Руководство пользователя 19912012 оао ИнфоТеКС

ViPNet Client Монитор 3.2. Руководство пользователя
114
Рисунок 54: IP-адреса сетевого узла
4 Чтобы добавить IP-адрес: o
В группе IP-адреса нажмите кнопку Добавить. o
В окне IP-адрес укажите реальный адрес сетевого узла. o
Нажмите кнопку OK.
Введенный IP-адрес будет добавлен в список. Автоматически новому адресу будет сопоставлен виртуальный IP-адрес (см. «
Виртуальные IP-адреса
» на стр. 110).
5 Если возможен конфликт между указанным IP-адресом и адресами локальной подсети, установите флажок Использовать виртуальные IP-адреса.
Примечание. Если сетевой узел, для которого указывается IP-адрес, находится в локальной подсети и для доступа к нему не используется межсетевой экран, использование виртуальных IP-адресов невозможно.
6 Если для доступа к сетевому узлу необходимо использовать DNS-имя: o
Установите флажок Использовать DNS-имя. o
Под списком DNS-имя нажмите кнопку Добавить. o
В окне DNS-имя введите DNS-имя сетевого узла и нажмите кнопку OK.

ViPNet Client Монитор 3.2. Руководство пользователя
115
Для любого сетевого узла можно задать несколько DNS-имен. При настройке параметров доступа к координатору DNS-имена узлов, туннелируемых этим координатором, также следует добавить в список на вкладке IP-адреса.
Для абонентского пункта порядок DNS-имен в списке не имеет значения. Для координатора в первой строке списка нужно указать DNS-имя, соответствующее IP- адресу координатора.
Подробная информация об использовании службы DNS в сети ViPNet содержится в разделе
Настройка и использование служб имен DNS и WINS в сети ViPNet
(на стр.
167).
7 Если для доступа к сетевому узлу используется межсетевой экран, откройте вкладку
Межсетевой экран.
Рисунок 55: Настройка доступа к узлу через межсетевой экран
На вкладке Межсетевой экран выполните следующие действия: o
Установите флажок Использовать настройки работы узла через межсетевой
экран. o
Нажмите кнопку Добавить. o
В окне IP-адрес укажите IP-адрес межсетевого экрана, используемого для доступа к сетевому узлу, и нажмите кнопку OK. o
Если необходимо, добавьте дополнительные IP-адреса.

ViPNet Client Монитор 3.2. Руководство пользователя
116
Если для координатора указано несколько IP-адресов доступа через межсетевой экран, для этих адресов можно задать метрики (см. «
Настройка приоритета IP- адресов доступа к координатору
» на стр. 121). o
В поле Порт UDP укажите порт доступа через межсетевой экран.
8 Чтобы сохранить настройки, нажмите кнопку Применить.

ViPNet Client Монитор 3.2. Руководство пользователя
117
Использование псевдонимов для защищенных узлов
Для удобства восприятия в разделе Защищенная сеть для любого сетевого узла можно задать произвольный псевдоним. Этот псевдоним будет отображаться вместо имени сетевого узла в разделе Защищенная сеть. Чтобы найти сетевой узел в списке, в строку поиска можно ввести как псевдоним, так и имя сетевого узла.
Чтобы задать псевдоним для сетевого узла:
1 В программе ViPNet Монитор выберите раздел Защищенная сеть и дважды щелкните узел, для которого требуется задать псевдоним.
2 В окне Свойства узла на вкладке Общие в поле Псевдоним введите имя, которое нужно присвоить данному сетевому узлу.
3 Нажмите кнопку OK.
4 При необходимости добавьте псевдонимы для других защищенных сетевых узлов.
Примечание. Если после добавления псевдонима в списке по-прежнему указано имя сетевого узла, включите функцию отображения псевдонимов. Для этого:

В программе ViPNet Монитор в меню Сервис выберите пункт Настройки.

