в случае
MFTP канала) или не будет вызван модуль MailTrans (в случае SMTP канала). Если
модуль MFTP работает в режиме сервера, то по умолчанию значение параметра "yes"
для станций серверов и "по" для станций клиентов. Если модуль MFTP работает в
режиме клиента, то по умолчанию значение параметра "yes" для всех станций. Если
данный параметр отсутствует, то берется значение по умолчанию;
- last_port = 5000 - определяет значение порта, по которому осуществлялось
последнее удачное MFTP-соединение. То есть это значение, которое будет
использоваться при следующей попытке соединения с этой станцией;
- Iast_call = 5000 - определяет значение порта, по которому осуществлялось последнее
удачное MFTP-соединение. То есть это значение, которое будет использоваться при
следующей попытке соединения с этой станцией;
- Iast_err = 0 - определяет момент времени, когда произошла последняя ошибка при
попытке соединения или в процессе передачи данных;
- off_flag = по - установка параметра off_flag в значение "yes" позволяет временно
отключить канал. В таком случае исходящие конверты, передаваемые по этому
каналу, будут оставаться в очереди до тех пор, пока канал не будет включен, или
инициатором соединения по данному каналу не станет удаленный сервер-
маршрутизатор. Если инициатором соединения в данном случае станет удаленный
АП, то предназначенные ему конверты не отправляются, а этому АП передается
специальная команда, которая выключает соответствующий канал в настройках его
транспортного модуля. По умолчанию значение параметра "по". Если данный
параметр отсутствует, то берется значение по умолчанию.
[transport] - секция, где указаны каталоги, которые участвуют в приеме и передаче
конвертов транспортного модуля MFTP;
170
- in_path = /iplir/in
- out_path = /iplir/out
- trash_path = /iplir/trash
- local_path = /iplir/local
- [upgrade] - здесь указаны параметры, которые определяют взаимодействие
транспортного модуля с модулем обновления Upgrade.
- upgrade_path = /iplir/upgrade
- upgrade_bin = /sbin/upgrade
- upgrade_args = -c /etc/upgrade.ini
- upgrade_for_kc_path = /iplir/upgrade/for_kc
- upgrade_checktimeout = 300
- confsave = partial - если на Координатор приходят обновления, то модуль Upgrade с
начала пытается сохранить текущие конфигурационные файлы, а уже потом провести
обновление. Параметр может принимать значения: "full", "partial" и "off". Off -
автосохранение не производится. Partial - сохраняются все конфигурационные
файлы, имеющие отношение к ПО Координатор. Full - сохраняется все, что и при
параметре "partial" плюс все адресные справочники и ключевые базы;
- maxautosaves = 100 - количество максимальных сохраненных конфигураций.
[mailtrans] - секция, описывающая настройки канала передачи конвертов по SMTP/POP3
каналам.
- mailtrans_bin = /sbin/mailtrans
- inputmailbox = user:pass@change.this
- outputmailbox = change.this
- mail_in_path = /iplir/smtpin
- mail_out_path = /iplir/smtpout
- mail_call_timeout = -1
[journal] - здесь описаны настройки журнала конвертов MFTP.
- usejournal = yes
- max size = 1
- dumpjllename = /var/log/mftpenv.log - в этом файле можно просмотреть все конверты,
которые приходили по MFTP на Ваш узел.
- dump_interval = 1
- Iast_dump = 1141297638
[misc] - описание различных настроек MFTP, которые обычно не требуют изменения.
Описание всех строк можно найти в документации.
- port = 5000
- max_listen_ports = 3
- num_attempts = 3
- max_connections = 100
- send_buff_size = 65500
- recv_buff_size = 65500
- pingpong = yes
- connect_timeout = 2
- wait_timeout = 30
- outenv_timeout = 300
- ttl out = 30
171
- ttljrash = 90
- save_sent = no
[debug] - настройки ведения отладочных лог-файлов.
- debuglevel = 3
- debuglogfile = /var/log/mftp. debug, log
[reserv] - содержит параметры настройки транспортного модуля в составе системы
горячего резервирования серверов, о которой мы поговорим позже.
- cmd_port = 6084
- unpack_timeout = 60
- transfer timeout = 60
Файл iplir.conf-ethO
Как было уже указано, файлы с таким именем описывают настройки фильтров открытой
сети, настройку журнала ip-пакетов и режима безопасности на интерфейсе ethO (Рис.4.22).
lip lir»conf ~eth0
..[-—-J 0 L: L 1+ 0 1/341 ~C0 / 715b)= t 91 0x5B
fip= 2Ш255.255.zss2<M'$r- . ы * \
f i lterdef ault= drop ] -Ярч b-jtikjv,
f i lterfdp= 13?, 137 ,? pass, any% - $g L* *
filte№p= 138, 138, pass, any* -Щ^'
f i lteriidp= '68, 67, < passi rany ymt»% Шр %
ip= 127.73.76.127,: ^
f i lterdef ault= drop
!filterudp= 137, 137pju
f i lterlfdp= 138, 138,1 pi
f ilterudp= 68, 67i^pas?
fi1terdip= 67, 68ftpass
f ilterudp= 0-65535,,53;
f iItericnp= 8, 0-255* j
filtericnp= 0, 0-255, ;j
filtericnp= 3, 0-255,?]
filtericnp= 11, 6-255,
filtericmp= 30i 0r255,;
[node] • + r * „ . ш 11^4 11 л^ь-у^^жр *jl , t »h -« hi, -
jboomngtyp*; hard '• *' > >Я> 'ЖЯ» У$1&& г '1 il .Уг^
smgmmmm
Рис.4.22.Файл iplir.conf-ethO
Как было уже указано, файлы с таким именем описывают настройки фильтров открытой
сети, настройку журнала ip-пакетов и режима безопасности на интерфейсе (Рис.4.22).
Файлов таких будет ровно столько, сколько физически присутствует на Вашей
компьютере сетевых адптеров (только для Координаторов), например iplir.conf-ethO, iplir.conf-
ethl для двухкарточной машины.
Для каждого ip-адреса или диапазона адресов здесь создается своя секция, в которой
описаны настройки именно для него.
Теперь давайте рассмотрим все эти вопросы подробнее.
[ip]
- ip= 255.255.255.255
- fiIterdefau11= drop
172
- filterudp= 137, 137, pass, any
- filterudp= 138, 138, pass, any
- filterudp= 68, 67, pass, any
- filterudp= 67, 68, pass, any
[ip]
- ip= 127.73.76.127
- filterdefault= drop
- filterudp= 137, 137, pass, any
- filterudp= 138, 138, pass, any
- filterudp= 68, 67, pass, any
- filterudp= 67, 68, pass, any
- filterudp= 0-65535, 53, pass, any
- filtericmp= 8, 0-255, pass, send, disable
- filtericmp= 0, 0-255, pass, recv, disable
- filtericmp= 3, 0-255, pass, recv, disable
- filtericmp= 11, 0-255, pass, recv, disable
- filtericmp= 30, 0-255, pass, send, disable
Первая секция [ip] сообщают низкоуровневому драйверу drviplir о том, что
все широковещательные запросы при любом режиме безопасности разрешены от
всех незащищенных ViPNet узлов.
Вторая секция [ip] несет в себе информацию о том, что все не
широковещательные ip-пакеты, удовлетворяющие описанным правила, будут
разрешены, а остальные - заблокированы. К описанным разрешающим правил
относиться, например, пакеты, отправляемые по команде ping.
[mode] - здесь можно указать режим безопасности, в котором будет работать сетевой
интерфейс.
- mode= 3 - параметр может принимать значения от 1 до 5. 1 - первый режим, 2
- второй и т.д.
- boomerangtype= hard - если в строке mode= указано любое число кроме 3, то
этот параметр игнорируется. В противном случае, параметр принимает
значение либо hard, либо soft.
[db] - это секция описывает настройки журнала ip-пакетов на интерфейсе.
- maxsize= 1 Mbytes - максимальный размер журнала;
- timedif= 60 - значение интервала времени, в течение которого одинаковые
события объединяются в журнале в одно;
- registerall= off - указывает, нужно ли регистрировать все проходящие через
систему пакеты. Возможные значения этого параметра - yes или по. При
установке его в по регистрируются только блокированные пакеты, а также
события об изменении адресов защищенных станций;
- registerbroadcast= off - указывает, нужно ли регистрировать
широковещательные пакеты;
- registertcpserverport= off - указывает, нужно ли регистрировать порт клиента при
соединении TCP.
Файл iplir.conf
Данный конфигурационный файл описывает настройки защищенной сети.
Путем изменения этого файла Вы сообщаете драйверу низкоуровневой защиты
все желаемые настройки. Также здесь Вы можете увидеть все СУ, с которыми
имеете связь на уровне ТК и настроить взаимодействие с ними.
173
Попытаемся уяснить основные особенности этого файла и его параметры.
id= 0х1а76000а
name= Coordinator
filterdefault= pass
ip= 192.168.100.1
ip= 192.168.10.1
ip= 192.168.201.49
tunnel= 192.168.100.2-192.168.100.2 to 192.168.100.2-192.168.100.2
tunnel= 192.168.100.3-192.168.100.3 to 192.168.100.3-192.168.100.3
firewallip= 192.168.100.1
port= 55777
proxyid= 0x1a76000a
usefirewall= off
fixfirewall= on
virtualip= 10.0.0.1
filterudp= 137, 137, pass, any
filterudp= 138, 138, pass, any
filterudp= 68, 67, pass, any
filterudp= 67, 68, pass, any, disable
filterudp= 2046, 0-65535, pass, recv
filterudp= 2046, 2046, pass, send
filterudp= 2048, 0-65535, pass, recv
filterudp= 2050, 0-65535, pass, recv
filterudp= 2050, 2050, pass, send
id= Oxffffffff
name= Encrypted broadcasts
filterdefault= drop
id= Oxfffffffe
name= Main Filter
filterdefault= pass
id= 0x1a76000b
name= Administrator
filterdefault= pass
accessip= 0.0.0.0
port= 55777
dynamic_timeout= 0
usefirewall= on
virtualip= 10.0.0.2
id= 0x1a76000c
174
- name= Terminal
- filterdefault= pass
- ip= 192.168.10.2
- accessip= 10.0.0.3
- firewallip= 192.168.10.2
- port= 55777
- proxyid= Oxfffffffe
- dynamic_timeout= 0
- usefirewall= on
- always_use_server= on
- virtualip= 10.0.0.3
- version^ 2.11-955
[adapter] (для всех интерфейсов)
- name= ethO
- ip= 192.168.100.1
- allowtraffic= on
- type= internal
[adapter]
- name- ethl
- ip= 192.168.201.49
- allowtraffic= on
- type= internal
[adapter]
- name= eth2
- ip= 192.168.10.1
- allowtraffic= on
- type= internal
[dynamic] (настройки работы через DNAT)
- dynamic_proxy= off (если on, то работа через DNAT)
- firewallip= 192.168.100.1 (этот адрес стоит по умолчанию, а вообще, после того
как данный Координатор обменяется пакетами с Координатором для
организации входящих соединений, то во входящих пакетах будут параметры
доступа к данному Координатору и эти параметры здесь пропишутся сами)
- port= 55777
- forward_id= 0x00000000 (ID Координатора для организации входящих
соединений)
- always_use_server= off (если on, то весь трафик через Координатор для
организации входящих соединений)
- timeout= 25
[misc] - дополнительный
- packettype= 4.1 (новый формат пакета, который позволяет работать на
коммутируемых каналах с плохим качеством)
- timediff= 7200 (разница во времени между АП и СМ, если будет больше, то
пакеты будут блокироваться)
- warnoldautosave=on
175
- client_pollinterval= 300 (Координатор каждые 300 сек опрашивает всех
Клиентов)
- server_pollinterval= 900 (Координатор каждые 900 сек опрашивает все
Координаторы, с которыми имеет связь)
- iparponly= off (off - не блокировать все пакеты, on - блокировать все, кроме
агр)
- ifcheck_timeout= 30 (каждые 30 сек опрашивает свои интерфейсы)
- ipforwarding=on (если on, то включен forwarding с adapl на adap2, если off-то
нет)
[debug].
- debuglevel= 5
- debuglogfile= /var/log/iplircfg.debug.log
[servers].
- server= 0x1a760013, Coordinator (все Координаторы, с которыми имеется связь
у этого Координатора)
[virtualip].
- startvirtualip= 10.0.0.1 (стартовый виртуальный адрес)
- endvirtualip= 10.0.0.9 (нельзя менять)
- ; Do not delete or change the following line!!!
- startvirtualiphash= 0x18E80620
176
Задания по настройкам ПО ViPNet Linux Координатора
Шаг 1: Инсталляция и удаление ПО ViPNet Linux
1. проверить наличие на сетевом узле ПО ViPNet [Coordinator] Linux. Если установлено
то удалить его
2. Проинсталлировать заново ПО ViPNet Linux и провести первоначальную настройку.
3. Перезагрузить операционную систему и проверить правильность установки ViPNet
Linux.
Указания к выполнению:
1. Для удаления ПО ViPNet Linux воспользуйтесь описаниями этой процедуры на стр 163
2. Для инсталляции ПО ViPNet Linux воспользуйтесь описаниями этой процедуры на стр.
155
Установка ПО ViPNet Linux состоит из следующих этапов:
1 этап. Распаковка архива distribute-i386-linux2.x-\tar.gz, который содержит
дистрибутив ПО ViPNet Linux в папку /opt
2 этап. Установка ПО ViPNet Linux из распакованного дистрибутива.
3 этап. Распаковка дистрибутива ключевых баз abn_AAAA.dst в папку /opt/iplir
4 этап. Первоначальные настройки:
Редактирование файла /etc/iplirpsw (содержащего полный путь к каталогу
ключевых баз и пароль пользователя).
Редактирование файла /etc/iplirnetpsw (содержащего пароль пользователя).
5 этап: Загрузка модулей (драйверов) drviplir и itcswd для корректной работы ПО
ViPNet Linux
6 этап: Создание конфигурационных
На этом установка и первоначальная настройка ViPNet Linux закончена.
Перезагрузить операционную систему командой reboot и проверить, запускается ли
ViPNet при загрузке.
При успешной установке после перезагрузки запускаются драйверы ViPNet drviplir и
itcswd, затем управляющая программа iplircfg, программа слежения watchdog и демон
транспортного модуля mftpd. При этом система полностью готова к работе в защищенной сети
без каких-либо действий со стороны оператора.
Если программа запустилась, то проверить функционирование защищенной сети можно,
например, с помощью команды ping, посылая пакеты до какой-либо защищенной станции, о
которой точно известно, что ее адрес задан верно в файле iplir.conf. Если приходят ответные
пакеты, то сеть функционирует нормально. Если не удается связаться с каким-либо
защищенным узлом, то нужно отредактировать файлы конфигурации, как описано ниже.
Шаг 2: Работа с основной управляющей программой iplir
1. Посмотреть опции программы iplir.
2. Запустить управляющую программу.
3. Остановить управляющую программу.
4. Создать конфигурационные файлы.
5. Выгрузить управляющую программу.
Указания к выполнению:
1. Введите в консоли название программы iplir и посмотрите все доступные опции.
177
2. Запустите управляющую программу командой iplir start.
3. Остановите управляющую программу командой iplir stop.
При этом ViPNet-драйвер drviplir продолжает работать.
4. Создайте конфигурационные файлы командой iplir check.
Эта команда также проверяет синтаксис конфигурационных файлов, если они уже
существуют.
Кроме того, если файлы конфигурации уже существуют, то данная команда
восстанавливает в них фильтры, необходимые для прохождения служебных пакетов ViPNet
(широковещательные пакеты по портам 2046, 2048, 2050 протокола UDP).
- Эти фильтры присутствуют по умолчанию, и их наличие необходимо для
нормальной работы защищенной сети, однако при необходимости
пользователь может их отключить, и в этом случае команда iplir check
включает их снова.
5. Выгрузите управляющую программу командой iplir unload.
Эта команда останавливает управляющую программу iplir и выгружает драйвер ViPNet
drviplir.
Шаг 3: Просмотр журнала IP-пакетов iplir view
1. Просмотреть журнал IP-пакетов.
Ознакомиться с интерфейсом журнала.
2. Произвести поиск IP-пакетов по различным критериям (время, порт, адрес назначения
и т.д.).
Просмотреть записи и ознакомиться с подробной информацией по нескольким
различным событиям.
Указания к выполнению:
1. Запустите управляющую программу командой iplir start.
2. Просмотрите журнал IP-пакетов командой iplir view (Рис.4.23).
При таком запуске программа считывает конфигурационный файл /etc/iplirnetpsw, в
первой строке которого указывается пароль доступа к компьютеру, журнал событий которого
нужно просматривать, во второй строке - доменное имя или IP-адрес этого компьютера.
Остальные строки игнорируются.
По умолчанию после установки ViPNet Linux адрес компьютера устанавливается в
/etc/iplirnetpsw как 127.0.0.1, то есть предполагается просмотр собственного журнала.
Программа позволяет просматривать журнал как на локальном компьютере, так и на
удаленном узле, что облегчает централизованное управление сетью.
- Для просмотра журнала на удаленном узле необходимо отредактировать файл
/etc/iplirnetpsw - указать в нем пароль и IP-адрес удаленной машины. Для
редактирования этого файла необходимо сделать:
о Остановить управляющую программу командой iplir stop.
о Провести редактирование файла /etc/iplirnetpsw.
о Запустить управляющую программу командой iplir start.
- После запуска программы просмотра iplir view она пробует подсоединиться к
указанному компьютеру. Для успешного подсоединения необходимо, чтобы
компьютер был доступен на уровне TCP/IP, чтобы на нем работала программа
управления и был указан правильный пароль доступа. Если подсоединиться не
удается, программа сообщает об этом и завершает работу.
3. При работе с программой просмотра журнала IP-пакетов iplir view существует
возможность вывести события, отобранные по следующим признакам:
178
У интервал дат;
У адрес незащищенной станции;
У имя абонента защищенной сети;
У направление пакета - входящий или выходящий;
S диапазон или одно значение местного порта для tcp, udp;
S диапазон или одно значение удаленного порта для tcp, udp;
У IP-протокол;
У сетевой интерфейс, на котором был обработан пакет;
У тип события.
End of the interua1
Public network address fiIter
Priuate network address filter
Local port
Co) Range
( ) Single ualue
Remote port
(o) Range
С ) Single ualue
Interface
mm
Euent
Traffic
(o) All
С ) Inbound
( ) Outbound
Protocol
Counter
(o) Range
( ) Single
й
tttttttttttttta
Exit tt
tttttttttttttttt
Ip~Lir packet database иiewer
Рис.4.23.Журнал IP-пакетов
Для начала поиска по установленным параметрам необходимо нажать кнопку Find,
расположенную в нижней части окна (Рис.4.23), для завершения работы с программой
необходимо нажать кнопку Exit. Перемещение курсора ведется с помощью клавиши TAB.
4.После выполнения операции поиска информация выводится в окно Found records
(Список найденных событий - Рис.4.24), в котором отображается в соответствии со временем
регистрации пакета.
Begin
at
IP-address
Local
Exter
Prot
Size
Event
Cnt
10/29
10
02:24
<
10.0.0,8
2046
2046
UDP
N/A
40
Ш
Encrypt
: 1
10/29
10
.02:24
10,0.0.8
2046
2046
UDP
N/A
40
-.
Encrypt
1
10/29
10
02:24
192.168.201.1
- 5
1
ICHP
N/A
60
я
Not enc
1
10/29
10
14:02
10.0.0.8
2046
2046
UDP
1688
40
Encrypt
6
10/29
10
14:02
>
10.0.0.8
2046
2046
UDP
1019
40
Ш
Encrypt
10/29
10
14:02
>
192,168.201.1
5
1
ICMP
420
60
•-
Not enc
6
10/29
10
23:24
<
10.0.0.8
2046
2046
UDP
254
40
Encrypt
l
10/29
10
23:24
>
192,168.201.1
5
i
ICHP
70
60
ш
Not enc
10/29
10
23:27
<
10,0.0.8
2046
2046
UDP
760
40
-.
Encrypt
3
10/29
10
23:27
>
192.168.201.1
5
1
ICMP
210
60
Щ
Not enc
3
10/29
10
23:38
>
10.0.0.8
2046
2046
UDP
465
40
Щ
Encrypt
l.
10/29
10
25:53
<
192.168.201.250
8
0
ICMP
196
60
Ш
Not enc
2
10/29
10:25:53
>
192.168.201.250
0
0
ICMP
196
60
||:
Not enc
2
10/29
10
•25:57
&
192,168.201.246
8
0
ICMP
326
40
-
Encrypt
2
10/29
10
25:57
1
192.168.201.246
Ш1й:
0
ICMP
326
40
s
Encrypt
2
10/29
10
26:02
€
192.168.201.251
8
0
ICMP
98
60
Ш
Not enc
1
export и
muuuttm
ttwuwmmtttui}
К #
ttttttttfttfm
Ip-Lir packet database viewer
Рис.4.24.Список найденных записей
179
Список найденных событий состоит из следующих колонок:
S Время регистрации события.
S Направление движения зарегистрированного пакета (< - исходящие, > -
входящие),
S IP-адрес компьютера, с которым происходил обмен информацией.
S Местный порт для протоколов tcp и udp.
S Порт удаленной машины для протоколов tcp и udp.
S IP-протокол.
S Размер пакета.
- Показывается суммарный размер всех пакетов, относящихся к
данному событию, если счетчик больше единицы.
- Для зашифрованных пакетов показывается полный размер пакетов
со всеми служебными заголовками, необходимыми для работы
защищенной сети.
Название зарегистрированного события.
Счетчик одинаковых событий, объединенных в одно.
5. Для любого выбранного из списка события, можно просмотреть более детальную
информацию (Рис.4.25).
Для этого необходимо нажать клавишу Details, расположенную внизу окна (Рис.4.24).
Traffic stream
Crypto state
Broadcast state
Beginning of the interval
End of the interval
Local IP-address
Remote IP-address
Local AP identificator
Remote AP identificator
Addressee name
Local port
Remote port
Protocol
Ethernet protocol
Packet size
Event
Counter
Incoming
Crypted
Non-broadcast
29.10.2003 10:23:24
29.10.2003 10:23:24
192.168.201.249
10.0.0.8
270E00F0
270E000A
Universal Test Manager
2046
2046
17 - UDP - User Datagram
800h
302
40 - Encrypted IP-packet passed
1
mtttHUttt
Ip-Lir packet database viewer
Рис.4.25.Детальная информация о событии
6. Можно также экспортировать выведенный список IP-пакетов в текстовый файл с
помощью кнопки Export, расположенной внизу окна на Рис.4.24.
При этом предлагается выбрать файл, в который будет экспортирован журнал, или
ввести его имя вручную.
В этот файл для каждого события записываются все поля, которые выводятся в окне
Record details.
Информация о размере пакетов поддерживается, начиная с версии ViPNet Linux 2.8-157.
При установке этой или более поздней версии поверх более старой журналы пакетов
преобразуются к новому формату, однако информация о размере для пакетов, записанных
старой версией, будет недоступна и отображается как N/A (Not available). При удаленном
просмотре журнала более старой версии информация о размере IP-пакетов также недоступна
и не показывается. Это происходит и при удаленном просмотре журнала новой версии с
компьютера, где установлена старая версия.
180
Шаг 4: Просмотр информации об узле iplir info, iplir ifinfo eth*
1. Просмотреть системную информацию о защищенном узле.
2. Просмотреть статистическую информацию о защищенном узле.
Указания к выполнению задания:
1. Запустите управляющую программу командой iplir start.
2. Просмотрите информацию о своей защищенной станции командой iplir info.
По команде iplir info программа выводит системную информацию и статистическую
информацию для первого сетевого интерфейса в системе.
Системная информация включает в себя (Рис.4.26):
- версию управляющей программы и драйвера, установленных на компьютере,
- идентификатор и имя удаленного абонента,
- режим безопасности на всех интерфейсах и т.п.
Статистическая информация включает в себя информацию по обработке входящих и
исходящих IP-пакетов для заданного интерфейса (Рис.4.26).
Выводится следующая статистическая информация:
- Количество принятых и отправленных незашифрованных IP-пакетов.
- Количество входящих и исходящих блокированных незашифрованных IP-
пакетов.
- Количество принятых расшифрованных и отправленных зашифрованных IP-
пакетов.
- Количество входящих и исходящих блокированных зашифрованных IP-пакетов.
- Количество принятых и отправленных широковещательных сообщений.
- Количество входящих и исходящих блокированных широковещательных
сообщений.
- Количество принятых и отправленных зашифрованных широковещательных
сообщений.
- Количество входящих и исходящих блокированных зашифрованных
широковещательных сообщений.
Versions: UiPNet 2.8-304, daemon 2.11-974, driuer 2.11-398
Uorkstation configured for ID 1AB2000A (si)
Driuer configured as ROUTING PROXY, packet type 4.1
Interfaces:
ethO (Internal): node 3 (hard boomerang)
Interface: ethO
Category
Rece iued
Sent
Mot crypted packets passed:
0
0
Not crypted packets dropped:
0
0
Crypted packets passed:
0
0
Crypted packets dropped:
0
0
Not crypted broadcast packets passed:
796
0
Not crypted broadcast packets dropped:
0
0
Crypted broadcast packets passed:
0
232
Crypted broadcast packets dropped:
1107
0
Рис.4.26.Системная и статистическая информацию об узле
3. Для просмотра информации на других сетевых интерфейсах (в том случае, если
на компьютере установлено несколько сетевых адаптеров), необходимо использовать
команду iplir ifinfo eth*, где eth* - имя сетевого интерфейса.
При этом необходимо вначале использовать команду iplir info, которая показывает
список доступных интерфейсов станции.
181
Затем использовать команду iplir ifinfo, задав ей имя нужного интерфейса, например,
iplir ifinfo ethl.
4. Можно посмотреть информацию об удаленной защищенной станции.
- Для просмотра информации об удаленном узле необходимо отредактировать
файл /etc/iplirnetpsw - указать в нем пароль и IP-адрес удаленной машины.
Для редактирования этого файла необходимо сделать:
о Остановить управляющую программу командой iplir stop.
о Провести редактирование файла /etc/iplirnetpsw.
о Запустить управляющую программу командой iplir start.
- Далее по команде iplir info либо iplir ifinfo eth* вывести информацию об
удаленном узле.
Шаг 5: Управление конфигурациями - консольная утилита iplir config
1. Сохранить текущую полную (full) конфигурацию с именем first.
2. Сохранить частичную (partial) конфигурацию с именем second.
3. Вывести список сохраненных конфигураций.
4. Восстановить конфигурацию с именем first.
5. Удалить из списка конфигурацию с именем second.
Замечание: В настоящее время конфигурационные файлы, справочники и ключевые
базы в ViPNet Linux никак не защищены от случайного искажения информации в них в
результате ошибок в ПО или ошибочных действий пользователя.
В частности, это может привести к тому, что в некоторых случаях после обновления
ключевых баз и/или справочников конфигурационные файлы искажаются, и работа системы
нарушается.
Для избежания таких ситуаций в состав ViPNet Linux включена система сохранения
файлов конфигурации, справочников и ключевых баз (в дальнейшем - конфигурация)
таким образом, чтобы пользователь мог сохранить текущую конфигурацию, загрузить одну
из сохраненных прежде или удалить имеющуюся сохраненную конфигурацию.
При этом перед проведением обновления в зависимости от настроек (см.
документацию «Руководство администратора ViPNet Linux MFTP») текущая конфигурация
сохраняется автоматически (автосохраненная конфигурация).
Загрузка сохраненной конфигурации происходит только вручную по команде
пользователя, при этом текущая конфигурация теряется. Удаление сохраненных
конфигураций также производится только вручную.
Указания к выполнению:
• Перед проведением операций сохранения и восстановления конфигураций должны быть
остановлены все службы ПО ViPNet Linux. Если это условие не выполняется, то
утилита работы с конфигурациями iplir config выдаст соответствующее сообщение
и не будет выполнять никаких действий.
• Существует 2 типа конфигурации:
Частичная конфигурация (partial)
- включает в себя конфигурационные файлы компонентов ViPNet, в том числе
iplir.conf, mftp.conf, failover.ini и т.д.
Полная конфигурация (full)
- включает все файлы частичной конфигурации, а также
- все справочники и ключевые базы ViPNet.
182
- В полную конфигурацию не включаются только временные служебные файлы,
файлы логов и очередь конвертов MFTP.
• Для работы с конфигурациями поддерживается следующий набор команд:
iplir config list - позволяет просмотреть текущий набор сохраненных конфигураций в
следующем формате:
о Уникальное имя конфигурации,
о Тип конфигурации,
о Дата сохранения,
о Дата загрузки.
Замечание: В случае автосохранения имя конфигурации начинается с "autosave".
iplir config save NAME TYPE - сохраняет текущую конфигурацию заданного типа:
о NAME - имя, под которым нужно сохранить конфигурацию,
о TYPE - тип конфигурации (full или partial, по умолчанию full).
Если уже существует сохраненная конфигурация с заданным именем, то утилита iplir
config спрашивает пользователя, нужно ли перезаписать имеющуюся конфигурацию.
iplir config load NAME - восстанавливает конфигурацию с заданным именем NAME.
- Перед восстановлением конфигурации утилита iplir config спрашивает
пользователя, хочет ли он сохранить текущую конфигурацию.
- Рекомендуется согласиться и ввести имя, под которым будет сохранена
текущая конфигурация до восстановления.
- Если пользователь отказывается сохранять текущую конфигурацию, то
программа во избежание ошибок требует ввести специальную фразу. В этом
случае имеет место ваш диалог с программой:
Save current configuration [Y/n]? n
You are about to overwrite your existing configuration.
