Руководство пользователя 19912012 оао ИнфоТеКС

ViPNet Client Монитор 3.2. Руководство пользователя
355
o
Напомнить снова через — для повторного вызова окна предупреждения по истечении указанного временного промежутка (10 минут, 1 час, 6 часов, 1 день,
1 неделя). o
Напомнить при следующей аутентификации — для повторного вызова окна предупреждения при следующем запуске программы ViPNet Client.
2 Нажмите кнопку ОК.
Срок действия текущего закрытого ключа или
соответствующего сертификата близок к концу
Предупреждение о скором истечении срока действия закрытого ключа или соответствующего ему сертификата появляется в следующих случаях:

Если срок действия закрытого ключа или сертификата близок к концу, при этом не найдено запросов на обновление текущего сертификата (или последний запрос на обновление удовлетворен, однако соответствующий сертификат не может быть назначен текущим).
В этом случае Вы можете сформировать запрос на обновление сертификата (см.
«
Процедура обновления закрытого ключа и сертификата
» на стр. 320). Для этого: o если истекает срок действия сертификата, выберите Отправить запрос на
обновление сертификата; o если истекает срок действия закрытого ключа, выберите Открыть настройки
подписи, затем в окне Настройка параметров безопасности на вкладке
Подпись нажмите кнопку Обновить сертификат.

Если срок действия закрытого ключа или сертификата близок к концу, при этом последний запрос на обновление текущего сертификата либо отклонен, либо находится в состоянии обработки в программе ViPNet Удостоверяющий и ключевой центр или ViPNet Manager.
В этом случае обратитесь к администратору вашей сети ViPNet и, при необходимости, создайте еще один запрос на обновление текущего сертификата.

ViPNet Client Монитор 3.2. Руководство пользователя
356
Рисунок 171: Предупреждения о скором истечении срока действия сертификата и
закрытого ключа
При появлении окна с таким предупреждением:
1 В зависимости от вида предупреждения выберите одно из предложенных действий: o
Выбрать другой сертификат в качестве текущего — для назначения другого действительного личного сертификата текущим с помощью окна Выбор
сертификата. o
Отправить запрос на обновление сертификата — для формирования запроса на обновление текущего сертификата с помощью мастера обновления сертификатов (см. «
Процедура обновления закрытого ключа и сертификата
» на стр. 320). o
Открыть настройки подписи — для вызова окна Настройка параметров
безопасности на вкладке Подпись, с помощью которой можно управлять сертификатами. o
Напомнить снова через — для повторного вызова окна предупреждения по истечении указанного временного промежутка (10 минут, 1 час, 6 часов, 1 день,
1 неделя). o
Напомнить при следующей аутентификации — для повторного вызова окна предупреждения при следующем запуске программы ViPNet Client.
2 Нажмите кнопку ОК.

ViPNet Client Монитор 3.2. Руководство пользователя
357
Срок действия текущего закрытого ключа уже истек
Предупреждение об истечении срока действия закрытого ключа появляется в следующих случаях:

Если срок действия закрытого ключа подошел к концу, при этом не найдено запросов на обновление текущего сертификата (или последний запрос на обновление удовлетворен, однако соответствующий сертификат не может быть назначен текущим).
В этом случае вы можете открыть вкладку Подпись окна Настройка параметров
безопасности, выбрав Открыть настройки подписи. С помощью соответствующей кнопки на вкладке Подпись вы можете обновить текущий сертификат (см.
«
Процедура обновления закрытого ключа и сертификата
» на стр. 320). Однако в программе ViPNet Удостоверяющий и ключевой центр такой запрос не будет обработан автоматически, а будет ожидать решения администратора.
Внимание! Созданный запрос подписывается с использованием закрытого ключа, соответствующего текущему сертификату. Однако эта подпись используется не для подтверждения авторства, а только для проверки целостности запроса. Такие запросы имеют статус Не подписан (см. «
Просмотр запроса на сертификат
» на стр. 330).

Если срок действия закрытого ключа подошел к концу, при этом последний запрос на обновление текущего сертификата либо отклонен, либо находится в состоянии обработки в программе ViPNet Удостоверяющий и ключевой центр или ViPNet
Manager.
В этом случае обратитесь к администратору вашей сети ViPNet и, при необходимости, создайте еще один запрос на обновление текущего сертификата.

ViPNet Client Монитор 3.2. Руководство пользователя
358
Рисунок 172: Предупреждение о том, что истек срок действия закрытого ключа
При появлении окна с таким предупреждением:
1 Выберите одно из предложенных действий: o
Открыть настройки подписи — для вызова окна Настройка параметров
безопасности на вкладке Подпись, с помощью которой можно управлять сертификатами. o
Напомнить снова через — для повторного вызова окна предупреждения по истечении указанного временного промежутка (10 минут, 1 час, 6 часов, 1 день,
1 неделя). o
Напомнить при следующей аутентификации — для повторного вызова окна предупреждения при следующем запуске программы ViPNet Client.
2 Нажмите кнопку ОК.
Действительный список отозванных сертификатов не
найден
Предупреждение о том, что действительный список отозванных сертификатов не найден, появляется при выполнении следующих условий:

если список отозванных сертификатов не обнаружен в хранилище пользователя или срок его действия истек;

ViPNet Client Монитор 3.2. Руководство пользователя
359

если в окне Настройка параметров безопасности на вкладке Администратор снят флажок Игнорировать отсутствие списков отозванных сертификатов (см.
«
Дополнительные настройки параметров безопасности
» на стр. 260).
Рисунок 173: Предупреждение о том, что действительный список отозванных
сертификатов не найден
При появлении окна с таким предупреждением:

Обратитесь к администратору вашей сети ViPNet для получения нового списка отозванных сертификатов.

