Руководство пользователя 19912012 оао ИнфоТеКС

ViPNet Client Монитор 3.2. Руководство пользователя
32
только если дистрибутив создан для того же приложения (ViPNet Client или ViPNet
Coordinator), которое установлено на узле.

Документация и справка других локализаций
Появилась документация и справка к продуктам ViPNet CUSTOM на немецком и французском языках.
Что нового в версии 3.1.2
В этом разделе представлен краткий обзор изменений и новых возможностей версии
3.1.2.

Более понятные названия способов аутентификации.
Названия режимов, используемых для авторизации пользователей, переименованы следующим образом: o
Пароль. o
Пароль на устройстве. o
Устройство.
Рисунок 13: Изменение типов авторизации

Оптимальное расположение различных настроек
Настройки, находившиеся на панели навигации, удалены с неё и объединены с другими настройками.

ViPNet Client Монитор 3.2. Руководство пользователя
33
Рисунок 14: Изменение местоположения настроек защищенной сети
Теперь все настройки содержатся в одном окне, которое вызывается по команде
Сервис > Настройки.

ViPNet Client Монитор 3.2. Руководство пользователя
34
Рисунок 15: Настройки защищенной сети в новой версии

Дополнительный способ проверки соединения с узлом
Появилась возможность проверить соединение с узлом в течение сеанса обмена защищенными сообщениями с этим узлом. Для этого достаточно щелкнуть узел правой кнопкой мыши и в контекстном меню выбрать команду Проверить
соединение.

Более удобный способ просмотра информации о статусе нескольких узлов
При проверке соединения сразу с несколькими сетевыми узлами информация о статусе этих узлов отображается не в отдельных окнах, а в одном окне.

ViPNet Client Монитор 3.2. Руководство пользователя
35
Рисунок 16: Проверка соединения с несколькими узлами сети

Детализация информации о доступности узла
К сообщениям, выводимым при проверке соединения с узлом, добавлено специальное сообщение для ситуации, когда узел доступен по сети, но ПО ViPNet на нем неактивно.

Более простая процедура отправки файлов
Сократилось количество действий, необходимых для отправки файлов получателям.
Рисунок 17: Процесс файлового обмена
Теперь отправка файлов осуществляется сразу после выбора получателя (сетевого узла).

ViPNet Client Монитор 3.2. Руководство пользователя
36
Рисунок 18: Измененный процесс файлового обмена

Возможность добавления правил фильтрации при просмотре блокированных
IP-пакетов
Появилась возможность добавлять правила фильтрации для открытой сети и туннелируемых узлов из окна блокированных IP-пакетов.

Расширенные возможности поиска
Расширен список параметров, по которым выполняется поиск сетевых узлов. Теперь узлы можно искать по имени или идентификатору узла, имени компьютера, псевдониму, DNS-имени, по виртуальным и реальным IP-адресам.

Дополнительные способы входа в режим администратора
Появилась возможность быстро войти в режим администратора одним из следующих способов: из области уведомлений Windows или по команде Сервис >
Вход администратора.

Унификация логики доступа к журналу IP-пакетов
Переход к просмотру журнала IP-пакетов, выполняемый из разных точек интерфейса, теперь происходит одинаковым образом: сначала открывается окно поиска для задания параметров отбора записей из журнала, затем — окно просмотра отобранных записей.

Возможность настройки некоторых параметров при входе в программу

ViPNet Client Монитор 3.2. Руководство пользователя
37
Появилась возможность указать транспортный каталог и каталог ключей пользователя при входе в программу.

Новый механизм включения антиспуфинга на координаторе
Изменен механизм включения антиспуфинга на координаторе: теперь антиспуфинг включается отдельно для каждого сетевого интерфейса.

Дополнительные полномочия пользователей
Добавлена поддержка новых полномочий «h» для прикладной задачи «Защита трафика». При этом уровне полномочий на узле всегда присутствуют две фиксированные конфигурации «Внутренняя сеть» и «Интернет». В конфигурации
«Внутренняя сеть» разрешена работа с ресурсами защищенной сети и запрещен доступ в Интернет, в конфигурации «Интернет» разрешена работа в Интернете и запрещен доступ в защищенную сеть.