This is unsafe. To continue, type
>» Yes, do as I say
in response to the prompt:
»>
В этом случае пользователю необходимо ввести фразу "Yes, do as I say" для
продолжения восстановления. В противном случае следует просто нажать Enter, чтобы
отменить восстановление.
iplir config delete NAME - удаляет сохраненную конфигурацию с заданным именем
NAME.
В качестве имени можно указывать символы подстановки (wildcards) "*" и "?", которые
обозначают любое количество символов и любой один символ соответственно. Таким образом
можно производить удаление конфигураций по маске. Например:
iplir config delete "Config *"
iplir config delete "autosave-2005-08-??-*"
Если под указанный шаблон подходит более одной конфигурации, то выдается
предупреждение и у пользователя запрашивается подтверждение на удаление.
Используйте следующие команды для выполнения задания:
ipl
ipl
ipl
ipl
ipl
r config save first full
r config save second partial
r config list
r config load first
r config delete second
183
Шаг 6: Управление транспортным модулем mftp
•Просмотреть опции программы mftp.
• Запустить демон MFTP.
• Остановить демон MFTP.
• Создать конфигурационный файл mftp.conf транспортного модуля.
• Перезапустить демон MFTP.
Замечание: Транспортный модуль MFTP предназначен для обеспечения надежной и
безопасной передачи транспортных конвертов между узлами сети ViPNet посредством
протокола TCP (этот канал передачи называется mftp) и протокола SMTP/POP3.
Кроме того, транспортный модуль MFTP принимает непосредственное участие в
удаленном обновлении адресных справочников и ключевых баз ViPNet-узла, а также в
удаленном обновлении дистрибутива ПО ViPNet.
Транспортный модуль функционирует в качестве программы демона mftpd в
фоновом режиме.
По умолчанию после установки ПО ViPNet Linux демон MFTP прописывается в
стартовых системных сценариях и при загрузке системы стартует после запуска
управляющего демона iplir.
При старте и последующей работе демон MFTP посылает информационные
сообщения и сообщения об ошибках в системный журнал syslog. Обычно такие сообщения
помещаются системой в файл /var/log/messages. Анализируя данные сообщения, можно
определить причины некорректной работы транспортного модуля.
Указания к выполнению:
Перед первым запуском демона MFTP необходимо сформировать его
конфигурационный файл mftp.conf, который расположен в подкаталоге opt/iplir/user каталога
ключевых баз данной станции. Для этого необходимо:
Выполнить команду mftp check.
Далее отредактировать созданный файл в соответствии с нужными настройками (если в
этом есть необходимость) - смотри Задание 5.8 (ниже).
После того, как соответствующие настройки произведены, можно запускать
транспортный модуль командой mftp start.
Об успешном запуске демона MFTP можно судить по соответствующим сообщениям в
syslog, а также по наличию соответствующего процесса в системе.
Если в процессе работы появилась необходимость в изменении параметров
транспортного модуля, то предварительно его необходимо:
Остановить командой mftp stop.
Отредактировать файл конфигурации mftp.conf (смотри Задание 5.8 ниже).
Запустить командой mftp start для того, чтобы изменения вступили в силу.
Введите в консоли название программы mftp и посмотрите все доступные опции.
Запустите демон MFTP командой mftp start.
Командой mftp check создайте конфигурационный файл mftp.conf транспортного
модуля. Эта команда создает конфигурационный файл, если он не был создан,
корректирует его параметры и, если необходимо, перезаписывает его.
Командой mftp restart перезапустите демон MFTP.
Шаг 7: Просмотр журнала очереди конвертов mftp info
1. Переслать через ViPNet Linux Координатор несколько различных по типу пакетов
(Деловая Почта, Файловый обмен, служебный).
184
2. Просмотреть файл журнала очереди конвертов командой mftp info.
3. Ознакомиться со значениями полей данного файла.
Замечание: Для получения информации об очереди конвертов транспортного
модуля MFTP предназначена утилита, которая запускается командой mftp info.
С помощью нее можно получить информацию об отправителе, получателях, имени,
размере конверта, а также другую информацию.
Указания к выполнению шага 7:
• В защищенной сети перешлите через ViPNet Linux Координатор несколько различных по
типу пакетов - из Деловой Почты, с помощью Файлового обмена, служебные пакеты из
ЦУСа.
• Командой mftp info просмотрите файл журнала очереди конвертов.
• В журнали очереди конвертов выводится следующая информация:
ID - уникальный идентификатор конверта в очереди.
Name - имя конверта.
Size - размер конверта в килобайтах.
Туре - тип конверта:
- - В качестве типа конверта могут быть следующие идентификаторы:
о Mail - прикладной конверт.
о NCC - конверт, содержащий управляющий запрос,
о NCC answer - ответ на управляющий запрос,
о Task receipt - прикладная квитанция,
о Transport receipt - транспортная квитанция.
Prio - приоритет конверта.
Date, Time-дата и время создания конверта (первого помещения в очередь).
SenderlD - идентификатор ViPNet станции-отправителя.
SenderName - имя ViPNet станции-отправителя.
ReceiverlD - идентификатор ViPNet станции-получателя.
ReceiverName - имя ViPNet станции-получателя.
- В случае отсутствия конвертов в очереди выводится сообщение: "queue is
empty'.
Шаг 8: Настройка транспортного модуля mftp.conf
1. Познакомиться со структурой конфигурационного файла mftp.conf.
2. Просмотреть секции этого конфигурационного файла и параметры узлов, с которыми
связан ваш Координатор.
Замечание: Все настройки транспортного модуля содержатся в его
конфигурационном файле, который называется mftp.conf.
Данный конфигурационный файл создается при первом старте MFTP-демона и
содержит значения параметров по умолчанию.
185
Указания к выполнению:
• Откройте конфигурационной файл транспортного модуля mftp.conf.
Файл mftp.conf расположен в подкаталоге /opt/iplir/user, где находится распакованный
дистрибутив ключевых баз.
Файл mftp.conf содержит все настройки транспортного модуля MFTP.
• Просмотрите секции и параметры секций конфигурационного файла транспортного
модуля mftp.conf.
Подробное описание секций файла mftp.conf представлено в разделе 5.9.2 данного
учебного пособия и в документации «ViPNet[MFTP]Linux. Транспортный модуль», которая
находится в файле mftp_linux.doc в папке /opt/distributive/doc.
• Конфигурационный файл транспортного модуля mftp.conf разделен на ряд секций,
каждая из которых содержит ряд параметров.
Идентификаторы секций отделяются прямыми скобками, например: [channel], [misc] и
т.д.
Значения параметров отделяются от их идентификаторов знаком "=" и следующим за
ним пробелом, например ip= 192.168.201.1.
• Секции [channel] содержатся настройки транспортного канала с соответствующим узлом
сети:
Количество секций [channel] в файле конфигурации соответствует количеству каналов,
по которым данный узел может осуществлять обмен с другими узлами:
- Для Координатора число секций [channel] равно количеству других
Координаторов, с которым связан данный Координатор, плюс количество
Клиентов, зарегистрированных в ЦУСе на данном Координаторе.
Добавление и удаление секций [channel] осуществляется автоматически, поэтому
добавлять и удалять секции данного типа вручную не следует!
Количество параметров в каждой секции [channel] зависит от типа выбранного канала.
По умолчанию действует следующее правило:
- Если транспортный модуль MFTP функционирует в режиме сервера
(Координатора), то все типы каналов устанавливаются как mftp.
- Если транспортный модуль MFTP функционирует в режиме клиента, то типы
каналов обмена с АП устанавливаются как via server, а тип канала обмена со
своим Координатором как mftp.
Для канала типа mftp параметр ip определяет IP-адрес удаленной станции, с которой
связан данный узел:
- Значение параметра ip запрашивается у управляющего демона iplircfg.
- Если значение параметра ip по каким-либо причинам не было сообщено
(равно "0.0.0.0"), то его можно задать вручную. Для этого необходимо сначала
остановить транспортный модуль командой mftp stop, отредактировать файл
mftp.config, а затем перезапустить транспортный модуль командой mftp start.
- Параметр ip может изменяться в процессе работы, поэтому корректировать
его вручную не рекомендуется.
• Просмотрите секции [channel] вашего конфигурационного файла mftp.conf, а также
найдите параметры узлов (имя, IP-адрес, тип канала), с которыми связан ваш
Координатор.
• Подробное описание остальных секций файла mftp.conf представлено в разделе 5.9.2
данного учебного пособия.
186
Шаг 9: Управление системой слежения watchdog
1. Посмотреть опции системы watchdog.
2. Запустить систему слежения.
3. Остановить систему слежения.
4. Ознакомиться с секциями и праметрами конфигурационного файла watchdog.ini.
Замечание: Система watchdog предназначена для слежения за работой системы,
управляющей программы iplircfg, а также транспортного модуля MFTP.
Система watchdog состоит из драйвера itcswd и программы-демона watchdogcfg,
работающей в фоновом режиме.
Драйвер itcswd следит за работоспособностью системы следующим образом: демон
watchdogcfg регистрируется в своем драйвере itcswd и периодически опрашивает его,
подтверждая работоспособность системы. Если по истечении заданного промежутка
времени драйвер itcswd обнаруживает, что опроса не было, то он перезагружает систему;
при корректном останове демона watchdogcfg он сообщает об этом драйверу itcswd, и
драйвер перестает следить за временем опроса, так что система не будет перезагружена.
Демон watchdogcfg периодически проверяет, присутствует ли в памяти
управляющая программа iplircfg и программа-демон MFTP mftpd, и перезапускает их, если
они не запущены. Однако перезапуск происходит лишь в том случае, если программы были
завершены некорректно, например, в случае сбоя в работе. Если программы были
остановлены администратором с помощью соответствующих команд iplir stop или mftp
stop, то попыток перезапуска не происходит. В этом случае для дальнейшей работы
администратор должен вручную запустить демоны, соответственно, командами iplir start
или mftp start.
Указания к выполнению:
• Введите в консоли название программы watchdog и посмотрите все доступные опции -
их всего две.
♦ Запустите программу слежения командой watchdog start.
При этом запускается демон watchdogcfg.
Замечание: При загрузке системы защиты ViPNet автоматически загружается драйвер
системы слежения itcswd и драйвер drviplir, а также выполняется команда watchdog
start.
• Остановите программу слежения командой watchdog stop.
При этом демон watchdogcfg завершает работу, сообщая об этом своему драйверу
itcswd.
• Откройте конфигурационной файл системы слежения watchdog.ini.
Конфигурационный файл watchdog.ini расположен в подкаталоге /opt/iplir/user.
Конфигурационный файл watchdog.ini содержит все настройки системы слежения
watchdog.
• Просмотрите секции и параметры секций конфигурационного файла системы слежения
watchdog.ini.
[monitor] - секция, описывающая параметры работы watchdog-демона itcswd.
[mftp] - описывает параметры слежения на транспортным модулем MFTP.
[driver] - описывает параметры работы драйвера защиты drviplir с системой слежения
watchdog.
[debug] - определяет параметры ведения лог-файлов функционирования демона
watchdog, которые ведутся во время работы.
187
• Подробное описание секций смотри в п.5.9.1 данного пособия и в документации «ViPNet
Linux. Руководство администратора», которая находится в файле vipnet_linux.doc в
папке /opt/distributive/doc.
Шаг 10: Секции основного конфигурационного файла iplir.conf
Их назначение и правила редактирования
1.Познакомиться со структурой основного конфигурационного файла iplir.conf.
2.Правила редактирования основного конфигурационного файла iplir.conf.
3.Назначение секций основного конфигурационного файла iplir.conf.
Замечание: Настройка ViPNet Linux производится путем редактирования файлов
конфигурации iplir.conf и iplir.conf-eth*.
Основной конфигурационный файл iplir.conf содержит настройки защищенной сети.
Файлы конфигурации интерфейсов iplir.conf-eth* содержат настройки открытой сети.
Указания к выполнению:
Откройте основной конфигурационный файл iplir.conf.
Файл iplir.conf расположен в подкаталоге /opt/iplir/user.
Файл iplir.conf содержит все настройки защищенной сети: IP-адреса доступа к СУ, с
которыми вы имеете связь на уровне ТК, настройки взаимодействия с ними и т.п. и сообщает
эту информацию драйверу низкоуровневой защиты drviplir.
• Перед редактированием основного конфигурационного файла iplir.conf необходимо:
остановить управляющую программу командой iplir stop,
произвести необходимые изменения в файле iplir.conf и
затем снова запустить управляющую программу командой iplir start.
• Файл iplir.conf состоит из нескольких секций, каждая из которых содержит несколько
параметров.
Описание секций файла iplir.conf смотри в п.5.9.4 данного пособия и в документации
«ViPNet Linux. Руководство администратора», которая находится в файле vipnet_linux.doc в
папке /opt/distributive/doc.
• Правила редактирования секций:
- Каждая строка содержит либо имя секции, либо имя одного параметра вместе
со значением.
о Имя секции заключается в квадратные скобки, при этом
использование пробелов, табуляции и т.п. не допускается. Например,
[id].
о Строка с именем секции считается началом этой секции.
о Секция заканчивается там, где начинается следующая секция, или
в конце файла.
о Все имена секций, параметров, названия протоколов и т.п., кроме
имен защищенных станций, должны быть написаны строчными
буквами.
- Любая строка в файле, начинающаяся с символа "#", считается
комментарием пользователя и не учитывается при интерпретации файла.
о При обновлении файла управляющей программой комментарии
автоматически переносятся в начало секции, к которой они относятся.
- Любая строка в файле, начинающаяся с символа считается служебным
комментарием.
188
о Эти строки добавляются в некоторых случаях автоматически при
старте управляющей программы или в процессе ее работы и служат
для информирования пользователя о некритических ошибках
конфигурации, о значении фильтров по каким-либо сервисам (см.
ниже) и т.д.
о Пользователю не следует добавлять служебные комментарии
самостоятельно, они будут потеряны после следующего старта
управляющей программы.
- Каждая секция содержит один или несколько параметров.
о Имя параметра стоит первым словом в строке, за ним следует
знак "=", затем пробел, затем значение параметра, например, port=
55777.
о Если значение состоит из нескольких частей, то они разделяются
запятой, после которой следует пробел.
• Ниже перечислены основные секции файла iplir.conf, которые вы открыли.
Секции [id] (их несколько):
- Первая секция [id] используется для описания собственных настроек (настроек
своего узла).
- Следующие две секции [id] имеют специальное значение. Они отличаются от
других значением параметра id, равным Oxffffffff и Oxfffffffe. Эти секции
предназначены только для установки фильтров:
о Секция [id] с параметром id= Oxffffffff отвечает за
широковещательные пакеты, посылаемые защищенными
станциями. Установкой соответствующих фильтров в этой секции
можно запрещать или разрешать прохождение определенных типов
широковещательных пакетов.
о Секция [id] с параметром id= Oxfffffffe - это главный фильтр
защищенной сети. Правила, указанные в нем, просматриваются до
того, как начинается просмотр фильтров для конкретной защищенной
станции (о работе с фильтрами смотри ниже).
- Следующие секции [id] служат для описания настроек и фильтров доступа к
защищенным станциям, с которыми ваш узел имеет связь на уровне ТК.
о Каждому защищенному узлу соответствует своя секция [id].
Секция [adapter] описывает:
- Сетевые адаптеры, установленные на вашем компьютере (узле).
- Каждому адаптеру должна соответствовать своя секция [adapter],
- Все IP-пакеты на адаптерах, не описанных секциями [adapter], блокируются.
- Если не указано ни одной секции [adapter], то управляющая программа iplircfg
при старте получает от системы список адаптеров и автоматически создает
секции [adapter]:
о При последующих запусках управляющая программа работает
только с этим списком адаптеров и не определяет появление нового
адаптера в системе.
о Если в системе появился новый адаптер, то для активизации на
нем системы ViPNet необходимо добавить вручную дополнительную
секцию [adapter] в основной конфигурационный файл iplir.conf
управляющей программы и добавить файл конфигураций нового
адаптера iplir.conf-<name>.
- Каждому адаптеру, описанному секцией [adapter], соответствует
дополнительный файл конфигурации, который называется iplir.conf-<name>,
где <name> - системное имя адаптера, указанное в параметре name его
189
секции [adapter]. О настройке файла конфигурации адаптера iplir.conf-
<name> более подробно будет сказано ниже.
Секция [dynamic] содержит параметры, необходимые для настройки режима
«Динамический NAT»
Секция [misc] описывает различные дополнительные параметры. В этой секции имеется
важный для работы защищенного узла узла параметр:
- timediff= 7200 (разница во времени между АП и СМ, если будет больше, то
пакеты будут блокироваться)
Секция [servers] содержит список серверов, известных данному узлу, а также сведения о
том, какой сервер используется в качестве сервера IP-адресов для данноого узла.
Секция [service] определяет один из сервисов.
- Сервис - это именованная совокупность фильтров, которые затем
применяются для каких-либо защищенных узлов (или адресов открытой сети)
как единое целое, путем указания параметра filterservice.
- В основном файле конфигурации iplir.conf может быть сколько угодно секций
[service].
- Рекомендуется, чтобы секции [service] предшествовали любым другим
секциям или, по крайней мере, они должны быть определены раньше, чем
будут использоваться в параметрах filterservice.
- После старта управляющей программы iplircfg все определения сервисов
автоматически помещаются в начало файла.
- Кроме сервисов, описанных пользователем, существует набор так называемых
стандартных сервисов, определенных в ViPNet.
о Стандартные сервисы описаны в файле iplir.serv и не могут быть
изменены пользователем.
о Стандартные сервисы считаются изначально описанными во всех
файлах конфигурации, и их можно использовать в параметрах
filterservice, а также указывать в параметрах parent секции [service],
создавая на их основе сервисы пользователя.
Секция [virtualip] содержит установки виртуальных адресов.
Секция [debug] определяет параметры ведения логов функционирования демона.
Шаг 11: Natsetting - настройка параметров доступа к защищенным узлам сети в
основном конфигурационном файле iplir.conf
1. Параметры Natsetting-a.
• Настройка параметров Natsetting-a выделенного защищенного узла.
Замечание: Настройка параметров доступа к защищенным узлам сети (Natsetting)
производится путем редактирования основного файла конфигурации iplir.conf.
190
Указания к выполнению Шага 11:
В таблице 5 представлены примеры секции [id] для собственной и «чужих» секций из
файла iplir.conf.
Таблица 5
Секция [id]
Секция [id] для узла,
Секция [id] для узла,
для собственного узла
с которым не было обмена
с которым был обмен
пакетами
пакетами
[id] (собственная секция)
[id] (секция для узла)
[id] (секция для узла)
id= 0х1а76000а
id= 0x1a76000b
id= 0х1а76000с
name= Coordinator
name= Administrator
name= Terminal
f i I te rd ef a u 11 = pass
filterdefault= pass
filterdefault= pass
ip= 192.168.100.1
accessip= 0.0.0.0
ip= 192.168.10.2
ip= 192.168.10.1
port= 55777
accessip= 10.0.0.3
ip= 192.168.201.49
dynamic_timeout= 0
firewallip= 192.168.10.2
firewallip= 192.168.100.1
usefirewall= on
port= 55777
port= 55777
virtualip= 10.0.0.2
proxyid= Oxfffffffe
proxyid= 0x1a76000a
dynamic_timeout= 0
usefirewall= off
usefirewall= on
fixfirewall= on
always_use_server= on
virtualip= 10.0.0.1
virtualip= 10.0.0.3
Перед редактированием основного конфигурационного файла iplir.conf необходимо:
У остановить управляющую программу командой iplir stop,
У произвести необходимые изменения в файле iplir.conf и
У затем снова запустить управляющую программу командой iplir start.
• Настройка параметров доступа к заданному защищенному узлу сети (так называемый
Natsetting узла) проводится в секции [id], описывающей параметры заданного
защищенного узла, в файле iplir.conf.
• Для того, чтобы найти секцию [id], отвечающую за настройки работы с заданным
защищенным узлом сети, необходимо найти следующие параметры заданного
защищенного узла сети в секциях [id] основного файла конфигурации iplir.conf:
id - уникальный идентификатор данного защищенного узла:
- По этому параметру управляющая программа отличает одну секцию [id] от
другой.
- Идентификатор защищенного узла выдается ему ЦУСом.
name - имя данного защищенного узл, который задается в ЦУСе.
• За Natsetting защищенного узла отвечают следующие параметры его секции [id]:
ip - IP-адрес данного защищенного узла. Например, ip= 192.168.201.10.
firewallip - для всех секций [id] данный параметр_определяет внешний IP-адрес
доступа к данному узлу со стороны вашего узла в случае, если этот узел находится за каким-
либо Firewall. Например, firewallip= 192.168.100.1
port-для всех секций [id] данный параметр_определяет порт назначения, на который
следует посылать пакеты для данной станции, если она работает в одном из режимов с
использованием Firewall. Например, port= 55777.
proxyid - параметр, определяющий тип используемого режима Firewall данного узла.
В большинстве случаев значение параметров firewallip, port, proxyid
определяется автоматически по информации, полученной от других узлов.
Однако в некоторых случаях, например, когда абонентский пункт работает без
сервера IP-адресов, их следует задавать вручную.
191
• Отработать настройки Natsetting-a на различных схемах установки Координатора через
Firewall, описанные в следующих заданиях.
Шаг 12: Настройка фильтров защищенной сети в основном
конфигурационном файле iplir.conf
• Виды фильтров защищенной сети.
• Параметры главного фильтра защищенной сети.
• Параметры широковещательного фильтра защищенной сети.
• Параметры индивидуальных фильтров защищенной сети.
• Настройка параметров фильтров протоколов.
Указания к выполнению:
Замечание: Перед редактированием"основного конфигурационного файла iplir.conf
необходимо:
остановить управляющую программу командой iplir stop,
произвести необходимые изменения в файле iplir.conf и
затем снова запустить управляющую программу командой iplir start.
Параметры фильтров в файле iplir.conf находятся в секциях [id].
• В защищенной сети имеется четыре вида фильтров:
Главный фильтр.
- определяется в секции [id] с идентификатором id= Oxfffffffe.
Широковещательный фильтр:
- определяется в секции (id] с идентификатором id= Oxffffffff.
Индивидуальный фильтр:
- находится в секции [id] с идентификатор id конкретного защищенного узла.
Фильтры протоколов (подчиненные первым трем "типам фильтров):
- filtertcp - фильтр протокола TCP.
- filterudp - фильтр протокола UDP.
- filtericmp - фильтр протокола ICMP.
Состояние Главного, широковещательного и индивидуальных фильтров определяется
фильтром по умолчанию
- filterdefault= pass/drop (пропустить/блокировать).
• За установку Главного фильтра отвечает третья (по счету) секция основного файла
конфигурации iplir.conf.
[id] (Секция с параметрами главного фильтра)
id= Oxfffffffe
name= Main Filter
filterdefault= pass (pass/drop - пропустить/блокировать)
Замечание: По умолчанию Главный фильтр пропускающий.
Правила, указанные в Главном фильтре, просматриваются в первую очередь:
192
- до того, как начинается просмотр Индивидуальных фильтров для конкретной
защищенной станции.
- Если пакет попадает под какое-либо правило фильтров протоколов
filtertcp, filterudp, filtericmp, filterip Главного фильтра (если они имеются, в
примере их нет), то он сразу пропускается или блокируется и дальнейший
анализ фильтров прекращается.
- Если же для Главного фильтра пакет попадает:
о на filterdefault= pass, то анализируются Индивидуальный фильтр с
фильтрами протоколов для конкретной защищенной станции.
о на filterdefault= drop, то происходит полное блокирование всех
зашифрованных пакетов.
• За установку Широковещательного фильтра отвечает вторая (по счету) секция
основного файла конфигурации iplir.conf.
Эта секция отвечает за широковещательные пакеты, посылаемые защищенными
станциями.
Установкой соответствующих фильтров протоколов в этой секции можно запрещать или
разрешать прохождение определенных типов широковещательных пакетов.
[id] (Секция с параметрами широковещательного фильтра)
id= Oxffffffff
name= Encrypted broadcasts
filterdefault= drop
filterudp= 137, 137, pass, any
filterudp= 138, 138, pass, any
filterudp= 68, 67, pass, any
filterudp= 67, 68, pass, any, disable
filterudp^ 2046, 0-65535, pass, recv
filterudp= 2046, 2046, pass, send
filterudp= 2048, 0-65535, pass, recv
filterudp^ 2050, 0-65535, pass, recv
filterudp= 2050, 2050, pass, send
• За установку Индивидуальных фильтров отвечают секции [id] конкретных
защищенных узлов.
Пример: Параметры Индивидуального фильтра узла Administrator выделены.
[id] (секция для узла)
id= 0x1a76000b
name= Administrator
filterdefault= drop
filterudp= 55777, 0-65535, pass, recv
accessip= 0.0.0.0
port= 55777
dynamic_timeout= 0
usefirewall= on
virtualip= 10.0.0.2
193
• Фильтр по умолчанию:
filterdefault= pass/drop (пропустить/блокировать)
- действие над пакетами, направленными к этой станции или от нее, по
умолчанию, если они не попадают под фильтры протоколов.
- Каждая секция [id] имеет только один параметр filterdefault.
• Настройка фильтра протокола TCP.
Пример: filtertcp= 22, 1024-65535, pass, recv
Это правило указывает на то, что должны пропускаться TCP-пакеты, относящиеся к тем
соединениям, в которых удаленный компьютер, использующий номер порта от 1024 до 65535,
установил соединение с портом 22 локального компьютера. При этом пакеты пропускаются в
обоих направлениях.
Правила для пропускания или блокировки пакетов TCP:
Значение-параметра filtertcp состоит из четырех или пяти частей, разделенных
запятыми или пробелами
- Первая часть 22 - номер (или диапазон) локального порта ТСР-соединения.
- Вторая часть 1024-65535 - номер (или диапазон) удаленного порта ТСР-
соединения.
о Номера портов не зависят от направления пакета, не описывают
номера портов отправителя и получателя, а всегда описывают
локальный и удаленный порт, независимо от того, в каком
направлении идет пакет.
- Третья часть pass/drop описывает, что нужно делать с пакетом
пропустить/блокировать.
- Четвертая часть recv/send/any описывает направление ТСР-соединения
входящий/исходящий/любой.
о Обратите внимание на то, что эта часть описывает не направление
пакета, а направление ТСР-соединения, т. е. кто являлся при
установлении ТСР-соединения клиентом, а кто сервером.
о Если send, то из TCP-пакетов, имеющих номера локального и
удаленного портов, соответствующие указанным, под правило
попадают пакеты, относящиеся к соединениям, в которых локальная
станция являлась клиентом, при этом направление самих пакетов не
имеет значения.
о Если recv, то под правило попадают пакеты, относящиеся к
о Если any, то под правило попадают любые пакеты с
соответствующими номерами портов.
- Пятая часть необязательна и может принимать значение disable, которое
указывает на временное отключение данного фильтра, при этом он ведет
себя так, как будто его не существует.
• Настройка фильтра протокола UDP.
Пример: filterudp= 67, 68, pass, any, disable
Фильтр filterudp задает правила для пропускания или блокировки пакетов UDP.
Значение этого параметра имеет точно такой же синтаксис, как и для параметра filtertcp.
Различие состоит в том, что, поскольку протокол UDP не подразумевает установку
соединений, то четвертая часть правила, описывающая направление, относится
непосредственно к направлению, в котором идет пакет, т. е.
- send для пакета, посланного с локальной машины,
- recv для пакета, посланного на локальную машину с удаленной,
- any для обоих направлений.
194
• Настройка фильтра протокол ICMP.
npniviep:filtericmp= 8, 0-255, pass, send, disable
filtericmp= 0, 0-255, pass, recv, disable.
Фильтр filtericmp задает правила для пропускания или блокировки пакетов ICMP.
Значение этого параметра имеет точно такой же синтаксис, как и для параметра
filterudp.
Однако вместо номеров портов указывается тип и подтип сообщений ICMP - первая
часть задает тип, а вторая - подтип. При их задании также можно указывать диапазоны. В
остальном части правила имеют то же значение, что и для параметра filterudp.
Замечание: Каждая секция [id] может содержать сколько угодно параметров filtertcp,
filterudp и filtericmp.
• Правила применения фильтров протоколов.
При приходе какого-либо пакета от данной защищенной станции или посылке пакета на
нее фильтры просматриваются в том порядке, в каком они указаны.
- Если пакет соответствует какому-либо правилу, то выполняется заданное этим
правилом действие, и просмотр правил на этом прекращается.
- Если пакет не соответствует ни одному правилу, то выполняется действие,
заданное фильтром filterdefault.
• Задайте и/или выключите дополнительные фильтры протоколов и проверьте
прохождение пакетов от/для какого-либо защищенного узла, которые удовлетворяют или
не удовлетворяют введенным вами правилам фильтрации;
для Главного фильтра,
для Широковещательного фильтра,
для индивидуального фильтра (конкретной защищенной станции).
• Выключите какой-либо фильтр и проверьте прохождение пакетов от/для какого-либо
защищенного узла, которые обрабатывались выключенным фильтром (например,
блокировались).
Шаг 13: Настройка параметров открытой сети в конфигурационном файле iplir.conf-
eth*
Виды фильтров открытой сети.
• Параметры главного фильтра открытой сети.
• Параметры широковещательного фильтра открытой сети.
• Параметры индивидуальных фильтров открытой сети.
• Настройка фильтров открытой сети.
Указания к выполнению Шага 13:
Замечание: Перед редактированием конфигурационного файла iplir.conf-eth*
необходимо:
остановить управляющую программу командой iplir stop,
произвести необходимые изменения в файле iplir.conf и
затем снова запустить управляющую программу командой iplir start.