Выберите одно из предложенных действий: o
Напомнить снова через — для повторного вызова окна предупреждения по истечении указанного временного промежутка (10 минут, 1 час, 6 часов, 1 день,
1 неделя). o
Напомнить при следующей аутентификации — для повторного вызова окна предупреждения при следующем запуске программы ViPNet Client.
После этого нажмите кнопку ОК.

ViPNet Client Монитор 3.2. Руководство пользователя
360
Сертификат, изданный по инициативе администратора,
введен в действие
Предупреждение о том, что введен в действие сертификат, изданный по инициативе администратора программы ViPNet Удостоверяющий и ключевой центр, появляется при выполнении следующих условий:

В окне Настройка параметров безопасности на вкладке Подпись (см. Рисунок 150 на стр. 320) установлен флажок Автоматически вводить в действие сертификаты,
изданные по инициативе администратора УКЦ.

В составе обновления получены ключи, сформированные администратором программы ViPNet Удостоверяющий и ключевой центр без запроса со стороны пользователя и содержащие новый сертификат пользователя и закрытый ключ.
При появлении окна с таким предупреждением:
1 Выберите одно из предложенных действий: o
Открыть настройки подписи — для вызова окна Настройка параметров
безопасности на вкладке Подпись (см. Рисунок 150 на стр. 320), с помощью которой можно просмотреть сведения о текущем сертификате, а также управлять сертификатами. o
Отправить запрос на обновление сертификата — для формирования запроса на обновление текущего сертификата с помощью мастера обновления сертификатов (см. «
Процедура обновления закрытого ключа и сертификата
» на стр. 320).
Отправлять запрос на обновление сертификата следует в том случае, если политика безопасности вашей организации запрещает использовать закрытый ключ, сформированный не вами лично, а на сетевом узле администратора. В результате обновления вам будет доставлен сертификат, которому будет соответствовать закрытый ключ, сформированный на вашем компьютере.
2 Нажмите кнопку OK.

ViPNet Client Монитор 3.2. Руководство пользователя
361
События, отслеживаемые ПО
ViPNet
Все события разделены на группы и подгруппы. Иерархическая схема этих групп изображена на следующем рисунке:
Рисунок 174: Классификация событий в Журнале IP-пакетов
B

ViPNet Client Монитор 3.2. Руководство пользователя
362
Блокированные IP-пакеты
Таблица9. Группа Все IP-пакеты\Блокированные IP-пакеты\IP-пакеты, блокированные
правилами защищенной сети
№
события
Название события
Описание события
1
Не найден ключ для
сетевого узла
Не найден ключ для связи с пользователем, идентификатор которого указан в пакете
2
Неверное значение
имито
Защищаемые данные или открытая информация криптосистемы были изменены
3
IP-пакет блокирован
фильтром защищенной
сети
Согласно настройкам фильтров входящий зашифрованный пакет или исходящий предназначенный для шифрования открытый пакет был заблокирован
4
Слишком большая
разница во времени
Время отправки пакета отличается от времени приема на величину большую, чем указано в настройке допустимого времени отправки принятых пакетов
7
Неизвестный метод
шифрования
Не поддерживается метод шифрования, код которого указан во входящем пакете
8
Искаженный IPLIR
заголовок
Недопустимые параметры в расшифрованном пакете
9
Неизвестный
идентификатор сетевого
узла
Идентификатор отправителя в пакете неизвестен
13
Превышено время
жизни IP-пакета
Пакет уничтожен из-за превышения лимита его нахождения в сети
14
Получен IP-пакет
для другого сетевого
узла
Принят пакет для другого адресата
15
Слишком много
фрагментов для IP-
пакета
Превышено допустимое количество одновременно обрабатываемых фрагментированных пакетов
16
Исчерпана лицензия на
количество
туннелируемых адресов
Это событие регистрируется только на координаторе, осуществляющем туннелирование. На координатор одновременно поступили пакеты от большего количества узлов, чем разрешено лицензией

