Ответы на вопросы vipnet. Ответы на вопросы. 1. Серверного приложения цус клиентского приложения цус сервера базы данных sql удостоверяющего и ключевого центра
Скачать 20.13 Kb.
|
Практикум 1 1. Серверного приложения ЦУС; клиентского приложения ЦУС; сервера базы данных SQL; удостоверяющего и ключевого центра 2. Управление структурой защищённой сети (создание, удаление, создание связей между узлами и т.д.) 3. Выдача ключей подписей и паролей 4. Шлюз, маршрутизация, туннелированные, шифрование, межсетевой экран 5. шифрование-расшифрование траффика, персональный межсетевой экран (доп. Мессенджер, деловая почта, обмен файлами) 6. Дополнительный компонент в линейке удостоверяющего центра. Служит посредником между внутренними и внешними пользователями в сети VipNet и самим удостоверяющим центром. Формирование запроса на сертификаты. 7. Для публикации данных в открытых источниках о сертификатах пользователей 8. Централизованное управление фаерволами на клиентах и координаторах 9. Мониторинг состояния работы (здоровья) VipNet устройств (работает по SNMP) 10. УКЦ 11. Серверный, клиентский, СУБД 12. Схемы размещения могут быть разными. Либо все компоненты на одной машине, либо все разнесены. Главное, чтобы был обеспечен доверенный канал передачи данных 13. Модуль, который ведёт контроль сетевой активности приложений. 14. Это права, которые дают пользователю возможность изменять настройки ПО ViPNet, установленного на сетевом узле; Задаются администратором ViPNet в клиентском приложении ЦУС в свойствах ролей. 15. VPN Client для мобильных устройств; VPN-клиент; CryptoService; Деловая почта. 16. Для удобства любому СУ в разделе Защищенная сеть можно задать любой псевдоним. 17. информация о структуре и настройках сети ViPNet 18. C:\Users\Student\AppData\Roaming\InfoTeCS\ViPNet Administrator 19. Вручную и с помощью мастера 20. Резервные копии 21. C:\ProgramData\Infotecs\ViPNet Administrator\KC\restore 22. Список резервных копий 23. Да 24. резервная копия конфигурации сети (файл *.rp); копия лицензионного файла; копию папки с контейнерами ключей администратора УКЦ; список учетных записей администраторов ЦУСа и УКЦ; справочники и ключи ******** Перед началом миграции ПО ViPNet Administrator с одного компьютера на другой при любом сценарии из рассмотренных в этом документе подготовьте следующие данные: Резервную копию конфигурации сети (файл *.rp), в состав которой входит: Резервная копия базы данных ViPNet Administrator; Копия лицензионного файла (infotecs.reg или *.itcslic); Копия папки C:\ProgramData\Infotecs\ViPNet Administrator\KC; Копию архива, содержащего список всех резервных копий, которые создавались при эксплуатации сети (файл rpts_50.stg); Файл архива находится в папке: C:\ProgramData\InfoTeCS\ViPNet Administrator\KC\Restore Копию лицензионного файла (infotecs.reg или*.itcslic). Копию папки с контейнерами ключей администратора УКЦ: C:\Users\<имя учетной записи локального администратора Windows, от лица которого была произведена установка УКЦ>\AppData\Roaming\Infotecs\ViPNetAdministrator Список учетных записей администраторов ЦУСа и УКЦ, с помощью которых осуществляется аутентификация в указанных программах, и пароли к каждой из них; Справочники и ключи, которые позволят восстановить работоспособность ПО ViPNet Client. 25. C:\Users\<имя учетной записи локального администратора Windows, от лица которого была произведена установка УКЦ>\AppData\Roaming\Infotecs\ViPNetAdministrator 26. 27. ЦУС, функция создания отчетов о структуре сети. 28. Система обнаружения вторжений. Отдельный продукт, не связан со структурой защищенной сети ViPNet. 29. Назначается роль программного координатора (по умолчанию). 30. VPN-клиент, деловая почта, обмен сообщениями и файлами 31. Роль — это некий набор функций сетевого узла, который описывает или отвечает на вопрос, что этот узел из себя представляет. Сетевая группа это объединенный под одним именем набор сетевых узлом, объединенный для удобства администрирования. Служебный конверт – шифрованная информация, для передачи по шифрованному каналу. (МФТП) Сетевой фильтр – правила межсетевого экрана, которые либо пропускают, либо блокируют траффик. 