Руководство пользователя 19912012 оао ИнфоТеКС

ViPNet Client Монитор 3.2. Руководство пользователя
129
1.3 Правило второго режима безопасности направляет пакет на дальнейшую проверку.
1.4 Пропускающее правило третьего режима безопасности. Если на сетевом интерфейсе включен третий режим и это исходящий локальный пакет, то пакет пропускается, иначе — следующая проверка.
1.5 Пропускающее правило четвертого режима безопасности. Если на сетевом интерфейсе включен данный режим и это локальный пакет, то пакет пропускается, иначе — следующая проверка.
1.6 Пропускающее правило пятого режима безопасности. Если на сетевом интерфейсе включен данный режим, то пакет пропускается, иначе — следующая проверка.
1.7 Блокирующие и пропускающие правила пользователя. Если пакет соответствует одному из правил фильтрации, заданных пользователем, то пакет пропускается или блокируется в соответствии с этим правилом, иначе – следующая проверка.
1.8 Блокирующее правило для всех открытых пакетов. Пакет, не соответствующий ни одному из предыдущих правил, блокируется.
2 Внутри защищенной сети, благодаря криптографической аутентификации трафика, невозможно провести атаку, источник которой нельзя было бы однозначно идентифицировать и устранить (в том числе в случае атаки на туннелируемый узел со стороны защищенного узла).
Любые правила фильтрации применяются к IP-пакетам только после их успешной расшифровки и идентификации сетевого узла-источника. В этом случае IP-адреса сетевых узлов не имеют никакого значения.
Поэтому трафик между защищенными узлами проходит только фильтры (см.
«
Правила фильтрации трафика
» на стр. 133), заданные по умолчанию или настроенные пользователем. Эти сетевые фильтры не зависят от сетевого интерфейса, с которого поступил пакет, и определяют правила пропускания трафика для конкретных протоколов, портов и направления передачи. Эти правила в основном предназначены для разграничения прав пользователей защищенных узлов сети ViPNet.
3 Структура фильтров для открытого трафика отличается от структуры фильтров защищенной сети. Подробнее об основных отличиях и структуре сетевых фильтров для открытого и защищенного трафика читайте в разделе
Правила фильтрации трафика
(на стр. 133).

ViPNet Client Монитор 3.2. Руководство пользователя
130
Режимы безопасности
Режим безопасности определяет основное правило фильтрации открытого IP-трафика.
Дополнительные правила фильтрации для определенных IP-адресов, протоколов и портов можно настроить в разделе Фильтры открытой сети.
Весь IP-трафик из защищенной сети считается доверенным, поэтому режимы безопасности не влияют на фильтрацию защищенного трафика. По умолчанию разрешены любые соединения с сетевыми узлами ViPNet, с которыми у данного абонентского пункта есть связь, вне зависимости от текущего режима безопасности.
При работе в открытой сети рекомендуется использовать один из трех режимов безопасности:

Первый режим безопасности (Блокировать IP-пакеты всех соединений).
Блокируется весь IP-трафик независимо от того, какие правила фильтрации заданы в разделе Фильтры открытой сети. Данный режим обеспечивает максимальный уровень защиты компьютера и эквивалентен физическому отключению компьютера от открытой сети. Абонентский пункт будет доступен только для защищенных сетевых узлов.

Второй режим безопасности (Блокировать все соединения кроме разрешенных).
Взаимодействие с любыми ресурсами открытой сети невозможно без создания специального правила фильтрации в разделе Фильтры открытой сети. По умолчанию разрешены лишь некоторые безопасные типы трафика, позволяющие компьютеру получить IP-адрес и подготовиться к работе в сети. Взаимодействие с другими сетевыми узлами ViPNet возможно без ограничений. Данный режим рекомендуется для опытных пользователей, которым необходима тонкая настройка разрешенных типов трафика.

Третий режим безопасности (Пропускать все исходящие соединения кроме
запрещенных). По умолчанию разрешены все соединения, инициируемые с вашего компьютера. Если соединение инициировано извне и не разрешено определенными правилами фильтрации, оно будет заблокировано. Рекомендуется использовать данный режим безопасности на абонентских пунктах, которым требуется безопасное взаимодействие с открытыми ресурсами локальной или внешней сети.

