Решение задач vipnet linux. vipnet_linux решение задач. Руководство администратора

ViPNet Coordinator Linux. Руководство администратора
|
11
Ранее в системе могли использоваться только ядра Linux из подмножества версий
2.4.x (от 2.4.2 до 2.4.31 включительно), 2.6.х (до 2.6.32 включительно). Теперь также можно использовать ядра из подмножества версий 3.0 по 3.2 включительно, в которые не было внесено изменений по сравнению с kernel.org

Добавлена возможность накопления служебного трафика
Ранее при возникновении каких-либо событий служебные пакеты сразу же рассылались на узлы. Теперь добавлена функция накопления служебного трафика, обрабатываемого на координаторе, с последующей рассылкой служебных пакетов на узлы не чаще, чем 1 раз в минуту. Использование данной функции позволит уменьшить объем служебного трафика.
Что нового в версии 3.6.4
В этом разделе представлен краткий обзор изменений и новых возможностей версии
3.6.4.

Возможность ограничения диапазона генерируемых виртуальных адресов
Реализована возможность ограничить диапазон генерируемых виртуальных адресов.
Для этого используется новый параметр maxvirtualip
, задаваемый в секции
[virtualip]
файла конфигурации iplir.conf
(см. «
Секция [virtualip]
» на стр. 75).
Теперь генерируемые виртуальные адреса не могут превышать значения, заданного этим параметром.
Что нового в версии 3.6.3
В версии 3.6.3 исправлен ряд ошибок, выявленных в процессе эксплуатации версии 3.6.2.
Что нового в версии 3.6.2
В этом разделе представлен краткий обзор изменений и новых возможностей версии
3.6.2.

Поддержка ограничения срока действия лицензии на ПО ViPNet Coordinator
Linux фиксированной датой
Реализована проверка лицензионных ограничений на дату окончания действия лицензии. Проверка осуществляется всеми службами ПО ViPNet Coordinator Linux
(iplircfg, mftpd, failoverd) при старте и раз в сутки. При обнаружении истечения срока действия лицензии служба останавливается и выводит соответствующее сообщение на консоль (если это старт службы) и в системный журнал ОС Linux.
Если истечение срока действия лицензии обнаружено демоном iplircfg, то он не

ViPNet Coordinator Linux. Руководство администратора
|
12
только останавливается сам, но и останавливает другие службы (mftpd, failoverd), а также выгружает драйверы ViPNet.
Что нового в версии 3.6.1
В этом разделе представлен краткий обзор изменений и новых возможностей версии
3.6.1.

Расширенная поддержка системы централизованного мониторинга ViPNet
StateWatcher
Реализованы команды для передачи расширенной информации о состоянии узла с
ПО ViPNet Coordinator Linux в систему централизованного мониторинга. Теперь в систему мониторинга дополнительно передается информация о работоспособности транспортного модуля MFTP, количество конвертов в очереди и их суммарный размер, список туннелируемых координатором адресов, суммарный трафик на каждом сетевом интерфейсе (отдельно исходящий и входящий), загрузка процессора, использование памяти и дискового пространства.
Что нового в версии 3.6.0
В этом разделе представлен краткий обзор изменений и новых возможностей версии
3.6.0.

Расширен список поддерживаемых дистрибутивов ОС Linux
Реализована поддержка функционирования ПО ViPNet Coordinator Linux на следующих дистрибутивах ОС Linux: o
RedHat Enterprise Linux 5.4; o
OpenSUSE 11.2 Desktop; o
SuSe Linux Enterprise Server 10 SP3; o
Debian Lenny 5.0; o
Ubuntu 9.10 Desktop.

Оптимизирован список поддерживаемых дистрибутивов ОС Linux
Из списка поддерживаемых дистрибутивов ОС Linux исключены следующие устаревшие (не используемые на практике) дистрибутивы ОС Linux: o
SuSe Linux 10.0; o
Debian Etch 4.0 r1;

ViPNet Coordinator Linux. Руководство администратора
|
13
o
OpenSuSe 11.1; o
Linux XP Server 2008; o
Linux XP Desktop 2008 Secure Edition.

