рук. 2. ViPNet_Client_4_Руководство_пользователя. Руководство пользователя ао ИнфоТеКС

ViPNet Client 4. Руководство пользователя |
80
Чтобы очистить строку поиска, нажмите кнопку Показать все.
6 Строка состояния. Содержит следующие сведения: номер сети ViPNet, IP-адреса, назначенные узлу, и текущая конфигурация программы. При изменении сетевых фильтров или групп объектов вместо указанных сведений в строке состояния появляется сообщение о том, что фильтры или группы объектов были изменены, но не применены.
Чтобы показать или скрыть строку состояния, в меню Вид выберите пункт Строка состояния.
При изменении фильтров или групп объектов строка состояния отображается всегда, даже если она была ранее скрыта.
Работа со списком защищенных узлов ViPNet
Раздел Защищенная сеть (см.
Интерфейс программы ViPNet Монитор на стр. 78) содержит список защищенных узлов ViPNet, которые связаны с данным сетевым узлом в программе ViPNet Центр управления сетью.
Значок рядом с именем сетевого узла, а также цвет имени обозначают тип сетевого узла и его текущий статус:
Таблица 3. Обозначение статуса сетевых узлов
Значок
Цвет имени
Статус сетевого узла
Серый
Клиент в данный момент отключен от сети либо нет данных о его статусе
Фиолетовый
Клиент в данный момент подключен к сети
Серый или фиолетовый, полужирный
Новый клиент, с которым была создана связь
Серый или фиолетовый, полужирный
Новый координатор, с которым была создана связь
Серый
Координатор в данный момент отключен от сети либо нет данных о его статусе
Фиолетовый
Координатор в данный момент подключен к сети
Примечание. Чтобы настроить параметры внешнего вида раздела Защищенная
сеть, выберите в окне программы ViPNet Монитор в меню Сервис пункт
Настройка приложения и далее перейдите к разделу Общие.
Для удобства просмотра списка и поиска сетевые узлы в разделе Защищенная сеть можно сгруппировать по папкам:
 Чтобы создать новую папку, в контекстном меню раздела Защищенная сеть выберите пункт
Создать папку.

ViPNet Client 4. Руководство пользователя |
81
 Чтобы перенести сетевые узлы в какую-либо папку, в разделе Защищенная сеть выберите один или несколько сетевых узлов и перетащите их в нужную папку.
 Чтобы переименовать папку, щелкните ее правой кнопкой мыши и в контекстном меню выберите пункт Переименовать.
 Чтобы удалить папки: o
Убедитесь, что папки, которые требуется удалить, не содержат сетевых узлов. В противном случае перенесите сетевые узлы в другие папки. o
Выберите одну или несколько папок на панели навигации или в разделе Защищенная
сеть. o
Нажмите клавишу Delete либо воспользуйтесь пунктом Удалить в контекстном меню.
Для поиска сетевого узла в списке введите в строку поиска часть имени, IP-адреса или другие параметры узла.
Для просмотра свойств сетевого узла дважды щелкните имя узла. Откроется окно Свойства узла, в котором приведены общие сведения о сетевом узле и содержатся параметры доступа к узлу.
Чтобы проверить соединение с другим узлом, начать сеанс обмена защищенными сообщениями, отправить файл или использовать другие встроенные функции программы ViPNet Монитор
(см.
Встроенные средства коммуникации на стр. 165), выполните одно из действий:
 Выберите сетевой узел в списке и нажмите соответствующую кнопку на панели инструментов.
 Выберите соответствующий пункт в контекстном меню сетевого узла.
Работа в условиях ограниченных полномочий
Возможности использования программы ViPNet Client и изменения ее параметров на узлах сетей
ViPNet, управляемых с помощью программы ViPNet Administrator, могут быть ограничены уровнем полномочий пользователя. Кроме этого, интерфейс программы ViPNet Монитор может быть ограничен в режиме администратора сетевого узла (см.
Работа в программе в режиме администратора на стр. 215).
Если полномочия пользователя ограничены, могут быть скрыты определенные элементы интерфейса программы ViPNet Монитор, может быть заблокировано изменение параметров программы, сетевых фильтров и так далее. При входе в программу в режиме администратора все ограничения снимаются.
В данном документе возможности программы описаны с точки зрения пользователя, полномочия которого не ограничены. Если для вас недоступны какие-либо функции или настройки программы, обратитесь к администратору вашей сети ViPNet.
Информация о полномочиях пользователя содержится в документе «Классификация полномочий.
Приложение к документации ViPNet».

ViPNet Client 4. Руководство пользователя |
82
4
Система обновления ViPNet
О программе ViPNet Система обновления
83
Автоматическая установка обновлений
84
Установка обновлений вручную
85
Просмотр журнала установленных обновлений
87

ViPNet Client 4. Руководство пользователя |
83
О программе ViPNet Система обновления
ViPNet Система обновления обеспечивает получение и установку обновлений следующих типов:
 обновления ViPNet Client, полученные из программы ViPNet Administrator;
 обновления справочников и ключей, полученные из программы ViPNet Administrator;
 обновления политик безопасности (а также настройки по смене типа аутентификации и разрешении сохранения ПИН-кода), полученные из программы ViPNet Policy Manager.
Установка обновлений может осуществляться как в автоматическом режиме (см.
Автоматическая установка обновлений на стр. 84), так и вручную (см.
Установка обновлений вручную на стр. 85).
Если на узле настроена установка обновлений вручную, то при поступлении файлов обновления в области уведомлений отображается значок ViPNet Система обновления исоответствующая информация.
Рисунок 26. Отображение наличия обновлений в области уведомлений
Значок ViPNet Система обновления в области уведомлений может принимать следующий вид:

— доступны новые обновления;

— обновления успешно установлены;

— обновления успешно установлены, необходима перезагрузка.
После установки обновлений, если не требуется перезагрузка, значок системы перестает отображаться в области уведомлений.
Если же на узле настроена автоматическая установка обновлений, то все операции ViPNet Система обновления будет производить в «тихом» режиме без каких-либо сообщений. В области уведомлений значок системы будет отображаться, только если требуется перезагрузка компьютера
(значок будет иметь вид
).

ViPNet Client 4. Руководство пользователя |
84
Автоматическая установка обновлений
Чтобы обновления устанавливались на узле автоматически:
1 В меню Пуск выберите Все программы > ViPNet и запустите ViPNet Система обновления от имени администратора.
2 В открывшемся окне на вкладке Параметры установите флажок Устанавливать обновления
автоматически.
3 Чтобы после обновления перезагрузка выполнялась автоматически, установите соответствующий флажок.
4 Нажмите кнопку OK.
Рисунок 27. Настройка автоматической установки обновлений
Теперь, при поступлении обновлений появится сообщение об обновлении программы ViPNet.
Программа автоматически закрывается, и начинается обновление.
Если после обновления требуется перезагрузка, то в зависимости от настроек, перезагрузка произойдет автоматически или информация об этом появится в области уведомлений.

ViPNet Client 4. Руководство пользователя |
85
Установка обновлений вручную
Чтобы контролировать установку обновлений на сетевом узле, отключите автоматическую установку:
1 В меню Пуск выберите Все программы > ViPNet и запустите ViPNet Система обновления от имени администратора.
2 В открывшемся окне на вкладке Параметры снимите флажок Устанавливать обновления
автоматически.
3 Чтобы после обновления перезагрузка выполнялась автоматически, установите соответствующий флажок.
4 Нажмите кнопку OK.
Теперь проверять и устанавливать обновления можно вручную:
1 В области уведомлений щелкните значок
ViPNet Система обновления правой кнопкой мыши и в контекстном меню выберите пункт Доступные обновления.
2 В открывшемся окне проверьте список устанавливаемых обновлений (они отмечены флажком). Если какое-либо обновление устанавливать не нужно, снимите соответствующий флажок.
Рисунок 28. Просмотр полученных обновлений
3 Нажмите кнопку Установить обновления.
4 Если появилось сообщение, что есть работающие программы ViPNet, нажмите кнопку
Продолжить. При этом программы ViPNet будут закрыты.
При обновлении в области уведомлений отображается соответствующая информация.

