А. Н. Андрончик, В. В. Богданов, Н. А. Домуховский, А. С. Коллеров, Н. И. Синадский, Д. А. Хорьков

117
Рис. 5.15. Схема взаимодействия компонентов ViPNet в сети
Рис. 5.16. Окно «Автогенерирование структуры»
По умолчанию префиксы имен Координаторов — «Coordinator», а пре- фиксы имен Клиентов — «Client». Изменение вышеуказанных значений воз- можно при соблюдении следующих правил:
− количество Координаторов не должно быть не менее одного и не может быть больше, чем это определено лицензией;

118
− количество Клиентов может быть равно нулю, но не более количества определенных лицензией;
− префиксы имен сетевых узлов не должны содержать более 40 символов.
− После коррекции предложенных значений следует нажать кнопку Далее и перейти в окно «Автоматическое создание связей», в котором производится выбор стандартных сценариев для разрешенных соединений между узлами се- ти ViPNet.
Существуют следующие варианты установления связи:
− Связать все сетевые узлы — установлено по умолчанию. Все Клиенты и
Координаторы будут иметь разрешенные VPN-соединения между собой.
− Связать все абонентские пункты каждого координатора — Клиенты, ли- цензированные для данного Координатора, будут иметь разрешенные VPN- соединения между собой и с соответствующим Координатором. Координато- ры будут связаны VPN-соединениями между собой.
− Связать каждый абонентский пункт со своим координатором — каждый
Клиент будет иметь разрешенное соединение только со своим Координато- ром. Координаторы будут по-прежнему иметь VPN-соединение по схеме «ка- ждый с каждым».
После выбора оптимального варианта появляется окно «Редактирование структуры». На этом шаге предоставляется возможность модернизации соз- данной структуры, а также создания новой. В окне можно осуществлять сле- дующие действия: добавлять новые сетевые узлы, переименовывать и удалять существующие узлы, переносить Клиента под обслуживание другим Коорди- натором, удалять сетевую структуру.
После завершения редактирования структуры появляется окно, в кото- ром следует сгенерировать системный пароль, затем, следуя инструкциям мастера установки, необходимо создать дистрибутив ключей. В процессе ге- нерации появится окно «Электроннаярулетка»— специальное приложение для генерации случайных значений.
Дистрибутив ключей для каждого сетевого узла размещен в файле с расширением «*.DST». Исходные ключи зашифрованы на парольной фразе и потому недоступны третьим лицам непосредственно из DST-файла.
Все наборы ключей и пароли к ним будут сохранены в подкаталоге
«\NCC\KEYS»для каталога, куда был установлен «ViPNet Manager». Файлы с ключевыми наборами сохраняются в каталогах с именами сетевых узлов и имеют расширение «*.DST». Также будет создан файл «ViPNet.txt», в котором будут указаны пароли для соответствующих ключевых наборов.
ВЫПОЛНИТЬ!
7. Установить модуль «ViPNet Manager» на диск виртуальной машины с сете- вым именем «Manager».
8. После перезагрузки виртуальной машины выполнить автоматическую ге- нерацию структуры сети. Установить: количество координаторов — 1; ко-

119
личество клиентов — 2; все клиенты и координаторы должны иметь раз- решенные VPN-соединения между собой (пункт «Связать все сетевые уз- лы»).
9. Сгенерировать наборы ключей и пароли к ним, основываясь на требовани- ях: словарь — английский, слов в парольной фразе — 6, используемых букв — 3.
10. После завершения работы мастера скопировать все наборы ключей и па- роли к ним из каталога «С:\Program Files\InfoTeCS\ViPNet Man- ager\NCC\KEYS» на отдельную дискету (ключевую дискету).
Для установки «ViPNet Координатор» необходимо запустить файл
«Setup.exe» из каталога «\Soft\ViPNet Coordinator\» и следовать указаниям мастера установки. В ходе последующей загрузки компьютера «ViPNet Коор- динатор» автоматически попросит ввести соответствующий пароль из списка, находящегося в файле «ViPNet.txt»,еще до появления запроса на пароль входа в ОС Windows (рис. 5.17).
Рис. 5.17. Окно ввода пароля VipNet
В компьютер необходимо поместить внешний носитель (дискету), на котором предварительно в процессе работы с «ViPNet Manager» были записа- ны наборы ключей. При нажатии кнопки «Носители»появляется проводник, в котором указывается путь, где хранятся ключи на внешнем носителе. Соот- ветствующие данному узлу ключи будут скопированы автоматически на сис- темный диск. В дальнейшем для входа на этот же узел ViPNet внешний носи- тель уже не понадобится.
Установка «ViPNet Клиента» осуществляется аналогично.
ВЫПОЛНИТЬ!
11. Установить модуль «ViPNet Координатор» на диск виртуальной машины с сетевым именем «Coordinator», модули «ViPNet Клиент» на диски узлов
«Client1» и «Client2».