В окне Настройка в разделе Общие установите флажок Отображать
псевдонимы ViPNet-пользователей.
Чтобы воспользоваться созданными псевдонимами пользователей сети ViPNet на других сетевых узлах:
1 На компьютере, где уже созданы псевдонимы, выполните экспорт псевдонимов в файл:
1.1 В программе ViPNet Монитор в меню Сервис выберите пункт Экспорт
псевдонимов.
1.1 Укажите путь к файлу, в котором будут сохранены псевдонимы.
2 Отправьте файл экспорта пользователям сети ViPNet, которые будут использовать псевдонимы на своих сетевых узлах.
3 Выполните импорт файла псевдонимов:

ViPNet Client Монитор 3.2. Руководство пользователя
118
3.1 В программе ViPNet Монитор в меню Сервис выберите пункт Импорт
псевдонимов.
3.2 Укажите путь к файлу, в котором сохранены псевдонимы.

ViPNet Client Монитор 3.2. Руководство пользователя
119
Настройка доступа к туннелируемым узлам
Примечание. Если настройки параметров туннелирования для всех координаторов были сделаны в программе ViPNet Administrator или ViPNet
Manager, то в программе ViPNet Монитор на сетевом узле не требуется выполнять никаких дополнительных настроек. Сетевой узел сможет устанавливать соединения с туннелируемыми узлами.
Чтобы настроить соединение сетевого узла ViPNet с туннелируемыми узлами:
1 В окне программы ViPNet Монитор на панели навигации выберите раздел
Защищенная сеть.
2 В разделе Защищенная сеть дважды щелкните координатор, который осуществляет туннелирование требуемого открытого узла.
3 В окне Свойства узла на вкладке Туннель установите флажок Использовать IP-
адреса для туннелирования.
Рисунок 56: Адреса туннелируемых узлов

ViPNet Client Монитор 3.2. Руководство пользователя
120
Примечание. Если необходимо указать DNS-имена туннелируемых узлов, эти имена следует добавить в список DNS-имен туннелирующего координатора (см.
«
Настройка доступа к защищенным узлам
» на стр. 113). Следует иметь в виду, что на первом месте в этом списке должно стоять зарегистрированное на DNS- сервере имя координатора.
4 Если возможен конфликт IP-адресов в подсетях, установите флажок Использовать
виртуальные IP-адреса.
5 Если абонентский пункт когда-либо работает удаленно и при этом должен устанавливать соединение с туннелируемыми узлами в своей (исходной) сети, IP- адреса этих ресурсов следует добавить в список туннелируемых адресов. В этом случае должен быть установлен флажок Не туннелировать IP-адреса, входящие в
подсеть Вашего компьютера. Иначе соединение между абонентским пунктом и туннелируемым узлом будет невозможно, если они находятся в одной подсети.
6 Если при соединении с какими-либо узлами шифрование данных не требуется, рекомендуется установить флажок Не туннелировать следующие IP-адреса и добавить в список ниже IP-адреса этих узлов.
7 Выполнив необходимые настройки, нажмите кнопку Применить.
Настройки, описанные в данном разделе, должны быть выполнены на сетевом узле для всех координаторов, с туннелируемыми узлами которых требуется устанавливать соединения.

ViPNet Client Монитор 3.2. Руководство пользователя
121
Настройка приоритета IP-адресов доступа к координатору
Если координатор имеет несколько адресов доступа (например, по разным каналам связи), то можно настроить приоритет каналов для установления соединения с координатором. Если самый приоритетный канал по каким-то причинам недоступен, то канал связи будет выбран в соответствии с приоритетами оставшихся каналов. Когда самый приоритетный канал станет доступен, соединение с координатором вновь будет установлено через него.
Приоритет каналов задается с помощью метрики для каждого адреса доступа координатора. По умолчанию метрика назначается автоматически. При назначении метрик нужно придерживаться следующих принципов:

Метрика определяет задержку (в миллисекундах) отправки тестовых пакетов при выполнении опроса для определения доступности адреса. Соединение устанавливается по тому адресу, доступность которого быстрее определяется в результате опроса.

Опросы осуществляются периодически, период задается на координаторе в окне
Настройка в разделе Защищенная сеть > Дополнительные параметры. По умолчанию период опроса других координаторов равен 15 минутам, период опроса координатора абонентскими пунктами равен 5 минутам.

Адрес с наименьшей метрикой считается самым приоритетным. Соединение с координатором устанавливается по адресу с наименьшей метрикой всегда, когда этот адрес доступен.

Если для всех адресов доступа узла метрика назначена автоматически, то значение метрики равно 0. Если для части адресов метрика назначена вручную, а для остальных — автоматически, то значение автоматически назначенной метрики всегда на 100 миллисекунд больше максимального значения метрики, присвоенной вручную.

