vipnet client [Монитор] - · pdf file1991 – 2010 ОАО...

ОАО «ИнфоТеКС»

ViPNet Client [Монитор] версия 3.1

Руководство пользователя

ФРКЕ. 00004-04 34 01

МОСКВА

2010 г.

Руководство пользователя ПО ViPNet Client [Монитор]

ФРКЕ.00004-04 34 01

2

1991 – 2010 ОАО "Инфотекс", Москва, Россия. Этот документ входит в комплект поставки программного обеспечения, и на него

распространяются все условия лицензионного соглашения. Ни одна из частей этого документа не может быть воспроизведена, опубликована, сохранена

в электронной базе данных или передана в любой форме или любыми средствами, такими как электронные, механические, записывающие или иначе, для любой цели без предварительного письменного разрешения ОАО "Инфотекс".

ViPNet является зарегистрированной торговой маркой программного обеспечения, разрабатываемого ОАО "Инфотекс".

Все торговые марки и названия программ являются собственностью их владельцев. ОАО "Инфотекс" 127287, г. Москва, Старый Петровско-Разумовский пр., дом 1/23, строение 1 Тел: (495) 737-61-96 (hotline), 737-61-92, факс 737-72-78 E-mail: [email protected] WWW: http://www.infotecs.ru

mailto:[email protected]�

http://www.infotecs.ru/�


ФРКЕ.00004-04 34 01

3

СОДЕРЖАНИЕ

ВВЕДЕНИЕ .......................................................................................................................................... 8

О ДАННОМ ДОКУМЕНТЕ ....................................................................................................................... 8 СОКРАЩЕНИЯ И ПРИНЯТЫЕ ОБОЗНАЧЕНИЯ........................................................................................ 12 КАК ИЗУЧАТЬ ДОКУМЕНТ .................................................................................................................... 12

1 ОБЩИЕ ПОЛОЖЕНИЯ .......................................................................................................... 13

1.1 ВИРТУАЛЬНАЯ СЕТЬ VIPNET. ОБЩИЕ ПРИНЦИПЫ ВЗАИМОДЕЙСТВИЯ УЗЛОВ В ВИРТУАЛЬНОЙ СЕТИ 13

1.2 НАЗНАЧЕНИЕ ПРОГРАММЫ VIPNET CLIENT [МОНИТОР] .......................................................... 14 1.3 ОБЛАСТЬ ПРИМЕНЕНИЯ ......................................................................................................... 14 1.4 СОСТАВ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ............................................................................... 15 1.5 ОСНОВНЫЕ РЕЖИМЫ БЕЗОПАСНОСТИ.................................................................................... 16

2 ТРЕБОВАНИЯ К АППАРАТНЫМ СРЕДСТВАМ И ОПЕРАЦИОННОЙ СРЕДЕ ............... 16

3 УСТАНОВКА VIPNET CLIENT [МОНИТОР] ........................................................................ 16

4 НАЧАЛО РАБОТЫ ................................................................................................................ 17

4.1 ОСОБЕННОСТИ СТАРТА ПО VIPNET CLIENT [МОНИТОР] НА ТЕРМИНАЛЬНЫХ СЕРВЕРАХ В КОНСОЛЬНОЙ И УДАЛЕННОЙ СЕССИИ ........................................................................................................... 19

5 СПОСОБЫ ЗАПУСКА ПРОГРАММЫ И ЗАВЕРШЕНИЯ РАБОТЫ С НЕЙ ..................... 19

5.1 ЗАПУСК ПРОГРАММЫ ............................................................................................................. 19 5.2 ЗАВЕРШЕНИЕ РАБОТЫ С ПРОГРАММОЙ .................................................................................. 20

6 ОСНОВНЫЕ ВОЗМОЖНОСТИ ПРОГРАММЫ ................................................................... 20

7 СИСТЕМА ОКОН И МЕНЮ ПРОГРАММЫ VIPNET CLIENT [МОНИТОР] ....................... 23

7.1 СИСТЕМНОЕ МЕНЮ ............................................................................................................... 23 7.2 ГЛАВНОЕ ОКНО. СПИСОК И КРАТКОЕ ОПИСАНИЕ ОСНОВНЫХ ОКОН ПРОГРАММЫ ...................... 24 7.3 ГЛАВНОЕ МЕНЮ ..................................................................................................................... 25 7.4 ПАНЕЛЬ ИНСТРУМЕНТОВ ....................................................................................................... 29 7.5 КНОПКИ НА СТРОКЕ СОСТОЯНИЯ ........................................................................................... 30 7.6 ОКНО НАСТРОЕК ПАРАМЕТРОВ ПРОГРАММЫ ........................................................................... 30

8 КОНФИГУРИРОВАНИЕ VIPNET CLIENT [МОНИТОР] ДЛЯ ПОДКЛЮЧЕНИЯ АП К СЕТИ VIPNET 31

8.1 НАСТРОЙКА СЕРВЕРА IP-АДРЕСОВ ........................................................................................ 32 8.2 НАСТРОЙКА ПАРАМЕТРОВ ПОДКЛЮЧЕНИЯ К СЕТИ ................................................................... 34

8.2.1 Принципы выбора способа подключения ............................................................... 35 8.2.2 Быстрая настройка подключения ......................................................................... 36 8.2.3 Настройка подключения без использования межсетевого экрана ................... 36 8.2.4 Настройка подключения через МЭ ViPNet-Координатор (тип МЭ " ViPNet-

координатор") 37 8.2.5 Настройка подключения через МЭ, на котором можно настроить

статические правила трансляции адресов (тип МЭ "Со статической трансляцией адресов") 39

8.2.6 Настройка подключения через МЭ, на котором затруднительно настроить статические правила трансляции адресов (тип МЭ "С динамической трансляцией адресов") 41

8.2.7 Описание окна Настройка\Защищенная сеть ..................................................... 44 8.2.8 Специальные случаи использования различных типов подключений ............... 46


ФРКЕ.00004-04 34 01

4

8.3 ВИРТУАЛЬНЫЕ АДРЕСА СЕТИ VIPNET .................................................................................... 47 8.4 ПОДДЕРЖКА И ИСПОЛЬЗОВАНИЕ СЛУЖБ ИМЕН DNS И WINS В СЕТИ VIPNET ......................... 48

8.4.1 DNS (WINS) сервер защищен ПО ViPNet ............................................................... 49 8.4.2 DNS (WINS) сервер не защищен ПО ViPNet .......................................................... 50 8.4.3 Основные правила задания DNS-имен в настройках ViPNet Монитор сетевого

узла 50 8.4.4 Регистрация защищенных DNS(WINS)–серверов в ОС Windows средствами

ViPNet 51 8.4.4.1 Если корпоративный DNS(WINS)-сервер установлен непосредственно на сетевом узле

ViPNet 51 8.4.4.2 Если корпоративный DNS(WINS)-сервер туннелируется координатором ....................... 52 8.4.4.3 Формат файла DNS.TXT ...................................................................................................... 52

8.5 НАСТРОЙКА ДОСТУПА К ДРУГИМ СУ ИЗ ОКНА ЗАЩИЩЕННАЯ СЕТЬ .......................................... 52 8.6 НАСТРОЙКА ДОСТУПА К ТУННЕЛИРУЕМЫМ КОМПЬЮТЕРАМ ..................................................... 53 8.7 УСТАНОВКА ПРИОРИТЕТОВ ВЫБОРА АДРЕСОВ ДОСТУПА КООРДИНАТОРА (НАСТРОЙКА И

ИСПОЛЬЗОВАНИЕ МЕТРИКИ) ........................................................................................................................ 54 8.8 ПРАВИЛА ДОСТУПА ДЛЯ УЗЛОВ ЗАЩИЩЕННОЙ СЕТИ (ОКНО ПРАВИЛО ДОСТУПА)...................... 57

8.8.1 Вкладка Общие ......................................................................................................... 57 8.8.2 Вкладка IP-адреса ..................................................................................................... 58 8.8.3 Вкладка Межсетевой экран .................................................................................... 59 8.8.4 Вкладка Туннель ....................................................................................................... 61 8.8.5 Вкладка Инфо ........................................................................................................... 62

9 СЕТЕВЫЕ УЗЛЫ ЗАЩИЩЕННОЙ СЕТИ VIPNET (ОКНО ЗАЩИЩЕННАЯ СЕТЬ) ........ 63

10 СЕРВИСНЫЕ СЛУЖБЫ ПРОГРАММЫ .............................................................................. 66

10.1 СЕРВИС "ОПЕРАТИВНЫЙ ОБМЕН ЗАЩИЩЕННЫМИ СООБЩЕНИЯМИ" ........................................ 67 10.1.1 Основные понятия сервиса "Оперативный обмен защищенными

сообщениями" 67 10.1.2 Отличия службы "Послать сообщение" от "Конференции" .............................. 68 10.1.3 Открытие сеанса обмена сообщениями (обмен сообщениями или

конференция) 68 10.1.4 Проверка доступности пользователя перед началом сеанса обмена

сообщениями 69 10.1.5 Отправка сообщений ............................................................................................... 69 10.1.6 Квитанции ................................................................................................................. 70 10.1.7 Добавление пользователей в открытый сеанс .................................................. 70 10.1.8 Уведомление о получении нового сообщения ....................................................... 71 10.1.9 Прочтение и обработка сообщений...................................................................... 71

10.1.9.1 Новые и непрочтенные сообщения (Окно Новые сообщения) ....................................... 73 10.1.10 Закрытие сеанса ..................................................................................................... 75

10.1.10.1 Закрытие сеанса инициатором сеанса ........................................................................... 75 10.1.10.2 Закрытие сеанса не инициатором сеанса ...................................................................... 76 10.1.10.3 Закрытие окна Оперативный обмен защищенными сообщениями.............................. 76

10.1.11 Интерфейс окна Оперативный обмен защищенными сообщениями ............... 77 10.1.11.1 Главное меню и панель инструментов окна Оперативный обмен защищенными

сообщениями 79 10.1.11.2 Контекстное меню на строке с выбранным сеансом ..................................................... 81 10.1.11.3 Контекстное меню панели Получатели сообщений ...................................................... 82 10.1.11.4 Поле для поиска получателей ........................................................................................ 82 10.1.11.5 Строка состояния ............................................................................................................. 82

10.1.12 Настройка сервиса обмена сообщениями ............................................................ 83 10.2 ОТПРАВКА И ПОЛУЧЕНИЕ ФАЙЛОВ (ФАЙЛОВЫЙ ОБМЕН) .......................................................... 86


ФРКЕ.00004-04 34 01

5

10.2.1 Описание интерфейса. Главное окно .................................................................... 86 10.2.2 Описание интерфейса. Значки в области уведомлений. ................................... 87 10.2.3 Отправка файлов ..................................................................................................... 87

10.2.3.1 Отправка файлов с помощью секции Защищенная сеть ................................................ 87 10.2.3.2 Отправка файлов с помощью файлового менеджера или проводника Windows ......... 89 10.2.3.3 Отправка файлов с помощью окна программы Файловый обмен.................................. 90 10.2.3.4 Отправка файлов с помощью программы Деловая почта .............................................. 91

10.2.4 Получение файлов .................................................................................................... 91 10.2.5 Настройка параметров файлового обмена ......................................................... 92

10.3 ПРОВЕРКА СОЕДИНЕНИЯ С СЕТЕВЫМ УЗЛОМ И ИНФОРМИРОВАНИЕ О СТАТУСЕ ЕГО ПОЛЬЗОВАТЕЛЯ ........................................................................................................................................... 92

10.3.1 Описание интерфейса окна Проверка соединения .............................................. 93 10.3.2 Проверка соединения с сетевыми узлами ............................................................ 94 10.3.3 Просмотр информации о соединении в отдельном окне ................................... 95 10.3.4 Управление внешним видом верхней панели окна Проверка соединения ......... 95 10.3.5 Просмотр результатов проверки соединения в других программах. .............. 95 10.3.6 Информирование о недоступности сетевого узла ............................................ 96

10.4 ИСПОЛЬЗОВАНИЕ ВНЕШНИХ ПРОГРАММ ДЛЯ СВЯЗИ С ПОЛЬЗОВАТЕЛЯМИ VIPNET ................... 96 10.5 УДАЛЕННОЕ УПРАВЛЕНИЕ КОМПЬЮТЕРАМИ ПОЛЬЗОВАТЕЛЕЙ СЕТИ VIPNET ............................ 97 10.6 СЕРВИС "WEB-РЕСУРС" И "ОБЗОР ОБЩИХ РЕСУРСОВ СЕТЕВОГО УЗЛА" .................................. 98 10.7 ИСПОЛЬЗОВАНИЕ ПСЕВДОНИМОВ .......................................................................................... 99 10.8 БЛОКИРОВКА КОМПЬЮТЕРА (КНОПКА БЛОКИРОВКИ) ............................................................... 99 10.9 РАБОТА С КОНФИГУРАЦИЯМИ ПРОГРАММЫ (ОКНО КОНФИГУРАЦИИ) ...................................... 101

11 НАСТРОЙКИ ПАРАМЕТРОВ ЗАЩИТЫ И СЕТЕВОЙ ФИЛЬТРАЦИИ IP-ТРАФИКА ... 102

11.1 ОСНОВНЫЕ ПРИНЦИПЫ ФИЛЬТРАЦИИ .................................................................................. 102 11.2 ВЫБОР РЕЖИМА БЕЗОПАСНОСТИ (РАЗДЕЛ РЕЖИМЫ) ........................................................... 105 11.3 СЕТЕВЫЕ ФИЛЬТРЫ ............................................................................................................. 107

11.3.1 Различия сетевых фильтров для открытого и защищенного трафика ...... 108 11.3.1.1 Общие сведения о фильтрах защищенной сети ........................................................... 108 11.3.1.2 Настройка фильтров защищенной сети ......................................................................... 110 11.3.1.3 Создание фильтра протоколов для защищенной сети ................................................. 111 11.3.1.4 Настройка фильтра Microsoft SQL .................................................................................. 113

11.3.2 Создание фильтров для открытой сети .......................................................... 114 11.3.2.1 Общие сведения о фильтрах открытой сети ................................................................. 114 11.3.2.2 Фильтры, созданные по умолчанию ............................................................................... 115 11.3.2.3 Параметры фильтров открытой сети ............................................................................. 116 11.3.2.4 Создание правил доступа для открытой сети ............................................................... 116 11.3.2.5 Создание фильтров протоколов для открытой сети ..................................................... 118

11.4 НАСТРОЙКА СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК (ОКНО НАСТРОЙКА\ОБНАРУЖЕНИЕ АТАК) .......... 120

12 НАСТРОЙКА ПАРАМЕТРОВ ОБРАБОТКИ ПРИКЛАДНЫХ ПРОТОКОЛОВ ДЛЯ ОТКРЫТОГО ТРАФИКА ........................................................................................................................... 121

13 НАСТРОЙКА ВЕБ-ФИЛЬТРОВ .......................................................................................... 122

13.1 БЛОКИРОВКА РЕКЛАМЫ........................................................................................................ 123 13.2 БЛОКИРОВКА ИНТЕРАКТИВНЫХ ЭЛЕМЕНТОВ ......................................................................... 125 13.3 БЛОКИРОВКА COOKIES И REFERER ...................................................................................... 126 13.4 НАСТРОЙКА ИСКЛЮЧЕНИЙ ................................................................................................... 127

14 ПРОСМОТР РЕЗУЛЬТАТОВ РАБОТЫ ПРОГРАММЫ ................................................... 129

14.1 РАБОТА С ЖУРНАЛОМ IP-ПАКЕТОВ ....................................................................................... 129


ФРКЕ.00004-04 34 01

6

14.1.1 Просмотр журнала пакетов ................................................................................. 129 14.1.2 Настройка параметров поиска IP-пакетов ....................................................... 130 14.1.3 Просмотр журнала регистрации IP-пакетов другого узла ViPNet ................. 131 14.1.4 Просмотр журнала регистрации IP-пакетов ..................................................... 132

14.1.4.1 Подсчет объема трафика ................................................................................................ 135 14.1.4.2 Настройка отображения журнала регистрации IP пакетов. .......................................... 135 14.1.4.3 Выделение IP пакетов ..................................................................................................... 136 14.1.4.4 Хорошие практики. Анализ открытых (нешифрованных) и зашифрованных соединений

137 14.1.4.5 Просмотр Журнала регистрации IP-пакетов в интернет браузере и Microsoft Excel. . 137

14.1.5 Настройки параметров регистрации IP-пакетов в журнале (окно Настройка\Журнал IP-пакетов) ..................................................................................................... 138

14.1.6 Описание событий, отслеживаемых ПО ViPNet ................................................ 139 14.1.6.1 События системы обнаружения вторжений ................................................................... 144

14.1.7 Просмотр архивов журналов IP-пакетов (окно Архив журналов) .................... 145 14.2 ИНФОРМАЦИЯ ОБ АДРЕСАХ БЛОКИРОВАННЫХ IP-ПАКЕТОВ (ОКНО БЛОКИРОВАННЫЕ IP-ПАКЕТЫ)

146 14.2.1 Создание правила доступа для открытой сети из раздела Блокированные IP-

пакеты 148 14.2.2 Настройка информирования пользователя о блокировании IP-пакетов (окно

Настройка\Блокированные IP-пакеты) ......................................................................................... 149 14.3 СТАТИСТИЧЕСКАЯ ИНФОРМАЦИЯ (ОКНО СТАТИСТИКА) ......................................................... 150

14.3.1 Информация о числе пропущенных и блокированных IP-пакетов различного типа (Окно IP-пакеты) .................................................................................................................... 151

14.3.2 Информация о числе заблокированных веб-фильтрами элементов веб-страниц (Окно Веб-фильтрация)................................................................................................... 152

14.4 ПРОСМОТР ИНФОРМАЦИИ ОБ АП, ВРЕМЕНИ РАБОТЫ ПРОГРАММЫ И ЧИСЛЕ СОЕДИНЕНИЙ (ОКНО VIPNET CLIENT) ........................................................................................................................................ 153

15 ДОПОЛНИТЕЛЬНЫЕ ВОЗМОЖНОСТИ ........................................................................... 154

15.1 РАБОТА В ПРОГРАММЕ В РЕЖИМЕ АДМИНИСТРАТОРА ........................................................... 154 15.1.1 Вход в программу в режиме администратора ................................................... 154 15.1.2 Настройки в окне Администратор ..................................................................... 155 15.1.3 Просмотр журнала регистрации действий пользователей по изменению

настроек безопасности в программе (окно Журнал событий) ................................................. 157 15.2 НАСТРОЙКИ ОБЩИХ ПАРАМЕТРОВ ПРОГРАММЫ И ЗАЩИЩЕННОЙ СЕТИ .................................. 159

15.2.1 Настройка предупреждений ................................................................................. 160 15.2.2 Настройка параметров запуска и аварийного завершения программы ........ 161 15.2.3 Настройка дополнительных параметров защищенной сети ......................... 162

15.3 АКТИВИЗАЦИЯ НОВОГО ПОЛЬЗОВАТЕЛЯ НА АП .................................................................... 164 15.4 ОБНОВЛЕНИЯ СПРАВОЧНО-КЛЮЧЕВОЙ ИНФОРМАЦИИ И ПО ................................................. 164

15.4.1 Удаленное обновление. Действия пользователя при приходе обновления ... 164 15.4.2 Ручное обновление справочно-ключевой информации при помощи файла *.dst

165 15.4.3 Сохранение и возврат предыдущей копии ключевой информации .................. 166 15.4.4 Замена сетевого узла на другой сетевой узел ................................................. 167

15.5 КОМПРОМЕТАЦИЯ КЛЮЧЕЙ ПОЛЬЗОВАТЕЛЯ ......................................................................... 168 15.5.1 Резервный набор персональных ключей пользователей (файл *.pk). Порядок

работы с резервными наборами ПК .............................................................................................. 168 15.5.2 События, квалифицируемые как компрометация ключей ............................... 168 15.5.3 Действия пользователя при компрометации его ключей ............................... 169


ФРКЕ.00004-04 34 01

7

15.6 ОРГАНИЗАЦИЯ БЕЗОПАСНОГО ПОДКЛЮЧЕНИЯ ГРУППЫ КОМПЬЮТЕРОВ ЛОКАЛЬНОЙ СЕТИ К ИНТЕРНЕТ БЕЗ ИХ ФИЗИЧЕСКОГО ОТКЛЮЧЕНИЯ ОТ ЛОКАЛЬНОЙ СЕТИ ОРГАНИЗАЦИИ (ТЕХНОЛОГИЯ ВЫХОДА В "ОТКРЫТЫЙ ИНТЕРНЕТ") ........................................................................................................................... 169

15.6.1 Реализация технологии ........................................................................................ 170 15.6.2 Описание работы на компьютере согласно технологии выхода в "Открытый

Интернет" 170 15.7 ОБЕСПЕЧЕНИЕ СИНХРОНИЗАЦИИ С КПК ПРИ ПОМОЩИ ACTIVESYNC И ЦЕНТРА УСТРОЙСТВ

WINDOWS MOBILE ..................................................................................................................................... 172

ПРИЛОЖЕНИЯ ................................................................................................................................ 172

1 ВОЗМОЖНЫЕ НЕПОЛАДКИ И СПОСОБЫ ИХ УСТРАНЕНИЯ ..................................... 172

1.1 НЕПРАВИЛЬНО ВВЕДЕННЫЙ ПАРОЛЬ ИЛИ НЕТ КЛЮЧЕВОЙ ДИСКЕТЫ ...................................... 172 1.2 НЕТ ВОЗМОЖНОСТИ РАБОТАТЬ С РЕСУРСАМИ ГЛОБАЛЬНОЙ СЕТИ ИНТЕРНЕТ ........................ 172 1.3 НЕ ПРОВЕРЯЕТСЯ СОЕДИНЕНИЕ С КОМПЬЮТЕРОМ ИЗ ЗАЩИЩЕННОЙ СЕТИ ........................... 173 1.4 НЕТ СВЯЗИ С НЕЗАЩИЩЕННЫМ КОМПЬЮТЕРОМ ЛОКАЛЬНОЙ СЕТИ ........................................ 173 1.5 ПРОГРАММА НЕ ЗАГРУЖАЕТСЯ ............................................................................................. 173 1.6 НЕВОЗМОЖНО ИЗМЕНИТЬ НАСТРОЙКИ В ПРОГРАММЕ VIPNET МОНИТОР .............................. 173 1.7 НЕВОЗМОЖНО СОХРАНИТЬ ПАРОЛЬ ..................................................................................... 174 1.8 ПРОШЛО ЛИ ОБНОВЛЕНИЕ? ................................................................................................. 174 1.9 НЕДОСТУПНЫ НАСТРОЙКИ ПРИКЛАДНЫХ ПРОТОКОЛОВ И ВЕБ-ФИЛЬТРОВ (ОТСУТСТВУЕТ СВЯЗЬ

СО СЛУЖБОЙ СЕРВИС VIPNET FIREWALL) ................................................................................................. 174

2 ДЕЙСТВИЯ ПОЛЬЗОВАТЕЛЕЙ, ПРИВОДЯЩИЕ К НАРУШЕНИЮ РАБОТЫ VIPNET CLIENT [МОНИТОР] .................................................................................................................................. 175

2.1 УДАЛЕНИЕ (ИЗМЕНЕНИЕ) ФАЙЛОВ. КРИТИЧНЫЕ К УДАЛЕНИЮ ФАЙЛЫ .................................... 175 2.2 ИЗМЕНЕНИЕ ВРЕМЕНИ И СПОСОБА ЗАПУСКА СЕТЕВЫХ СЛУЖБ ДЛЯ WINDOWS ....................... 175 2.3 ИЗМЕНЕНИЕ РЕЕСТРА .......................................................................................................... 175 2.4 ИЗМЕНЕНИЕ СЕТЕВЫХ НАСТРОЕК НА КОМПЬЮТЕРЕ .............................................................. 175 2.5 ИЗМЕНЕНИЕ НАСТРОЕК РАБОТЫ ПРОГРАММЫ VIPNET CLIENT [МОНИТОР] ............................ 176 2.6 УСТАНОВКА НА КОМПЬЮТЕР ДРУГИХ ПСЭ (FIREWALL) ......................................................... 176

3 ВОССТАНОВЛЕНИЕ VIPNET CLIENT ............................................................................... 176

4 РЕГЛАМЕНТНОЕ ТЕСТИРОВАНИЕ .................................................................................. 176


ФРКЕ.00004-04 34 01

8

Введение

О данном документе Данное руководство предназначено для пользователей компьютеров, на которых установлено

ПО ViPNet Client. В нем содержится информация, необходимая пользователю для настройки и использования программы ViPNet Client [Монитор], входящей в ПО ViPNet Client. Перед установкой ViPNet Client, на компьютере должна быть произведена сетевая настройка Windows, какая бы понадобилась для работы данного компьютера в сети без использования ПО ViPNet Client. Если Вы не знаете, как осуществить такую настройку – обратитесь к Вашему системному администратору или к документации Microsoft по сетевым настройкам Windows.

В этом документе описывается назначение и применение ПО ViPNet Client, его состав, состав программного обеспечения, требуемого для построения сети ViPNet, основные режимы и возможности программы ViPNet Client [Монитор]. Также приведено полное описание интерфейса, использование различных функций и возможные настройки программы ViPNet Client [Монитор].

Допустимость различных действий пользователей и настроек в программе ViPNet Client [Монитор] определяется полномочиями, заданными в ЦУС. В настоящем руководстве все действия пользователя описаны с точки зрения максимальных полномочий, т.е. без ограничений. О возможных полномочиях читайте отдельный документ "Классификация полномочий".

Материал руководства пользователя программы ViPNet Client [Монитор] организован следующим образом:

• В главе 1 (стр.13) и ее подпунктах содержатся общие сведения о сети ViPNet и принципах взаимодействия узлов в сети, о назначении и применении ПО ViPNet Client и его режимах безопасности.

• В главе 2 (стр.16) представлены требования к аппаратным средствам и операционной среде при установке ViPNet Client [Монитор].

• В главе 3 (стр.16) представлены краткие рекомендации по установке ПО ViPNet Client. Подробную инструкцию по установке и запуску ViPNet Client читайте в отдельном документе "Инструкция по установке, запуску, удалению ViPNet Client", входящем в установочный комплект.

• Глава 4 на стр.17 описывает начало работы с ViPNet Client [Монитор] - различные способы ввода пароля, возможность его сохранения.

∗ В пункте 4.1 (стр.19) описаны некоторые особенности старта ViPNet Client [Монитор] на терминальных серверах.

• В главе 5 (стр.19) и ее подпунктах описаны способы запуска программы ViPNet Client [Монитор] и завершения работы с ней.

• В главе 6 (стр.20) содержатся сведения об основных возможностях ПО ViPNet Client и рекомендации использования этих возможностей начинающими и опытными пользователями.

• Глава 7 (стр.23) полностью описывает интерфейс программы – систему окон и меню. В пункте 7.2 (стр.24) приведен список основных окон программы и их краткое описание.

• Глава 8 (стр.31) содержит подробные сведения о конфигурировании ViPNet Client [Монитор] на АП для подключения его к сети ViPNet. Если ViPNet Client [Монитор] был сконфигурирован администратором сети ViPNet в административной программе ЦУС (или ViPNet Manager), то для обеспечения корректной работы АП в сети, получения доступа к различным СУ ViPNet никаких ручных настроек ViPNet Client [Монитор] производить не нужно. В этом случае необходимость в редактировании настроек ViPNet Client [Монитор] может появиться в случае изменения физического способа подключения АП к сети или изменения других сетевых настроек. Если ViPNet Client [Монитор] не был сконфигурирован администратором сети ViPNet или требуется изменение настроек соединений, то необходимо произвести настройки ПО ViPNet Client [Монитор], описанные в данной главе.

∗ В пункте 8.1 на стр.32 содержится описание настройки сервера IP-адресов.


ФРКЕ.00004-04 34 01

9

∗ В пункте 8.2 на стр.34 описаны настройки параметров соединения АП с глобальной сетью. Узлы сети ViPNet могут быть подключены к глобальной сети непосредственно, либо могут работать через межсетевые экраны (МЭ) и другие NAT-устройства различных производителей (в том числе через ViPNet-координатор). Описание интерфейса окна Настройки, в котором производятся настройки сервера IP-адресов и типа соединения АП находится в пункте 8.2.7 (стр.44). Также существуют специальные случаи использования различных типов соединения на АП (п. 8.2.8, стр.46).

∗ В пункте 8.3 (стр.47) рассказано о виртуальных адресах сети ViPNet, которые при необходимости можно использовать вместо реальных адресов узлов.

∗ В пункте 8.4 (стр.48) рассказано об использовании служб имен DNS и WINS в сети ViPNet.

∗ В пункте 8.5 (стр. 52) указано, где можно произвести настройки для получения доступа к различным сетевым узлам защищенной сети.

∗ В пункте 8.6 (стр. 53) содержится информация о настройках доступа к туннелируемым компьютерам.

∗ В пункте 8.7 (стр. 54) описаны настройки метрики (приоритета выбора адресов доступа координатора) для обеспечения постоянного соединения с координатором, имеющим несколько адресов доступа.

• В главе 9 (стр.63) и ее подпунктах содержится описание окна Защищенная сеть, где отображаются все узлы сети ViPNet, соединение с которыми осуществляется только в защищенном режиме.

• В главе 10 (стр.66) находится описание различных сервисных функций, предоставляемых ПО ViPNet Client [Монитор].

