Руководство пользователя 19912012 оао ИнфоТеКС

ViPNet Client Монитор 3.2. Руководство пользователя
140
Рисунок 65: Создание локального правила и широковещательного правила в ViPNet
Client
4 Если требуется самостоятельно задать имя правила, снимите флажок
Автоматическое назначение имени. По умолчанию имя правила будет назначено автоматически.
5 Убедитесь, что установлен флажок Включить правило, иначе созданное правило будет отключено. После создания правила его всегда можно включить или отключить.
6 Задайте IP-адреса внешних устройств, трафик с которыми должен фильтроваться в соответствии с создаваемым правилом.
Чтобы задать IP-адрес: o
Нажмите кнопку Добавить.
Рисунок 66: Добавление IP-адреса или имени компьютера
o
В окне IP-адрес выполните одно из действий:
Если известны IP-адреса узлов, которые требуется включить в правило:

ViPNet Client Монитор 3.2. Руководство пользователя
141

В поле Диапазон IP-адресов введите IP-адрес или диапазон IP-адресов для фильтрации. При вводе диапазона IP-адресов задайте начальный и конечный адрес диапазона.

Чтобы найти имя компьютера по введенному IP-адресу, нажмите кнопку
Определить имя компьютера. В окне Определить имя/IP-адрес нажмите кнопку Начать поиск, результат будет отображен в поле Результаты
поиска.
Рисунок 67: Поиск имени компьютера
Если IP-адреса неизвестны, но известны сетевые имена компьютеров или их
URL-адреса (для веб-сайтов, FTP-серверов и пр.):

В поле Имя компьютера введите имя или URL-адрес компьютера, трафик с которым должен фильтроваться в соответствии с создаваемым правилом.

Чтобы найти IP-адрес компьютера по введенному имени, нажмите кнопку
Определить IP-адрес. В окне Определить имя/IP-адрес нажмите кнопку
Начать поиск, результат будет отображен в поле Результаты поиска. o
Задав IP-адреса, нажмите кнопку OK. Чтобы выйти без сохранения изменений, нажмите кнопку Отмена.
7 Для сохранения правила нажмите кнопку OK. Сразу после этого откроется окно для добавления фильтра к созданному правилу (см. «
Создание фильтров
» на стр. 142).
Чтобы отказаться от создания фильтра, нажмите кнопку Отмена.

ViPNet Client Монитор 3.2. Руководство пользователя
142
Создание фильтров
Чтобы добавить к правилу фильтр, выполните следующие действия:
1 Щелкните правой кнопкой мыши правило, к которому требуется добавить фильтр.
2 В контекстном меню выберите пункт Добавить фильтр.
3 В зависимости от типа правила, для которого создается фильтр, откроется одно из окон: Локальный фильтр или Широковещательный фильтр.
Рисунок 68: Создание фильтров протоколов для локального правила и
широковещательного правила
4 Если требуется самостоятельно задать имя фильтра, снимите флажок
Автоматическое назначение имени. По умолчанию имя фильтра назначается автоматически.
5 Убедитесь, что установлен флажок Включить фильтр, иначе созданный фильтр будет отключен. После создания фильтра его можно включить или отключить в любой момент.
6 Задайте параметры фильтра: o
Из списка Протокол выберите протокол для фильтрации. Правило, к которому будет добавлен создаваемый фильтр, будет обрабатывать только IP-пакеты, переданные с помощью указанного протокола. Если требуемый протокол отсутствует в списке, нажмите кнопку Список и в открывшемся окне добавьте протокол. o
Из списка Направление соединения выберите направление передачи IP- пакетов. Если выбрать Любое, то направление передачи IP-пакетов не будет учитываться при фильтрации.

ViPNet Client Монитор 3.2. Руководство пользователя
143
7 Из списка Действие фильтра выберите действие (Пропускать или Блокировать), которое будет применяться к IP-пакетам, соответствующим параметрам фильтра.
8 Чтобы настроить расписание работы фильтра, нажмите кнопку Настроить
расписание. С помощью расписания можно задать интервалы активности фильтра.
В окне Расписание выполните следующие действия: o
Установите флажок Использовать расписание действия фильтра. o
Из списка Расписание выберите тип расписания (Ежедневное или
Еженедельное). Если требуется, чтобы фильтр был активен в некоторые дни недели, выберите Еженедельное расписание. o
Из списка Фильтр действует выберите, когда фильтр будет активен: В
указанное время или Все время кроме указанного. o
Выбрав Ежедневное расписание, укажите время начала и время конца интервала. o
Выбрав Еженедельное расписание, с помощью флажков укажите, в какие дни недели фильтр должен быть активен. Для каждого из выбранных дней укажите время начала и время конца интервала. o
Выполнив необходимые настройки, нажмите кнопку OK.
Рисунок 69: Настройка расписания для фильтра протоколов

