Руководство пользователя 19912012 оао ИнфоТеКС
Скачать 7.18 Mb.
|
ViPNet Client Монитор 3.2. Руководство пользователя 169 Система именования, используемая DNS, носит иерархический характер. Доменное имя складывается из нескольких частей, расположенных справа налево. Первая часть (домен верхнего уровня) является фиксированной и назначается централизованно Сетевым Информационным Центром (Network Information Center, NIC). Домены остальных уровней присваиваются на серверах доменных имен произвольно. WINS Аналогично DNS работает служба WINS (Windows Internet Name Service, служба имен сети Интернет для Windows), которая преобразует IP-адрес в NetBIOS-имя и наоборот: например, 192.168.1.20 — в HOST-A. Служба WINS является наиболее удобным средством разрешения имен NetBIOS в маршрутизируемых сетях, использующих NetBIOS через стек TCP/IP. Примечание. NetBIOS (Network Basic Input Output System, сетевая базовая система ввода-вывода) — протокол сеансового уровня для работы в локальных сетях, обеспечивающий доступ компьютера как к собственным локальным ресурсам, так и к ресурсам удаленных компьютеров. Поскольку NetBIOS применяет рассылку широковещательных сообщений, он не поддерживает передачу информации через маршрутизаторы. Но с другой стороны, усовершенствования, внесенные в NetBIOS, позволяют этой системе работать поверх протоколов маршрутизации, таких как IP и IPX. Служба WINS упрощает управление пространством имен NetBIOS в сетях на основе стека протоколов TCP/IP. Следующий рисунок иллюстрирует типичную последовательность событий, связанных с клиентами и серверами WINS. Рисунок 77: Общий принцип работы службы WINS ViPNet Client Монитор 3.2. Руководство пользователя 170 Этот пример демонстрирует следующие события: WINS-клиент HOST-A регистрирует любое из своих локальных имен NetBIOS на своем WINS-сервере WINS-A. В случае, если компьютер HOST-A не имеет в своем распоряжении IP-адреса WINS- сервера, он передает в широковещательной рассылке свое имя NetBIOS, объявляя тем самым о своем присутствии в сети. Когда происходит подобное событие, локальный WINS-сервер принимает такое широковещательное сообщение и вводит содержащееся в нем имя и соответствующий IP-адрес в свою базу данных. Другой WINS-клиент HOST-B запрашивает сервер WINS-A найти IP-адрес компьютера HOST-A в сети. Сервер WINS-A возвращает 192.168.1.20 — IP-адрес компьютера HOST-A. Службы WINS и DNS могут бесконфликтно работать в пределах одной сети. Пространства имен той и другой службы не совпадают. DNS использует иерархическую структуру именования, в то время как WINS — одноранговую. Служба WINS особенно актуальна для сетей, на узлах которых установлены ОС Windows XP или Windows Server 2003. В сетях, в которых применяются и доменные имена, и имена NetBIOS, рекомендуется использовать обе службы. ViPNet Client Монитор 3.2. Руководство пользователя 171 Службы DNS и WINS в сети ViPNet В сетях ViPNet приложения могут использовать виртуальные адреса (см. « Виртуальные IP-адреса » на стр. 110), реально не существующие в сети и уникальные на каждом сетевом узле. Поэтому ПО ViPNet автоматически выполняет специальную обработку протоколов служб DNS и WINS. Такая обработка требуется для того, чтобы предоставить приложениям, которые обращаются к службам DNS и WINS, правильную информацию об IP-адресах защищенных компьютеров. Если ПО ViPNet установлено на DNS (WINS) сервере или DNS (WINS) сервер туннелируется координатором, то технология ViPNet на этом сервере обеспечивает публикацию виртуальных IP-адресов других защищенных компьютеров. Вместе с тем существует возможность использовать для доступа к узлам ViPNet не только IP-адреса, но и DNS-имена. Необходимость в использовании служб имен в ПО ViPNet возникает в следующих случаях: Требуется обеспечить доступ к сетевому узлу одновременно со стороны защищенных и открытых компьютеров по некоторому IP-адресу, не принадлежащему этому сетевому узлу, например через NAT-устройство. Таким образом, на DNS-сервере можно опубликовать не только виртуальные или реальные IP-адреса некоторого сетевого узла, но и любые удобные IP-адреса других устройств, через которые IP-пакет может быть передан на этот сетевой узел. ПО ViPNet, получив такой IP-адрес, проверяет доступность сетевого узла