ViPNet Client Монитор 3.2. Руководство пользователя
363
17
Неверный IP-адрес
Это событие регистрируется только на координаторе, осуществляющем туннелирование. На координатор поступил зашифрованный пакет, предназначенный для туннелируемого ресурса данного координатора, но IP- адрес ресурса отсутствует в списке туннелируемых адресов данного координатора.
18
Неизвестный IP-адрес
получателя
Это событие регистрируется только на координаторе.
Появляется в случае, если координатор не знает, на какой адрес перенаправить входящий пакет
70
Пакет заблокирован
транзитным фильтром
для защищенного узла
Это событие регистрируется только на координаторе с операционной системой Linux. Пакет заблокирован правилом фильтрации для транзитного зашифрованного трафика
Таблица10. Группа Все IP-пакеты\Блокированные IP-пакеты\IP-пакеты, блокированные
правилами открытой сети
№
события
Название события
Описание события
22
Незашифрованный IP-
пакет от сетевого узла
От защищённого адресата пришёл открытый пакет
23
Незашифрованный
широковещательный
IP-пакет от сетевого
узла
От защищённого адресата пришёл открытый широковещательный пакет
30
Локальный IP-пакет
блокирован фильтром
открытой сети
Пакет блокируется правилом фильтрации открытой сети из группы локальных правил или для пакета не удалось найти подходящее правило
31
Транзитный IP-пакет
блокирован фильтром
открытой сети
Это событие регистрируется только на координаторе.
Пакет блокируется правилом фильтрации открытой сети из группы транзитных правил или для пакета не удалось найти подходящее правило
32
Широковещательный
IP-пакет блокирован
фильтром открытой
сети
Пакет блокируется правилом фильтрации открытой сети из группы широковещательных правил или для пакета не удалось найти подходящее правило
33
IP-пакет блокирован
фильтром антиспуфинга
Это событие регистрируется только на координаторе.
Найдено соответствующее правило в таблице антиспуфинга
34
Неподдерживаемый тип
ICMP-сообщения
ICMP-пакет не принадлежит ни одному из существующих соединений и при этом его тип отличен от типа 8, кода 0

ViPNet Client Монитор 3.2. Руководство пользователя
364
37
Пакет блокирован
фильтром для
туннелируемых узлов
Это событие регистрируется только на координаторе.
Пакет блокируется правилом фильтрации для туннелируемых узлов или для пакета не удалось найти подходящее правило
38
Пакет блокирован
правилом 1 режима
Пакет блокируется 1 режимом безопасности, установленным на сетевых интерфейсах
39
IP-пакет блокирован
фильтрами по
умолчанию при загрузке
компьютера
Пакет заблокирован фильтрами по умолчанию при загрузке компьютера
Таблица11. Группа Все IP-пакеты\Блокированные IP-пакеты\IP-пакеты, блокированные
по другим причинам
№
события
Название события
Описание события
80
Размер IP-пакета
меньше допустимого
Размер IP-пакета меньше минимально возможного
81
Недопустимая версия
протокола IP
В данной версии поддерживается только протокол IP версии 4
82
Недопустимая длина
заголовка IP
Длина заголовка протокола IP меньше минимально возможного
83
Недопустимая длина IP-
пакета
Длина пакета меньше, чем указано в заголовке протокола
IP
84
Несовпадение
контрольной суммы IP
Подсчитанное значение контрольной суммы IP-пакета не совпадает со значением, указанным в пакете
85
Размер заголовка TCP
меньше минимально
допустимого
Недопустимо короткий заголовок протокола TCP
86
Размер заголовка UDP
меньше минимально
допустимого
Недопустимо короткий заголовок протокола UDP
87
Процедура
дефрагментации
завершилась с ошибкой
Ошибка при попытке дефрагментации входящего IP- пакета.
88
Широковещательный
адрес отправителя IP-
пакета
Адрес отправителя в пакете указан широковещательный
89
Процедура
дефрагментации
завершилась с ошибкой
Ошибка при попытке дефрагментации входящего IP- пакета.

ViPNet Client Монитор 3.2. Руководство пользователя
365
90
Недостаточно ресурсов
для криптообработки
Невозможно создать ключ для зашифрования или расшифрования пакета из-за недостаточности свободных ресурсов криптодрайвера.
Если эта ошибка стабильно проявляется, обратитесь в службу поддержки «Инфотекс». Возможно, потребуется обновление версии драйвера, использующего больше машинных ресурсов, или более совершенная модель компьютера.
91
IP-пакет получен во
время инициализации
драйвера
Блокировка всех пакетов во время инициализации драйвера
92
Слишком большой
размер IP-пакета
Размер пакета ограничен параметром 48 Кбайт
93
Превышено время
сборки фрагментов IP-
пакета
За допустимое время получены не все фрагменты фрагментированного пакета
95
Обнаружен сетевой узел
с таким
же идентификатором
Поступили пакеты с одинаковыми идентификационными номерами СУ, но разными IP-адресами
97
IP-пакет блокирован
фильтром SQL
Соединение заблокировано Microsoft SQL фильтром
100
Недопустимые флаги
TCP
Блокируются новые соединения с установленными одновременно флагами SYN+FIN/RST. Также блокируются новые (с точки зрения ПО ViPNet) соединения без флага SYN. То есть если до загрузки ПО
ViPNet были установлены какие-либо TCP-соединения, то после загрузки все пакеты, касающиеся этих соединений, будут блокироваться.
Блокируется «некорректный» пакет в уже установленном
TCP-соединении.