120
5.7.4. Настройка СЗИ VipNet
Как указывалось выше, узлы ViPNet могут быть подключены к сети не- посредственно либо могут располагаться за межсетевыми экранами и другими устройствами. Для каждого узла может быть указан один из способов под- ключения:
− непосредственное соединение с другими узлами;
− соединение с другими узлами через локальный Координатор, обеспечи- вающий технологию преобразования сетевых адресов (NAT — Network
Address Translation) для трафика данного Клиента;
− соединение через межсетевой экран/NAT систему, NAT-правила которой могут быть модифицированы;
− соединение через межсетевой экран/NAT систему, установки которой не могут быть модифицированы.
После запуска каждый сетевой узел ViPNet посылает соответствующую информацию Координатору. В изучаемой лабораторной установке каждый се- тевой узел имеет IP-адрес, свободно доступный другим ViPNet-узлам, по- скольку все виртуальные машины находятся в одном сегменте сети. Таким образом, любому клиенту для организации взаимодействия достаточно по- слать Координатору только свой IP-адрес. Таким образом, при настройке уз- лов-клиентов достаточно для них выбрать соединение первого типа — «Непо- средственное соединение с другими узлами».
Рис. 5.18. Окно «Вся сеть» модуля «ViPNet Manager»

121
Настройка модуля «ViPNet Manager» может осуществляться для модер- низации структуры сети, изменения сетевых узлов, создания ключевых набо- ров и просмотра параметров всей сети или отдельных сетевых узлов. Главное окно программы разделено на левую и правую части (рис. 5.18). На левой сто- роне приведена древовидная структура сети с отображением сетевых узлов.
Просмотр информации о каждом отдельном объекте осуществляется посред- ством выбора этого объекта на изображении дерева.
При выборе корневого объекта дерева «Вся сеть» появляется информа- ция о сети, в частности количество фактически созданных сетевых узлов, включая количество Клиентов, Координаторов и общее количество узлов.
Кнопка «Создать сеть» используется для создания абсолютно новой се- ти, но при этом все ранее созданные конфигурации теряются.
Информация о конкретном сетевом узле появляется в правой части главного окна после выбора этого узла на дереве структуры сети (рис. 5.19) и содержит следующие данные:
− тип узла — Координатор или Клиент;
− имя узла;
− максимально возможное количество туннелируемых соединений через
Координатор (если в качестве узла выбран Координатор);
− пароль и соответствующая парольная фраза (если существует);
− путь к месту, где хранятся ключи сетевого узла (если они существуют).
Рис. 5.19. Окно свойств сетевого узла модуля «ViPNet Manager»

122
Кнопка «Открыть папку»открывает подкаталог, содержащий DST-файл дистрибутива ключей для выбранного сетевого узла.
Кнопка «Копировать в…»запускает процедуру копирования ключевого набора в определенное администратором место.
Настройка модулей «ViPNet Координатор» и «ViPNet Клиент» осущест- вляется с помощью окна Монитора (рис. 5.20), для открытия которого следует воспользоваться иконкой , расположенной в области системного трея. Левая часть окна содержит средства конфигурирования и администрирования в виде каталогизированного дерева. Сразу после открытия окна по умолчанию вы- брана секция «Защищенная сеть». В правой части окна показаны все сетевые узлы ViPNet, VPN соединение с которыми было разрешено на этапе создания структуры сети с помощью «ViPNet Manager». Сетевые узлы будут высвечи- ваться разными цветами:
− серый — сетевой узел отключен (находится в состоянии off-line);
− голубой — обозначает данный локальный узел;
− красный — обозначает доступные Координаторы;
− фиолетовый — ViPNet Клиенты в состоянии on-line.
Рис. 5.20. Окно Монитор модуля «ViPNet Координатор»