ViPNet Client Монитор 3.2. Руководство пользователя
131
Оставшиеся два режима безопасности следует использовать только в течение короткого времени для тестовых целей:

Четвертый режим безопасности (Пропускать все соединения). Если включен четвертый режим, компьютер не защищен от несанкционированного доступа из сети независимо от того, какие правила фильтрации настроены в разделе Фильтры
открытой сети.

Пятый режим безопасности (Пропускать IP-пакеты без обработки). В данном режиме отключена любая обработка IP-трафика. Журнал регистрации IP-пакетов не ведется.
По умолчанию установлен третий режим безопасности. Он обеспечивает достаточный уровень защиты и необходимую для работы в сети функциональность.
Изменение режима безопасности
Чтобы изменить режим безопасности, выполните следующие действия:
1 В окне программы ViPNet Монитор на панели навигации выберите раздел Режимы.
Рисунок 60: Режимы безопасности на абонентском пункте

ViPNet Client Монитор 3.2. Руководство пользователя
132
2 На правой панели выберите требуемый режим безопасности.
3 Если необходимо сменить режим безопасности, устанавливаемый при запуске программы ViPNet Монитор и при загрузке компьютера, из списка При старте
программы выберите требуемый режим.
Примечание. При смене конфигурации устанавливается тот режим безопасности, который был выбран в списке При старте программы в момент сохранения конфигурации (см. «
Управление конфигурациями программы
» на стр. 230).
4 Нажмите кнопку Применить.
5 Чтобы восстановить режим безопасности по умолчанию (третий), нажмите кнопку
По умолчанию, затем нажмите кнопку Применить.
Режим безопасности можно изменить с помощью контекстного меню, щелкнув правой кнопкой мыши значок ViPNet Монитор в области уведомлений.
Примечание. Если установить четвертый или пятый режим безопасности при работе в операционной системе Windows XP SP2 (или более поздней версии
Windows), Центр обеспечения безопасности Windows сообщит, что сетевой экран
ViPNet Firewall выключен (если уведомления центра обеспечения безопасности не отключены)

ViPNet Client Монитор 3.2. Руководство пользователя
133
Правила фильтрации трафика
Чтобы блокировать или пропускать IP-пакеты в зависимости от IP-адреса отправителя, используемого протокола или порта, требуется настроить фильтрацию сетевого трафика.
Общие сведения о сетевых фильтрах
Сетевые фильтры создаются отдельно для защищенного и открытого трафика. С помощью фильтров для открытой сети на защищенном узле можно разрешить либо запретить обмен IP-пакетами определенного типа с открытыми узлами, то есть с узлами, на которых не установлено программное обеспечение ViPNet с функцией шифрования трафика.
Примечание. К открытым узлам относятся также компьютеры с программным обеспечением ViPNet CryptoService и ViPNet Registration Point.
С помощью фильтров защищенной сети можно ограничить обмен IP-трафиком с защищенными узлами ViPNet, с которыми данный узел имеет связь. По умолчанию любые соединения с защищенными узлами разрешены фильтром <Все защищенные
узлы> (см. «
Фильтры защищенной сети, настроенные по умолчанию
» на стр. 135).
Списки сетевых фильтров представлены на правой панели в окне ViPNet Client
[Монитор] в разделах Фильтры защищенной сети и Фильтры открытой сети.
Сетевые фильтры в программе ViPNet Client имеют следующие особенности:

Фильтры защищенной сети и фильтры открытой сети разделены на группы: o
Локальные фильтры определяют правила фильтрации для нешироковещательных IP-пакетов, которыми сетевой узел обменивается с внешними сетевыми устройствами. o
Широковещательные фильтры определяют правила фильтрации пакетов, адреса назначения которых являются широковещательными. Такие адреса используются для рассылки пакетов на все компьютеры в локальной сети.
Настройки фильтров в каждой группе независимы друг от друга.