Параметры фильтров открытой сети находятся в секциях [ip] в файле iplir.conf-eth*.
• Настройки фильтров открытой сети аналогичны настройкам фильтров закрытой сети.
• В открытой сети имеется четыре вида фильтров:
Главный фильтр:
195
- определяется в секции [ip] с идентификатором ip= 127.73.76.127.
Широковещательный фильтр:
- определяется в секции [ip] с идентификатором ip= 255.255.255.255.
Индивидуальный фильтр:
- находится в секции [ip] с идентификатор ip конкретного открытого узла.
Фильтры протоколов (подчиненные первым трем типам фильтров):
- filtertcp - фильтр протокола TCP.
- filterudp - фильтр протокола UDP.
- filtericmp - фильтр протокола ICMP.
Состояние Главного, широковещательного и индивидуальных фильтров определяется
фильтром по умолчанию
- filterdefault= pass/drop (пропустить/блокировать).
• За установку Главного фильтра отвечает следующая секция файла iplir.conf-eth*.
[ip] (Секция с параметрами главного фильтра)
ip= 127.73.76.127
filterdefault= drop
filterudp= 137, 137, pass, any
filterudp= 138, 138, pass, any
filterudp= 68, 67, pass, any
filterudp= 67, 68, pass, any
filterudp= 0-65535, 53, pass, any
filtericmp= 8, 0-255, pass, send, disable
filtericmp= 0, 0-255, pass, recv, disable
filtericmp= 3, 0-255, pass, recv, disable
filtericmp= 11, 0-255, pass, recv, disable
filtericmp= 30, 0-255, pass, send, disable
Секция [ip] Главного фильтра несет в себе информацию о том, что все
нешироковещательные ip-пакеты, удовлетворяющие описанным правилам, будут разрешены, а
остальные - заблокированы.
• За установку Широковещательного фильтра отвечает следующая секция iplir.conf-
eth*.
Эта секция отвечает за широковещательные пакеты, посылаемые защищенными
станциями.
Установкой соответствующих фильтров протоколов в этой секции можно запрещать или
разрешать прохождение определенных типов широковещательных пакетов.
[ip] (секция широковещательного фильтра для обработки незашифрованных
широковещательных сообщений)
ip= 255.255.255.255
filterdefault= drop
filterudp= 137, 137, pass, any
filterudp= 138, 138, pass, any
filterudp= 68, 67, pass, any
filterudp= 67, 68, pass, any
196
Секция [ip] сообщают низкоуровневому драйверу drvplir о том, что все
широковещательные запросы при любом режиме безопасности запрещены от всех
незащищенных ViPNet узлов за исключением UDP-запросов по портам 67, 68,137,138.
• Настройка параметров Индивидуальных фильтров открытой сети.
Секция [ip] используется для описания фильтров открытой сети.
Каждая такая секция описывает набор фильтров, который используется для
незащищенной (открытой) станции с указанным IP-адресом.
В файле может быть несколько секций [ip].
Эта секция [ip] для Индивидуальных фильтров открытой сети содержит следующие
параметры:
о ip - задает список IP-адресов или диапазонов IP-адресов, для
которых будут указываться фильтры. Например:
ip= 192.168.201.1-192.168.201.10,192.168.201.25 .
о Параметры filterdefault, filtertcp, filterudp, filtericmp - задают
правила фильтрации пакетов при связи с указанными IP-адресами
открытой сети.
• Назначение и синтаксис параметров filterdefault, filtertcp, filterudp, filtericmp точно
такие же, как и соответствующих параметров секции [id] в файле iplir.conf.
Единственное отличие в синтаксисе правил для открытой сети состоит в том, что
параметр filterdefault может принимать значение disable.
о В этом случае весь фильтр для данного IP-адреса или группы
адресов считается временно недействующим.
Адреса и диапазоны адресов, заданные в разных секциях [ip], могут перекрываться.
о В этом случае для перекрывающихся адресов будут действовать
правила той секции [ip], которая указана в файле конфигурации
позже, то есть находится ниже.
Адреса и диапазоны адресов в секциях [ip] не должны пересекаться с адресами
защищенных станций, а также с адресами туннелируемых незащищенных станций.
о При обнаружении таких пересечений соответствующие секции [ip]
автоматически помечаются временно недействующими (параметр
filterdefault устанавливается в disable).
• Задайте и/или выключите дополнительные фильтры протоколов и проверьте
прохождение пакетов от/для какого-либо открытого узла, которые удовлетворяют или не
удовлетворяют введенным вами правилам фильтрации:
для Главного фильтра,
для Широковещательного фильтра,
для индивидуального фильтра (конкретной открытой станции).
• Выключите какой-либо фильтр и проверьте прохождение пакетов от/для какого-либо
открытого узла, которые обрабатывались выключенным фильтром (например,
блокировались).
Шаг 14: Настройка режима безопасности и настройки журнала ip-пакетов на
интерфейсе в файле iplir.conf-eth*
Настройка режима безопасности на интерфейсе.
• Настройки журнала ip-пакетов на интерфейсе.
197
Указания к выполнению:
Замечание: Перед редактированием конфигурационного файла iplir.conf-eth*
необходимо:
остановить управляющую программу командой iplir stop,
произвести необходимые изменения в файле iplir.conf и
затем снова запустить управляющую программу командой iplir start.
Настройка режима безопасности на сетевом интерфейсе eth* Координатора проводится в
секции [mode] файла iplir.conf-eth*:
Пример:
[mode]
mode= 3
boomerangtype=
hard
- Параметр mode может принимать значения от 1 до 5.
о режим 1 - пропускать только зашифрованные пакеты.
о режим 2 - пропускать зашифрованные пакеты и незашифрованные
пакеты от адресатов, явно указанных в фильтрах открытой сети.
о режим 3 - бумеранг. Действия режима 2 плюс пропускать все
исходящие пакеты, а также входящие пакеты (в течение некоторого
времени) от станций, соединение с которыми установлено
исходящими пакетами.
о режим 4 - пропускать все пакеты.
о режим 5 - отключить драйвер, не расшифровывать
зашифрованные пакеты.
- Если строка mode= 3 , то параметр boomerangtype= hard либо soft
о hard - жесткий бумеранг. При установке исходящего соединения с
каким-либо компьютером открытой сети драйвер пропускает ответные
пакеты только в том случае, если они идут с того же адреса, имеют
тот же протокол (TCP, UDP и т.д.) и тот же номер порта.
о soft - мягкий бумеранг. В этом случае драйвер пропускает все
ответные пакеты с того же адреса, с которым было установлено
соединение, и имеющие тот же протокол. Номер порта не
проверяется. Этот режим бывает полезен при работе по протоколам,
использующим несколько портов (например, FTP).
- Если в строке mode= указано любое число кроме 3, то параметр
boomerangtype= hard/soft игнорируется
• Настройка настройки журнала ip-пакетов на сетевом интерфейсе eth* Координатора
проводится в секции [db] файла iplir.conf-eth* :
Пример:
[db]
maxsize= 1 Mbytes
timedif= 60
registerall= off
registerbroadcast=
off
registertcpserverport= off
198
Журнал ведется отдельно на каждом интерфейсе и хранится в том же каталоге, где
находятся файлы конфигурации, в файлах с именами iplir.db- eth*.
maxsize= 1 Mbytes - максимальный размер журнала в мегабайтах.
- Максимальный размер журнала устанавливается пользователем.
- Если значение этого параметра установить в 0, то журнал пакетов для данного
интерфейса вестись не будет, при этом если в журнале до установки размера
в 0 были какие-либо записи, то они не удаляются, но просмотреть их нельзя.
- Записи о пакетах накапливаются в журнале до тех пор, пока не будет достигнут
максимальный размер журнала, после чего самые старые записи стираются и
на их место записываются новые.
- Для уменьшения объема журнала и удобства его просмотра одинаковые записи
о пакетах, зарегистрированные в течение короткого времени, объединяются в
одну запись, и затем при просмотре журнала можно узнать, сколько раз
произошло событие, описываемое этой записью.
timedif= 60 - значение интервала времени, в течение которого одинаковые события
объединяются в журнале в одно.
- Время задается в секундах и составляет по умолчанию 60 секунд.
registerall= off/on - указывает, нужно ли регистрировать все проходящие через систему
пакеты.
о При установке его в on регистрируются только блокированные
пакеты, а также события об изменении адресов защищенных станций;
registerbroadcast= off/on - указывает, нужно ли регистрировать широковещательные
пакеты.
registertcpserverport= off/on - указывает, нужно ли регистрировать порт клиента при
соединении TCP.
- Как правило, порт клиента при TCP-соединении выделяется динамически и
никакой полезной информации не несет.
- Если с какой-либо станции производятся попытки подсоединиться к какому-
либо порту на Вашей станции, а соединение по каким-либо причинам не будет
установлено, то при следующей попытке установить соединение с той же
станции будет использоваться уже другой номер порта, и т.п. При
использовании сканеров портов или каких-либо сетевых атак число таких
попыток может достигать нескольких сотен в секунду. Поскольку клиент
использует каждый раз разные порты, то такие пакеты не считаются
одинаковыми и для каждого из них создается своя запись в журнале, что
засоряет его и затрудняет последующий анализ.
- При установке параметра registertcpserverport в on порт клиента при ТСР-
соединении не регистрируется и не учитывается, что позволяет объединить
события о попытках присоединиться к какому-либо порту на Вашей станции с
определенного адреса в одну запись, что часто очень удобно.
Шаг 15: Настройка туннеля в основном конфигурационном файле iplir.conf
Пример настройки туннеля.
• Параметры, отвечающие за настройку туннеля.
Указания к выполнению Шага 15:
Замечание: Перед редактированием конфигурационного файла iplir.conf необходимо:
остановить управляющую программу командой iplir stop,
произвести необходимые изменения в файле iplir.conf и
199
затем снова запустить управляющую программу командой iplir start.
Пример настройки туннелей с использованием Координаторов ViPNet.
Постановка задачи туннелирования типичной схемы использования туннелей в ViPNet.
- Пусть имеется два офиса, соединенных через Интернет.
- В одном из офисов находится сервер, к которому обращаются компьютеры из
другого офиса.
- Необходимо, чтобы весь обмен данными через Интернет производился с
шифрованием трафика.
- При этом установка ViPNet непосредственно на участвующие в
информационном обмене компьютеры невозможна или по каким-либо
причинам нежелательна.
Решение задачи туннелирования.
- Для того чтобы решить эту задачу, в каждом из офисов устанавливается
Координаторы ViPNet, к которому подключаются компьютеры:
о К Координатору-1 подключаются открытые (без ViPNet)
компьютеры - Компьютер-1, Компьютер-2, Компьютер-3.
о К Координатору-2 подключаются открытый (без ViPNet) компьютер
- Компьютер-4.
о При этом схема принимает вид, изображенный на Рис.4.27.
Компьютер 1
Рис.4.27.Схема туннелирования
- Каждый из координаторов имеет два сетевых интерфейса, один из которых
имеет реальный адрес и подключен к Интернет, а второй имеет частный адрес
и подключен к локальной сети офиса.
о Координатор-1 имеет на внешнем интерфейсе ethO адрес
195.210.139.22 и на внутреннем интерфейсе eth1 адрес 192.168.1.1,
при этом подключенные к нему Компьютеры-1, Компьютеры-2,
Компьютеры-3 имеют адреса с 192.168.1.2 по 192.168.1.4.
о Координатор-2 имеет на внешнем интерфейсе ethO адрес
194.87.0.8 и на внутреннем интерфейсе eth1 192.168.2.1, а
подключенный к нему Компьютер-4 имеет адрес 192.168.2.2.
Настройка туннеля. Для того, чтобы настроить правильную работу туннелей, на
Координаторах необходимо сделать следующие настройки в файле iplir.conf:
- На Координаторе-1:
о в секции [id] для самого себя вписать строку:
tunnel= 192.168.1.2-192.168.1.4 to 192.168.1.2-192.168.1.4
о в секции [id] для Координатора-2 вписать строку:
200
tunnel= 192.168.2.2-192.168.2.2 to 192.168.2.2-192.168.2.2
- На Координаторе-2:
о в секции [id] для самого себя вписать строку:
tunnel= 192.168.2.2-192.168.2.2 to 192.168.2.2-192.168.2.2
о В секции [id] для Координатора-1 вписать строку:
tunnel= 192.168.1.2-192.168.1.4 to 192.168.1.2-192.168.1.4
- Внутренние интерфейсы ethl обоих Координаторов
о не должны находиться в режиме 1.
о Если они находятся в режиме 2 или 3, то на них необходимо
указать разрешающие фильтры для туннелируемых станций. В
нашем случае для этого нужно:
на Координаторе-1 в файле конфигурации для внутреннего
интерфейса iplir.conf-eth1 нужно вписать секцию:
[ip]
ip= 192.168.1.2-192.168.1.4
filterdefault= pass
на Координаторе-2 в файле конфигурации для внутреннего
интерфейса iplir.conf-eth1 нужно вписать секцию:
ip= 192.168.2.2
fiiterdefault= pass
о Если внутренний интерфейс ethl какого-либо Координатора
находится в режиме 4 или 5, то настройку фильтров делать не
требуется.
- После запуска управляющего демона ViPNet с указанными настройками
Компьютер-1, Компьютер-2 и Компьютер-3 смогут обращаться к Компьютеру-4
по адресу 192.168.2.2, при этом на участке между Координатором-1 и
Координатором-2 пакеты будут идти в зашифрованном виде.
• Настройки туннеля производится в основном конфигурационном файле iplir.conf и
файлах интерфейсов iplir.conf-eth* в следующих секциях:
В секции [id] для своего Координатора вписать строку:
tunnel= 192.168.1.2-192.168.1.4 to 192.168.1.2-192.168.1.4
в секции [id] для «чужого» Координатора-2 вписать строку:
tunnel= 192.168.2.2-192.168.2.2 to 192.168.2.2-192.168.2.2
Параметр tunnel - задает незащищенные станции, которые туннелируются данным
Координатором.
- Имеет смысл только для защищенной станции, являющейся Координатором.
- Значение этого параметра имеет вид: <ip1>-<ip2> to <ip3>-<ip4>, где ipl и ip2
- начальный и конечный адреса туннелируемого диапазона, ip3 и ip4 - начало
и конец отображения этого диапазона на настраиваемом Координаторе.
- Замечание: При указании параметра tunnel нужно всегда задавать одинаковые
значения для реального диапазона адресов и диапазона отображения. То
есть, параметр tunnel должен иметь вид tunnel= ip1-ip2 to ip1-ip2. При
несоблюдении этого правила диапазон отображения приводится в
соответствие с реальным диапазоном автоматически.
201
- Однако иногда бывают случаи, когда диапазон ip1-ip2 принадлежит к частной
сети, и такие же адреса частной сети уже есть в локальной сети
настраиваемой машины. В этом случае диапазон ip1-ip2 отображается на
другие, свободные адреса путем указания других значений ip3 и ip4. Значение
ip4, вообще говоря, игнорируется и генерируется автоматически путем
прибавления разницы между ip2 и ipl к ip3. Например:
tunnel= 192.168.201.5-192.168.201.10 to 192.168.201.5-192.168.201.10
задает, что данный Координатор туннелирует адреса с 192.168.201.5 по
192.168.201.10, которые отображаются на локальной машине без изменения;
tunnel= 192.168.201.5-192.168.201.10 to 192.168.202.5-192.168.202.10
задает, что данный Координатор туннелирует адреса с 192.168.201.5 по
192.168.201.10, которые отображаются на адреса с 192.168.202.5 по
192.168.202.10.
- Параметры tunnel не рассылаются по сети.
о Это означает, что если какой-либо Координатор ViPNet
туннелирует какой-то набор незащищенных станций, то другие
Координаторы и Клиенты ViPNet не получат информацию об этом
автоматически.
о Необходимо вручную указать, что данный Координатор будет
туннелировать данные станции, на каждой станции, которая будет
работать с этими туннелируемыми станциями посредством ViPNet.
При настройке собственной секции [id] для различных режимов работы Координатора
необходимо уделять внимание настройке маршрутизации. Следует соблюдать несколько
правил:
- Если данный Координатор туннелирует какие-либо станции, то на всех
туннелируемых станциях необходимо установить default gateway на данную
туннелирующую их станцию.
- Если данная станция будет работать хотя бы с одной другой станцией по
виртуальному адресу, то у нее должен быть настроен default gateway. Если
default gateway не будет указан, то пакет может быть блокирован системой на
ранней стадии и вообще не дойти до драйвера.
- Если данная станция используется как прокси-сервер, то на ней должна быть
включена функция IP forwarding, независимо от количества сетевых
интерфейсов на станции.
Шаг 16: Настройка режимов работы ViPNet (Координатор) Linux через межсетевой
экран (Firewall)
Настройка режима «Без внешнего Firewalb - автономная работа.
• Настройка режима работы через «ViPNet-координатор».
• Настройка режима работы через «Статический NAT».
• Настройка режима работы через «Динамический NAT».
Указания к выполнению:
Замечание: Перед редактированием конфигурационного файла iplir.conf необходимо:
остановить управляющую программу командой iplir stop,
202
произвести необходимые изменения в файле iplir.conf и
затем снова запустить управляющую программу командой iplir start.
Настройка режима «Без внешнего Firewall».
Для Координатора при выборе данного режима необходимо установить
следующие параметры в файле iplir.conf:
в секции [id] для собственной станции:
- параметр usefirewall выставить в значение on.
- в качестве значения параметра firewallip выставить значение любого из
реальных IP-адресов своей станции.
- значение параметра port выбрать из диапазона 1-65535 (обычно 55777).
- значение параметра proxy_id выставить равным значению параметра id.
в секции [dynamic] параметр dynamic_proxy выставить в значение off.
для всех используемых сетевых интерфейсов в секциях [adapter] выставить значение
параметра type= internal.
• Настройка режима работы через «ViPNet-координатор».
Для настройки работы Координатора через ViPNet-координатор необходимо
выполнить следующие настройки в файле iplir.conf:
в секции [id] для ViPNet-координатора, выбранного в качестве прокси-сервера,
- задать значение его любого из доступных данной станции реальных IP-адресов
(параметр ip), если такое еще не задано.
в этой же секции задать значение параметра port, т.е. порта назначения, на
который будут посылаться пакеты для данного ViPNet-координатора.
для секции [adapter], соответствующей сетевому интерфейсу, со стороны которого
установлен выбранный ViPNet-координатор, установить значение параметра type= external.
в секции [id] для собственной станции:
- параметр usefirewall выставить в значение on.
- в секции [id] для собственной станции значение параметра proxy_id выставить
равным значению id выбранного ViPNet-координатора.
в секции [dynamic] параметр dynamic_proxy выставить в значение off.
После соединения с Координатором и если он правильно настроен:
в секции [id] для выбранного ViPNet-координатора установятся значения firewallip, port
и proxy_id.
Кроме того, могут измениться значения параметров firewallip и port в секции [id] для
собственной станции - они должны соответствовать параметрам выбранного координатора.
• Настройка режима работы через «Статический NAT».
Если в локальной сети установлен Firewall, выполняющий NAT, на котором можно
настроить статические правила NAT, обеспечивающие взаимодействие с определенным
внутренним адресом сети по протоколу UDP с заданным портом, и есть необходимость во
взаимодействии с другими узлами, находящимися во внешней относительно Firewall сети, то
на Координаторе нужно произвести настройки режима работы со статическим NAT.
В этом случае IP-адрес вашего Координатора и порт доступа к нему должны быть жестко
заданы на Firewall.
Кроме того, на данном Координаторе необходимо настроить маршрутизацию на внешний
Firewall (шлюз по умолчанию или маршруты для удаленных подсетей).
Для пропуска пакетов на Firewall (или устройстве с NAT), на котором можно настроить
статические правила NAT, должен быть обеспечен:
Пропуск исходящих UDP-пакетов с IP-адресом и портом вашего узла (Source-порт) на
любой внешний адрес и порт (с подменой адреса источника на свой адрес).
203
Пропуск и перенаправление входящих UDP-пакетов с портом вашего узла (Destination-
порт) на IP-адрес вашего узла.
Если за внешним Firewall такого типа находится несколько ViPNet-станций, то на каждой
из них должен быть назначен свой порт доступа.
Для настройки работы узла через Firewall со статическим NAT необходимо выполнить
следующие настройки в файле iplir.conf:
в секции [id] для собственной станции:
- параметр usefirewall выставить в значение on.
- значение параметра proxy_Jd выставить равным 0.
- Значение параметра port выбрать из диапазона 1-65535 (обычно 55777).
- параметр firewallip в данном режиме определяется автоматически по
информации, полученной от узлов, находящихся во внешней сети, поэтому
редактировать его вручную не следует в секции [dynamic] параметр
dynamic_proxy выставить в значение off.
- для секции [adapter], соответствующей сетевому интерфейсу, со стороны
которого установлен внешний Firewall, установить значение параметра
type=external.
Информация об IP-адресе Firewall и порте доступа сообщается программой всем
остальным узлам, с которыми связан ваш Координатор.
• Краткое описание режима работы через «Динамический NAT».
Режим работы с использованием такого типа Firewall наиболее универсален и может
использоваться практически во всех случаях.
Основное его назначение - обеспечить надежную двустороннюю связь с узлами,
работающими через устройства NAT, на которых настройка статических правил NAT
затруднена или невозможна.
Для обеспечения возможности двухсторонней работы на Координаторе, работающем
через устройство с NAT, и всех его АП, на Координаторе устанавливается режим с работы
через Firewall с динамическим NAT.
Одновременно должен присутствовать постоянно доступный координатор, находящийся
во внешней сети. Назовем его Координатором входящих соединений (параметр forwardjd
секции [dynamic]).
Координатор в режиме использования Firewall типа «С динамическим NAT» после
подключения к сети с заданным периодом (по умолчанию - 25 секунд), производит отправку
UDP-пакетов на свой Координатор входящих соединений (параметр timeout секции [dynamic]).
Если есть проблемы со связью в режиме Firewall с динамическим NAT, то можно
включить опцию (за который отвечает параметр always_use_server секции [dynamic]), которая
позволяет любой трафик с внешними узлами направлять только через ViPNet-координатор для
организации входящих соединений. Однако в этом режиме из-за удлинения маршрута
прохождения пакетов возможно снижение скорости обмена.
Замечание: Координатор в режиме "Динамический NAT" для взаимодействия с
узлами, работающими через какой-либо ViPNet-координатор (для организации входящих
соединений), должен быть связан с этим ViPNet-координатором.
• Настройка режима работы через «Динамический NAT».
Для настройки работы узла в данном режиме необходимо выполнить
следующие настройки в файле iplir.conf:
В секции [id] для собственной станции:
- Параметр usefirewall выставить в значение on.
- Значение параметра port выбрать из диапазона 1-65535 (обычно 55777), если
оно еще не установлено.
204
Для секции [adapter], соответствующей сетевому интерфейсу, со стороны которого
установлен внешний Firewall, установить значение параметра type=external.
В секции [dynamic]:
- Параметр dynamic_proxy выставить в значение on.
- Выбрать внешний ViPNet-координатор для организации входящих соединений:
о в качестве параметра forward_id выбрать id ViPNet-координатора
для организации входящих соединений, если он еще не выбран.
о Для координатора данный параметр выставляется вручную, он не
может принимать нулевое значение.
о Кроме того, выбранный ViPNet-координатор должен иметь хотя бы
один адрес доступа, иначе включение рассматриваемого режима
также будет не возможно.
При необходимости изменить значения параметров timeout и always__use_server секции
[dynamic].
Параметры firewallip и port секции [dynamic] в данном режиме определяются
автоматически по информации, полученной от узлов, находящихся во внешней сети, поэтому
редактировать их вручную не следует.
205
Настройка и эксплуатация ПО ViPNet Linux Координатор в режиме
горячего резервирования (ViPNet Кластер)
Назначение
Система горячего резервирования серверов предназначена для создания
отказоустойчивого решения для Координатора на базе программного обеспечения ViPNet.
Система горячего резервирования серверов подразумевает создание кластера из двух
компьютеров (с установленным ПО ViPNet-Linux-Координатор), один из которых находится в
активном режиме и выполняет функции ViPNet-Координатора, а другой находится в режиме
ожидания (в пассивном режиме).
На Рис.4.28 представлен общий вид кластера на базе ViPNet-Linux-Координаторов с
тремя сетевыми интерфейсами.
External Network
Test IP = 10.10.1.4
active IP = 10.10.1.1
passive IP = 10.10.1.3
passive IP = 10.10.1.2
Координатор 1
ethO
Кластер
failovcr IP =
192.168.1.1
failover IP =
192.168.1.2
Координатор 2
ethO
passive IP = 172.18.1.3
active IP = 172.18.1.1
passive IP = 172.18.1.2
Test IP = 172.18.1.4
• • •
Internal Network
Рис.4.28.Общий вид кластера
206
При сбое сетевого оборудования, повреждении сетевого кабеля или других сбоях на
активном Координаторе он перезагружается и переводится в режим ожидания, а пассивный
Координатор становится активным и продолжает выполнять функции ViPNet-Координатора.
Далее излагаются принципы работы и сведения об установке и настройке системы
горячего резервирования ViPNet Linux. При этом предполагается, что читающий этот материал
знаком с процессом установки и настройки ViPNet Linux Координатора.
Принципы работы
Кластер с точки зрения других компьютеров сети имеет один IP-адрес на каждом из своих
сетевых интерфейсов.
Для кластера, изображенного на рис. Рис.4.28,
интерфейс, который смотрит во внутреннюю сеть Internal Network, имеет active IP =
172.18.1.1,
интерфейс, который смотрит во внешнюю сеть External Network, имеет active IP =
10.10.1.1.
IP-адресами кластера (active IP-адресами) обладает тот Координатор, который в данный
момент находится в активном режиме.
Пусть для определенности на Рис.4.28 и Ошибка! Источник ссылки не найден,
активным Координатором будет Координатор 1. Тогда у Координатора 1 (находящегося в
активном режиме):
интерфейс ethO будет иметь IP-адрес = active IP = 172.18.1.1,
интерфейс ethl будет иметь IP-адрес = active IP = 10.10.1.1.
Координатор, находящийся в пассивном режиме (на Рис.4.28 и Ошибка! Источник
ссылки не найден, это Координатор 2), имеет другие IP-адреса - passive IP-адреса, которые
не используется другими компьютерами сети для связи с кластером.
В отличие от адресов активного режима в пассивном режиме каждый из Координаторов
имеет свой собственный адрес на каждом из своих интерфейсов. Эти адреса для двух
Координаторов кластера не совпадают (Ошибка! Источник ссылки не найден.).
В пассивном режиме Координаторы кластера имеют следующие IP-адреса (см.рис.1.36):
ПАССИВНЫЙ режим
Интерфейс
Координатор 1
Координатор 2
ethO
passive IP = 172.18.1.3
passive IP = 172.18.1.2
ethl
passive IP = 10.10.1.3
passive IP = 10.10.1.2
Кроме того, Координаторы имеют еще третий сетевой интерфейс eth2;
Интерфейс
Координатор 1
Координатор 2
eth2
failoverlP= 192.168.1.1
failoverlP= 192.168.1.2
Для каких целей требуется третий сетевой интерфейс eth2 будет сказано ниже.
Стек TCP/IP на каждом из Координаторов кластера настраивается администратором
таким образом, чтобы после перезагрузки Координаторы получали свои адреса пассивного
режима.
Оба Координатора в схеме кластера абсолютно равноправны.
При загрузке Координаторов кластера запускается демон системы резервирования
failoverd, который стартует в пассивном режиме.
При начальном запуске кластера активным станет тот Координатор, который будет
запущен раньше.
207
Предположим, первым запустился Координатор 1, тогда он станет в активный режим.
Координатор 2, который запутился позже, станет в пассивный режим.
Проверка наличия в сети активного Координатора
Пассивный Координатор - Координатор 2 (который находится в пассивном режиме)
периодически посылает в сеть запросы на поиск IP-адресов активного Координатора, т.е. IP-
адресов кластера - active IP = 172.18.1.1 и active IP = 10.10.1.1:
Если все active IP-адреса активного Координатора недоступны в течение заданного
времени (и, значит, активного Координатора нет в сети - он «упал»), то пассивный
Координатор переходит в активный режим.
При этом пассивный Координатор устанавливает себе на интерфейсах ethO и eth1
соответствующие адреса активного Координатора - адреса, под которыми кластер видят
другие компьютеры сети, а именно, на ethO: active IP = 172.18.1.1 и на eth1: active IP =
10.10.1.1), запускает демон ViPNet и входит в цикл проверки своих сетевых интерфейсов.
Проверка работоспособности активного Координатора
Активный Координатор периодически проверяет работоспособность каждого своего
интерфейса (ethO и eth1) следующим образом:
Периодически по истечении заданного в настройках временного интервала анализирует
входящий и исходящий сетевой трафик, прошедший через интерфейсы ethO и eth1:
S Если разница в количестве пакетов между началом и концом интервала
положительна, то считается, что интерфейс функционирует нормально и
счетчик отказов для этого интерфейса сбрасывается.
^ Если в течение данного интервала не было послано и принято ни одного
пакета, то включается дополнительный механизм проверки, заключающийся
в посылке эхо-запросов до ближайших маршрутизаторов:
^ Данный механизм можно использовать не только как дополнительный, но и
вместо основного, это настраивается конфигурацией системы
резервирования.
S Если на каком-либо из интерфейсов в заданное время не приходит ответ от
маршрутизатора, счетчик отказов для этого интерфейса увеличивается на
единицу. При достижении счетчиком определенного значения фиксируется
полный отказ интерфейса.
