рук. 2. ViPNet_Client_4_Руководство_пользователя. Руководство пользователя ао ИнфоТеКС

ViPNet Client 4. Руководство пользователя |
121 управления сетью. В этом случае список корпоративных DNS-серверов будет передан на сетевые узлы ViPNet вместе с ключами и справочниками. На сетевых узлах программа ViPNet Монитор будет определять текущие IP-адреса видимости корпоративных DNS-серверов (реальные или виртуальные) и автоматически изменять адреса DNS-серверов в настройках сетевых интерфейсов компьютера.
Если сетевой узел настроен на работу с корпоративными DNS-серверами, то для него существуют следующие особенности работы с публичными и корпоративными сетевыми ресурсами:
 Корпоративные DNS-серверы настроены на преобразование как внутренних, так и внешних имен.
В этом случае при подключении к защищенной сети будут использоваться только корпоративные DNS-серверы. Запросы на преобразование имен внешних и внутренних ресурсов (например, www.google.com и http://portal.internal) будут направляться на корпоративный DNS-сервер.
 Корпоративные DNS-серверы настроены только на преобразование внутренних имен.
В этом случае запросы на преобразование внешних имен (например www.google.com) будут направляться на внешний (незащищенный) DNS-сервер. Запросы на преобразование имен внутренних ресурсов (например http://portal.internal) будут направляться на корпоративный
DNS-сервер.
Обратите внимание, что если в ЦУСе заданы имена доменов, используемых внутри корпоративной сети (например http://portal.internal), то запросы на их преобразование будут направляться только на корпоративный DNS-сервер. Запросы на преобразование имен внутренних ресурсов на внешние DNS-серверы будут блокироваться.
Рассмотрим следующий пример. Сотрудник, работающий в главном офисе на ноутбуке с установленным ПО ViPNet Client, подключается к защищенному корпоративному DNS-серверу по одному адресу (например, 10.0.0.25). В какой-то момент времени этот сотрудник отправляется со своим ноутбуком в командировку в другой офис, и DNS-сервер главного офиса становится доступен по другому IP-адресу (например, 11.0.0.3). При этом сотруднику нужно подключиться через Интернет к корпоративным ресурсам главного офиса.
При регистрации DNS-сервера средствами операционной системы сотруднику потребуется на ноутбуке изменять настройки подключения к сети, что неудобно, поскольку после возвращения в главный офис эти настройки нужно будет вернуть в исходное состояние. Если узлы, на которых расположены DNS-серверы, заданы в программе ViPNet Центр управления сетью, изменять настройки подключения к сети вручную не требуется.
Если по какой-либо причине адреса корпоративных DNS-серверов не заданы в программе ViPNet
Центр управления сетью, на сетевом узле вы можете задать список защищенных DNS-серверов вручную, как описано ниже.

ViPNet Client 4. Руководство пользователя |
122
Создание списка DNS (WINS) серверов вручную
Если список корпоративных DNS- (WINS-) серверов не был задан централизованно в программе
ViPNet Центр управления сетью (см.
Автоматическая регистрация DNS- (WINS-) серверов на стр. 120), вы можете создать такой список вручную на вашем сетевом узле. В этом случае программа ViPNet Client также будет определять текущие IP-адреса видимости корпоративных
DNS-серверов и автоматически изменять настройки сетевых интерфейсов компьютера.
Для регистрации корпоративного DNS- (WINS-) сервера вручную:
1 В любом текстовом редакторе (лучше «Блокнот») создайте пустой текстовый файл
DNS.TXT
2 Внесите в него запись о корпоративном DNS- (WINS-) сервере. О том, как указать информацию о сервере, см. в разделах ниже. Формат записей в файле
DNS.TXT
отличается в зависимости от того, установлен ли корпоративный DNS- (WINS-) сервер на защищенном узле или туннелируется координатором.
3 Также вы можете добавить в файл параметр, который переключает DNS-зоны (корпоративные или публичные) на вашем сетевом узле.
4 Сохраните файл в папке
\DATABASES\DNSWINSLIST
, находящейся в папке установки ПО ViPNet
(если папка не существует, создайте ее).
Примечание. Все операции по созданию и редактированию файла DNS.TXT можно производить не закрывая программу ViPNet Client.
В файле
DNS.TXT
можно зарегистрировать сразу несколько DNS- (WINS-) серверов. В этом случае на всех сетевых интерфейсах компьютера списки IP-адресов DNS- (WINS-) серверов будут дополнены IP-адресами, по которым в данный момент доступны указанные серверы.
Одновременно в настройках сетевых интерфейсов сохранятся IP-адреса, полученные по DHCP или заданные на сетевых интерфейсах вручную, если эти IP-адреса не принадлежат указанным в
DNS.TXT
серверам.
Примечание. Если используемые DNS- (WINS-) серверы перечислены в файле
DNS.TXT
, задавать их адреса в сетевых настройках Windows не требуется.
Если корпоративный DNS (WINS) сервер установлен непосредственно на сетевом узле ViPNet
Если корпоративный DNS- (WINS-) сервер установлен на защищенном сетевом узле, то в файле
DNS.TXT
укажите следующую информацию:
 Для DNS-сервера:
[DNSLIST]