∗ В пункте 10.1 (стр. 67) и его подпунктах содержится подробное описание сервиса обмена сообщениями в режиме реального времени (службы обмена сообщениями и конференция), доступного для пользователей защищенной сети ViPNet.

∗ Пункт 10.2 (стр. 86) описывает службу файлового обмена, предоставляющую возможность обмена файлами между пользователями защищенной сети ViPNet.

∗ Пункт 10.3 (стр.92) посвящен описанию сервисной службы, позволяющей получать информацию о статусе пользователя защищенной сети ViPNet.

∗ В п.10.4 (стр.96) рассказано об использовании различных внешних программ для взаимодействия с пользователем (Microsoft NetMeeting, VoxPhone, InternetPhone, Compaq Insight Manager, Microsoft Portrait), обеспечивающих возможность вести телефонные переговоры, передачу аудио- и видео- информации или другое взаимодействие через Интернет с подключенными пользователями защищенной сети ViPNet.

∗ Пункт 10.5 (стр.97) описывает использование внешних программ Remote Administrator, Remote Desktop Connection и VNC, которые позволяют получить защищенный доступ на удаленный компьютер пользователя сети ViPNet.

∗ Пункт 10.6 (стр.98) описывает сервисы Web-ссылка и Открыть сетевой ресурс, позволяющие из ViPNet Client [Монитор] обращаться к различным информационным ресурсам защищенной сети.

∗ В пункте 10.7 (стр.99) содержится описание использования псевдонимов для пользователей защищенной сети вместо имен, заданных в ЦУС (или ViPNet Manager).

∗ В п. 10.8 на стр.99 рассказано о возможности произвести блокировку компьютера и (или) IP-трафика, которые пользователь может осуществить при помощи кнопки блокировки.

∗ ПО ViPNet Client [Монитор] предоставляет возможность создавать, сохранять, а потом использовать различные конфигурации программы под разными именами, используя окно Конфигурации (глава 10.9, стр.101).

• Глава 11 (стр.102) посвящена настройкам различных параметров защиты компьютера. В ней описаны принципы фильтрации IP-трафика ПО ViPNet Client [Монитор], виды фильтров, настройки различных фильтров для блокирования или пропускания IP-пакетов по заданным параметрам.


ФРКЕ.00004-04 34 01

10

∗ Из раздела 11.1 (стр.102) Вы узнаете об основных принципах фильтрации IP-трафика программой ViPNet Client.

∗ В разделе 11.2 (стр.105) и его подпунктах рассказано о режимах безопасности, даны рекомендации о том, как их назначать. Режимы определяют типовые правила фильтрации всего трафика: от полного блокирования трафика до полного его разрешения.

∗ Раздел 11.3 (стр. 107) расскажет о группах фильтрации и видах сетевых фильтров, структуре сетевых фильтров и порядке их применения и настройки.

В пункте 0 (стр. 107) содержится информация по настройке фильтров для пользователей защищенной сети.

В пункте 11.3.2 (стр. 114) содержится информация по настройке фильтров в окне Открытой сети.

В пункте 11.3.2 (стр. 114) описываются настройки новых правил открытой сети.

В пункте 11.3.2.5 (стр.118) описываются настройки фильтров протоколов для фильтров защищенной сети и открытой сети.

В пункте 11.3.1.4 (стр.113) описываются настройки прикладного фильтра защищенной сети для Microsoft SQL сервера.

∗ Осуществить настройки для системы обнаружения атак (intrusion detection system IDS) можно в окне Обнаружение атак, описанные в пункте 11.4 (стр.120).

• В главе 11.4 (стр. 120) рассказано о настройке параметров обработки прикладных протоколов (привязки портов к протоколам) для открытого трафика.

• В главе 13 (стр.122) описываются настройки веб-фильтров для блокировки различной рекламы, интерактивных элементов (ActiveX, Java приложений, Flash-анимации, Javascript и VBScript сценариев), содержащихся в загружаемых веб-страницах, а также блокировки Cookies и Referer для открытого трафика.

• ПО ViPNet Client [Монитор] собирает различную информацию по результатам своей работы по обработке IP-трафика. Глава 14 (стр.129) посвящена описанию просмотра результатов работы ПО.

∗ Для анализа проходящего через Ваш компьютер IP-трафика ПО ViPNet Client [Монитор] ведет журналы регистрации IP-пакетов (п.14.1, стр.129) В журнале имеется возможность подсчитать размер трафика, проходящего через компьютер.

Настроить параметры запроса для просмотра журнала можно в окне Журнал IP-пакетов, описанном в пункте Настройка параметров поиска IP-пакетов).

Запрос журнала с удаленного компьютера пользователя защищенной сети описан в пункте Просмотр журнала регистрации IP-пакетов другого узла ViPNet).

Работа с журналом описана в пункте Просмотр журнала регистрации IP-пакетов).

В пункте 14.1.6 (стр.139) приведено описание событий, отслеживаемых ViPNet Client [Монитор].

Произвести настройки различных параметров, по которым будет фиксироваться информация в журнале можно в окне Настройка журнала, описанном в пункте 14.1.5 на стр.138.

Работа с архивами журналов изложена в пункте 14.1.7 на стр.145.

∗ В пункте 14.2 (стр.146) и его подпунктах содержится описание окна Блокированные IP-пакеты. Это окно оперативной информации, где выводится список IP-адресов и протоколов открытой сети, заблокированных программой ViPNet Client [Монитор]. Как только происходит блокирование IP-адреса, этот адрес сразу появляется в окне Блокированные IP-пакеты. Также в этом пункте содержится описание различных


ФРКЕ.00004-04 34 01

11

сервисных функций, предоставляемых ПО ViPNet Client в окне Блокированные IP-пакеты. В пункте 14.2.2 (стр. 149) представлено описание настроек различных видов информирования пользователя о блокировании IP-пакетов.

∗ Просмотреть статистическую информацию о процессе выполнения программой задач по фильтрации сетевого трафика и веб-трафика, проходящего через компьютер, можно в окне Статистика, описанного в разделе 14.3 (стр. 150). Информация отображается в режиме реального времени (on-line).

∗ Просмотреть информацию об АП, о времени работы программы и числе соединений с другими компьютерами можно в окне ViPNet Client, описанном в пункте 14.4 (стр.153).

• Глава 15.1 (стр.154) расскажет о работе в программе с правами администратора:

∗ Пункт 15.1.1 (стр.154) содержит информацию о входе в программу с правами администратора и о том, какие возможности эти права предлагают администратору сети ViPNet.

∗ В пункте 15.1.2 (стр.155) описано окно Администратор, в котором можно осуществить дополнительные настройки программы.

∗ Программа ViPNet Client [Монитор] производит регистрацию событий по изменению пользователями и администратором настроек безопасности, произведенных в программе, и выводит информацию об этом в специальном журнале событий (пункт 15.1.3, стр.157).

• Осуществить различные дополнительные настройки ПО ViPNet Client [Монитор] можно в окне Дополнительные настройки, описанном в главе 15.2 (стр.159).

• Если администратор ЦУС зарегистрировал на Вашем АП нового пользователя, то для того, чтобы он мог работать, нужно его активизировать на АП. О том, как это сделать рассказано в главе 0 на стр. 164.

• В главе 15.4 (стр.164) описаны способы обновления справочно-ключевой информации на АП.

• Глава 15.5 (стр. 168) содержит описание основных событий, связанных с компрометацией ключей, а также действия пользователя при компрометации его ключей.

∗ В главе 15.5.1 (стр. 168) описано назначение резервных наборов персональных ключей пользователей (файлы *.pk) и порядок работы с ними. Эти файлы передаются пользователям на ответственное хранение.

• Для организации безопасного для локальной сети подключения отдельных рабочих станций локальной сети к открытым ресурсам сети Интернет, можно использовать технологию ViPNet – выхода в "открытый Интернет". Технология выхода в "открытый Интернет" заключается в организации подключения части компьютеров локальной сети к Интернет без их физического отключения от локальной сети с помощью ПО ViPNet. Информацию об этом читайте в главе 15.6 на стр. 169.

• В Приложении 1 описаны возможные неполадки в ПО ViPNet Client и способы их устранения.

• В Приложении 2 описаны действия пользователя, которые могут привести к различным неполадкам в работе ПО ViPNet.

Некоторые дополнительные материалы, также относящиеся к использованию ПО ViPNet Client, изложены в отдельных документах:

• "Инструкция по установке, запуску, удалению ViPNet Client" – подробная инструкция по установке и удалению ViPNet Client находится в файле QuickStart_Client_Ru.pdf.

• "Идентификация пользователя ViPNet" – описание процесса идентификации пользователей ViPNet программным обеспечением ViPNet (ввод и сохранение пароля и т.д.), находится в файле User_Identification_Ru.pdf.

• "ViPNet Деловая почта" – руководство пользователя по работе с почтовым клиентом ViPNet, находится в файле ViPNet_BusinessMail_Ru.pdf.


ФРКЕ.00004-04 34 01

12

• "Контроль приложений" – руководство пользователя по работе с модулем Контроль приложений, находится в файле Application_Control_Ru.pdf. Модуль предназначен для защиты пользователя от несанкционированных попыток приложений, работающих на его компьютере, выполнить определенные действия в сети. Позволяет разрешать/запрещать приложениям работу в сети, вести журнал обращений к сети. Модуль полезен для обнаружения вирусов типа "троян". Возможность использования программы Контроль приложений зависит от регистрационного файла.

• "ViPNet MFTP. Описание работы" – подробное описание работы транспортного модуля mftp, находится в файле ViPNet_MFTP_Ru.pdf.

• "Настройка параметров безопасности" – описание по работе с модулем, отвечающим за смену паролей пользователей, пользователей и т. д., находится в файле Security_Service_Settings_ru.pdf.

• "Основные термины и определения" – словарь специальных терминов, используемых в документации ПО ViPNet, находится в файле Glossary_Ru.pdf.

• "Классификация полномочий" – описание возможных полномочий пользователя (полномочия задаются в программе ЦУС), определяющих допустимость различных действий пользователя на компьютере по изменению настроек установленного на нем ПО ViPNet, находится в файле ViPNet_Permissions_Ru.pdf.

• "Информация о внешних устройствах хранения данных" – необходимая информация о внешних устройствах хранения данных, которые могут использоваться в ViPNet для записи и считывания различной информации (паролей, ключей и т.д.), находится в файле Extenal_Devices_Guide_Ru.pdf.

• relnotes.txt – файл с замечаниями по использованию ПО ViPNet.

Эти документы входят в комплект поставки программного обеспечения ViPNet Client.

Сокращения и принятые обозначения В тексте документации встречаются следующие сокращения: ЦУС – Центр Управления Сетью; УКЦ – Удостоверяющий и ключевой центр; АП – абонентский пункт; СУ – сетевой узел; ПО – программное обеспечение; Монитор – программа ViPNet Client [Монитор]; ViPNet-координатор (или координатор) – компьютер с ПО ViPNet Coordinator; МЭ – межсетевой экран. Также в тексте документации используются различные элементы оформления: Внимание! – важная информация, требующая особого внимания. Замечание: – полезная дополнительная информация, примечание.

Как изучать документ Наиболее эффективный метод изучения ПО ViPNet – это изучение непосредственно за

компьютером в диалоговом режиме, чтобы Вы могли попробовать самостоятельно произвести требуемые действия, прочитав очередную часть руководства. Большинство терминов, встречающихся по ходу прочтения документа, объяснены в специальном глоссарии, который также входит в комплект поставки ViPNet. Мы постарались внести в глоссарий не только термины, уникальные для ViPNet, но и некоторые другие термины, использующиеся в документации ПО ViPNet.


ФРКЕ.00004-04 34 01

13

1 Общие положения

1.1 Виртуальная сеть ViPNet. Общие принципы взаимодействия узлов в виртуальной сети Пакет программ серии ViPNet в применении к IP-сетям является универсальным

программным средством для создания виртуальных защищенных сетей (VPN) любых конфигураций, обеспечивающих прозрачное взаимодействие компьютеров, включенных в VPN, независимо от способа, места и типа выделяемого адреса при их подключении к сети.

Наивысший уровень защиты и полностью безопасная работа обеспечивается при установке соответствующих программных средств на каждый компьютер, участвующий в виртуальной защищенной сети. Информация, которой каждый компьютер обменивается с другими компьютерами, становится недоступной для любых других компьютеров, не участвующих в данном соединении. Информация, которая расположена на самом компьютере, недоступна с любого компьютера, не участвующего в VPN. Доступ с компьютеров, участвующих в VPN, определяется наличием соответствующих связей, ключей, настройкой фильтров и полностью контролируем.

Виртуальная сеть ViPNet строится путем установки на компьютеры (сетевые узлы) следующего ПО: ViPNet Client и ViPNet Coordinator. ViPNet Client обеспечивает сетевую защиту и включение в VPN отдельных компьютеров. Компьютер с ПО ViPNet Coordinator обычно устанавливается на границах локальных сетей и их сегментов и обеспечивает:

• включение в VPN открытых и защищенных компьютеров, находящихся в этих локальных сетях или их сегментах, независимо от типа адреса, выделяемого им;

• разделение и защиту сетей от сетевых атак, и оповещение компьютера с ViPNet Client о состоянии других сетевых узлов, связанных с ним.

Компьютеры сети ViPNet могут располагаться внутри локальных сетей любого типа, поддерживающих IP-протокол. Допускается любой тип подключения к сети. Это может быть сеть Ethernet или PPPoE через XDSL-подключение, PPP через обычный Dial UP или ISDN, сеть сотовой связи GPRS или Wireless-устройства, сети MPLS или VLAN. ПО ViPNet автоматически поддерживает разнообразные протоколы канального уровня.

Компьютеры сети ViPNet могут работать в сети как автономно, то есть не использовать никакие межсетевые экраны, так и через различные межсетевые экраны и другие устройства, выполняющие функции преобразования адресов (NAT).

Внутри больших локальных сетей с использованием программных средств виртуальной сети могут быть созданы информационно независимые, взаимно недоступные или частично пересекающиеся замкнутые (независимые) группы компьютеров.

Программные средства виртуальной сети позволяют легко подсоединить к Интернет компьютеры локальной сети, участвующие в VPN, как только для защищенных соединений, при этом полностью исключая доступ из Интернет к этим компьютерам (как защищенным, так и открытым), так и организовать их выход на открытые ресурсы Интернет.

Специальные технологии позволяют участнику виртуальной сети одновременно с защищенными соединениями иметь односторонний доступ к открытым информационным ресурсам локальной или глобальной сети (режим Пропускать все исходящие соединения кроме запрещенных, см. п.1.5, стр.16), а также обеспечивать любые другие типы фильтрации открытого трафика в соответствии с заданной политикой безопасности.

Для защищенного трафика также возможна его фильтрация в соответствии с произведенными настройками.

При невозможности или нежелании установки программных средств на какие-то компьютеры локальной сети, работу по защите трафика таких компьютеров во внешних сетях можно поручить программному обеспечению ViPNet Coordinator, который в этом случае создаст защищенный туннель для этих компьютеров до аналогичного ViPNet-координатора или непосредственно до конечного компьютера (с ViPNet).

Основой всех программ для виртуальной сети является специальный ViPNet Драйвер, взаимодействующий непосредственно с драйверами сетевых интерфейсов (реальных или их эмулирующих) операционной системы, что обеспечивает независимость программы от операционной системы и недокументированных возможностей в ней. ViPNet Драйвер перехватывает и контролирует весь IP-трафик, поступающий и исходящий из компьютера.


ФРКЕ.00004-04 34 01

14

При взаимодействии в сети с другими компьютерами, также оснащенными ПО ViPNet, программа обеспечивает установление между такими компьютерами защищенных VPN-туннелей. При этом осуществляется шифрование всего IP-трафика между двумя компьютерами, что делает недоступным этот трафик для любых других компьютеров, в том числе имеющих такое же ПО. По умолчанию шифрование происходит по алгоритму, рекомендованному ГОСТ 28147-89, с длиной ключа 256 бит. Имеется возможность выбрать другой алгоритм шифрования – AES.

Для создания защищенных VPN-соединений между узлами используются IP-протоколы двух типов (IP/241 и IP/UDP), в которые упаковываются любые другие IP-протоколы (более подробно о протоколах соединения читайте в п.8.2, стр.34).

Ключи между каждой парой компьютеров зависят как от информации, формируемой Центром управления (симметричная схема распределения ключей), так и от информации, формируемой каждым компьютером (асимметричная схема распределения ключей).

Такая ключевая структура позволяет строить корпоративные виртуальные сети на базе ViPNet, с одной стороны надежно управляемые из Центра управления, а с другой стороны полностью информационно недоступные для Центра управления в части пользовательской информации.

Управление виртуальной сетью и допустимыми связями, созданием и распределением ключевой информации между узлами осуществляется с помощью программ Центр управления сетью (ЦУС) и Удостоверяющий и Ключевой центр (УКЦ) или ViPNet Manager.

Обмен управляющей информацией с ЦУС (или ViPNet Manager) и объектов сети между собой (справочники, ключи, программное обеспечение и др.), а также обмен почтовой информацией производится через ViPNet-координатор (используется функциональная составляющая – сервер-маршрутизатор) с помощью специального транспортного протокола над TCP/IP.

Оповещение абонентского пункта о состоянии других узлов сети для взаимодействия с ними, по умолчанию осуществляет ViPNet-координатор (точнее его функциональная составляющая – сервер IP-адресов), на котором этот абонентский пункт был зарегистрирован в ЦУС (или ViPNet Manager). Этот ViPNet-координатор всегда владеет полным объемом информации обо всех узлах сети, связанных с данным абонентским пунктом. Однако пользователь (или по команде из ЦУС (или ViPNet Manager)), при необходимости, может выбрать в качестве сервера IP-адресов и любой другой ViPNet-координатор, доступный ему. В этом случае абонентский пункт также сможет получить информацию о большинстве связанных с ним узлов и рассказать им о себе.

Также ViPNet-координатор может выполнять функции специализированного сервера для подключения отдельных компьютеров локальной сети с ViPNet Client к открытым ресурсам Интернет.

1.2 Назначение программы ViPNet Client [Монитор] Программа ViPNet Client [Монитор] (далее Монитор) входит в состав ПО ViPNet Client и

устанавливается на защищаемый компьютер (далее Абонентский Пункт - АП). ViPNet Client [Монитор] является универсальным программным средством, обеспечивающим надежную защиту компьютера от несанкционированного доступа к различным информационным и аппаратным ресурсам на нем при работе компьютера в локальных или глобальных сетях, например, Интернет.

ПО ViPNet Client [Монитор] выполняет функции: • персонального сетевого экрана (ПСЭ),

• шифратора сетевого трафика компьютера,

• предоставляет дополнительные сервисные функции для оперативного защищенного обмена сообщениями, проведения конференций, файлового обмена и др.

Монитор, являясь персональным сетевым экраном, обеспечивает надежную защиту Вашего компьютера от различных сетевых атак как со стороны локальной, так и со стороны глобальной сетей.

ViPNet Client [Монитор] является самонастраивающейся системой и получает всю необходимую информацию о других объектах сети от своего ViPNet-координатора.

1.3 Область применения ViPNet Client обеспечивает защиту информации при ее передаче в сеть, а также защиту от

доступа к ресурсам компьютера и атак на него из локальных и глобальных сетей. ViPNet Client


ФРКЕ.00004-04 34 01

15

может быть установлен как на рабочую станцию (мобильную, удаленную, локальную), так и на всевозможные типы серверов (баз данных, файл-серверов, WWW, FTP, SMTP, SQL и пр.) с целью обеспечения безопасных режимов их использования.

Система защиты сетевого трафика ViPNet Client позволяет решать разнообразные задачи для обеспечения безопасной работы компьютеров в локальных и глобальных сетях:

• Обеспечивает возможность установления защищенных соединений между компьютерами, оснащенными ПО ViPNet по обычным телефонным каналам, в локальной сети или через сеть Интернет. Это позволяет пользователям проводить защищенные от постороннего доступа переговоры или видеоконференции, передавать и принимать произвольную информацию. При этом не только устанавливается защищенное соединение, но и осуществляется фильтрация внешнего трафика для предотвращения доступа к ресурсам компьютера. Для установления соединения достаточно подсоединить компьютер к телефонной розетке или к локальной сети, имеющей выход в Интернет. Для ведения переговоров потребуется стандартная звуковая плата и микрофон.

• Установив ViPNet Client на корпоративный WEB сервер и компьютеры, которые должны с ним общаться, Вы получите полностью защищенную от постороннего доступа и воздействий информационную систему для корпоративных пользователей в открытой среде Интернет или в локальной сети.

• При установке ViPNet Client на рабочие станции и серверы локальной сети, обеспечивается надежная защита информации от ее перехвата, модификации или навязывания ложной информации при несанкционированных действиях как изнутри сети, так и извне, если локальная сеть имеет выход в открытую глобальную сеть, например Интернет.

• При работе в режиме терминала или по технологии "Клиент-сервер" с установленным ViPNet Client на Серверах баз данных и рабочих станциях, обеспечивается как защита информации при обращении к серверу баз данных, так и разграничение доступа к информационным ресурсам Сервера баз данных.

1.4 Состав программного обеспечения ViPNet Client состоит из следующих модулей:

• Низкоуровневого Драйвера сетевой защиты ViPNet Драйвер, взаимодействующего непосредственно с драйвером сетевого интерфейса компьютера и контролирующего весь трафик обмена компьютера с внешней сетью.

• Программы ViPNet Монитор, предоставляющей интерфейс пользователя для произведения различных настроек Драйвера и фиксирующей все необходимые события в специальных журналах регистрации IP-трафика (см. п.14.1, стр.129). Вы можете выгрузить эту программу, но Драйвер по-прежнему будет обеспечивать безопасность Вашего компьютера, при этом в журнале регистрации IP-трафика может сохраниться не вся информация о зафиксированном трафике, в то время пока программа Монитор была выгружена (см. п.Работа с журналом IP-пакетов).

• Транспортного модуля ViPNet MFTP, реализующего обмен управляющей, адресной, ключевой информацией с ЦУС (или ViPNet Manager) и почтовой информацией между узлами с ПО ViPNet (см. руководство пользователя "ViPNet MFTP. Описание работы").

• Программы Деловая почта – почтового клиента, позволяющего обмениваться почтовыми сообщениями с другими участниками сети ViPNet (см. руководство пользователя "ViPNet Деловая почта").

• Программы Контроль приложений (при наличии лицензии на нее в регистрационном файле), осуществляющей защиту от несанкционированных попыток приложений выполнить сетевую операцию (см. руководство пользователя "Контроль приложений").

ViPNet Client является составной частью пакета программ ViPNet Office, ViPNet Custom компании Инфотекс и обеспечивает защищенную работу различных приложений в среде WINDOWS через открытые сети.


ФРКЕ.00004-04 34 01

16

1.5 Основные режимы безопасности Программа Монитор имеет несколько режимов работы. Самый безопасный режим, это

Блокировать IP-пакеты всех соединений. В этом режиме Вы сможете работать только с компьютерами, также оснащенными Монитором и которые Вы видите в окне Защищенная сеть, и не сможете работать с открытыми компьютерами, поскольку система в этом случае пропускает только защищенные IP-пакеты, блокируя любые другие.

В режиме Блокировать все соединения кроме разрешенных система будет разрешать все защищенные соединения, а также пропускать только те типы пакетов, которые разрешены в окне Открытая сеть.

В режиме Пропускать все соединения Вы сможете выйти на защищенные Серверы или установить соединения с защищенными компьютерами, но при этом Ваш компьютер полностью открыт для незащищенных соединений и, соответственно, для различных сетевых атак.

Режим Пропускать все исходящие соединения кроме запрещенных (Бумеранг) предназначен для обеспечения безопасной работы компьютера в локальной или глобальной сети (например, Интернет) с открытыми ресурсами. Драйвер ViPNet в этом режиме настраивается на работу только с тем удаленным компьютером, соединение с которым инициируется Вашим компьютером и только по тому протоколу и порту, по которому устанавливает соединение Ваш компьютер. При этом блокируются любые входящие пакеты неизвестного типа.

Режим Бумеранга устанавливается по умолчанию после инсталляции программы и является наиболее безопасным при необходимости работы с открытыми ресурсами. При работе в этом режиме в локальной сети или глобальной сети Вы сможете получить доступ к открытым ресурсам, тогда как на Ваш компьютер, в независимости от настроек Windows, доступ оттуда получить невозможно.

В этом режиме все типы пакетов, разрешенные в меню Открытая сеть для конкретных адресов, пропускаются независимо от того, кто инициирует соединение.

Более подробное описание режимов Вы найдете в пункте 11.2 (стр.105).

2 Требования к аппаратным средствам и операционной среде ПО ViPNet Client может работать на IBM-совместимых компьютерах (стационарных или

переносных) с модемом или сетевым адаптером со следующей рекомендуемой конфигурацией: • Процессор – не менее Pentium III;

• ОЗУ – не менее 512 Мбайт;

• Свободное место на жестком диске – не менее 300 Мбайт;

• Операционная система – Microsoft Windows 2000 (32 бит) SP4 с установленным обновлением системы безопасности KB835732 (локализация обновления обязательно должна соответствовать локализации ОС Windows), XP (32 бит) c установленным 3-м пакетом обновлений (Service Pack), Server 2003 (32 бит)/Vista (32/64 бит), Server 2008 (32/64 бит), Windows 7 (32/64 бит), Server 2008 R2.

Используемая версия программы Internet Explorer должна быть не ниже 6.0. На компьютере не должно быть установлено никаких других ПСЭ (Firewall).

3 Установка ViPNet Client [Монитор] Программа ViPNet Client [Монитор] входит в состав ПО ViPNet Client. Для установки ViPNet Client необходимо запустить файл setup.exe, находящийся в

установочном комплекте, и следовать подсказкам мастера установки. Внимание! Программе Setup.exe необходимо, чтобы запускал ее пользователь, имеющий

права администратора системы Windows. Поэтому обычному пользователю необходимо временно дать администраторские права для установки ViPNet Client, после чего их можно снять.

Процесс установки может проходить как в интерактивном режиме, так и в неинтерактивном режиме. После первой установки программы необходимо установить набор ключей пользователя. Подробную инструкцию по установке и первоначальному запуску ViPNet Client читайте в отдельном документе "Инструкция по установке, запуску, удалению ViPNet Client", имеющемся в установочном комплекте.


ФРКЕ.00004-04 34 01

17

4 Начало работы При загрузке компьютера появится окно (Рисунок 1) для идентификации пользователя с

приглашением ввести пароль. Во время загрузки компьютера работа ViPNet Драйвера до авторизации пользователя ViPNet

(то есть ввода соответствующего пароля) не зависит от настроек фильтров открытой сети, а определяется выбранным режимом безопасности и рядом фильтров по умолчанию, необходимых для работы некоторых сетевых служб, которые стартуют до авторизации пользователя ViPNet.

В первом режиме блокируется весь открытый IP-трафик без исключений. Во втором режиме блокируется весь IP-трафик, за исключением следующих соединений:

• все соединения для работы службы DHCP в независимости от направления соединения по протоколу UDP и портам источника и назначения 67-68;

• исходящие соединения netbios-ns по протоколу UDP c портами источника и назначения 137;

• исходящие соединения netbios-dgm по протоколу UDP c портами источника и назначения 138;

• исходящие соединения для работы службы DNS по протоколу UDP с любым портом источника и 53 портом назначения.

В третьем режиме пропускаются все исходящие соединения и входящие соединения службы DHCP (протокол UDP, порты источника и назначения 67-68).

В четвертом режиме разрешен весь открытый IP-трафик, защита снята. Подробнее о режимах безопасности см. п. 1.5 на стр.16 и п. 11.2 на стр. 105.

Внимание! Если Вы откажетесь от ввода пароля (нажмете кнопку Отмена), то при загрузке системы это будет означать, что Ваш компьютер становится открытым для внешнего вторжения (установится режим 5 – отключить драйвер). В режиме администратора (в окне Администратор) можно запретить возможность отказаться от ввода пароля (параметр Обязательный ввод пароля при входе в операционную систему, см. п. 15.1.2).

Рисунок 1

Если программа ViPNet запускается в первый раз, то следует выполнить процедуру первичной инициализации справочно-ключевой информации, для этого в окне ввода пароля (Рисунок 1) нажмите в правой части кнопки Настройка и в появившемся списке выберите Первичная инициализация. Далее следуйте подсказкам мастера инициализации.

При последующих запусках введите пароль и/или обеспечьте контакт с внешним устройством хранения данных (в зависимости от режима авторизации) и нажмите кнопку ОК.

Подробно о первичной инициализации справочно-ключевой информации пользователя, идентификации пользователя при последующих стартах программы, изменении режима авторизации и возможности сохранения пароля Вы можете прочитать в документе Идентификация пользователя ViPNet. Подробную информацию о поддерживаемых внешних устройствах хранения данных и особенностях работы с ними читайте в документе "Информация о внешних устройствах хранения данных".

После проверки правильности ввода пароля, Вы увидите на экране главное окно программы ViPNet Client [Монитор] (Рисунок 2).

Также после ввода пароля осуществляются следующие проверки: • Если на Вашем компьютере было создано больше одной конфигурации Монитора (пункт 10.9, стр.101), то будет предложено выбрать нужную конфигурацию из списка


ФРКЕ.00004-04 34 01

18

сохраненных. Появление окна выбора конфигурации определяется в общих настройках программы Настройка\Запуск и аварийное завершение флажком Вызывать окно выбора конфигурации, п. 15.2.2. Если флажок снят, то будет загружена последняя используемая конфигурация.