Расширен список поддерживаемых ядер Linux
Реализована поддержка функционирования ПО ViPNet Coordinator Linux на версиях ядра до 2.6.32 включительно.

Изменены правила фильтрации по умолчанию
Правила фильтрации открытых IP-пакетов, заданные по умолчанию, а также правила режимов безопасности приведены в соответствие с версией ПО ViPNet Coordinator для ОС Windows. Теперь координаторы, работающие под управлением различных
ОС, имеют одинаковую логику поведения.

Изменены правила антиспуфинга
Правила антиспуфинга приведены в соответствие с версией ПО ViPNet Coordinator для ОС Windows. Теперь правила антиспуфинга не зависят от типа интерфейса, а в качестве допустимых адресов отправителя можно указывать комбинацию адресов.

Поддержка правил фильтрации туннелируемого трафика
Реализована поддержка правил фильтрации туннелируемого трафика. Теперь эти правила задаются в отдельной секции
[tunnel]
файла конфигурации iplir.conf
Как следствие, упразднен параметр autopasstunnels в секции
[misc]
файла конфигурации iplir.conf

Возможность указания типа и кода ICMP-пакетов в правилах фильтрации
Реализована поддержка типа и кода ICMP-пакетов в правилах фильтрации открытых
IP-пакетов. Теперь тип и код ICMP-пакетов можно указать как непосредственно в файле конфигурации, так и с помощью апплета мониторинга и управления SGA.

Интеграция с Системой оценки защищенности (СОЗ) ЦБИ
Реализован автоматический экспорт информации об узле с ПО ViPNet Coordinator
Linux для СОЗ ЦБИ. Экспорт выполняется отдельно поставляемой утилитой, которую можно запускать на регулярной основе.

Поддержка многопоточности в драйвере ViPNet
Реализована поддержка многопоточности в драйвере ViPNet. Теперь можно управлять числом потоков с помощью отдельного параметра, передаваемого драйверу при его загрузке. Для совместимости с предыдущими версиями по умолчанию установлен однопоточный режим.

ViPNet Coordinator Linux. Руководство администратора
|
14
Что нового в версии 3.5.2
В этом разделе представлен краткий обзор изменений и новых возможностей версии
3.5.2.

Расширенные возможности настройки с помощью апплета SGA
Реализована поддержка настройки фильтров открытой сети и режимов безопасности с помощью апплета мониторинга и управления SGA, а также поддержка авторизации доступа с помощью SGA.

Защита пароля ViPNet
Реализовано хранение пароля ViPNet в защищенном виде.

Сняты ограничения на управление и мониторинг с помощью апплета SGA
Удалена проверка прикладной задачи «Сервер SGA» в ПО ViPNet Coordinator Linux.
Теперь для управления и мониторинга с помощью SGA узел с ПО ViPNet
Coordinator Linux не надо регистрировать в прикладной задаче «Сервер SGA».
Что нового в версии 3.5.1
В этом разделе представлен краткий обзор изменений и новых возможностей версии
3.5.1.

Корректная аутентификация транспортного модуля MFTP при взаимодействии
с другими версиями MFTP
Доработан транспортный модуль MFTP в составе ViPNet Coordinator Linux для корректной аутентификации с MFTP, работающим в составе других приложений
ViPNet. Как следствие доработки, упразднен параметр auth_type в секции
[misc]
файла конфигурации mftp.conf

Восстановлена совместимость со старыми версиями ПО ViPNet
Возвращена поддержка старого формата 4.0 для исходящих пакетов. Теперь узел с
ПО ViPNet Coordinator Linux может взаимодействовать с узлами, на которых установлены старые версии ПО ViPNet (без поддержки нового формата 4.1).
Что нового в версии 3.5.0
В этом разделе представлен краткий обзор изменений и новых возможностей версии
3.5.0.

ViPNet Coordinator Linux. Руководство администратора
|
15

Расширен список поддерживаемых дистрибутивов ОС Linux
Реализована поддержка функционирования ПО ViPNet Coordinator Linux на следующих дистрибутивах ОС Linux: o
OpenSUSE 11.1; o
Linux XP Desktop 2008 Secure Edition; o
Linux XP Server 2008.