ViPNet Client Монитор 3.2. Руководство пользователя
134
Рисунок 61: Фильтры открытой сети в ViPNet Client

Сетевые фильтры имеют двухуровневую структуру.
На первом уровне находятся правила, в которых задается список IP-адресов или защищенных узлов ViPNet, на которые распространяется действие фильтров, создаваемых на втором уровне.
Фильтры привязаны к конкретным правилам и определяют действие, применяемое к
IP-пакетам, в соответствии с заданными параметрами: протокол, порты, типы, коды, направление соединения, расписание действия данного фильтра.

Действие правила определяется фильтрами. Фильтры могут пропускать ( ) или блокировать ( ) IP-пакеты, соответствующие заданным параметрам.
Чтобы изменить действие правила, двойным щелчком откройте фильтр и из списка
Действие фильтра выберите требуемое значение (см. «
Создание фильтров
» на стр.
142).
Правило включено, если установлен флажок рядом с именем правила ( ). Если флажок снят ( ), то правило отключено. То же самое относится к фильтрам. Чтобы включить или отключить правило или фильтр, установите или снимите соответствующий флажок.

Внутри каждой группы IP-пакеты проверяются на соответствие правилам по порядку сверху вниз, в соответствии с расположением правил в списке. Когда пакет

ViPNet Client Монитор 3.2. Руководство пользователя
135
блокируется или пропускается первым подходящим правилом, последующие правила уже не оказывают никакого влияния на данный пакет. Порядок правил можно изменять с помощью кнопок Вверх и Вниз, с помощью перетаскивания правила можно перемещать и копировать (при нажатой клавише Ctrl).

Внутри правила IP-пакеты также проверяются на соответствие фильтрам по порядку сверху вниз, в соответствии с положением фильтров в списке. Когда срабатывает первый подходящий фильтр, последующие фильтры не оказывают на данный пакет никакого влияния. Порядок фильтров можно изменять с помощью кнопок Вверх и
Вниз, с помощью перетаскивания фильтры можно перемещать и копировать (при нажатой клавише Ctrl).

При фильтрации открытого трафика всех протоколов установленные соединения имеют приоритет над другими правилами фильтрации. Если был разрешен некоторый трафик в определенном направлении, для пропускания такого трафика создается временное соединение. Автоматически будет пропущен и ответный трафик, удовлетворяющий параметрам данного соединения. При фильтрации защищенного трафика такое правило действует только для протокола TCP.
Фильтры защищенной сети, настроенные по умолчанию
В программе ViPNet Монитор в разделе Фильтры защищенной сети по умолчанию заданы следующие правила:

В группе Локальные фильтры правило <Все защищенные узлы>. Это правило распространяется на все защищенные узлы сети ViPNet, с которыми связан данный узел, и содержит единственный фильтр Все протоколы с действием Пропускать, разрешающий любые соединения.

В группе Широковещательные фильтры правило <Все защищенные узлы>. Это правило распространяется на все защищенные узлы сети ViPNet, с которыми связан данный узел, и содержит фильтры, разрешающие пропускание входящих и исходящих широковещательных пакетов по следующим протоколам и портам: o
Служебные пакеты сети ViPNet (UDP, порты 2046, 2048, 2050). o
Пакеты службы DHCP (UDP, порты 67 и 68), предназначенные для автоматического получения компьютерами IP-адресов. o
Пакеты netbios-ns (UDP, порт 137) и netbios-dgm (UDP, порт 138), предназначенные для организации работы службы NetBIOS, осуществляющей регистрацию и проверку имен компьютеров в локальной сети. o
Служебные пакеты кластера ViPNet (UDP, порт 2060). Этот фильтр отображается только при использовании ПО ViPNet Cluster.

ViPNet Client Монитор 3.2. Руководство пользователя
136
Примечание. В версиях программы ViPNet Монитор 3.1.0 и ниже для обеспечения работы службы DHCP служили фильтры bootps и bootpc. Если обновить ViPNet Монитор до текущей версии, эти фильтры останутся в списке и не будут заменены на фильтр службы DHCP.
Фильтры открытой сети, настроенные по умолчанию
В программе ViPNet Client в разделе Фильтры открытой сети по умолчанию заданы следующие правила:

В группе Локальные фильтры: o
<Все IP-адреса>. Это правило распространяется на все IP-адреса и содержит фильтры с действием Пропускать, разрешающие создание локальных нешироковещательных соединений по следующим протоколам и портам:

Пакеты службы DHCP (UDP, порты 67 и 68), предназначенные для автоматического получения компьютерами IP-адресов.