Независимость установки ПО ViPNet от текущей локализации
Убраны отличия в регистрации ПО ViPNet различных локализаций. Теперь при обновлении ПО ViPNet можно установить поверх используемой версии версию другой локализации.

Расширенная поддержка протокола SIP
Реализована поддержка протокола SIP в случае, когда на компьютере установлено несколько сетевых адаптеров. Теперь в этом случае есть возможность пользоваться
IP-телефонией, защищенной технологиями ViPNet.

Автоматическая настройка доступа к корпоративным защищенным DNS- и
WINS-серверам
Реализована регистрация защищенных DNS- и WINS-серверов средствами ПО
ViPNet (см. «
Регистрация защищенного DNS-сервера средствами ПО ViPNet
» на стр. 176). Теперь достаточно внести информацию о серверах в специальный файл, и их IP-адреса автоматически будут добавлены в настройки сетевых адаптеров.
Автоматическая настройка удобна для мобильных пользователей, а также в случае, если DNS- и WINS-серверы доступны по виртуальным адресам.

Усовершенствованная документация и справка
Полностью переработаны документация и справка, улучшено их качество. При переработке документации акцент сделан на сценарный подход.

ViPNet Client Монитор 3.2. Руководство пользователя
38
Системные требования
Требования к компьютеру для установки программы ViPNet Client:

Процессор — Intel Core 2 Duo или другой схожий по производительности x86- совместимый процессор с количеством ядер 2 и более.

Объем оперативной памяти — не менее 512 Мбайт (рекомендуется 1 Гбайт).

Свободное место на жестком диске — не менее 150 Мбайт (рекомендуется 250
Мбайт).

Сетевой адаптер или модем.

Операционная система — Windows XP SP3 (32-разрядная)/Server 2003 (32- разрядная)/ Vista SP2 (32/64-разрядная)/Server 2008 (32/64-разрядная)/Windows 7
(32/64-разрядная)/Server 2008 R2 (64-разрядная).

При использовании Internet Explorer — версия 6.0 или выше.
Примечание. На компьютере не должны быть установлены другие сетевые экраны (также называемые брандмауэрами).

ViPNet Client Монитор 3.2. Руководство пользователя
39
Совместимость приложений ViPNet с другими приложениями
Приложения, совместимые с ПО ViPNet
Обеспечена совместимость программного обеспечения ViPNet со следующими приложениями:

Lumension Device Control (ранее Sanctuary Device Control).

Cisco Security Agent.

Kaspersky Administration Kit.

Microsoft SQL Server 2000 Desktop Engine (MSDE 2000).
Совместное использование ПО ViPNet и КриптоПро CSP
Обеспечение совместимости ПО ViPNet и КриптоПро CSP
В состав программного обеспечения ViPNet Client входит криптопровайдер ViPNet CSP, предназначенный для выполнения криптографических операций.
При установке на один компьютер криптопровайдеров ViPNet и КриптоПро CSP
(независимо от порядка установки) сохранится следующая работоспособность:

Функциональность ПО ViPNet в рамках VPN.

Криптопровайдер КриптоПро CSP.
Примечание. При установке программ ViPNet и ПО КриптоПро CSP будет работать только криптопровайдер КриптоПро CSP, но сохранится функциональность клиентского ПО ViPNet (Монитор, шифрование трафика), в котором операции шифрования выполняет драйвер ViPNet. Отсутствие конфликтов обусловлено тем, что драйвер ViPNet шифрует информацию на сетевом уровне, а КриптоПро CSP на прикладном.

