Руководство пользователя 19912012 оао ИнфоТеКС

ViPNet Client Монитор 3.2. Руководство пользователя
170
Этот пример демонстрирует следующие события:

WINS-клиент HOST-A регистрирует любое из своих локальных имен NetBIOS на своем WINS-сервере WINS-A.
В случае, если компьютер HOST-A не имеет в своем распоряжении IP-адреса WINS- сервера, он передает в широковещательной рассылке свое имя NetBIOS, объявляя тем самым о своем присутствии в сети. Когда происходит подобное событие, локальный WINS-сервер принимает такое широковещательное сообщение и вводит содержащееся в нем имя и соответствующий IP-адрес в свою базу данных.

Другой WINS-клиент HOST-B запрашивает сервер WINS-A найти IP-адрес компьютера HOST-A в сети.

Сервер WINS-A возвращает 192.168.1.20 — IP-адрес компьютера HOST-A.
Службы WINS и DNS могут бесконфликтно работать в пределах одной сети.
Пространства имен той и другой службы не совпадают. DNS использует иерархическую структуру именования, в то время как WINS — одноранговую. Служба WINS особенно актуальна для сетей, на узлах которых установлены ОС Windows XP или Windows Server
2003. В сетях, в которых применяются и доменные имена, и имена NetBIOS, рекомендуется использовать обе службы.

ViPNet Client Монитор 3.2. Руководство пользователя
171
Службы DNS и WINS в сети ViPNet
В сетях ViPNet приложения могут использовать виртуальные адреса (см. «
Виртуальные
IP-адреса
» на стр. 110), реально не существующие в сети и уникальные на каждом сетевом узле. Поэтому ПО ViPNet автоматически выполняет специальную обработку протоколов служб DNS и WINS.
Такая обработка требуется для того, чтобы предоставить приложениям, которые обращаются к службам DNS и WINS, правильную информацию об IP-адресах защищенных компьютеров. Если ПО ViPNet установлено на DNS (WINS) сервере или
DNS (WINS) сервер туннелируется координатором, то технология ViPNet на этом сервере обеспечивает публикацию виртуальных IP-адресов других защищенных компьютеров.
Вместе с тем существует возможность использовать для доступа к узлам ViPNet не только IP-адреса, но и DNS-имена.
Необходимость в использовании служб имен в ПО ViPNet возникает в следующих случаях:

Требуется обеспечить доступ к сетевому узлу одновременно со стороны защищенных и открытых компьютеров по некоторому IP-адресу, не принадлежащему этому сетевому узлу, например через NAT-устройство.
Таким образом, на DNS-сервере можно опубликовать не только виртуальные или реальные IP-адреса некоторого сетевого узла, но и любые удобные IP-адреса других устройств, через которые IP-пакет может быть передан на этот сетевой узел. ПО
ViPNet, получив такой IP-адрес, проверяет доступность сетевого узла через этот адрес и в случае успешного подключения к узлу регистрирует его, а также реальные адреса этого узла или соответствующие им виртуальные адреса, предоставляя возможность приложениям работать по этим адресам.

Требуется обеспечить доступ к координатору, внешний IP-адрес которого или IP- адрес доступа к которому через внешнее устройство может изменяться. В этом случае координатор или внешнее устройство должно поддерживать технологию динамического DNS (DYN DNS), которая осуществляет автоматическую регистрацию IP-адресов устройств на заданном DNS-сервере.
Примечание. Настройка NetBIOS-имен в ПО ViPNet не поддерживается.

ViPNet Client Монитор 3.2. Руководство пользователя
172
Наиболее безопасным решением является установка ПО ViPNet на DNS (WINS) сервер или туннелирование этого сервера некоторым координатором (см. «
Защищенный DNS
(WINS) сервер
» на стр. 173). Вместе с тем можно обеспечить безопасную работу и с открытыми (публичными) серверами служб имен (см. «
Незащищенный DNS (WINS) сервер
» на стр. 174).

ViPNet Client Монитор 3.2. Руководство пользователя
173
Защищенный DNS (WINS) сервер
Особенности использования

Для обеспечения работоспособности служб имен DNS и WINS не нужно выполнять никаких дополнительных настроек ПО ViPNet.