123
Значительная часть настроек в секциях «Защищенная сеть», «Открытая сеть», «Блокированные IP-пакеты» и «Режимысвязана» с настройкой работы интегрированного межсетевого экрана. Секция «Настройки»позволяет вы- брать и настроить тип соединения в зависимости от реализованного физиче- ского способа подключения сетевого узла. Остальные элементы дерева со- держат инструменты для получения статистической информации, создания готовых конфигураций, расширения возможностей администрирования и т. п.
ВЫПОЛНИТЬ!
12. Создать и проверить соединения между координатором и клиентами. Для этого необходимо загрузить программу «Координатор Монитор» на вирту- альной машине с сетевым именем «Coordinator». В списке узлов «Защи- щенная сеть» выбрать соответствующего клиента, дважды кликнув на нем мышью открыть окно «Правило доступа», выбрать закладку «IP-адреса», нажать кнопку «Добавить» и ввести IP-адрес данного клиента (192.168.1.2
(для «ViPNet Клиента1» на узле «Client1») и 192.168.1.4 (для «ViPNet Кли- ента2» на узле «Client2»).
13. Загрузить программу «Клиент — Монитор» на виртуальных машинах
«Client1» и «Client2». Провести аналогичные операции, введя IP-адрес ко- ординатора.
14. Убедиться в том, что соединение Координатор — Клиенты установлено.
Для этого следует вернуться в секцию «Защищенная сеть» на виртуальной машине «Coordinator», выбрать соответствующего клиента в списке сете- вых узлов, вызвать контекстное меню и выполнить команду «Проверить соединение».
15. Подготовить компьютеры «Client1» и «Client2» к файловому обмену. Для этого на «Client1» следует запустить программу «Клиент Монитор», вы- звать программу «Деловая почта», нажав кнопку на нижней пане- ли. На верхней панели окна ViPNet [Клиент][Деловая почта] нажать кнопку
«Отправить/Получить письма».
16. На панели инструментов появившегося окна (рис. 5.21) нажать кнопку
«Настройки», чтобы появился список узлов ViPNet сети.
17. В появившемся списке узлов кликнуть два раза мышью на узле «Client1», чтобы появилось окно настроек почтового соединения (рис. 5.22). Устано- вить следующие параметры:
– Тип канала: MFTP;
– Вызывать узел по нажатию кнопки «Опросить» (включить);
– Ввести IP-адрес данного узла (192.168.1.2) (см. выше).
Выполнить аналогичные операции для узла «Client2» (IP-адрес
192.168.1.4).
18. На узле «Client2» выполнить аналогичные настройки.

124
Рис. 5.21. Окно ViPNet [Клиент][Деловая почта]
Рис. 5.22. Окно настроек почтового соединения
19. На компьютере «Client1» создать небольшой текстовый файл с произволь- ной информацией. Запустить анализатор трафика в режиме захвата паке- тов. Запустить программу «Клиент Монитор», в папке «Защищенная сеть» выбрать получателя файла — «Client2», вызвать программу «Файловый обмен», нажав кнопку на верхней панели. В программе «Файловый об- мен» ввести получателя (Client2) в поле «Адрес», присоединить текстовый файл нажатием кнопки «Добавить» и отправить письмо.
20. На компьютере «Client2» в программе «Клиент Монитор» нажать кнопку
«Принято» и просмотреть полученный текстовый файл.
21. Убедиться в невозможности нахождения имени и содержимого текстового файла в захваченных сетевых пакетах.

125
5.8. Использование протокола IPSec для защиты сетей
5.8.1. Шифрование трафика с использованием протокола IPSec
ВЫПОЛНИТЬ!
1. Проверьте возможность анализа сетевого трафика при отключенном про- токоле
IPSec. Запустите анализатор сетевого трафика. Отправьте текстовый файл (набранный латинскими буквами) на виртуальный компьютер. Про- смотрите захваченные пакеты. Убедитесь, что файл передается по прото- колу SMB, текст файла передается в открытом виде.
2. Осуществите настройку протокола IPsec. Администрирование
⇒
Локаль-
ная политика безопасности
⇒
Политики безопасности IP.
3. Обратите внимание на существование трех шаблонов: «Безопасность сер- вера» (при использовании данного шаблона не допускается нешифрован- ный трафик), «Клиент (Только ответ)» (при использовании данного шабло- на возможен нешифрованный трафик, если сервер его не требует) и «Сер- вер (Запрос безопасности)» (при использовании данного шаблона возмо- жен нешифрованный трафик, если клиент не поддерживает шифрование).
4. Выполните настройку шаблона «Безопасность сервера». Измените на- стройку фильтра «Весь IP-трафик» (рис. 5.23).
Рис. 5.23. Окно настройки шаблона «Безопасность сервера»
5. В разделе «Методы проверки подлинности» измените метод Kerberos.

126 6. Выберите пункт «Использовать данную строку для защиты обмена ключа- ми» и введите произвольную текстовую строку.
7. Примените внесенные изменения и активизируйте политику, выбрав из контекстного меню данного шаблона пункт «Назначить».
8. Аналогичные действия осуществите на соседнем компьютере. Убедитесь, что ключ шифрования (текстовая строка) совпадает.
5.8.2. Проверка защиты трафика
9. Убедитесь, выполняя команду PING, что для проверки присутствия в сети вашего компьютера возможны ICMP-пакеты как от соседнего компьютера
(на котором также включено шифрование), так и от любого другого.
10. Убедитесь, что в сетевом окружении вам доступен только соседний ком- пьютер. При обращении к другим системам появляется ошибка.
11. Убедитесь путем анализа сетевого трафика при отправке на соседний ком- пьютер текстового файла, что весь IP-трафик идет в зашифрованном виде.
12. Проверьте функционирование IPSec при использовании шаблонов «Кли- ент (Только ответ)» и «Сервер (Запрос безопасности)».
13. По окончании отключите шифрование трафика.
Рис. 5.24. Окно раздела «Методы проверки подлинности»