• Проверяется срок действия Вашего сертификата ключа подписи. Если срок действия сертификата заканчивается, то появится сообщение об этом и будет предложено сформировать запрос на новый сертификат. Вызовется предупреждение программы Настройка параметров безопасности (если в настройках параметров безопасности Вы не сняли флажок отображения извещения об окончании срока действия сертификата). Подробнее читайте руководство "Настройка параметров безопасности".

• В зависимости от настроек, заданных в ЦУС (или ViPNet Manager), Ваш АП может быть настроен или не настроен для работы через какой-либо межсетевой экран. После первого запуска программы, может быть задан вопрос о желании работать через ViPNet-координатор. В этом случае Вы должны выбрать ответ на вопрос. О настройках параметров соединения АП читайте в п. 8.2 на стр. 34.

• Если при загрузке программы обнаружится разрыв соединения с локальной сетью, то появится сообщение об этом. В случае появления этого сообщения рекомендуем в первую очередь проверить подключение сетевого шнура или соединение модема. Отключить появление этого окна можно в общих настройках программы Настройка\Предупреждения (сняв флажок Выдавать сообщения о недоступности локальной сети и удаленных соединений, п. 15.2.1) или же установив флажок Не показывать это сообщение в дальнейшем в окне сообщения.

После запуска программы в области уведомлений на панели задач появится значок , который означает, что ViPNet Client [Монитор] запущен. В дальнейшем, в процессе работы, при передаче зашифрованных пакетов значок будет мерцать белым цветом. Также в процессе работы, для обеспечения обмена почтовой информацией между узлами с ПО ViPNet и управляющей, адресной, ключевой информацией с ЦУС (или ViPNet Manager) будет периодически загружаться транспортный модуль ViPNet MFTP (в области уведомлений на панели задач может появляться значок ( )).

После запуска программы устанавливается режим безопасности, назначенный пользователем (по умолчанию режим 3 – Пропускать все исходящие соединения кроме запрещенных). Более подробное описание режимов безопасности Вы найдете в пункте 11.2 (стр.105).

Замечание: Демо-версия программы1

1 Версия ViPNet Client с ограниченным сроком работы.

по умолчанию устанавливается в 4-й режим.


ФРКЕ.00004-04 34 01

19

Рисунок 2

Если администратор в ЦУС (или ViPNet Manager) не произвел настройки Вашего АП для подключения к сети ViPNet, то сконфигурировать ViPNet Client [Монитор] для работы с другими узлами ViPNet необходимо вручную в соответствии с п. 8, стр.31.

Для получения дополнительных возможностей по настройке и работе с программой в программу можно войти с паролем администратора (см. п.15.1.1, стр.154).

Внимание! Для того чтобы защита Вашего компьютера, работающего в локальной сети, была эффективной, на нем должны быть отключены все сетевые протоколы кроме TCP/IP (в окне Настройка\Общие должен быть установлен флажок Блокировать все протоколы, кроме IP, ARP, RARP, п. 15.2).

4.1 Особенности старта ПО ViPNet Client [Монитор] на терминальных серверах в консольной и удаленной сессии Терминальный сервер (например, Windows 2000 Server) позволяет осуществить запуск

нескольких пользовательских сессий. Поскольку ViPNet Client [Монитор] позволяет осуществить запуск только одной копии программы, то успешный старт Монитора в любой из сессий, автоматически запрещает его запуск в любой другой сессии.

В удаленной сессии для загрузки Монитора должно выполниться также дополнительное условие:

• В окне Администратор (п. 15.1.2, стр.155) должен быть установлен флажок Разрешить запуск монитора в удалённой сессии .

5 Способы запуска программы и завершения работы с ней В этой главе описаны способы запуска программы и завершения работы с ней.

5.1 Запуск программы По умолчанию, после входа в Windows ViPNet Client [Монитор] запускается автоматически

после ввода пароля пользователя.


ФРКЕ.00004-04 34 01

20

Если Вы закрыли программу ViPNet Client [Монитор], то заново ее запустить Вы сможете самостоятельно несколькими способами.

Способ 1: 1. Нажмите на кнопку Пуск (Start) на панели задач Windows и в появившемся меню Windows

выберите пункт Программы (Programs). 2. Затем выберите пункты, соответствующие ПО ViPNet Client [Монитор]. По умолчанию это

ViPNet -> Client, но, Вы могли изменить названия в процессе установки. Далее выберите пункт ViPNet Монитор.

3. После запуска программы на экране появится окно ввода пароля (Рисунок 1). После ввода пароля появится главное окно программы ViPNet Client [Монитор]. Если главное

окно не появилось, то щелкните левой кнопкой мыши на значке в области уведомлений на панели задач.

Способ 2:

Также для запуска ViPNet Client [Монитор] можно использовать ярлык на рабочем столе Windows, если в процессе установки Вы не отменили его создание.

Способ 3: Можно запустить ViPNet Client [Монитор] непосредственно из каталога установки. Для этого

откройте каталог установки программы (по умолчанию C:\Program Files\InfoTeCS\ViPNet Client) в каком-либо файловом менеджере (например, Windows Commander, Windows Explorer и т.д.), и запустите файл monitor.exe.

5.2 Завершение работы с программой Для завершения работы программы (выгрузки ее из памяти компьютера) выберите пункт

главного меню Выход. Данное действие доступно также, щелкнув правой кнопкой мыши на значке в области уведомлений на панели задач и, выбрав в появившемся меню пункт Выход. Появится

окно с предупреждением о выходе, и, если Вы подтвердите желание выйти из программы, то программа будет выгружена. При этом ViPNet Драйвер продолжит свою работу в рамках тех настроек, которые были произведены монитором, но в журнале регистрации IP-трафика может сохраниться не вся информация о зафиксированном трафике, в то время пока программа Монитор была выгружена (см. п. Работа с журналом IP-пакетов). Отключить появление окна с предупреждением можно в общих настройках программы Настройка\Предупреждения (п. 15.2.1), сняв флажок Запрашивать подтверждение на выход из приложения.

Если в главном окне программы (Рисунок 2) в правом верхнем углу нажать на (закрыть), то главное окно свернется в значок в области уведомлений на панели задач. Это действие не приведет в выгрузке программы из памяти. Если Вы сняли флажок При закрытии окна сворачивать в область уведомлений на панели задач в окне Настройка\Предупреждения (см. п. 15.2.1), то при таком же действии появится окно с предупреждением о выходе. После подтверждения программа будет выгружена.

6 Основные возможности программы Основные возможности программы с точки зрения рекомендации использования этих

возможностей различными пользователями (начинающими и опытными) следующие: Для всех пользователей (начинающих и опытных):

• Предоставляется возможность использования различных сервисных служб для работы в Защищенной сети между пользователями, такие как:

∗ Обмен сообщениями/Конференция (п. 10.1, стр.67) – эта функция предназначена для передачи сообщений в реальном масштабе времени между пользователями сети ViPNet. Все сообщения шифруются в реальном времени.

∗ Файловый Обмен (п. 10.2, стр.86) – позволяет пользователям сети ViPNet быстро и удобно обмениваться файлами без установки каких-либо дополнительных сервисов, например, ftp или совместного использования (sharing) ресурсов. Функция интегрирована в оболочку Windows Explorer и реализуется с помощью контекстного меню, вызываемого по правой кнопке мыши на выбранном для отправки файле или папке.


ФРКЕ.00004-04 34 01

21

∗ Деловая Почта – это почтовый клиент ViPNet Client [Деловая почта], обеспечивающий полный контроль прохождения документов. Отправка, получение и факт открытия письма строго документируются и отражаются в соответствующем окне статуса, доступном пользователю. Деловая почта позволяет подтверждать личность отправителя (его ЭЦП), используя систему сертификатов пользователей, встроенную в общую систему безопасности. Пользователю сети ViPNet можно отправить письмо, используя соответствующее меню программы ViPNet Client [Монитор] (см. п.7.3, стр.25). Информацию по использованию Деловой почты читайте в отдельном руководстве пользователя "ViPNet Деловая почта".

∗ Вызов внешних приложений (см. п. 10.4, стр. 96) – программа поддерживает автоматизированный вызов ряда коммуникационных приложений, таких как MS NetMeeting, VoxPhone, Internet Phone, Compaq Insight Manager, Microsoft Portrait с принудительным шифрованием трафика этих приложений.

∗ Проверка соединения с узлом и информирование о статусе пользователя (п. 10.3, стр.92) – эта функция предоставляет возможность пользователю по своей инициативе узнавать о текущем статусе других доступных ему пользователей защищенной сети – доступны они или нет, активны или нет и т.д.

∗ Функция Web-ссылка (п. 10.6, стр. 98) – позволяет обратиться в защищенном режиме к информационным web-ресурсам узла защищенной сети.

∗ Функция Открыть сетевой ресурс (п. 10.6, стр. 98) – позволяет открыть доступные сетевые ресурсы на узле защищенной сети. Обращение происходит в защищенном режиме.

∗ В программе реализована система псевдонимов, с помощью которой можно задать удобные для Вас имена узлам защищенной сети (см. п. 10.7, стр.99).

• Существует возможность через заданное время после прекращения работы на компьютере, или, используя кнопку Блокировки (п.10.8, стр.99), или сразу после загрузки компьютера закрыть доступ ко всем приложениям на рабочем столе, заблокировать весь IP-трафик или же выполнить эти действия одновременно.

Для опытных пользователей: • В программе предусмотрен режим Администратора, воспользоваться которым можно, если ввести соответствующий пароль (см. п.15.1.1, стр.154). После чего будут доступны дополнительные возможности по настройке программы и просмотр журнала регистрации событий по изменению настроек безопасности в программе.

• Программа позволяет получить защищенный доступ на удаленный компьютер пользователя сети ViPNet (из окна Защищенная сеть), используя внешние программы Remote Administrator, Remote Desktop Connection и VNC (см. п.10.5, стр.97).

• Возможны различные режимы работы программы, в зависимости от выбранного режима безопасности выполняются различные стратегии работ с открытыми ресурсами (полная блокировка открытого трафика, односторонние соединения, разрешение заданного трафика и др.). Всего предусмотрено 5 режимов безопасности (п. 11.2, стр.105). В процессе работы можно переключать эти режимы.

• Для более детальных настроек фильтрации, в программе предусмотрены инструменты, использовать которые рекомендуется пользователям, хорошо понимающим назначение и принципы организации протоколов, а также разбирающимся во внутреннем устройстве Интернет. Настройка фильтрации заключается в выборе типового правила фильтрации (называемого режимом безопасности) и модификации его с помощью дополнительных сетевых фильтров для конкретных адресов, протоколов и портов. Подробно о настройках фильтрации трафика читайте в п. 11, стр.102.

∗ Можно настраивать различные сетевые фильтры пакетов по протоколам и их параметрам для пользователей Защищенной сети (п. 11.3.1.2, стр. 107) и для IP-адресов Открытой сети (п. 11.3.2, стр. 114).

∗ Для пользователей Защищенной сети есть возможность настроить Прикладные фильтры (фильтры для SQL сервера, см. п. 11.3.1.4 (стр.113) – предназначены для фильтрации данных, передающихся с помощью протокола верхнего уровня TDS. Эти


ФРКЕ.00004-04 34 01

22

фильтры нужны в случае, если Вы установили программу ViPNet Client [Монитор] на Microsoft SQL сервер. Цель настроек Microsoft SQL фильтров – обеспечить невозможность клиенту SQL сервера воспользоваться чужими правами доступа на этот сервер.

• При просмотре Интернет-ресурсов, ViPNet Client [Монитор] обеспечивает:

∗ блокировку наиболее распространенных баннеров, рекламы, всплывающих окон, которые могут отвлекать пользователя и приводить к увеличению интернет-трафика. Пользователь может расширить список блокируемых баннеров (см. п. 13.1, стр. 123);

∗ блокировку различных интерактивных элементов (ActiveX, Java-приложений, Flash-анимации, JavaScript и VBScript сценариев), которые могут реализовывать несанкционированные пользователем действия (см. п. 13.2, стр. 125);

∗ защиту от несанкционированного сбора информации о действиях пользователя в Интернете (путем блокирования Cookies и Referer) (см. п. 13.3, стр. 126).

Пользователь может задать общие правила блокировки для всех веб-сайтов, а также задать список исключений для отдельных веб-сайтов (см. п. 13.4, стр. 127).

• Программа позволяет управлять параметрами обработки прикладных протоколов FTP, HTTP, SIP (привязкой портов к протоколам) (см. п. 11.4, стр. 120).

• При помощи встроенного модуля Контроль приложений обеспечивается защита компьютера пользователя на уровне приложений, путем контроля сетевой активности приложений. Это гарантирует блокирование любого неразрешенного пользователем приложения, при попытках последнего проявить сетевую активность. Например, модуль Контроль приложений позволяет блокировать работу программ – «троянских коней» (см. руководство пользователя "Контроль приложений"). Возможность использования программы Контроль приложений зависит от регистрационного файла.

• В программу встроена система обнаружения вторжений (intrusion detection system IDS). Эта система блокирует наиболее распространенные сетевые атаки посредством постоянного слежения за входящим и исходящим трафиком на предмет атак (см. п. 11.4, стр. 120).

• В процессе работы в окне Блокированные IP-пакеты фиксируются сетевые адреса открытых ресурсов, IP-пакеты с которых блокируются ViPNet Драйвером (см. п. 14.2, стр.146). Это могут быть злоумышленники, пытающиеся получить доступ к информации на компьютере.

• В процессе работы формируются различные журналы: регистрации IP-трафика (см. п.14.1, стр.129), сетевой активности приложений (см. руководство пользователя "Контроль приложений"), регистрации событий по изменению настроек безопасности в программе (см. п. 15.1.3, стр. 157). Также программа отображает в режиме on-line различную статистическую информацию о зарегистрированном сетевом трафике и заблокированных веб-фильтрами элементах веб-страниц (см. п. 14.3, стр. 150). С помощью этой информации пользователь может легко проанализировать различные события, зафиксированные программой, а также эффективность работы программы.

• Программа позволяет производить различные дополнительные настройки работы программы в окне дополнительных настроек (п. 15.2, стр.159).

• Программа предоставляет возможность сохранять текущие настройки программы в различные конфигурации, для того, чтобы потом просто выбирать ту либо иную конфигурацию в зависимости от потребностей (п. 10.9, стр. 101).

• В программе имеются средства, позволяющие отслеживать срок действия сертификата ключа подписи, создавать и отправлять запросы на новый сертификат, отслеживать срок действия пароля и менять пароль. Также существует возможность смены пользователя, если их несколько. За эти и некоторые другие функции отвечает модуль Настройка параметров безопасности, (см. руководство пользователя "Настройка параметров безопасности").

Замечание: Допустимость различных действий и настроек в программе Монитор зависит от уровня полномочий, данных пользователю администратором в ЦУС. Поэтому, если Вам что-то


ФРКЕ.00004-04 34 01

23

недоступно из указанных выше возможностей, значит Ваши права ограничены администратором сети ViPNet. Подробно о полномочиях читайте в отдельном документе "Классификация полномочий".

7 Система окон и меню программы ViPNet Client [Монитор] Данная глава содержит краткие описания основных окон и меню программы, а именно:

• Меню значка, открываемое щелчком правой кнопки мыши на значке Монитора в области уведомлений на панели задач (см. п.7.1, стр.23);

• Структура и назначение основных окон программы. Подробное описание возможностей каждого из этих окон читайте в пунктах, указанных в скобках у названия каждого окна (см. п.7.2, стр.24);

• Главное меню (см. п.7.3, стр.25);

• Панель инструментов (см. п.7.4, стр.29);

• Строка состояния (см. п.7.5, стр.30).

• Окно настроек программы (см. п. 7.6).

7.1 Системное меню

После запуска программы, в области уведомлений на панели задач появится значок . Щелкнув правой кнопкой мыши на значке программы, откроется системное меню (Рисунок 3).

Рисунок 3

Системное меню состоит из следующих пунктов: • Режим 1 - Режим 5 – выбор режима работы программы, для выбора установите флажок напротив нужного режима. Более подробно о режимах читайте в п.11.2 на стр.105;

• Установить конфигурацию – выбор нужной конфигурации, если их несколько. Более подробно о конфигурациях читайте в п.10.9 на стр.101;

• Блокировка – выбор типа блокировки и блокирование компьютера, действие аналогично использованию кнопки блокировки (п.10.8, стр.99);

• Восстановить – главное окно программы отобразится на экране;

• Минимизировать – главное окно программы свернется в кнопку на панели задач;

• Максимизировать – увеличение главного окна программы до размера экрана;

• О программе – вызов окна, в котором представлена информация о сети ViPNet, где зарегистрирован данный сетевой узел, название СУ и имя пользователя, вошедшего в


ФРКЕ.00004-04 34 01

24

программу, а также информация о текущей версии продукта и адреса, по которым можно связаться с разработчиками. В этом окне Вы можете прочитать и распечатать лицензионное соглашение;

• Выход – выход из программы ViPNet Client [Монитор] (выгрузка ее из памяти компьютера).

7.2 Главное окно. Список и краткое описание основных окон программы После запуска программы на экране откроется главное окно. Главное окно программы

поделено на две панели. В левой панели отображена структура основных окон. В правой панели отображено содержимое окна, выбранного в левой панели (Рисунок 4).

Рисунок 4. Главное окно программы ViPNet Client [Монитор]

Программа имеет следующие основные окна (Рисунок 4): • ViPNet Client (п.14.4, стр.153) – окно отображает информацию о Вашем узле и работе ПО ViPNet на нем.

• Защищенная сеть (п.9, стр.63) – окно отображает СУ корпоративной защищенной сети ViPNet, здесь можно воспользоваться различными сервисными службами для работы с защищенными пользователями и настраивать для них необходимые параметры работы и правила фильтрации IP-пакетов.

∗ Выборка – окно для поиска Microsoft SQL фильтров; отображается, если в окне Настройка\Защищенная сеть\Фильтр Microsoft SQL установить флажок Включить фильтр, и нажать OK (см .п.11.3.1.4 (стр.113)).

∗ Избранное – папка для размещения в нее сетевых узлов из окна Защищенная сеть. Папка создается программой автоматически.

• Открытая сеть (п.11.3.2, стр.114) – настройка фильтрации незащищенного (открытого) IP-трафика.

• Режимы (п.11.2, стр.105) – настройка режимов безопасности.


ФРКЕ.00004-04 34 01

25

• Блокированные IP-пакеты (п.14.2, стр.146) – в этом окне выводится список IP-адресов и протоколов открытой сети, заблокированных программой ViPNet Драйвер после его старта.

• Статистика – on-line информация о выполнении программой различных задач:

∗ IP-пакетов (п. 14.3.1, стр. 151) – информация о количестве обработанных IP-пакетов (пропущенных и заблокированных).

∗ Веб-фильтрация (п. 14.3.2, стр. 152) – информация о количестве заблокированных веб-фильтрами элементов веб-страниц.

• Журнал IP-пакетов (п.Работа с журналом IP-пакетов) – окно для формирования запроса на поиск информации в журнале регистрации IP-пакетов.

∗ Архив журналов (п. 14.1.7, стр.145) – просмотр архива журналов. Окно отображается только в случае наличия архива.

• Конфигурации (п.10.9, стр.101) – в этом окне можно создавать, сохранять и устанавливать конфигурации с различными настройками Монитора.

• Администратор (п.15.1.2, стр.155) – это окно отображается, если был введен пароль администратора ViPNet. В окне предоставляется возможность произвести дополнительные настройки программы.

7.3 Главное меню В верхней части главного окна расположено главное меню. Доступность некоторых пунктов

меню зависит от того, где находится фокус. Часть пунктов меню продублированы кнопками на панели инструментов. Соответствие кнопок на панели инструментов пунктам главного меню приведено в п. 7.4 на стр. 29.

Меню главного окна (Рисунок 4) содержит пункты (в скобках справа от названий пунктов меню указаны горячие клавиши):

• Выход – выход из программы Монитор (выгрузка из памяти компьютера); данное действие, доступно также, если щелкнуть правой кнопкой мыши на значке в области уведомлений на панели задач и в появившемся меню выбрать пункт Выход.

• Сервис

∗ Настройки (Ctrl+Alt+S) – вызов окна Настройка, где можно произвести различные настройки программы (см. п. 7.6).

∗ Настройка параметров безопасности – пункт предназначен для вызова модуля Настройка параметров безопасности для формирования на АП запросов на новый сертификат пользователя, контроля срока их действия, ввода в действие заверенных в КЦ сертификатов, смены паролей и др. (см. руководство пользователя "Настройка параметров безопасности").

∗ Настройки транспорта – пункт предназначен для настроек транспортного модуля ViPNet MFTP (см. руководство пользователя "ViPNet MFTP. Описание работы").

∗ Настройка прикладных протоколов – вызов окна Настройка для настройки параметров обработки прикладных протоколов (см. п. 11.4, стр. 120) и настройки веб-фильтров (см. п. 13, стр. 122).

∗ Шрифт – настройка шрифтов отображения записей в левой панели главного окна, окнах Защищенная сеть и Блокированные IP-пакеты.

∗ Экспорт псевдонимов – для любого пользователя защищенной сети можно задать псевдоним, вместо того имени, которое прописано в окне Защищенная сеть. Для того чтобы на всех узлах пользователи из окна Защищенная сеть имели имена, заданные Вами, нужно экспортировать с помощью этого пункта меню все псевдонимы в файл с расширением *.spn и разослать его по всем сетевым узлам и там импортировать его с помощью пункта меню Импорт псевдонимов. Подробно о псевдонимах читайте в п. 10.7 на стр.99.


ФРКЕ.00004-04 34 01

26

∗ Импорт псевдонимов – файл с псевдонимами поместите в папку установки Монитора в подпапку SaveData и импортируйте с помощью данного пункта меню. Если установлен флажок Отображать псевдонимы ViPNet-пользователей (см. п.15.2, стр.159) окна общих настроек программы Настройка\Общие, то импортированные псевдонимы отобразятся в окне Защищенная сеть вместо имен, прописанных в адресных справочниках.

∗ Экспорт настроек – сохранение настроек программы Монитор в файле. По умолчанию предлагается сохранить файл с настройками в папке SaveData папки установки программы. Вы можете изменить путь и имя файла. В файле будут сохранены все настройки программы за исключением настроек прикладных протоколов, настроек параметров безопасности, настроек транспортного модуля ViPNet Mftp.

∗ Импорт настроек – импорт ранее экспортированных в файл настроек Монитора. По умолчанию откроется каталог SaveData каталога установки программы. Вы можете указать другой путь к файлу.

∗ Смена пользователя – если на узле зарегистрировано несколько пользователей (регистрация производится администратором в ЦУС), то с помощью этой команды можно сменить пользователя. После выбора команды появится окно с предложением ввести пароль другого пользователя. После ввода пароля в окне ViPNet Client изменится имя текущего пользователя и соответствующая информация о пользователе.

• Действия

∗ Папки – по этому пункту меню доступны следующие подпункты:

Создать новую папку (Ctrl+N) – создание новой папки (в окне Защищенная сеть и Открытая сеть);

Переименовать (F2) – переименование ранее созданной пользователем папки;

Удалить (Del) – удаление ранее созданной пользователем папки, если она пустая.

∗ Правила доступа – по этому пункту меню доступны следующие подпункты (подпункты доступны, только если выбрана одна запись окна Защищенная или Открытая сеть):

Открыть (Ctrl+E) – открытие окна, соответствующего записи, на которой стоял курсор;

Создать новое правило доступа (Ins) – добавление нового правила фильтрации в окно Открытая сеть (см. п. 11.3.2);

Добавить Фильтр протоколов (Ctrl+Ins) – откроется окно Фильтр протоколов, где можно настроить фильтры по портам и протоколам для узлов Защищенной или Открытой сети (см. п. 11.3.1.3 и 11.3.2.4);

Добавить Microsoft SQL фильтр – настройка Microsoft SQL фильтра для выбранного пользователя Защищенной сети (11.3.1.4 (стр.113 );

Удалить (Del) – удаление добавленных фильтров, а в Открытой сети и правил доступа.

∗ Внешние программы – по этому пункту меню доступны следующие подпункты (подробнее читайте в п.10.4, стр.96 и п.10.5, стр.97):

Вызвать Microsoft NetMeeting

Вызвать VoxPhone

Вызвать InternetPhone

Вызвать Compaq Insight Manager

Вызвать Microsoft Portrait

Вызвать Radmin Viewer


ФРКЕ.00004-04 34 01

27

Вызвать VNC Viewer

Вызвать Remote Desktop Connection

∗ Послать сообщение – послать защищенное сообщение выбранным пользователям (пользователю) из Защищенной сети. При этом появится окно Оперативный обмен защищенными сообщениями (п. 10.1, стр.67).

∗ Конференция – организовать конференцию с выбранными пользователями (пользователем) из Защищенной сети. При этом появится окно Оперативный обмен защищенными сообщениями (п. 10.1, стр.67).

∗ Отправить файл – откроется окно Файловый обмен (п. 10.2, стр.86) и выбранным пользователям (пользователю) из Защищенной сети можно отправить файлы.

∗ Принятые файлы – если для выбранного пользователя защищенной сети существует подкаталог в каталоге принятых файлов, то откроется окно каталога \TaskDir\Receive\[имя узла], где [имя узла] – имя выбранного пользователя. Если для пользователя не существует подкаталога в каталоге принятых файлов, или выбрано несколько пользователей, или пункт меню выбран не в окне Защищенная сеть, то откроется окно каталога \TaskDir\Receive. Этот пункт меню всегда доступен.

∗ Отправить письмо – откроется окно письма программы ViPNet Client [Деловая почта] (см. руководство пользователя "ViPNet Деловая почта"). Вы можете написать и отправить письмо по почте одному или нескольким выбранным пользователям из окна Защищенная сеть.

∗ Web-ссылка – если к выбранному узлу в данный момент есть доступ и работает web-сервер, то Ваш Интернет-браузер отобразит главную страницу этого сервера. Пункт меню доступен, только если выбран один узел защищенной или открытой сети. Подробнее читайте в п.10.6, стр.98.

∗ Открыть сетевой ресурс – если к выбранному компьютеру в данный момент есть доступ, то Ваш Windows-проводник отобразит доступные сетевые ресурсы на этом компьютере. Пункт меню доступен, только если выбран один узел защищенной или открытой сети. Подробнее читайте в п.10.6, стр.98.

∗ Проверить соединение (F5) – проверка соединения с одним или несколькими выбранными узлами из окна Защищенная сеть. В зависимости от того, установлено соединение или нет, появится соответствующее сообщение с информацией о доступности узла и статусе пользователя (ей). Подробно о статусе пользователя читайте в п. 10.3 на стр.92. Процесс проверки соединения можно прервать, нажав в левом нижнем углу главного окна программы кнопку Отменить.

∗ Выделить все подключенные узлы – выделяются все подключенные к сети ViPNet узлы из окна Защищенная сеть. Одновременно всем выделенным узлам можно, например, послать сообщение, отправить письмо или проверить соединение.

∗ Развернуть все (Ctrl+"+") – развернуть все папки и правила доступа в окнах Защищенная сеть, Открытая сеть, Блокированные IP-пакеты.

∗ Свернуть все (Ctrl+"-") – свернуть все папки и правила доступа в окнах Защищенная сеть, Открытая сеть, Блокированные IP-пакеты.

∗ Определить имя – откроется окно для поиска сетевого имени или IP-адресов для выбранного узла защищенной сети.

∗ Журнал регистрации IP-пакетов – откроется раздел Журнал IP-пакетов (см. п. Работа с журналом IP-пакетов). Параметры поиска будут заполнены на основе информации, полученной от выбранного элемента разделов Защищенная сеть, Открытая сеть или Блокированные IP-пакеты, на котором стоял курсор. Пункт меню доступен, только если выбрана одна запись окна. Чтобы произвести поиск в соответствии с установленными автоматически параметрами, нажмите кнопку Поиск.

• Вид – настройка внешнего вида главного окна


ФРКЕ.00004-04 34 01

28

∗ Панель инструментов – после установки флажка отображается панель инструментов; по умолчанию флажок установлен. После снятия флажка недоступен параметр Подписи к кнопкам (см. след.).

∗ Подписи к кнопкам – доступно, если установлен флажок Панель инструментов (см. предыдущий пункт); после установки флажка Подписи к кнопкам под каждой кнопкой панели инструментов появляется надпись, обозначающая действие кнопки; по умолчанию флажок установлен.

∗ Строка состояния – после установки флажка появится строка состояния внизу окна; по умолчанию флажок установлен.

∗ Настроить панель – настройка отображения кнопок на панели инструментов. Выбор этого пункта меню вызовет окно настроек (Рисунок 5, язык интерфейса окна зависит от языка используемой ОС). В правой части окна (Current toolbar buttons) представлены отображаемые кнопки, в левой части (Available toolbar buttons) – кнопки, которые можно добавить для отображения на панели инструментов. Кнопки данного окна Add (Добавить) и Remove (Удалить) предназначены для перемещения кнопок панели инструментов из левой и правой частей соответственно. Кнопки Move Up(Вверх) и Move Down(Вниз) предназначены для настройки порядка отображения кнопок на панели инструментов слева направо. Separator(Разделитель) предназначен для разделения кнопок (групп кнопок) панели инструментов. Кнопка окна Reset (Отмена) возвращает настройку отображения кнопок и их порядок по умолчанию. Действие от каждого нажатия любой из вышеописанных кнопок окна немедленно отображается на панели инструментов главного окна. Кнопка окна Close (Закрыть) закрывает окно настроек.