Расширен список поддерживаемых ядер Linux
Реализована поддержка функционирования ПО ViPNet Coordinator Linux на версиях ядра до 2.6.29 включительно.

Поддержка централизованной политики безопасности
Реализована поддержка централизованной политики безопасности. Теперь узел с ПО
ViPNet Coordinator Linux может принимать и обрабатывать политики безопасности, присланные из Центра управления политиками безопасности (программы ViPNet
PolicyManager).
Что нового в версии 3.4.1
В версии 3.4.1 исправлен ряд ошибок, выявленных в процессе эксплуатации версии 3.4.0.
Что нового в версии 3.4.0
В этом разделе представлен краткий обзор изменений и новых возможностей версии
3.4.0.

Расширен список поддерживаемых дистрибутивов ОС Linux
Реализована поддержка функционирования ПО ViPNet Coordinator Linux на следующих дистрибутивах ОС Linux: o
SuSe Linux Enterprise Server 10 SP1, SP2; o
Ubuntu 8.04 LTS Desktop; o
Debian Etch 4.0 r1.

Расширен список поддерживаемых ядер Linux
Реализована поддержка функционирования ПО ViPNet Coordinator Linux на версиях ядра до 2.6.24 включительно.

ViPNet Coordinator Linux. Руководство администратора
|
16

Расширен список поддерживаемых алгоритмов шифрования
Реализована поддержка алгоритма шифрования AES. Теперь администратор может выбрать используемый алгоритм для исходящих сетевых пакетов — ГОСТ или AES.

Поддержка многоядерности сетевым драйвером ViPNet
Реализована поддержка сетевым драйвером ViPNet многоядерных процессоров Intel, что позволяет выполнять параллельную обработку шифрованных пакетов.

Более простая настройка передачи файлов в кластере горячего резервирования
Изменена настройка резервирования служебных файлов ViPNet при работе в режиме кластера. Теперь не надо перечислять резервируемые файлы: файлы разбиты на логические группы, и за включение и отключение резервирования каждой группы отвечает отдельный параметр.

Оптимизирован механизм защиты от сбоев в кластере горячего
резервирования
Реализована дополнительная защита от сбоев на уровне сетевого драйвера ViPNet.

Расширенные возможности поиска в журнале регистрации IP-пакетов
Реализован поиск узла отправителя и получателя при задании фильтра в консольной версии программы просмотра журнала регистрации IP-пакетов.

Поддержка системы централизованного мониторинга ViPNet StateWatcher
Реализованы команды для передачи информации о состоянии узла с ПО ViPNet
Coordinator Linux в систему централизованного мониторинга.

Интеграция в состав сети ViPNet OFFICE
Появилась возможность использовать узел с ПО ViPNet Coordinator Linux в качестве координатора защищенной сети, созданной на базе пакета ViPNet OFFICE.

ViPNet Coordinator Linux. Руководство администратора
|
17
Обратная связь
Дополнительная информация
Для удобства компания «Инфотекс» собрала все сведения, распространенные вопросы и ответы, приемы и советы в тематические базы знаний. По предложенным ссылкам можно найти ответ практически на любой вопрос, возникающий в процессе эксплуатации продуктов ViPNet.

Сборник часто задаваемых вопросов (FAQ) http://www.infotecs.ru/faq.htm

Законодательная база в сфере защиты информации http://infotecs.ru/law.htm

Описание технологии ViPNet http://infotecs.ru/probl.htm
Контактная информация
С вопросами по использованию продуктов ViPNet, пожеланиями или предложениями свяжитесь со специалистами компании «Инфотекс»:

Форум компании «Инфотекс» http://www.infotecs.ru/forum
;

Электронный адрес службы поддержки hotline@infotecs.ru
;

Форма запроса по электронной почте в службу поддержки http://www.infotecs.ru/mail/0946578ik456.htm
;

(495) 737-6196 — «горячая линия» службы поддержки.