127
Рис. 5.25. Окно ввода ключевой строки
5.8.3. Настройка политики межсетевого экранирования с использованием
протокола IPSec
Задача. Разработать политику для web-сервера, на котором разрешен только трафик через порты TCP/80 и TCP/443 из любой точки.
ВЫПОЛНИТЬ!
14. Запустите на своем узле web-сервер. Проверьте его функционирование, обратившись с другого узла.
15. Запустите утилиту настройки протокола IPSec: Администрирование
⇒
Локальная политика безопасности
⇒
Политики безопасности IP.
16. Из контекстного меню выберите «Управление списками IP-фильтра и дей- ствиями фильтра». Создайте два действия (сначала сбросьте флажок «Ис- пользовать мастер»): «Разрешение» (определяющее допустимый метод безопасности) и «Блокировка» (заблокированный метод безопасности)
(рис. 5.26).
17. Создайте список фильтров под названием «Любой», имеющий настройки по умолчанию, которые соответствуют всему трафику (рис. 5.27).
18. Создайте список фильтров под названием «web-доступ» (рис. 5.28) для web-сервера, разрешающего трафик на портах TCP/80 и TCP/443 из любой точки, основываясь на правилах:
Правило 1. Источник – Любой IP-адрес. Назначение – Мой IP-адрес. Ото- бражаемый – Да. Протокол – TCP. Порт источника – Любой (ANY). Порт назначения – 80.

128
Правило 2. Источник – Любой IP-адрес. Назначение – Мой IP-адрес. Ото- бражаемый – Да. Протокол – TCP. Порт источника – Любой (ANY). Порт назначения – 443.
Рис. 5.26. Окно создания действий
Рис. 5.27. Окно создания списка фильтров «Любой»
19. Создайте новую политику под названием «Web-доступ». Из контекстного меню окна «Политики безопасности IP» выберите «Создание политики безопасности IP». Воспользуйтесь мастером. Не активизируйте пункт «Ис- пользовать правило по умолчанию».

129
Рис. 5.28. Окно создания списка фильтров «Web-доступ»
20. Добавьте в созданную политику правило доступа «Web-доступ», исполь- зующее список фильтров «Web-доступ» и действие «Разрешение».
21. Добавьте в созданную политику правило доступа «Любой», использующее список фильтров «Любой» и действие «Блокировка» (рис. 5.29). Обратите внимание на последовательность правил.
Рис. 5.29. Окно создания правила доступа
22. Примените политику «Web-доступ» (из контекстного меню политики
«Web-доступ» выберите пункт «Применить», рис. 5.30).
23. Проверьте политику «Web-доступ», осуществив подключение к 80-ому порту с другого узла.

130
Рис. 5.30. Окно применения политики
5.9. Организация VPN средствами СЗИ StrongNet
5.9.1. Описание системы
Система StrongNet предназначена для построения защищенных вирту- альных частных сетей, позволяет создать защищенный канал для передачи данных между компьютерами в локальной сети или Интернет. Вся информа- ция передается по этому каналу с использованием туннелирования в зашиф- рованном виде.
Система StrongNet основана на предварительном распределении клю- чей. Принцип работы следующий: все данные, передаваемые по защищенному каналу, шифруются с помощью симметричных алгоритмов шифрования. При этом ключи шифрования (сеансовые ключи) передаются между компьютера- ми при установлении защищенного соединения и шифруются с помощью асимметричного алгоритма шифрования RSA. Открытые и личные ключи, ис- пользующиеся при установлении соединения, хранятся в базе данных ключей.
Распределение ключей между пользователями осуществляется системным ад- министратором с помощью центра генерации ключей. Таким образом, пользо- ватели сети к моменту установления соединения уже имеют все необходимые ключи.
Кроме защиты данных, передаваемых между двумя компьютерами по сети, StrongNet предоставляет функции персонального межсетевого экрана, который осуществляет фильтрацию входящих и исходящих IP-пакетов по оп- ределенным критериям.
Для работы с системой StrongNet необходимо сгенерировать и распре- делить между пользователями открытые и личные ключи. У каждого пользо-

131
вателя системы StrongNet есть набор ключей, в который входит его личный ключ и открытые ключи других пользователей системы, с которыми он обме- нивается данными через защищенные каналы. Набор ключей может храниться в файле либо на электронном ключе.
Программа «StrongNet Центр генерации ключей» предназначена для создания базы данных ключей, составления из них наборов, записываемых в файл или на электронный ключ, и распределения этих наборов между пользо- вателями системы. Генерация ключей происходит один раз при создании базы данных.