Рисунок 5

• Справка

∗ Содержание – вызов справочной системы на странице содержания;

∗ Указатель – вызов справочной системы на странице указателей;

∗ О программе – информация о сети ViPNet, в которой зарегистрирован данный сетевой узел, название самого сетевого узла и имя пользователя, вошедшего в программу, а также информация о текущей версии продукта и адреса, по которым можно связаться с разработчиками. В этом окне Вы можете прочитать и распечатать лицензионное соглашение.


ФРКЕ.00004-04 34 01

29

7.4 Панель инструментов Панель инструментов расположена ниже строки главного меню. Панель инструментов

содержит кнопки, нажимая на которые осуществляются различные действия. Часть действий можно также осуществить, используя пункты меню Действия. Доступность кнопок панели управления зависит от того, где находится курсор. Вы можете скрыть панель инструментов с экрана, щелкнув по пункту меню Вид -> Панель инструментов (до удаления флажка).

Вы можете добавлять или удалять кнопки, используя пункт меню Вид -> Настроить панель. Вы можете отобразить на экране подписи к кнопкам, щелкнув по пункту меню Вид -> Подписи

к кнопкам (до появления флажка). Соответствие кнопок на панели инструментов пунктам главного меню (п.7.3, стр.25):

Действия -> Отправить файл

Действия -> Открыть сетевой ресурс

Переместить (или удалить) узел Защищенной сети в папку Избранное (из папки Избранное).

Действия -> Послать сообщение

Действия -> Отправить письмо

Действия -> Web-ссылка

Действия -> Определить имя

Действия -> Проверить соединение Действия ->

Внешние программы-> Microsoft Portrait

Действия -> Принятые файлы

Действия -> Журнал регистрации IP-пакетов

Действия -> Внешние программы-> Radmin Viewer

Действия -> Внешние программы-> VNC Viewer

Действия -> Внешние программы-> Remote Desktop Connection

Действия -> Конференция


ФРКЕ.00004-04 34 01

30

7.5 Кнопки на строке состояния В нижней части главного окна расположена строка состояния. Вы можете скрыть строку

состояния с экрана, щелкнув по пункту меню Вид -> Строка состояния (до удаления флажка).

Рисунок 6. Кнопки на строке состояния

На строке состояния находятся следующие кнопки (Рисунок 6):

– вызов программы Контроль приложений (см. руководство пользователя "Контроль приложений"). Кнопка вызова контроля приложений будет присутствовать на строке состояния, если это определено регистрационным файлом. В противном случае – кнопки не будет.

– кнопка блокировки. Позволяет пользователю по собственному желанию закрыть доступ ко всем приложениям на рабочем столе, заблокировать весь IP-трафик или же выполнить эти действия одновременно (см. п.10.8, стр.99).

– вызов программы ViPNet Деловая почта (см. руководство пользователя "ViPNet Деловая почта").

- открытие окна Файловый обмен для отправки файлов абонентам сети ViPNet (подробнее см. Отправка и получение файлов (Файловый обмен)).

– вызов транспортного модуля ViPNet MFTP (см. руководство пользователя "ViPNet MFTP. Описание работы").

7.6 Окно настроек параметров программы Окно Настройка для настройки параметров программы открывается при помощи главного

меню Сервис -> Настройки. Окно Настройка можно вызвать также при помощи комбинации горячих клавиш Ctrl+Alt+S.

Окно Настройка поделено на две панели. В левой панели отображена структура разделов для настройки. В правой панели отображен перечень параметров настройки выбранного в левой панели раздела (Рисунок 4).


ФРКЕ.00004-04 34 01

31

Рисунок 7

Окно Настройка содержит следующие разделы (Рисунок 7): • Общие – настройка общих параметров программы (см. п. 15.2).

∗ Предупреждения – настройка предупреждений о различных событиях (см. п. 15.2.1).

∗ Запуск и аварийное завершение – настройка параметров запуска и аварийного завершения (см. п. 15.2.2).

• Защищенная сеть – настройка параметров подключения к сети (см. п. 8.2.7).

∗ Фильтр Microsoft SQL – общие настройки SQL фильтров (см. п. 11.3.1.4).

∗ Дополнительные параметры – настройка дополнительных параметров для защищенной сети (см. п. 15.2.3).

• Блокированные IP-пакеты – настройка информирования пользователя о блокировании IP-пакетов (см. п. 14.2.2).

• Обнаружение атак – настройка системы обнаружения вторжений (см. п. 11.4).

• Журнал IP-пакетов – настройки параметров, по которым будет фиксироваться в журнале информация об IP-пакетах (см. п. 14.1.5).

• Обмен сообщениями – настройки службы обмена сообщениями и конференция (см. п.10.1.12).

• Файловый обмен – настройки службы файлового обмена (см. п.10.2.5).

8 Конфигурирование ViPNet Client [Монитор] для подключения АП к сети ViPNet

Перед тем, как производить настройки ViPNet, на АП должна быть произведена сетевая настройка Windows, какая бы понадобилась для работы данного компьютера в сети без использования ПО ViPNet Client.

ViPNet Client [Монитор] мог быть сконфигурирован администратором сети ViPNet в административной программе ЦУС (или ViPNet Manager). В этом случае для обеспечения корректной работы АП в сети никаких ручных настроек ViPNet Client [Монитор] производить не нужно. Также без каких-либо дополнительных настроек будут устанавливать соединения АП,


ФРКЕ.00004-04 34 01

32

расположенные в одной подсети с прямым доступом друг к другу по IP-адресу. Необходимость в редактировании настроек ViPNet Client [Монитор] может появиться в случае изменения физического способа подключения АП к сети или изменения других сетевых настроек.

Вне зависимости от настроек, заданных в ЦУС (или ViPNet Manager), в случае работы АП через МЭ со статической трансляцией адресов, должны быть произведены настройки на самом межсетевом экране (см. п.8.2.5, стр.40).

Если ViPNet Client [Монитор] не был сконфигурирован администратором сети ViPNet или требуется изменение настроек подключения к сети, то нужно произвести настройки ПО ViPNet Client [Монитор] на Вашем компьютере.

Перед тем, как приступить к настройкам программы ViPNet Client [Монитор], необходимо, чтобы в сети уже был установлен и настроен ViPNet-координатор, который будет выбран в качестве сервера IP-адресов (и/или) МЭ. Как правило, таким координатором является координатор, на котором Ваш АП зарегистрирован в ЦУС (или ViPNet Manager).

Первым делом после старта программы ViPNet Client [Монитор] на АП, для установления соединения с другими узлами сети ViPNet нужно настроить свой сервер IP-адресов – указать адрес доступа и выбрать сам сервер IP-адресов (см. п.8.1, стр.32). Далее, при необходимости, настроить параметры соединения АП с другими узлами сети ViPNet в окне Настройка\Защищенная сеть в соответствии с п.8.2, стр.34.

После того, как Вы сделали необходимые настройки в окне Настройка\Защищенная сеть, вернитесь в окно Защищенная сеть и выберите там Ваш сервер IP-адресов из списка сетевых

узлов. Нажмите кнопку Проверить соединение ( ) на панели инструментов, или нажмите клавишу F5, или выберите соответствующий пункт в меню, открывающемся при щелчке правой кнопки мыши. Если настройки выполнены верно, то появится сообщение об установке соединения с сервером IP-адресов. Если сообщения не появилось, то еще раз проверьте правильность настроек.

Если соединение со своим сервером IP-адресов установилось, то все необходимые настройки для других узлов появятся автоматически.

При необходимости, можно произвести и другие настройки для обеспечения соединения с некоторыми СУ, о которых читайте в следующих пунктах:

• Если требуется доступ к другим АП и координаторам, можно произвести настройки для этих координаторов и АП (см. п.8.5, стр.52). Но, как правило, эти настройки производить не нужно, поскольку они появляются автоматически после соединения со своим сервером IP-адресов.

• Если требуется доступ к узлам, туннелируемым каким-либо из ViPNet-координаторов, можно произвести настройки IP-адресов этих узлов (см. п. 8.6, стр.53). Такие настройки, как правило, требуется выполнять, если администратор не настроил туннелируемые IP-адреса в ЦУС (или ViPNet Manager).

• Для обеспечения постоянного соединения с координатором, имеющим несколько адресов доступа, можно установить приоритеты выбора каждого адреса для установления по нему соединения (см. п.8.7, стр.54). Как правило, эти настройки выполнять не требуется. Необходимость может возникнуть, только если координатор может быть доступен по нескольким каналам связи, имеющим разный приоритет с точки зрения целесообразности использования.

• В п.8.3, стр.47 рассказано о виртуальных адресах сети ViPNet, которые целесообразно использовать для доступа к узлам сети ViPNet для исключения конфликта адресов.

• Технология ViPNet обеспечивает поддержку служб DNS, WINS для различных сетевых приложений, функционирующих на защищенных компьютерах, а также может использовать эти службы в своих целях. В пункте 8.4 (стр.48) рассказано об использовании служб имен DNS и WINS в сети ViPNet.

Далее, при необходимости, Вы можете приступать к настройкам параметров защиты и фильтрации IP-трафика (см. п.11, стр.102) – настройкам режимов безопасности, сетевых фильтров и других параметров защиты.

8.1 Настройка сервера IP-адресов Оповещение АП об активности и способах подключения других узлов сети для

взаимодействия с ними осуществляет сервер IP-адресов. Сервер IP-адресов владеет полным


ФРКЕ.00004-04 34 01

33

объемом информации обо всех узлах сети, связанных с АП. Поэтому АП должен знать IP-адрес доступа (или DNS-имя) своего сервера IP-адресов. Это может быть адрес самого координатора или адрес доступа через межсетевой экран/NAT-устройство, установленный на границе сети.

Настройка IP-адреса или DNS-имени: Для настройки IP-адреса или DNS-имени сервера IP-адресов, в окне Защищенная сеть

дважды щелкните левой кнопкой мыши на имени требуемого координатора. Откроется окно Правило доступа (Рисунок 8).

Рисунок 8

На вкладке IP-адреса с помощью кнопки Добавить укажите любой доступный IP-адрес (реальный) или, установив флажок Использовать DNS-имя и нажав кнопку Добавить укажите DNS-имя этого координатора. По завершении всех действий нажмите OK. Далее в окне Правило доступа нажмите Применить (OK).

Если Вам известен адрес и порт доступа к серверу IP-адресов через межсетевой экран/NAT-устройство, установленный на границе сети, или доступные извне IP-адреса непосредственно сервера IP-адресов, то вместо настройки собственного IP-адреса или DNS-имени произведите настройку IP-адреса доступа и порта на вкладке Межсетевой экран, предварительно установив флажок Использовать настройки работы узла через межсетевой экран.

Замечание: Описание вкладок IP-адреса и Межсетевой экран читайте в п.8.8.2, стр.58 и п.8.8.3, стр.59 соответственно. Подробную информацию об использовании DNS-имен читайте в п.8.4, стр.48.

Выбор координатора в качестве сервера IP-адресов: Далее нужно выбрать координатор в качестве сервера IP-адресов. Для этого воспользуйтесь

главным меню Сервис -> Настройки. В окне Настройка выберите раздел Защищенная сеть (Рисунок 9) и в списке Сервер IP-адресов выберите координатор, который будет являться сервером IP-адресов. Это должен быть координатор, для которого Вы произвели настройки IP-адреса ранее. Нажмите OK.


ФРКЕ.00004-04 34 01

34

Рисунок 9

Внимание! Если в качестве сервера IP-адресов был выбран координатор другой ViPNet-сети, то Ваш АП будет получать информацию о состоянии (текущих IP-адресах, способах подключения, включении или отключении) только узлов той ViPNet-сети, к которой принадлежит выбранный координатор. Информацию о Вашем сетевом узле будут получать только сетевые узлы из ViPNet-сети выбранного координатора. Соединение с некоторыми узлами может быть не установлено.

Затем, в зависимости от способа физического подключения Вашего АП к сети, возможно, понадобится изменить настройки флажка Использовать межсетевой экран и параметров работы через межсетевой экран. Детальная информация о том, в каком случае какой тип соединения должен быть выбран, приведена в п.8.2, стр.34.

8.2 Настройка параметров подключения к сети Узлы сети ViPNet могут быть подключены к внешней сети непосредственно, либо могут

работать через межсетевые экраны (МЭ) и другие NAT-устройства различных производителей (в том числе через ViPNet-координатор).

Как уже упоминалось ранее, узлы сети ViPNet могут располагаться внутри локальных сетей любого типа, поддерживающих IP-протокол. Способ подключения к сети может быть любой. Это может быть сеть Ethernet, PPPoE через XDSL-подключение, PPP через обычный Dial-up или ISDN, сеть сотовой связи GPRS или Wireless-устройства, сети MPLS или VLAN. ПО ViPNet автоматически поддерживает разнообразные протоколы канального уровня. Для создания защищенных VPN- туннелей между узлами используются IP-протоколы двух типов (IP/241 и IP/UDP), в которые упаковываются любые другие IP-протоколы.

При взаимодействии любых сетевых узлов между собой, если между ними отсутствуют межсетевые экраны с преобразованием адресов, используется более экономичный протокол IP/241. Этот протокол, в отличие от UDP, не имеет дополнительных заголовков размером 8 байт. Исходный пакет после шифрования упаковывается в IP-пакет с 241 номером протокола.

Во всех остальных случаях используется протокол UDP. Исходный пакет после шифрования упаковывается в UDP-пакет с заданным портом назначения (по умолчанию 55777).

Для обеспечения гарантированного соединения сетевого узла из любых точек сети с другими сетевыми узлами, в программе ViPNet Client [Монитор] есть возможность выбрать один из четырех типов подключения в зависимости от способа подключения СУ к внешней сети. Для выбора типа подключения воспользуйтесь главным меню Сервис -> Настройки. В окне Настройка выберите раздел Защищенная сеть (Рисунок 18) и произведите одну из следующих настроек:

1. Непосредственное подключение к внешней сети (без использования МЭ) – в этом случае флажок Использовать межсетевой экран должен быть снят (см. п.8.2.3, стр.36).


ФРКЕ.00004-04 34 01

35

2. Подключение через ViPNet-координатор – в этом случае флажок Использовать межсетевой экран должен быть установлен, в списке Тип межсетевого экрана выбрано значение Координатор (см. п.8.2.4, стр.37).

3. Подключение через МЭ (NAT-устройство), на котором возможна настройка статических правил трансляции адресов – в этом случае флажок Использовать межсетевой экран должен быть установлен, в списке Тип межсетевого экрана выбрано значение Со статической трансляцией адресов (см. п.8.2.5, стр.39).

4. Подключение через МЭ (NAT-устройство), на котором настройка статических правил трансляции адресов затруднительна или невозможна – в этом случае флажок Использовать межсетевой экран должен быть установлен, в списке Тип межсетевого экрана выбрано значение С динамической трансляцией адресов (см. п.8.2.6, стр.41).

Описание интерфейса окна Настройка\Защищенная сеть находится в п.8.2.7, стр. 44. Далее описаны принципы выбора способа подключения АП к сети (см. п.8.2.1, стр.35).

8.2.1 Принципы выбора способа подключения

Оповещение абонентских пунктов об активности и способах подключения других узлов сети для взаимодействия с ними осуществляет их сервер IP-адресов.

Каждый узел при включении в сеть сообщает на свой координатор – сервер IP-адресов или другие координаторы (если узел сам является координатором), необходимую информацию о своих адресах и способах доступа к ним.

Каждый узел при включении в сеть, а также в процессе работы получает от своего координатора – сервера IP-адресов или других координаторов (если узел сам является координатором), необходимую информацию об адресах других узлов, связанных с ним, и способах доступа к этим адресам.

Если сетевой узел имеет IP-адрес, доступный по общим правилам маршрутизации пакетов в IP-сети со стороны любых других узлов, с которыми этот узел должен взаимодействовать, например, имеет публичный адрес сети Интернет, то этому узлу достаточно сообщить другим узлам только свои IP-адреса. В этом случае достаточно выбрать подключение 1. Подробное описание варианта использования и настройки этого соединения для абонентского пункта читайте в п.8.2.3, стр.36.

Если сетевой узел имеет частный IP-адрес, по которому в соответствии с общими правилами маршрутизации нельзя получить доступ со стороны некоторых других узлов (например, если на выходе во внешнюю сеть установлен МЭ или иное NAT-устройство), то такой сетевой узел должен сообщить другим узлам, расположенным во внешней сети, уже существенно больше информации о себе, чем в предыдущем случае. Для бесперебойного доступа к данному узлу потребуется не только информация об адресах этого узла, но и информация об адресах и портах доступа в данный момент через NAT-устройство. В этом случае должно быть выбрано одно из подключений 2, 3, или 4:

• Подключение 2 выбирается в случае, если во внутренней сети установлен ViPNet-координатор, выполняющий функции МЭ для ViPNet-клиентов этой локальной сети. Этот ViPNet-координатор может работать или не работать через другие МЭ (или NAT-устройства). Подробное описание варианта использования и настройки этого соединения для абонентского пункта читайте в п.8.2.4, стр.37.

• Подключение 3 выбирается в случае, если в локальной сети нет ViPNet-координатора, но на границе локальной сети установлен МЭ (или другое NAT-устройство), на котором можно настроить статические правила трансляции адресов. Подробное описание варианта использования и настройки этого соединения для абонентского пункта читайте в п.8.2.5, стр.39.

• Подключение 4 выбирается в случае, если в локальной сети нет ViPNet-координатора, но на границе локальной сети установлен МЭ (или другое NAT-устройство), на котором затруднительно настроить статические правила трансляции адресов. Подробное описание варианта использования и настройки этого соединения для абонентского пункта читайте в п.8.2.6, стр.41. Соединение 4 наиболее универсально, и сетевой узел при использовании этого соединения будет работоспособен и при других способах подключения к внешней сети.


ФРКЕ.00004-04 34 01

36

Следующие разделы описывают вышеприведенные типы подключений более детально. Можно попытаться произвести быстрые настройки типа подключения, если Вы имеете минимальные сведения о конфигурации сети, в соответствии с п.8.2.2, стр.36.

Существуют также специальные случаи использования различных типов подключения, использовать которые рекомендуется для организации различных схем маршрутизации IP-пакетов (см. п.8.2.8, стр.46).

8.2.2 Быстрая настройка подключения

Если Вы имеете минимальные сведения о конфигурации сети, то можно попытаться произвести быстрые настройки типа подключения, чтобы обеспечить работу с внешней сетью. Для выбора типа подключения воспользуйтесь главным меню Сервис -> Настройки. В окне Настройка выберите раздел Защищенная сеть. Установите флажок Использовать межсетевой экран.

Рисунок 10

Произведите одну из следующих настроек: Если ViPNet-координатор (Ваш сервер IP-адресов) установлен в той же локальной сети, что и

Ваш АП, то следует настроить работу через этот ViPNet-координатор, т.е. в списке Тип межсетевого экрана выбрать Координатор.

Если в локальной сети, где установлен Ваш АП, нет ViPNet-координатора и Вы ничего не знаете о МЭ, установленном на границе локальной сети, то в списке Тип межсетевого экрана следует выбрать С динамической трансляцией адресов.

Если в локальной сети, где установлен Ваш АП, нет ViPNet-координатора, но Вы знаете, что на МЭ, установленном на границе локальной сети, настроены правила для трансляции IP-адреса Вашего АП, то в списке Тип межсетевого экрана следует выбрать Со статической трансляцией адресов.

Если после таких настроек подключение к внешней сети не происходит, то следует прибегнуть к более тонким настройкам (читайте далее).

8.2.3 Настройка подключения без использования межсетевого экрана

Если АП имеет непосредственное подключение к внешней сети, т.е. может быть доступен напрямую со стороны любых других СУ, например, имеет публичный адрес, то для такого АП следует настроить подключение без использования межсетевого экрана:


ФРКЕ.00004-04 34 01

37

Для выбора типа подключения воспользуйтесь главным меню Сервис -> Настройки. В окне Настройка выберите раздел Защищенная сеть. Снимите флажок Использовать межсетевой экран (Рисунок 11).

Замечание: Не забудьте произвести настройки сервера IP-адресов, если Вы по каким-то причинам не произвели их (см. п.8.1, стр.32).

Рисунок 11

8.2.4 Настройка подключения через МЭ ViPNet-Координатор (тип МЭ " ViPNet-координатор")

Вариант использования подключения Если на границе локальной сети установлен ViPNet-координатор, то для абонентских пунктов

локальной сети, имеющих связь с этим координатором, рекомендуется выбрать этот координатор в качестве узла, через который и от имени которого будет осуществляться обмен информацией с сетевыми узлами, находящимися в других сетях (Рисунок 12). Т.е. выбрать этот координатор в качестве МЭ (маршрутизатора с NAT-функцией для шифрованных пакетов (IP- и MAC-адреса АП транслируются)). Автоматическая маршрутизация зашифрованных пакетов на координатор осуществляется без изменения сетевых настроек Windows для TCP/IP. В результате, маршрутизация нешифрованных пакетов остается неизменной, и работа в сети может быть продолжена сразу после установки ViPNet. Тем самым для сетевого администратора значительно упрощается процесс администрирования большой локальной сети за счет минимизации различных настроек на компьютерах сети после установки ViPNet.


ФРКЕ.00004-04 34 01

38

Рисунок 12

Настройки Для того, чтобы настраиваемая конфигурация корректно работала необходимо, чтобы АП и

координатор, который будет выполнять функции МЭ, располагались в одной локальной или маршрутизируемой сети, то есть между этими узлами не должно быть устройств NAT.

Для выбора типа подключения воспользуйтесь главным меню Сервис -> Настройки. В окне Настройка выберите раздел Защищенная сеть.

Рисунок 13

В этом окне должны быть настроены следующие параметры (Рисунок 13): • Установлен флажок Использовать межсетевой экран.

• В списке Тип межсетевого экрана выбрано значение Координатор.


ФРКЕ.00004-04 34 01

39

• В списке Координатор выбран координатор, выполняющий функции МЭ. По умолчанию в списке Координатор в качестве МЭ указан тот же координатор, что и в списке Сервер IP-адресов (если иное не задано в ЦУС (или ViPNet Manager)), т.е. Ваш сервер IP-адресов, но Вы можете выбрать любой доступный координатор из списка.

Выбор в качестве МЭ координатора, отличного от сервера IP-адресов очень удобен, например, для пользователей мобильных компьютеров при их перемещении из офиса в офис. Пользователю, при нахождении в чужой локальной сети, для получения возможности работать в обычном режиме со всеми доступными из своей собственной локальной сети ресурсами, достаточно выбрать в качестве МЭ координатор этой (чужой) сети (естественно при наличии связи с координатором), доступный по публичному адресу. Сервер IP-адресов лучше оставлять неизменным (т.е. своей локальной сети), чтобы не потерять доступ к СУ из окна Защищенная сеть, с которыми пользователю мобильного компьютера разрешены соединения, поскольку именно сервер IP-адресов своей локальной сети рассылает всю необходимую информацию для получения доступа к СУ. Координатор чужой сети в качестве сервера IP-адресов может владеть такой информацией не в полном объеме.


По завершении всех действий нажмите OK.

8.2.5 Настройка подключения через МЭ, на котором можно настроить статические правила трансляции адресов (тип МЭ "Со статической трансляцией адресов")

Вариант использования подключения Если в локальной сети нет ViPNet-координатора или АП не имеют возможности использовать

этот координатор в качестве МЭ (Рисунок 14), а на границе локальной сети установлен МЭ (или другое NAT-устройство), на котором есть возможность настроить статические правила трансляции адресов, то на каждом АП локальной сети необходимо настроить подключение через этот МЭ (выбрать тип МЭ Со статической трансляцией адресов).

Рисунок 14

Замечание: Если есть ViPNet-координатор, установленный в локальной сети, то на АП следует настроить работу через этот ViPNet-координатор (см. п.8.2.4, стр.37), а настройки через МЭ (со статической или динамической трансляцией адресов) произвести на координаторе локальной сети.

Настройки Для обеспечения работы АП через МЭ со статической трансляцией адресов должны быть

произведены настройки: на самом МЭ, а также настройки на АП.


ФРКЕ.00004-04 34 01

40

Настройки на межсетевом экране Для организации корректного перенаправления шифрованных пакетов на/от абонентских

пунктов, необходимо настроить следующие статические правила трансляции на межсетевом экране/NAT-устройстве для каждого АП, работающего через данный МЭ:

• Пропускать исходящие UDP-пакеты от адреса АП во внешнюю сеть;

• Пропускать и перенаправлять входящие UDP-пакеты с портом назначения, заданным в настройках Вашего АП.

Т.о. для каждого АП, работающего через данный МЭ, порт доступа должен иметь свое индивидуальное значение.

Замечание: Подробное описание настроек на устройстве, через которое работает Ваш компьютер, читайте в руководстве пользователя к этому устройству.

Настройки на АП Для выбора типа подключения воспользуйтесь главным меню Сервис -> Настройки. В окне

Настройка выберите раздел Защищенная сеть (Рисунок 15).

Рисунок 15


• В списке Тип межсетевого экрана выбрано значение Со статической трансляцией адресов.

• В поле Порт инкапсуляции в UDP-пакеты указан порт для обеспечения доступа к Вашему АП со стороны внешних узлов, заданный в настройках правил трансляции для Вашего АП на МЭ. По умолчанию в этом поле установлено значение 55777. Если внутри Вашей сети через один МЭ (или устройство с NAT) работает несколько СУ ViPNet, то в этом случае, на каждом АП, работающем через один и тот же МЭ, порт доступа должен иметь свое индивидуальное значение.

Как правило, больше никаких настроек производить не нужно. IP-адрес доступа к Вашему АП через межсетевой экран на других узлах регистрируется автоматически по внешним параметрам IP-пакета, поэтому настройка IP-адреса доступа не требуется. Этот адрес определится в процессе работы и отобразится в поле IP-адрес доступа (Рисунок 15).

• Флажок Зафиксировать внешний IP-адрес доступа через межсетевой экран по умолчанию снят. Устанавливать этот флажок рекомендуется только в очень редких специализированных случаях при наличии у МЭ нескольких внешних адресов и при


ФРКЕ.00004-04 34 01

41

необходимости специальной маршрутизации, когда требуется направлять входящие пакеты через определенный адрес независимо от адреса МЭ, с которого ушел пакет. Установив флажок Вы можете в поле Внешний IP-адрес зафиксировать внешний адрес доступа через межсетевой экран к Вашему АП. Т.е. внешние узлы будут направлять пакеты для Вашего АП только по адресу, указанному в поле Внешний IP-адрес, независимо от адреса, подставленного на МЭ во внешние параметры пакета. При установке флажка Зафиксировать внешний IP-адрес доступа через межсетевой экран в поле Внешний IP-адрес по умолчанию появится первый адрес из списка внешних адресов межсетевого экрана. Вы можете выбрать необходимый адрес из доступного списка внешних адресов межсетевого экрана или указать вручную.


По завершении всех действий нажмите OK.

8.2.6 Настройка подключения через МЭ, на котором затруднительно настроить статические правила трансляции адресов (тип МЭ "С динамической трансляцией адресов")

Вариант использования подключения Если в локальной сети нет ViPNet-координатора или АП не имеют возможности использовать

координатор в качестве МЭ, а соединение с внешней сетью происходит через МЭ (или другое NAT-устройство), на котором затруднительно настроить статические правила трансляции адресов, то на таких АП необходимо настроить подключение через этот МЭ (выбрать тип МЭ С динамической трансляцией адресов).

Технология работы при использовании подключения через МЭ С динамической трансляцией адресов

Подключение через МЭ С динамической трансляцией адресов наиболее универсально и может использоваться практически в любых ситуациях. Однако основное его назначение – обеспечить надежное двустороннее соединение с узлами, работающими через устройства NAT, на которых настройка статических правил трансляции адресов затруднена или невозможна (в том числе и просто из-за отсутствия полномочий у пользователя). Такая ситуация типична при использовании простейших сетевых NAT-устройств, например, DSL-модемов, Wireless-устройств, а также при использовании Internet Connection Sharing (ICS) в ОС Windows, и в других случаях. Затруднительно также произвести настройки на устройствах NAT, установленных у провайдера (в домашних сетях Home network, GPRS и других сетях, где провайдер предоставляет частный IP-адрес).

Все NAT-устройства обеспечивают пропуск UDP-трафика благодаря автоматическому созданию так называемых динамических NAT-правил для пропуска входящего трафика. Эти правила создаются на основании параметров исходящих пакетов, пропускаемых NAT-устройством. Входящие пакеты пропускаются в течение определенного промежутка времени (таймаута), если их параметры соответствуют созданным правилам. По завершении данного промежутка времени, после того, как был пропущен последний исходящий пакет, соответствующие динамические правила удаляются, и входящие пакеты начинают блокироваться NAT-устройством. Это означает, что внешний источник не может инициировать соединение с сетевым узлом, работающим через NAT-устройство, не получив сначала исходящий трафик от него, который должен инициироваться время от времени со стороны внутреннего узла для сохранения динамического правила в активном состоянии.