ViPNet Client 4. Руководство пользователя |
86
Рисунок 29. Отображение установки обновлений в области уведомлений
5 Если после обновления необходимо выполнить перезагрузку, информация об этом появится в области уведомлений.
Внимание! Обновление ПО может занять значительное время. Не прерывайте процесс обновления и не выполняйте перезагрузку компьютера до окончания процесса обновления.

ViPNet Client 4. Руководство пользователя |
87
Просмотр журнала установленных обновлений
Для просмотра информации об установленных обновлениях:
1 В меню Пуск выберите Все программы > ViPNet > ViPNet Система обновления.
2 В появившемся окне выберите вкладку Журнал обновлений.
Рисунок 30. Журнал обновлений
Разные типы обновлений обозначаются следующими значками:
— обновление справочников и ключей, обновление политик безопасности.
— обновление ПО ViPNet.

ViPNet Client 4. Руководство пользователя |
88
5
Подключение к защищенной сети ViPNet
Протоколы соединений в защищенной сети
89
Принципы осуществления соединений в защищенной сети
91
Использование виртуальных IP-адресов
94
Настройка подключения к защищенной сети
96
Настройка доступа к защищенным узлам
99
Настройка приоритета IP-адресов доступа к координатору
103
Настройка доступа к туннелируемым узлам
106
Установка адресов видимости туннелируемых узлов по умолчанию
108
Просмотр информации о сетевом узле
110

ViPNet Client 4. Руководство пользователя |
89
Протоколы соединений в защищенной сети
Сетевые узлы ViPNet могут располагаться в сетях любого типа, поддерживающих IP-протокол.
Способ подключения к сети может быть любой: сеть Ethernet, PPPoE через XDSL-подключение, PPP через подключение Dial-up или ISDN, сеть сотовой связи GPRS или UMTS, устройства Wi-Fi, сети
MPLS или VLAN. ПО ViPNet поддерживает разнообразные протоколы канального уровня. Для создания защищенных соединений между сетевыми узлами используются IP-протоколы трех типов
(IP/241, UDP и TCP), в которые упаковываются пакеты любых других IP-протоколов.
При взаимодействии любых узлов ViPNet между собой, если они расположены в одном сегменте локальной сети и доступны по широковещательным адресам, используется протокол IP/241. Этот протокол более экономичен, так как не имеет UDP-заголовка размером 8 байт. Исходный пакет после шифрования упаковывается в пакет IP-протокола номер 241.
Рисунок 31. Сетевые узлы расположены в одном сегменте локальной сети
Если узлы ViPNet располагаются в разных сегментах сети, то автоматически используется протокол
UDP, который позволяет IP-пакетам проходить через межсетевые экраны. Исходный пакет после шифрования упаковывается в UDP-пакет.
Рисунок 32. Сетевые узлы соединяются через межсетевой экран
Если на пути следования IP-пакета расположено устройство NAT, на этом устройстве должны быть настроены динамические или статические правила трансляции адресов, которые разрешают обмен
UDP-трафиком с узлами сети ViPNet. При настройке статических правил должен быть указан порт инкапсуляции UDP-пакетов. По умолчанию используется порт 55777, но при необходимости он может быть изменен на любой другой. Если пакеты проходят напрямую через координатор, то номер порта узлов, расположенных за этим координатором, значения не имеет. После прохождения через координатор пакетам присваиваются IP-адреса соответствующего сетевого интерфейса координатора, то есть осуществляется трансляция адресов.
Бывают случаи, когда взаимодействие защищенных узлов по UDP-протоколу невозможно, передача UDP-пакетов провайдером услуг запрещена. Например, при удаленном подключении к