Чем больше разница между наименьшей метрикой и остальными метриками, тем меньше вероятность того, что в случае кратковременного сбоя самого приоритетного канала будет выбран менее приоритетный канал. При использовании менее приоритетного канала сетевой узел быстрее сможет вернуться к работе через самый приоритетный канал, когда он станет доступен.

ViPNet Client Монитор 3.2. Руководство пользователя
122

Если все метрики равны, то для работы будет выбран тот канал, через который соединение с координатором будет установлено быстрее. После того как канал выбран, определение доступности других каналов связи выполняется только при потере соединения по текущему каналу. Этот же механизм действует в случае, если выбран канал связи с наименьшей метрикой.

Если хотя бы для одного адреса доступа значение метрики задано вручную и выбран не самый приоритетный канал, то определение доступности других каналов связи с целью возвращения к каналу с наименьшей метрикой начнется одновременно с проверкой наличия соединения по выбранному каналу.

При запуске программы ViPNet Монитор и при проверке соединения с координатором (см. «
Проверка соединения с сетевым узлом
» на стр. 205) всегда осуществляется проверка доступности всех каналов связи с целью выбора для работы с координатором канала с наименьшей метрикой.

После определения канала доступа текущий адрес доступа отобразится в окне свойств координатора в первой строке списка IP-адресов на вкладке Межсетевой
экран.
Чтобы назначить метрики для адресов доступа к координатору, выполните следующие действия:
1 В окне программы ViPNet Монитор на панели навигации выберите раздел
Защищенная сеть.
2 В разделе Защищенная сеть дважды щелкните координатор, для которого требуется задать приоритет IP-адресов доступа.
3 В окне Свойства узла откройте вкладку Межсетевой экран.
4 В случае необходимости настройте параметры доступа к координатору через межсетевой экран (см. «
Настройка доступа к защищенным узлам
» на стр. 113).
5 Чтобы назначить IP-адресу доступа метрику, выберите в списке адрес и нажмите кнопку Изменить. Откроется окно IP-адрес доступа.
Рисунок 57: Назначение метрики

ViPNet Client Монитор 3.2. Руководство пользователя
123
6 Чтобы метрика определялась автоматически, установите флажок Автоматическое
назначение метрики.
Чтобы изменить метрику, снимите флажок Автоматическое назначение метрики и в поле Метрика введите значение метрики в миллисекундах (допустимые значения от 1 до 9999).
7 Нажмите кнопку OK.
Рассмотрим пример использования метрики. Предположим, координатор имеет четыре адреса доступа по каналам связи А, В, С и D. Требуется задать метрики для этих каналов.
Пусть каналы имеют следующий приоритет:
1 А — самый быстрый и безопасный канал. Используется в первую очередь.
2 С и D — безопасные, но менее быстрые каналы. Используются, если канал А недоступен.
3 B — менее безопасный канал. Используется в последнюю очередь.
Чтобы канал A стал самым приоритетным, зададим для него самую маленькую метрику, например 1. Для канала B зададим максимальную метрику 9999, так как работа через этот канал нежелательна. Для каналов C и D зададим одинаковую метрику, причем такую, чтобы разница с метрикой для канала А была небольшой, например, 500.
При указанных значениях метрик канал А будет использоваться всегда, когда доступен.
Если в момент проверки он недоступен или его качество ухудшилось (он стал медленнее), то соединение с координатором будет установлено по каналу С или D. И только в крайнем случае, если в момент проверки каналы А, С или D недоступны или их качество значительно ухудшилось, для работы может быть выбран канал В.
Если для соединения с координатором используются каналы В, С или D, то по истечении периода опроса, при перезапуске программы ViPNet Монитор или при проверке соединения с координатором сетевой узел будет пытаться установить соединение с координатором по каналу А. Чем меньше период опроса, тем быстрее происходит переход на другой канал в случае сбоев и возвращение на более приоритетный канал.