ViPNet Client 4. Руководство пользователя |
123
ID00=<идентификатор>;
 Для WINS-сервера:
[WINSLIST]
ID00=<идентификатор>;
где:
<идентификатор>
— шестнадцатеричный идентификатор сетевого узла ViPNet, на котором установлен DNS- (WINS-) сервер, с номером сети;
Примечание. Чтобы узнать идентификатор узла, в программе ViPNet Client в разделе Защищенная сеть дважды щелкните сетевой узел, на котором установлен
DNS- (WINS-) сервер. Откроется окно Свойства узла. На вкладке Общие в первой строке будет указан идентификатор сетевого узла.
ID00
— идентификатор номера строки, где после ID допустимы любые цифры.
В разделе ниже вы можете ознакомиться с примером составления файла
DNS.TXT
(см.
Пример составления файла DNS.TXT
на стр. 124).
Если корпоративный DNS (WINS) сервер туннелируется координатором
Если корпоративный DNS- (WINS-) сервер туннелируется координатором, то в файле
DNS.TXT
укажите следующую информацию:
 Для DNS-сервера:
[DNSLIST]
ID00=<идентификатор>-;
 Для WINS-сервера:
[WINSLIST]
ID00=<идентификатор>-;
где:
<идентификатор>
— шестнадцатеричный идентификатор координатора, туннелирующего
DNS- (WINS-) сервер, с номером сети;
Примечание. Чтобы узнать идентификатор координатора, который туннелирует
DNS- (WINS-) сервер, в программе ViPNet Client дважды щелкните его в разделе
Защищенная сеть. В окне Свойства узла на вкладке Общие в первой строке будет указан идентификатор координатора.
ID00
— идентификатор номера строки, где после ID допустимы любые цифры.
IP-адрес
— IP-адрес DNS- или WINS-сервера.
В отличие от ситуации, когда корпоративный DNS- (WINS-) сервер установлен непосредственно на сетевом узле ViPNet, здесь указывается идентификатор координатора, который туннелирует DNS-
(WINS-) сервер, и через дефис непосредственно IP-адрес DNS- (WINS-) сервера. Если имеется

ViPNet Client 4. Руководство пользователя |
124 несколько DNS- (WINS-) серверов, которые туннелируются одним координатором, их IP-адреса можно перечислить в одной строке через точку с запятой без пробелов после идентификатора координатора:
ID00=<идентификатор>-;
При этом следует убедиться, что в списке туннелируемых адресов данного координатора эти
IP-адреса также присутствуют.
В разделе ниже вы можете ознакомиться с примером составления файла
DNS.TXT
(см.
Пример составления файла DNS.TXT
на стр. 124).
Пример составления файла DNS.TXT
Ниже приведен пример того, как может быть составлен файл
DNS.TXT
:
[DNSLIST]
ID00=000100CA-10.0.0.25;
ID01=0001000b;
ID02=000110bс-10.0.0.20;10.0.0.21;10.0.2.132;
[WINSLIST]
ID00=0001000b;
ID01=000101fa-10.0.1.132;10.0.1.133;10.0.1.134;
[DNSOPTIONS]
INTERNET=OFF
Обратите внимание, что в одном файле
DNS.TXT
могут содержаться записи как для DNS- (WINS-) серверов, установленных на сетевых узлах ViPNet, так и туннелируемых тем или иным координатором. Число записей не ограничивается.
Параметр
INTERNET
необязательный и может иметь два значения:

ON
— использовать только корпоративные DNS-серверы;

OFF
— не использовать корпоративные DNS-серверы.