ViPNet Client 4. Руководство пользователя |
90 сети ViPNet из гостиниц или других общественных мест. В таком случае весь IP-трафик может передаваться через TCP-туннель, настроенный на сервере соединений узла, являющегося инициатором соединения. При настройке TCP-туннеля на сервере соединений
(см. глоссарий, стр. 385) может быть указан произвольный порт. По умолчанию используется порт 443.
Рисунок 33. Сетевые узлы соединяются через межсетевой экран
На сервере соединений полученные IP-пакеты извлекаются из TCP-туннеля и передаются дальше на узел назначения по UDP-протоколу.

ViPNet Client 4. Руководство пользователя |
91
Принципы осуществления соединений в защищенной сети
Клиентские узлы в сети ViPNet автоматически выполняют соединения с другими узлами по кратчайшим доступным маршрутам. Для установки соединений они используют серверы соединений
(см. глоссарий, стр. 385). Информацию о других узлах, параметрах доступа и их активности в данный момент клиенты получают от своего сервера IP-адресов
(см. глоссарий, стр. 385). По умолчанию сервер IP-адресов является сервером соединений для клиента, но при необходимости сервером соединений может быть назначен другой координатор.
Параметры подключения к сети определяются клиентами автоматически также с помощью серверов соединений.
Организация соединений между клиентскими узлами осуществляется следующим образом:
 Перед установкой соединения с другим узлом клиент определяет канал доступа к своему серверу соединений. Если клиент определил, что работает через устройство NAT, то он продолжает поддерживать канал путем периодической отправки на сервер IP-пакетов.
Интервал отправки IP-пакетов на сервер соединений по умолчанию равен 25 секундам. Этого, как правило, достаточно для работы через большинство устройств NAT. При необходимости интервал (тайм-аут) может быть изменен.
 После того как связь между клиентом и его сервером соединений будет установлена, клиент начинает устанавливать соединение с другим узлом. Он начинает передавать тестовые
IP-пакеты удаленному узлу через свой сервер соединений. Одновременно с этим клиент передает тестовые IP-пакеты на сервер соединений удаленного узла и напрямую на удаленный узел.
 Если тестовые IP-пакеты дошли до удаленного узла, то удаленный узел регистрирует соединение и начинает ответный IP-трафик передавать напрямую. Клиент при получении ответного IP-трафика от удаленного узла свой последующий IP-трафик ему также начинает передавать напрямую.
Если тестовые IP-пакеты дошли только до сервера соединений удаленного узла, то сервер соединений регистрирует это соединение и отправляет напрямую клиенту ответные IP-пакеты удаленного узла.
То есть с удаленным узлом устанавливается прямое соединение или соединение через его сервер соединений. Если ответный IP-трафик так и не поступил от удаленного узла или его сервера соединений, то клиент по-прежнему осуществляет соединение с удаленным узлом через свой сервер соединений.

ViPNet Client 4. Руководство пользователя |
92
Рисунок 34. Взаимодействие между сетевыми узлами
Таким образом, если существует возможность, узлы устанавливают взаимодействие друг с другом по кратчайшим маршрутам без участия координаторов, за счет чего повышается скорость обмена шифрованным IP-трафиком и снижается нагрузка на координаторы.
Примечание. Описанный порядок установления соединения применим в полном объеме только в том случае, если на всех узлах используется ПО ViPNet версии не ниже 4.2.х.
Кроме этого, существуют следующие особенности при установлении соединений в сети:
 Если узлы находятся в маршрутизируемой сети, то соединение между клиентами будет производиться в соответствии с заданными маршрутами через шлюзы сети, а не координаторы.
 Если удаленный узел, с которым устанавливается соединение, не расположен за устройством
NAT, то информация о возможности прямого доступа к нему запоминается и при следующих соединениях с этим узлом, если не изменилось его местоположение, тестовые IP-пакеты не отправляются, IP-трафик начинает сразу передаваться по прямому маршруту.
 Если клиенты, между которыми устанавливается соединение, расположены за устройствами с динамической трансляцией адресов, то они также в состоянии соединиться друг с другом напрямую. Это происходит за счет того, что серверы соединений передают клиентам информацию об IP-адресах и портах, по которым они могут получить доступ к другим узлам через устройства NAT. Данную информацию серверы определяют по полученным от клиентов
IP-пакетам.
Имея эту информацию, клиенты отправляют друг другу тестовые IP-пакеты на зарегистрированные IP-адреса и порты. Если тестовые пакеты будут получены хотя бы одной стороной, весь IP-трафик начинает передаваться между клиентами напрямую. То есть технология установления прямого соединения между клиентами будет применена, если хотя бы одно из устройств NAT при отправке IP-пакетов от узла по разным адресам сохраняет для данного узла выделенный порт.