через этот адрес и в случае успешного подключения к узлу регистрирует его, а также реальные адреса этого узла или соответствующие им виртуальные адреса, предоставляя возможность приложениям работать по этим адресам. Требуется обеспечить доступ к координатору, внешний IP-адрес которого или IP- адрес доступа к которому через внешнее устройство может изменяться. В этом случае координатор или внешнее устройство должно поддерживать технологию динамического DNS (DYN DNS), которая осуществляет автоматическую регистрацию IP-адресов устройств на заданном DNS-сервере. Примечание. Настройка NetBIOS-имен в ПО ViPNet не поддерживается. ViPNet Client Монитор 3.2. Руководство пользователя 172 Наиболее безопасным решением является установка ПО ViPNet на DNS (WINS) сервер или туннелирование этого сервера некоторым координатором (см. « Защищенный DNS (WINS) сервер » на стр. 173). Вместе с тем можно обеспечить безопасную работу и с открытыми (публичными) серверами служб имен (см. « Незащищенный DNS (WINS) сервер » на стр. 174). ViPNet Client Монитор 3.2. Руководство пользователя 173 Защищенный DNS (WINS) сервер Особенности использования Для обеспечения работоспособности служб имен DNS и WINS не нужно выполнять никаких дополнительных настроек ПО ViPNet. Если DNS (NetBios) имена и соответствующие им IP-адреса защищенных компьютеров автоматически регистрируются на DNS (WINS) сервере, то поддержка виртуальных адресов осуществляется автоматически. ViPNet-драйвер выполняет подмену адреса в IP-пакете на виртуальный или реальный IP-адрес. В результате на сервере имен регистрируется нужный IP-адрес. Если к защищенному DNS (WINS) серверу обращается открытый компьютер, то этому компьютеру сообщаются реальные IP-адреса защищенных узлов, даже если для них опубликованы виртуальные IP-адреса. Рекомендации по настройке В случае, если DNS (WINS) сервер туннелируется координатором, этот DNS (WINS) сервер не следует располагать в одной подсети с сетевыми узлами, которые на нем зарегистрированы. Однако если это все же необходимо, следует обеспечить доступность этих сетевых узлов с координатора по реальным IP-адресам. Во избежание конфликтов рекомендуется располагать туннелируемые DNS (WINS) серверы за отдельным сетевым интерфейсом координатора. В случае, если DNS (WINS) сервер виден с защищенных сетевых узлов по виртуальному IP-адресу, то IP-адрес этого DNS (WINS) сервера необходимо удалить с DHCP-сервера (см. « DHCP (Dynamic Host Configuration Protocol) » на стр. 372), на котором зарегистрированы эти защищенные сетевые узлы. Если DNS (NetBios) имена и соответствующие им IP-адреса защищенных компьютеров регистрируются на DNS (WINS) сервере вручную, следует соблюдать следующее правило: o Для защищенного компьютера регистрируется его виртуальный или реальный IP-адрес, по которому этот защищенный компьютер виден в программе ViPNet Монитор, установленной на DNS (WINS) сервере. Если DNS (WINS) сервер туннелируется, необходимые адреса нужно найти в программе ViPNet Монитор на координаторе, осуществляющем туннелирование DNS (WINS) сервера. ViPNet Client Монитор 3.2. Руководство пользователя 174 Незащищенный DNS (WINS) сервер Особенности использования Публичные DNS-серверы могут быть подвержены различным сетевым атакам с целью заставить защищенный компьютер обратиться на атакующий компьютер. Если такая атака (путем подмены IP-адреса запрашиваемого сетевого ресурса) удастся, то злоумышленник может попытаться получить интересующую его информацию с защищенного компьютера. Для предотвращения такого рода атак для всех защищенных прикладных серверов (см. « Защищенные прикладные серверы » на стр. 375), доступных с данного узла, в настройках программы ViPNet Монитор на сетевом узле следует задать DNS-имена (см. « Настройка доступа к защищенным узлам » на стр. 113). Тогда даже в случае успешной атаки соединение с подставным сервером не произойдет, поскольку переадресованная информация будет зашифрована и недоступна атакующему компьютеру. Рекомендации по настройке Если DNS (WINS) сервер не защищен с помощью ПО ViPNet, необходимо: Публиковать на DNS (WINS) сервере только реальные IP-адреса защищенного компьютера (сетевого узла или туннелируемого ресурса), а если DNS-имена заданы в настройках программы ViPNet