Для преодоления этой проблемы на сетевом узле, работающем через NAT-устройство, нужно выбрать тип МЭ С динамической трансляцией адресов. Одновременно должен присутствовать постоянно доступный ViPNet-координатор, расположенный во внешней сети (Рисунок 16). Назовем его координатором для организации соединений с внешними узлами. Для абонентского пункта координатор для организации соединений с внешними узлами – это его сервер IP-адресов. Координатор для организации соединений с внешними узлами должен быть доступен напрямую или через межсетевой экран со статической трансляцией адресов. Координатор для организации соединений с внешними узлами не должен работать через тот же МЭ, что и СУ.


ФРКЕ.00004-04 34 01

42

Рисунок 16

Сетевой узел, работающий через NAT-устройство, периодически отправляет на свой координатор для организации соединений с внешними узлами UDP-пакеты, чтобы поддерживать динамическое правило в активном состоянии. По умолчанию период отправки – 25 секунд. Это позволяет любому узлу внешней сети (внешнему узлу) в любое время присылать на СУ, работающий через NAT-устройство, IP-пакеты через его координатор для организации соединений с внешними узлами. При этом ответные исходящие пакеты СУ всегда направляет внешнему узлу, не использующему тип МЭ С динамической трансляцией адресов, напрямую, минуя свой координатор для организации соединений с внешними узлами. В результате, после получения первого пакета, внешний узел, не использующий тип МЭ С динамической трансляцией адресов, также начинает передавать весь трафик напрямую СУ, работающему через NAT-устройство. Таким образом, образуется прямой обмен UDP-трафиком между ViPNet узлами. Такая технология позволяет осуществлять постоянный доступ к ViPNet-узлам, работающим через NAT-устройства (т.к. на NAT-устройстве не удаляются динамические правила). А также обеспечивается высокая скорость обмена шифрованным трафиком, так как этот обмен только при инициализации использует специальные Координаторы (координаторы для организации соединений с внешними узлами), после чего весь обмен трафиком идет напрямую между узлами (Рисунок 16). Следует учитывать, что исходящий трафик от сетевого узла с типом МЭ С динамической трансляцией адресов на другой такой же узел всегда идет через координатор для организации соединений с внешними узлами другого узла.

Настройки Замечание: Если есть ViPNet-координатор, установленный в локальной сети, то на АП

следует настроить работу через этот ViPNet-координатор (см. п.8.2.4, стр.37), а настройки через МЭ (со статической или динамической трансляцией адресов) произвести на координаторе локальной сети.

Для выбора типа подключения воспользуйтесь главным меню Сервис -> Настройки. В окне Настройка выберите раздел Защищенная сеть (Рисунок 17).


ФРКЕ.00004-04 34 01

43

Рисунок 17


• В списке Тип межсетевого экрана выбрано значение С динамической трансляцией адресов.

• Согласно описанной выше технологии работы при использовании соединения через МЭ С динамической трансляцией адресов, необходимо, чтобы где-то во внешней сети существовал ViPNet-Координатор (координатор для организации соединений с внешними узлами), к которому возможен постоянный доступ со стороны Вашего АП. Этот координатор должен быть доступен напрямую или через межсетевой экран со статической трансляцией адресов. Этот координатор должен быть выбран в качестве сервера IP-адресов для Вашего АП в списке Координатор для организации соединений с внешними узлами. Через этот координатор будут происходить входящие соединения с Вашим АП. Если для выбранного сервера IP-адресов не задан адрес, то задайте его в соответствии с п.8.1, стр.32.

Внимание! Для корректной работы настраиваемой конфигурации необходимо, чтобы координатор для организации соединений с внешними узлами не работал через межсетевой экран с динамической трансляцией адресов или другой Координатор. • Параметр Допустимый таймаут отсутствия трафика по умолчанию равен 25 секундам. Ваш АП с данным периодом будет производить отправку UDP-пакетов на свой Сервер IP-адресов, чтобы поддерживать динамическое правило на NAT-устройстве в активном состоянии. Этот период может быть настроен индивидуально, однако установленный по умолчанию период в 25 секунд вполне достаточен для работы с большинством NAT-устройств. При изменении периода следует учитывать, что период опроса не должен превышать таймаут сохранности динамического правила на NAT-устройстве2

• Флажок Весь трафик с внешними сетевыми узлами направлять через координатор – по умолчанию снят. Если установить флажок, то все соединения с другими узлами будут происходить ТОЛЬКО через свой сервер IP-адресов, что может снизить скорость обмена данными. Поэтому устанавливать этот флажок рекомендуется только в отдельных случаях, описанных в п.

.

8.2.8, стр.46.

2 У разных NAT-устройств таймаут устанавливается разный, но обычно не менее 30 секунд.


ФРКЕ.00004-04 34 01

44

• В поле Порт инкапсуляции в UDP-пакеты отображена информация о порте доступа UDP (по умолчанию 55777). Как правило, этот параметр изменять не нужно. Параметр определяет номер порта, от которого UDP-пакеты уходят с Вашего АП (порт отправителя пакета), и на который такие пакеты приходят на Ваш АП (порт получателя пакета). Этот порт модифицируется на NAT-устройстве при отправке пакетов и восстанавливается при их приеме.

По окончании настроек нажмите OK. Внимание! Узел в режиме С динамической трансляцией адресов для взаимодействия с

узлами, работающими через какой-либо ViPNet-координатор, должен быть связан с этим координатором.

Замечание: При работе с некоторыми модемами DSL, если не проходит передача длинных пакетов, можно уменьшить значение MSS (максимальный размер сегмента) в окне настроек монитора Настройка\Защищенная сеть\Дополнительные параметры (см. п. 15.2.3, параметр Уменьшить максимальный размер сегмента (MSS) протокола TCP на:)

8.2.7 Описание окна Настройка\Защищенная сеть

В окне Настройка\Защищенная сеть (Рисунок 18) производятся настройки параметров подключения к сети своего абонентского пункта.

Для вызова окна Настройка воспользуйтесь главным меню Сервис -> Настройки. В окне Настройка выберите раздел Защищенная сеть.

Рисунок 18

В окне Настройка\Защищенная сеть определяются следующие параметры: Название

параметра Описание

Сервер IP-адресов

В этом списке выбирается координатор, который станет для Вашего АП сервером IP-адресов3

По умолчанию в списке Сервер IP-адресов установлен координатор, на котором зарегистрирован Ваш АП в ЦУС (или ViPNet Manager).

. Этот координатор всегда владеет полным объемом информации обо всех узлах сети, связанных с Вашим АП.

При необходимости, Вы можете выбрать в качестве сервера IP-адресов и любой

3 Север IP-адресов осуществляет оповещение сетевого узла о состоянии (текущих IP-адресах и способах

подключения) других узлов сети для взаимодействия с ними.


ФРКЕ.00004-04 34 01

45

другой координатор, доступный Вам. В этом случае Ваш абонентский пункт также сможет получить информацию о большинстве связанных с ним узлов и рассказать им о себе. Также можно выбрать работу без сервера IP-адресов (значение Не выбран), но в этом случае информация об изменениях настроек других узлов Вам сообщаться не будет, соединение с некоторыми узлами может быть впоследствии потеряно. Внимание! Если в качестве сервера IP-адресов был выбран координатор другой ViPNet-сети, то Ваш АП будет получать информацию о состоянии (текущих IP-адресах, способах подключения, включении или отключении) только узлов той ViPNet-сети, к которой принадлежит выбранный координатор. Информацию о Вашем сетевом узле будут получать только сетевые узлы из ViPNet-сети выбранного координатора. Соединение с некоторыми узлами может быть впоследствии потеряно.

Использовать межсетевой экран

Если Ваш АП должен осуществлять соединения через какой-либо МЭ, то установите этот флажок, ниже станут доступными дополнительные параметры для настройки подключения через межсетевой экран. Подробное описание настроек подключения через МЭ читайте в предыдущих пунктах данной главы.

Список параметров в зависимости от выбранного типа межсетевого экрана: Тип межсетевого экрана Названия остальных параметров

Координатор: Со статической трансляцией адресов:

С динамической трансляцией адресов:

Порт инкапсуляции в UDP пакеты

- Параметр определяет номер порта, от которого преобразованные ПО ViPNet в UDP-формат пакеты уходят с Вашего узла (порт отправителя пакета), и на который такие пакеты приходят на Ваш узел (порт получателя пакета). По умолчанию 55777.

Этот порт модифицируется на устройстве с NAT при отправке пакетов и восстанавливается при их приеме.

Зафиксировать внешний IP-адрес доступа через межсетевой экран

- При установке этого флажка становится доступным для настройки поле Внешний IP-адрес (см. ниже). По умолчанию флажок снят.

-

Внешний IP-адрес

- IP-адрес МЭ, через который другие узлы будут осуществлять доступ к Вашему АП. Подробнее читайте в п.8.2.5, стр. 39.

-

Допустимый таймаут отсутствия трафика

- - По умолчанию 25 сек. Подробнее читайте в п.8.2.6, стр. 41.

Координатор для организации соединений с

- - Здесь выбирается координатор (координатор для


ФРКЕ.00004-04 34 01

46

внешними узлами

организации соединений с внешними узлами), через который будут происходить входящие соединения. Данный ViPNet-координатор, должен быть постоянно доступен, не должен работать через МЭ с динамическим NAT или другой координатор, и иметь все необходимые адреса, заданные в окне Защищенная сеть. Подробнее читайте в п. 8.2.6, стр. 41.

Весь трафик с внешними сетевыми узлами направлять через координатор

- - По умолчанию флажок снят. Если установить флажок, то весь трафик будет идти только через сервер IP-адресов (выбранный в поле Сервер IP-адресов) и от его имени. Подробнее читайте в п.8.2.6, стр. 41.

Координатор Здесь выбирается координатор, через который будет работать Ваш АП. По умолчанию установлен координатор, выполняющий функции сервера IP-адресов (выбранный в поле Сервер IP-адресов). Подробнее читайте в п.8.2.4, стр. 37.

- -

Все произведенные действия можно сохранить, если нажать кнопку Применить (OK) или отменить, если нажать кнопку Отмена.

Информация об IP-адресе МЭ и порте доступа сообщается программой через сервер IP-адресов всем остальным узлам, с которыми связан Ваш АП.

8.2.8 Специальные случаи использования различных типов подключений

В некоторых случаях, для организации различных схем маршрутизации IP-пакетов необходимо выбрать тип подключения в окне Настройка\Защищенная сеть, не соответствующий рекомендациям предыдущих разделов.

Если АП доступен по реальному адресу и в списке Тип межсетевого экрана выбрать значение Со статической трансляцией адресов, то все остальные СУ (в том числе и сервер IP-адресов АП) будут считать этот АП как бы работающим через межсетевой экран (адрес АП будет считаться адресом несуществующего МЭ). В этом случае все соединения АП с другими СУ будут осуществляться только по UDP-протоколу, включая и локальные соединения, которые ранее использовали IP/241. В результате АП может быть доступен с других СУ не только по своему реальному адресу, но и по виртуальному адресу, присвоенному ПО ViPNet (естественно при установленном на других СУ в правиле доступа для этого АП флажке Использовать виртуальные IP-адреса, см. п.8.8.2, стр.58). Такая возможность очень полезна при решении вопросов маршрутизации внутри локальной сети или организации разграничения доступа к


ФРКЕ.00004-04 34 01

47

информации по IP-адресу. К такому же результату (возможности использовать виртуальные адреса) приводит выбор в списке Тип межсетевого экрана значения С динамической трансляцией адресов, однако это порождает дополнительный трафик через сервер IP-адресов, поэтому для целей перехода на виртуальные адреса первый вариант более удобен.

Как уже отмечалось выше, если АП находится в одной локальной сети с ViPNet-координатором, установленным на границе этой сети, то для такого АП целесообразно устанавливать тип соединения через этот ViPNet-координатор (установив в списке Тип межсетевого экрана значение ViPNet-координатор). Вместе с тем АП будут работоспособны, если выбрать другие значения списка Тип межсетевого экрана – С динамической трансляцией адресов или Со статической трансляцией адресов. В этом случае для обеспечения надежного соединения АП с сетью, в сетевых свойствах ОС Windows на АП требуется установить IP-адрес одного из координаторов локальной сети как шлюз по умолчанию. Выбор различных типов МЭ позволяют опытному администратору создавать различные схемы маршрутизации IP-пакетов.

Если удаленные пользователи (например, пользователи, работающие из дома), осуществляющие подключение к сети через всевозможные NAT-устройства (на которых нельзя изменять таблицы маршрутизации), выбрав в списке Тип межсетевого экрана значение С динамической трансляцией адресов дополнительно установят флажок Весь трафик с внешними сетевыми узлами направлять через координатор, то они получат более стабильное соединение с ресурсами сети ViPNet, хотя при этом возможно некоторое снижение скорости обмена данными за счет удлинения маршрута прохождения пакетов.

8.3 Виртуальные адреса сети ViPNet При первом старте программы ViPNet Монитор на сетевом узле, автоматически формируется

один или более виртуальных IP-адресов для каждого сетевого узла из окна Защищенная сеть, а также для адресов, туннелируемых координаторами из окна Защищенная сеть. Число формируемых виртуальных адресов зависит от числа реальных адресов и числа туннелируемых адресов узла.

Каждый сетевой узел ViPNet имеет свой собственный список виртуальных адресов для других узлов и туннелируемых адресов. Большинство стандартных сетевых приложений могут использовать эти виртуальные адреса при соединении с соответствующими узлами. ViPNet драйвер подменяет адреса в момент отправки и получения IP-пакетов для всех стандартных протоколов (включая протоколы для таких сервисов как DNS, WINS, NetBIOS и т.п.).

Сетевой узел для организации взаимодействия с другими СУ по умолчанию использует виртуальные адреса, в том случае, если тип подключения этих СУ определился ПО ViPNet, как "работающие через межсетевой экран" (подробнее о типах подключений читайте в п. 8.2). Однако для соединения с узлами, от которых данный узел получает широковещательные пакеты, а также в ряде других случаев, когда не ожидается конфликта IP-адресов с другим узлом, всегда используются их реальные адреса, независимо от определившегося типа подключения.

Сетевой узел автоматически переходит на использование реальных адресов другого узла, если другой узел меняет способ подключения к сети и, например, отключает использование Firewall. Или мобильный узел перемещается в локальную сеть и начинает происходить обмен широковещательными пакетами. Автоматический переход от использования на узле А для некоторого узла В реального адреса на виртуальный адрес может произойти при изменении способа подключения к сети узла В, только если в настройках узла А для узла В включено использование виртуального адреса.

Для организации взаимодействия с туннелируемыми адресами сетевой узел по умолчанию всегда использует реальные адреса. Перейти на использование виртуальных адресов можно только вручную, установив соответствующий флажок.

Данная технология становится совершенно незаменимой при необходимости организации соединений между СУ, расположенными в подсетях с одинаковыми частными IP-адресами. Такая ситуация встречается все чаще и чаще в связи с широким распространением технологий Wireless, xDSL, Home Network и др., где для локальной системы присваиваются "стандартные" частные адреса типа 192.168.*.*. Присвоенные программой ViPNet неповторяющиеся виртуальные адреса полностью решают данную проблему.

Другой областью использования виртуальных адресов является возможность их применения для разграничения доступа к информационным ресурсам. Для чего это нужно? Всегда считалось, что использование IP-адреса в качестве критерия разграничения доступа, является крайне ненадежным средством, из-за возможности его легкой подделки. Однако в сети ViPNet подделка адреса невозможна. В момент приема пакета из сети, ViPNet драйвер передает его приложению


ФРКЕ.00004-04 34 01

48

после замещения реального адреса отправителя соответствующим виртуальным адресом. Такая операция происходит только в случае успешного расшифрования пакета на ключах отправителя, то есть после идентификации отправителя пакета. Это обеспечивает защиту от подмены адреса отправителя и делает надежными разграничение доступа к ресурсам на основе виртуальных адресов, которые никак не зависят от истинных IP-адресов узла-отправителя.

Общие принципы назначения виртуальных адресов По умолчанию начальный адрес для генератора виртуальных адресов – 11.0.0.1 (маска

подсети: 255.0.0.0). Начальный адрес можно изменить в окне Настройка\Защищенная сеть\Дополнительные параметры (параметр Стартовый IP-адрес для генератора виртуальных IP–адресов, см. п. 15.2.3). Начиная с этого адреса, происходит автоматическое формирование виртуальных IP-адресов для реальных адресов узлов из окна Защищенная сеть и одиночных4

Сформированные виртуальные адреса СУ отображаются в окне Правило доступа на вкладке IP-адреса (п.

туннелируемых адресов. Для туннелируемых диапазонов адресов начальным виртуальным адресом по умолчанию является 12.0.0.1, либо адрес, в котором значение первого октета на 1 больше значения первого октета начального адреса для генератора виртуальных адресов.

8.8.2, стр. 58) каждого СУ, а виртуальные адреса для туннелируемых адресов отображаются на вкладке Туннель (п. 8.8.4, стр.61) координатора, осуществляющего туннелирование.

Виртуальные адреса для реальных адресов сетевых узлов не закрепляются за конкретными реальными адресами, они закрепляются за уникальными идентификаторами сетевых узлов, присвоенными в ЦУС/Manager. Виртуальные адреса для одиночных туннелируемых адресов закрепляются за каждым адресом. Виртуальные адреса закрепляются за сетевыми узлами и одиночными туннелируемыми адресами до тех пор, пока сетевые узлы и туннелируемые адреса не будут удалены: сетевые узлы из окна Защищенная сеть администратором в ЦУС/Manager, а туннелируемые адреса – из настроек туннелируемых адресов.

При обновлениях адресных справочников, а также при изменениях в списке реальных адресов для какого-либо узла или добавлении одиночного туннелируемого адреса, сформированные виртуальные адреса не изменяются. Вновь добавленные сетевые узлы, реальные IP-адреса узлов и одиночные туннелируемые адреса получают новые свободные виртуальные адреса. Виртуальные адреса, выделенные для туннелируемых диапазонов адресов, могут измениться при добавлении новых диапазонов туннелируемых адресов.

При смене пользователем начального адреса для генератора виртуальных адресов производится переформирование всех виртуальных адресов.

8.4 Поддержка и использование служб имен DNS и WINS в сети ViPNet Для удобства изложения введем некоторые понятия, используемые в этой главе:

Сетевой узел (СУ) – компьютер, на котором установлено ПО ViPNet (абонентский пункт (АП) или координатор).

Туннелируемый компьютер – компьютер, трафик которого туннелируется координатором ViPNet.

Защищенный компьютер – компьютер, являющийся сетевым узлом или туннелируемым компьютером.

Незащищенный (открытый) компьютер – компьютер, на котором не установлено ПО ViPNet и который не является туннелируемым компьютером.

Защищенный DNS или WINS сервер – сервер, размещенный на защищенном компьютере. Публичный (открытый) DNS-сервер – сервер, размещенный на незащищенном (открытом)

компьютере. Защищенные прикладные серверы (WEB-сервер, почтовый сервер, FTP-сервер и т.д.) –

соответствующие серверы, размещенные на защищенном компьютере. Как известно, службы имен DNS и WINS предоставляют пользователям в сетях TCP/IP

удобные возможности применять в различных сетевых приложениях вместо IP-адресов некоторые осмысленные имена, которые гораздо легче запомнить и использовать. Служба имен на основании имени выясняет на сервере имен соответствующей службы IP-адрес, принадлежащий этому имени.

4 Туннелируемый адрес, явно указанный в настройках туннелируемых адресов узла (т.е. не в составе диапазона

адресов).


ФРКЕ.00004-04 34 01

49

После получения IP-адреса приложение производит дальнейшую отправку информации в сеть уже по данному IP-адресу.

В связи с тем, что технология ViPNet предлагает для работы между узлами сети ViPNet разнообразные возможности по использованию приложениями виртуальных адресов, реально не существующих в сети и уникальных на каждом сетевом узле, ПО ViPNet выполняет специальную обработку протоколов служб DNS и WINS. Специальная обработка заключается в том, чтобы предоставить приложениям, запрашивающим информацию об IP-адресах защищенных компьютеров у служб DNS и WINS, правильную информацию об IP-адресе защищенного компьютера. Если ПО ViPNet установлено на DNS (WINS) сервере или DNS (WINS) сервер туннелируется координатором, то технология ViPNet на этом сервере обеспечивает поддержку публикации виртуальных IP-адресов других защищенных компьютеров.

Наиболее безопасным решением является решение, когда DNS (WINS) сервер защищен технологией ViPNet, то есть непосредственно на сервер установлено ПО ViPNet или сервер туннелируется некоторым координатором. Рекомендуется использовать именно такой вариант установки (см. п. 8.4.1). Вместе с тем можно обеспечить безопасный режим работы и при использовании открытых (публичных) серверов служб имен (см. п. 8.4.2).

8.4.1 DNS (WINS) сервер защищен ПО ViPNet

В этом случае: • Для обеспечения работоспособности службы имен DNS и WINS никаких дополнительных настроек в ПО ViPNet делать не нужно.

• Если к защищенному DNS (WINS) серверу обращается открытый компьютер, то этому компьютеру о защищенных компьютерах, для которых опубликованы виртуальные IP-адреса, всегда сообщается их реальные IP-адреса в сети.

• При автоматической регистрации DNS(Netbios)-имен и соответствующих им IP-адресов защищенных компьютеров на DNS (WINS) сервере осуществляется автоматическая поддержка виртуальных адресов в тех случаях, когда это необходимо.

• При ручной регистрации DNS (Netbios)-имен и соответствующих им IP-адресов защищенных компьютеров на DNS (WINS) сервере следует соблюдать следующие правила регистрации IP-адресов:

∗ Для защищенного компьютера регистрируется его виртуальный или реальный IP-адрес, по которому этот защищенный компьютер виден в Мониторе DNS (WINS) сервера или, если DNS (WINS) сервер туннелируется, то в Мониторе ViPNet-координатора, осуществляющего туннелирование DNS (WINS) сервера.

∗ Не следует регистрировать виртуальные адреса сетевых узлов, если они работают с DNS (WINS) сервером в следующей конфигурации: DNS (WINS) сервер туннелируется ViPNet-координатором и по технологии ViPNet трафик между сетевым узлом и DNS (WINS) сервером проходит напрямую без шифрования на ViPNet-координаторе (см. п. 8.6).

Вы можете произвести настройки DNS-имен защищенных компьютеров в ЦУС или непосредственно в Мониторе на сетевых узлах (см. п. 8.4.3) для появления следующих дополнительных возможностей:

• Обеспечения получения доступа к защищенному компьютеру, как со стороны других защищенных компьютеров, так и со стороны открытых компьютеров через некоторый IP-адрес, не принадлежащий этому защищенному компьютеру. Например, через некоторое внешнее NAT-устройство или координатор, через который работает защищенный компьютер. Т.о. на DNS-сервере можно будет публиковать не только виртуальные или реальные IP-адреса, по которым приложение должно работать с некоторым защищенным компьютером, но и любые удобные IP-адреса доступа, через которые по сети можно получить доступ к этому защищенному компьютеру. ПО ViPNet, получив этот адрес доступа, проверяет его доступность и, в случае успешного получения доступа к защищенному компьютеру, регистрирует также возможно изменившиеся адреса видимости защищенного компьютера (реальные или виртуальные), которые и предоставляются приложениям через протокольную службу DNS.


ФРКЕ.00004-04 34 01

50

• Обеспечения получения доступа к координаторам, IP-адрес доступа к которым (в том числе и через внешние устройства NAT) может изменяться. Такая возможность появляется, если с использованием службы динамического DNS выполняется авторегистрация IP-адресов устройств на DNS-сервере. В этом случае на DNS-сервере должен публиковаться IP-адрес, через который можно получить доступ к этому координатору.

Замечание: Для NetBIOS-имен возможность их настройки в ПО ViPNet для получения дополнительных возможностей не поддерживается.

8.4.2 DNS (WINS) сервер не защищен ПО ViPNet

В этом случае, при использовании службы DNS, если не производить настройки DNS-имен в ПО ViPNet, а также при использовании службы WINS, необходимо придерживаться следующих правил:

• На сервере имен должны публиковаться только реальные IP-адреса доступа к защищенному компьютеру.

• На всех сетевых узлах этот защищенный компьютер должен быть виден по реальному IP-адресу.

Однако, при использовании открытого DNS сервера рекомендуется задать DNS-имена защищенных компьютеров в настройках ПО ViPNet (см. п. 8.4.3).

Это связано с тем, что публичные DNS-серверы могут быть подвержены различным сетевым атакам с целью заставить защищенный компьютер, которому разрешена работа с открытыми ресурсами, обратиться на компьютер атакующего. Если такая атака путем подмены IP-адреса запрашиваемого сетевого ресурса будет реализована, то атакующий компьютер может попытаться получить интересующую его информацию с защищенного компьютера. Для предотвращения такого рода атак в настройках Монитора следует задать DNS-имена для всех защищенных прикладных серверов, доступных с данного узла. Тогда, если такая атака и осуществится, то соединение с подставным сервером не произойдет, поскольку переадресованная информация в любом случае будет зашифрована и атакующему компьютеру окажется недоступной. Таким образом, осуществляется аутентификация защищенных компьютеров. В этом случае на открытом DNS-сервере публикуются:

• Для сетевых узлов – реальные IP-адреса узлов или IP-адреса, через которые можно получить к ним доступ. Т.е. любой IP-адрес, через который пакет по сети попадет на данный сетевой узел (например, адрес NAT-устройства или координатора, через который работает сетевой узел).

• Для туннелируемых компьютеров – реальные адреса этих компьютеров в локальной сети.

Так же, как и в случае защищенного DNS сервера, в этом случае: • Можно обеспечить получение доступа к координаторам, IP-адрес доступа к которым (в том числе и через внешние устройства NAT), может изменяться.

• Не накладывается ограничений на условия видимости защищенных компьютеров с других сетевых узлов (могут использоваться и виртуальные, и реальные IP-адреса).

8.4.3 Основные правила задания DNS-имен в настройках ViPNet Монитор сетевого узла

Задать DNS-имена в настройках ViPNet Монитор можно в программе ЦУС (или ViPNet Manager) или непосредственно в программе ViPNet Монитор на СУ. Лучше задавать имена в программе ЦУС (или ViPNet Manager), тогда не потребуется делать этих настроек на каждом сетевом узле.

В программе ViPNet Монитор DNS-имена задаются в окне Правило доступа (вкладка IP-адреса) для соответствующих сетевых узлов (см. п. 8.8.2).

В окне Правило доступа для каждого СУ может быть задано несколько DNS-имен для работы с несколькими прикладными серверами, размещенными на СУ. Для АП порядок следования DNS-имен значения не имеет.

DNS-имена туннелируемых координатором компьютеров также задаются в окне Правило доступа для этого координатора общим списком вместе с DNS-именами самого координатора.


ФРКЕ.00004-04 34 01

51

Однако на первом месте всегда должно задаваться DNS-имя, для которого на DNS-сервере зарегистрированы IP-адреса доступа непосредственно к координатору.

8.4.4 Регистрация защищенных DNS(WINS)–серверов в ОС Windows средствами ViPNet

Рассмотрим следующую ситуацию. У вас есть ноутбук, и вы работаете в офисе. Здесь вы подключаетесь к корпоративному DNS-серверу, имеющему IP-адрес 10.0.25. Все соответствующие сетевые настройки выполнены.

Вам необходимо покинуть офис и отправиться в местную командировку. В другом офисе вы через точку доступа Wi-Fi выходите в интернет и хотите подключиться к корпоративным ресурсам своего офиса. Теперь ваш корпоративный DNS(WINS)-сервер доступен по IP-адресу 11.0.0.3.

В связи с этим, чтобы получить доступ к корпоративным ресурсам, необходимо либо: • Изменить настройки сетевых подключений в ОС Windows. Данное действие достаточно

неудобно, во-первых, потому, что Вы потеряете адрес DNS-сервера, выданного местным Интернет-провайдером, во-вторых, потому что по возвращении в свой офис вам придется еще раз выполнить настройки сетевых подключений в Windows, чтобы вернуться к использованию корпоративного DNS(WINS)-сервера (доступного в вашей корпоративной сети по адресу 10.0.0.25).

• Воспользоваться файлом DNS.TXT, в котором прописать идентификатор и реальный IP-адрес вашего корпоративного DNS(WINS)-сервера. После этого ViPNet [Monitor] будет самостоятельно следить за текущим IP-адресом видимости текущего DNS(WINS)-сервера и производить необходимые модификации на всех сетевых интерфейсах вашего компьютера.

Формат записей в файле DNS.TXT отличается в зависимости от того, установлен ли ваш DNS(WINS)-сервер на защищенном узле или туннелируется координатором.

В результате использования файла DNS.TXT на все сетевых адаптерах вашего компьютера списки адресов DNS (WINS)-серверов будут дополнены актуальными IP-адресами, по которым в настоящий момент доступны указанные в файле DNS.TXT сетевые узлы ViPNet и туннелируемые ресурсы. Одновременно на сетевых интерфейсах вашего компьютера сохранятся IP- адреса, полученные по DHCP, и IP-адреса, заданные на сетевых интерфейсах вручную, если эти IP-адреса не принадлежат указанным в DNS.TXT сетевым узлам и туннелируемым ресурсам.

