рук. 2. ViPNet_Client_4_Руководство_пользователя. Руководство пользователя ао ИнфоТеКС

ViPNet Client 4. Руководство пользователя |
107
Рисунок 40. Задание адресов туннелируемых узлов
4 Если возможен конфликт IP-адресов в подсетях, установите флажок Использовать
виртуальные IP-адреса.
5 Если туннелируемый узел находится в одной подсети с вашим узлом и на нем не настроена специальная маршрутизация, убедитесь, что установлен флажок Не туннелировать IP-адреса,
входящие в подсеть Вашего компьютера. Иначе соединение с туннелируемым узлом будет невозможно.
6 Если при соединении с какими-либо туннелированными узлами шифрование данных не требуется, рекомендуется установить флажок Не туннелировать следующие IP-адреса и добавить в список ниже IP-адреса этих узлов.
7 Выполнив необходимые настройки, нажмите кнопку Применить.
Настройки, описанные в данном разделе, должны быть выполнены на сетевом узле для всех координаторов, с туннелируемыми узлами которых требуется устанавливать соединения.

ViPNet Client 4. Руководство пользователя |
108
Установка адресов видимости туннелируемых узлов по умолчанию
При добавлении в корпоративную сеть специализированных устройств (например, IP-АТС, аппаратных IP-телефонов или серверов) используется технология туннелирования. Как правило, для доступа к этим устройствам необходимо указать реальные адреса. Это означает, что при добавлении в сеть новых координаторов, туннелирующих эти устройства, необходимо переключать видимость туннелируемых узлов на реальные адреса. Для автоматизации этого процесса вы можете установить видимость новых координаторов по умолчанию.
Чтобы установить видимость туннелируемых узлов для всех новых координаторов:
1 В меню Сервис выберите пункт Настройка приложения.
2 В окне Настройка выберите раздел Защищенная сеть > IP-адреса видимости.
Рисунок 41. Настройка IP-адресов видимости
3 В списке Вновь создаваемые координаторы выберите нужный вид адресов и нажмите кнопку
OK.
Теперь при добавлении в сеть новых координаторов адреса туннелируемых им узлов будут всегда реальными или виртуальными, в зависимости от заданного параметра.
Чтобы изменить адреса видимости уже существующих туннелируемых узлов:
1 В окне программы ViPNet Монитор в меню Сервис выберите пункт Настройка приложения.

ViPNet Client 4. Руководство пользователя |
109
2 На панели навигации окна Настройка выберите раздел Защищенная сеть > IP-адреса
видимости.
3 Нажмите кнопку Установить для существующих координаторов.
4 В окне Настройка видимости выберите нужный вид адресов и нажмите кнопку Установить.
Если адреса меняются на реальные, будет выполнена проверка конфликтов адресов в сети.
Если в ходе проверки конфликтов не обнаружено, будет установлена видимость туннелируемых узлов по реальным адресам для всех существующих координаторов.
При обнаружении конфликтов появится окно Проверка конфликтов. Укажите в нем одно из нужных действий: o
Удалить IP-адрес из параметров другого узла; o
Удалить IP-адрес из списка текущего узла; o
Пропустить конфликт.
5 Для продолжения проверки на наличие конфликтов нажмите кнопку Продолжить. Чтобы прервать проверку и устранить конфликт другими способами, нажмите кнопку Прервать
проверку.
6 Чтобы впоследствии вернуться к проверке конфликтов нажмите кнопку Проверить
конфликты.
После выполнения указанных действий и устранения конфликтов, будет установлена видимость туннелируемых узлов для всех существующих координаторов по нужному виду адресов.

ViPNet Client 4. Руководство пользователя |
110
Просмотр информации о сетевом узле
При организации доступа к узлу или при возникновении проблем с доступом, администратор сети
ViPNet или служба технической поддержки может запросить информацию об этом сетевом узле, а также о вашем сетевом узле.
Чтобы просмотреть информацию о чужом сетевом узле ViPNet:
1 В разделе Защищенная сеть дважды щелкните нужный сетевой узел.
2 В окне Свойства узла перейдите на вкладку Общие.
3 Если необходимо, скопируйте нужный текст, чтобы передать его администратору или службе технической поддержки.
Для просмотра информации о своем сетевом узле в главном окне программы в меню Файл выберите пункт Свойства моего узла.