ViPNet Client 4. Руководство пользователя |
93
Прямое соединение между клиентами будет невозможно, если устройства NAT обоих клиентов при отправке IP-пакетов от них по разным адресам каждый раз выделяют случайный порт.
Таким образом работает так называемый симметричный NAT. В этом случае соединение между двумя такими клиентами установится через один из серверов соединений.
 Возможность прямого соединения с удаленным узлом, стоящим за устройством с динамической трансляцией адресов, сохраняется по умолчанию в течение 75 секунд (трех тайм-аутов или интервалов отправки IP-пакетов) с момента окончания предыдущего соединения.
 Если клиент расположен за устройством со статической трансляцией адресов, то в его настройках необходимо зафиксировать нужный порт инкапсуляции UDP-пакетов. В противном случае порт будет изменяться, а вследствие этого соединение клиента с другими узлами будет невозможно.

ViPNet Client 4. Руководство пользователя |
94
Использование виртуальных
IP-адресов
Технология виртуальных адресов позволяет решить проблему с пересечением IP-адресов в локальных и глобальных сетях. Кроме того, виртуальные адреса можно использовать для настройки правил доступа к ресурсу. Поскольку IP-адрес используется для идентификации пользователя, то одной из сетевых угроз является подделка IP-адреса. Однако в сети ViPNet подделка адреса невозможна. В момент приема пакета из сети ViPNet-драйвер подставляет вместо реального адреса отправителя соответствующий виртуальный адрес, затем пакет передается приложению.
Это происходит только в случае успешной расшифровки пакета на ключах отправителя, то есть после идентификации отправителя пакета. Это обеспечивает защиту от подмены адреса отправителя и надежное разграничение доступа к ресурсам на основе виртуальных адресов.
Каждый сетевой узел ViPNet автоматически формирует один или несколько виртуальных
IP-адресов для каждого сетевого узла ViPNet и туннелируемого узла, с которым он связан. Каждому реальному адресу узла ставится в соответствие виртуальный IP-адрес. То есть число формируемых виртуальных адресов зависит от числа реальных адресов узла и числа туннелируемых этим узлом адресов.
У каждого сетевого узла собственный список виртуальных адресов для других узлов. Все приложения при работе в сети могут использовать эти виртуальные адреса для соединения с соответствующими узлами. ViPNet-драйвер подменяет адреса в момент отправки и получения
IP-пакетов (включая пакеты служб DNS, WINS, NetBIOS, SCCP, SIP и другие).
По умолчанию сетевой узел автоматически использует виртуальные адреса для соединения с другими сетевыми узлами, если эти узлы недоступны по широковещательным IP-адресам. Для туннелируемых узлов по умолчанию используются реальные IP-адреса. При необходимости можно принудительно установить для любых узлов реальную или виртуальную видимость.
Общие принципы назначения виртуальных адресов
По умолчанию начальный адрес для генератора виртуальных адресов — 11.0.0.1 (маска подсети:
255.0.0.0). Начальный адрес можно изменить в окне