ViPNet Coordinator Linux. Руководство администратора
|
18
Общие сведения
Назначение ПО ViPNet
19
Область применения
20
Примерная топология корпоративной сети на базе ПО ViPNet
21
Состав программного обеспечения
23
Основные режимы безопасности ПО ViPNet
24
Режимы работы ПО ViPNet через межсетевой экран
27
1

ViPNet Coordinator Linux. Руководство администратора
|
19
Назначение ПО ViPNet
Программное обеспечение (ПО) ViPNet является универсальным программным средством, обеспечивающим надежную защиту компьютера от несанкционированного доступа к его информационным и аппаратным ресурсам по IP-протоколу при работе компьютера в локальных или глобальных сетях, например Интернет.
Основой ПО ViPNet является драйвер, взаимодействующий непосредственно с драйверами сетевых карт, установленных на компьютере. Драйвер контролирует весь IP- трафик, поступающий в компьютер и исходящий из него.
При взаимодействии в сети с другими компьютерами, оснащенными этим же ПО, драйвер ViPNet обеспечивает установление между такими компьютерами защищенных соединений. При этом осуществляется полное преобразование (шифрование) всего IP- трафика между двумя компьютерами по алгоритму, рекомендованному ГОСТ 28147-89, что делает недоступным этот трафик для любых других компьютеров, в том числе имеющих такое же ПО. Одновременно производится инкапсуляция всех типов IP-пакетов в единый тип, что полностью скрывает структуру информационного обмена. Для защищенного трафика также возможна его фильтрация в соответствии с заданной политикой безопасности. Преобразование трафика осуществляется на ключах длиной 256 бит.

ViPNet Coordinator Linux. Руководство администратора
|
20
Область применения
Система защиты сетевого трафика ViPNet позволяет решать разнообразные задачи для обеспечения безопасной работы компьютеров в локальных и глобальных сетях:

Обеспечивает возможность установления защищенных соединений между компьютерами, оснащенными ПО ViPNet, в локальной сети или через сеть Интернет.
Это позволяет пользователям (включая мобильных и удаленных пользователей) проводить защищенные от постороннего доступа переговоры или видеоконференции, передавать и принимать произвольную информацию. При этом не только устанавливается защищенное соединение, но и осуществляется фильтрация внешнего трафика для предотвращения доступа к ресурсам компьютера.

При установке ПО ViPNet на корпоративный веб-сервер и компьютеры, которые должны с ним общаться, обеспечивается создание полностью защищенной от постороннего доступа и воздействий информационной системы для корпоративных пользователей в открытой среде Интернет или в локальной сети.

При установке ПО ViPNet на рабочие станции и серверы локальной сети обеспечивается надежная защита информации от ее перехвата, модификации или навязывания ложной информации при несанкционированных действиях как изнутри сети, так и извне, если локальная сеть имеет выход в открытую глобальную сеть, например Интернет.

При работе по технологии «клиент-сервер» с установленным ПО ViPNet на серверах баз данных и рабочих станциях обеспечивается как защита информации при обращении к серверу баз данных, так и разграничение доступа к информационным ресурсам сервера баз данных.
ПО ViPNet Coordinator Linux работает в сетях, построенных на базе следующих протоколов канального уровня:

Ethernet;

PPP;

SLIP (включая CSLIP, SLIP6, CSLIP6);

Wireless-протоколов стандарта IEEE 802.11 (Wi-Fi).

ViPNet Coordinator Linux. Руководство администратора
|
21
Примерная топология корпоративной сети на базе ПО ViPNet
Корпоративная сеть ViPNet состоит из сетевых узлов, на которые устанавливается либо
ПО ViPNet Coordinator, либо ПО ViPNet Client. Узел с установленным ПО ViPNet
Coordinator называется Kоординатором, а узел с установленным ПО ViPNet Client называется Клиентом (кроме того, используется также название «Абонентский пункт»
(АП)). Координаторы отличаются от Клиентов тем, что могут выполнять ряд дополнительных функций:

Функция Сервера IP-адресов.
Координаторы хранят информацию об адресах Клиентов. Когда включается какой- либо Клиент, он посылает информацию о своем включении одному из
Координаторов (который является для этого Клиента его Сервером IP-адресов), а
Координатор сообщает эту информацию другим Клиентам, так что все Клиенты имеют сведения об адресах друг друга. Если в сети несколько Координаторов, то они обмениваются этой информацией между собой.