ViPNet Client Монитор 3.2. Руководство пользователя
144
9 Выполнив настройку фильтра, нажмите кнопку OK. Созданный фильтр будет добавлен к выбранному правилу. Если для фильтра настроено расписание работы, справа от его имени отображается значок
Практический пример использования сетевых фильтров
Рассмотрим следующий пример использования сетевых фильтров.
Допустим, в компании используется почтовый сервер, на котором установлена программа ViPNet Монитор. Этот почтовый сервер должен иметь возможность обмениваться информацией с внешними узлами для следующих целей:

Через защищенный почтовый сервер осуществляется обмен сообщениями электронной почты с внешними почтовыми серверами.

В компании используются системы бесперебойного питания (UPS), позволяющие отправлять на защищенный почтовый сервер определенные сообщения о своем статусе. Установить программное обеспечение ViPNet или настроить туннелирование на данных устройствах не представляется возможным или целесообразным.
Отправка сообщений на почтовый сервер осуществляется по протоколу SMTP. Чтобы организовать обмен сообщениями с внешними почтовыми серверами и прием сообщений от системы бесперебойного питания, на защищенном почтовом сервере необходимо создать сетевые фильтры, разрешающие прием и передачу IP-пакетов по 25-му порту
TCP (стандартный порт для протокола SMTP).
Чтобы создать сетевой фильтр для обмена почтовыми сообщениями с внешними адресатами, на защищенном почтовом сервере выполните следующие действия:
1 В окне программы ViPNet Монитор на панели навигации выберите раздел Сетевые
фильтры > Фильтры открытой сети.
2 В разделе Фильтры открытой сети создайте правило для всех IP-адресов, так как
IP-адреса внешних почтовых серверов заранее неизвестны.
Для этого в группе Локальные фильтры щелкните правой кнопкой мыши правило
Все IP-адреса и в контекстном меню выберите пункт Добавить фильтр.
Примечание. Если в группе Локальные фильтры отсутствует правило Все IP-
адреса, его необходимо создать (см. «
Создание правил для открытой сети
» на стр. 139).

ViPNet Client Монитор 3.2. Руководство пользователя
145
3 В окне Локальный фильтр укажите следующие параметры: o
В списке Протокол выберите значение TCP. o
Если в программе ViPNet Монитор выбран второй режим безопасности (см.
«
Режимы безопасности
» на стр. 130), в списке Направление соединения выберите значение Любое, так как в этом случае необходимо разрешить как входящие соединения, так и исходящие.
Если в программе ViPNet Монитор выбран третий режим безопасности, в списке
Направление соединения выберите значение Входящие, так как в этом случае исходящие соединения разрешены по умолчанию, требуется разрешить только входящие соединения. o
В списке Порт источника выберите значение Все. o
В списке Порт назначения выберите значение Номер и в появившемся справа списке укажите номер порта 25-smtp. o
В списке Действие фильтра сохраните значение по умолчанию — Пропускать.
Рисунок 70: Пример настройки разрешающего правила для протокола SMTP
4 Нажмите кнопку OK.
Таким образом, на защищенном почтовом сервере организован обмен сообщениями с открытыми узлами по протоколу SMTP.

ViPNet Client Монитор 3.2. Руководство пользователя
146
Настройка системы обнаружения атак
Система обнаружения атак (intrusion detection system, IDS) служит для обнаружения и предотвращения действий злоумышленников («хакеров»), целью которых может быть получение несанкционированного доступа к компьютеру либо вывод его из строя.
Система обнаружения атак работает на сетевом уровне, благодаря чему имеет ряд достоинств:

Возможность обнаруживать и блокировать сетевые пакеты до обработки их стеком
TCP/IP.