Монитор, то также и IP-адреса доступа к сетевому узлу через внешние устройства. То есть публикуется любой реальный IP-адрес, по которому пакет может достигнуть сетевого узла (например, адрес межсетевого экрана или координатора, через который работает сетевой узел, или непосредственно адрес сетевого узла). Обеспечить доступность защищенных компьютеров, адреса которых зарегистрированы на DNS (WINS) сервере, со всех сетевых узлов: o по реальным IP-адресам; o если необходимы виртуальные адреса, зарегистрировать DNS (NetBIOS) имена этих защищенных компьютеров в программе ViPNet Монитор, используемой на сетевых узлах. ViPNet Client Монитор 3.2. Руководство пользователя 175 При использовании открытого DNS-сервера DNS-имена защищенных компьютеров, как сказано выше, рекомендуется задавать в настройках ПО ViPNet (см. « Настройка доступа к защищенным узлам » на стр. 113). ViPNet Client Монитор 3.2. Руководство пользователя 176 Использование защищенного DNS- сервера для удаленной работы с корпоративными ресурсами Удаленные пользователи подключаются к сети ViPNet через Интернет. Они могут работать дома, в интернет-кафе, в гостинице или других местах, где IP-адреса и используемые DNS-серверы определяются поставщиком услуг Интернета. Однако для работы со многими корпоративными приложениями требуется использовать DNS-сервер корпоративной сети. Использование корпоративного DNS-сервера позволяет обращаться к серверам и другим узлам корпоративной сети по их именам, а не по IP-адресам. При этом преобразование DNS-имен в IP-адреса обеспечивается как для адресов корпоративной сети, так и для адресов Интернета. Необходимые условия Для удаленного доступа к корпоративным ресурсам должны быть выполнены следующие условия: В системном файле hosts, который устанавливает соответствие между IP-адресами и именами компьютеров, не должно быть записей об узлах корпоративной сети. Этот файл расположен в папке %systemroot%\System32\drivers\etc\ (по умолчанию это C:\Windows\System32\drivers\etc\ ). В программе ViPNet Монитор должно быть настроено подключение через межсетевой экран с динамической трансляцией адресов (см. « О подключении через межсетевой экран с динамической трансляцией адресов » на стр. 98). В сетевых настройках операционной системы должен быть задан IP-адрес корпоративного DNS-сервера. Регистрация защищенного DNS-сервера средствами ПО ViPNet Рассмотрим следующий пример. Сотрудник, работающий в главном офисе на ноутбуке с установленным ПО ViPNet Client, подключается к защищенному корпоративному DNS- серверу по адресу 10.0.0.25. ViPNet Client Монитор 3.2. Руководство пользователя 177 Этот сотрудник отправляется со своим ноутбуком в командировку в другой офис. Теперь DNS-сервер главного офиса доступен по IP-адресу 11.0.0.3. Сотруднику нужно подключиться через Интернет к корпоративным ресурсам главного офиса. Для этого на ноутбуке в ОС Windows нужно изменить настройки сетевых подключений. Это неудобно, так как после возвращения в главный офис настройки нужно будет вернуть в исходное состояние. Однако можно добиться того, чтобы программа ViPNet Монитор следила за текущим IP- адресом видимости DNS (WINS) сервера и автоматически изменяла настройки на всех сетевых интерфейсах компьютера. Для этого нужно записать идентификатор и реальный IP-адрес корпоративного DNS (WINS) сервера в специальный файл DNS.TXT Примечание. Если используемые DNS-серверы перечислены в файле DNS.TXT , задавать адреса серверов в сетевых настройках Windows не требуется. При использовании файла DNS.TXT на всех сетевых адаптерах компьютера списки IP- адресов DNS (WINS) серверов будут дополнены IP-адресами, по которым в данный момент доступны указанные в файле DNS.TXT сетевые узлы ViPNet и туннелируемые узлы. Одновременно в настройках сетевых интерфейсов сохранятся IP-адреса, полученные по DHCP или заданные на сетевых интерфейсах вручную, если эти IP-адреса не принадлежат указанным в DNS.TXT сетевым узлам и туннелируемым ресурсам. Формат записей в файле DNS.TXT отличается в зависимости от того, установлен ли корпоративный DNS (WINS) сервер на защищенном узле или туннелируется координатором. Если корпоративный DNS (WINS) сервер установлен непосредственно на сетевом узле ViPNet Чтобы внести запись о корпоративном