S При возникновении полного отказа одного из интерфейсов активный
Координатор перезагружается. В момент перезагрузки (она занимает, как
правило, около 30 секунд) все адреса активного Координатора становятся
недоступны, что служит сигналом для пассивного Координатора на переход в
активный режим.
S После перезагрузки прежде активного Координатора он, как описано выше,
становится в пассивный режим и при работоспособном втором Координаторе
(который ранее был пассивным и который теперь работает как активный)
остается в пассивном режиме.
Проверка наличия в памяти демонов ViPNet и MFTP
Система резервирования периодически проверяет наличие в памяти демонов ViPNet и
MFTP. Все демоны, за которыми следит система резервирования (это iplircfg и mftpd) при их
ручном останове записывают этот факт в файл на диске.
Следящий демон перед каждой проверкой состояния соответствующего
подконтрольного демона считывает признак останова, и если он установлен, проверка не
производится, и ее результат считается успешным.
При успешном запуске подконтрольного демона он этот флаг сбрасывает (после
демонизации), и следящий демон начинает следить за ним снова.
Если при запуске следящего демона выясняется, что какие-либо из подконтрольных
демонов были остановлены вручную, об этом выдается предупреждение в syslog, а также на
терминал, если он есть.
208
Также предупреждение в syslog выдается, если в течение 10 проверок одного демона
подряд он находится в режиме ручного останова.
Если какого-либо из этих демонов нет в памяти, и он не был остановлен вручную, он
запускается.
Если несколько проверок подряд обнаружили отсутствие в памяти демона ViPNet,
делается вывод о том, что он не может нормально функционировать, и Координатор
перезагружается.
Для каких целей используется третий интерфейс eth2 (резервный канал)?
Для того чтобы поддерживать конфигурационные файлы и базы ViPNet-Linux на обоих
Координаторах в актуальном состоянии, между Координаторами кластера создается
резервный канал eth2, по которому с активного Координатора на пассивный Координатор
периодически передаются необходимые файлы.
Замечание: Этот канал используется только для передачи файлов системой
резервирования и его проверка по общей схеме не выполняется.
Резервный канал может представлять собой соединенные кросс-кабелем платы
Ethernet (это предпочтительно), или нуль-модем.
Кроме того, система резервирования при каждом своем запуске включает режим
резервирования MFTP конвертов демона mftpd.
Система резервирования MFTP конвертов обеспечивает хранение копий принятых и
готовых к отправке конвертов на пассивном Координаторе.
Передача конвертов осуществляется активным Координатором по резервному каналу.
При переключении пассивного Координатора в активный режим сохраненные копии
обрабатываются, что практически исключает потерю данных.
Включение системы резервирования MFTP конвертов обеспечивается посредством
запуска демона mftpd с соответствующими ключами для каждого из режимов.
В каждом из режимов работы демон резервирования может зарегистрироваться в
драйвере watchdog, который работает на очень низком уровне и в большинстве случаев
сохраняет работоспособность даже в случаях, когда система уже не реагирует на внешние
события.
При регистрации задается интервал опроса драйвера со стороны демона. В процессе
работы управляющий демон системы резервирования периодически опрашивает драйвер,
подтверждая работоспособность системы.
Если по истечении заданного промежутка времени драйвер обнаруживает, что опроса
не было, то он перезагружает систему. Перед этим он делает попытку записать на диск кэш-
буферы системы, чтобы не возникло ошибок в файловой системе, однако это не всегда
возможно.
При корректном останове программы-демона (например, при изменении настроек) она
сообщает драйверу об этом, и драйвер перестает следить за временем опроса, так что
система не будет перезагружена.
Оба Координатора в используемой схеме кластера абсолютно равноправны.
Как было уже сказано выше, при начальном запуске кластера активным становится тот
Координатор, который будет запущен раньше.
Однако, поскольку переключение Координатора из одного режима в другой занимает
некоторое время, то при практически одновременном старте Координаторов может случиться,
что оба они перейдут сначала в пассивный режим, а затем в активный.
Для предотвращения такой ситуации Координаторэ постоянно обмениваются по
резервному каналу пакетами синхронизации, содержащими информацию о режиме работы
Координатора:
Если обнаруживается, что оба Координатора находятся в активном режиме, то
запускается специальная схема выбора, которая однозначно определяет один из
Координаторов, который должен перезагрузиться и перейти в пассивный режим.
209
Требования к системе
Система резервирования предназначена для работы в ОС Linux следующих
дистрибутивов и версий:
RedHat Linux 7.2, 7.3, 9.0, RedHat Enterprise Linux 3, Fedora Core 3;
Mandrake Linux 9.0, 9.1, 10.1;
Debian Woody 3.0;
Linux SuSe 9.0, 9.1, 9.2, 10.0, SuSE Linux Enterprise Server 9, 10;
Linux Slackware 8.1, 10.0.
На других дистрибутивах Linux работа системы резервирования возможна, но не
гарантируется. В системе должно использоваться ядро Linux из подмножества версий 2.4.x или
2.6.x, но не более раннее, чем 2.4.2 и не более позднее, чем 2.6.13. В системе должно быть не
менее 128 Мбайт оперативной памяти. Для более подробной информации см. Руководство
администратора ПО ViPNet Linux.
Компьютеры кластера должны быть настроены так, чтобы корректно перезагружаться
полностью без участия человека.
Сетевые интерфейсы, посредством которых кластер общается с внешним миром,
должны представлять собой сетевые платы или коммуникационные порты, работающие по
протоколу Ethernet, РРР или SLIP и соединенные с локальной сетью или между собой
посредством кабелей. Работа с платами, использующими нестандартные средства связи
(Radio Ethernet и т.п.), возможна, но не гарантируется. В качестве резервного канала могут
быть использованы платы Ethernet, соединенные между собой кросс-кабелем, или нуль-
модемное соединение, работающее по протоколу РРР или SLIP.
Компьютеры кластера должны иметь одинаковое число сетевых интерфейсов, которые
должны быть подключены в одни и те же внешние сети. Совпадения имен интерфейсов,
подключенных к соответствующим сетям, и аппаратной идентичности сетевых плат не
требуется.
Сеть должна быть полностью работоспособна до установки ViPNet и системы
резервирования. Если в качестве резервного канала используется нуль-модем, то необходимо
настроить демон ррр или slip таким образом, чтобы при перезапуске компьютеров связь по
нуль-модему устанавливалась автоматически. Как это сделать, можно узнать в документации
по Linux.
Установка системы горячего резервирования
Перед установкой и настройкой системы горячего резервирования серверов необходимо:
выполнить стандартную установку ViPNet Custom Linux на обоих Координаторах,
входящих в кластер.
Процесс установки ViPNet Custom Linux подробно описан в предыдущих разделах и в
"PvKnRnnr.TR^ ялммнмг.тпятппя ПП ViPNet I innv"
После успешной установки нужно запустить управляющую программу ViPNet командой
iplir start на одном из компьютеров кластера.
Затем с помощью команды ps ах |grep iplir убедиться, что она запускается. Если она не
запускается, нужно посмотреть сообщения syslog и устранить возникшие неполадки.
Затем управляющую программу ViPNet нужно остановить командой iplir stop,
просмотреть файлы \conf, которые будут созданы в каталоге, где находятся ключевые базы, в
подкаталоге user, и убедиться, что данные обо всех интерфейсах появились в файлах
конфигурации.
- Особенно это касается случая, когда в качестве резервного канала используется нуль-
модем - иногда управляющая программа ViPNet не может определить наличие интерфейса
ррр или si. Тогда нужно вручную вписать данные о нем в основной файл конфигурации и
создать соответствующий конфигурационный файл для этого интерфейса (iplir.conf-pppO,
iplir.conf-slO и т.д.).
210
Затем нужно вписать в файлы конфигурации данные о фильтрах, о туннелировании
каких-либо машин и прочие настройки, которые будут использоваться активным сервером
кластера.
На этом этапе нужно выбрать интерфейс, который будет использоваться в качестве
резервного канала, и в файле конфигурации для этого интерфейса указать режим 5 (драйвер
отключен).
- Это необходимо сделать потому, что оба компьютера в кластере имеют одни и те же
ключи и поэтому не могут общаться между собой по защищенному протоколу.
- Обмен данными по резервному каналу идет открытым трафиком. Именно поэтому при
использовании в качестве резервного канала плат Ethernet не следует подключать их в общую
сеть, а следует соединить кросс-кабелем.
Замечание: Указанные процедуры проверки и настройки файлов конфигурации
необходимо проделать только на одном компьютере кластера, а затем скопировать все файлы
конфигурации на другой. После копирования нужно, тем не менее, проверить
работоспособность ViPNet с ними.
При проверке работы ViPNet нужно проверять компьютеры по одному и не допускать
ситуации, когда управляющая программа ViPNet работала бы на обоих компьютерах кластера
одновременно - это может привести к нежелательным последствиям.
Далее необходимо настроить работу демона транспортного модуля mftpd. Для этого
нужно:
• сначала остановить демон командой mftp stop, а
• затем выполнить команду mftp check, которая создаст файл конфигурации mftp.conf
в подкаталоге user каталога ключевых баз, если он еще не был создан.
• После этого производится настройка файла конфигурации системы резервирования
на обоих компьютерах.
^ Этот файл различен для двух компьютеров кластера, и его нужно настраивать
на каждом компьютере отдельно, как описано ниже.
S После настройки файла конфигурации нужно выполнить установочный скрипт
командой failover install.
У Эта команда добавляет систему резервирования в список сервисов, которые
запускаются при старте системы, и одновременно удаляет из этого списка
управляющую программу ViPNet, демон watchdog и демон MFTP.
Демон резервирования самостоятельно опрашивает драйвер watchdog, во многом
дублируя функции демона watchdog, поэтому он не должен использоваться совместно с
демоном watchdog.
Управляющий демон ViPNet и демон MFTP не должны запускаться как отдельные
сервисы при старте системы, потому что демон резервирования стартует их сам с
определенными флагами в зависимости от текущего режима резервирования.
Если впоследствии Вам нужно будет отключить систему резервирования и вернуться к
обычному порядку загрузки компонентов ViPNet, выполните команду failover uninstall.
- Эта команда удалит из стартового списка систему резервирования и добавит туда
watchdog, управляющую программу ViPNet и демон MFTP.
Не пытайтесь редактировать список сервисов вручную - команды failover install и
failover uninstall сделают это так, как необходимо.
Обновление версии ViPNet Linux
В процессе эксплуатации ПО ViPNet Linux периодически возникает необходимость
обновления версии ПО на более новую. Процесс обновления ПО ViPNet Linux описан в
"Руководстве администратора ПО ViPNet Linux". Однако при работе в составе кластера
горячего резервирования серверов процесс обновления ПО имеет ряд особенностей,
связанных с обеспечением бесперебойной работы кластера в процессе обновления. Ниже
211
описан алгоритм обновления ПО ViPNet Linux на кластере, обеспечивающий бесперебойную
работу системы.
Обновление необходимо начинать с координатора, находящегося в пассивном режиме
резервирования. Информацию о текущем режиме можно получить с помощью команды failover
info. Обновление необходимо провести по алгоритму, описанному в соответствующем разделе
"Руководства администратора ПО ViPNet Linux".
После обновления ПО на пассивном координаторе кластера необходимо убедиться в
стабильной работе данной версии ПО на данном координаторе в течение выбранного
интервала времени. В случае каких-либо проблем в работе новой версии ПО следует
произвести откат на предыдущую версию, установленную ранее. Процедура отката описана в
соответствующем разделе "Руководства администратора ПО ViPNet Linux".
В случае стабильной работы новой версии ПО в пассивном режиме необходимо
перевести данный координатор в активный режим. Для этого следует выключить координатор,
находящийся в данный момент в активном режиме командой halt или shutdown. Через
таймаут, заданный в настройках системы горячего резервирования, пассивный координатор с
новой версией ПО должен перейти в активный режим.
Если в результате каких-либо сбоев в работе новой версии ПО этого не произошло или
после перехода в активный режим новая версия ПО функционирует некорректно, следует
включить координатор со старой версией ПО, а на координаторе с новой версией произвести
процедуру отката.
В случае стабильной работы новой версии ПО в активном режиме в течение выбранного
периода времени необходимо включить координатор, на котором установлена старая версия
ПО, а затем произвести на нем процедуру обновления ПО по алгоритму, описанному в
соответствующем разделе "Руководства администратора ПО ViPNet Linux".
Настройка файла конфигурации failover.ini
Файл конфигурации системы резервирования находится в каталоге /etc и называется
failover.ini. Его структура сходна со структурой .ini-файлов в Windows и имеет вид:
[sectionl]
parameterl =value1
parameter2=value2
[section2]
parameterl =value1
Имена, как секций, так и параметров могут повторяться.
Каждый сетевой интерфейс, работоспособность которого система должна проверять в
активном режиме, описывается секцией [channel].
По умолчанию создается одна такая секция [channel].
Поэтому при редактировании необходимо добавить столько секций, сколько сетевых
интерфейсовмогут быть в активном режиме.
[channel] (секция сетевых интерфейсов ethO, eth1, которые могут находиться в
активном режиме)
device= ethO - имя сетевого интерфейса.
activeip= 172.18.1.1 - IP-адрес этого интерфейс в активном режиме.
passiveip= 172.18.1.3 - IP-адрес интерфейса в пассивном режиме.
testip= 172.18.1.4 - IP-адрес маршрутизатора или другого стабильного объекта сети,
которому будут посылаться эхо-запросы для проверки работоспособности этого интерфейса.
212
- Можно указывать несколько параметров testip, в этом случае будут посылаться
эхо-запросы на все указанные адреса, и сбоем интерфейса будет считаться
ситуация, когда ни от одного адреса не получен ответ.
ident= iface-0 - текстовая строка, идентифицирующая данный интерфейс (маркировака
интерфейса).
afterifconf- параметр, содержащий команды, выполняемые непосредственно после
конфигурирования данного интерфейса при смене режима. Является необязательным
параметром и по умолчанию отсутствует в файле конфигурации. Данный параметр может
использоваться в специфических ситуациях, например, если необходимо выполнить какие-
либо нестандартные команды, связанные с настройкой сетевого интерфейса.
checkonlyidle= yes - проверять только «неактивные» интерфейсы. Может принимать
значения yes или по.
- Если параметр выставлен в yes, то активный сервер посылает эхо-пакеты до
адресов, указанных в параметрах testip, только если за период опроса IP-
адресов (checktime) на данном интерфейсе не было входящих или исходящих
пакетов. По умолчанию значение параметра yes.
Все три IP-адреса activeip, passiveip, testip ОБЯЗАТЕЛЬНО должны быть в одной IP-
подсети.
При настройке секции [channel] для данного интерфейса параметры device, activeip и
testip будут одинаковыми на двух Координаторах, а параметры passiveip должны быть
разными.
- IP-адрес интерфейса по умолчанию (который настраивается в Linux), должен
совпадать с тем, который указывается в параметре passiveip.
- Параметры ident должны совпадать на обоих Координаторах кластера для
интерфейсов, подключенных в одинаковые сети - именно по этим параметрам
система резервирования определяет интерфейсы, которые выполняют
одинаковые функции на компьютерах кластера.
Ниже приведен пример настройки параметров интерфейсов кластера
горячего резервирования, соответствующий схеме, представленной на Ошибка!
Источник ссылки не найден..
Для первого Координатора 1
Для Коордиантаора 2
[channel]
[channel]
device=ethO
device=ethO
activeip=172.18.1.1
activeip= 172.18.1.1
passiveip=172.18.1.3
passiveip= 172.18.1. 2
testip=172.18.1.4
testip=172.18.1.4
ident = iface-0
ident = iface-0
checkonlyidle=yes
checkonlyidle=yes
[channel]
[channel]
device=eth1
device=eth1
activeip=10.10.1.1
activeip=10.10.1.1
passiveip=10.10.1.3
passiveip=10.10.1. 2
testip=10.10.1.4
testip=10.10.1.4
ident = iface-1
ident = iface-1
checkonlyidle=yes
checkonlyidle=yes
[sendconfig] (секция для канала
[sendconfig]
резервирования - см. ниже )
213
activeip=192.168.1.2
activeip=192.168.1.1
ifconfig= iface-0
ifconfig= iface-0
ifdb= iface-0
ifdb= iface-0
ifconfig= iface-1
ifconfig= iface-1
ifdb= iface-1
ifdb= iface-1
file= ap*.txt
file= ap*.txt
file= ap*crg
file= ap*crg
file= ap*.crc
file= ap*.crc
file=node*.*
file=node*.*
file= extnet.doc
file= extnet.doc
file= infotecs.re
file= infotecs.re
file= ipliradr.do$
file= ipliradr.do$
file= nmatrix.dat
file= nmatrix.dat
file= knmatrix.dat
file= knmatrix.dat
file= m.key
file= m.key
file= user/key_disk/act/1a0f.trl
file= user/key_disk/act/1a0f.trl
file= station/*.pck
file= station/*.pck
и т.д.
и т.д.
Таким образом создаются секции [channel] для каждого интерфейса, работа которого
будет проверяться.
Пересылка файлов с активного сервера на пассивный контролируется секцией
[sendconfig].
[sendconfig] (секция для Координатора 1)
activeip= 192.168.1.2 - адрес (= failoverIP на рис. Ошибка! Источник ссылки не
найден.), который имеет на резервном канале второй Координатор 2 кластера.
- Каждый компьютер должен иметь в этом поле адрес резервного канала другого
компьютера. .
sendtime= 60 - период между попытками переслать файлы, в секундах.
config= yes - отвечает за пересылку основного файла конфигурации.
- Параметр "config может принимать значение yes или по и указывает, нужно ли
передавать основной файл конфигурации. Как правило, нужно-устанавливать его в yes.
Данный параметр должен указываться только один. раз.
ifconfig= iface-0 - отвечает за пересылку файлов конфигурации интерфейсов.
- Значением параметра ifconfig является идентификатор сетевого интерфейса,
описанный в его секции [channel] параметром ident= iface-0.
- Если идентификатор интерфейса указан в параметре ifconfig, то его файл
конфигурации передается с активного сервера на пассивный,
- Файл конфигурации интерфейса, используемого для организации резервного
канала, не передается, поскольку этот интерфейс должен всегда стоять в режиме 5, и
никаких других настроек для него делать не нужно.
- Можно „указывать несколько параметров ifconfig - по числу сетевых интерфейсов
(для ethO и-ethl кроме интерфейса для резервного канала).
ifdb= iface-0 - отвечает за пересылку журналов пакетов для интерфейсов.
- Значением параметра ifdb является идентификатор сетевого интерфейса,
описанный в его секции [channel] параметром ident= iface-0.
- Если идентификатор интерфейса указан в параметре ifdb, то файл его журнала
пакетов передается с активного сервера на пассивный.
214
- Файл журнала пакетов интерфейса, используемого для организации резервного
канала, не передается, поскольку этот интерфейс должен всегда стоять в режиме 5, и журнал
пакетов для него не ведется.
- Можно указывать несколько параметров ifdb - по числу сетевых интерфейсов (для
ethO и ethl кроме интерфейса для резервного канала).
Замечание: Обязательно нужно настроить передачу файла основного
файла конфигурации и соответствующих файлов конфигурации для интерфейсов,
а также файла конфигурации транспортного модуля mftp.conf.
device= eth2 - системное имя интерфейса, который используется для организации
резервного канала.
port= 10090 - номер порта, на котором данный компьютер в активном режиме ожидает
соединения на резервном канале от пассивного компьютера кластера для передачи ему
заданных файлов.
- Значение по умолчанию для этого параметра равно 10090.
connectport- номер порта, который данный компьютер в пассивном режиме выбирает
для соединения на резервном канале с активным компьютером кластера для приема
запрошенных файлов.
- Данный параметр может отсутствовать в конфигурационном файле. В этом случае
его значение по умолчанию равно значению параметра port.
- Если параметр port также не указан, то значение параметра connectport равно
10090.
file= имя файла - файл для пересылки.
- Параметры file описывают передачу файлов, не являющихся файлами
конфигурации управляющей программы ViPNet.
- Желательно также передавать все базы ViPNet, особенно если используется также
система удаленного обновления ключевых баз ViPNet.
- Для этого нужно настроить передачу следующих файлов (относительно каталога,
где находятся базы ViPNet и который указан в /etc/iplirpsw):
о всех файлов вида ap*.txt, ap*crg, ар*.сгс и node*/
Например: file= apa000b.txt
о extnet.doc, infotecs.re, ipliradr.do$, nmatrix.dat, knmatrix.dat, m.key
о всех файлов, находящихся в каталоге user/key_disk/act Например: file=
user/key_disk/act/ 1a0f.trl
о всех файлов, находящихся в каталоге station
- В зависимости от типа станции некоторые файлы могут отсутствовать, поэтому
нужно настраивать передачу тех файлов из вышеперечисленных, которые имеются в
используемых справочниках ViPNet.
- При удаленном обновлении ключей и справочников набор приведенных выше
файлов может меняться, поэтому после проведения обновления необходимо отслеживать
эти изменения и вносить соответствующие корректировки в файл конфигурации.
- Для передачи файлов конфигурации и журналов пакетов использовать эти
параметры не следует, вместо этого нужно пользоваться параметрами config, ifconfig и ifdb.
- Можно задавать сколько угодно параметров file, однако следует иметь в виду, что,
о во-первых, используемый протокол передачи файлов оптимизирован для
передачи коротких файлов - как правило, файлов конфигурации и баз данных
ViPNet, и передача через систему резервирования больших файлов не
рекомендуется (максимальный рекомендуемый размер составляет примерно 1
Мбайт),
о во-вторых, размеры файлов должны быть согласованы с параметром sendtime,
то есть при передаче двух файлов длиной 500 Кбайт по нуль-модему на
215
максимальной скорости порта (115200 bps) параметр sendtime должен быть не
меньше, чем 2 * 500 * 1024 / (115200 / 8) * 72 сек.
о Пересылка файлов производится только при запущенном на активном сервере
демоне ViPNet (это сделано для предотвращения передачи неправильно
отредактированного файла конфигурации на пассивный сервер). Если имя
файла начинается с символа 7\ то оно трактуется как абсолютное, если с
другого символа, то оно воспринимается как имя относительно каталога, где
находятся базы ViPNet.
[network] (секция описывает различные параметры работы системы резервирования,
относящиеся к посылке пакетов в сеть). Она содержит следующие параметры:
checktime= 10 - период опроса IP-адресов в секундах.
- На активном сервере проверка работоспособности интерфейса будет проводиться с
интервалом checktime.
- На пассивном сервере с интервалом checktime будут посылаться запросы на поиск
IP-адресов активного сервера;
timeout= 2 - время ожидания (в секундах) ответа на запрос (эхо-запрос или запрос IP-
адресов), по истечении которого делается вывод о том, что результат запроса отрицательный;
channelretries= 3 - число отрицательных результатов, полученных подряд, на основании
которых делается вывод о неработоспособности интерфейса (на активном сервере);
activeretries= 3 - число отрицательных результатов, полученных подряд, на основании
которых делается вывод об отсутствии в сети данного IP-адреса.
Synctime= 5- период времени в секундах между посылками пакетов синхронизации по
резервному каналу.
Fastdown= yes/no - указывает, нужно ли принудительно останавливать сетевые
интерфейсы перед перезагрузкой сервера.
- Может принимать значения yes или по.
- Установка этого параметра в yes позволяет быстрее устранить присутствие сервера
в сети и дать возможность второму серверу переключиться в активный режим, однако при
этом завершение работы работающих сетевых сервисов происходит уже при отключенных
интерфейсах и может быть некорректным. Необходимо выбирать значение этого параметра,
исходя из того, какие сервисы работают на компьютерах кластера.
afterifconf - параметр, содержащий команды, выполняемые непосредственно после
конфигурирования всех интерфейсов при смене режима. Является необязательным
параметром и по умолчанию отсутствует в файле конфигурации.
beforeifconf - параметр, содержащий команды, выполняемые перед конфигурированием
всех интерфейсов при смене режима. Является необязательным параметром и по умолчанию
отсутствует в файле конфигурации.
Последние два параметра могут использоваться в специфических ситуациях, например,
если необходимо выполнить какие-либо нестандартные команды, связанные с настройкой
сетевых интерфейсов.
Все эти параметры рекомендуется делать одинаковыми на обоих Координаторах.
Параметры слежения за основным демоном ViPNet и транспортным демоном MFTP
задаются в секциях [iplir] и [mftp].
Эти секции идентичны по содержанию и включают следующие параметры:
sleeptime= 15- время между проверками наличия в памяти демона, в секундах;
checktime= 45 - время ожидания запуска демона, в секундах;
maxrestarts= 2 - максимальное число неудачных рестартов демона подряд, после
которого делается вывод о неработоспособности ViPNet.
В секции [misc] содержатся пути к файлу конфигурации системы ViPNet (обычно это
/etc/iplirpsw), которая будет использоваться в активном и пассивном режимах. Параметры
таковы:
activeconfig= etc/iplirpsw - файл конфигурации активного режима.
216
passiveconfig= etc/iplirpsw - файл конфигурации пассивного режима.
В настоящее время архитектура системы резервирования подразумевает
использование одной и той же конфигурации ViPNet в активном и пассивном режимах,
другие возможности не поддерживаются (возможно, они появятся в будущих версиях).
Поэтому нужно в обоих параметрах указывать один и тот же файл - /etc/iplirpsw.
Однако на активном и пассивном Координаторах файлы failover.ini отличаются.
Секция [watchdog] содержит параметры, отвечающие за использование
низкоуровневого драйвера watchdog в качестве дополнительной системы защиты от сбоев.
Эти параметры следующие:
usewatchdog - регистрировать демон системы резервирования в драйвере watchdog
или нет. Может принимать значения yes и по. По умолчанию значение параметра - по (не
использовать драйвер watchdog);
watchdogtime - задает интервал опроса в секундах драйвера watchdog со стороны
управляющего демона системы резервирования. Гарантируется, что при прекращении опроса
драйвер произведет перезагрузку не позже, чем через watchdogtime * 2 секунд после
последнего опроса.
Секция [debug] определяет параметры ведения журнала устранения неполадок демона
горячего резервирования (см. Руководство администратора ПО ViPNet Linux). Она
содержит следующие параметры:
debuglevel= 3 - уровень отладки, число от -1 до 5, по умолчанию 3. Значение параметра
-1 отключает ведение логов.
debuglogfile= /var/log/failover.debug.log - задает имя файла лога.
Алгоритм работы на активном сервере
Алгоритм работы на активном сервере следующий.
Через каждые checktime секунд проводится проверка работоспособности каждого из
приведенных в конфигурации интерфейсов.
Если параметр checkonlyidle выставлен в yes, то анализируется входящий и исходящий
сетевой трафик, прошедший через интерфейс.
- Если разница в количестве пакетов между началом и концом интервала
положительна, то считается, что интерфейс функционирует нормально и счетчик отказов для
этого интерфейса сбрасывается.
- Если в течение данного интервала не было послано и принято ни одного пакета, то
включается дополнительный механизм проверки, заключающийся в посылке эхо-запросов до
ближайших маршрутизаторов.
Если параметр checkonlyidle выставлен в по, то механизм дополнительной проверки
используется вместо основного, т.е.
- каждые checktime секунд посылаются пакеты до адресов testip.
- Затем в течение времени timeout ожидаются ответы.
- Если на каком-либо интерфейсе ответа нет ни от одного адреса testip, то его
счетчик сбоев увеличивается на единицу.
- Если хотя бы на одном интерфейсе счетчик сбоев не равен нулю, то немедленно
посылаются новые пакеты до всех testip и ожидается ответ в течение timeout.
- Если в процессе новых посылок на интерфейсе, счетчик сбоев которого не равен
нулю, приходит ответ, его счетчик сбоев обнуляется.
217
- Если после какой-либо посылки счетчики сбоев на всех интерфейсах становятся
равны нулю, то происходит возврат в основной цикл, новое ожидание в течение checktime и
т.д.
- Если же после какого-то числа новых посылок счетчик сбоев хотя бы одного
интерфейса достигнет значения channelretries, то фиксируется полный отказ интерфейса и
начинается перезагрузка системы.
Таким образом, максимальное время не работы интерфейса до того, как система
резервирования сделает вывод об этом, равно checktime + (timeout * channelretries).
4.1.1 Алгоритм работы на пассивном сервере
На пассивном сервере алгоритм немного отличается.
Раз в checktime секунд производится удаление записей в системной ARP-таблице для
всех activeip.
Затем посылаются UDP-запросы со всех интерфейсов на адреса activeip, в результате
чего система сначала посылает ARP-запрос, и только в случае получения ответа UDP запрос.
После окончания интервала ожидания ответа timeout проверяется наличие ARP-записи
для каждого activeip в системной ARP-таблице, по наличию которой делается вывод о
работоспособности соответствующего интерфейса на активном сервере.
Если ни от одного интерфейса не было получено ответа, счетчик сбоев (он один на все
интерфейсы) увеличивается, если хотя бы от одного интерфейса ответ был получен, то
обнуляется.
Если счетчик сбоев достигает значения activeretries, то производится переключение в
активный режим.
Максимальное время, проходящее от перезагрузки активного сервера до обнаружения
пассивным этого факта, равно checktime + (timeout * activeretries).
Общее время неработоспособности системы при сбое, однако, может быть немного
больше, чем checktime * 2 + timeout * (channelretries + activeretries).
Это связано с тем, что после начала перезагрузки сбойного сервера система переводит
его интерфейсы в нерабочее состояние не сразу, а через некоторое время, после остановки
других подсистем.
Поэтому, например, если проверяются два интерфейса, и только на одном произошел
сбой, то адрес второго интерфейса будет доступен еще некоторое время, в течение которого
пассивный сервер будет получать от него ответы.
Обычно время от начала перезагрузки до выключения интерфейсов не превышает 30
секунд, однако оно может сильно зависеть от быстродействия компьютера и количества
работающих на нем сервисов.
Алгоритм слежения за демонами
Алгоритм слежения за демонами таков:
Каждые sleeptime секунд проверяется наличие демона в памяти.
Если нет признака ручного останова и демон не запущен, то производится попытка его
запустить, после чего по истечении checktime секунд производится новая проверка.
Если демона снова нет в памяти, он запускается снова и т.д.
Если число неудачных попыток достигает maxrestarts, делается вывод о
неработоспособности ViPNet и начинается перезагрузка системы. В случае наличия признака
ручного останова перезапуска демона не происходит.
218
Запуск системы резервирования и работа с ней
После того, как Вы отредактировали файл конфигурации и установили стартовый
скрипт системы резервирования командой failover install, система готова к работе.
На активном Координаторе запущены следующие демоны:
На пассивном Координаторе запущены следующие демоны:
failoverd
mftp
Для управления системой используется скрипт failover с различными аргументами.
Чтобы запустить систему резервирования, используется команда failover start.
- Система стартует вначале в пассивном режиме, и затем, если нет активной системы,
по общему алгоритму переходит в активный режим.
- После этого можно запустить систему на втором компьютере, и, если все сделано
правильно, второй компьютер останется в пассивном режиме.
Посмотреть текущий режим можно командой failover info.
Если Вам нужно остановить систему резервирования, используйте команду failover stop.
Можно запустить систему резервирования сразу в активном режиме, используя команду
failover start-active.
- Это полезно, например, когда Вы останавливаете систему резервирования на
активном сервере, чтобы произвести какие-либо изменения в файле конфигурации.
- После остановки система остается с IP-адресами активного сервера. Однако затем,
при запуске в пассивном режиме, IP-адреса будут изменены на те, которые должны
использоваться в пассивном режиме.
- Второй компьютер кластера воспримет это как перезагрузку активного сервера и
переключится в активный режим, а сервер, на котором производились изменения, останется
в пассивном.
- Таким образом, происходит ненужное переключение режимов, кроме того, на
некоторое время (checktime + timeout*activeretries) кластер вообще становится
недоступным.
- Чтобы этого избежать, Вы можете после внесения изменений запустить систему
сразу в активном режиме. Эта возможность должна использоваться с осторожностью.
- Перед использованием команды failover start-active Вы обязательно должны
убедиться, что второй компьютер находится в пассивном режиме, а не в активном.
- Помните, что запуск обоих компьютеров в активном режиме породит конфликт IP-
адресов и другие неприятные последствия.
Если Вы хотите произвести изменения в файле конфигурации ViPNet (iplir.conf), то
это нужно делать на активном координаторе кластера,
- для чего нужно остановить сначала демон ViPNet (iplir stop).
- После редактирования файлов нужно запустить его командой iplir start.
Для редактирования файла конфигурации транспортного модуля необходимо
остановить демон mftpd командой mftp stop,
отредактировать файл конфигурации, а затем
запустить демон командой mftp start.
Важное замечание: Описанные процедуры рекомендуется производить только на
активном координаторе кластера. Все изменения конфигурации попадут на пассивный
219
координатор автоматически.
На пассивном координаторе кластера управляющий демон ViPNet функционирует в
служебном режиме, поэтому запрос информации (iplir info, iplir view) в этом случае
работать не будет.
Контрольные вопросы
1. Как посмотреть журнал IP-пакетов?
2. Какие права должен иметь пользователь при инсталляции ПО ViPNet Linux?
3. Конфигурационные файлы созданы, какую команду необходимо ввести, чтобы загрузить
драйверы?
4. Как посмотреть очередь служебных конвертов?
5. Как настроить работу с открытой (без ViPNet) машиной?
6. Где хранятся настройки горячего резервирования?
7. Сколько секций [channel] в файле failover.ini?
8. Можно ли указать в качестве тестового IP (при горячем резервировании) адрес своего
интерфейса?
9. Какой командой можно посмотреть состояние работы ПО ViPNet Linux?
10. Какие демоны загружаются на активном Координаторе? Какие демоны загружаются на
пассивном Координаторе?
11. Как запустить Координатор в активном режиме?
12. Где хранятся настройки интерфейсов и iplir в целом?
220
Практическое занятие 5 . Работа с ПО ViPNet [Координатор] Windows
Координатор в терминологии ViPNet - это программное обеспечение для Сетевых Узлов,
в обязанности которых входит исполнение следующих функций:
Функция Сервер-маршрутизатор, обеспечивающая маршрутизацию почтовых конвертов
и управляющих сообщений при взаимодействии ЦУСа, УКЦ и объектов защищенной сети
между собой.
Функция Сервер IP-адресов, обеспечивающая регистрацию и предоставление
информации о текущих IP-адресах и способах подключения объектов защищенной сети.
Функция Сервер ViPNet-Firewall, обеспечивающая:
Работу защищенных компьютеров локальной сети (сегмента VPN-сети) от имени
одного адреса (proxy, NAT).
Работу защищенных компьютеров локальной сети через другие Межсетевые Экраны
(или устройства с NAT).
Защиту трафика шифрованием, передаваемую от незащищенных компьютеров
(туннелирование).
Фильтрацию открытых пакетов, в том числе и туннелируемых, в соответствии с
заданной политикой безопасности (персональный и межсетевой экран).
Функция ViPNet-сервер Открытого Интернета, обеспечивающая организацию
безопасного подключения части защищенных компьютеров к Интернет без их физического
отключения от защищенной локальной сети организации.
Функция ViPNet-сервер защищенной почты, обеспечивающая маршрутизацию
почтовых конвертов Деловой Почты, входящей в состав ViPNet [Клиентов].
Функция трансляции IP-адресов (NAT), обеспечивающая динамическую и статическую
трансляцию (NAT) открытых сетевых адресов, что позволяет работать и незащищенным
компьютерам локальной сети под одним внешним IP-адресом.
Функциональность ViPNet Координатор определяется Центром Управления Сетью и
формируемыми им справочниками и маршрутными таблицами.
Внимание! В настоящем занятии обсуждаются вопросы по ViPNet [Координатору],
работающему на операционных системах MS Windows.
Цель задания №5
1. Ознакомление с особенностями ПО ViPNet [Координатор] версии 3.0.
2. Установить и произвести настройки ViPNet [Координатора] версии 3.0 в составе
защищенной сети.
Содержание
3. Требования к аппаратным средствам и операционной среде для ПО ViPNet
[Координатор].
4. Установка ПО ViPNet [Координатор].
5. Первичная инициализация справочно-ключевой информации пользователя
ViPNet Координатор.
6. Дальнейшие настройки ViPNet [Координатор].
7. Окно «Сетевые интерфейсы».
8. Настройка IP-адресов или DNS-имен других ViPNet [Координаторов].
9. Правила регистрации IP-адресов узла на WINS-сервере.
221
10. Установка приоритетов выбора адресов доступа [Координатора] (настройка и
использование метрики).
11. Настройка параметров соединения [Координатора] с другими узлами.
12. Сетевые фильтры.
13. Настройка трансляции IP-адресов (NAT).
Последовательность выполнения
Шаг1 (11)
Требования к аппаратным средствам и операционной среде для ПО ViPNet
Координатор
ПО ViPNet Координатор может работать на IBM-совместимых компьютерах с модемом
и/или требуемым количеством сетевых адаптеров со следующей рекомендуемой
конфигурацией:
Процессор
ОЗУ
Количество АП
Pentium III
не менее 128 Мбайт
до 1000 шт.
Pentium III
не менее 256 Мбайт
до 5000 шт.
При этом свободного места на жестком диске должно быть не менее 10 Гбайт,
поддерживаемые операционные системы - Windows 2000/XP/Server 2003. На компьютере не
должно быть установлено никаких сетевых экранов (Firewall) сторонних производителей.
Используемая версия программы Internet Explorer должна быть не ниже 4.0.
Внимание! Перед установкой ViPNet Координатор убедитесь, что все другие Firewall
удалены с Вашего компьютера. После удаления перезагрузите Ваш компьютер.
Использование ViPNet Координатор одновременно с другими Firewall может привести к
конфликтам между программами и вызвать проблемы с доступом в сеть.
Внимание! Не забудьте установить правильные настройки Часового пояса, даты и
времени на Вашем компьютере.
Внимание! Если ПО ViPNet Координатор устанавливается на ОС Windows
(2000/XP/Server 2003), то программе установки (Setup.exe) необходимо, чтобы запускал ее
пользователь, имеющий права администратора ОС Windows. Поэтому обычному
пользователю необходимо временно дать администраторские права для установки ViPNet
Координатор, после чего их можно снять.
Шаг1 (11)
Установка ПО ViPNet Координатор
Для установки ViPNet Координатор необходимо иметь инсталляционный комплект - файл
setup.exe, ключевой дистрибутив - файл abn_AAAA.dst (где АААА - последние четыре
цифры идентификатора пользователя, зарегистрированного на данном Координаторе), в
котором в склеенном виде помещена необходимая адресная и ключевая информация для
222
обеспечения первичного запуска и последующей работы прикладной программы ViPNet
Координатор (предоставляется администратором Удостоверяющего и Ключевого Центра), а
также парольная информация (пароль) для рабочей станции (предоставляется
администратором Удостоверяющего и Ключевого Центра).
Для начала процесса установки ViPNet Координатор необходимо запустить файл
setup.exe, находящийся в инсталляционном комплекте. В этом случае в составе ViPNet
Координатор будет установлена также программа ViPNet [Контроль приложений].
Если необходимости устанавливать программу ViPNet [Контроль приложений] нет, то
следует запустить файл setup.exe из командной строки с параметром norf, а именно:
setup.exe /norf.
После запуска программы установки на экране появится окно Добро пожаловать
(Рис.5.1 Практическое занятие 1). Далее все окна во время установки программного
обеспечения будут появляться так же, как и при установке ViPNet [Клиента] (см. Практическое
занятие 4).
Добро пожаловать в мастер установки приложения ViPNet
Coordinator.
Этот мастер по и омет Вам установить приложение ViPNet Coordinator 3.0
(0.1682) на Ваш компьютер. Перед началом установки рекомендуется закрыть
все запущенные приложения.
Убедитесь, что у Бас есть доступ к файлу с ключами (W.DST) и что Бы знаете
пароль к нему. В противном случае отмените установку приложения, нажав
кнопку "Oti 1ена".
Вы можете создать комплект ключей с помощью программ ViPNet Manager или
ViPNet administrator. Также можно воспользоваться ключевыми файлами
r'.DST), входящими в комплект демо-герсии ViPNet CUSTOM DEMO. Если ПО
ViPNet уже используется в Вашей компании, обратитесь к администратору
Вашей сети за Вашим личным файлом с ключами и паролем к нему.
Нажмите "Далее" для установки приложения или "Отмена" для выхода.
Далее >
Отмена
Рис.5.1. Установка ViPNet [Координатор]
Если в сетевых настройках компьютера не была включена функция IP-forwarding, то
программа установки включит ее, о чем будет выдано соответствующее сообщение. После
окончания установки появится окно с сообщением об успешном завершении установки
программы и окно с ярлыками для запуска ПО ViPNet Координатор.
Далее программа установки предложит перезагрузить компьютер.
Если администратор защищенной сети уже выдал dst-файл для данного компьютера,
необходимо этот файл скопировать в каталог установки ПО ViPNet [Координатор], запомнить
пароль доступа к dst-файлу и перегрузить ОС компьютера. При перезагрузке ОС драйвер
ViPNet начнет защищать компьютер с помощью систем шифрования и сетевого экрана.
Если администратор защищенной сети не выдавал dst-файл для данного компьютера,
перегружать ОС нет необходимости.
223
Шаг2 (11)
Первичная инициализация справочно-ключевой информации пользователя
ViPNet Координатор
1. Авторизация пользователей
В процессе загрузки (или перезагрузки) компьютера откроется окно для идентификации
пользователя с приглашением ввести пароль (Рис.5.2). Во время загрузки компьютера Драйвер
ПО ViPNet Координатор блокирует весь трафик, кроме некоторых протоколов, отвечающих за
работу сетевых служб, например DHCP. При отказе от введения пароля Драйвер ViPNet будет
загружен в пятом режиме безопасности (т.е. в нерабочем состоянии).
Пароль:
ОК
Настройка..
Рис.5.2. Окно авторизации пользователя
Если программа ViPNet запускается в первый раз, то пользователю необходимо
выполнить процедуру первичной инициализации справочно-ключевой информации (см.
ниже).
В программе имеется возможность провести идентификация пользователя ViPNet тремя
способами (Рис.5.3) - посредством ввода пароля пользователя с клавиатуры, посредством
ввода пароля пользователя с какого-либо внешнего устройства хранения данных, путем
авторизации при помощи пароля и устройства одновременно.
'CT^jj Ре ж и м ав т 0 f:i и 3 3 ци и ■
Пароль:
Только пароль
Только
/строй
ство
Пароль
иустрс
ЙСТБО
о к
Настройка..
Рис.5.3. Режимы авторизации
Замечание: Для использования внешнего устройства хранения данных необходимо его
подключить, установить соответствующие драйверы этого устройства.
После ввода пароля и полной загрузки ViPNet [Координатор] [Монитор] на каждом
сетевом интерфейсе устанавливается режим, назначенный пользователем, либо, если
программа запускается впервые, запустится мастер настройки сетевых интерфейсов
(процедура настройки описана ниже).
После успешной настройки сетевых интерфейсов откроется окно ViPNet [Координатор]
j а id
[Монитор] (Рис.5.4) и появится значок в области уведомлений на панели задач (в трее). В
дальнейшем, в процессе работы, при передаче информации по сетевому адаптеру, по красным
квадратам значка будет «бегать» белый квадратик. Для обеспечения обмена почтовой и
управляющей информацией между объектами сети будет загружен модуль ViPNet MFTP (в
области уведомлений на панели задач появится значок (1>0i))-
224
Выход Сервис Действия Вид Справка
Г:
i" ViPNet Coordinator
Защищенная сеть
Q J <1Р-пакеты всех адресатов>
□ <. < Широковещательные IP-па кеты всех адресатов >
- i Избранное
Избранное
Открытая сеть
Сетевые интерфейсы
Трансляция адресов
А вто заполнение
0 -
0 *
- ' Блокированные IP-па кеты
W Настройка
0,.; < 192.168.58.1 192.168.0.1 62.231.10.19> СМ Координатор 3 0
0 ,
3 Статистика IP-пакетов
- CJ Настройки
Д о п о л н ител ь н о
ДЛЯ фиЛЬТрОВ
j Обнаружение атак
- ..- Журнал IP-пакетов
Настройка журнала
- .! Конфигурации
Основная конфигура1
Если программа ViPNet Клиент запускается в первый раз, то пользователь должен
выполнить процедуру первичной инициализации справочно-ключевой информации.
2. Первичная инициализация (при первом запуске программы ViPNet)
При первом запуске программы ViPNet в окне ввода пароля (Рис.5.3) следует нажать
стрелку слева от кнопки Настройка и, в появившемся меню, выбрать опцию Первичная
инициализация. Появится окно мастера инициализации справочно-ключевой информации
пользователя (Рис.5.5).
Рис.5.4. Окно ViPNet Координатор [Монитор]
Вас приветствует мастер
инициализации
справочно-ключевой
информации сетевого узла
Этот мастер соберет всю необходимую
информацию и обеспечит первичную
инициализацию Вашего сетеЕОго узла.
Дня продолжения нажмите кнопку "Далее".
Справка
Рис.5.5. Окно мастера инициализации
225
После нажатия кнопки Далее> откроется окно (Рис.5.6), в котором, воспользовавшись
кнопкой Обзор..., следует указать путь к файлу дистрибутива. После указания нужно нажать
кнопку Далее>.
Местонахождение справочно-ключевого дистрибутива
Полученный Вами б удостоверяющем и Ключевом центре файл abn_????.dst
содержит всю необходимую информацию для начала работы.
Укажите путь к сп р а в с ч н с - кл ю ч е в о му д и с р 11 бут иву (abn_????.dst;.
Путь к файлу дистрибутива:
пособие\СМ Координатор 3 0\Координатор-l\abn_000Ld-£r. j обзор... |
| < Назад. II Далее
Рис.5.6. Путь к справочно-ключевому дистрибутиву
Откроется окно Местонахождение справочно-ключевого дистрибутива, в котором
нужно указать, где находится dst-файл (Рис.5.7).
Местонахождение справочно-ключевого дистрибутива
В состав Вашего дистрибутива может входить дополнительный носитель с
ключевой информацией пользователя.
пользовать дополнительный носитель;
Назад || Далее | | Отмена
Спраэка
Рис.5.7. Местонахождение справочно-ключевого дистрибутива
В случае, если часть ключевой информации в УКЦ была перенесена на некоторое
ключевое устройство и выдана пользователю вместе с дистрибутивом, на данной странице
следует отметить галочкой опцию Использовать дополнительный носитель Затем
выбрать нужное устройство считывания в поле Доступные считыватели и Доступные
устройства и нажать кнопку Далее>.
Откроется окно ввода пароля к выбранному дистрибутиву. Следует ввести пароль и
нажать кнопку Далее> (Рис.5.8).
226
Пароль
Для обеспечения безопасности дистрибутив со справочно-ключевой
информацией защищен паролем.
Укажите паропь к Еыбранному дистрибутиву.
Пароль:
I
< Нагад
Далее
Рис.5.8. Окно ввода пароля
Откроется окно выбора места хранения адресных справочников и ключевой информации
(Рис.5.9), в котором следует указать путь к каталогу, в котором будут храниться адресные
справочники, а также путь к каталогу, в котором будут храниться ключи пользователя. После
завершения выбора следует нажать кнопку Далее>.
Место хранения адресных справочников и ключевой
Спроеочно- кл ю ч е в а я информация Оудет pacnakueaud и перенесена в
указанные Сами каталоги.
Укажите путь к каталогу, в котором будут храниться адресные справочники.
• Каталог адресных справочников:
| ' | обзор.,, I
Укажите путь, к каталогу, в котором будут храниться ключи пользователя.
Каталог ключей пользователя:
D:\Proqram Rles\InfoTeCS\ViPMet Cocrdinotcr\user_.0001 | oosop.
Назад далее > j | Отмена | j Справка |
Рис.5.9. Каталоги хранения справочников и ключевой информации
Если дистрибутив содержит набор резервных персональных ключей пользователя
(АААА.рк), то откроется страница для указания пути для распаковки резервного набора
персональных ключей (Рис.5.10). Если нет, то откроется страница готовности к выполнению
инициализации (Рис.5.11), в которой отображается собранная информация.
Для отмены инициализации нужно нажать кнопку Отмена. Для возврата к предыдущему
окну нажать кнопку <Назад.
Замечание: Страница, показанная на Рис.5.10, отображается только в том случае, если
дистрибутив содержит набор резервных персональных ключей пользователя.
227
Сохранение резервных персональных ключей
Дистрибутив содержит набор резервных персональных ключей, который может
потребоваться при компрометации Ваших действующих ключей.
Укажите каталог для сохранения набора резервных персональных ключей.
Рекомендуется хранить эти ключи на дискете на дискете или ином съемном
носителе.
Каталог сохранения:
! обзор..
Сохраняемый набор будет защищен паролем. По умолчанию используется
пароль к дистрибутиву. Вы можете изменить пароль.
| Пароль... |
Назад |! Палее > ] | Отмена j j Справка
Рис.5.10. Сохранение резервных персональных ключей
Программа обнаружит (Рис.5.10), что дистрибутив содержит набор резервных
персональных ключей, который может потребоваться при компрометации действующих
ключей. Нужно указать каталог для сохранения набора резервных персональных ключей.
Рекомендуется хранить эти ключи на дискете или ином съемном носителе. Сохраняемый
набор персональных ключей будет защищен паролем. По умолчанию используется пароль к
дистрибутиву.
После указания каталога (Рис.5.11) следует нажать кнопку Далее>. Откроется страница
готовности к выполнению инициализации, в которой отображается собранная информация.
Готовность к выполнению
инициализации
Мастер инициализации справочно-ключевой
информации готов к распаковке дистрибутива.
Справочно-ключевой дистрибутив
'Файл дистрибутива: "D:'-..Материалы\ViFTIеt_д
;\06ученив\Уч пособияу/Ч ПОСОБИЕ VlRISt\V'4
jпособие 3..0 (1 б23;\_поссбие\СМ Координатор 3 и
; \Ко о р ди н ат о р -1 \а b п_0 0 01. d st"
Справочники и ключи
Каталог сохранения справочников: "D:\Prcgram
:File£\InfcTeCS\ViFtiet Coordinator
; Каталог сохранения ключей пользователя; "D;
• \Frcgram Files\lnfoTeC5\viFNet Coordinotcr\usei_
••• Назад I Палее > :| j Отмена j | Справка j
Рис.5.11. Готовность к выполнению инициализации
В окне (Рис.5.11) указываются выбранные на предыдущих этапах параметры. Если
информация верна, необходимо нажать кнопку Далее> (для возврата к предыдущим этапам
инициализации следует нажать кнопку <Назад).
Откроется окно завершения работы Мастера инициализации (Рис.5.12). В этом окне
отмечена галочкой опция Запустить приложение. Это означает, что при нажатии кнопки
Готово будет запущена программа ViPNet (Рис.5.13).
228
Завершение работы мастера
инициализации
справочно-ключевой
информации
Ра о от о мастера инициализации справочно-ключевой
информации успешно завершена..
о а пуст ит ь п р 11л еже н и е;
Назад I Готово
справка
Рис.5.12. Завершение работы Мастера инициализации
Добрый дены
Координатор-1
Рис.5.13. Запуск программы ViPNet Координатор [Монитор]
3. Настройка параметров защиты и свойств сетевых интерфейсов
Для обеспечения работоспособности ViPNet [Координатор] [Монитор] требуется
произвести настройки сетевых интерфейсов компьютера - выбрать типы сетевых
интерфейсов, задать режимы безопасности и настройки антиспуфинга.
При первом запуске ViPNet [Координатор] [Монитор], если на компьютере обнаружится
стандартная конфигурация, то будет предложено произвести автонастройку параметров -
появится окно «Произвести автонастройку сетевых интерфейсов?» (Рис.5.14).
В системе обнаружена стандартная конфигурация сетевых
интерфейсов. Приложение может автоматически установить
параметры для работы с сетевыми интерфейсами.
Произвести аетонааройку сетевых интерфейсов?
Рис.5.14. Настройка сетевых интерфейсов Координатора
Конфигурация считается стандартной, если она удовлетворяет следующим условиям:
Из системных данных однозначно определены сетевые интерфейсы, подключенные к
локальной сети (внутренние) и интерфейсы, подключенные к Интернету (внешние).
Присутствует хотя бы один внутренний интерфейс и один внешний.
Количество внутренних интерфейсов не превышает указанного в лицензии.
Если необходимо произвести автонастройку, следует нажать на кнопку Да на Рис.5.14, и
программа ViPNet [Координатор] по специальной методике назначит некоторым интерфейсам
тип Внутренний. Остальные интерфейсы по умолчанию останутся внешними. Все остальные
параметры свойств сетевых интерфейсов установятся в соответствии со значениями по
229
умолчанию - по умолчанию на внутренних интерфейсах устанавливается 4-й режим, на
внешних интерфейсах устанавливается 3-й режим.
При ответе Нет внутренним интерфейсам будет назначен тип Внутренний и запустится
мастер настройки сетевых интерфейсов (Рис.5.15). Мастер настройки сетевых интерфейсов
вызывается также, если конфигурация не определилась, как стандартная.
Добро пожаловать в мастер "Настройка сетевых 1
интерфейсов" ViPNet Coordinator [Монитор] I
Бас приветствует мастер, который поможет настроить
конфигурацию сетевых интерфейсов согласно Вашей
лицензии
Параметры сетевых интерфейсов можно изменить позже в
приложении ViPNet Coordinator [Монитор; в папке "Сетевые
■•• ■; ' ■;; ■ интерфейсы".
" i *" Ял я продолжения нажмите Далее"
| |: Next:- I | Cancel j J Help ]
Рис.5.15. Мастер настройки сетевых интерфейсов
Мастер настройки сетевых интерфейсов
При первом запуске ViPNet Координатор [Монитор], если на компьютере не обнаружится
стандартная конфигурация, то вызывается Мастер настройки сетевых интерфейсов.
Замечание: Мастер не вызывается, если в системе обнаружен один или не обнаружено
ни одного сетевого интерфейса.
В окне мастера настройки сетевых интерфейсов следует нажать кнопку Далее> (Рис.5.15)
и далее следовать указаниям мастера. Откроется окно Сетевые интерфейсы (Рис.5.16).
ЕШ1
Сетевые интерфейсы
Выберите сетевые интерфейс
ы.которые
удут активны.
Отключенные интерфейсы не участвуют в передаче IP-пакетов. При этом трафик на
них блокируется, что фиксируется в журнале регистрации IP-пакетов.
Сетевые интерфейсы:
; 0 Ethernet adapter VMware Virtual Ethernet Adapter for VMnetS (192.16S.5S.1)
: El Ethernet adapter VMware Virtual Ethernet Adapter for VMneH П92 163.0.1)
: !7j RealtekRTLSI 69/311С Family Gigabit Ethernet NIC (62.231.1 C.I9)
: Pi Remote Access NDIS WAN Driver ;C 0.0.Ci
: Back
Next >
Help
Рис.5.16. Выбор активных сетевых интерфейсов
В окне Сетевые интерфейсы следует выбрать интерфейсы, которые будут активны
при работе с ViPNet [Координатор] [Монитор]. По умолчанию все интерфейсы являются
активными (т.е. помечены флажками).
230
Нужно установить активные и неактивные интерфейсы с помощью включения и
выключения флажков в начале строки с названием сетевого интерфейса.
Неактивные (отключенные) сетевые интерфейсы не участвуют в передаче IP-пакетов, при
этом трафик на них блокируется, и соответствующая информация записывается в журнал IP-
пакетов. Для обеспечения работоспособности ViPNet Координатор [Монитор] нужно установить
активными не менее двух сетевых интерфейсов (иначе кнопка Далее> будет недоступна).
На последующих шагах мастера будут производиться настройки только активных сетевых
интерфейсов. После выбора сетевых интерфейсов нажать кнопку Далее>. Откроется окно Тип
интерфейсов (Рис.5.17). В этом окне выбрать тип сетевых интерфейсов - внутренний или
внешний.
Т ип интерфейсов ^шщк
Разместите сетевые интерфейсы в нужные категории. Jbj«F
Внешний тип рекомендуется для подключения к глобальной сети (Интернет).
Внутренний тип рекомендуется для подключения к локальной защищаемой сети.
Внешние интерфейсы. Е^нутренние интерфейсы:
Realtek RTL8 49/S; 1С Family Gigabit Eth Ethernet adapter VMware Virtual Ethernet
: Remote Access NDIS WAN Driver i.O.C.C.C Ethernet adapter VMware Virtual Ethernet
j <•• Back Next > { j Cancel j | Help
Рис.5.17. Тип интерфейса
Для выбора типа сетевого интерфейса следует разместить интерфейс в нужном списке
Внешние интерфейсы или Внутренние интерфейсы при помощи кнопок LLlj или L1Lк
По умолчанию (при первом появлении окна Тип интерфейсов) все интерфейсы
размещены в списке Внешние интерфейсы.
Внешний тип сетевого интерфейса рекомендуется выбирать для подключения к внешним
сетям (в т.ч. глобальной сети Интернет), внутренний тип - для подключения к локальной
защищаемой сети.
После настройки типов сетевых интерфейсов необходимо нажать кнопку Далее>.
Откроется окно Режимы безопасности интерфейсов (Рис.5.18). В этом окне для каждого
сетевого интерфейса следует настроить режим безопасности.
По умолчанию на внутренних интерфейсах устанавливается 4-й режим, на внешних
интерфейсах устанавливается 3-й режим.
Для изменения режима безопасности нужно выбрать сетевой интерфейс из списка
Сетевые интерфейсы и ниже в списке Режим интерфейса указать нужный режим (для
режима 3 Бумеранг необходимо выбрать еще тип бумеранга) и после нажать кнопку Далее>.
Откроется окно Антиспуфинг (Рис.5.19), где имеется возможность включить или
отключить антиспуфинг, а также включить режим редактирования параметров антиспуфинга.
По умолчанию антиспуфинг активизирован на всех сетевых интерфейсах (в опции
Антиспуфинг установлен флажок). При включенном антиспуфинге происходит блокирование
пакетов с неправильным адресом отправителя. Для обеспечения лучшей безопасности сети
рекомендуется включить антиспуфинг.
231
Рис.5.18. Выбор режимов безопасности на сетевых интерфейсах
Антиспуфинг
Включите антиспуфинг. если хотите, чтобы при передаче IP-пакетов
осуществлялась их проверка на правильность IP-адресов отправителя.
!■■•■ :АнТИСПуфИНП
Рекомендуется включить дпя обеспечения лучшей безопасности.
j j Редактировать параметры антиспуфинга на следующем шаге
Рекомендуется для опытных пользователей
: Баск
Help
Рис.5.19. Окно Антиспуфинг
В правилах антиспуфинга для каждого сетевого интерфейса заданы диапазоны IP-
адресов, пакеты от которых допустимы на интерфейсе. При этом пакеты, в которых IP-адрес
отправителя не попадает в допустимый диапазон адресов, указанный на сетевом интерфейсе,
будут блокироваться.