ViPNet Client Монитор 3.2. Руководство пользователя
40
Замена криптопровайдера ViPNet на КриптоПро CSP
Поскольку ПО ViPNet, установленное на одном компьютере с КриптоПро CSP, не нарушает его структуру и работоспособность, то возможна прозрачная замена криптопровайдера ViPNet на КриптоПро CSP простой установкой последнего.
Системные ограничения не позволяют одновременную работу двух и более криптопровайдеров, даже если они установлены на одном компьютере. Поэтому, чтобы использовать ПО ViPNet совместно с КриптоПро CSP, следует отключить криптопровайдер ViPNet. Для этого в главном окне программы ViPNet Monitor, в меню
Сервис, выберите Настройка параметров безопасности, перейдите на вкладку
Криптопровайдер и нажмите кнопку Выключить.
Чтобы восстановить функциональность криптопровайдера ViPNet, удалите программное обеспечение КриптоПро CSP и нажмите кнопку Включить.
Использование сертификатов ViPNet в ПО КриптоПро CSP и
сертификатов КриптоПро в ПО ViPNet
Сертификаты пользователей, сформированные в удостоверяющем центре (УЦ)
КриптоПро по запросу из ПО ViPNet CSP, могут использоваться для подписи в ПО
ViPNet. Аналогично сертификаты, сформированные в ViPNet Administrator УКЦ по запросу из ПО КриптоПро CSP, могут использоваться в ПО КриптоПро CSP.
Примечание. Ключи, сформированные в ПО ViPNet Administrator УКЦ по запросу из ПО ViPNet, не могут преобразовываться и использоваться ПО
КриптоПро CSP.
В программе ViPNet Manager обработка внешних запросов на сертификаты невозможна.
Совместное использование ViPNet Монитор и технологии
Hyper-V
Hyper-V — это система виртуализации, реализованная в 64-разрядной версии операционной системы Microsoft Windows Server 2008.
Особенностью Hyper-V является то, что для обеспечения доступа виртуальных машин к внешней сети требуется выделить один из физических сетевых интерфейсов компьютера.
Этот интерфейс будет подключен к виртуальному коммутатору Hyper-V, а вместо него в хостовой операционной системе будет создан виртуальный интерфейс с такими же настройками.

ViPNet Client Монитор 3.2. Руководство пользователя
41
Для правильного подключения виртуальных сетевых интерфейсов (в том числе в хостовой операционной системе) к внешней сети на физическом интерфейсе, который используется для этого подключения, должны быть отключены все службы и протоколы, кроме протокола коммутации виртуальных сетей (Virtual Network Switching Protocol).
При установке программы ViPNet Монитор на компьютер с 64-разрядной операционной системой на всех сетевых интерфейсах компьютера включается служба Iplirim Driver, то есть сетевой ViPNet-драйвер. Этот драйвер осуществляет шифрование, расшифрование и фильтрацию IP-пакетов, проходящих через сетевой интерфейс, и может нарушить работоспособность виртуальной сети Hyper-V.
Чтобы обеспечить нормальное функционирование виртуальной сети и программного обеспечения ViPNet в хостовой операционной системе, в настройках физического сетевого интерфейса, подключенного к виртуальной сети Hyper-V, требуется отключить драйвер Iplirim.
Рисунок 19: Настройки физического интерфейса, подключенного к виртуальной сети
Hyper-V

ViPNet Client Монитор 3.2. Руководство пользователя
42
Совместное использование ViPNet Монитор и ПО Dallas
Lock
Внимание! Рекомендации, приведенные в данном разделе, относятся к программному обеспечению Dallas Lock версии 7.7. Прежде чем приступать к настройке Dallas Lock 7.7, ознакомьтесь с руководством по эксплуатации программы.
Чтобы обеспечить на компьютере совместную работу программы ViPNet Монитор и системы защиты от несанкционированного доступа Dallas Lock, выполните следующие действия:
1 В программе ViPNet Монитор в разделе Фильтры защищенной сети для всех защищенных узлов создайте широковещательный фильтр (см. «
Создание фильтров
» на стр. 142), разрешающий входящие и исходящие соединения по следующим портам TCP: 17484, 17485, 17486, 17487.
Рисунок 20: Широковещательный фильтр защищенной сети
2 В оболочке администратора Dallas Lock зарегистрируйте пользователя с именем
«__ViPNet__User__» и задайте для него следующие параметры: o
В группе Пароль установите флажок Пароль проверяется только в Windows. o
В группе Учетная запись установите флажок Системный пользователь.