ViPNet Client 4. Руководство пользователя |
111
6
Настройка и использование служб имен DNS и WINS в сети ViPNet
Службы DNS и WINS
112
Службы DNS и WINS в сети ViPNet
115
DNS- (WINS-) сервер на защищенном или туннелируемом узле
116
Незащищенный DNS- (WINS-) сервер
118
Использование защищенного DNS- (WINS-) сервера для удаленной работы с корпоративными ресурсами
120
Использование публичного DNS-сервера
125
Использование DNS-серверов на контроллерах домена
127

ViPNet Client 4. Руководство пользователя |
112
Службы DNS и WINS
К компьютерам удобнее обращаться не по цифровым адресам, а по каким-либо осмысленным именам, которые соответствуют функциям и местоположению компьютеров. Людям проще запомнить буквенное имя, чем последовательность цифр. Локальные сети и интернет объединяют огромное количество компьютеров, поэтому необходимы специализированные службы имен, обеспечивающие сопоставление имен компьютеров с их IP-адресами. В настоящее время в сетях используются две службы имен — DNS и WINS.
DNS
В сетях TCP/IP используется система доменных имен (Domain Name System, DNS), которая служит для преобразования IP-адреса в доменное имя и наоборот: например, 79.11.15.23 — в www.company.ru
Следующий рисунок иллюстрирует использование DNS, то есть обнаружение IP-адреса компьютера по его имени.
Рисунок 42. Общий принцип работы службы DNS
Компьютер-клиент запрашивает у DNS-сервера IP-адрес компьютера с доменным именем www.company.ru
. Поскольку DNS-сервер может ответить на запрос с помощью своей локальной базы данных, он возвращает ответ, содержащий запрашиваемую информацию, то есть запись об узле, в которой содержится IP-адрес, соответствующий имени www.company.ru
Этот пример демонстрирует простой запрос DNS от клиента к DNS-серверу. На практике запросы
DNS могут потребовать привлечения других серверов и выполнения дополнительных шагов, не показанных в этом примере.
Система именования, используемая DNS, носит иерархический характер. Доменное имя складывается из нескольких частей, расположенных справа налево. Первая часть (домен верхнего уровня) является фиксированной и назначается централизованно Сетевым Информационным
Центром (Network Information Center, NIC). Домены остальных уровней присваиваются на серверах доменных имен произвольно.

ViPNet Client 4. Руководство пользователя |
113
WINS
Аналогично DNS работает служба WINS (Windows Internet Name Service, служба имен сети интернет для Windows), которая преобразует IP-адрес в NetBIOS-имя и наоборот: например, 192.168.1.20 — в
HOST-A. Служба WINS является наиболее удобным средством разрешения имен NetBIOS в маршрутизируемых сетях, использующих NetBIOS через стек TCP/IP.
Примечание. NetBIOS (Network Basic Input Output System, сетевая базовая система ввода-вывода) — протокол сеансового уровня для работы в локальных сетях, обеспечивающий доступ компьютера как к собственным локальным ресурсам, так и к ресурсам удаленных компьютеров. Поскольку NetBIOS применяет рассылку широковещательных сообщений, он не поддерживает передачу информации через маршрутизаторы. Но с другой стороны, усовершенствования, внесенные в
NetBIOS, позволяют этой системе работать поверх протоколов маршрутизации, таких как IP и IPX.
Служба WINS упрощает управление пространством имен NetBIOS в сетях на основе стека протоколов TCP/IP. Следующий рисунок иллюстрирует типичную последовательность событий, связанных с клиентами и серверами WINS.
Рисунок 43. Общий принцип работы службы WINS
Этот пример демонстрирует следующие события:

WINS-клиент HOST-A регистрирует любое из своих локальных имен NetBIOS на своем
WINS-сервере WINS-A.
В случае если компьютер HOST-A не имеет в своем распоряжении IP-адреса WINS-сервера, он передает в широковещательной рассылке свое имя NetBIOS, объявляя тем самым о своем присутствии в сети. Когда происходит подобное событие, локальный WINS-сервер принимает такое широковещательное сообщение и вводит содержащееся в нем имя и соответствующий
IP-адрес в свою базу данных.

Другой WINS-клиент HOST-B запрашивает сервер WINS-A найти IP-адрес компьютера
HOST-A в сети.

Сервер WINS-A возвращает 192.168.1.20 — IP-адрес компьютера HOST-A.

ViPNet Client 4. Руководство пользователя |
114
Службы WINS и DNS могут бесконфликтно работать в пределах одной сети. Пространства имен той и другой службы не совпадают. DNS использует иерархическую структуру именования, в то время как WINS — одноранговую. Служба WINS особенно актуальна для сетей, где есть компьютеры с ОС
Windows Server 2003. В сетях, в которых применяются и доменные имена, и имена NetBIOS, рекомендуется использовать обе службы.