8.4.4.1 Если корпоративный DNS(WINS)-сервер установлен непосредственно на сетевом узле ViPNet

Чтобы воспользоваться файлом DNS.TXT: 1. В любом текстовом редакторе (лучше Notepad), создайте пустой текстовый файл DNS.TXT. 2. Сохраните файл в папке DNSWINSLIST, находящейся в папке DATABASES папки установки

ViPNet [Monitor]. Если папка не существует, создайте ее. 3. Введите в созданный файл следующую информацию: [DNSLIST] ID00=0001000b; [WINSLIST] ID00=0001000b;

где: 0001000b – идентификатор сетевого узла ViPNet, на котором установлен DNS(WINS)-сервер;

ID00 – обычный идентификатор номера строки, где после ID допустимы любые цифры. Совет! Чтобы посмотреть идентификатор узла, в программе ViPNet [Monitor] в разделе

Защищенная сеть на правой панели дважды щелкните сетевой узел, на котором установлен DNS(WINS)-сервер. В окне Правило доступа перейдите на вкладку Информация. В первой же строчке вы увидите идентификатор выбранного узла ViPNet.

4. Сохраните файл и закройте его. Замечание! Все операции по созданию и редактированию файла DNS.TXT можно

производить без выгрузки программы ViPNet [Monitor]. В результате, независимо от того, по какому адресу в данный момент времени доступен

DNS(WINS)-cервер, вы сможете без проблем подключиться к корпоративным ресурсам.


ФРКЕ.00004-04 34 01

52

8.4.4.2 Если корпоративный DNS(WINS)-сервер туннелируется координатором

Чтобы воспользоваться файлом DNS.TXT: 1. В любом текстовом редакторе (лучше Notepad), создайте пустой текстовый файл DNS.TXT. 2. Сохраните файл в папке DNSWINSLIST, находящейся в папке DATABASES папки установки

ViPNet [Monitor]. Если папка не существует, создайте ее. 3. Введите в созданный файл следующую информацию: [DNSLIST] ID01=000100CA-10.0.0.25; [WINSLIST] ID00=0001000b;

где, 000100CA – идентификатор координатора, туннелирующего используемый DNS(WINS)-сервер;

ID00 – это обычный идентификатор номера строки, где после ID допустимы любые цифры. В отличие от ситуации, когда корпоративный DNS(WINS)-сервер установлен непосредственно

на сетевом узле ViPNet (см. п. 8.4.4.1 на стр. 51), здесь вы к идентификатору координатора через тире добавляете IP-адрес туннелируемого этим координатором DNS/WINS – сервера. Если есть несколько серверов, туннелируемых одним координатором, то их можно перечислить в строке для данного ID через точку с запятой без пробелов. Например, ID00=000100CA-10.0.0.25;10.0.0.30;

При этом убедитесь, что в списке туннелируемых адресов данного координатора эти IP-адреса также присутствуют.

Совет! Чтобы посмотреть идентификатор узла, в программе ViPNet [Monitor] в разделе Защищенная сеть на правой панели дважды щелкните сетевой узел, на котором установлен DNS(WINS)-сервер. В окне Правило доступа перейдите на вкладку Информация. В первой же строчке вы увидите идентификатор выбранного узла ViPNet.

4. Сохраните файл и закройте его. Замечание! Все операции по созданию и редактированию файла DNS.TXT можно

производить без выгрузки программы ViPNet [Monitor]. В результате, независимо от того, по какому адресу в данный момент времени доступен

DNS(WINS)-cервер, вы сможете без проблем подключиться к корпоративным ресурсам.

8.4.4.3 Формат файла DNS.TXT

В общем виде файл DNS.TXT может иметь следующий формат: [DNSLIST] ID00=000100CA-10.0.0.25;

ID01=0001000b;

ID02=000110bс-10.0.0.20;10.0.0.21;10.0.2.132; [WINSLIST] ID00=0001000b;

ID01=000101fa-10.0.1.132;10.0.1.133;10.0.1.134;

Обратите внимание, что в одном файле DNS.TXT могут содержаться записи как для DNS(WINS)-серверов, установленных на сетевых узлах ViPNet, так и туннелируемых тем или иным координатором. Число записей не ограничивается.

8.5 Настройка доступа к другим СУ из окна Защищенная сеть Если установлено соединение со своим сервером IP-адресов, то все необходимые настройки

других узлов появятся автоматически. Если все же требуется произвести настройку IP-адресов или DNS-имен, то в окне

Защищенная сеть дважды щелкните левой кнопкой мыши на имени нужного АП или координатора. Откроется окно Правило доступа. Произведите необходимые настройки на вкладках IP-адреса и Межсетевой экран в соответствии с п.п. 8.8.2 и 8.8.3, стр. 58 и 59.


ФРКЕ.00004-04 34 01

53

8.6 Настройка доступа к туннелируемым компьютерам Если требуется обеспечить доступ к туннелируемым устройствам, и в ЦУС (или ViPNet

Manager) не задана вся необходимая информация об IP-адресах этих туннелируемых устройств, то на Вашем абонентском пункте необходимо задать IP-адреса, туннелируемые соответствующими координаторами.

Для настройки, в окне Защищенная сеть дважды щелкните левой кнопкой мыши на имени нужного координатора. Откроется окно Правило доступа. В правиле доступа координатора, на которых в ЦУС (или ViPNet Manager) разрешено туннелирование IP-пакетов незащищенных компьютеров, есть вкладка Туннель (Рисунок 19).

Рисунок 19

В соответствии с описанием вкладки Туннель (см. п.8.8.4, стр.61) произведите следующие настройки:

Для задания новых диапазонов или отдельных значений IP-адресов для туннелирования установите флажок Использовать IP-адреса для туннелирования (иначе шифрование пакетов с IP-адресами назначения, заданными в списке, производиться не будет), далее добавьте новые IP-адреса или измените уже существующие настройки (например, заданные в ЦУС (или ViPNet Manager)). Следует иметь ввиду, что, если из ЦУС придут новые списки туннелируемых адресов для координатора, запись о котором Вы настраиваете (отличающиеся от ранее созданных в ЦУС), то будет применен этот новый список взамен настроенного Вами вручную. Во избежание проблем всегда производите настройку туннелируемых адресов либо только в ЦУС, либо только на сетевом узле.

Если настроенные IP-адреса для туннелирования входят в ту же подсеть, что и IP-адреса для других устройств, с которыми требуется взаимодействие, то установите флажок Использовать виртуальные IP-адреса (Рисунок 19). В этом случае, для доступа на туннелируемые устройства с Вашего сетевого узла можно использовать виртуальные адреса, которые отображены в колонке Виртуальные IP-адреса. Это поможет избежать конфликтов. Если адреса приложениями определяются с использованием службы DNS или WINS, то использование виртуальных адресов приложениями будет поддержано автоматически.

Если некоторые из туннелируемых координатором IP-адресов принадлежат подсети Вашего абонентского пункта (имеют такую же маску подсети), то рекомендуется оставить установленным флажок Не туннелировать IP-адреса, входящие в подсеть Вашего компьютера в разделе Исключения:. В этом случае пакеты по данным адресам шифроваться не будут.


ФРКЕ.00004-04 34 01

54

Если некоторые из туннелируемых координатором устройств в соответствии со своей маршрутной таблицей отправляют IP-пакеты на Ваш сетевой узел напрямую, минуя свой координатор, т.е. в незашифрованном виде, то для получения доступа к таким устройствам установите флажок Не туннелировать следующие IP-адреса: и укажите их адреса ниже. В этом случае пакеты по данным адресам шифроваться не будут. Замечание: Еще раз убедитесь, что трафик в адрес туннелируемых устройств, для которых было отключено шифрование, не проходит через туннелирующий их ViPNet-координатор. Иначе трафик будет заблокирован ViPNet-координатором!

По завершении всех настроек нажмите OK в окне Правило доступа. При необходимости, для туннелируемых координатором устройств можно задать DNS-имена.

DNS-имена задаются в окне Правило доступа для туннелирующего координатора на вкладке IP-адреса (п. 8.8.2, стр. 58) общим списком вместе с DNS-именами самого координатора. Подробную информацию об использовании DNS-имен читайте в п. 8.4, стр.48.

8.7 Установка приоритетов выбора адресов доступа координатора (настройка и использование метрики) Если координатор имеет несколько адресов доступа (например, по разным каналам связи), то

можно настроить приоритеты каналов для установления соединения с координатором. Т.е. имеется возможность явно указать тот канал, через который Ваш узел будет работать всегда, когда этот канал доступен. Если самый приоритетный канал по каким-то причинам недоступен, то канал связи выберется в соответствии с настроенными для оставшихся каналов приоритетами. Когда самый приоритетный канал станет доступен, соединение с координатором вновь установится через него.

Внимание! В данной версии программы определение приоритетных каналов с помощью метрики осуществляется только для координаторов, работающих через МЭ со статической трансляцией адресов или работающих без использования МЭ.

Приоритет каналов задается с помощью метрики для каждого возможного адреса доступа на вкладке Межсетевой экран (Рисунок 20) окна Правило доступа для выбранного координатора защищенной сети. Описание параметров этой вкладки читайте в п.8.8.3, стр. 59.

Рисунок 20

Описание принципов настройки метрики:


ФРКЕ.00004-04 34 01

55

По умолчанию метрика назначается автоматически, в колонке Метрика отображается значение Автоматически (см. Рисунок 20), т.е. текущий адрес доступа координатора определяется программой автоматически.

Если хотя бы для одного адреса вручную задать значение метрики, то автоматическое определение текущих адресов доступа прекращается, и адреса начинают определяться в соответствии со значениями метрики.

Значение заданной вручную метрики означает, насколько важно, чтобы Ваш узел для работы с координатором выбрал тот или иной адрес доступа, т.е. соответствующий ему канал связи. При назначении метрик нужно придерживаться следующих принципов:

• Метрики определяют задержки (в миллисекундах) при посылке тестовых пакетов для определения доступности канала. Чем метрика больше, тем больше задержка. Выбирается тот канал, доступность которого в результате тестовых посылок определится быстрее.

• Назначение для адреса доступа наименьшей метрики приведет к тому, что Ваш узел будет выбирать для работы с координатором канал связи с этим адресом доступа всегда, когда этот канал доступен. Т.о. канал связи с наименьшей метрикой считается самым приоритетным каналом работы для Вашего узла.

• Чем больше разница между метриками (наименьшей и назначенной другим адресам доступа), тем меньше вероятность, что при каких-либо сбоях самого приоритетного канала будет выбран менее приоритетный канал с большей метрикой. При этом, в случае перехода на работу через менее приоритетный канал, Ваш узел быстрее сможет вернуться на работу через самый приоритетный канал, когда он станет доступен.

• Если метрики равны, то для работы будет выбран тот канал, через который соединение с координатором установится наиболее быстрым способом.

• Если для каких-то адресов метрика назначена автоматически, а для каких-то вручную, то значение автоматически назначенной метрики всегда на 100 миллисекунд больше максимального значения метрики, присвоенной вручную.

• Если для всех адресов доступа координатора метрики назначены автоматически или метрики заданы вручную и имеют равные значения, то после выбора канала связи для работы с координатором, определение доступности других каналов связи начнется только при потере соединения по выбранному в данный момент каналу. Аналогичная ситуация с определением доступности других каналов связи и в случае, если выбран канал связи с наименьшей метрикой.

• Если хотя бы для одного адреса доступа координатора значение метрики задано вручную и выбран не самый приоритетный канал (не с наименьшей метрикой), то определение доступности других каналов связи с целью возвращения к каналу с наименьшей метрикой, начнется одновременно с проверкой наличия соединения по выбранному каналу.

• Проверка наличия соединения по выбранному каналу осуществляется путем периодических опросов IP-адреса доступа координатора через этот канал. Опрос координатора производится в соответствии с заданным периодом опроса (параметр Период опроса сервера IP-адресов (минуты) в окне Настройка\Защищенная сеть\Дополнительные параметры, см. п.15.2.3). Между координаторами период опроса по умолчанию равен 15 минутам, между АП и координатором – 5 минутам. Для более быстрого принятия решения о переходе на другой канал (в случае потери соединения по текущему каналу), можно уменьшить этот период опроса.

• При старте Монитора и при выполнении функции проверки соединения вручную (см. п.10.3, стр. 92) всегда осуществляется проверка доступности всех каналов связи с целью выбора для работы с координатором канала с наименьшей метрикой.

• После определения канала доступа, текущий адрес доступа отобразится в первой строке колонки IP-адрес вкладки Межсетевой экран (Рисунок 20).

Настройка:


ФРКЕ.00004-04 34 01

56

Для настройки адресов доступа и метрики на вкладке Межсетевой экран (Рисунок 20) нажмите кнопку Изменить для редактирования адреса и (или) метрики, или кнопку Добавить для добавления нового адреса, откроется окно IP-адрес доступа (Рисунок 21):

Рисунок 21

В поле IP-адрес Вы можете изменить или добавить IP-адрес доступа координатора. Для назначения автоматической метрики установите флажок Автоматическое назначение

метрики (по умолчанию флажок установлен). Автоматически назначенная метрика может принимать одно из следующих значений:

• Если для всех адресов доступа узла метрика назначена автоматически, то значение метрики равно 0.

• Если хотя бы для одного адреса доступа узла значение метрики назначено вручную, то значение автоматической метрики на 100 миллисекунд больше максимального значения из метрик, назначенных вручную.

Для того чтобы указать определенное значение метрики, снимите флажок Автоматическое назначение метрики, станет доступно для редактирования поле Метрика, где можно задать значение метрики из диапазона от 1до 9999.

По окончании настроек в окне IP-адрес доступа нажмите OK для сохранения или Отмена, для отмены настроек.

Пример использования метрики: Предположим, координатор имеет четыре адреса доступа по разным каналам связи А, В, С и

D. Вы хотите задать приоритеты работы с координатором по этим каналам. Допустим канал А – самый быстрый и безопасный, поэтому Вам важно, чтобы этот канал стал

самым приоритетным и для соединения с координатором использовался именно он – настраиваем для него самую маленькую метрику, например 1. Но если с этим каналом что-то случится, например, он перестанет работать или по разным причинам начнет работать медленно, то чтобы не потерять соединение с координатором, нужно выбрать другой, менее приоритетный канал, через который установится соединение. Для этого расставим метрики на оставшиеся каналы. Канал В, ничем не лучше А и является менее безопасным, поэтому переход на работу через этот канал связи не очень желателен для Вас – настраиваем для него метрику побольше (чем меньше желания Вы испытываете перейти на этот канал, тем большее значение метрики надо для него задать), задаем, например, максимальную метрику 9999. Вероятность перехода на этот канал существенно снизится. Остальные каналы (С и D) менее быстрые, чем А и B, но такие же безопасные, как и А, они имеют для Вас примерно одинаковое значение, но лучше все же по возможности использовать А, поэтому задаем для них примерно одинаковую метрику, такую, чтобы разница с метрикой для канала А была небольшой, например, 500.

В результате настроек получим следующую работу Вашего узла с координатором: Канал А будет использоваться всегда, когда доступен. Если в момент проверки он по каким-то причинам недоступен или его качество ухудшилось (начал работать медленно), то соединение с координатором установится по каналу С или D. И только в крайнем случае, если в момент проверки каналы А, С или D недоступны или их качество значительно ухудшилось, для работы может быть выбран канал В.

Но в любом случае, если выберется канал связи В, С или D, то через период опроса координатора, при перезапуске Монитора или проверке соединения с координатором вручную, Ваш узел будет пытаться вновь соединиться с координатором через канал связи А.

Период опроса координатора определяет, насколько быстро программа почувствует неисправность канала и перейдет на исправный канал. Поэтому чем важнее для Вас сократить время недоступности сетевых ресурсов при сбоях канала, тем меньший период опроса


ФРКЕ.00004-04 34 01

57

координаторов следует установить. Так, например, если Вы установите период опроса равным 1 минуте, то в случае сбоя время обнаружения неисправности составит до 1 минуты. Столько же времени понадобится для возвращения на более приоритетный канал.

8.8 Правила доступа для узлов защищенной сети (окно Правило доступа) В этом окне настраиваются параметры работы с сетевыми узлами из окна Защищенная

сеть.

Рисунок 22

Окно Правило доступа (Рисунок 22) открывается, если на строке с именем какого-либо пользователя (кроме записи о Вашем АП) два раза щелкнуть левой кнопкой мыши или в контекстном меню выбрать Правила доступа -> Открыть (действие доступно также в главном меню Действия).

Окно Правило доступа (Рисунок 22) может содержать набор вкладок, в зависимости от настраиваемого узла: Общие, IP-адреса, Межсетевой экран, Инфо и Туннель. Вкладки будут описаны ниже. Для сохранения настроек используйте кнопку Применить (без закрытия окна настроек) или OK (с закрытием она настроек), для отмены – Отмена.

8.8.1 Вкладка Общие

Вкладка Общие (Рисунок 22) предназначена для настроек следующих параметров: • Имя узла – отображается имя сетевого узла защищенной сети, для которого открыто окно Правило доступа.

• Имя компьютера – отображается имя компьютера пользователя; имя компьютера пользователя можно определить в окне Защищенная сеть, используя пункт контекстного меню Определить имя.

• Псевдоним – для любого пользователя можно задать псевдоним вместо того имени, которое прописано в окне Защищенная сеть; как использовать псевдоним читайте в пункте 10.7, стр. 99.

• IP-пакеты от/для данного узла, кроме портов и протоколов, указанных в добавленных фильтрах – Разрешить или Блокировать – выбор значения Блокировать означает, что будет запрещен обмен информацией с данным сетевым


ФРКЕ.00004-04 34 01

58

узлом по всем портам и протоколам, кроме портов и протоколов, указанных в добавленных фильтрах (если они есть). Выбор этого значения равносилен изменению значка перед строкой данного сетевого узла в окне Защищенная сеть. Соответственно выбор значения Разрешить будет означать, что разрешен обмен информацией по всем портам и протоколам, кроме портов и протоколов, указанных в добавленных фильтрах. О фильтрации читайте п. 0.

• Отключить добавленные фильтры – при установке флажка все добавленные фильтры отключаются, т.е. перестают действовать; параметр доступен в случае, если фильтры протоколов для выбранного пользователя уже были добавлены.

8.8.2 Вкладка IP-адреса

Вкладка IP-адреса (Рисунок 23) предназначена для настроек следующих параметров:

Рисунок 23

Внимание! При первом старте программы ViPNet на Вашем АП, для координатора, являющегося сервером IP-адресов для Вашего АП, в этом окне необходимо задать IP-адрес или DNS-имя. Такая настройка необходима для подключения Вашего АП к сети, и производить ее нужно только в том случае, если эта настройка не была произведена администратором в ЦУС (или ViPNet Manager).

• Группа параметров IP-адреса

В группе параметров IP-адреса отображаются реальные IP-адреса узла и соответствующие им выделенные Вашим АП для данного узла виртуальные IP-адреса.

Адреса (реальные или виртуальные), которые в данный момент используются приложениями для взаимодействия с выбранным узлом выделены полужирным шрифтом и зависят от флажка Использовать виртуальные IP-адреса (см. ниже).

Адреса, которые используются приложениями для соединения с выбранным узлом, отображаются также в окне Защищенная сеть в записи для этого узла.

Текущий адрес узла, т.е. по которому узел в данный момент доступен, всегда отображается в первой строке группы IP-адреса и первым в записи узла в окне Защищенная сеть. При смене текущего реального адреса узла текущий виртуальный адрес не изменяется.


ФРКЕ.00004-04 34 01

59

Реальные адреса сетевых узлов регистрируются Монитором автоматически, задаются администратором в ЦУС или пользователем на СУ вручную. Отредактировать список реальных IP-адресов компьютера пользователя можно при помощи кнопок Добавить, Изменить, Удалить.

В соответствии с разделом 8.3, виртуальный адрес генерируется автоматически для каждого реального IP-адреса СУ, отображенного в группе IP-адреса (Рисунок 23). Начальный адрес для генерации виртуальных адресов указан в окне в окне Настройка\Защищенная сеть\Дополнительные параметры (параметр Стартовый IP-адрес для генератора виртуальных IP–адресов, п. 15.2.3). Сформированные виртуальные адреса автоматически больше не меняются. Виртуальные адреса формируются заново только в случае изменения настройки стартового виртуального адреса в параметре, указанном выше. Использование виртуального адреса позволяет не задумываться о возможном конфликте адресов с удаленной сетью.

Установить или снять флажок Использовать виртуальные IP-адреса возможно только если узел может быть доступен по виртуальному адресу. Если этот параметр неактивен, то значит, для соединения с узлом могут быть использованы только реальные адреса. Если параметр активен, то по умолчанию флажок установлен, т.е. узел доступен по виртуальным адресам из колонки Виртуальные IP-адреса. Если Вы снимите (установите) флажок Использовать виртуальные IP-адреса в записи о координаторе, то будет задан вопрос о снятии (установке) аналогичного флажка и для всех узлов, работающих через этот координатор, как через МЭ. Вам необходимо выбрать ответ. Снятие (установка) флажка в записи об абонентском пункте действует только на этот абонентский пункт. • Использовать DNS-имя – по умолчанию флажок снят. При установке флажка становится доступно поле для настройки DNS-имен СУ. DNS-имена могут быть заданы администратором в ЦУС (или ViPNet Manager) или пользователем непосредственно на СУ. Для одного СУ может быть задано несколько DNS-имен. Вручную можно добавить, изменить или удалить DNS-имена, используя кнопки Добавить, Изменить, Удалить, а также имеется возможность при необходимости изменять порядок следования имен с

помощью кнопок , . В настройках для АП порядок следования DNS-имен значения не имеет. В настройках для координатора в этом поле могут быть заданы не только DNS-имена самого координатора, но и DNS-имена туннелируемых координатором компьютеров. DNS-имена туннелируемых координатором компьютеров задаются общим списком вместе с DNS-именами самого координатора. Однако в первой строке всегда должно задаваться DNS-имя, для которого на DNS-сервере зарегистрированы IP-адреса доступа к этому координатору.

О правилах задания DNS-имен и о случаях, в которых необходимо задавать DNS-имена, читайте в п. 8.4.

8.8.3 Вкладка Межсетевой экран

Вкладка Межсетевой экран (Рисунок 24) предназначена для настроек следующих параметров узла:


ФРКЕ.00004-04 34 01

60

Рисунок 24

• Использовать настройки работы узла через межсетевой экран – при установке флажка становятся доступны для настройки IP-адреса доступа к узлу, работающему через какой-либо межсетевой экран (ViPNet-координатор, другой МЭ с динамической трансляцией адресов или со статической трансляцией адресов) и порт UDP. Если флажок уже установлен, то это означает, что узел работает через какой-либо межсетевой экран (МЭ) и настройки об этом уже получены.

Замечание: В правиле доступа ViPNet-координатора флажок будет установлен даже в том случае, если координатор не работает через межсетевой экран, при этом в поле IP-адреса доступа: будет отображаться собственный адрес координатора. • IP-адреса доступа – в этом поле в колонке IP-адрес отображаются IP-адреса, через которые можно получить доступ к сетевому узлу (это может быть собственный адрес, адрес ViPNet-координатора или другого МЭ, через который работает узел). Адреса доступа регистрируются Монитором автоматически, задаются администратором в ЦУС (или ViPNet Manager) и пользователем на СУ вручную. Если таких адресов несколько, то для АП текущий адрес доступа определяется Монитором автоматически, а для координатора автоматически или с учетом заданной метрики (подробное описание настройки и использования метрики читайте в п. 8.7, стр.54). После определения адреса доступа, текущий адрес доступа всегда располагается в первой строке колонки IP-адрес.

Можно добавить, изменить или удалить IP-адреса доступа, используя кнопки Добавить, Изменить, Удалить, а также при необходимости изменять порядок

следования адресов в колонке IP-адрес с помощью кнопок , для выбора текущего адреса доступа. Расположив какой-либо адрес в первой строке колонки IP-адрес, после сохранения настроек, этот адрес станет текущим адресом доступа к узлу.

При потере соединения по текущему адресу доступа, Монитор автоматически начнет определять другой адрес доступа к узлу. В результате текущим адресом доступа станет адрес, по которому соединение с узлом установится раньше или, если хотя бы для одного адреса доступа вручную задано значение метрики, текущий адрес доступа будет определяться с учетом метрик. Соответственно этот адрес переместится на первую строку колонки IP-адрес. • Порт UDP – порт доступа к узлу через межсетевой экран (ViPNet-координатор или другой МЭ), по умолчанию установлен порт доступа 55777.


ФРКЕ.00004-04 34 01

61

8.8.4 Вкладка Туннель

Эта вкладка присутствует только для записи координатора, который может осуществлять туннелирование IP-пакетов от заданных компьютеров сети, т.е. для координатора в ЦУС (или ViPNet Manager) разрешено туннелирование IP-пакетов.

Здесь настраиваются IP-адреса компьютеров, туннелируемых данным координатором, с целью получить доступ с Вашего компьютера на эти туннелируемые компьютеры.

Вкладка Туннель (Рисунок 25) предназначена для настроек следующих параметров:

Рисунок 25

• Использовать IP-адреса для туннелирования – по умолчанию флажок установлен. Ниже отображаются реальные IP-адреса (или диапазоны адресов) компьютеров, туннелируемых данным координатором. Для каждого реального IP-адреса (или диапазона адресов) отображаются соответствующие виртуальные IP-адреса (или диапазоны адресов).

Реальные адреса (или диапазоны адресов) задаются администратором в ЦУС (или ViPNet Manager) или пользователем непосредственно на СУ. Автоматически данные адреса не регистрируются. Можно отредактировать реальные IP-адреса для туннелирования, используя кнопки Добавить, Изменить, Удалить.

О формировании виртуальных адресов Вы можете прочитать в п. 8.3. Для одиночных5

Стартовый IP-адрес для генератора виртуальных IP–адресов

туннелируемых адресов сформированные виртуальные адреса автоматически больше не меняются. Виртуальные адреса, выделенные для туннелируемых диапазонов адресов, могут измениться при добавлении новых диапазонов туннелируемых адресов. Виртуальные адреса формируются заново только в случае изменения настройки стартового виртуального адреса в окне Настройка\Защищенная сеть\Дополнительные параметры (параметр

, п. 15.2.3). Внимание! Начиная с версии 2.8 (12.1943) автоматическое формирование

виртуальных IP-адресов для одиночных туннелируемых адресов происходит из того же диапазона адресов, что и для реальных адресов узлов из окна Защищенная сеть. Поэтому, если Вы установили версию 2.8 (12.1943) или выше поверх версии ниже 2.8

5 Туннелируемый адрес, явно указанный в настройках туннелируемых адресов узла (т.е. не в составе диапазона

адресов).


ФРКЕ.00004-04 34 01

62

(12.1943), то при редактировании (используя кнопку Изменить) реального одиночного туннелируемого адреса, настроенного до установки новой версии, для него будет назначен новый виртуальный адрес. В дальнейшем, после установки новых версий, виртуальный адрес меняться не будет.

Адреса (реальные или виртуальные), которые в данный момент используются для связи с туннелируемым компьютером выделены полужирным шрифтом и зависят от флажка Использовать виртуальные IP-адреса (см. ниже).

Если снять флажок Использовать IP-адреса для туннелирования, то IP-адреса для туннелирования, настроенные на вкладке Туннель, не будут восприниматься на Вашем узле, как туннелируемые данным координатором, т.е. IP-пакеты, отправленные по указанным адресам, не будут шифроваться и перенаправляться на координатор. Также станут недоступными все остальные настройки в этой вкладке. • Использовать виртуальные IP-адреса. По умолчанию флажок снят, т.е. туннелируемые компьютеры доступны по реальным адресам. При необходимости, для получения доступа к туннелируемым компьютерам, вместо реальных IP-адресов можно использовать виртуальные IP-адреса, если установить флажок. Установите флажок в случае пересечения реальных IP-адресов компьютеров, туннелируемых данным координатором, со следующими адресами: с IP-адресами защищенных узлов, доступных по реальным адресам, реальными IP-адресами компьютеров, туннелируемых другими координаторами.

• Группа параметров Исключения: – в этой группе задаются адреса, которые по каким-то причинам необходимо исключить из списка адресов, туннелируемых настаиваемым координатором. По этим адресам трафик шифроваться не будет.

∗ Не туннелировать IP-адреса, входящие в подсеть Вашего компьютера – по умолчанию флажок установлен. Это означает, что если среди IP-адресов для туннелирования есть IP-адреса, входящие в подсеть Вашего узла (имеют такую же маску подсети), то они на Вашем узле не будут восприниматься, как туннелируемые данным координатором. Т.е. IP-пакеты, отправленные по указанным адресам, не будут шифроваться и перенаправляться на координатор. Не рекомендуется снимать флажок, если некоторые из туннелируемых данным координатором IP-адресов принадлежат подсети Вашего узла, поскольку в этом случае туннелируемый компьютер, находящийся в подсети Вашего узла, будет посылать ответные IP-пакеты на адрес Вашего узла напрямую, минуя координатор, т.е. в незашифрованном виде. Такие IP-пакеты при снятии флажка будут блокированы.

∗ Не туннелировать следующие IP-адреса: – по умолчанию флажок снят. Если флажок установить, то появится возможность настроить IP-адреса, которые на Вашем узле будут исключены из заданного списка IP-адресов, туннелируемых данным координатором. Отредактировать список этих IP-адресов можно, используя кнопки Добавить, Изменить, Удалить. Рекомендуется устанавливать флажок в случае, если в соответствии с маршрутной таблицей на туннелируемом компьютере, IP-пакеты от этого компьютера поступают на Ваш узел напрямую, минуя свой координатор, т.е. в незашифрованном виде. Такие IP-пакеты при снятии флажка будут блокированы.