Если DNS (NetBios) имена и соответствующие им IP-адреса защищенных компьютеров автоматически регистрируются на DNS (WINS) сервере, то поддержка виртуальных адресов осуществляется автоматически. ViPNet-драйвер выполняет подмену адреса в IP-пакете на виртуальный или реальный IP-адрес. В результате на сервере имен регистрируется нужный IP-адрес.

Если к защищенному DNS (WINS) серверу обращается открытый компьютер, то этому компьютеру сообщаются реальные IP-адреса защищенных узлов, даже если для них опубликованы виртуальные IP-адреса.
Рекомендации по настройке

В случае, если DNS (WINS) сервер туннелируется координатором, этот DNS (WINS) сервер не следует располагать в одной подсети с сетевыми узлами, которые на нем зарегистрированы. Однако если это все же необходимо, следует обеспечить доступность этих сетевых узлов с координатора по реальным IP-адресам.

Во избежание конфликтов рекомендуется располагать туннелируемые DNS (WINS) серверы за отдельным сетевым интерфейсом координатора.

В случае, если DNS (WINS) сервер виден с защищенных сетевых узлов по виртуальному IP-адресу, то IP-адрес этого DNS (WINS) сервера необходимо удалить с DHCP-сервера (см. «
DHCP (Dynamic Host Configuration Protocol)
» на стр. 372), на котором зарегистрированы эти защищенные сетевые узлы.

Если DNS (NetBios) имена и соответствующие им IP-адреса защищенных компьютеров регистрируются на DNS (WINS) сервере вручную, следует соблюдать следующее правило: o
Для защищенного компьютера регистрируется его виртуальный или реальный
IP-адрес, по которому этот защищенный компьютер виден в программе ViPNet
Монитор, установленной на DNS (WINS) сервере. Если DNS (WINS) сервер туннелируется, необходимые адреса нужно найти в программе ViPNet Монитор на координаторе, осуществляющем туннелирование DNS (WINS) сервера.

ViPNet Client Монитор 3.2. Руководство пользователя
174
Незащищенный DNS (WINS) сервер
Особенности использования
Публичные DNS-серверы могут быть подвержены различным сетевым атакам с целью заставить защищенный компьютер обратиться на атакующий компьютер. Если такая атака (путем подмены IP-адреса запрашиваемого сетевого ресурса) удастся, то злоумышленник может попытаться получить интересующую его информацию с защищенного компьютера.
Для предотвращения такого рода атак для всех защищенных прикладных серверов (см.
«
Защищенные прикладные серверы
» на стр. 375), доступных с данного узла, в настройках программы ViPNet Монитор на сетевом узле следует задать DNS-имена (см.
«
Настройка доступа к защищенным узлам
» на стр. 113). Тогда даже в случае успешной атаки соединение с подставным сервером не произойдет, поскольку переадресованная информация будет зашифрована и недоступна атакующему компьютеру.
Рекомендации по настройке
Если DNS (WINS) сервер не защищен с помощью ПО ViPNet, необходимо:

Публиковать на DNS (WINS) сервере только реальные IP-адреса защищенного компьютера (сетевого узла или туннелируемого ресурса), а если DNS-имена заданы в настройках программы ViPNet Монитор, то также и IP-адреса доступа к сетевому узлу через внешние устройства. То есть публикуется любой реальный IP-адрес, по которому пакет может достигнуть сетевого узла (например, адрес межсетевого экрана или координатора, через который работает сетевой узел, или непосредственно адрес сетевого узла).

Обеспечить доступность защищенных компьютеров, адреса которых зарегистрированы на DNS (WINS) сервере, со всех сетевых узлов: o по реальным IP-адресам; o если необходимы виртуальные адреса, зарегистрировать DNS (NetBIOS) имена этих защищенных компьютеров в программе ViPNet Монитор, используемой на сетевых узлах.

ViPNet Client Монитор 3.2. Руководство пользователя
175
При использовании открытого DNS-сервера DNS-имена защищенных компьютеров, как сказано выше, рекомендуется задавать в настройках ПО ViPNet (см. «
Настройка доступа к защищенным узлам
» на стр. 113).