Возможность блокировать на ранней стадии атаки, направленные на перегрузку ОС, приводящие к отказу в обслуживании.
Кроме того, система IDS способна обнаруживать исходящие атаки (как будто злоумышленник находится за вашим компьютером). Это полезно в том случае, если ваша
ОС каким-либо образом используется злоумышленником в качестве атаки на какую-либо третью ОС (например, с помощью «троянских» программ).
Если система обнаружения атак обнаружит пакет, соответствующий параметрам одной из типовых атак, этот пакет будет заблокирован. Для пакетов, заблокированных системой обнаружения атак, в Журнале IP-пакетов (см. «
Работа с журналом IP-пакетов
» на стр.
213) указан код события и название предполагаемой атаки.
Для настройки системы обнаружения атак выполните следующие действия:
1 В окне программы ViPNet Монитор в меню Сервис выберите пункт Настройки.
2 На панели навигации окна Настройка выберите раздел Обнаружение атак.

ViPNet Client Монитор 3.2. Руководство пользователя
147
Рисунок 71: Настройка системы обнаружения атак
3 Чтобы включить систему обнаружения атак для входящего трафика, установите флажок Обнаруживать атаки во входящих IP-пакетах.
4 Чтобы включить систему обнаружения атак для исходящего трафика, установите флажок Обнаруживать атаки в исходящих IP-пакетах.
5 Чтобы сохранить настройки, нажмите кнопку Применить.

ViPNet Client Монитор 3.2. Руководство пользователя
148
Настройка параметров обработки прикладных протоколов
Общие сведения о прикладных протоколах
149
Описание прикладных протоколов
152
Настройка параметров обработки прикладных протоколов
154
5

ViPNet Client Монитор 3.2. Руководство пользователя
149
Общие сведения о прикладных протоколах
Функционирование сетевых сервисов, например, таких как, IP-телефония, DNS-служба,
FTP-служба, обеспечивается прикладными протоколами, которые регламентируют передачу IP-адреса в теле пакета. Поведение подобного рода может привести к отсутствию сервиса на защищаемых ресурсах в случае использования технологии виртуальных IP-адресов. Кроме того, некоторые протоколы помимо основного
(управляющего) соединения, открывают для передачи данных дополнительные соединения на случайно выбранный порт. Для IP-пакетов, следующих на порт назначения, номер которого заранее не известен, невозможно создать разрешающее правило фильтрации, следовательно, соединение будет заблокировано.
Решить перечисленные проблемы позволяет обработка прикладных протоколов, которая обеспечивает:

Подмену виртуального IP-адреса в теле пакета на реальный IP-адрес в случае использования технологии виртуальных IP-адресов.

Активацию разрешающего правила фильтрации IP-трафика для дополнительного соединения на случайно выбранный порт, открываемого прикладным протоколом.
Примечание. В программе ViPNet Монитор обработка прикладных протоколов осуществляется для открытого и защищенного трафика.
Следует учитывать, что обработка прикладных протоколов не предполагает автоматического разрешения на установление управляющего соединения с открытыми узлами. Установление управляющего соединения с открытыми узлами осуществляется в соответствии с настроенными фильтрами открытой сети и режимом безопасности в программе ViPNet Монитор.
Рассмотрим обработку прикладного протокола на примере протокола FTP.
При передаче файлов между FTP-клиентом и FTP-сервером протокол регламентирует установление двух TCP-соединений: управляющее соединение — для отправки команд
FTP-серверу и получения ответов от него, и дополнительное соединение для передачи данных. Соединение клиента с сервером осуществляется в одном из двух режимов: активном и пассивном. В активном режиме клиент инициирует управляющее соединение

ViPNet Client Монитор 3.2. Руководство пользователя
150
с порта из диапазона 1024-65535 на порт с номером 21 на сервере. По номеру порта, с которого клиент инициировал соединение, сервер подключается к клиенту и устанавливает соединение для передачи данных. При этом со стороны сервера соединение происходит через порт с номером 20. В пассивном режиме после установления управляющего соединения сервер сообщает клиенту случайно выбранный номер порта из диапазона 1024-65535, к которому можно подключиться при установлении соединения для передачи данных. Таким образом, в активном режиме клиент должен принять соединение для передачи данных от сервера, в пассивном режиме соединение для передачи данных всегда инициирует клиент.
Для установления управляющего и дополнительного соединений в активном или пассивном режиме работы протокола FTP в зависимости от выбранного режима безопасности необходимо выполнить следующие настройки в программе ViPNet
Монитор:
1 Для разрешения управляющего соединения в активном и пассивном режимах при использовании второго режима безопасности следует дополнительно в фильтрах открытой сети (см. «
Создание фильтров
» на стр. 142) разрешить исходящее соединение на порт 21 FTP-сервера.
2 Для разрешения дополнительного соединения на случайно выбранный порт: o
В активном режиме при использовании второго или третьего режима безопасности для активации разрешающего правила фильтрации следует включить обработку протокола FTP. o
В пассивном режиме при использовании второго режима безопасности (см.
«
Режимы безопасности
» на стр. 130) следует включить обработку протокола
FTP. При использовании третьего режима безопасности настройка дополнительных правил фильтрации и обработка прикладных протоколов не требуется.
Рассмотрим еще один пример — обработку прикладного протокола на примере протокола SIP.
Протокол SIP предназначен для организации, модификации и завершения сеансов связи: мультимедийных конференций, телефонных соединений и распределения мультимедийной информации.
Вызывающий SIP-клиент отправляет запрос (например, приглашение к сеансу связи, подтверждение приема ответа на запрос, завершение сеанса связи) вызываемому SIP- клиенту с указанием его SIP-адреса. В зависимости от способа установления соединения запрос направляется вызываемому клиенту напрямую, либо с участием прокси-сервера
SIP, либо с участием сервера переадресации. Вызываемый клиент в зависимости от типа полученного запроса передает вызывающему клиенту ответ на запрос (например,

ViPNet Client Монитор 3.2. Руководство пользователя
151
информацию об ошибке при обработке запроса, запрос успешно обработан, отклонение входящего вызова).
Для установления сеанса связи между SIP–клиентами протокол SIP регламентирует установление соединений TCP и UDP через порт 5060.
Чтобы установить сеанс связи между SIP–клиентами необходимо включить обработку протокола SIP и выполнить дополнительные настройки в программе ViPNet Монитор:
1 Чтобы SIP-клиент мог принять запрос на установление сеанса связи или принять ответ на запрос при использовании второго или третьего режима безопасности, в фильтрах открытой сети следует разрешить входящее соединение на порт 5060.
2 Чтобы SIP-клиент мог отправить запрос на установление сеанса связи или ответ на запрос при использовании второго режима безопасности, в фильтрах открытой сети следует разрешить исходящее соединение на порт 5060. При использовании третьего режима безопасности настройка дополнительных правил фильтрации не требуется.

ViPNet Client Монитор 3.2. Руководство пользователя
152
Описание прикладных протоколов
Примечание. В программе ViPNet Монитор версии 3.2 и выше удалена веб- фильтрация и обработка прикладного протокола HTTP.
В программе ViPNet Монитор реализована возможность настройки параметров обработки следующих прикладных протоколов:

Протокол FTP обеспечивает передачу файлов между FTP-клиентом и FTP-сервером.

Протокол DNS (Domain Name System) обеспечивает разрешение DNS-имен сетевых узлов в IP-адреса.

Протокол NetBIOS разработан в виде интерфейса для обеспечения сетевых операций ввода/вывода и управления соответствующим транспортным протоколом. Работа протокола основана на следующих службах: o
Служба имен NetBIOS Name Service. Обеспечивает разрешение имен сетевых узлов, использующих NetBIOS, в IP-адреса при обмене данными между приложениями сетевых узлов. o
Служба датаграмм NetBIOS Datagram Service. Обеспечивает обмен данными без установления прямого подключения и без подтверждения приема между двумя сетевыми узлами, использующими NetBIOS. o
Служба сессий NetBIOS Session Service. Обеспечивает дуплексный упорядоченный обмен данными с подтверждением приема между двумя сетевыми узлами, использующими NetBIOS.

Протокол H.323 обеспечивает работу программ для проведения мультимедиа конференций через IP-сети, в том числе Интернет.

Протокол SCCP (Skinny Client Control Protocol) обеспечивает передачу сообщений между Skinny-клиентами (проводными и беспроводными IP-телефонами Cisco) и сервером голосовой почты Cisco Unity и Cisco CallManager.

Протокол SIP (Session Initiation Protocol) обеспечивает установление сеансов связи при передаче голосовых, видеозвонков, а также мультимедийной информации.

Протокол IRC (Internet Relay Chat) позволяет общаться пользователям в режиме реального времени через Интернет с помощью таких IRC-клиентов, как X-Chat,
Opera Chat, Konversation, ChatZilla, Pidgin.