По умолчанию допустимыми считаются следующие адреса отправителя:
о для внешних сетевых интерфейсов - адреса, допустимые в Интернет - это
все IP-адреса, кроме зарезервированных для использования в локальных
сетях: 127.0.0.0/8, 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16),
о для внутренних интерфейсов - адреса из диапазона соответствующего IP-
адресу интерфейса и маске локальной сети.
При необходимости допустимые адреса можно изменять. Пакеты, прошедшие через
механизм антиспуфинга, попадают на обработку правилами фильтрации пакетов.
Можно отредактировать параметры антиспуфинга (допустимые адреса отправителя) на
следующем шаге мастера, если включить опцию Редактировать параметры
антиспуфинга на следующем шаге. Включать эту опцию и редактировать параметры
антиспуфинга, установленные программой по умолчанию, рекомендуется только опытным
пользователям.
После завершения настроек антиспуффинга нужно нажать кнопку Далее>.
232
Если бы опция Редактировать параметры антиспуфинга на следующем шаге
была активирована, то откроется окно Параметры антиспуфинга (Рис.5.20), где для
каждого сетевого интерфейса можно настроить список допустимых адресов отправителя в
передаваемых IP-пакетах.
Параме тры ан гиспуфин га ^ шщЬ
Идя каждого сетевого интерфейса настроите список допустипы.-, iP-адресов щЬ|к
отправителя в передаваемых пакетах.
Сетевые интерфейсы Тип
'Ш Ethernet adapter Vf-.hvare virtual Ethernet Ad... Внутренний
Realtek RT|_c~;C:; 'Г ~Z Family Gigabit Eth em. Внешний
Remote Access MDiS vVA.N Drive'r ;Z С CC; Внешний
допустимые в Интернет
• Epvme
-'■Back j! Next> j | Cancel ] j Help
Рис.5.20. Параметры антиспуфинга
По умолчанию для сетевых интерфейсов уже заданы следующие IP-адреса отправителя:
о для внешних сетевых интерфейсов заданы допустимые в Интернет адреса
(в поле IP-адреса отправителя выбрано значение Допустимые в
Интернет),
о для внутренних интерфейсов заданы адреса, соответствующие IP-адресу
интерфейса и маске локальной сети (в разделе IP-адреса отправителя
выбрана опция Другие и указаны адреса согласно системным данным).
Можно изменить допустимые адреса отправителя в передаваемых пакетах, выбрав
сетевой интерфейс из списка, установив переключатель раздела IP-адреса отправителя в
нужное положение (Допустимые в Интернет или Другие). При выборе значения Другие
настроить необходимые адреса в поле IP-адреса отправителя при помощи кнопок
Добавить..., Изменить... и Удалить. Кнопка По умолчанию установит значения адресов для
выбранного интерфейса в значение по умолчанию.
После завершения настроек следует нажать кнопку Далее> для продолжения. Откроется
окно Система готова к сохранению конфигурации (Рис.5.21), где можно убедиться в
правильности настроек сетевых интерфейсов, после чего нажать кнопку Далее>. Откроется
окно Завершение работы мастера «Настройка сетевых интерфейсов» с информацией
о выполненных действиях (Рис.5.22).
На этом настройка сетевых интерфейсов считается завершенной, все данные о
настройке будут помещены в окне Сетевые интерфейсы программы ViPNet [Координатор]
[Монитор], где в дальнейшем можно изменять настройки сетевых интерфейсов. Для
завершения работы мастера необходимо нажать кнопку Готово и откроется главное окно
ViPNet Координатор [Монитор] (Рис.5.4).
ШагЗ (11)
Дальнейшие настройки ViPNet Координатор
Дальнейшие настройки координатора зависят от настроек, сделанных администратором в
ЦУСе.
233
Рис.5.21. Сохранение настроек сетевых интерфейсов
Рис.5.22. Завершение настроек сетевых интерфейсов
Если ViPNet Координатор [Монитор] был полностью сконфигурирован администратором
сети ViPNet в программе ЦУС, то в этом случае для обеспечения корректной работы
координатора в сети никаких ручных настроек ViPNet Координатор [Монитор] производить не
нужно. Также без каких-либо дополнительных настроек будут устанавливаться соединения
Сетевых Узлов, расположенные в одной подсети с прямым доступом друг к другу по IP-адресу.
Необходимость в редактировании настроек ViPNet Координатор [Монитор] может
появиться в случае изменения физического способа подключения координатора к сети или
изменения других сетевых настроек. Вне зависимости от настроек, заданных в ЦУСе,
необходимо произвести настройки на межсетевом экране, если работа Координатора должна
происходить через установленный на границе сети межсетевой экран со статической либо
динамической трансляцией адресов.
На координаторе должна быть произведена настройка маршрутизации трафика.
Если координатор должен использоваться в качестве сервера открытого Интернета, то
рекомендуется выполнить соответствующие настройки.
Если ViPNet Координатор [Монитор] не был сконфигурирован администратором сети
ViPNet или требуется изменение настроек соединений, то нужно произвести настройки на
компьютере с ПО ViPNet [Координатор].
234
Первым делом после старта программы ViPNet Координатор [Монитор] нужно настроить
адреса доступа для других Координаторов. Далее, при необходимости, настроить параметры
соединения Координатора с другими узлами сети ViPNet в окне Настройки в соответствии с
Шаг 8.
После того, как были изменены параметры в окне Настройки, в окне Защищенная
сеть выбрать какой-либо координатор из списка сетевых узлов. Нажать кнопку Проверить
соединение ( о») на панели инструментов, или нажать клавишу F5, или выберите
соответствующий пункт в контекстном меню, открывающемся при щелчке правой кнопки мыши.
Если настройки выполнены верно, то появится сообщение об установке соединения с
координатором. Если сообщения не появилось, то еще раз проверьте правильность настроек.
Если соединение с Координаторами установилось, то все необходимые настройки для других
узлов появятся автоматически.
Если Координатор планируется использовать для туннелирования трафика
незащищенных узлов локальной сети, то необходимо осуществить настройку IP-адресов для
туннелирования.
При необходимости, можно произвести и другие настройки для обеспечения соединения
Шаг4 (11)
Окно «Сетевые интерфейсы»
В дереве настроек программы Монитор в окне Сетевые интерфейсы отображаются
все сетевые интерфейсы компьютера, распознаваемые программой ViPNet [Координатор]
[Монитор], а также настройки для них (Рис.5.23).
Выход Сервис Действия Вид Справка
, ' * J -_J ^ L_
^
г* ViPNet Cc-utditi'i-itor ; Сетевые инту... iP-адреса Тип Режим Антиспуфинг
- ...; Зтшшет^я^еть :0 ^Ethernet а... 192.168.58.1:255.255.255.0 Bhvt... 2 192.168.58.1 - 192.168.58.254
*.л Избранное :0 ^Ethernet а... 192.168.:.:. 1: 255.255.255.;; Bhvt... 2 192.168-0.1 - 192.168.0.254
0~крытея есть * г ( _ } ч , , \ * "
Сетевые интерфейсы :0.?svRemote Ас . ' , Внрш... 1 Допустимые в Интернете
: |> Свойства... С.гН-Р ■
■ " ■рансляиня адресов
Автозаполнение Антиспуфинг
?f Блокиоованные IР-пакеты :
?у Настройка ;
3 Статистика IP-пакетов
.„> Настройки
Дополнительно
,:• Для фильтров
..; Обнаружение а~ак
.■ -•• Ж у р нал IР - п а к ето в :
Настройка журнала
Конфигурации
..; Основная конфигура1;
Настроить все...
Рис.5.23. Окно «Сетевые интерфейсы»
При необходимости изменения настроек сетевого интерфейса следует вызвать окно
Свойства сетевого интерфейса (Рис.5.24).
235
Рис.5.24. Свойства сетевого интерфейса
Шаг5 (11)
Настройка IP-адресов или DNS-имен других ViPNet Координаторов
Использование службы DNS
Технология ViPNet позволяет прозрачно использовать службу DNS различным сетевым
приложениям (например, web-браузер, ftp), функционирующим на защищенных компьютерах,
для получения IP-адресов различных прикладных серверов. Технология ViPNet может
использовать службу DNS для получения IP-адресов сетевых узлов ViPNet. Для
функционирования службы DNS в сети ViPNet на DNS-сервере должны быть зарегистрированы
DNS-имена и соответствующие им IP-адреса прикладных серверов с учетом ряда правил.
Настройка IP-адреса или DNS-имени координаторов
Для настройки IP-адреса или DNS-имени других координаторов нужно в окне
Защищенная сеть дважды щелкнуть левой кнопкой мыши на имени нужного Координатора.
Откроется окно Правило доступа (Рис.5.25), в котором следует выбрать вкладку IP-адреса.
Для задания IP-адреса Координатора нажать кнопку Добавить (Рис.5.25) и в
открывшемся окне ввести IP-адрес, или включив опцию Использовать DNS-имя и нажав
кнопку Добавить указать DNS-имя Координатора, затем нажать кнопку ОК.
Замечание: Если используются виртуальные адреса, то для них необходимо настроить
маршрутизацию, чтобы иметь доступ сданного Координатора к Координатору другой сети.
236
Рис.5.25. Окно Правило доступа
Шагб (11)
Правила регистрации IP-адресов узла на WINS-сервере
Технология ViPNet бесконфликтно может поддерживать работу только с защищенным
WINS-сервером.
При этом на WINS-сервере, так же как и на DNS-сервере, для соответствующих NetBios-
имен регистрируются реальные или виртуальные IP-адреса защищенных компьютеров в
соответствии с их видимостью с узла, защищающего WINS-сервер.
Технология ViPNet поддерживает автоматическую регистрацию нужного типа адреса на
WINS-сервере. Регистрация IP-адреса МЭ, используемого СУ, на WINS-сервере не
допускается и технологией ViPNet в данной версии программы не поддерживается.
Шаг7 (11)
Установка приоритетов выбора адресов доступа Координатора (настройка и
использование метрики)
Если ViPNet Координатор имеет несколько адресов доступа (например, по разным
каналам связи), то можно настроить приоритеты каналов для установления соединения
сетевого узла с этим ViPNet Координатором. Приоритет каналов задается с помощью метрики
для каждого возможного адреса доступа во вкладке Межсетевой экран (Рис.5.25) окна
Правило доступа для выбранного Координатора защищенной сети.
Имеется возможность явно указать тот канал, через который узел будет работать всегда,
когда этот канал доступен. Если самый приоритетный канал по каким-то причинам недоступен,
то канал связи выберется в соответствии с настроенными для оставшихся каналов
приоритетами. Когда самый приоритетный канал станет доступен, соединение с
Координатором вновь установится через него.
237
Минимальная цифра метрики имеет больший приоритет в сравнении с метрикой с
большей цифрой.
Замечание: В данной версии программы определение приоритетных каналов с помощью
метрики осуществляется только для Координаторов, работающих через МЭ со статической
трансляцией адресов или работающих без использования МЭ.
Настройка метрики
Для настройки адресов доступа и метрики во вкладке Межсетевой экран (Рис.5.26) для
одного из СУ сети ViPNet необходимо нажать кнопку Изменить для редактирования адреса и
(или) метрики, или кнопку Добавить для добавления нового адреса, откроется окно IP-adpec
доступа (Рис.5.26):
Опция Автоматическое назначение метрики по умолчанию включена, т.е. метрика
для адреса доступа назначена автоматически. Это означает, что метрика равна 0, если для
всех адресов доступа узла метрика назначена автоматически, либо, если хотя бы для одного
адреса вручную назначено какое-либо значение метрики, то значение автоматической метрики
на 100 миллисекунд больше максимального значения из метрик, назначенных вручную.
Для того, чтобы указать определенное значение метрики, следует отключить опцию
Автоматическое назначение метрики, после чего станет доступно для редактирования
поле Метрика, где можно задать значение метрики из диапазона от 1 до 9999.
Общие IP-адреса Межсетевой экран инфо
!••••••: Использовать настройки работы узла через межсетевой
экран:
IP-адреса доступа;
IP-адрес
192.16S.L15
80.111.1.11
Метрика
I
500
IP-адрес: : 195 . 48 . 20 . 224
|_J Автоматическое назначение метрики
Метрика: • 9999|
Прт 1енить
Оощие lF-адреса Межсетевом экран Инфо
гт|1'споль2оеэть настройки работы узла через межсетевой
:-':-J зкран:
IP-адреса доступа
IP-адрес
104.100.1.22
30Л11ЛЛ1
19;i.48.200.234
1*2.1о8.1.1з
Метрика
ji Добавить... | | Изменить..
Применить | Справка
Рис.5.26. Назначение метрики
По окончании настроек в окне IP-адрес доступа необходимо нажать кнопку ОК для
сохранения настроек или кнопку Отмена для отмены настроек.
По умолчанию метрика назначается автоматически. В колонке Метрика отображается
значение Автоматически (см. Рис.5.26), т.е. текущий адрес доступа координатора
определяется программой автоматически. Если хотя бы для одного адреса вручную задать
значение метрики, то автоматическое определение текущих адресов доступа прекращается, и
адреса начинают определяться в соответствии со значениями метрики.
238
Правила назначения метрик
Метрики определяют задержки (в миллисекундах) при посылке тестовых пакетов для
определения доступности канала. Чем метрика больше, тем больше задержка. Выбирается тот
канал, доступность которого в результате тестовых посылок определится быстрее.
Назначение для адреса доступа наименьшей метрики приведет к тому, что узел будет
выбирать для работы с координатором канал связи с этим адресом доступа всегда, когда этот
канал доступен.
Канал связи с наименьшей метрикой считается самым приоритетным каналом работы
для узла. Чем больше разница между метриками (наименьшей и назначенной другим адресам
доступа), тем меньше вероятность, что при каких-либо сбоях самого приоритетного канала
будет выбран менее приоритетный канал с большей метрикой.
Если метрики равны, то для работы будет выбран тот канал, через который соединение с
координатором установится наиболее быстрым способом.
Если хотя бы для одного адреса доступа координатора значение метрики задано вручную
и выбран не самый приоритетный канал (не с наименьшей метрикой), то определение
доступности других каналов связи с целью возвращения к каналу с наименьшей метрикой,
начнется одновременно с проверкой наличия соединения по выбранному каналу. Проверка
наличия соединения по выбранному каналу осуществляется путем периодических опросов IP-
адреса доступа координатора через этот канал.
Опрос координатора производится в соответствии с заданным периодом опроса (опция
Параметры опроса в окне Дополнительно). Между координаторами период опроса по
умолчанию равен 15 минутам, между АП и координатором - 5 минутам.
При старте программы [Монитор] и при выполнении функции проверки соединения
вручную всегда осуществляется проверка доступности всех каналов связи с целью выбора для
работы с координатором канала с наименьшей метрикой. После определения канала доступа,
текущий адрес доступа отобразится в первой строке колонки IP-адрес вкладки Межсетевой
экран.
Шаг8 (11)
Настройка параметров соединения Координатора с другими узлами
Узлы сети ViPNet могут быть подключены к глобальной сети непосредственно, либо могут
работать через межсетевые экраны (МЭ) и другие NAT-устройства различных производителей
(в том числе через ViPNet Координатор).
Узлы сети ViPNet могут располагаться внутри локальных сетей любого типа,
поддерживающих IP-протокол. Способ подключения к сети может быть любой. Это может быть
сеть Ethernet, РРРоЕ через XDSL-подключение, РРР через обычный Dial-up или ISDN, сеть
сотовой связи GPRS или Wireless-устройства, сети MPLS или VLAN. ПО ViPNet автоматически
поддерживает разнообразные протоколы канального уровня.
Для создания защищенных VPN-соединений между узлами используются IP-протоколы
двух типов (IP/241 и IP/UDP), в которые упаковываются любые другие IP-протоколы.
При взаимодействии любых сетевых узлов, принимающих друг от друга
широковещательные пакеты, а также при взаимодействии между координаторами и сетевыми
узлами, использующими эти координаторы в качестве межсетевого экрана (на СУ произведены
соответствующие настройки ViPNet), используется более экономичный протокол IP/241. Этот
протокол не имеет дополнительных UDP-заголовков размером 8 байт. Исходный пакет после
шифрования упаковывается в IP-пакет с 241 номером протокола. Во всех остальных случаях
используется протокол UDP. Исходный пакет после шифрования упаковывается в UDP-пакет с
заданным портом назначения (по умолчанию 55777).
239
Настройка параметров соединения Координатора с другими узлами
Для обеспечения гарантированного соединения сетевого узла из любых точек сети с
другими сетевыми узлами, в программе ViPNet Координатор [Монитор] есть возможность
выбрать один из четырех типов соединения в зависимости от способа подключения
Координатора к внешней сети.
Тип соединения выбирается в окне Настройки (Рис.5.27):
1. Непосредственное подключение к внешней сети (без использования МЭ) - в этом случае
опция Использовать межсетевой экран должна быть выключена.
2. Соединение через ViPNet-координатор - в этом случае опция Использовать межсетевой
экран должна быть включена, в опции Тип межсетевого экрана выбрано значение
ViPNe t-коор динатор.
3. Соединение через МЭ (NAT-устройство), на котором возможна настройка статических
правил трансляции адресов - в этом случае опция Использовать межсетевой экран
должна быть включена, в опции Тип межсетевого экрана выбрано значение Со
статической трансляцией адресов.
4. Соединение через МЭ (NAT-устройство), на котором настройка статических правил
трансляции адресов затруднительна или невозможна - в этом случае опция
Использовать межсетевой экран должна быть включена, в опции Тип межсетевого
экрана выбрано значение С динамической трансляцией адресов.
1£; '.ьО-^л
Выход Сервис
Действия
Вид Справка
• ViPNet Coordinator
) Защищенная сеть
*s Избранное
j Открытая сеть
^ Се~евые интерфейсы
Трансляция адресов
А вто з а п о л н е н и е -
Лг Блокированные IP-пакеты \
"У Настройка
3 Статистика IP-пакетов
-1 Г>* v -
з Дополнител ьно
Для фильтров
_ Обнаружение атак
Журнал IP-пакетов
<Настройка журнала
1 Конфигурации
^Основная конфигураь
IP-адреса для туннелиривания
iИспсльзоеать енешний межсетевой
i статической тронсляииен адресов
Зафиксировать внешний IF-ад ре с доступа через i
гжсетееои экран
_1 Отключить все протоколы, кроме IF, APT.. RARp
J Блокировать компьютер при старте программы
Применить
Рис.5.27.Окно «Настройки» ViPNet Координатора
240
Шаг9 (11)
Сетевые фильтры
Для того, чтобы правильно выполнить настройки правил фильтрации, необходимо
понимать основные принципы фильтрации IP-пакетов в программе Монитор. Правила
фильтрации IP-трафика являются результатом действия правил антиспуфинга, характеристик
выбранного режима безопасности для каждого сетевого интерфейса и списка сетевых
фильтров для конкретных IP-адресов, протоколов и портов, заданных пользователем.
Список сетевых фильтров задается пользователем в виде древовидной структуры
отдельно для Защищенной сети и Открытой сети. Принципы фильтрации различаются
для защищенной и открытой сети.
Для Защищенной сети:
Дерево фильтров позволяет задавать фильтры на отдельный IP-адрес (первый уровень
фильтрации) и определять фильтры на типы протоколов, направление установления
соединения (прохождения IP-пакетов) и номера портов (второй уровень фильтрации).
Существуют автоматически создаваемые сетевые фильтры, которые можно
модифицировать, но нельзя удалять: главный и широковещательный фильтры для
Защищенной сети.
Для Открытой сети:
Сетевые фильтры настраиваются по паре адресов пакета (IP-адресу отправителя и
получателя или диапазону IP-адресов отправителей и получателей).
Окно Открытая сеть поделено на четыре группы фильтрации для разных типов пакетов:
о Широковещательные IP-пакеты;
о Локальные входящие IP-пакеты;
о Локальные исходящие IP-пакеты;
о Транзитные IP-пакеты.
В группе фильтрации Широковещательные IP-пакеты существует автоматически
созданный сетевой фильтр Все широковещательные IP-пакеты, который пользователь при
необходимости может модифицировать, отключить или удалить.
В остальных группах фильтрации по умолчанию фильтры не заданы, т.е. фильтрация
осуществляется в рамках установленного режима безопасности. Дерево фильтров позволяет
пользователю задавать собственные сетевые фильтры в каждой группе фильтрации..
Каждый сетевой фильтр изначально состоит из Правила доступа и подчиненного ему
фильтра протоколов с именем Все протоколы В Правиле доступа настраиваются адреса
(отправителя и получателя пакета) по которым будет осуществляться отбор пакетов для
фильтрации. Подчиненный фильтр Все протоколы определяет условия фильтрации пакетов
и действие фильтра (Пропускать или Блокировать пакеты). Для каждого Правила доступа
можно добавлять дополнительные фильтры протоколов. Фильтрация пакетов может быть
настроена в зависимости от времени.
Список сетевых фильтров для Защищенной сети
Окно Защищенной сеть (Рис.5.4) поделено на три группы фильтрации.
Главный фильтр с именем IP-пакеты всех адресатов - определяет общее правило
фильтрации для всех сетевых узлов из окна Защищенная сеть.
Широковещательный фильтр с именем Широковещательные IP-пакеты всех
адресатов - определяет правило фильтрации для всех шифрованных широковещательных
пакетов. Работа фильтров для широковещательных пакетов не зависит от настроек других
фильтров.
Индивидуальные фильтры - фильтры для конкретных сетевых узлов Защищенной
сети.
241
Фильтр протоколов - может быть настроен для широковещательного, главного и
индивидуального фильтров. Фильтр протоколов всегда подчинен какому-либо фильтру из
указанных выше.
Microsoft SQL фильтр - может быть использован при установке ViPNet Координатор на
Microsoft SQL сервер с целью ограничения доступа пользователей (с установленным ПО
ViPNet) на SQL сервер, либо для предотвращения прихода нежелательных данных. Фильтр
работает на уровне протокола TDS (протокол передачи данных для MS SQL). Microsoft SQL
фильтр всегда подчинен какому-либо индивидуальному фильтру для пользователя
Защищенной сети.
Список сетевых фильтров для Открытой сети
Окно Открытая сеть (Рис.5.28) поделено на четыре группы фильтрации (по типам
обрабатываемых пакетов):
Широковещательные IP-пакеты - группа фильтрации предназначена для настройки
правил фильтрации широковещательных пакетов.
Правила фильтрации широковещательных пакетов задаются только для входящего
трафика (т.е. адресованных на один из адресов компьютера с ViPNet Координатор [Монитор]).
Для исходящего трафика действуют правила установленного режима. По умолчанию этот
фильтр блокирует все входящие широковещательные пакеты, за исключением пакетов для
отдельных протоколов, а именно разрешены:
Широковещательные пакеты nbname (порт 137) и nbdatagram (порт 138) предназначены
для организации работы службы имен NETBIOS - определения имен компьютеров, входящих в
Microsoft Network.
Широковещательные пакеты bootp (порты 67 и 68) предназначены для организации
работы службы DHCP - получения компьютером IP-адреса при его загрузке.
Выход Сервис Действия
Вид Справка
' ViPNet Coordinator
s Защищенная сеть
*.* Избранное
^ Сетевые интерфейсы
г Трансляция адресов
1яг Автозаполнение
Блокированные IP-пакеты
W Настройка
23 Статистика IP-пакетов
L> Настройки
,,..) Дополнительно
л Для фильтров
Обнаружение атак
Журнал IP-пакетов
j Настройка журнала
• ; Конфигурации
j Основная конфигурги
: Наименование
Открытая сеть
\ Широковещательные IP-пакеты
; - В Все широковещательные IP-пакеты
0 Сервис имён NETBIOS
! И Сервис датаграмм NETBIOS
0 DHCP сервер
В DHCP клиент
П Все протоколы
\ Л о к а л ь м; ь \ е в х од ящие IP -па кеты
; : В <Все IP-адресаХВсе 1Р-адреса>
И Все протоколы
\ - 0 < 192.168.201.80Х Все IР-адреса>
0 Локальный входящий фильтр
0 Все протоколы
: Локальные исходящие IP-пакеты
5ЙСТВИС
Порт...
Пор..
Протс
Пропуска"
ь
137
137
UDP
Пропуска-
ь
138
138
U DP
Пропуска-
ь
67
68
UDP
Пропускат
ь
58
67
UDP
Блоки рое».
1ТЬ
Все
Пропуска-
ь
Все
Пропуска-*
ь
ICMP
Блокировс
ггь
Все
Расписание
- 0 < Все IP-адресах Все IP-адреса >
0 Все протоколы
- В <Все 1Р-адрчса>< 192.168.201.80"
0 Все протоколы
Транзитные IP-пакеты
Все IР-адреса
В <Все
0 Все
Р -адресам
протоколы
Пропу
Пропу
Блокировать
Все
Все
Все
30L
Рис.5.28.Окно Открытая сеть
Локальные входящие IP-пакеты - группа фильтрации предназначена для настроек
фильтрации нешироковещательных IP-пакетов, приходящих на локальную машину (т.е.
адресованных на один из адресов компьютера с ViPNet Координатор [Монитор]).
В эту группу можно добавить Собственный сетевой фильтр (Рис.5.29) -(Правило
доступа + фильтр протоколов Все протоколы) для IP-пакетов с заданными пользователем
параметрами. По умолчанию фильтр пропускает пакеты.
242
IP-адреса отправителя - в этом разделе можно добавить, изменить или удалить IP-
адреса отправителя пакета или диапазон IP-адресов. Адреса отправителя, если заданы адреса
получателя, могут не задаваться. В этом случае считается, что задан диапазон 0.0.0.0 -
255.255.255.255.
IP-адреса получателя - в этом разделе можно добавить, изменить или удалить IP-
адреса получателя пакета или диапазон IP-адресов. Адреса получателя, если заданы адреса
отправителя, могут не задаваться. В этом случае считается, что задан диапазон 0.0.0.0 -
255.255.255.255.
Замечание: При добавлении правила доступа в группу фильтрации Локальные
исходящие IP-пакеты или Локальные входящие IP-пакеты в полях IP-adpeca
отправителя или IP-адреса получателя соответственно должны присутствовать адреса
компьютера ViPNet Координатор [Монитор]. Такие настройки проверяются при сохранении.
Имя правила:
I "': Включить npaeu.no
j Добавить... j | Изые-
| Добавить... j
Щ 3 [62.Z31.10 1?] Realtek RTLS169-0110 Family Gig
I Отмене; j ! СпроЕка I
Имя фильтра: У
[';;;;] ВКЛЮЧИТЬ фИЛЬТр
Протокол:
Тип сооощения ILMP:
ICMP
Действие фильтра
Пропускать
Настроить расписание...
j Отмена | | Справка
Рис.5.29. Добавление Собственного сетевого фильтра
Локальные исходящие IP-пакеты - группа фильтрации предназначена для настроек
фильтрации нешироковещательных IP-пакетов, исходящих с локальной машины (т.е.
адресованных от одного из адресов компьютера с ViPNet Координатор [Монитор]). В эту группу
можно добавить Собственный сетевой фильтр (Рис.5.30).
Транзитные IP-пакеты -- группа фильтрации предназначена для настроек фильтрации
нешироковещательных IP-пакетов, проходящих через локальную машину как через
маршрутизатор (т.е. пакетов, адреса получателя и отправителя которых не совпадают ни с
одним из адресов компьютера с ViPNet Координатор [Монитор]). В эту группу также можно
добавить Собственный сетевой фильтр (Рис.5.28).
Настройка расписания применения фильтров для Открытой сети
Для каждого фильтра протоколов для Открытой сети имеется возможность настроить
расписание работы этого фильтра, т.е. время, когда фильтр будет включен и когда отключен.
Для настройки расписания применения фильтра следует нажать в окне Фильтр протоколов
(Рис.5.30) кнопку Настроить расписание... Откроется окно Расписание (Рис.5.31). После
настройки расписания работы фильтра, в окне Открытая сеть в колонке Расписание для
этого фильтра появится значок наличия расписания (Рис.5.28).
243
Имя правила: « , ч 4
Р] Включить правило
j Добавить...
■М 3 [62.231.10.19] Realtek RTL8169/8110 Family Gig
[ .Лоба!
I i Справка
Имя фильтра:
j ; j Включить фильтр
Про-окол:
Деист ейе фильтра:
Все
Пропускать
Настроить расписание,.
Отмена | Справка
Рис.б.ЗО.Добавление Собственного сетевого фильтра
Использовать pacniicat
Расписание:
Фильтр действует:
не действия фильтра
В указанное гремя
Время начала: Ваемя сю
00: СО : и 0
IИСПОПЬЗОЕО- Ь р?.
F ^списание:
е действия фильтра
Еженедельно
В указанное ер*
]:четеерг
i Пятница
'} Суббота
j Бсскресйн
Время начала: Бремя окончания:
00:00 " '07:00
OUtOij п7:ип
02:00 * : 15:00
19:00
00:00
j OK J I Отмена j
Рис.5.31.Настройка Расписания применения фильтров Открытой сети
Порядок применения фильтров и зависимость от режима безопасности
Принцип применения фильтров для открытой и защищенной сети несколько отличается.
Для Защищенной сети:
если фильтр имеет два уровня, то сначала применяются подчиненные фильтры
протоколов, а потом фильтр первого уровня (если пакет не соответствует условиям ни одного
из подчиненных фильтров).
Для Открытой сети:
для каждой группы фильтрации все фильтры применяются друг за другом по порядку
сверху вниз, так, как они отображены в окне Открытая сеть, т.е. для каждого правила
доступа применяются по порядку все подчиненные ему фильтры протоколов.
Применение разрешающих сетевых фильтров для открытого трафика происходит по
следующему принципу:
244
- Разрешающие фильтры в окне Открытая сеть разрешают не отдельные
пакеты, а соединения. Т.е. все сетевые фильтры применяются к пакетам,
инициирующим соединения. При приходе первого пакета, удовлетворяющего
параметрам сетевого фильтра, устанавливается соединение, и далее внутри
этого соединения пропускаются все входящие и исходящие пакеты,
отвечающие заданному правилом фильтрации адресу, протоколу и
параметрам протокола. Действие разрешающих фильтров аналогично
действию режима "жёсткий бумеранг", но в отличие от этого режима,
пакетами, инициирующими соединения, могут быть как исходящие, так и
входящие пакеты (в зависимости от настроек сетевого фильтра).
Блокирующие фильтры открытого трафика блокируют пакеты указанного в фильтре
направления кроме тех пакетов, которые являются ответами в рамках разрешенных
соединений, заданных другими разрешающими фильтрами.
Любой фильтр протоколов может быть отключен. В этом случае в обработке пакетов он
участвовать не будет, но запись об этом фильтре сохранится.
Работа фильтров зависит от установленных режимов безопасности.
Если установлен 5-й режим, то через такой сетевой интерфейс пропускаются все пакеты
вне зависимости от каких-либо установок фильтров.
- При этом пакеты от защищенных адресатов не будут расшифровываться и
будут восприниматься прикладными программами как испорченные.
- Пакеты для защищенных адресатов будут отправляться открытыми.
В остальных режимах работа происходит следующим образом:
Первым делом определяется, относится ли пакет (входящий или исходящий) к адресату
защищенной сети и является ли он зашифрованным.
Если от адресата защищенной сети приходит незашифрованный пакет, то он
блокируется (события 22 и 23).
Для шифрованных пакетов применяются фильтры Защищенной сети в следующем
порядке:
Сначала применяется главный фильтр. В результате применения фильтра пакет
может быть заблокирован (событие 10).
Для широковещательных шифрованных пакетов применяется широковещательный
фильтр Защищенной сети. В результате применения фильтра пакет может
быть заблокирован (событие 3).
Затем для нешироковещательных пакетов применяется индивидуальный фильтр
(включая его подчиненные фильтры протоколов), установленный именно для
этого адресата.
Далее, для нешироковещательных пакетов, по которым не было принято решение,
если настроен Microsoft SQL фильтр, он применяется, в результате пакет может
быть заблокирован.
Если пакет не был заблокирован ни в одном из фильтров, то он пропускается.
Для нешифрованных пакетов применяются фильтры Открытой сети, то работа
фильтров зависит от установленного режима безопасности.
- Если установлен 1-й режим, то все пакеты блокируются вне зависимости от
настроенных разрешающих сетевых фильтров.
- Если установлен 4-й режим, то все пакеты пропускаются вне зависимости от
настроенных запрещающих сетевых фильтров.
- Если установлен 2-й или 3-й режим, то для поступившего на сетевой
интерфейс пакета сначала определяется, к какой группе фильтрации он
относится, и в зависимости от типа пакета по порядку сверху вниз
применяются сетевые фильтры из соответствующей группы фильтрации:
245
Для широковещательных пакетов применяются фильтры группы
Широковещательные IP-пакеты. В результате применения этих фильтров
пакет может быть либо заблокирован, либо пропущен.
Для нешироковещательных локальных входящих пакетов (т.е. пакетов, адреса
получателя которых совпадают с одним из адресов локальной машины)
применяются фильтры группы Локальные входящие IP-пакеты (если таковые
настроены). В результате применения этих фильтров пакет может быть либо
заблокирован, либо пропущен.
Для нешироковещательных локальных исходящих пакетов (т.е. пакетов, адреса
отправителя которых совпадают с одним из адресов локальной машины)
применяются фильтры группы Локальные исходящие IP-пакеты (если таковые
настроены). В результате применения этих фильтров пакет может быть либо
заблокирован, либо пропущен.
Для нешироковещательных транзитных пакетов (т.е. пакетов, адреса получателя и
отправителя которых не совпадают ни с одним из адресов локальной машины)
применяются фильтры группы Транзитные IP-пакеты (если таковые
настроены). В результате применения этих фильтров пакет может быть либо
заблокирован, либо пропущен.
Для всех остальных пакетов, по которым не было принято решение предыдущими
фильтрами, действует режим работы, настроенный на сетевых интерфейсах -
если установлен 2-й режим, то все пакеты блокируются, если установлен 3-й
режим, то работает механизм бумеранга.
Шаг 10 (11)
Настройка трансляции IP-адресов (NAT)
Трансляция сетевых адресов (NAT) - это технология, позволяющая преобразовывать
IP-адреса, использующиеся в одной сети в IP-адреса, использующиеся в другой. NAT обычно
применяется для решения двух основных задач:
NAT позволяет локальным сетям, использующим частные адреса, получать доступ к
ресурсам Интернет.
NAT позволяет скрыть внутреннюю структуру локальной сети, в результате чего
становится практически невозможным напрямую атаковать тот или иной узел локальной сети.
Функции NAT конфигурируются на компьютере, разграничивающем локальную
(внутреннюю) сеть и глобальную сеть (например, Интернет). Этот компьютер должен иметь как
минимум два сетевых интерфейса.
Один из сетевых интерфейсов, обеспечивающий доступ в Интернет и имеющий
публичный IP-адрес (внешний интерфейс).
Один из сетевых интерфейсов (внутренний интерфейс), который может иметь любой
адрес (как частные, так и публичные).
При прохождении сетевых пакетов через компьютер с функциями NAT с внутреннего
интерфейса на внешний, а затем обратно, происходит трансляция сетевых адресов (NAT).
NAT в ПО ViPNet Координатор
В ПО ViPNet Координатор трансляция адресов выполняется для любых IP-протоколов.
Однако для всех протоколов кроме TCP, UDP и ICMP выполняется частичная трансляция (см.
ниже).
ПО ViPNet Координатор может производить трансляцию двух типов - статическую
трансляцию и динамическую (или точнее разновидность динамической трансляции, известной
под названием "Masquerading"):
246
Статическая трансляция адресов устанавливает соответствие адресов по типу «один к
одному», т.е. один глобальный (публичный) адрес маршрутизатора (на маршрутизатор
устанавливается ViPNet Координатор) соответствует одному частному адресу внутренней сети.
Динамическая трансляция адресов устанавливает соответствие между несколькими
частными адресами внутренней сети и одним публичным адресом маршрутизатора путем
присвоения уникальных дополнительных параметров (например, портов).
Статическая и динамическая трансляция адресов производится только при настройках
соответствующих правил трансляции на ViPNet-координаторе.
Для обеспечения возможности работы FTP-клиентов в активном режиме ViPNet
Координатор производит также трансляцию сетевых адресов на прикладном уровне для
протокола FTP в автоматическом режиме без каких-либо настроек правил трансляции.
Для всех протоколов кроме TCP, UDP, ICMP при трансляции адресов учитываются только
IP-адреса. Поэтому для таких протоколов динамическая трансляция адресов выполняется со
следующим ограничением - трансляция адресов не будет работать в том случае, если
одновременно сразу несколько узлов из внутренней (локальной) сети устанавливают
соединение с одним и тем же адресом внешней (глобальной) сети.
ПО ViPNet Координатор позволяет пользователю самостоятельно добавить статические
правила трансляции, динамические правила трансляции, ряд предустановленных правил
трансляции, в которых уже настроена часть необходимых параметров (для предоставления
доступа из внешней сети к определенным сетевым сервисам локальной сети), для организации
выхода компьютеров локальной сети в Интернет.
Настройка правил трансляции IP-адресов происходит в окне Трансляция адресов
(Рис.5.32).
ВыЧОд" CPf'jBHL " ДРИСТРИЯ РИД СпрТ,Гс1
ViPNet Coordinator Прав и л а т о а н с л
! - .,, Защищенная сеть
] *■Изорииное
■1 Открытая сеть
| згу CQTPBbifr интерфейсы
*.'.< Автозаполнение
- W Блокированные IP-пакоты
Ж Настройка
jj] Статистика IP-пакетов
- l, Настройки
...j Дополнительно
ДЛЯ фиЛЬтрОВ
...Обнаружение атак
• ■■ Журнал IP-пакетов
Настройка журнала
; " Конфигурации
Основная конфигура1
„.....; Z. \> r]g:;i j
Рис.5.32. Окно Трансляция адресов
Перед настройкой правил трансляции необходимо проверить настройки параметров
внутренней и внешней сетей в окне Автозаполнение (Рис.5.33). Правильные настройки в
этом окне облегчают создание и настройку новых правил трансляции.
Вмутрс... Бнут... Внс'Щн... Вил... комментарий •
247
Выход Сервис Действия Вид Справка
■, . — с- Г? t-л \ tsf. .
■ ViPNet Coordinator
Защищенная сеть
f.j Избранное
Открытая сеть
Сетевые интерфейсы
Р Трансляция адресов
Ш Автоза п о л н е н и е
W Блокированные 1Р-паке~ы \
'Л* Настройка
3 Статистика IP-пакетов
О Настройки
„--Дополнительно
s Для-фильтров
i Обнаружение атак
- ' Журнал IP-пакетов
- Настройка журнала
: Конфигурации
j Основная конфигура!.
Параметры н зет рое к внешнем и внут
формировании новых правил трансл
Использовать ав_сзаполнение
реннеи
чини в I
сетей испс
ачестее :?>
тся при
l'l по у мол
Сетевой интерфейс:
1Г-алреса локальной сети:
Щ) Ethernet, adapter VMware virtual Ethernet Adapts
IP-адрес
Настроить a etc;! ia~uчески
iF'l~t Coordinator [Монитор] может устачс
ia«"TpOMKii аето!«этически
Прииежгь
( II
Рис.5.33. Окно Автозаполнение
Добавление статического правила трансляции
Для добавления статического правила трансляции, в окне Трансляция адресов
(Рис.5.32) необходимо выбрать в главном меню программы Монитор Действия —> Правила
трансляции адресов --> Добавить статическое... (Рис.5 34). Откроется окно Правило
трансляции адресов (Рис 5.35).
Выход Сервис
Вид
■ ViPNet Cooidina
„.;) Защищенная
*: Избранное
-..j Открытая сет;
Сетевые инт^,
Трансляция i .
stt Автоза пол 1;
Блокированы
№ Настройка
J Статистика П
С- Настройки
Дополните
.; Для фильт
Обнаружеь
у - Журнал 1Р-п«
П а п к и
Правила доступа
О Внешние программы
• Припятью файлы
Добавить динамическое..
Добавить дня
Настройка журнала
: Конфигурации
...Основная конфигураь
{ 1 о;1 >
Рис.5.34. Добавление Правила трансляции адресов
248
i£ С Настройте параметры для
^ ' правила трансляции адресов
| Имя правила: Статическое 1
; Тип трансляции: Ц}~ Статический
: В к л ю ч и ть п р ав и л о
Внутренняя сеть Внешняя сеть
j IP-адрес: 132 . 168 . 0 . 100
Протокол: TCP
Список.. \
| ■ • Любой '• Номер
Комментарий:
Статическое правило
! | О К | | Отмена
\ Справка |
ijl О . Настройте параметры для
п р ав и л а т р ан с л я ци и адресов.
Имя правима: Статическое 1
Ти п т р ан с л я ци и: [J Ст ат и ч е ск и й
j; | Включить правило
Внутренняя сеть Внешняя сеть
IP-адрес. 62 231 10 . 19
Любой
оммен тории.
": тэтич м ское пра в i-1 л о
■ Номер
Справка
Рис.5.35. Окно Правило трансляции адресов
Замечание: По умолчанию часть полей окна Правило трансляции адресов
заполнится автоматически, если произведены настройки в окне Автозаполнение.
При необходимости значения полей в окне Правило трансляции адресов (Рис.5.35)
могут быть отредактированы.
Все произведенные настройки можно сохранить, если нажать кнопку ОК или отменить,
если нажать кнопку Отмена. После сохранения созданное правило появится в окне
Трансляция адресов (Рис.5.36).
^o:vvvc о: — ■ v *
Выход Сервис Действия Вид Справка
: ^Д^.^Л,:-.^ 0': ч
п
\" ViPNet Coordinator ! Правила трансл... Внутренний IP-адрес Внутрен...
Внешний IP-адрес Внешн...
Комментарий
; - . ,;• Защищенная сеть ; 0 О Ставшее кое 1 192.168.0.100 TCP
i2 у г :о 14 -ср
Статическое пра в и,
.ti Избранное
■ Открытая се~"ь
^Сетевые интерфейсы
- •'■ трансляция адресов
;dr А в то за полнен и с-
- ??' Блокированные IP-па кеты :
.'• Настройка
А1 Статистика IP-пакетов
• - О- Нас-рой к и
...:Дополнительно
Для Фил и" ров
....> Обнаружение атак
- . Журнал IP-пакетов
Настройка журнала
; Конфигурации
Основная конфигура1 ,
1 »*<..
Рис.5.36. Окно Трансляция адресов
Добавление динамического правила трансляции
Для добавления динамического правила трансляции в окне Трансляция адресов
(Рис.5.36) необходимо выбрать в контекстном меню Добавить динамическое... по правой
249
кнопке мыши. Откроется окно Правило трансляции адресов. В окне Правило трансляции
адресов можно настроить параметры для правила трансляции (Рис.5.37).
gfTf i Настройте параметры для
'> правила трансляции адресов.
Имяправила: fl и н ам и ч е ск о е 11
Тип трансляции: Динамический
Ы\Включить правило
; Внутренняя сеть Внешняя сеть
^ 1
Настроите параметры для
■правила трансляции адресов.
И1-1 я п (и а в и л а: Дина м и ч е ск о е 1
Тип трансляции: -jiy Динамический
;;■; ' Включить правили
Внутренняя сеть Внешняя сеть ■
IP-адрес: 1:J5 . 10 . 10 . l|
Добавить..
Комментарий:
Динамическое правило
О К
Отмена j j Справ
Комментарий:
Д и н а г--и - 1 ч е с к о е пр а. в 11 л о
Справка
Рис.5.37. Окно Правило трансляции адресов
Замечание: По умолчанию часть полей окна Правило трансляции адресов заполнится
автоматически, если произведены настройки в окне Автозаполнение (Рис.5.33).
При необходимости значения полей могут быть отредактированы.
Все произведенные настройки можно сохранить, если нажать кнопку ОК или отменить,
если нажать кнопку Отмена. После сохранения созданное правило появится в окне
Трансляция адресов (Рис.5.38).
\ Выход Сервис Действия Вид Справка
• f *г' '-^ -ч • • • т
Is"ViPNet Coordinator ' Правила транс.чя... Внутренний \P-ci\\w:
В ну...
Внешний 1Р-а...
Вне...
Комментарий
- Защищенная сеть ;0и Стэтнческое 1 192.168.0. ЮС
TCP
02.231.10.19
TCP
(.~о~ическс-. "i: а..
•.£» Избранное 10 Д и и а м ;• • ее кое 1 192. 163.5$.22 - 1S 2. iб
33.44 Все
19!;.10.10.1
Все
Динамическое п..
Открытая сеть
: *2 Сетевые интерфейсы
; - Г- Трансляция адресов
Ш Автозаполнение
• - W блокированные IP-пакеты •
№ Настройка
2D Статней ка 'Р-пакеток
1 - 0 Настройки :
! Дополнительно \
Для Фильтров
•_j Обнаружение атак
t - --Журнал IP-пакетов
Настройка журнала
! - .1 Конфигурации
...л Основная конфигураи:
С.'".'***..... J
Рис.5.38. Окно Трансляция адресов после настройки правил
250
Добавление предустановленных правил трансляции для почтового, web-,
ftp- серверов и локальной сети
ViPNet Координатор предоставляет возможность добавить ряд правил трансляции, в
которых уже настроена часть необходимых параметров в соответствии с назначением
правила. Можно добавить правила трансляции адресов для предоставления доступа из
внешней сети к определенным сетевым сервисам локальной сети, (назовем такие правила -
Публикация сервера в Интернет), а также добавить правила трансляции адресов для
организации выхода компьютеров локальной сети в Интернет (назовем такие правила - Выход
локальной сети в Интернет).
Правила трансляции адресов для почтового сервера, Web-сервера или FTP-сервера
относятся к статическому типу трансляции, а правила трансляции для локальной сети
относятся к динамическому типу трансляции.
При добавлении статических правил трансляции для почтового сервера, Web-сервера
или FTP-сервера в окне Трансляция адресов (Рис.5.38) нужно использовать контекстное
меню по правой кнопке мыши Добавить для —> почтового сервера..., или Web-сервера...,
или FTP-сервера... (Рис.5.39). Эти команды доступны также в главном меню Действия —>
Правила трансляции адресов.
Будет запрошен IP-адрес сервера внутренней сети, который нужно опубликовать во
внешней сети (Рис.5.40). Необходимо его задать и нажать кнопку ОК.
Выход Сервис Действия Вид С п раек.
'iPNet Coordinator
: Защищенная се~
Избранное
.... Открытая сетЬ,
; Правила трансля
:йи-с-этическое 1
Внутренний II
192. Ю0-.0.100
Внешний IР - а... Вне... Комментарий
b j.:. 13 l. 10.1 о ТС Р С та т и ч ее кое пра.
Сетевые интерфейсы
-"' т р а н с л я и и я ад о е с о в
:Чг автозаполнение
;с Блокированные IP-пакеты :
>:; Настройка
0:1 Статистика IP-пакетов
На с ~ ройки
л Дополнительно
ДЛЯ фи.ПЬТрОВ
.• Обнаружение а то к
■ Ж у о н а л IР - п а к &т о р. '■■
Настройка куриала
ч Конфигурации
Основная конфигу-paLJ
отключить-
Открыть...
Д о б а вить с и ч е с к с е...
Дооа в ить д и и а м и чес кое...
то во го сер со р.
Ctrl-E
Del
[ Ж "3 Col..
i
Рис.5.39. Добавление правил доступа к сервисам локальной сети
j У к а ж ите 1Р- адрес с. е р в ера:
192 . 1Ы:1
. 58 25|
; 13KIJ
Отмена j
j справка j
Рис.5.40. Окно IP-адреса сервера внутренней сети
Замечание: Если произведены настройки в окне Автозаполнение, то далее откроется
окно Правило трансляции адресов, где все поля будут заполнены в соответствии со
значениями окна Автозаполнение, а также в зависимости от вида настраиваемого правила.
После указания адреса сервера внутренней сети будет запрошен адрес для внешней
сети (Рис.5.41). Необходимо его задать и нажать кнопку ОК.
251
У'к а.ж ите I Р-ад р е с а л я внешне й :-;'-'
сети.
Рис.5.41. Окно IP-адреса для внешней сети
Откроется окно Правило трансляции адресов (Рис.5.42), в котором отобразятся
набранные IP-адреса сервера для внутренней сети и для внешней сети. Для введения правила
в действие (записи в окне Трансляция адресов (Рис.5.43)) необходимо нажать ОК.
\№ * Настроите параметры для
! :■> правила трансляции адресов
Имя правила: FTP-сервер
Тип трансляции: ГТ] Статический
0 Включить правило
Внутренняя сеть Внешняя сеть
IP-адрес: 192 . 168 . 58
Протокол: TCP
юрт
Любой
;■ Номер
Комментарий:
Публикация FTP-сервера в интернет
О К
1
справке
> Настроите параметры для
правила трансляции адресов.
Имя правила: FTP-сервер
Тип трансляции CJ. Статический
i ■•- • j В к л Ю Ч И Т Ь Пр ОЕ И л о
В нут р е н н я я се ть Внешня я се т ь
IP-адрес- 62 231 . 10 . 1 9
Пюбой
• Номер
Комментарий:
Публикация FTP-сервера в интернет
О К
Отмена. | j Справка
Рис.5.42. Окно Правило трансляции адресов
Вы^од Сервис Действия Вид Оправь
ViPNet Coordinator
- j Защищенная сеть
Избранное
Открытая се-ь
Сотовые интерфейсы
- -Г Трансляция адресов
Ж А вто 1 а п о л н е и и е
- -Ж Блокированные IP-п.г
^ Настройка
■3 Статистика 1Р-пакет01
- О' Настройки
....:> До п о л н и тел ь н о
,..л Для фильтров
.:,:> Обнарукение атак
- Журнал IP-пакетов
Нас-ройка журнал;
- Кон Фигураинн
j Основная конфиг
I Правила трансляц..
!ЕЗСтатическое 1
;0 ^ Динамическое 1
10Ш- FTP-сервер
Внутренний IP-адрес
192.16S.0.1C0
192.16S.5S.22 ■ 192.16S.5S.44
1У2. H:>-i.5b.z5
Внешн... Вне... Комментарий
6 2.231.... TCP Стати чес кое п ра в и л о
19 5.10.... Все Динамическое правило
80.1.1.1 TCP: 2 1 Публикация FTP-серве..
Рис.5.43. Окно Трансляция адресов
Значения предустановленных опций окна для различных правил трансляции описаны в
таблице (Таблица 3).
252
Таблица 3
—-—
Имя правила
Протокол
Порт
Комментарий
Правило для почтового сервера
Почтовый
сервер
TCP
110
Публикация Почтового сервера в
Интернет
Правило для Web-сервера
Веб-сервер
TCP
80
Публикация Веб-сервера в Интернет
Правило для FTP-сервера
FTP-сервер
TCP
21
Публикация FTP-сервера в Интернет
Настройка правил трансляции для локальной сети
При добавлении динамического правила трансляции адресов для организации выхода
компьютеров локальной сети в Интернет в окне Трансляция адресов необходимо
использовать контекстное меню по правой кнопке мыши Добавить для —> локальной сети...
соответственно (Рис.5.39). Если произведены настройки в окне Автозаполнение, то далее
откроется окно Правило трансляции адресов, где все поля будут заполнены в соответствии
со значениями окна Автозаполнение.
Если в окне Автозаполнение не указаны параметры внутренней (внешней) сети или
использование этого окна отключено, то перед появлением окна Правило трансляции
адресов появятся окна заполнения IP-адресов для внутренней и (или) внешней сети
(Рис.5.44,Рис.5.45):
Спи eel I j Оправка.
Рис.5.44. Окно заполнения IP-адресов для внутренней сети
Следует задать адреса или диапазоны адресов компьютеров внутренней сети, которым
нужно обеспечить доступ в Интернет, при помощи кнопок Добавить, Изменить, Удалить и
нажмите ОК и задать IP-адрес внешнего сетевого интерфейса МЭ, после чего нажать ОК.
Ui-CC4 - _ . .
,1
У к о.ж и т е IР- ад р ее д л
ч внешней -О
II] . 1
з|
сети.
Ж | Отмена !
Справке
Рис.5.45. Окно заполнения IP-адресов для внешней сети
Далее откроется окно Правило трансляции адресов (Рис.5.46).
Поскольку добавляемые правила являются динамическими, то интерфейс окна Правило
трансляции адресов совпадает с Рис.5.37. Все произведенные настройки можно сохранить,
если нажать кнопку ОК или отменить, если нажать кнопку Отмена. После сохранения
созданное правило появится в окне Трансляция адресов.
Описание окна Трансляция адресов и основных действий в этом окне
В окне Трансляция адресов отображается список правил трансляции адресов,
добавленных пользователем (Рис.5.47).
253
< Настройте параметры для
правила трансляции адресов.
Имя правила: < ^ - *>
Ти п т р ан сл я ци и: Дин ам и ч е ск и и
Включить правило
Внутренняя сеть Внешняя сеть
IP-адреса
Добавить..
Комментарий:
Выход локальной сети в интернет
О К
Отмена
справка
Г1
Настройте параметры для
п р э.в и л а т [j ан с л я ци и ад р е со в.
Имя правила: у
Тип трансляции:
:j_J ВКЛЮЧИТЬ ПрЭВ1-
Динамический
В hvt р е н н я я се т ь Внешняя сеть-
IP-адрео 62 231 . 10 . 19
Комментарий:
Выход локальной сети в интернет
О К
Отмена
Справке
Рис.5.46. Окно Правило трансляции адресов
Выход Сервис Действия
Вид Справка
■ ViPNet Coordinator ; Правила-ране
,.v..= Защищенная сеть \ □ Ста т и ч ее к о е
Изоранное :П-^гДинамическ
...j Открытая сеть i0 ^FTP-сервер
Сетевые интерфейсы ® ^ Л окал ь н а я ■..
Автозаполнение
Блокированные IP-i
Вну
19 2.
19 2.
192.
"рент-
168.0.
16
16
16
й IP-
S.22 -
.40 -
Внут... Внешний IP...
TCP 62.231.10.19
Все 195.10.10.1
TCP: 21 62.231.10.19
Вне... Ко м м е н та р и й
TCP Статическое правило
Все Динамическое правило
TCP: 21 Публикация FTP-серве..
Все Выход локальной сети ..
<г Нас-ройкэ
9J Статистика 1Р-пакето1
и Нас-ройки
Дополнительно
Для фильтров
О б н а р ужение а та к
• •' Журнал IP-пакетов
сл Настройка журнал*
:• Конфигурации
;; Основная конфиг
Рис.5.47. Окно Трансляция адресов
Для каждого правила отображается следующая информация:
Название столбца
Описание
Правила
трансляции
г:>.-.-:
Имя правила, заданное пользователем, значок типа правила (й£' - динамическое правило
трансляции, L---l" - статическое правило трансляции) и признак активности правила -
включено (В), выключено (В); отключенное правило не используется для трансляции.
Можно включить/отключить правило, щелкнув мышью на соответствующем значке или
выбрав соответствующий пункт контекстного меню по правой кнопке мыши).
Внутренний
IP-адрес
Список адресов и диапазонов компьютеров внутренней сети, заданный в качестве
параметров внутренней сети правила трансляции.
Внутренний порт
Протокол и номер порта для соединения с внутренней сетью, заданные в качестве
параметров внутренней сети правила трансляции. Если поле пустое, то значит любое
254
значение.
Внешний
IP-адрес
Адрес сетевого интерфейса ViPNet Координатор [Монитор], обеспечивающего доступ во
внешнюю сеть, заданный в качестве параметра внешней сети правила трансляции.
Внешний порт
Протокол и номер порта для соединения с внешней сетью, заданные в качестве параметров
внешней сети правила трансляции. Если поле пустое, то значит любое значение.
Комментарий
Комментарий к правилу трансляции адресов. По умолчанию задается программой, но может
быть изменен пользователем.
Порядок правил трансляции в списке можно изменять с помощью кнопок ^ Веерх и
> вн;-1з (Рис.5.47) в нижней части окна Трансляция адресов. Для упрощения настроек
правил трансляции можно предварительно произвести настройки в окне Автозаполнение.
В окне Автозаполнение (Рис.5.48) устанавливаются параметры, которые будут
использоваться как значения по умолчанию при добавлении новых правил трансляции.
Рекомендуется произвести настройки, если они не были произведены программой.
Выход Сервис Действия Вид Справка
' ViPNet Coordinator
,j Защищенная се~ь
Избранное
Открытая сеть
Сете вые и нте оФе й с ы :
Т р а н с л я и и я а д о е с о в :
Б л о к н | :ю ва иные l?-ne \
Настройка
■25 Статистика 1Р-пакето1
□ Настрой ки
, ; ДОПОЛНИТ9ЛЬНО
Для фильтров
т Об на р у же н и е а та к :
•; Журнал IP-пакетов
:... j Наст р о й к а х у р нал/
. \ Конфигурации
Основная конфиг
pbi Не,
opiinpoeariiiii
\ ИСПСЛЬЮев
неинеи и ену~ренкеп се"
правил трансляции £• кач
ае^огаполненпе
о! Ethernet Adaptsi ^
I ^z™::: i i..
iiqabit Ethernet NIC
• [Моим
Применить ! i О-менить
Рис.5.48. Окно Автозаполнение
Первоначально параметры заполняются автоматически при первом запуске программы
ViPNet Координатор [Монитор]. Если эти параметры были изменены в процессе работы или в
конфигурации добавлен (отключен) сетевой интерфейс, то параметры автозаполнения можно
вновь установить автоматически, нажав кнопку Настроить автоматически.
После автоматической настройки кнопка Настроить автоматически будет недоступна до
тех пор пока не изменятся какие-либо настройки. Если автонастройки произведены с помощью
кнопки Настроить автоматически, то для сохранения настроек нужно нажать кнопку
Применить.
Автоматическая настройка параметров автозаполнения произойдет только в случае
выполнения следующих условий - количество сетевых интерфейсов на ViPNet Координатор
[Монитор] равно двум и на каждом сетевом интерфейсе зарегистрировано по одному адресу,
один из которых частный, другой реальный.
255
В этом случае параметры автозаполнения в окне Автозаполнение следующие:
опция Использовать автозаполнение включена;
сетевой интерфейс с частным адресом будет считаться внутренним и отобразится в
разделе Внутренняя сеть:
- в поле Сетевой интерфейс отобразится системное имя внутреннего
интерфейса,
- в поле IP-адреса локальной сети отобразится диапазон адресов
соответствующий IP-адресу и маске внутренней сети.
сетевой интерфейс с реальным адресом будет считаться внешним и отобразится в
разделе Внешняя сеть:
- в поле Сетевой интерфейс отобразится системное имя внешнего
интерфейса,
- в поле IP-адрес отобразится адрес внешнего сетевого интерфейса.
Если указанные выше условия не выполнены (т.е. конфигурация компьютера
нестандартная), то автонастройки не произведутся, опция Использовать автозаполнение
будет отключена, а поля всех остальных параметров останутся пустыми.
Если при первом запуске программы ViPNet Координатор [Монитор] автонастройки не
произвелись, то при создании самого первого правила трансляции в окне Трансляция
адресов, появится сообщение об этом с предложением произвести настройки вручную.
Если после нажатия кнопки Настроить автоматически программа не смогла произвести
автонастройки, то также появится соответствующее сообщение и будет предложено
произвести настройки вручную (Рис.5.49).
J i a-»a eij= а=тога_г --*-< = - азто it --с ti-o--'—, д" ;oo-o' -»аоот=» с
-Г ~оаЗ/ ~i 1ТРЙ-г-:_ rt.jHfrE jr. > -Tr = e_ '-- j -iCT_ T- _iJ1 tTJ: аЗТГСЭ'и"
Рис.5.49. Предложение произвести настройки вручную
Ручные настройки окна Автозаполнение могут быть произведены, если включена опция
Использовать автозаполнение.
В разделе Внутренняя сеть:
- в поле Сетевой интерфейс выбрать сетевой интерфейс, обеспечивающий
соединение с внутренней сетью,
Замечание; Выпадающий список поля Сетевой интерфейс отображает все сетевые
интерфейсы компьютера, распознанные программой ViPNet Координатор [Монитор].
- в поле IP-адреса локальной сети отобразится диапазон адресов,
соответствующих IP-адресу и маске внутренней сети. При необходимости
можно вручную добавлять или изменять адреса внутренней сети при помощи
кнопок Добавить..., Изменить... и Удалить.
В разделе Внешняя сеть:
- в поле Сетевой интерфейс выбрать сетевой интерфейс, обеспечивающий
соединение с внешней сетью,
- в поле IP-адрес отобразится адрес внешнего сетевого интерфейса.
При настройке следует учитывать следующие правила:
Если на сетевом интерфейсе, который выбран в поле Сетевой интерфейс для
внутренней или внешней сети, зарегистрировано более одного IP-адреса, то поле адресов
останется пустым.
256
При попытке выбора в обоих полях Сетевой интерфейс (для внутренней и внешней
сети) одного и того же сетевого интерфейса в неактивном поле Сетевой интерфейс
автоматически выберется пункт Не выбран.
После задания всех параметров для сохранения необходимо нажать кнопку Применить.
Если настройки выполнены корректно, то они сохранятся, иначе - появится сообщение о
некорректности настроек с указанием возможной причины. Для отмены настроек нажать кнопку
Отменить.
Задание:
Необходимо настроить работу в защищенном режиме двух компьютеров без ПО ViPNet,
расположенных в разных локальных сетях (Рис.5.50).
Условия построения защищенной связи:
В состав VPN-сети входят следующие компоненты (Рис.5.50):
VPN-подсеть Главного Офиса - локальная сеть 192.168.1 .х:
Администратор защищенной сети;
Сервер-Маршрутизатор [Координатор-1];
Клиенты (от 1-1 до 1-N);
Незащищенный компьютер-1.
VPN-подсеть Филиала - локальная сеть 192.168.2.x:
Сервер-Маршрутизатор [Координатор-2];
Клиенты (от 2-1 до 2-М);
Незащищенный компьютер-2.
На компьютерах с ПО ViPNet [Координатор] должно быть установлено число сетевых
карт, соответствующих числу разделяемых сетей. Сами координаторы будут выполнять роли
шлюзов, каждый для своей сети. На каждой сетевой карте Координаторов должна быть
настроена политика безопасности:
На внешних сетевых интерфейсах Координатора-1 и Координатора-2 установить 1 режим
безопасности (блокировать открытый IP-трафик).
На внутренних сетевых интерфейсах Координатора-1 и Координатора-2 установить 2
режим безопасности (разрешить зарегистрированный открытый IP-трафик).
Сетевые Узлы (Координаторы и Клиенты) локальных сетей должны быть связаны друг с
другом на уровне Типов Коллективов (в ЦУСе).
Для туннелирования незащищенных компьютеров (открытых ресурсов) данной VPN-сети
Координатор-1 и Координатор-2 необходимо зарегистрировать в ЦУСе в Прикладной Задаче
Туннель и выдать каждому из Координаторов необходимое количество туннельных лицензий (в
соответствии сданным заданием по одной лицензии).
Для надежной работы локальных сетей необходимо осуществить настройку следующих
параметров:
о Проверить часовой пояс, дату и время на компьютерах (необходимо внимательно
отнестись к настройкам данных параметров!).
о Задать IP-адреса и IP-адреса шлюзов по умолчанию для открытых ресурсов, на которых не
будет устанавливаться ПО ViPNet, но которые входят в состав локальной сети.
В качестве IP-адресов шлюза по умолчанию для Клиентов указываются IP-адреса
внутренних сетевых интерфейсов компьютеров, на которых будут установлены
соответствующие Координаторы:
в локальной сети Главного офиса IP-адрес шлюза по умолчанию - 192.168.1.1 (IP-
адрес внутреннего сетевого интерфейса Координатора-1);
в локальной сети Филиала IP-адрес шлюза по умолчанию - 192.168.2.1 (IP-адрес
внутреннего сетевого интерфейса Координатора-2).
257
АП [Администратор]
АП [Клиент1-1]
АП [Клиент-!-N]
192.168.1.N
Незащищенный
компьютер-1
СМ
[Координатор-1]
| 192.168.1.1
I 2 режим
г
Только R1 режим
ЗАЩИЩЕННЫЙ J 2002001 1
ТРАФИК
Эмуляция
Internet
L
VPN-подсеть
Главного офиса
VPN-подсеть
Филиала
Незащищенный
компьютер-2
'"Т"""""" '""только""""|
ЗАЩИЩЕННЫЙ 1
ТРАФИК I 200-200-1-2
| 1 режим
[Координатор-2]
2 режим
192.168.2.1
192.168.2.3 |
8 *. 8 I
192.168.2.М
АП [Клиент2-1]
АП [Клиент2-М]
Рис.5.50. Защищенная VPN-сеть организации
На компьютерах, на которых будет установлено ПО ViPNet [Координатор], в соответствии
со схемой, изображенной на Рис.5.50 нужно сделать следующие настройки:
Координатор-1 должен быть установлен на двухкарточном компьютере с IP-адресами:
«внешняя» сетевая карта - IP-адрес 200.200.1.1, маска подсети 255.255.255.0;
«внутренняя» сетевая карта - IP-адрес 192.168.1.1, маска подсети 255.255.255.0.
Координатор-2 должен быть установлен на двухкарточном компьютере с IP-адресами:
«внешняя» сетевая карта - IP-адрес 200.200.1.2, маска подсети 255.255.255.0;
«внутренняя» сетевая карта - IP-адрес 192.168.2.1, маска подсети 255.255.255.0.
IP-адреса шлюзов по умолчанию для Координатора-1 и Координатора-2 настраиваются
Рис.5.50следующим образом:
258
на внутренних интерфейсах Координатора-1 и Координатора-2 не требуется указывать
IP-адрес шлюза по умолчанию;
на внешнем интерфейсе Координатора-1 в качестве IP-адреса шлюза по умолчанию
указывается IP-адрес внешнего интерфейса Координатора-2 - это 200.200.1.2;
на внешнем интерфейсе Координатора-2 в качестве IP-адреса шлюза по умолчанию
указывается IP-адрес внешнего интерфейса Координатора-1 - это 200.200.1.1.
Аналогичным образом настраиваются IP-адреса и IP-адреса шлюзов по умолчанию
открытых ресурсов, на которых не будет устанавливаться ПО ViPNet:
Незащищенный компьютер-1 локальной сети Главного офиса:
IP-адрес- 192.168.1.3;
маска подсети - 255.255.255.0;
IP-адрес шлюза по умолчанию - 192.168.1.1 (IP-адрес внутреннего сетевого интерфейса
Координатора-1).
Незащищенный компьютер-2 локальной сети Филиала:
IP-адрес - 192.168.2.2;
маска подсети - 255.255.255.0;
IP-адрес шлюза по умолчанию - 192.168.2.1 (IP-адрес внутреннего сетевого интерфейса
Координатора-2).
Развертывание VPN-сети и настройка СУ для совместной работы
После того, как оба Координатора установлены, для развертывания защищенной сети
необходимо установить ПО ViPNet [Клиент] на компьютеры с IP-адресами в соответствии с
Рис.5.50.
В результате есть защищенная сеть, в которой имеются два защищенных сегмента -
VPN-сеть Главного офиса и VPN-сеть Филиала.
В каждом защищенном сегменте имеется по одному открытому ресурсу:
о незащищенный компьютер с IP-адресом 192.168.1.3 в сегменте Главного Офиса;
о незащищенный компьютер с IP-адресом 192.168.2.2 в сегменте Филиала.
Проверить наличие защищенной связи между узлами VPN-сети можно, если, находясь в
окне Защищенная сеть, вызвать из контекстного меню опцию Проверить соединение (либо
кнопкой F5). Также можно обменяться письмами по Деловой Почте или файлами по
Файловому обмену.
Для того, чтобы установить защищенную связь между узлами различных сегментов
защищенной сети Координатор-1 и Координатор-2 должны знать IP-адреса друг друга. Для
этого:
В окне Защищенная сеть программы Монитор Координатора-1 два раза кликнуть
мышкой на записи «Координатор-2» и в открывшемся окне Правила доступа во
вкладке IP-адреса добавить оба IP-адреса Координатора-2, т.е. 200.200.1.2 и
192.168.2.1.
В окне Защищенная сеть программы Монитор Координатора-2 два раза кликнуть
мышкой на записи «Координатор-1» и в открывшемся окне Правила доступа во
вкладке IP-адреса добавить оба IP-адреса Координатора-1, т.е. 200.200.1.1 и
192.168.1.1.
Замечание: Как правило, все защищенные узлы сети ViPNet обмениваются
информацией друг с другом по защищенной сети. Поэтому ручная настройка IP-адресов
требуется крайне редко.
Клиенты из разных сегментов защищенной сети должны знать IP-адреса «чужих»
Координаторов. Для этого:
259
В окне Защищенная сеть программы Монитор Клиентов из сети Главного офиса два
раза кликнуть мышкой на записи «Координатор-2» и в открывшемся окне Правила доступа во
вкладке IP-адреса добавить оба IP-адреса Координатора-2, т.е. 200.200.1.2 и 192.168.2.1.
В окне Защищенная сеть программы Монитор Клиентов из сети Филиала два раза
кликнуть мышкой на записи «Координатор-1» и в открывшемся окне Правила доступа во
вкладке IP-адреса добавить оба IP-адреса Координатора-1, т.е. 200.200.1.1 и 192.168.1.1.
Поскольку Клиенты работают с внешней сетью через свои Координаторы, то необходимо
настроить маршрутизацию пакетов ViPNet-Клиентов в соответствии с режимом Работа через
межсетевой экран. Для этого в окне Защищенная сеть программы Монитор Клиентов
выбрать окно Настройки, поставить «галочку» в строке Использовать межсетевой экран и,
в выпадающем меню Тип межсетевого экрана выбрать ViPNet-координатор, а в опции
ViPNet-координатор выбрать Координатор своего сегмента сети (для Главного Офиса - это
СМ Координатор-1, для Филиала - СМ Координатор-2).
Внимание! ПО ViPNet не исправляет ошибки в настройках локальных сетей! Если без
ПО ViPNet локальная сеть не работает, защищенная связь невозможна.
Перед проверкой соединения в защищенной сети необходимо проверить работу самой
локальной сети - для этого следует все Клиенты и Координаторы сети поставить в пятый
режим безопасности и проверить в этом случае работоспособность сети (как правило,
командой ping). Только после этого следует проверять настройки работы в защищенной сети
ViPNet (также командой ping). После того, как настроены все АП, необходимо проверить
установление соединения между всеми Клиентами и Координаторами, которые находятся в
разных сегментах VPN-сети.
Настройка туннелирования
ViPNet-Координатор выполняет шифрование и инкапсуляцию в UDP-формат
(туннелирование) открытого трафика туннелируемого (открытого) ресурса, который должен
быть передан другим ViPNet-узлам (схема Полутуннеля) или открытым компьютерам,
находящимся за другими Координаторами (схема Туннеля). При этом передача закрытого
трафика производится от имени адреса интерфейса Координатора, с которого уходит этот
трафик, то есть выполняется трансляция адресов.
В данном случае по схеме Туннеля взаимодействуют:
Незащищенный компьютер-1 (192.168.1.3) и Незащищенный компьютер-2 (192.168.2.2) по
цепочке - незащищенный компьютер-1 -> СМ Координатор-1 —> СМ Координатор-2 ->
Незащищенный компьютер-2 (и в обратную сторону).
Настройка Координаторов VPN-подсетей в программе «Монитор»:
В программе ViPNet [Монитор] Координаторов необходимо добавить IP-адреса «своих»
туннелируемых ресурсов. Для этого нужно в окне Настройки нажать большую кнопку /Р-
адреса для туннелирования (Рис.5.51). В открывшемся окне нажать кнопку Добавить и
задать IP-адрес своего открытого туннелируемого ресурса - 192.168.1.3 и 192.168.2.2
соответственно для Координатора-1 и Координатора-2 (пример на Рис.5.52). Нажать кнопку ОК
и затем кнопку Применить в нижней части окна Настройки
Необходимо добавить IP-адреса «чужих» туннелируемых ресурсов - в окне Защищенная
сеть выбрать фильтр партнерского Координатора, два раза кликнуть «мышкой» на этом
фильтре, в открывшемся окне Правила доступа в закладке Туннель нажать кнопку
Добавить и задать IP-адрес «чужого» открытого ресурса, туннелируемого этим партнерским
Координатором - 192.168.2.2 и 192.168.1.3 соответственно для Координатора-2 и
Координатора-1.
260
Рис.5.51. Кнопка IP-адреса для туннелирования
X
I Диапазоны
:татических IP-адресое Диапазоны виртуальных 1Р-адре.сов
\ ОК ;
итмена ;
| Изменить... |
j Добавить... 1;
i Удалить |
Рис.5.52. IP-адреса туннелируемых ресурсов
•щие IP-адреса Межсетевой жран Туннель Инфо
'Использовать IP-адреса для туннелирования:
Реальные IP-адреса Виртуальные IP-адреса
] Добаьить... | (Изменить... | j Удалить
! j Использовать виртуапьные IP-адреса
i ч Не туннелировать IP-адреса., входящие в подсеть Вашего
l - -! компьютера
I j Не туннелировать следующие IP-адреса;
OK j | 'Отмена j j Применить I j (.правка
Рис.5.53. Закладка Туннель в Правилах доступа фильтра СМ Координатор-2
После этого необходимо настроить политику безопасности на сетевых интерфейсах
Координаторов - на внешних сетевых интерфейсах Координаторов выбрать режим 1. Для
этого в окне Сетевые интерфейсы Координаторов выбрать тот интерфейс, который является
внешним и дважды щелкнуть «мышкой» по записи, в появившемся окне выбрать вкладку
Режим и в выпадающем меню указать первый режим безопасности (Рис.5.54).
261
j" ViPNet Coordinator
CeTtet ic- интерфейсы j IP-адреса 1
Тип | Режим j Антиспуфинг [
H - Л Защищенная сеть
Избранное
f ^ Открытая сеть
0 ''Mware Accelerated AMD PCNet Adapter 192.168.0.3:25...
Внешний 1 Допустим...
Внутренний 3
Ш% Сетевые интерфейсы
В pJ Трансляция адресов
Общие j Тип 'Режим | Антиспуфинг |
Автозаполнение
Ei Блокированные IP-пакеты
Режим интерфейса, |ЬыШЩ|Ш||ШЯШд j
Настройка
Статистика IP-пакетов
Тип бумеранга: | , |
:-] Г1* Настройки
;:':::) Дополнительно
О Для фильтров
О Обнаружение атак
Блокировать весь IP-трафик, несмотря на
разрешающие сетевые фильтры.
Н ^ Журнал IP-пакетов
Настройка журнала
В J Конфигурации
Основная конфигурация
| OK j Отмена j *\г«.--п \ Справка \
: 1 :
« J'/j .^...М J
Рис.5.54. Настройка режима безопасности сетевого интерфейса
На внутренних сетевых интерфейсах Координаторов следует выбрать режим 2. Для этого
в том же окне Сетевые интерфейсы выбрать внутренние сетевые интерфейсы
Координаторов, дважды щелкнуть «мышкой» по записи, в появившемся окне выбрать вкладку
Режим и в выпадающем меню указать второй режим безопасности.
После защиты самих Координаторов необходимо разрешить доступ к ним от
незащищенных (туннелируемых) ресурсов. Для этого необходимо выбрать окно Открытая
сеть, в правой части окна выбрать фильтр Транзитные IP-пакеты и кликнуть правой кнопкой
«мыши» на этом фильтре и далее выбрать меню Правила доступа Создать новое
правило доступа... (либо просто нажать клавишу INSJ. В появившемся окне задать IP-
адреса 192.168.1.3 и 192.168.2.2 для пропуска трафика в транзитном направлении (пример на
Рис.5.55).
Имя правила: | < 192.1 ьё.1.3X192.1 ьы.2.<
Р Включить правило
г IP-адреса отправителя
192.168. &3
.*1
Добавить... Изменить... Удалить
в сетевые интерфейсь
IP-адреса получателя
Добавить... j Изменить...
\ШШ Бее сетевые интерфейсы
ОК
Отмена \ Справка
Рис.5.55. Настройка фильтра Открытой сети
262
Наименование
Дейс... Порт.,. Порт... Прот... Расп...
Открытая сеть
Широковещательные IP-пакеты
0 Сервис имён NETBIOS ■- П.. 137
0 Сервис датаграмм NETBIOS П.. 138
0 DHCP сервер П.. 67
0 DHCP клиент П.. 68
UDP
UDP
UDP
Локальные входящие IP-пакеты
- 0 Все локальные входящие. IP-пакеты
0 DHCP сервер П.. 67
U DP
Локальные исходящие IP-пакеты
0 DHCP клиент , П.
Транзитные IP-пакеты
Рис.5.56. Фильтр «своего» открытого ресурса на СМ Координатор-1
После этого в окне Открытая сеть ViPNet [Координатор] [Монитор] появится запись,
показанная на Рис.5.56.
При желании можно добавить фильтр протоколов для транзитного фильтра, например,
для пропуска только протокола ICMP.
Замечание: Настройки Координаторов (добавление IP-адресов «своих» и «чужих»
туннелируемых ресурсов) можно сделать в ЦУСе, если в меню Службы -> Групповая
регистрация СУ в ПЗ -> Сервер IP-адресов задать IP-адреса туннелируемых ресурсов в
формате:
для Координатора-1: S:192.168.1.3.
для Координатора-2: S:192.168.2.2.
После проведенных настроек необходимо проверить работоспособность Туннеля. Для
этого следует выполнить команду удаленной проверки соединения между Незащищенным
компьютером-1 и Незащищенным компьютером-2 - из сегмента Главного Офиса с
Незащищенного компьютера-1 с IP-адресом 192.168.1.3 послать команду ping 192.168.2.2 на
Незащищенный компьютер-2, из сегмента Филиала с Незащищенного компьютера-2 с IP-
адресом 192.168.2.2 послать команду ping 192.168.1.3 на Незащищенный компьютер-1.
Открытые компьютеры будут доступны друг другу, если эхо-пакеты команды ping проходят
через открытую сеть до компьютера, пославшего пакеты.
Контроль работы Туннеля необходимо произвести посредством просмотра Журнала IP-
пакетов, создаваемого для каждого сетевого интерфейса Координаторов. Следует выяснить,
какие пакеты, в каком направлении, в каком виде идут через Координаторы при связи двух
незащищенных компьютеров.
Путем анализа записей, которые ведутся в Журнале IP-пакетов можно увидеть
информацию обо всех входящих и исходящих пакетах, а также выявить проблемы, которые
возникают при передаче пакетов.
На Рис.5.57 представлен Журнал IP-пакетов внешнего интерфейса Координатора-2
(200.200.1.2) и, в частности, показана подробная информация о входящем зашифрованном
пакете, который Координатор-2 получил от Координатора-1, причем этот пакет содержит
внутри себя пакет от туннелируемого Координатором-1 ресурса с IP-адресом 192.168.1.3 для
туннелируемого Координатором-2 ресурсу с IP-адресом 192.168.2.2.
На Рис.5.58 представлен Журнал IP-пакетов внутреннего интерфейса Координатора-2
(192.168.2.1) и, в частности, показана подробная информация об исходящем открытом пакете,
который Координатор-2, получив от Координатора-1 в зашифрованном виде, расшифровал и
передает своему туннелируемому ресурсу с IP-адресом 192.168.2.2 от туннелируемого
Координатором-1 ресурса с IP-адресом 192.168.1.3.
По Журналам IP-пакетов видно, что в первом случае пакеты идут в зашифрованном
виде, т.к. связь Координатора-1 с Координатором-2 является защищенной, а во втором случае
263
- пакеты идут в незашифрованном виде, т.к. связь внутри сегмента сети Координатора-2 со
своим туннелируемым ресурсом незащищенная.
Файл Инструменты Вид Справка
#1 с$? ср J ^
IP-пакет Имя Поиск
юьить Справка
Начало инте..
^'12 мая ... 12 мая .
192.168.1.3 COMPUTER-1
СМ Координатор-1
40-3ашифрованный IP-пакет
''■j 12 мая .
^ 12 мая .
192.16S. 1.3 COMPUTER-1
192.168.1.3 COMPUTER -1
СМ Координатор-1
СМ Координатор-1
ICMP
ICMP
40--:ашифрованный IP-пакет
^-Зашифрованный IP-пакет
Наименование
Направление
Крипто-прмзнак
Широковещательный признак:
Начало интервала
Конец интервала
Местный IP-адрес
Внешний IP-адрес
Идентификатор местного АП
Идентификатор внешнего АП
Имя адресата
Местный порт
Внешний порт
Протокол
Ethernet-протокол
Событие
Счетчик
Размер
Сетевой адаптер
Номера ключей
Входящий
Зашифрованный
Обычный
12 мая 2006 г. 15:51:27
12 мая 2006 г. 16:33:51
192.168.2.2
192.168.1.3 COMPUTER-1
1AUE000B0
1А0Ей00А0
СМ Координатор-1
8-Echo
1 - ICMP - Internet Control Mes-;-;
SOOh
40 - Зашифрованный IP-пакет
1 - 3Com Ether I ml, XL 10/100 PCI For Complete PC Management NIC
Рис.5.57.Журнал IP-пакетов внешнего интерфейса Координатора-2 (200.200.1.2)
ч. чч
s ,4S - - 4- чЛ" Ж^-Ч Ч\ ' Ч' ' ~'ч~ч***»<<
■> г; к > р-л»
J|JJli|||i
| Файл Инструменты Вид С
правка
1 М
\ IP-пакет Имя Пот
j lj
к Обновить
Справка
j Начало инте.,, Конец...
IP адрес
Имя адресата М..
В... Прот
окол Событие
;|V 4м 12 мая ... 12 мая ...
192.168.2.2
8
0 ICMP
60-Не-:»зш1ифроБанный IP-пакет
| 4—12 моя ... 12 мая ...
192,168,2.2
6
0 ICMP
60-Не_-:ашиф|рОБанный IP-пакет
| -Ь;-'12 мая ... 12 мая ...
192.163.2.2
0 ICMP
бО-Незашифрооанный IP-пакет v
| Наименование
Значение
! Направление
Исходящий
| Крипто-признак
Открытый
1 Широковещательный ПрИ:;НаГ
Обычный
! Начало интервала
12 над :-0иб г- 1
1 Конец интервала
12 мая 2006 г. 16:31
12
! Местный IP-адрес
192.168.1.3
\ Внешний 1Р-адрес
1 J- 1»
! Идентификатор мс-стн-.г,:. ДП
1А0Е000А0
j Идентификатор внешнего АП
1 Имя адресата
1 Местный порт
e-Echo
: Внешний порт
: ПРОТОКОЛ
1 - ICMP - Internet Ci
.ntrol Мл ".=,.-1.5
1 Er.hernet-пропжоп
SOOh
- Событие
60 - НезашифриЕ-анн
ыи IP-пак.ет
! счетчик
289
s Размер
21 386
; Сетевой адаптер
2 - Realtek RTL3139/:
; 1 fix Family Fa
-.t Ethernet NIC
; Номера ключей
и и
! Ч
Разие
к 21 366 бант
Запись: 1 Всего: 34
Рис.5.58. Журнал IP-пакетов внутреннего интерфейса Координатора-2 (192.168.2.1)
Замечание: Если в окне Правила доступа в закладке Туннель для Координатора-2
поставить галочку перед опцией Использовать виртуальные IP-адреса, то Координатор-1
будет «видеть» чужой туннелируемый (Координатором-2) ресурс с реальным IP-адресом
192.168.2.2 под виртуальным адресом 12.0.0.2. В этом случае свой туннелируемый
(Координатором-1) ресурс с реальным IP-адресом 192.168.1.3 должен будет отправлять пакеты
чужому туннелируемому (Координатором-2) ресурсу по виртуальному IP-адресу 12.0.0.2.
Например, для проверки соединения в этом случае на компьютере с IP-адресом
192.168.1.3 выполнить команду ping 12.0.0.2.
264
Настройка полутуннеля
Полутуннелем называется взаимодействие между открытым туннелируемым
компьютером и защищенным компьютером, которые находятся в разных VPN-подсетях одной
защищенной сети.
Например, по схеме Полутуннеля взаимодействуют (Рис.5.50):
о Клиент 1-N (192.168.1 .N) и Незащищенный компьютер-2 (192.168.2.2) по цепочке:
Клиент 1-N -> СМ Координатор-1 -» СМ Координатор-2 —> Незащищенный компьютер-2;
о Незащищенный компьютер-1 (192.168.1.3) и Клиент2-М (192.168.2.М) по цепочке:
Незащищенный компьютер-1 —> СМ Координатор-1 -> СМ Координатор-2 -> Клиент2-М.
В этом случае трафик от Открытого компьютера до туннелирующего этот компьютер
Координатора идет в открытом виде, а дальше в шифрованном.
Настройки Координаторов произведены на предыдущем шаге. Настройки Клиентов
производятся следующим образом - в программе ViPNet [Монитор] Клиентов следует
добавить IP-адреса открытых ресурсов, туннелируемых «чужим» Координатором. Для этого в
правой части окна Защищенная сеть Клиента выбрать фильтр партнерского Координатора,
два раза кликнуть «мышкой» на этом фильтре, в открывшемся окне Правила доступа в
закладке Туннель нажать кнопку Добавить и задать IP-адрес открытого ресурса,
туннелируемого Координатором - 192.168.1.3 или 192.168.2.2 для Клиента Филиала и для
Клиента Офиса. Далее нажать Применить и ОК.
Замечание: Поскольку некоторые Клиенты находятся с Незащищенными компьютерами
в одной VPN-подсети, то эти Клиенты будет взаимодействовать с Незащищенными
компьютерами напрямую без шифрования трафика.
После настроек ViPNet-Клиентов необходимо проверить работоспособность
Полутуннеля. Для этого следует выполнить команду удаленной проверки соединения (ping)
между одним из незащищенных компьютеров VPN-подсети и защищенным компьютером
другой VPN-подсети. То же самое следует проделать и с другой стороны.
Открытые компьютеры будут доступны ViPNet-Клиентам, если эхо-пакеты команды ping
проходят через открытую сеть до компьютера, пославшего пакеты.
Путем анализа записей, которые ведутся в Журнале IP-пакетов можно увидеть
информацию обо всех входящих и исходящих пакетах, а также выявить проблемы, которые
возникают при передаче пакетов.
Замечание: Если Координатор «видит» Клиентов, находящихся в «чужом» сегменте, под
виртуальными адресами, то свои туннелируемые (данным Координатором) ресурсы должны
отправлять пакеты таким Клиентам по соответствующему виртуальному IP-адресу.
Контрольные вопросы
1. Какие основные функции выполняет ViPNet Координатор?
2. Какие настройки необходимо произвести на компьютере перед тем, как устанавливать
ViPNet Координатор?
3. В чем заключается первичная инициализация справочно-ключевой информации
пользователя ViPNet Координатор?
4. Какие режимы авторизации пользователя возможны в ПО ViPNet версии 3.0?
5. В чем отличие Мастера инициализации при первичной инициализации справочно-ключевой
информации пользователя ViPNet Координатор и пользователя ViPNet Клиент?
265
6. Что такое активные сетевые интерфейсы? Как выбрать активные сетевые интерфейсы?
7. Что происходит на сетевом интерфейсе при включенном антиспуфинге?
8. Какие настройки необходимо сделать для того, чтобы ViPNet Координатор мог
использоваться в качестве сервера Открытого Интернета?
9. Какие настройки необходимо произвести на Координатор, если он будет использоваться
для туннелирования трафика незащищенных узлов локальной сети?
10. Что такое метрика? Для чего она используется? Как задается?
11. Каким образом задать режимы безопасности на сетевых интерфейсах?
12. Через какие типы МЭ и другие NAT-устройства может работать Координатор?
13. Какие виды инкапсуляции используются для создания защищенных соединений между
узлами ViPNet-сети?
14. Какие типы сетевых фильтров можно настроить для Открытой сети?
15. Каким образом добавить правило трансляции IP-адресов?
16. При выполнении каких условий произойдет автоматическая настройка параметров
автозаполнения?
266
ТЕХНОЛОГИЯ ПОСТРОЕНИЯ ВИРТУАЛЬНЫХ
ЗАЩИЩЕННЫХ СЕТЕЙ ViPNet версии 3.0
WINDOWS+LINUX: практикум
Учебно-методическое пособие
Составители:
А.О.Чефранова, А.Г. Стародубов, А.П. Горбачук
Издательство "11 формат"
115230, г. Москва, Варшавское шоссе, д. 36
Тел.: (495) 975-78-56
E-mail: nso@mail.ru
Подписано в печать 14.08.2008.
Объем - 33,38 п.л. Формат 60x90/8.
Тираж 500 экз. Заказ 165
267