ViPNet Client Монитор 3.2. Руководство пользователя
176
Использование защищенного DNS- сервера для удаленной работы с корпоративными ресурсами
Удаленные пользователи подключаются к сети ViPNet через Интернет. Они могут работать дома, в интернет-кафе, в гостинице или других местах, где IP-адреса и используемые DNS-серверы определяются поставщиком услуг Интернета. Однако для работы со многими корпоративными приложениями требуется использовать DNS-сервер корпоративной сети. Использование корпоративного DNS-сервера позволяет обращаться к серверам и другим узлам корпоративной сети по их именам, а не по IP-адресам. При этом преобразование DNS-имен в IP-адреса обеспечивается как для адресов корпоративной сети, так и для адресов Интернета.
Необходимые условия
Для удаленного доступа к корпоративным ресурсам должны быть выполнены следующие условия:

В системном файле hosts, который устанавливает соответствие между IP-адресами и именами компьютеров, не должно быть записей об узлах корпоративной сети. Этот файл расположен в папке
%systemroot%\System32\drivers\etc\
(по умолчанию это
C:\Windows\System32\drivers\etc\
).

В программе ViPNet Монитор должно быть настроено подключение через межсетевой экран с динамической трансляцией адресов (см. «
О подключении через межсетевой экран с динамической трансляцией адресов
» на стр. 98).

В сетевых настройках операционной системы должен быть задан IP-адрес корпоративного DNS-сервера.
Регистрация защищенного DNS-сервера средствами ПО
ViPNet
Рассмотрим следующий пример. Сотрудник, работающий в главном офисе на ноутбуке с установленным ПО ViPNet Client, подключается к защищенному корпоративному DNS- серверу по адресу 10.0.0.25.

ViPNet Client Монитор 3.2. Руководство пользователя
177
Этот сотрудник отправляется со своим ноутбуком в командировку в другой офис. Теперь
DNS-сервер главного офиса доступен по IP-адресу 11.0.0.3. Сотруднику нужно подключиться через Интернет к корпоративным ресурсам главного офиса. Для этого на ноутбуке в ОС Windows нужно изменить настройки сетевых подключений. Это неудобно, так как после возвращения в главный офис настройки нужно будет вернуть в исходное состояние.
Однако можно добиться того, чтобы программа ViPNet Монитор следила за текущим IP- адресом видимости DNS (WINS) сервера и автоматически изменяла настройки на всех сетевых интерфейсах компьютера. Для этого нужно записать идентификатор и реальный
IP-адрес корпоративного DNS (WINS) сервера в специальный файл
DNS.TXT
Примечание. Если используемые DNS-серверы перечислены в файле
DNS.TXT
, задавать адреса серверов в сетевых настройках Windows не требуется.
При использовании файла
DNS.TXT
на всех сетевых адаптерах компьютера списки IP- адресов DNS (WINS) серверов будут дополнены IP-адресами, по которым в данный момент доступны указанные в файле
DNS.TXT
сетевые узлы ViPNet и туннелируемые узлы. Одновременно в настройках сетевых интерфейсов сохранятся IP-адреса, полученные по DHCP или заданные на сетевых интерфейсах вручную, если эти IP-адреса не принадлежат указанным в
DNS.TXT
сетевым узлам и туннелируемым ресурсам.
Формат записей в файле
DNS.TXT
отличается в зависимости от того, установлен ли корпоративный DNS (WINS) сервер на защищенном узле или туннелируется координатором.
Если корпоративный DNS (WINS) сервер установлен непосредственно на
сетевом узле ViPNet
Чтобы внести запись о корпоративном DNS (WINS) сервере в файл DNS.TXT:
1 В любом текстовом редакторе (лучше Notepad) создайте пустой текстовый файл
DNS.TXT
2 Сохраните файл в папке
\DATABASES\DNSWINSLIST
, находящейся в папке установки
ПО ViPNet. Если папка не существует, создайте ее.
3 Введите в созданный файл следующую информацию:
[DNSLIST]
ID00=0001000b;
[WINSLIST]
ID00=0001000b;