ViPNet Client 4. Руководство пользователя |
115
Службы DNS и WINS в сети ViPNet
В сетях ViPNet приложения могут использовать виртуальные IP-адреса, реально не существующие в сети и уникальные на каждом сетевом узле, что позволяет избежать конфликтов при наличии пересекающихся адресов в разных сетях.
Для обеспечения работы служб DNS и WINS в сети ViPNet с виртуальными адресами программное обеспечение ViPNet автоматически выполняет специальную обработку IP-пакетов этих служб.
Такая обработка требуется для того, чтобы на защищенных узлах приложения, которые обращаются к службам DNS и WINS, использовали для доступа к другим защищенным и туннелируемым узлам правильные IP-адреса (реальные или виртуальные).
Если на DNS (WINS) сервере, к которому обращаются приложения, установлено ПО ViPNet или этот сервер туннелируется координатором, поддержка DNS (NetBIOS) имен для виртуальных адресов обеспечивается без дополнительных настроек ПО ViPNet при соблюдении определенных правил
(см.
DNS- (WINS-) сервер на защищенном или туннелируемом узле на стр. 116).
DNS-имена для защищенных узлов можно задать вручную в программе ViPNet Client на сетевом узле либо в программе ViPNet Центр управления сетью. В этом случае при использовании службы
DNS появляются дополнительные возможности:
 Обеспечивается безопасная работа приложений с удаленными защищенными узлами ViPNet по DNS-именам при использовании открытых (публичных) DNS-серверов (см.
Незащищенный
DNS- (WINS-) сервер на стр. 118).
 Появляется возможность взаимодействия защищенного узла ViPNet со своим координатором по DNS-имени путем публикации на DNS-сервере IP-адреса, не принадлежащего координатору (например, IP-адреса доступа к координатору через NAT-устройство). При автоматической публикации адреса доступа к координатору на публичном DNS-сервере
(технология динамического DNS, или DYN DNS) можно организовать безопасный доступ к координатору, адрес доступа к которому динамически изменяется.

ViPNet Client 4. Руководство пользователя |
116
DNS- (WINS-) сервер на защищенном или туннелируемом узле
Особенности использования
Использование DNS- (WINS-) сервера, расположенного на защищенном или туннелируемом узле, имеет следующие особенности:
 Для обеспечения работоспособности служб имен DNS и WINS не нужно выполнять никаких дополнительных настроек ПО ViPNet.
 Если DNS (NetBIOS) имена и соответствующие им IP-адреса защищенных и туннелируемых узлов автоматически регистрируются на DNS- (WINS-) сервере, то технология ViPNet обеспечивает автоматическую публикацию на этом сервере требуемых реальных или виртуальных IP-адресов защищенных и туннелируемых узлов. ViPNet-драйвер на DNS- (WINS-) сервере (или на координаторе, туннелирующем этот сервер) выполняет подмену адреса в
IP-пакете на виртуальный или реальный IP-адрес.
 Если к DNS- (WINS-) серверу обращается защищенный или туннелируемый узел, к ответу добавляется идентификатор запрашиваемого узла в сети ViPNet (или идентификатор координатора, который туннелирует запрашиваемый узел). По этому идентификатору программное обеспечение ViPNet на узле, с которого был отправлен запрос (или на координаторе, его туннелирующем), определяет правильный адрес доступа к запрашиваемому узлу — реальный или виртуальный.
 Если к защищенному DNS- (WINS-) серверу обращается открытый компьютер, программное обеспечение ViPNet на DNS- (WINS-) сервере или на туннелирующем координаторе обрабатывает ответ таким образом, чтобы сообщить открытому компьютеру реальные
IP-адреса защищенных и туннелируемых узлов, даже если для них опубликованы виртуальные
IP-адреса.

ViPNet Client 4. Руководство пользователя |
117
Рисунок 44. DNS-сервер на защищенном или туннелируемом узле
Рекомендации по настройке
При использовании DNS- (WINS-) сервера, расположенного на защищенном или туннелируемом узле, и при необходимости публикации виртуальных IP-адресов следует соблюдать следующие рекомендации:
 При регистрации вручную на DNS- (WINS-) сервере IP-адресов защищенных и туннелируемых узлов следует указывать их виртуальные или реальные IP-адреса, по которым эти узлы видны в программе ViPNet Client, установленной на DNS- (WINS-) сервере, или на координаторе, осуществляющем туннелирование этого сервера.
 Если DNS- (WINS-) сервер расположен на узле с ПО ViPNet, то в подсети этого сервера не следует размещать туннелируемые каким-либо координатором узлы, с которых будут поступать запросы на сервер (или адреса которых будут запрашиваться другими узлами). Если сервер расположен на координаторе, то данное требование относится к туннелируемым узлам других координаторов.
 Если DNS- (WINS-) сервер туннелируется координатором, то в подсети этого сервера не следует размещать узлы с ПО ViPNet, с которых будут поступать запросы на сервер (или адреса которых будут запрашиваться другими узлами).
 Если возникает необходимость размещения узлов в нарушение приведенных рекомендаций, то на узлах с ПО ViPNet следует снять флажок Не туннелировать IP-адреса, входящие в
подсеть Вашего компьютера (см.
Настройка доступа к туннелируемым узлам на стр. 106), а на туннелируемых узлах настроить частный маршрут на узлы с ПО ViPNet через координатор.

ViPNet Client 4. Руководство пользователя |
118
Незащищенный DNS- (WINS-) сервер
Особенности использования
Часто возникает задача получения доступа к координатору с динамически изменяющимся внешним адресом доступа (например, координатор подключен к сети через DSL-модем) со стороны других защищенных узлов. Для решения данной задачи можно опубликовать адрес этого координатора на публичном DNS-сервере, расположенном в интернете, и задать DNS-имя координатора в программе ViPNet Client на других узлах. В корпоративной сети может возникнуть необходимость в использовании публичного DNS-сервера и в других случаях.
Однако публичные DNS-серверы могут быть подвержены различным сетевым атакам, в результате которых происходит подмена IP-адреса запрашиваемого сетевого ресурса с целью заставить защищенный компьютер обратиться на атакующий компьютер. Если такая атака удастся, при обращении к защищенному узлу по DNS-имени он установит с атакующим компьютером открытое соединение, так как IP-адрес атакующего компьютера не известен ViPNet-драйверу. В результате злоумышленник может получить интересующую его информацию с защищенного компьютера.
Рисунок 45. Атака на публичный DNS-сервер
Чтобы предотвратить атаки подобного рода, для защищенных прикладных серверов
(см. глоссарий, стр. 382), регистрируемых на публичном DNS-сервере и доступных с защищенного узла, в программе ViPNet Client на этом узле следует указать DNS-имена (см.
Настройка доступа к защищенным узлам на стр. 99). Тогда при обращении к серверу по DNS-имени независимо от адреса, подставленного злоумышленником, при приеме ответа на DNS-запрос ViPNet-драйвер подставит уже известный ему IP-адрес видимости узла (реальный или виртуальный), соответствующий заданному в программе ViPNet Client DNS-имени.

ViPNet Client 4. Руководство пользователя |
119
Рекомендации по настройке
При использовании открытого DNS-сервера учитывайте рекомендации:
 Если внешний IP-адрес доступа к координатору может изменяться, для организации доступа к этому координатору по DNS-имени, зарегистрированному на открытом DNS-сервере, в программе ViPNet Client на защищенных узлах для данного координатора следует указать
DNS-имя.
 Если на узле с ПО ViPNet другие защищенные узлы доступны по виртуальным IP-адресам, и необходимо обеспечить доступ к этим узлам по DNS-именам, зарегистрированным на открытом DNS-сервере, то эти DNS-имена следует указать в программе ViPNet Client. При этом на открытом DNS-сервере может быть зарегистрирован любой адрес (реальный или виртуальный). Технология ViPNet обеспечит защищенное соединение по виртуальному адресу видимости узла вне зависимости от типа опубликованного адреса.
 Даже если доступ к защищенным узлам обеспечивается по реальным адресам, важно указать их DNS-имена в программе ViPNet Client.
Во всех описанных случаях DNS-имена защищенных узлов могут быть заданы вручную на каждом сетевом узле (см.
Настройка доступа к защищенным узлам на стр. 99), однако рекомендуется указывать DNS-имена централизованно в программе ViPNet Центр управления сетью.

ViPNet Client 4. Руководство пользователя |
120
Использование защищенного
DNS- (WINS-) сервера для удаленной работы с корпоративными ресурсами
Удаленные пользователи подключаются к сети ViPNet через интернет. Они могут работать дома, в интернет-кафе, в гостинице или других местах, где IP-адреса и используемые DNS- (WINS-) серверы определяются поставщиком услуг интернета. Однако для работы со многими корпоративными приложениями требуется использовать DNS- (WINS-) сервер корпоративной сети. Использование корпоративного DNS- (WINS-) сервера позволяет обращаться к серверам и другим узлам корпоративной сети по их именам, а не по IP-адресам. При этом преобразование DNS- (WINS-) имен в IP-адреса обеспечивается как для адресов корпоративной сети, так и для адресов интернета.
Автоматическая регистрация DNS- (WINS-) серверов
Для удаленного доступа к узлам корпоративной сети по DNS-именам должны быть выполнены следующие условия:
 В системном файле hosts
, который устанавливает соответствие между IP-адресами и именами компьютеров, не должно быть записей об узлах корпоративной сети. Этот файл расположен в папке
%systemroot%\System32\drivers\etc\
(по умолчанию это
C:\Windows\System32\drivers\etc\
).
 В ЦУСе или на сетевых узлах должен быть сформирован список корпоративных DNS (WINS) серверов.