ViPNet Client Монитор 3.2. Руководство пользователя
124
Интегрированный сетевой экран
Основные принципы фильтрации трафика
125
Режимы безопасности
130
Правила фильтрации трафика
133
Настройка системы обнаружения атак
146
4

ViPNet Client Монитор 3.2. Руководство пользователя
125
Основные принципы фильтрации трафика
Фильтрации подвергается весь трафик, который проходит через сетевой узел:

открытый (нешифрованный) трафик;

защищенный трафик (перед его шифрованием и после расшифровки).
Рисунок 58: Виды трафика, для которых устанавливаются различные правила фильтрации
Примечание. В ПО ViPNet локальными и широковещательными называются следующие типы IP-пакетов:

IP-пакет называется локальным для некоторого сетевого узла, если этот сетевой узел является отправителем или получателем данного пакета.

IP-пакет называется широковещательным, если IP-адрес или MAC-адрес назначения данного пакета является широковещательным адресом.
Для того чтобы правильно настроить правила фильтрации, необходимо понимать основные принципы фильтрации трафика различного типа:
1 Наибольшую опасность представляет трафик из открытой сети, где источник атаки бывает очень сложно обнаружить. Также непросто принять адекватные оперативные

ViPNet Client Монитор 3.2. Руководство пользователя
126
меры по пресечению атаки. Поэтому открытый трафик подвергается последовательной комплексной фильтрации.
Правила фильтрации открытого IP-трафика являются результатом действия: o выбранного режима безопасности (см. «
Режимы безопасности
» на стр. 130); o списка правил фильтрации трафика для соединений (см. «
Правила фильтрации трафика
» на стр. 133); o системы обнаружения атак (см. «
Настройка системы обнаружения атак
» на стр.
146).
Инициализация ViPNet-драйвера выполняется на начальном этапе загрузки
Windows, то есть до инициализации остальных служб и драйверов операционной системы. Работа ViPNet-драйвера до авторизации пользователя ViPNet (см.
«
Способы аутентификации пользователя
» на стр. 76) не зависит от настроек фильтров открытой сети, а определяется текущим режимом безопасности и рядом фильтров по умолчанию, необходимых для работы сетевых служб, которые запускаются до авторизации пользователя ViPNet: o
В первом режиме блокируется весь открытый IP-трафик без исключений. o
Во втором режиме блокируется весь IP-трафик, за исключением следующих соединений:

Все соединения для работы службы DHCP вне зависимости от направления соединения по протоколу UDP и портам источника и назначения 67-68.

Исходящие соединения netbios-ns по протоколу UDP c портами источника и назначения 137.

Исходящие соединения netbios-dgm по протоколу UDP c портами источника и назначения 138.

Исходящие соединения для работы службы DNS по протоколу UDP с любым портом источника и 53 портом назначения. o
В третьем режиме пропускаются все исходящие соединения и входящие соединения службы DHCP (протокол UDP, порты источника и назначения 67-
68). o
В четвертом режиме разрешен весь открытый IP-трафик, защита снята.
Подробнее о режимах безопасности см. раздел
Режимы безопасности
(на стр. 130).
Фильтрация трафика осуществляется с учетом установленных соединений.
Соединение устанавливается, когда в соответствии с правилами фильтрации трафика пропускается входящий или исходящий IP-пакет. Параметры такого IP- пакета регистрируются. На основании этих параметров создается временное правило для пропускания последующих пакетов в прямом и обратном направлении. Правило существует, пока есть трафик, соответствующий параметрам данного соединения.

ViPNet Client Монитор 3.2. Руководство пользователя
127
Кроме того, в рамках созданного соединения по протоколам TCP, UDP, ICMP всегда пропускаются следующие ICMP-сообщения об ошибках:

тип 3 — адресат недоступен;

тип 4 — замедление источника;

тип 11 — истечение времени;

тип 12 — неверный параметр.
Если в течение определенного промежутка времени пакеты, соответствующие параметрам данного соединения, не поступают, соединение разрывается.
Если входящий или исходящий пакет не соответствует ни одному правилу в рамках соединения и ни одному из заданных пропускающих правил, то пакет блокируется.
Такой метод контроля обеспечивает высокий уровень безопасности, позволяя открывать минимальное число протоколов и портов для доступа к открытым ресурсам своей сети. Таким образом, IP-пакет последовательно проходит ряд фильтров, пока не будет пропущен или заблокирован одним из них. Как только пакет пропускается или блокируется, все последующие фильтры уже не действуют.
Открытый IP-пакет проходит проверку на соответствие различным правилам в следующей последовательности: