Решение задач vipnet linux. vipnet_linux решение задач. Руководство администратора
 Скачать 1.91 Mb.
|
|
ViPNet Coordinator Linux. Руководство администратора | 110 отправки этих пакетов не должен намного превышать тайм-аут сохранности динамического правила на NAT-устройстве. У разных NAT-устройств этот тайм-аут устанавливается разный, но обычно не менее 30 секунд. Это позволяет любому внешнему узлу в любой момент прислать на данный узел через его Координатор входящих соединений пакет любого типа. Исходящие пакеты в рассматриваемом режиме узел всегда отправляет напрямую адресату, минуя свой Координатор входящих соединений. После первого полученного в ответ пакета внешний узел автоматически начинает передавать весь трафик напрямую данному узлу, работающему через устройство с NAT (см. рисунок ниже). Такая технология обеспечивает постоянную доступность узла, работающего через NAT-устройство (т.к. на NAT-устройстве не удаляются динамические правила), и одновременно существенно увеличивает скорость обмена между узлами. Рисунок 1: Организация трафика узла, работающего через устройство с динамическим NAT Если все же есть проблемы со связью в режиме межсетевого экрана с динамическим NAT, то существует возможность включить опцию (параметр always_use_server секции [dynamic] ), которая позволяет направлять любой трафик с внешними узлами через Координатор. Если включить эту опцию, то все соединения с другими узлами будут происходить только через выбранный Координатор для организации входящих соединений, т.е. технология, описанная выше, использоваться не будет. В этом режиме из-за удлинения маршрута прохождения пакетов возможно снижение скорости обмена. Примечание. Узел в режиме работы С динамической трансляцией адресов для взаимодействия с узлами, работающими через какой-либо Координатор, должен быть связан с этим Координатором. ViPNet Coordinator Linux. Руководство администратора | 111 Для настройки работы узла через межсетевой экран с динамическим NAT необходимо установить следующие параметры в файле iplir.conf : В собственной секции [id] установить параметр usefirewall в значение on В собственной секции [id] значение параметра port выбрать из диапазона 1-65535 (обычно 55777), если оно еще не установлено. В секции [adapter] , соответствующей сетевому интерфейсу, со стороны которого установлен внешний межсетевой экран, установить параметр type в значение external В секции [dynamic] установить параметр dynamic_proxy в значение on В секции [dynamic] выбрать внешний Координатор для организации входящих соединений – параметр forward_id , если он еще не выбран. Данный параметр выставляется вручную и не может принимать нулевое значение. Кроме того, выбранный Координатор должен иметь хотя бы один адрес доступа, иначе включение рассматриваемого режима будет невозможно. При необходимости изменить значения параметров timeout и always_use_server в секции [dynamic] Параметры firewallip и port секции [dynamic] в данном режиме определяются автоматически по информации, полученной от узлов, находящихся во внешней сети, поэтому редактировать их вручную не следует. ViPNet Coordinator Linux. Руководство администратора | 112 Настройка работы с удаленным Координатором через фиксированный альтернативный канал Согласно базовой логике работы, каждый узел сети ViPNet взаимодействует с каждым другим узлом по определенному адресу доступа и порту, которые задаются параметрами firewallip и port в секции [id] . При изменении адреса доступа какого-либо узла эта информация рассылается всем остальным узлам сети ViPNet с помощью механизма служебных рассылок. Эта схема хорошо работает, когда у каждого узла есть только один возможный адрес доступа в каждый момент. Однако нередко некоторые узлы подключены к нескольким независимым каналам связи и имеют несколько адресов доступа, каждый из которых может использоваться для связи с другими узлами. При этом отсутствие контроля над выбором канала зачастую приводит к проблемам, связанным с тем, что узлы могут периодически переключаться между каналами, использовать более «дорогой» канал и т.д. Для управления выбором каналов связи между Координаторами ПО ViPNet предоставляет специальный механизм, позволяющий пользователю принудительно установить нужный канал для обмена трафиком. Для этого в файле конфигурации iplir.conf существует секция [channels] , в которой задается набор возможных каналов связи с возможной регистрацией групп узлов (Координаторов) в определенных каналах. При определении имени канала в секции [channels] не обязательно регистрировать в этом канале какие-либо группы. В этом случае будет считаться, что для работы через данный канал не зарегистрированы никакие группы узлов. Если группы узлов заданы, это означает, что они зарегистрированы для работы через этот канал. Однако это не означает, что любой узел группы переключится на работу через этот канал, так как необходимо еще задать внешний IP-адрес доступа и порт доступа (опционально) для этого канала. Эти значения задаются для каждого узла группы параметрами channelfirewallip и channelport соответственно (подробное описание синтаксиса этих параметров приведено выше (см. « Секция [id] » на стр. 56)). То есть для двух различных узлов одной и той же группы значения channelfirewallip и channelport для одного и того же канала могут быть разными. Это позволяет производить гибкую настройку в ряде случаев, например, когда для доступа по одному и тому же каналу к различным узлам используются различные порты доступа. ViPNet Coordinator Linux. Руководство администратора | 113 Таким образом, каждый канал характеризуется именем (уникальный идентификатор), зарегистрированными в нем группами узлов и параметрами доступа, индивидуально настраиваемыми для каждого узла группы. В целом логику выбора канала для удаленного Координатора K можно описать следующим образом: если в секции [channels] определен канал A и в нем зарегистрирована группа B ( channel= A, B ), если в группу B входит удаленный Координатор K (в секции [id] для этого Координатора задан соответствующий параметр group= B ), если в секции [id] Координатора K задано значение channelfirewallip для этого же канала ( channelfirewallip= A, IP ), то работа с Координатором K будет всегда осуществляться через канал A с внешним адресом доступа IP Если при этом в секции [id] для Координатора K помимо параметра channelfirewallip присутствует параметр channelport для выбранного канала A ( channelport= A, Port ), то в качестве порта доступа будет всегда использоваться значение Port Важно помнить, что для того чтобы данный узел всегда работал с удаленным Координатором через выбранный канал, необходимо на самом удаленном Координаторе выполнить симметричные настройки, настроив тот же самый канал для взаимодействия с данным узлом. В противном случае может возникнуть ситуация, когда исходящие пакеты с данного узла будут направляться на удаленный Координатор по выбранному каналу, а пакеты с другой стороны будут приходить по другому каналу. В случае выбора для работы с удаленным Координатором фиксированного канала с помощью описанного выше способа, значения параметров firewallip и port (если задан параметр channelport ) в секции [id] Координатора будут автоматически заменены после старта управляющего демона значениями параметров channelfirewallip и channelport соответственно. При этом все пакеты в адрес данного Координатора будут отправляться через выбранный канал на адрес доступа channelfirewallip и порт channelport , независимо от того, существует ли физическое соединение по этому каналу или нет. Автоматического перехода на другой канал не произойдет. Для определения другого канала взаимодействия с удаленным Координатором необходимо задать параметры channelfirewallip и channelport для другого канала в секции [id] Координатора, а также определить этот канал в секции [channels] ViPNet Coordinator Linux. Руководство администратора | 114 Переключение между каналами для Координатора может быть осуществлено двумя способами: 1 Перерегистрацией Координатора в другой группе, которая зарегистрирована для работы через нужный канал, т.е. изменением значения параметра group в секции [id] Координатора. Данный способ наиболее предпочтителен в случае, если требуется переключить на другой канал только один узел, при этом другие узлы группы остаются работать через старый канал. 2 Перерегистрацией группы, в которую входит Координатор, для работы через другой канал, т.е. переносом имени группы в качестве значения другого параметра channel секции [channels] . Данный способ более предпочтителен в случае переключения группы узлов для работы через другой канал, так как в этом случае переключение канала произойдет для всех узлов группы, у которых задан параметр channelfirewallip для соответствующего канала. Кроме того, этот способ удобен для случая, когда в группу входит только один узел. Отключение механизма работы через фиксированный канал может быть осуществлено следующими способами: 1 В секции [id] для соответствующего Координатора удалить параметр group . При этом узел не будет зарегистрирован в какой-либо группе. Этот способ удобен, когда необходимо временно отключить данный механизм, так как для его повторного включения нужно будет лишь снова задать параметр group для этого узла. 2 В секции [channel] для соответствующего канала удалить из списка групп нужную группу. При этом работа через фиксированный канал будет отключена для всех узлов группы. Примеры настроек для выбора, переключения и отключения альтернативных каналов приведены в Приложении (см. « Примеры настроек работы Координаторов ViPNet через фиксированные альтернативные каналы » на стр. 189). Внимание! Описанный в данном разделе механизм рассчитан на использование в схемах, в которых на сетевых каналах между Координаторами либо не применяются NAT-устройства, либо применяются NAT-устройства со статической трансляцией адресов. При этом NAT-устройство не должно изменять в процессе работы свой внешний адрес, а также порт отправителя. В случае использования NAT-устройств с динамической трансляцией адресов работоспособность механизма установки фиксированного канала связи не гарантируется! ViPNet Coordinator Linux. Руководство администратора | 115 Настройка Координатора, выполняющего функции Сервера Открытого Интернета Если в организации из соображений политики безопасности компьютерам локальной сети запрещен выход в Интернет (назовем их группой компьютеров А), но отдельным компьютерам необходим такой доступ (группа компьютеров Б), то для группы компьютеров Б можно с использованием технологии ViPNet создать в локальной сети выделенный виртуальный контур компьютеров, трафик которых при работе в Интернете был бы полностью изолирован от остальной локальной сети. Для решения данной задачи на границе сети устанавливается отдельный Координатор с функцией Сервера Открытого Интернета. Одновременно на этом Координаторе или на туннелируемом им компьютере устанавливается любой прокси-сервер прикладного уровня типа Squid. На компьютеры группы Б устанавливается ПО ViPNet Client, и эти сетевые узлы связываются в ЦУС с Сервером Открытого Интернета (Координатором). Возможны два способа организации работы: 1 Компьютерам группы Б разрешается работа исключительно в Интернете. В этом случае сетевым узлам в ЦУС не предоставляются никакие другие связи, кроме связи с Сервером Открытого Интернета (Координатором). ПО ViPNet устанавливается в первый режим безопасности (см. « Основные режимы безопасности ПО ViPNet » на стр. 24). Таким образом трафик с Интернетом, проходя через прокси-сервер прикладного уровня, на участке между компьютером группы Б и Координатором (то есть в локальной сети) будет упакован в VPN-соединение. Такой трафик при любых атаках не может выйти за пределы созданного виртуального контура. Данное решение эквивалентно физическому выделению сегмента локальной сети для работы в Интернете. 2 Компьютерам группы Б требуется также предоставить возможность работы с другими защищенными узлами и открытыми ресурсами локальной сети. Этот способ менее безопасен, чем первый. Тем не менее он обеспечивает достаточно высокий уровень защиты от атак как компьютеров группы Б, так и компьютеров группы А. Цель достигается путем разделения времени работы в сети Интернет и в локальной сети. При этом на компьютере группы Б: ViPNet Coordinator Linux. Руководство администратора | 116 o при работе в Интернете блокируется любой трафик как в локальную сеть, так и с другими сетевыми узлами, кроме Сервера Окрытого Интернета; o при работе в локальной сети блокируется любой трафик с Интернетом. Такое разделение во времени исключает любые онлайн-атаки на компьютеры группы А через компьютеры группы Б. В качестве Сервера Открытого Интернета Координатор выполняет следующие функции: организует доступ к ресурсам открытого Интернета через прокси-сервер прикладного уровня; запрещает доступ к ресурсам открытого Интернета для компьютеров группы А; организует защищенный туннель между собой и компьютером группы Б на время его работы с ресурсами открытого Интернета, без возможности доступа к этому туннелю со стороны всех остальных пользователей локальной сети; является межсетевым экраном, который запрещает доступ в локальную сеть из