8.8.5 Вкладка Инфо

Вкладка Инфо (Рисунок 26) носит информативный характер. На вкладке выводится информация о сетевых настройках узла, эта информация может быть полезна для службы поддержки.


ФРКЕ.00004-04 34 01

63

Рисунок 26

9 Сетевые узлы защищенной сети ViPNet (окно Защищенная сеть) В окне Защищенная сеть (Рисунок 27) отображаются сетевые узлы ViPNet, соединение с

которыми осуществляется только в защищенном режиме. Это окно позволяет настраивать различные параметры работы с сетевыми узлами ViPNet, а также использовать предоставляемые сервисные функции для работы с пользователями этих СУ.

Одновременно, в окне Защищенная сеть предоставляется возможность произвести настройку правил фильтрации защищенного трафика между Вашим компьютером и сетевыми узлами из окна Защищенная сеть. В данном разделе настройка фильтрации не описывается. Подробная информация о правилах настройки фильтров для защищенного трафика приведена в п.п. 11.3, 0.


ФРКЕ.00004-04 34 01

64

Рисунок 27

Список сетевых узлов, отображаемых в окне Защищенная сеть, формируется администратором сети ViPNet в программе Центр Управления Сетью (ЦУС) или ViPNet Manager. С этими узлами Вы имеете возможность обмениваться защищенной информацией в своей локальной сети, через Интернет или другие сети, поддерживающие IP-протокол.

Сетевые узлы из окна Защищенная сеть удалить нельзя. Изменение списка сетевых узлов происходит только из ЦУС или ViPNet Manageг, в тот момент, когда приходят файлы обновления адресных справочников и ключей (см. п.15.4.1, стр.164).

Сетевые узлы в окне Защищенная сеть выделены различными цветами:

• Красным цветом выделены все ViPNet-координаторы.

• Фиолетовым цветом выделены все включенные в данный момент АП (в состоянии on-line).

• Серым цветом выделены все отключенные в данный момент АП (в состоянии off-line).

• Синим цветом выделен Ваш СУ.

Дополнительно, СУ помечены специальными значками, по которым можно определить статус объекта сети ViPNet. Вид большинства значков зависит от используемой ОС Windows.

– в данный момент АП отключен (в состоянии off-line). Ваш СУ скорее всего не может обмениваться с ним on-line информацией, используя сервисы Монитора или других программ. Скорее всего, АП в данный момент не подключен к сети.

– в данный момент АП включен (в состоянии on-line). Ваш СУ может обмениваться с ним on-line информацией, т.е. АП в данный момент подключен к сети.

– в данный момент ViPNet-координатор включен (в состоянии on-line).

– в данный момент ViPNet-координатор отключен (в состоянии off-line).

(один из предыдущих значков, помеченный "звездочкой") – появляется при добавлении нового сетевого узла Защищенной сети после обновления справочников. Также этот сетевой узел


ФРКЕ.00004-04 34 01

65

выделяется полужирным шрифтом. Такое обозначение сохранится до первой перезагрузки Монитора.

– Ваш СУ.

Более подробную информацию о просмотре статуса пользователя включенного сетевого узла Вы можете прочитать в п.10.3.

Наличие значка у какой-либо записи означает "пропускать пакеты". Наличие значка у какой-либо записи означает "блокировать пакеты". Подробнее читайте в п. 0.

Для всех СУ защищенной сети можно отобразить IP-адреса (Рисунок 27). Для этого в окне Настройка\Общие (п. 15.2) установите флажок Отображать IP-адреса в папке "Защищенная сеть".

Если для СУ в состоянии off-line виден нулевой IP-адрес, то это, скорее всего, означает, что Ваш СУ ни разу не оказывался с этим узлом одновременно подключенными к сети или на нем не установлено ПО ViPNet.

Если для СУ в состоянии off-line виден один или несколько IP-адресов, то это означает, что СУ уже когда-то включался одновременно с Вашим СУ, но адреса не обязательно истинны, поскольку могут динамически меняться.

Если для СУ в состоянии on-line виден один или несколько IP-адресов, то это означает, что этот СУ подключен в данный момент к сети и его адреса истинны. Этими адресами Вы можете воспользоваться для каких-либо других прикладных задач. Эти адреса могут использоваться какими-либо сетевыми приложениями на Вашем СУ.

Также в окне Защищенная сеть отображаются строки IP-пакеты всех адресатов и Широковещательные IP-пакеты всех адресатов. Эти строки используются для настройки фильтрации защищенного трафика (см. п. 11.3).

В окне доступны следующие возможности: 1. Отправка сообщений/Организация конференции. Для организации обмена сообщениями

или конференции выберите сетевой узел и воспользуйтесь контекстным меню Послать сообщение или Конференция (см. п. 10.1, стр.67).

2. Отправка файла файловым обменом. Для отправки файлов через файловый обмен выберите сетевой узел и воспользуйтесь контекстным меню Отправить файл (см. п. 10.2, стр.86).

3. Отправка письма по Деловой Почте. Для отправки письма выберите сетевой узел и воспользуйтесь контекстным меню Отправить письмо. Информацию по использованию Деловой почты читайте в отдельном руководстве пользователя "ViPNet Деловая почта".

4. Вызов внешних приложений. Для вызова коммуникационных приложений, таких как MS NetMeeting, VoxPhone, Internet Phone, Compaq Insight Manager, Microsoft Portrait выберите сетевой узел и воспользуйтесь контекстным меню Внешние приложения -> пункт с названием приложения (см. п. 10.4, стр. 96). Вызов приложений доступен в случае если приложение установлено и сетевой узел имеет ненулевой IP-адрес.

5. Удаленный доступ к компьютерам. Программа Монитор позволяет получить защищенный доступ на удаленный компьютер пользователя сети ViPNet, используя внешние программы удаленного доступа Remote Administrator (Radmin), VNC или Remote Desktop Connection. Для вызова необходимой программы выберите сетевой узел и воспользуйтесь контекстным меню Внешние приложения -> пункт с названием приложения (см. п. 10.5, стр. 97). Вызов приложений доступен в случае если приложение установлено и сетевой узел имеет ненулевой IP-адрес.

6. Проверка соединения с узлом и информирование о статусе пользователя. Для проверки соединения выберите сетевой узел и воспользуйтесь контекстным меню Проверить соединение (п. 10.3, стр.92).

7. Открытие Web-ссылки. Для открытия web-ссылки сетевого узла выберите сетевой узел и воспользуйтесь контекстным меню Web-ссылка (п. 10.6, стр. 98).

8. Открытие сетевого ресурса. Для открытия сетевого ресурса узла выберите сетевой узел и воспользуйтесь контекстным меню Открыть сетевой ресурс (п. 10.6, стр. 98).

9. Создание папок для группировки сетевых узлов. Для удобного расположения сетевых узлов можно создавать различные папки (используя контекстное меню Папки -> Создать новую папку или одноименный пункт в главном меню Действия) и в них помещать нужные


ФРКЕ.00004-04 34 01

66

сетевые узлы. Впоследствии эти папки можно переименовывать, удалять (используя соответствующие пункты меню Папки) и перемещать.

10. Поиск сетевых узлов. Можно осуществлять быстрый поиск нужных элементов из списка фильтров. Для этого в строке поиска, находящейся в нижней части окна ViPNet [Монитор] введите часть имени узла или часть каких-либо других параметров, специфичных для того узла или узлов, которые вы хотите найти. Поиск ведется по следующим параметрам сетевых узлов:

• имя узла (отображается в разделе Защищенная сеть и в окне Правило доступа на вкладке Общие);

• идентификатор узла (окно Правило доступа, вкладка Инфо); • реальные и виртуальные IP-адреса (окно Правило доступа, вкладка IP-адреса,

список IP-адреса); • псевдоним (окно Правило доступа, вкладка Общие); • имя компьютера (окно Правило доступа, вкладка Общие).; • DNS-имя (окно Правило доступа, вкладка IP-адреса).

При этом отобразятся все элементы, содержащие указанную подстроку. Если после набора нужной подстроки нажать Enter, то эта подстрока сохранится. Таким образом, Вы можете составить свой список сетевых узлов, с которыми работаете наиболее часто. Для отмены действия подстроки и для отображения всех элементов окна нажмите кнопку Всё (Рисунок 27).

11. Поиск сетевого имени компьютера по IP-адресу или IP-адреса по сетевому имени. Для поиска выберите сетевой узел и воспользуйтесь контекстным меню Определить имя.

12. Настройка параметров работы с сетевыми узлами. Для настройки различных параметров работы с сетевыми узлами выберите сетевой узел и воспользуйтесь контекстным меню Правила доступа -> Открыть).

13. Просмотр журнала IP-пакетов. Для просмотра журнала выберите сетевой узел и воспользуйтесь контекстным меню Журнал регистрации IP-пакетов (см. Работа с журналом IP-пакетов ).

14. Настройка фильтров. О настройке фильтров читайте в п. 11.3. Часть этих действий доступна также в главном меню Действия (см. п. 7.3) и по

соответствующим кнопкам на панели инструментов в верхней части главного окна. Замечание: Все действия по изменению каких-либо настроек в окне Защищенная сеть

зависят от уровня полномочий, определенных для Вашего АП в ЦУС. О полномочиях читайте в отдельном документе "Классификация полномочий".

10 Сервисные службы программы В этой главе содержится подробное описание использования основных сервисных функций,

предоставляемых программой Монитор. Для сетевых узлов из окна Защищенная сеть доступны сервисы:

• Сервис Оперативный обмен защищенными сообщениями (см. п.10.1, стр.67).

• Отправка и получение файлов (Файловый обмен) (см. п. 10.2, стр.86).

• Проверка соединения с сетевым узлом и информирование о статусе пользователя (см. п. 10.3, стр.92).

• Использование внешних программ для взаимодействия с пользователями ViPNet (см. п. 10.4, стр. 96).

• Удаленное управление компьютерами пользователей сети ViPNet (см. п.10.5, стр.97).

• Использование псевдонимов (см. п. 10.7, стр.99).

• Сервис Web-ссылка и Открыть сетевой ресурс (см. п. 10.6, стр. 98).

Вы можете воспользоваться также сервисами для Вашего АП: • Блокировка компьютера (Кнопка Блокировки) (см. п.10.8, стр.99).

• Работа с конфигурациями программы (окно Конфигурации) (см. п. 10.9, стр. 101).


ФРКЕ.00004-04 34 01

67

10.1 Сервис "Оперативный обмен защищенными сообщениями" Сервис Оперативный обмен защищенными сообщениями (отправка, получение сообщений

и организация конференций) предназначен для обмена сообщениями в режиме реального времени (в режиме “online”) между пользователями сети ViPNet. Этот сервис предоставляется пользователю в окне Защищенная сеть. Поскольку трафик между пользователями ViPNet передается в зашифрованном виде, то сообщения, которыми будут обмениваться пользователи, защищены от постороннего вмешательства.

В данной главе и ее разделах описан сервис обмена сообщениями: даны некоторые определения, описаны типы обмена сообщениями, интерфейс главного окна и различные настройки данного сервиса.

10.1.1 Основные понятия сервиса "Оперативный обмен защищенными сообщениями"

Для каждого пользователя ViPNet сервис оперативный обмен защищенными сообщениями – это отправка сообщений каким-либо пользователям ViPNet (из окна Защищенная сеть) и прием сообщений от этих пользователей. Процесс обмена сообщениями с пользователями ViPNet называется сеансом. Обмен сообщениями может происходить в нескольких сеансах. Любой пользователь ViPNet может открыть новый сеанс с другими пользователями. У каждого участника сеанса, отправленные и полученные им в этом сеансе сообщения, записываются в протокол сеанса. Для каждого сеанса ведется свой протокол, т.е. все сообщения одного сеанса записываются в один и тот же протокол. Т.о. ответ от пользователя на сообщение, отправленное из заданного сеанса, всегда попадет в тот же сеанс и, соответственно, в тот же протокол. Протокол сеанса может быть сохранен в файл. У каждого пользователя одновременно может вестись несколько сеансов, причем какие-то пользователи, с которыми данный пользователь в данный момент обменивается сообщениями, могут входить в разные сеансы. Если поступит сообщение от пользователя, не входящего ни в один из открытых сеансов, то откроется новый сеанс сообщений, и создастся новый протокол.

Пользователи, участвующие в сеансе обмена сообщениями, называются участниками сеанса.

Пользователь, начавший обмен сообщениями (открывший сеанс) называется инициатором сеанса.

Открытие сеанса для инициатора сеанса – это выбор команды использования сервиса обмена сообщениями (или открытия нового сеанса) и выбор пользователей ViPNet, с которыми будет вестись этот обмен. Открытие сеанса для участника сеанса, не являющегося инициатором – это получение первого сообщения от инициатора сеанса. В процессе обмена сообщениями инициатор может добавлять других пользователей в этот же сеанс.

Закрытие сеанса. Сеанс считается закрытым после использования специальной команды закрытия сеанса или закрытием всего окна сервиса обмена сообщениями.

Текущий сеанс. Сеанс, в котором пользователь последний раз работал или работает в настоящий момент. Если у пользователя нет ни одного сеанса, то при поступлении первого сообщения какого-либо сеанса, этот сеанс становится текущим.

Информация обо всех существующих сеансах обмена сообщениями отображается в одном окне (называемом главным). В этом окне можно выбрать сеанс, в котором пользователь в данный момент хочет работать. Информация о существующих сеансах в главном окне сохраняется до тех пор, пока пользователь сам не закроет это окно или не завершит все сеансы.

Есть два типа сеансов: обмен сообщениями (при использовании службы обмен сообщениями) и конференция (при использовании службы конференция) (см. ниже).

Приход сообщения не прерывает процесс работы пользователя в других задачах. Но при этом сервис обеспечивает несколько визуальных способов уведомления о приходе сообщения по выбору пользователя (задается в настройках).

Обеспечивается различение новых и непрочтенных сообщений: Новые сообщения. Сообщения, которые пользователь еще не обработал (не ответил, не

принял или не удалил), но мог просмотреть (прочитать) в окне новых сообщений. Непрочтенные сообщения. Новые сообщения, которых пользователь еще не видел, т.е. те

сообщения, которые не были просмотрены в окне новых сообщений.


ФРКЕ.00004-04 34 01

68

10.1.2 Отличия службы "Послать сообщение" от "Конференции"

Сервис Оперативный обмен защищенными сообщениями реализован в программе в виде двух служб:

• Обмен сообщениями в режиме многоадресного обмена. Инициируется в окне Защищенная сеть по команде главного (или контекстного) меню Действия -> Послать сообщение. Инициатор сеанса обмена сообщениями в режиме многоадресного обмена может рассылать одно и то же сообщение нескольким пользователям ViPNet, а затем получать ответы от всех этих пользователей. При этом пользователи (с которыми организован сеанс) в рамках этого сеанса сообщений друг друга не видят, т.е. обмен происходит только между инициатором обмена сообщениями и каждым из пользователей-получателей. Все участники сеанса в процессе обмена сообщениями могут добавлять других пользователей, отключать и включать существующих пользователей6

• Обмен сообщениями в режиме конференция. Инициируется в окне Защищенная сеть по команде главного (или контекстного) меню Действия -> Конференция. Инициатор сеанса конференции может рассылать одно и то же сообщение нескольким пользователям ViPNet, а затем получать ответы от всех этих пользователей. При этом все пользователи (с которыми организована конференция) получают ответы друг друга, т.е. все участники конференции видят сообщения друг друга. В процессе сеанса добавлять других пользователей, отключать и включать существующих пользователей может только инициатор сеанса конференции. Тип сеанса для этой службы называется Конференция.

. Тип сеанса для этой службы называется Обмен сообщениями.

Все сеансы обмена сообщениями отображаются в окне, называемом Оперативный обмен защищенными сообщениями (Рисунок 36). В окне обмена сообщениями сеансы нумеруются, и можно выбирать тот или иной сеанс для работы с ним (см. п. 10.1.11, стр. 77). При выборе того или иного сеанса его тип (Обмен сообщениями или Конференция) будет указан на нижней рамке окна Оперативный обмен защищенными сообщениями.

Поскольку работа каждой из двух служб сервиса Оперативный обмен защищенными сообщениями, за исключением отмеченных выше различий, одинакова, то далее приводится общее описание использования сервиса. Случаи, где отличия между двумя режимами обмена сообщениями имеют место, будут описаны отдельно.

10.1.3 Открытие сеанса обмена сообщениями (обмен сообщениями или конференция)

Сеанс обмена сообщениями может быть открыт несколькими способами: 1. Прежде всего, нужно выбрать, каким типом сеанса Вы желаете воспользоваться (обменом

сообщениями или конференцией7

• В окне Защищенная сеть выберите пользователя или нескольких пользователей, которым хотите послать сообщение, и воспользуйтесь главным меню, выбрав пункт Действия -> Послать сообщение или Действия -> Конференция (или меню по щелчку правой кнопки мыши Послать сообщение или Конференция). Можно использовать также кнопки на панели инструментов Сообщение (

), а затем, в зависимости от выбранного типа, Вы, как инициатор сеанса, откройте новый сеанс одним из следующих способов:

) или Конференция ( ). Откроется окно Оперативный обмен защищенными сообщениями (если у Вас нет открытых сеансов), либо добавится новый сеанс в окно Оперативный обмен защищенными сообщениями (если есть открытые сеансы). Теперь Вы можете отправить сообщение (см. п.10.1.5, стр.69).

• Если у Вас уже есть открытые сеансы, то в окне Оперативный обмен защищенными сообщениями выберите один из пунктов главного (или контекстного) меню Сеанс -> Новый -> Обмен сообщениями или Сеанс -> Новый -> Конференция (см. п.10.1.11.1, стр.80). В окно Оперативный обмен защищенными сообщениями добавится новый сеанс. Теперь Вы можете отправить сообщение (см. п.10.1.5, стр.69).

6 В целях управления сообщениями, т.е. если требуется какие-то сообщения не отправлять некоторым

пользователям, участвующим в сеансе, то этих пользователей можно временно отключить. 7 Отличия этих служб описаны в п.10.1.2


ФРКЕ.00004-04 34 01

69

2. Пользователь другого компьютера инициирует сеанс с Вами, т.е. первым пришлет Вам сообщение (см. п.10.1.8, стр.71).

Как уже упоминалось ранее, все сеансы обмена сообщениями (обмен сообщениями и конференция) отображаются в общем окне Оперативный обмен защищенными сообщениями. Подробное описание окна изложено в п. 10.1.11, стр. 77.

10.1.4 Проверка доступности пользователя перед началом сеанса обмена сообщениями

Перед отправкой мгновенных сообщений, мы рекомендуем проверить, доступен ли в сети ViPNet тот пользователь, кому вы собираетесь отправить сообщение. Также данная функциональность полезна, если вы, например уже отправили сообщение и долго не можете получить на него ответ.

Чтобы проверить доступность пользователя, с которым инициирован обмен сообщениями: 1. В окне Оперативный обмен защищенными сообщениями на панели Получатели

сообщений выделите пользователя ViPNet, доступность которого вы хотите проверить.

2. Щелкните правой кнопкой и в появившемся контекстном меню выберите Проверить соединение (см. Рисунок 40).

3. Будет выполнена проверка соединения с выбранным пользователем (подробнее см. раздел Проверка соединения с сетевым узлом и информирование о статусе его пользователя, п.10.3 на стр. 92).

4. Если пользователь недоступен, то вы все равно можете отправить ему сообщение. При этом сложно будет предположить, когда пользователь получит ваше сообщение.

10.1.5 Отправка сообщений

Отправка сообщений происходит в окне Оперативный обмен защищенными сообщениями (Рисунок 28).

Для того, чтобы открыть это окно необходимо открыть сеанс обмена сообщениями. Как это сделать читайте в п.10.1.3, стр.68.

Рисунок 28

Если у Вас уже открыты какие-либо сеансы обмена сообщениями (Рисунок 28, слева), то сначала выберите в панели Сеансы тот сеанс (щелкните по нему мышью), пользователю(ям) которого Вы хотите отправить сообщение.

После выбора сеанса или если сеанс один, введите сообщение в панели Сообщение (Рисунок 28) и нажмите кнопку Отправить (или клавишу F5). Также для отправки сообщений можно настроить дополнительную горячую клавишу в окне Настройка\Обмен сообщениями (см. п.10.1.12).

Сообщения отправятся только тем адресатам (из панели Получатели сообщений), у кого стоят флажки. По умолчанию они стоят у всех выбранных адресатов.


ФРКЕ.00004-04 34 01

70

После отправки сообщения оно поместится в протокол сеанса в панель Протокол сеанса, а также появятся квитанции (об отправке, доставке и прочтении сообщения) в панели Получатели сообщений (подробно о квитанциях читайте в п.10.1.6, стр.70).

В процессе сеанса пользователь может отключать некоторых получателей8

Рисунок 28

в окне Оперативный обмен защищенными сообщениями, убирая напротив них флажок, а потом при желании снова их подключать ( , справа).

Замечание: При работе в сеансе типа Конференция отключать пользователей может только инициатор сеанса конференции.

10.1.6 Квитанции

Если адресаты какого-либо сеанса получили сообщение, то к Вам придут квитанции от каждого адресата, подтверждающие, что сообщение отправлено, доставлено или прочитано. Отправляемые сообщения нумеруются (1, 2, 3, ...) в порядке их отправки и в первой панели Получатели сообщений (Рисунок 28) появляются колонки с номерами сообщений, где для каждого адресата и для каждого отправленного Вами сообщения сеанса появляется квитанция. Каждая колонка для квитанций появляется после отправки очередного сообщения. Колонки с номерами сообщений располагаются в обратном порядке (т.е. на первом месте появляется квитанция на самое последнее сообщение). После отправки сообщения появляется "О" для адресатов, кому отправлено (у кого стоят флажки). При поступлении сообщения на экран адресата, приходит квитанция о доставке и появляется "Д", а после прочтения приходит квитанция о прочтении и появляется "Ч" (сообщение прочитано получателем) или ”П” (получатель собирается написать ответ, т.е. воспользовался командой Ответить или Ответить с цитатой в окне Новые сообщения (см. п.10.1.9.1, стр.73).

Замечание: Окно Новые сообщения не появится, а соответственно не будет отправляться квитанция "П", если в окне Настройка\Обмен сообщениями снят флажок Показывать новые сообщения в отдельном окне, (подробнее см. п. 10.1.12).

10.1.7 Добавление пользователей в открытый сеанс

В процессе сеанса Вы можете добавить адресатов для отправки им сообщения, для этого в окне Оперативный обмен защищенными сообщениям выберите пункт главного меню Сеанс ->

Добавить получателей, или нажмите кнопку (Рисунок 28), или клавишу F3 на клавиатуре.

Замечание: При работе в сеансе типа Конференция добавлять пользователей в открытый сеанс может только инициатор сеанса конференции.

Откроется окно Выбор сетевого узла (Рисунок 29) со списком пользователей за исключением тех пользователей, которые были выбраны ранее, при открытии сеанса (см. Рисунок 28).

Рисунок 29

Выберите одного или несколько пользователей и нажмите кнопку Выбрать. Для поиска нужных пользователей предназначена строка быстрого поиска внизу окна (Рисунок 29), где поиск пользователя осуществляется путём набора части его имени в поле ввода. Все выбранные

8 Для того, чтобы сообщение им не оправлялось


ФРКЕ.00004-04 34 01

71

адресаты добавятся в первом поле Получатели сообщений окна Оперативный обмен защищенными сообщениями (Рисунок 28).

10.1.8 Уведомление о получении нового сообщения

При поступлении нового (непрочтенного) сообщения от какого-либо пользователя программа уведомит Вас об этом:

• миганием специального значка в области уведомлений на панели задач.

Замечание: Если Вы работаете с окном Оперативный обмен защищенными сообщениями или Новые сообщения (окно находится на переднем плане экрана), то при поступлении нового (непрочтенного) сообщения значок мигать не будет.

Кроме появления значка, можно произвести дополнительные настройки оповещения (подробно о настройках оповещения читайте в разделе 10.1.12).

Значок будет мигать до тех пор, пока Вы не щелкнете на нем мышью или не откроете окно Оперативный обмен защищенными сообщениями (Рисунок 30).

Значок будет присутствовать на панели задач в области уведомлений до тех пор, пока есть новые сообщения в каком-либо сеансе.

В окне Оперативный обмен защищенными сообщениями (Рисунок 30) отображается более подробная информация о полученных сообщениях (при наличии более одного сеанса).

Как прочитать сообщения, читайте ниже.

10.1.9 Прочтение и обработка сообщений

Напомним, что сервис Оперативный обмен защищенными сообщениями обеспечивает визуальное различение новых и непрочтенных сообщений:

Новые сообщения – это сообщения, которые пользователь еще не обработал (не ответил, не принял или не удалил), но мог просмотреть (прочитать) в окне Новые сообщения.

Непрочтенные сообщения – это новые сообщения, которых пользователь еще не видел, т.е. те сообщения, которые не были просмотрены в окне Новые сообщения.

Все пришедшие новые сообщения накапливаются в очереди в порядке поступления для каждого сеанса обмена сообщениями.

Для прочтения и обработки новых сообщений можно воспользоваться одним из следующих способов:

• щелкнуть левой кнопкой мыши на значке в области уведомлений на панели задач.

В этом случае откроется окно Новые сообщения (Рисунок 31) с новыми сообщениями для текущего сеанса. Если в текущем сеансе новых сообщений нет, то откроется окно Оперативный обмен защищенными сообщениями, где Вы можете выбрать нужный Вам сеанс с новыми сообщениями (подробнее читайте ниже). В окне Новые сообщения отображаются все новые и непрочтенные сообщения, принадлежащие одному сеансу. В окне Новые сообщения можно просматривать сообщения, формировать ответы, удалять ненужные сообщения и др. (подробнее читайте в п. 10.1.9.1, стр.73).

Замечание: Окно Новые сообщения не появится, если в окне Настройка\Обмен сообщениями снят флажок Показывать новые сообщения в отдельном окне, подробнее читайте п. 10.1.12.

• открыть окно Оперативный обмен защищенными сообщениями (Рисунок 30), щелкнув по кнопке окна на панели задач.


ФРКЕ.00004-04 34 01

72

Рисунок 30

Если у Вас не было ни одного сеанса, то окно Оперативный обмен защищенными сообщениями будет пустым. Для прочтения поступившего сообщения нажмите кнопку

на панели инструментов окна. Если у Вас уже существуют какие-либо сеансы обмена сообщениями, то в окне

Оперативный обмен защищенными сообщениями для сеансов, в которых есть новые сообщения, в колонке статуса сеанса ( ) панели Сеансы присутствует значок (или ), а если среди новых сообщений есть непрочтенные, то строки таких сеансов выделяются полужирным шрифтом. Также для таких сеансов в колонке Новых указано число новых сообщений, а в колонке Не прочитано указано число непрочтенных сообщений (Рисунок 30).

Подробное описание панели Сеансы: и различных статусов сеансов читайте в описании окна Оперативный обмен защищенными сообщениями (см. п.10.1.11, стр.78).

Для того чтобы посмотреть новые и непрочтенные сообщения для какого-либо сеанса, нужно выбрать сеанс, а затем выполнить одно из следующих действий:

∗ Щелкнуть на значке в колонке статуса сеанса или дважды щелкнуть на строке выбранного сеанса.

∗ Воспользоваться контекстным меню Прочитать сообщения (Рисунок 39), открывающимся по щелчку правой кнопки мыши.

∗ Нажать кнопку на панели инструментов.

∗ В главном меню выбрать пункт Сеанс/Прочитать сообщения.

∗ Нажать горячую клавишу F4.

Откроется окно Новые сообщения (см. п. 10.1.9.1, стр.73), где отобразятся все новые сообщения для выбранного сеанса. Данное окно не появится, если в окне


ФРКЕ.00004-04 34 01

73

Настройка\Обмен сообщениями снят флажок Показывать новые сообщения в отдельном окне, (подробнее см. п. 10.1.12).

Если открыто окно Новые сообщения для какого-либо сеанса, то, переключаясь между сеансами в окне Оперативный обмен защищенными сообщениями, окно Новые сообщения сразу отображает данные о новых сообщениях выбранного сеанса.

О том, как работать с окном Новые сообщения читайте далее (п. 10.1.9.1, стр.73).

10.1.9.1 Новые и непрочтенные сообщения (Окно Новые сообщения)

В окне Новые сообщения (Рисунок 31) отображаются все новые сообщения, принадлежащие одному сеансу. Это окно доступно только в том случае, если в окне Настройка\Обмен сообщениями установлен флажок Показывать новые сообщения в отдельном окне, см. п. 10.1.12.

Окно Новые сообщения открывается, если щелкнуть левой кнопкой мыши на значке новых сообщений в окне Оперативный обмен защищенными сообщениями, а также другими способами (подробно о других способах открытия окна новых сообщений читайте в п. 10.1.9, стр. 71).

Рисунок 31

Вверху окна Новые сообщения рядом с заголовком указывается номер выбранного сеанса. На строке состояния окна отображаются данные о номере сеанса, его участниках и

количестве новых сообщений данного сеанса. Сообщения в окне располагаются в порядке их поступления. Первым в списке Поступили

сообщения от: находится самое раннее сообщение; сообщение, поступившее последним, находится в конце списка. Для каждого сообщения отображается имя отправителя, время и дата прихода сообщения.