ViPNet Client Монитор 3.2. Руководство пользователя
178
где:
0001000b
— идентификатор сетевого узла ViPNet, на котором установлен DNS
(WINS) сервер;
ID00
— идентификатор номера строки, где после ID допустимы любые цифры.
Примечание. Чтобы узнать идентификатор узла, в программе ViPNet Монитор в разделе Защищенная сеть дважды щелкните сетевой узел, на котором установлен DNS (WINS) сервер. Откроется окно Свойства узла. На вкладке
Общие в первой строке будет указан идентификатор сетевого узла.
4 Сохраните файл и закройте его.
В результате, независимо от того, по какому адресу в данный момент времени доступен
DNS (WINS) сервер, можно будет беспрепятственно подключиться к корпоративным ресурсам.
Примечание. Все операции по созданию и редактированию файла
DNS.TXT
можно производить без выгрузки программы ViPNet Монитор из памяти компьютера.
Если корпоративный DNS (WINS) сервер туннелируется координатором
Чтобы внести запись о корпоративном DNS (WINS) сервере в файл DNS.TXT:
1 В любом текстовом редакторе (лучше Notepad) создайте пустой текстовый файл
DNS.TXT
2 Сохраните файл в папке
\DATABASES\DNSWINSLIST
, находящейся в папке установки
ПО ViPNet. Если папка не существует, создайте ее.
3 Введите в созданный файл следующую информацию:
[DNSLIST]
ID00=
000100ca-10.0.0.25;
[WINSLIST]
ID00=0001000b;
где:
000100ca
— идентификатор координатора, туннелирующего DNS (WINS) сервер;
ID00
— идентификатор номера строки, где после ID допустимы любые цифры.

ViPNet Client Монитор 3.2. Руководство пользователя
179
Примечание. Чтобы узнать идентификатор узла, в программе ViPNet Монитор в разделе Защищенная сеть дважды щелкните сетевой узел, на котором установлен DNS (WINS) сервер. Откроется окно Свойства узла. На вкладке
Общие в первой строке будет указан идентификатор сетевого узла.
В отличие от ситуации, когда корпоративный DNS (WINS) сервер установлен непосредственно на сетевом узле ViPNet, здесь к идентификатору координатора через тире требуется добавить IP-адрес туннелируемого этим координатором DNS
(WINS) сервера. Если координатор туннелирует несколько серверов, их можно перечислить в одной строке через точку с запятой без пробелов. Например,
ID00=000100ca-10.0.0.25;10.0.0.30;
При этом убедитесь, что в списке туннелируемых адресов данного координатора эти
IP-адреса также присутствуют.
4 Сохраните файл и закройте его.
В результате, независимо от того, по какому адресу в данный момент времени доступен
DNS (WINS) сервер, можно будет беспрепятственно подключиться к корпоративным ресурсам.
Примечание. Все операции по созданию и редактированию файла
DNS.TXT
можно производить без выгрузки программы ViPNet Монитор из памяти компьютера.
Формат файла DNS.TXT
В общем виде файл
DNS.TXT
может иметь следующий формат:
[DNSLIST]
ID00=000100CA-10.0.0.25;
ID01=0001000b;
ID02=000110bс-10.0.0.20;10.0.0.21;10.0.2.132;
[WINSLIST]
ID00=0001000b;
ID01=000101fa-10.0.1.132;10.0.1.133;10.0.1.134;

ViPNet Client Монитор 3.2. Руководство пользователя
180
Обратите внимание, что в одном файле
DNS.TXT
могут содержаться записи как для DNS
(WINS) серверов, установленных на сетевых узлах ViPNet, так и туннелируемых тем или иным координатором. Число записей не ограничивается.
Настройка параметров подключения к DNS (WINS)
серверу в ОС Windows
Примечание. Если используемые DNS-серверы перечислены в файле
DNS.TXT
(см. «
Регистрация защищенного DNS-сервера средствами ПО ViPNet
» на стр.
176), задавать адреса серверов в сетевых настройках Windows не требуется.
Чтобы задать IP-адрес DNS-сервера и (или) WINS-сервера в сетевых настройках операционной системы, выполните следующие действия:
1 Нажмите кнопку Пуск и в меню выберите Панель управления.
2 В Панели управления дважды щелкните Центр управления сетями и общим
доступом (Сетевые подключения в Windows XP).
3 Для просмотра статуса сетевого подключения: o
Если используется OC Windows 7, в Центре управления сетями и общим