открытого Интернета. Технология гарантирует, что никакие стратегии атак как снаружи, так и изнутри сети не могут привести к нарушению безопасности компьютеров сети, подключение которых к Интернету запрещено (компьютеры группы А). На такие компьютеры трафик из Интернета при любых атаках может попасть только в зашифрованном виде, что не будет воспринято компьютером и в связи с этим не опасно. Попытки проведения атак на сеть через компьютеры группы Б невозможны, так как блокируется посторонний трафик от них, кроме трафика с Сервером Открытого Интернета. Одновременно исключаются любые возможности несанкционированного подключения из локальной сети к Интернету. Для настройки Координатора, выполняющего функции Сервера Открытого Интернета, необходимо: Установить на Координатор прокси-сервер прикладного уровня типа Squid. Примечание. Прокси-сервер может быть установлен на другой компьютер, туннелируемый данным Координатором и расположенный за отдельным интерфейсом Координатора в демилитаризованной зоне. Произвести описанные ниже настройки режимов безопасности. ViPNet Coordinator Linux. Руководство администратора | 117 В файле конфигурации сетевого интерфейса, находящегося со стороны локальной сети, с помощью параметра mode устанавливается режим безопасности 1 (в этом режиме блокируется любой открытый трафик, как снаружи, так и изнутри локальной сети). В файле конфигурации сетевого интерфейса, находящегося со стороны Интернета, режим безопасности выбирается в зависимости от варианта установки прокси-сервера: 1 Если прокси-сервер установлен на Координаторе, то со стороны Интернета можно установить режим 3 (в этом режиме разрешаются только односторонние локальные открытые соединения от прокси-сервера наружу). 2 Если прокси-сервер установлен на туннелируемом компьютере, то: o На интерфейсе со стороны Интернета устанавливается режим 2. o В секцию [tunnel] файла firewall.conf (см. « Настройка правил обработки открытых IP-пакетов » на стр. 79) вместо правила по умолчанию записывается правило, разрешающее одностороннее соединение от всех сетевых узлов локальной сети в сторону IP-адреса туннелируемого прокси-сервера. o В секцию [forward] файла firewall.conf (см. « Настройка правил обработки открытых IP-пакетов » на стр. 79) записывается правило фильтрации транзитных IP-пакетов, разрешающее одностороннее соединение от прокси-сервера в сторону всех адресов за интерфейсом со стороны Интернета. Примечание. В предыдущих версиях ViPNet Coordinator Linux оба указанных правила фильтрации необходимо было добавлять в секцию [forward] файла firewall.conf (см. « Настройка правил обработки открытых IP-пакетов » на стр. 79). Второй вариант более предпочтителен, чем первый, поскольку на Координатор не попадает открытый трафик Интернета. Компьютеры, для которых организуется выход в Интернет, могут взаимодействовать с Координатором только через VPN-соединения и только по служебным протоколам, которые контролируются ПО ViPNet. Таким образом обеспечивается полная безопасность Координатора. ViPNet Coordinator Linux. Руководство администратора | 118 Управление ViPNet Coordinator Linux Практически все функции, необходимые для управления ViPNet Coordinator Linux, могут быть выполнены в помощью скрипта iplir , расположенного в каталоге /sbin . Возможны следующие команды: iplir start – запускает управляющий демон. Если при этом не существуют файлы конфигурации, то они создаются, как и по команде iplir check iplir stop – останавливает управляющий демон, при этом драйвер ViPNet продолжает работать. iplir unload – останавливает управляющий демон и выгружает драйвер ViPNet. Перед выполнением данной команды появляется предупреждение о том, что в результате компьютер окажется незащищенным и безопасность данных в этом случае не гарантируется. Затем запрашивается пароль пользователя данного сетевого узла для подтверждения выполнения команды. Команда выполняется только в случае ввода правильного пароля пользователя. iplir check – создает конфигурационные файлы, а также проверяет их синтаксис, если файлы уже существуют. Кроме того, если файлы конфигурации существуют, то данная команда восстанавливает в них фильтры, необходимые для прохождения служебных пакетов ViPNet (широковещательные пакеты по портам 2046 и 2050 протокола UDP). Эти фильтры присутствуют по умолчанию, и их наличие необходимо для нормальной работы защищенной сети, однако при необходимости |