DNS (WINS) сервере в файл DNS.TXT: 1 В любом текстовом редакторе (лучше Notepad) создайте пустой текстовый файл DNS.TXT 2 Сохраните файл в папке \DATABASES\DNSWINSLIST , находящейся в папке установки ПО ViPNet. Если папка не существует, создайте ее. 3 Введите в созданный файл следующую информацию: [DNSLIST] ID00=0001000b; [WINSLIST] ID00=0001000b; ViPNet Client Монитор 3.2. Руководство пользователя 178 где: 0001000b — идентификатор сетевого узла ViPNet, на котором установлен DNS (WINS) сервер; ID00 — идентификатор номера строки, где после ID допустимы любые цифры. Примечание. Чтобы узнать идентификатор узла, в программе ViPNet Монитор в разделе Защищенная сеть дважды щелкните сетевой узел, на котором установлен DNS (WINS) сервер. Откроется окно Свойства узла. На вкладке Общие в первой строке будет указан идентификатор сетевого узла. 4 Сохраните файл и закройте его. В результате, независимо от того, по какому адресу в данный момент времени доступен DNS (WINS) сервер, можно будет беспрепятственно подключиться к корпоративным ресурсам. Примечание. Все операции по созданию и редактированию файла DNS.TXT можно производить без выгрузки программы ViPNet Монитор из памяти компьютера. Если корпоративный DNS (WINS) сервер туннелируется координатором Чтобы внести запись о корпоративном DNS (WINS) сервере в файл DNS.TXT: 1 В любом текстовом редакторе (лучше Notepad) создайте пустой текстовый файл DNS.TXT 2 Сохраните файл в папке \DATABASES\DNSWINSLIST , находящейся в папке установки ПО ViPNet. Если папка не существует, создайте ее. 3 Введите в созданный файл следующую информацию: [DNSLIST] ID00= 000100ca-10.0.0.25; [WINSLIST] ID00=0001000b; где: 000100ca — идентификатор координатора, туннелирующего DNS (WINS) сервер; ID00 — идентификатор номера строки, где после ID допустимы любые цифры. ViPNet Client Монитор 3.2. Руководство пользователя 179 Примечание. Чтобы узнать идентификатор узла, в программе ViPNet Монитор в разделе Защищенная сеть дважды щелкните сетевой узел, на котором установлен DNS (WINS) сервер. Откроется окно Свойства узла. На вкладке Общие в первой строке будет указан идентификатор сетевого узла. В отличие от ситуации, когда корпоративный DNS (WINS) сервер установлен непосредственно на сетевом узле ViPNet, здесь к идентификатору координатора через тире требуется добавить IP-адрес туннелируемого этим координатором DNS (WINS) сервера. Если координатор туннелирует несколько серверов, их можно перечислить в одной строке через точку с запятой без пробелов. Например, ID00=000100ca-10.0.0.25;10.0.0.30; При этом убедитесь, что в списке туннелируемых адресов данного координатора эти IP-адреса также присутствуют. 4 Сохраните файл и закройте его. В результате, независимо от того, по какому адресу в данный момент времени доступен DNS (WINS) сервер, можно будет беспрепятственно подключиться к корпоративным ресурсам. Примечание. Все операции по созданию и редактированию файла DNS.TXT можно производить без выгрузки программы ViPNet Монитор из памяти компьютера. Формат файла DNS.TXT В общем виде файл DNS.TXT может иметь следующий формат: [DNSLIST] ID00=000100CA-10.0.0.25; ID01=0001000b; ID02=000110bс-10.0.0.20;10.0.0.21;10.0.2.132; [WINSLIST] ID00=0001000b; ID01=000101fa-10.0.1.132;10.0.1.133;10.0.1.134; ViPNet Client Монитор 3.2. Руководство пользователя 180 Обратите внимание, что в одном файле DNS.TXT могут содержаться записи как для DNS (WINS) серверов, установленных на сетевых узлах ViPNet, так и туннелируемых тем или иным координатором. Число записей не ограничивается. Настройка параметров подключения к DNS (WINS) серверу в ОС Windows Примечание. Если используемые DNS-серверы перечислены в файле DNS.TXT (см. « Регистрация защищенного DNS-сервера средствами ПО ViPNet » на стр. 176), задавать адреса серверов в сетевых настройках Windows не требуется. Чтобы задать IP-адрес DNS-сервера и (или) WINS-сервера в сетевых настройках операционной системы, выполните следующие действия: 1 Нажмите кнопку Пуск и в меню выберите Панель управления. 2 В Панели управления дважды щелкните Центр управления сетями и общим доступом (Сетевые подключения в Windows XP). 3 Для просмотра статуса сетевого подключения: o Если используется OC Windows 7, в Центре управления сетями и общим |