ViPNet Client 4. Руководство пользователя |
125
Обращение к удаленным узлам через туннелируемый DNS-сервер
Чтобы узлы внутренней сети ViPNet могли обращаться к удаленным узлам ViPNet по доменным именам через туннелируемый DNS-сервер, требуются дополнительные настройки на DNS-сервере и клиентах сети.
Для примера рассмотрим схему сети, в которой корпоративный DNS-сервер туннелируется координатором, при этом:
 есть сетевые узлы без ViPNet Client, которые находятся в туннеле;
 есть сетевые узлы с ViPNet Client, которые подключаются к корпоративной сети через интернет;
 с внутренних туннелируемых узлов (1) надо обращаться к узлам с ViPNet Client в интернете (2) по доменным именам.
Рисунок 46. Схема расположения сетевых узлов и DNS-сервера
Чтобы в этой схеме доменные имена разрешались правильно:
 На DNS-сервере настройте поддержку динамического изменения DNS-записей. Как правило, по умолчанию DNS-серверы не поддерживают эту настройку.
 Для клиентов, к которым будут обращаться по DNS-имени: o в ViPNet ЦУС укажите корпоративный DNS-сервер; o на самих клиентах настройте автоматическую регистрацию на DNS-сервере.
 На всех туннелирующих координаторах, участвующих в схеме, включите обработку прикладного протокола DNS (для службы alg
).

ViPNet Client 4. Руководство пользователя |
126
Использование публичного
DNS-сервера
Если в вашей корпоративной сети настроены защищенные DNS-серверы (см.
Использование защищенного DNS- (WINS-) сервера для удаленной работы с корпоративными ресурсами на стр. 120), с которыми у вас в данный момент нестабильное соединение, то вы можете включить режим «Публичный DNS». В этом режиме все запросы на преобразование имен будут направляться только на внешний DNS-сервер вашего интернет-провайдера. Имена корпоративных ресурсов при этом будут недоступны, так как их разрешение возможно только при подключении к защищенному DNS-серверу.
Чтобы включить использование публичного DNS-сервера:
1 В меню Файл выберите пункт Конфигурации > Публичный DNS.
2 В окне с предупреждением нажмите кнопку Публичный DNS.
Чтобы вернуться к использованию защищенного DNS-сервера, в окне программы в меню Файл >
Конфигурации выберите Защищенный DNS. Также программа ViPNet Client автоматически переключается на использование защищенного DNS-сервера после перезагрузки компьютера.

ViPNet Client 4. Руководство пользователя |
127
Использование DNS-серверов на контроллерах домена
Если в сети ViPNet вашей организации используется служба Active Directory и при этом защищенные контроллеры домена с DNS-серверами, которые в рамках домена синхронизируются между собой, защищены разными узлами ViPNet, то могут возникнуть проблемы разрешения
IP-адресов при обращении к ним с других защищенных узлов. Для предотвращения проблем в этом случае необходимо обеспечить регистрацию на всех резервируемых DNS-серверах одного и того же адреса каждого узла.
Воспользуйтесь одним из следующих вариантов:
 Разместите DNS-серверы без ПО ViPNet за отдельным сетевым интерфейсом координатора и настройте туннелирование этих серверов данным координатором (см.
Если корпоративный
DNS (WINS) сервер туннелируется координатором на стр. 123). Другие защищенные и открытые узлы, которые обращаются к DNS-серверам, во избежание конфликтов не должны находиться со стороны данного интерфейса координатора.
Если регистрация IP-адресов узлов осуществляется на защищенном DNS-сервере автоматически, будут зарегистрированы IP-адреса, соответствующие видимости узлов с данного координатора. Если регистрация IP-адресов узлов осуществляется на DNS-сервере вручную, на каждом DNS-сервере зарегистрируйте IP-адреса видимости узлов (виртуальные или реальные) с этого координатора. Открытые узлы, которые обращаются к DNS-серверу за
IP-адресом защищенного узла через координатор, получат реальный IP-адрес этого узла.
 Если размещение DNS-серверов за одним координатором затруднительно или на них установлена программа ViPNet Client, на координаторах, за которыми расположены
DNS-серверы, или в программе ViPNet Client настройте видимость узлов (туннелируемых узлов, клиентов и координаторов), зарегистрированных на этих DNS-серверах, по реальным
IP-адресам.
Чтобы изменить IP-адрес видимости всех клиентов, стоящих за координатором, достаточно изменить IP-адрес видимости координатора на одном из клиентов в программе ViPNet Client, после чего появится сообщение с предложением изменить аналогичным образом IP-адреса видимости клиентов, расположенных за данным координатором.