ViPNet Client Монитор 3.2. Руководство пользователя
43
Рисунок 21: Свойства пользователя Dallas Lock
После регистрации пользователя его значок должен смениться на желтый.
3 В оболочке администратора Dallas Lock в разделе Параметры безопасности >
Политика входа в систему отключить политику Автоматический вход в ОС.
Рисунок 22: Политика «Автоматический вход в систему»
4 Настройте мандатный доступ с мандатом 0 на папку установки программы ViPNet
Client. В список Программы имеющие доступ на запись добавьте следующие исполняемые файлы: o
Все исполняемые файлы из папки установки программы ViPNet Client. o c:\windows\explorer.exe.
o c:\windows\system32\dllhost.exe o c:\windows\system32\svchost.exe

ViPNet Client Монитор 3.2. Руководство пользователя
44
o c:\windows\system32\wbem\wmiprvse.exe
Рисунок 23: Настройка мандатного доступа
5 Настройте мандатный доступ с мандатом 0 на папку пользователя Windows, от имени которого будет запускаться ПО ViPNet:
C:\Documents and Settings\<имя пользователя>\
В список Программы имеющие доступ на запись добавьте следующие исполняемые файлы: o
C:\Windows\explorer.exe o
C:\Program Files\InfoTeCS\ViPNet Client\Monitor.exe o
C:\Program Files\InfoTeCS\ViPNet Client\wmail.exe
6 Настройте мандатный доступ с мандатом 0 на папку временных файлов пользователя: по умолчанию
C:\Documents and Settings\<имя пользователя>\Local Settings\Temp\
Для этой папки установить флажок Очищать при выходе из системы.
7 Настройте мандатный доступ с мандатом 0 на папку
C:\ProgramData\Infotecs\
В список Программы имеющие доступ на запись добавьте следующие исполняемые файлы: o
C:\Program Files\InfoTeCS\ViPNet Client\Monitor.exe o
C:\Program Files\InfoTeCS\ViPNet Client\wmail.exe

ViPNet Client Монитор 3.2. Руководство пользователя
45
o
C:\Windows\System32\rundll.exe
8 После выполнения указанных настроек программы ViPNet Монитор и Dallas Lock готовы к совместной работе.

ViPNet Client Монитор 3.2. Руководство пользователя
46
Информация о внешних устройствах хранения данных
В ПО ViPNet для записи и считывания персональной информации (паролей, ключей и так далее) имеется возможность использовать различные внешние устройства хранения данных.
Внимание! Хранение персональных ключей нескольких пользователей на одном устройстве невозможно. Однако возможно хранение ключей подписи нескольких пользователей на одном устройстве.
Перед записью ключей на устройство убедитесь, что устройство отформатировано.
Ниже в таблице перечислены устройства и ключи, с которыми может работать ПО
ViPNet. Приведенная таблица содержит следующие данные:

в столбце Тип устройства представлены все типы устройств считывания, доступные для выбора в ПО ViPNet;

в столбце Тип ключа представлены типы ключей, используемые для данных устройств;

в столбце Необходимые условия работы с ключом описаны необходимые условия и важные моменты для использования каждого ключа;

в последнем столбце содержится информация о поддержке стандарта PKCS#11.
Примечание. Стандарт PKCS#11 (также известный как Cryptoki) — один из стандартов семейства PKCS (Public Key Cryptography Standards — криптографические стандарты открытого ключа), разработанных компанией RSA
Laboratories. Стандарт определяет независимый от платформы интерфейс API для работы с криптографическими устройствами идентификации и хранения данных.

ViPNet Client Монитор 3.2. Руководство пользователя
47
Таблица3. Поддерживаемые внешние устройства
Тип
устройства
Тип ключа
Необходимые условия работы с
ключом
Поддержка
стандарта
PKCS#11
eToken
Aladdin
eToken PRO, персональные электронные ключи, eToken PRO (Java), eToken PRO, смарт- карты eToken PRO
(Java), eToken PRO компании «Аладдин
Р.Д.»

На компьютере должно быть установлено программное обеспечение PKI Client версии 5.1 и выше.

Поддерживаемые ОС: Windows XP
SP3 (32-разрядная), Server 2003 SP2
(32-разрядная), Vista SP2 (32/64- разрядная), Server 2008 (32/64- разрядная), Windows 7 (32/64- разрядная), Server 2008 R2.