Пакеты netbios-dgm (UDP, порт 138), предназначенные для организации работы службы NetBIOS, осуществляющей регистрацию и проверку имен компьютеров в локальной сети. o
Windows Mobile-based device. Это правило содержит фильтры с действием
Пропускать, предназначенные для обеспечения синхронизации компьютера с
КПК (на базе Windows Mobile 5.0/6.x) при помощи ActiveSync 4.x (или с помощью Центра устройств Windows Mobile на Windows Vista и Windows 7).
Подробнее см. раздел Синхронизация компьютера с КПК (на стр. 254).

В группе Широковещательные фильтры правило <Все IP-адреса>. Это правило распространяется на все IP-адреса и содержит фильтры с действием Пропускать, разрешающие пропускание входящих и исходящих широковещательных пакетов по следующим протоколам и портам: o
Пакеты службы DHCP (UDP, порты 67 и 68), предназначенные для автоматического получения компьютерами IP-адресов. o
Пакеты netbios-ns (UDP, порт 137) и netbios-dgm (UDP, порт 138), предназначенные для организации работы службы NetBIOS, осуществляющей регистрацию и проверку имен компьютеров в локальной сети.
Примечание. В версиях программы ViPNet Монитор 3.1.0 и ниже для обеспечения работы службы DHCP служили фильтры bootps и bootpc. Если обновить ViPNet Монитор до текущей версии, эти фильтры останутся в списке и не будут заменены на фильтр службы DHCP.

ViPNet Client Монитор 3.2. Руководство пользователя
137
Создание правил для защищенной сети
Чтобы создать новое правило фильтрации трафика для защищенной сети (см. «
Общие сведения о сетевых фильтрах
» на стр. 133), выполните следующие действия:
1 В окне программы ViPNet Монитор на панели навигации выберите раздел Сетевые
фильтры > Фильтры защищенной сети.
2 В разделе Фильтры защищенной сети щелкните правой кнопкой мыши заголовок группы фильтров, в которой требуется создать новое правило, и в контекстном меню выберите пункт Создать правило.
Рисунок 62: Создание правила для защищенной сети
3 В зависимости от того, какая группа правил выбрана, откроется одно из следующих окон: Широковещательное правило или Локальное правило.

ViPNet Client Монитор 3.2. Руководство пользователя
138
Рисунок 63: Локальное и широковещательное правила для защищенной сети
4 Если требуется самостоятельно задать имя правила, снимите флажок
Автоматическое назначение имени. По умолчанию имя правила будет назначено автоматически.
5 Убедитесь, что установлен флажок Включить правило, иначе созданное правило будет отключено. После создания правила его всегда можно включить или отключить.
6 При создании локального правила в списке Защищенные узлы укажите узлы
ViPNet, на которые будет распространяться действие правила. По умолчанию правило действует для всех защищенных узлов.
Широковещательное правило можно создать только для всех сетевых узлов, то есть изменить список Защищенные узлы для широковещательного правила невозможно.
Чтобы добавить узлы в список: o
Нажмите кнопку Добавить. o
В окне Выбор сетевого узла укажите один или несколько узлов и нажмите кнопку Выбрать.
Чтобы удалить сетевые узлы из списка, выберите их и нажмите кнопку Удалить.
7 Для сохранения правила нажмите кнопку OK. Сразу после этого откроется окно для добавления фильтра к созданному правилу (см. «
Создание фильтров
» на стр. 142).
Чтобы отказаться от создания фильтра, нажмите кнопку Отмена.

ViPNet Client Монитор 3.2. Руководство пользователя
139
Создание правил для открытой сети
Чтобы создать новое правило фильтрации трафика для открытой сети (см. «
Общие сведения о сетевых фильтрах
» на стр. 133), выполните следующие действия:
1 В окне программы ViPNet Монитор на панели навигации выберите раздел Сетевые
фильтры > Фильтры открытой сети.
2 В разделе Фильтры открытой сети щелкните правой кнопкой мыши заголовок группы фильтров, в которой требуется создать новое правило, и в контекстном меню выберите пункт