ViPNet Client 4. Руководство пользователя |
128
7
Интегрированный сетевой экран
Основные принципы фильтрации трафика
129
Общие сведения о сетевых фильтрах
131
Использование групп объектов
134
Создание сетевых фильтров
144
Восстановление предустановленных фильтров и групп объектов
151
Практический пример использования групп объектов и сетевых фильтров
152
Блокировка IP-трафика
155
Отключение защиты трафика
156
Настройка параметров блокировки трафика
157

ViPNet Client 4. Руководство пользователя |
129
Основные принципы фильтрации трафика
Фильтрации подвергается весь IP-трафик, который проходит через сетевой узел
(см. глоссарий, стр. 386):
 открытый (незашифрованный) трафик;
 защищенный (зашифрованный) трафик.
Рисунок 47. Виды IP-трафика
Наибольшую опасность представляет трафик из открытой сети, поскольку в случае атаки достаточно сложно обнаружить ее источник и принять оперативные меры по ее пресечению.
И открытый, и защищенный трафик может быть локальным или широковещательным. Под локальным трафиком понимается входящий или исходящий трафик конкретного узла (то есть когда сетевой узел является отправителем или получателем IP-пакетов). Под широковещательным трафиком имеется в виду передача узлом IP-пакетов, у которых IP-адрес или MAC-адрес назначения является широковещательным адресом (то есть когда пакеты передаются всем узлам определенного сегмента сети).
Рисунок 48. Виды защищенного и открытого трафика
Для того чтобы правильно настроить сетевые фильтры, необходимо понимать основные принципы фильтрации трафика:
 Все входящие и исходящие открытые и зашифрованные IP-пакеты проверяются на соответствие условиям сетевых фильтров в порядке убывания приоритета этих фильтров
(см. рисунок на стр. 132).

ViPNet Client 4. Руководство пользователя |
130
 Если IP-пакет соответствует условию одного из фильтров, то он пропускается или блокируется этим фильтром. При этом фильтры с более низким приоритетом не применяются.
 Если IP-пакет был пропущен одним из фильтров, то ответные IP-пакеты (включая служебные
ICMP-пакеты) в рамках текущего соединения будут пропускаться автоматически.
Если IP-пакет не был обработан ни одним из фильтров, то он блокируется фильтром по умолчанию.
Это обеспечивает высокий уровень безопасности, разрешая соединения только с нужными узлами по заданным протоколам и портам.
Схематично последовательность фильтрации IP-пакетов представлена ниже.
Рисунок 49: Фильтрация IP-трафика

ViPNet Client 4. Руководство пользователя |
131
Общие сведения о сетевых фильтрах
Программа ViPNet Client позволяет настроить сетевые фильтры как для защищенного, так и для открытого трафика. Они выполняют следующие функции:
 Фильтры открытой сети могут разрешать либо запрещать обмен IP-трафиком с открытыми узлами.
 Фильтры прикладного уровня открытой сети позволяют блокировать IP-пакеты на уровне приложений (доступно, если установлен модуль расширенной фильтрации).
Примечание. К открытым узлам
(см. глоссарий, стр. 384) также относятся компьютеры с ПО ViPNet Registration Point.
 Фильтры защищенной сети могут разрешать или блокировать обмен IP-трафиком с защищенными узлами ViPNet
(см. глоссарий, стр. 382), с которыми данный узел ViPNet Client имеет связь.
Все сетевые фильтры делятся на следующие категории:
 Фильтры, определенные специальными конфигурациями.
Данные фильтры имеют самый высокий приоритет и применяются в первую очередь. Они ограничивают трафик, который запрещен в конфигурациях «Открытый Интернет»
(см.
Конфигурация «Открытый интернет»
на стр. 201), «Внутренняя сеть» или «Интернет»
(см.
Конфигурации «Внутренняя сеть» и «интернет»
на стр. 201). Их нельзя редактировать и удалять.
 Фильтры, поступившие в составе политик безопасности
(см. глоссарий, стр. 385) из программы
ViPNet Policy Manager.
Данные фильтры нельзя редактировать и удалять. Их можно отключить с помощью специальной опции в режиме администратора (см.
Параметры защиты трафика на стр. 218).
 Предустановленные фильтры (см.
Предустановленные сетевые фильтры на стр. 351) и фильтры, заданные пользователем.
В том случае если программа ViPNet Монитор была обновлена с версии 3.х, предустановленных фильтров не будет. В списках сетевых фильтров будут присутствовать только фильтры, которые действовали в программе до обновления (в сконвертированном формате).
 Блокирующий фильтр по умолчанию. Данный фильтр блокирует весь трафик, который не соответствует условиям ни одного из предыдущих фильтров.
При запуске программы ViPNet Монитор, при включении защиты трафика или смене конфигурации программы сетевые фильтры загружаются в ViPNet-драйвер (см.
Низкоуровневый

ViPNet Client 4. Руководство пользователя |
132
ViPNet-драйвер сетевой защиты на стр. 15). При этом выполняется контроль целостности базы сетевых фильтров. Если целостность сетевых фильтров нарушена, появится соответствующее предупреждение, и будут загружены предустановленные сетевые фильтры.
Последовательность применения сетевых фильтров согласно приоритету изображена на схеме.
Рисунок 50. Последовательность применения сетевых фильтров
Списки сетевых фильтров представлены в разделах