32. Отвечает за анализ и шифрование-расшифровка траффика 33. Администратор сетевого узла имеет возможность изменять большее числа настроек за счет привилегированного режима. (нужно ввести дополнительный пароль администратора, который задаётся в УКЦ в разделе «Сетевые узлы») 34. Отображаются все созданные связи с сетевыми узлами 35. В ЦУС, раздел «информация о лицензии». Практикум 2 Заходим в ЦУС – клиенты – создаёт клиента с каким-либо названием, выбираем координатор. Создаём связи с узлами, либо связываем с пользователями. После этого создаём справочники с пользователями, создаём ключи в УКЦ (выделить всех – передать в ЦУС – отправить), клиенту выдать дистрибутив. мастер-ключ ключей обмена; мастер-ключ ключей защиты; мастер-ключ персональных ключей; Нужны для идентификации пользователя Для удобства администрирования (работа со связями, для задания паролей администратора) Связи между узлами дают просто видимость в VipNet клиенте в разделе защищённая сеть, а связи между пользователями дают возможность обмениваться в деловой почте Утрата доверия Увольнение сотрудника, вскрытие сейфа, явная компрометация. При смене имени – нет, при смене связей сетевых узлов – да, при изменении связи с пользователями – да Пользователь должен отключить рабочее место от сети и докладывает администратору. Администратор – проводит процедуру компрометации (скомпрометировать узел, применяем новый вариант ключей с высыланием и применением. У пользователя должен быть файл РНПК) с дальнейшим расследованием инцидента. Смена мастер ключей своей сети, формируем новые дистрибутивы сети. Вся сеть считается скомпрометированной. Справочники, ключи пользователя, ключи узла, лицензия Из пред Персональный ключ, хэш пароля, всё что связано с сертификатом (ключ подписи + сертификат, резервный набор Структура сети, связи узлы Ключи обмена, ключи защиты, списки отозванных сертификатов своей сети доверенной Все эти группы используются для удобства создания правил фильтров безопасности. Да, для этого нужно работать в режиме администратора MFTP защищённый канал для передачи и организации шифрованного канала передачи служебных (высылаемых из ЦУС, либо политик) и прикладных транспортных конвертов (почта, обновления) Если что-то в составе ключей узла или в составе ключей пользователя меняется – необходимо создать ключи узла и пользователя Нет, не может При помощи файла обновления .lzh через ЦУС (ЦУС – обновление программного обеспечения сети VipNet) Практикум 3 Симметричный(индивидуальный) и ассиметричный межсетевой мастер-ключ Нет, не требуется Необходимо согласовывать все изменения. Необходимо связывать и пользователей, и сетевых узлов. Нет, не требуется. Либо работаем с симметричным шифрованием, либо с ассиметричным. Два админа должны договориться друг с другом (кто будет инициатором, а кто будет принимающим). Выбираются из 2-х сетей администраторов, кто будет инициатором межсетевого взаимодействия. Формирует файл с информацией о сетевых узлах lzh, в УКЦ формирует сетевой мастер-ключ. Эту информацию передает администратору 2-й сети. Администратор 2й сети импортирует lzh и мастер-ключи. Затем администратор 2-й сети выгружает свой lzh и передаёт его администратору 1й сети. Затем администраторы создают и рассылают справочники на свои узлы и обновления, межсетевое взаимодействие успешно создаётся. Для формирования межсетевого канала. Он нужен для обмена служебными и прикладными транспортными конвертами. 256 бит симметричный ключ Ассиметричный 256\512 (512\1024) Нет Для возможности построения доверенного электронного документооборота с использованием электронной подписи (для доверия ЭП других сетей) ГОСТ 28147-89 256 БИТ ГОСТ 34.10-2012 Особенностью установления такого межсетевого взаимодействия заключается в необходимости включить в исходящую межсетевую информацию не только справочники, открытые части АММК, но и также актуальный список аннулированных сертификатов (CRL) и сертификат администратора, которым был подписан данный мастер-ключ Сервер маршрутизатор = Транспортный сервер (MFTP-канал) Режимов безопасности в 4м поколении VipNet нет. Конфигурация сервера открытого интернета: Доступ к защищённой сети VipNet при отсутствии подключения к интернету, Доступ в интернет при отсутствии соединения с защищёнными узлами VipNet Виртуальные адреса не привязанный к реальному. Он привязан именно к узлу. Демон failoverd осуществляет контроль за: Управляющим демоном vipnet (iplircfg); Транспортным модулем MFTP (mftpd); Демоном обработки прикладных протоколов (algd); Сервером веб-интерфейса (axis2.cgi); Драйвером watchdog. После ребута нода всегда запускается в пассивном режиме Iplir view – журная регистрации ip-пакетов |