При выборе в списке строки сообщения, ниже в этом окне в поле Сообщение: отображается текст выбранного сообщения.

Строки непрочтенных сообщений в списке Поступили сообщения от: выделяются полужирным шрифтом. Сообщение считается прочитанным (т.е. на него высылается квитанция о прочтении ("Ч")), если оно просматривалось Вами не менее 3 секунд. После этого строка сообщения отображается обычным шрифтом.

В окне Новые сообщения Вы можете произвести обработку сообщений, а именно прочитать и сохранить сообщение в протоколе сеанса (при помощи кнопки Принять), прочитать и сохранить в протоколе сеанса одновременно все сообщения (при помощи кнопки Принять все), сразу написать ответ на пришедшее сообщение (при помощи кнопки Ответить или Ответить с цитатой) или удалить сообщение (при помощи кнопки Удалить). Подробное описание кнопок и действий, происходящих при нажатии на эти кнопки, находится ниже в таблице (Таблица 1):

Замечание: Если Вам требуется постоянно наблюдать, что происходит в окне Новые сообщения для текущего сеанса, то установите флажок Показывать это окно поверх всех окон, расположенный в нижней части окна новых сообщений (Рисунок 31).


ФРКЕ.00004-04 34 01

74

По умолчанию флажок Показывать это окно поверх всех окон снят. После установки флажка, окно новых сообщений будет всегда располагаться поверх всех окон (на переднем плане экрана), даже если Вы с ним не работаете (в этом случае в неактивном состоянии). В окне будут отображаться все вновь приходящие в данный сеанс сообщения.

Сообщение, отображенное в окне Новые сообщения, считается новым (необработанным) до тех пор, пока для этого сообщения не нажата одна из кнопок: Ответить, Ответить с цитатой, Принять, Принять все или Удалить. После нажатия любой из этих кнопок выбранное сообщение удаляется из списка новых сообщений в окне Новые сообщения. Если новых сообщений в данном сеансе больше нет, то окно Новые сообщения для данного сеанса закрывается (если не установлен флажок Показывать это окно поверх всех окон).

Некоторые из действий можно произвести с помощью клавиш клавиатуры, указанных в таблице, рядом с названием кнопок (в скобках).

Таблица 1. Описание кнопок и действий, происходящих при нажатии на эти кнопки

Название кнопки Действие

Ответить (Enter) Кнопка служит для быстрого ответа на определенное сообщение. Кнопка Ответить активна только в том случае, если сеанс незавершен. • Открывается окно Оперативный обмен защищенными сообщениями для данного сеанса, при этом фокус переводится в панель Сообщение, где Вы можете написать ответ. Выбранное сообщение добавляется в протокол данного сеанса. • Посылается специальная квитанция о прочтении ("П"), означающая, что получатель собирается ответить на сообщение. Эти же действия произойдут, если два раза щелкнуть левой кнопкой мыши по строке сообщения.

Ответить с цитатой При использовании этой кнопки Вы сможете отправить свой ответ вместе с текстом сообщения, на которое Вы отвечаете. Кнопка Ответить с цитатой активна только в том случае, если сеанс незавершен. Выполняются те же действия, что и для кнопки Ответить, и кроме того, в панель Сообщение окна Оперативный обмен защищенными сообщениями добавляется текст сообщения, на которое Вы отвечаете (цитата). При этом начало абзацев цитаты отмечаются символами “>”. Перед отправкой сообщения цитату можно отредактировать.

Принять • Посылается квитанция о прочтении ("Ч"), если сообщение непрочтенное. • Выбранное сообщение добавляется в протокол соответствующего сеанса в окне Оперативный обмен защищенными сообщениями.

Принять все Выполняются те же действия, как и по кнопке Принять, но сразу для всех новых сообщений данного сеанса.

Удалить (Del) Кнопка Удалить служит для удаления сообщений. • Посылается квитанция о прочтении ("Ч"), если сообщение непрочтенное, но в протокол сеанса сообщение не добавляется. Замечание. Если пришло первое и единственное сообщение от инициатора сеанса, то при нажатии кнопки Удалить на этом сообщении, данный сеанс не добавится в список сеансов в окне Оперативный обмен защищенными сообщениями. Если все сообщения в сеансе удалены и инициатор закрыл сеанс, то при удалении последнего сообщения сеанс будет закрыт.

Закрыть (Esc) Кнопка Закрыть доступна всегда и никак не влияет на состояние сообщений. Кнопка Закрыть предназначена для закрытия окна (равносильно нажатию на X в верхнем правом углу окна).


ФРКЕ.00004-04 34 01

75

10.1.10 Закрытие сеанса

При закрытии сеанса, строка с выбранным сеансом в окне Оперативный обмен защищенными сообщениями исчезнет из списка сеансов в панели Сеансы. Для закрытия сеанса можно использовать пункт меню Сеанс -> Закрыть, или пункт контекстного меню Закрыть, или

клавишу F8, или кнопку Закрыть ( ) на панели инструментов окна Оперативный обмен защищенными сообщениями.

Команда Закрыть всегда доступна. Различаются действия программы при использовании этой команды инициатором сеанса (см. п.10.1.10.1, стр.79) и участниками (не инициаторами) (см. п.10.1.10.2, стр.81).

Перед тем, как сеанс будет закрыт, если в окне Настройка\Обмен сообщениями (см. п. 10.1.12 ) установлен флажок Предлагать сохранять протокол сеанса (по умолчанию флажок установлен), появится сообщение с вопросом, нужно ли сохранить протокол сеанса (Рисунок 32).

Рисунок 32

• При ответе Да: протокол данного сеанса можно сохранить в файле. Вы можете изменить путь и имя файла, предложенные программой.

Для сохранения сеанса нажмите кнопку Сохранить (Save). При выборе Отмена (Cancel) протокол сохранен не будет. • При ответе Нет (Рисунок 32) протокол сохранен не будет.

• Если Вы нажмете кнопку Отмена (Рисунок 32), то действие по закрытию сеанса и сохранению протокола будет отменено, откроется окно Оперативный обмен защищенными сообщениями с фокусом на сеансе, который Вы хотели закрыть.

10.1.10.1 Закрытие сеанса инициатором сеанса

Если инициатор сеанса закрывает какой-либо сеанс, то у него в окне Оперативный обмен защищенными сообщениями строка этого сеанса исчезнет из списка сеансов в панели Сеансы. Всем участникам этого сеанса, для которых в панели Получатели сообщений установлены флажки, посылается специальное сообщение – Завершение сеанса работы (если тип сеанса Обмен сообщениями) или Конференция завершена (если тип сеанса Конференция). Это сообщение появится у участников сеанса в окне Оперативный обмен защищенными сообщениями в панели Протокол сеанса (Рисунок 33).

Также у участников сеанса в панели Получатели сообщений снимутся флажки участия, а в панели Сеансы в колонке состояния сеанса ( ) появится значок (Рисунок 33).

Если инициатор сеанса закрывает сеанс, и при этом у участников данного сеанса есть новые сообщения, то в окне у этих участников статус сеанса будет обозначен значком .


ФРКЕ.00004-04 34 01

76

Рисунок 33

10.1.10.2 Закрытие сеанса не инициатором сеанса

Если участник сеанса, не являющийся инициатором сеанса, закрывает какой-либо сеанс, то у него в окне Оперативный обмен защищенными сообщениями строка этого сеанса исчезнет из списка сеансов в панели Сеансы. Но при этом все остальные участники сеанса (в том числе и инициатор) не узнают о том, что участник закрыл сеанс, т.к. сообщения о завершении сеанса не рассылается, соответственно флажки участия не отключаются и значок закрытия сеанса не появится.

Участники сеанса вновь могут послать сообщение участнику, закрывшему свое окно, и у этого участника откроется новый сеанс.

Замечание: Если участник сеанса закрыл сеанс типа Конференция (при условии, что ранее этот сеанс не был закрыт инициатором), то при приходе нового сообщения в такой сеанс от какого-либо участника сеанса, он восстановится в окне Оперативный обмен защищенными сообщениями в прежнем виде (т.е. восстановится номер, участники и протокол сеанса).

10.1.10.3 Закрытие окна Оперативный обмен защищенными сообщениями

Если Вы решили закрыть окно Оперативный обмен защищенными сообщениями, т.е. завершить использование сервиса обмена сообщениями, то нужно нажать на X (закрыть) в правом верхнем углу окна или воспользоваться пунктом главного меню Сеанс -> Выход. Вместе с окном закроются все открытые сеансы обмена сообщениями и все окна, относящиеся к сервису обмена сообщениями. При этом произойдут соответствующие действия в зависимости от того, кто закрыл окно – инициатор сеанса (см. п.10.1.10.1, стр.79) или участник (не инициатор) (см. п.10.1.10.2, стр.81).

Перед тем, как окно Оперативный обмен защищенными сообщениями будет закрыто, если в окне Настройка\Обмен сообщениями (см. п. 10.1.12 ) установлен флажок Предлагать сохранять протокол сеанса (по умолчанию флажок установлен), появится сообщение с вопросом, нужно ли сохранить протокол сеанса (Рисунок 34).


ФРКЕ.00004-04 34 01

77

Рисунок 34

При ответе Да или Нет это сообщение будет появляться для каждого сеанса. Действия программы при нажатии на кнопки Да, Нет, Отмена описаны в п.10.1.10, стр.75.

При ответе Нет для всех окно Оперативный обмен защищенными сообщениями и все открытые сеансы сразу закроются, протоколы сеансов не сохранятся.

10.1.11 Интерфейс окна Оперативный обмен защищенными сообщениями

В этом окне отображается процесс обмена сообщениями между пользователями. Процесс обмена сообщениями может происходить в нескольких сеансах, в этом случае в окне отображается список сеансов (Четвертая панель – Сеансы ), которые можно выбирать для работы.

Первоначально (если запущен только один сеанс) окно Оперативный обмен защищенными сообщениями делится на три горизонтальные панели (Рисунок 35):

Рисунок 35

• Первая панель – Получатели сообщений. В этой панели перечислены адресаты, с которыми организован сеанс обмена сообщениями, и после отправки сообщений появляются квитанции об отправке ("О"), доставке ("Д") и прочтении ("Ч" или "П") (подробнее о квитанциях см. п. 10.1.6, стр.70). Отправляемые сообщения нумеруются (1, 2, 3, ...) в порядке их отправки. Колонки с номерами сообщений располагаются в обратном порядке (т.е. на первом месте появляется квитанция на самое последнее сообщение). Сообщения отправляются только тем пользователям у кого стоят флажки (т.е. пользователи включены). Для участника конференции (не инициатора) первым в этой панели будет отображаться инициатор конференции.

• Вторая панель – Протокол сеанса. В этой панели ведется протокол сеанса. При открытии сеанса появляется запись Начало сеанса конференции или Начало сеанса


ФРКЕ.00004-04 34 01

78

обмена сообщениями и отображается дата и время начала сеанса. Все остальные сообщения сеанса появляются ниже этой записи, для них указывается следующая информация:

∗ имя пользователя, кто написал сообщение,

∗ номер сообщения,

∗ входящее сообщение или исходящее,

∗ время отправки или получения сообщения.

• Третья панель – Сообщение. В этой панели вводится непосредственно текст сообщений для отправки. Для отправки набранного сообщения необходимо щелкнуть на кнопке Отправить на панели инструментов окна или нажать F5 на клавиатуре.

После запуска последующих сеансов (если Вы не закрыли окно Оперативный обмен защищенными сообщениями) в окне Оперативный обмен защищенными сообщениями появится четвертая панель:

• Четвертая панель – Сеансы (Рисунок 36).

Рисунок 36

В этой панели отображается список всех открытых (т.е. не закрытых Вами) в данный момент сеансов сообщений. Для каждой строки сеанса выводится следующая информация:

Название колонки

Описание

(статус сеанса) Отображение состояния выбранного сеанса. Возможные состояния обозначаются следующими значками: • (пусто) – сообщения обработаны, нет новых сообщений, сеанс не закрыт;

• – есть новые сообщения, и сеанс не закрыт; если щелкнуть мышью на этом значке, то откроется окно Новые сообщения (см. п. 10.1.9.1, стр.73); • – есть новые сообщения, но сеанс закрыт инициатором (только в окне для не инициатора сеанса); • – сообщения обработаны, нет новых сообщений, сеанс завершен


ФРКЕ.00004-04 34 01

79

инициатором (только в окне для не инициатора сеанса). № Номер сеанса. Получатели Имена получателей данного сеанса обмена сообщениями (перечисляются

через точку с запятой). Новых Количество новых сообщений. Если нет новых сообщений, то поле пусто. Не прочитано Количество непрочтенных сообщений. Если нет непрочтенных сообщений, то

поле пусто. Строки с информацией о сеансе выделяются полужирным шрифтом, если среди новых

сообщений есть непрочтенные. По любой из вышеописанных колонок можно отсортировать информацию (по возрастанию или

убыванию, если в данном поле числа; в алфавитном или обратном алфавитном порядке, если в данном поле буквы). Для этого следует навести указатель мыши на название колонки и щелкнуть левой кнопкой (один или два раза).

Переключение между сеансами осуществляется нажатием левой кнопки мыши на нужном сеансе в списке сеансов (Рисунок 36). При этом в первых трех панелях отображаются данные, соответствующие выбранному сеансу. Также, если панель Сеансы является активной, то сеанс можно выбрать, используя кнопки клавиатуры (вверх, вниз, Page Up, Page Down, Home, End).

10.1.11.1 Главное меню и панель инструментов окна Оперативный обмен защищенными сообщениями

В верхней части окна Оперативный обмен защищенными сообщениями расположено главное меню. Доступность некоторых пунктов главного меню определяется многими причинами (положением курсора, наличием новых сообщений, пустым или непустым буфером обмена и др.). Действия некоторых пунктов главного меню продублированы кнопками на панели инструментов (Рисунок 37), расположенной ниже главного меню окна. Соответствие пунктов главного меню и кнопок на панели инструментов приведено ниже в описании каждого пункта меню (если действие пункта меню имеет аналогичную кнопку на панели инструментов, то изображение кнопки помещено перед названием соответствующего пункта меню).

Рисунок 37

Главное меню окна содержит следующие пункты (в скобках справа от названий пунктов меню указаны горячие клавиши):

• Сеанс

Рисунок 38


ФРКЕ.00004-04 34 01

80

∗ Отправить сообщение (F5) – отправить сообщение. Клавиша F5 действует всегда, (Ctrl+Enter или Enter – можно настроить в окне Настройка\Обмен сообщениями, п. 10.1.12).

∗ Прочитать сообщения (F4) – при выполнении данной команды появляется окно с новыми сообщениями (см. п. 10.1.9.1). Данная команда доступна только в случае, если в выбранном сеансе есть новые сообщения.

∗ Добавить получателей (F3) – добавить пользователя защищенной сети для отправки ему сообщений; вызывается окно Выбор сетевого узла (см. п.10.1.7, стр.70 , Рисунок 29).

∗ Новый (Обмен сообщениями или Конференция) – пункт меню предназначен для открытия нового сеанса. После выбора подпункта Обмен сообщениями или Конференция вызывается окно Выбор сетевого узла (Рисунок 29). После выбора сетевых узлов (и нажатия в окне выбора кнопки Выбрать) будет добавлен новый сеанс с очередным номером в поле Сеансы (Рисунок 33).

∗ Открыть протокол – посмотреть какой-либо протокол сеанса из списка сохраненных.

∗ Закрыть (F8) – завершить выбранный сеанс обмена сообщениями; доступен всегда для инициатора и для не инициатора (см. п.10.1.10).

∗ Сохранить как (F2) – сохранить протокол сеанса в файле.

∗ Печать – распечатать протокол выбранного сеанса.

∗ Настройка – настройка различных параметров сервиса обмена сообщениями (см. п. 10.1.12).

∗ Выход – закрыть окно обмена сообщениями и все открытые сеансы.

• Правка

∗ Отменить ввод (Ctrl+Z) – отменить последнее действие;

∗ Повторить ввод (Ctrl+Y) – повторить отмененное последнее действие;

∗ Вырезать (Ctrl+X) – удалить ненужный, предварительно выделенный текст из сообщения и поместить в буфер;

∗ Копировать (Ctrl+C) – скопировать в буфер, предварительно выделенный текст;


ФРКЕ.00004-04 34 01

81

∗ Вставить (Ctrl+V) – вставить в текст сообщения из буфера;

∗ Удалить (Del) – удалить символ или фрагмент сообщения;

∗ Очистить все (Ctrl+D) – удалить весь текст сообщения;

∗ Выделить все (Ctrl+A) – выделить весь текст сообщения.

• Вид – содержит следующие пункты меню:

∗ Строка поиска – после установки флажка на панели инструментов будет присутствовать

поле для поиска получателя в списке получателей сеанса (в начале поля находится значок , Рисунок 36).

Назначение остальных пунктов меню аналогично пунктам меню главного окна программы Монитор (см. описание меню Вид главного окна, п.7.3 , стр.25).

• Справка (F1) – вызов справки окна обмена сообщениями на вкладке Содержание.

10.1.11.2 Контекстное меню на строке с выбранным сеансом

Если в окне Оперативный обмен защищенными сообщениями выбрать сеанс в панели Сеансы (Рисунок 36) и щелкнуть правой кнопкой мыши, то откроется контекстное меню (Рисунок 39):


ФРКЕ.00004-04 34 01

82

Рисунок 39

В этом меню можно произвести как действия, относящиеся к выбранному сеансу (прочитать новые сообщения, если они есть, добавить новых получателей в данный сеанс, сохранить протокол данного сеанса, распечатать его, а также закрыть сеанс, если это возможно), так и действия, не относящиеся к данному сеансу (запуск новых сеансов).

Все действия контекстного меню дублируют действия, вызываемые одноименными пунктами главного меню Сеанс (см. п. 10.1.11.1).

10.1.11.3 Контекстное меню панели Получатели сообщений

Перед началом общения с каким-либо пользователем ViPNet можно проверить, доступен ли этот пользователь или нет. Для этого можно воспользоваться контекстным меню панели Получатели сообщений.

Рисунок 40. Контекстное меню панели Получатели сообщений

10.1.11.4 Поле для поиска получателей

Поле для поиска получателя в списке получателей конкретного сеанса – в начале поля находится значок (Рисунок 36). Для выбранного сеанса можно найти нужного получателя в списке получателей сообщений, если в это поле ввести несколько подряд идущих символов (не обязательно первых) из имени нужного получателя. Далее эти символы можно сохранить в списке "история" для последующих поисков, если нажать клавишу Enter.

10.1.11.5 Строка состояния

На строке состояния (нижней рамке окна Оперативный обмен защищенными сообщениями) выводится следующая информация (Рисунок 36):


ФРКЕ.00004-04 34 01

83

• Всего новых сообщений – выводится количество новых сообщений.

• Текущий сеанс – номер выбранного сеанса (сеансы нумеруются с момента запуска Монитора по порядку, начиная с первого).

• Участники текущего сеанса.

• Тип обмена сообщениями: обмен сообщениями или конференция. По этой информации Вы всегда можете видеть, в каком режиме обмена сообщениями участвуете.

10.1.12 Настройка сервиса обмена сообщениями

Произвести различные настройки сервиса обмена сообщениями Вы можете в окне Настройка\Обмен сообщениями (Рисунок 41). Для вызова окна Настройка воспользуйтесь меню Сервис -> Настройки в главном окне монитора или Сеанс -> Настройка в окне Оперативный обмен защищенными сообщениями. В окне Настройка выберите раздел Обмен сообщениями.

Рисунок 41

Вы можете настроить следующие параметры:

Название параметра Описание

Предупреждать организатора конференции об отсутствии связи между ее участниками

По умолчанию флажок установлен. Организатор конференции в случае отсутствия связи между какими-либо из участников конференции будет получать предупреждение о том, что участник конференции не увидит сообщений участников, связь с которыми не установлена администратором сети ViPNet (в ЦУС или Manager).

Предлагать сохранять протокол сеанса

По умолчанию флажок установлен. Перед закрытием сеанса (при выходе из окна Оперативный обмен защищенными сообщениями по нажатию на X (или выборе пункта меню Выход) или при завершении сеанса (по команде Закрыть)) будет выдаваться предложение о сохранении протокола передачи сообщений или конференции. Если флажок снят, то предложения о сохранении протокола выдаваться не будет, и протокол сеанса не сохранится.

Уведомлять о приходе сообщения По умолчанию флажок снят. Если установить флажок, то


ФРКЕ.00004-04 34 01

84


полупрозрачным окном при приходе нового сообщения в правом нижнем углу рабочего стола над панелью задач будет выводиться всплывающее полупрозрачное окно (Рисунок 42), назовем его окном оповещения.

Рисунок 42

В окне оповещения выводится: • номер сеанса; • в виде гиперссылки – имя узла, от которого поступило сообщение; • начало текста сообщения, если сообщение длинное, или весь текст, если сообщение короткое. Через несколько секунд после появления окно оповещения исчезнет с экрана (если на него не навести указатель мыши), в этом случае останется значок в области уведомлений на панели задач, и для прочтения пришедшего сообщения нужно выполнить действия, указанные в п.10.1.9, стр.71. Если на окно оповещения навести указатель мыши, то окно становится непрозрачным, до тех пор, пока указатель мыши с него не убран. Если щелкнуть левой кнопкой мыши по гиперссылке в области окна оповещения, то откроется окно Новые сообщения (если в окне настроек установлен флажок Показывать новые сообщения в отдельном окне) для пришедшего сообщения.

Уведомлять о приходе сообщения миганием кнопки на панели задач

По умолчанию флажок снят. Если установить флажок, то при приходе нового сообщения начнет мигать кнопка окна Оперативный обмен защищенными сообщениями на панели задач (если окно находилось не на переднем плане экрана). Если было открыто окно Новые сообщения, то кнопка этого окна также начнет мигать при приходе нового сообщения в текущий сеанс (если окно находилось не на переднем плане экрана). Для просмотра сообщений Вы можете щелкнуть левой кнопкой мыши по мигающим кнопкам (действия программы точно такие же, как и для значка (см. п.10.1.9, стр.71)).

Уведомлять о приходе сообщения окном поверх всех окон

По умолчанию флажок установлен. При приходе новых сообщений поверх всех окон появляется окно (Рисунок 43) с уведомлением о получении новых сообщений, если это окно уже не присутствует на Вашем экране.

Рисунок 43


ФРКЕ.00004-04 34 01

85


Для того чтобы посмотреть сообщения нажмите кнопку Посмотреть сообщения или клавишу Enter. Действие программы в этом случае точно такое же, как и при щелчке левой кнопкой мыши по значку в области уведомлений на панели задач (см. п.10.1.9, стр.71). Для того чтобы просто закрыть окно нажмите кнопку Закрыть или клавишу Esc. Если Вы хотите, чтобы окно с уведомлением поверх всех окон больше не появлялось при приходе сообщений, то в окне уведомления перед нажатием какой-либо кнопки установите флажок Не показывать больше это окно.

Показывать новые сообщения в отдельном окне

По умолчанию флажок установлен. При просмотре новых поступивших сообщений появляется окно Новые сообщения (см. п. 10.1.9.1, стр.73). Если снять флажок, то окно новых сообщений появляться не будет. В этом случае при прочтении новых сообщений (п. 10.1.9, стр. 71) выполняются следующие правила:

• Если щелкнуть левой кнопкой мыши на значке в области уведомлений на панели задач, то:

• Если новые сообщения есть в текущем сеансе, все эти сообщения сразу попадут в протокол этого сеанса, и будут считаться прочитанными (т.е. отправится квитанция "Ч"). При этом откроется окно Оперативный обмен защищенными сообщениями, где в панели Протокол сеанса будет видно начало первого из только что принятых сообщений сеанса.

• Если новые сообщения поступили не в текущем сеансе, откроется окно Оперативный обмен защищенными сообщениями, новые сообщения автоматически не будут прочитаны и соответственно не попадут в протокол сеанса, и текущий сеанс не изменится. В этом случае для прочтения сообщений нужно выбрать сеанс и выполнить команду Прочитать сообщения (все способы прочтения сообщений описаны в п. 10.1.9, способ чтения "открыть окно Оперативный обмен защищенными сообщениями", стр. 71).

• В окне Оперативный обмен защищенными сообщениями при выполнении команды Прочитать сообщения сразу все новые сообщения выбранного сеанса попадают в протокол данного сеанса и считаются прочитанными (т.е. отправится квитанция "Ч"). • Квитанция "П" никогда отправляться не будет.

Назначить горячие клавиши Настройка горячих клавиш для отправки сообщений и перевода строки при написании текста. Выберите комбинацию горячих клавиш из двух вариантов: • Ctrl+Enter – для отправки сообщений, Enter – для перевода строки (значение по умолчанию); • Enter – для отправки сообщений, Ctrl+Enter – для перевода строки.

Для сохранения настроек используйте кнопку Применить (без закрытия окна настроек) или OK (с закрытием она настроек), для отмены – Отмена.


ФРКЕ.00004-04 34 01

86

10.2 Отправка и получение файлов (Файловый обмен) ViPNet [Monitor] предоставляет возможность отправлять и получать файлы пользователям (от

пользователей) защищенной сети. Вы можете получать файлы и отправлять файлы только тем пользователям защищенной сети, с которыми у вас есть связь (в секции Защищенная сеть).

10.2.1 Описание интерфейса. Главное окно

Рисунок 44. Описание интерфейса программы Файловый обмен

Цифрами на рисунке обозначены: 1. Главное меню программы. 2. Панель инструментов. Вы можете удалять или добавлять кнопки на панель инструментов.

Для этого в меню Вид выберите Настроить панель. 3. Фильтр просмотра файлов. В окне программы Файловый обмен можно выбрать следующие

режимы отображения файлов: • Все файлы • Полученные файлы • Отправленные файлы


ФРКЕ.00004-04 34 01

87

4. Группа Полученные файлы, отображающие все файлы, которые были получены пользователем данного сетевого узла от пользователей других сетевых узлов.

5. Столбец Состояние. Показывает текущий статус отправленных и полученных файлов (Принят, Доставлен, Отправляется).

6. Строка состояния. Показывает общее количество полученных и отправленных файлов. 7. Группа Отправленные файлы, отображающее все файлы, которые были отправлены

пользователем данного сетевого узла пользователям других сетевых узлов. 8. Контекстное меню, вызываемое в окне Файловый обмен щелчком правой кнопкой мыши по

любому файлу. 9. Ссылка, с помощью которой любой файл может быть открыт в Проводнике Windows. 10. Окно Свойства, позволяющее просмотреть свойства выбранного в окне Файловый обмен

файла. Чтобы открыть данное окно, выберите файл, в контекстном меню (7) щелкните Свойства или в меню Файл выберите Свойства.

10.2.2 Описание интерфейса. Значки в области уведомлений.

Рисунки ниже демонстрируют расположение значка программы Файловый обмен в области уведомлений для разных операционных систем Windows. Данный значок появляется в случае, если вам были присланы файлы.

Windows 7 Windows Vista/XP

Рисунок 45. Значки программы Файловый обмен в области уведомлений.

10.2.3 Отправка файлов

Отправить файл пользователю сетевого узла можно следующими способами: • с помощью секции Защищенная сеть; • с помощью файлового менеджера или проводника Windows; • с помощью окна программы Файловый обмен; • с помощью программы Деловая почта, прикрепив отправляемый файл как вложение к

письму. Подробнее об этом см. Отправка файлов с помощью программы Деловая почта.

Внимание: Для отправки файлов необходимо наличие свободного места на жестком диске (на котором установлена программа ViPNet [Monitor]) минимум в два раза больше размера передаваемых файлов. По файловому обмену нельзя отправить папку, имя которой содержит восклицательный знак (!) или если в папке содержится файл, длина имени которого, вместе с расширением превышает 31 символ. Для отправки такой папки надо переименовать папку (файл) или упаковать папку в архив.

10.2.3.1 Отправка файлов с помощью секции Защищенная сеть

1. В ViPNet [Monitor], в левой панели, выберите элемент Защищенная сеть.


ФРКЕ.00004-04 34 01

88

2. В правой панели в cписке Защищенная сеть щелкните правой кнопкой мыши сетевой узел, пользователю которого вы хотите отправить файл.

3. В появившемся контекстном меню выберите Отправить файл.

Рисунок 46. Отправка файла с помощью секции Защищенная сеть

4. В появившемся стандартном окне Открыть укажите файл(ы) или папки, которые вы хотите

отправить.

Рисунок 47. Выбор файлов или папок для отправки

5. Нажмите кнопку Открыть. 6. Выбранные файлы будут подготовлены к отправке и отправлены получателям. 7. В окне Файловый обмен вы можете посмотреть информацию об отправленных вами

файлов, их статус (см. Рисунок 44). Когда отправленные вами файлы будут доставлены получателям, вы получите уведомление о доставке.


ФРКЕ.00004-04 34 01

89

Рисунок 48. Получение уведомления, что файл доставлен

Чтобы отключить уведомления, установите флажок в поле Не показывать это сообщение в дальнейшем.

Чтобы потом включить уведомления о доставке в меню Файл выберите Настройка, в левой панели щелкните Файловый обмен, в правой панели установите флажок О доставке файла адресату (подробнее см. Настройка параметров файлового обмена).

Внимание! При включенных уведомлениях о доставке вы получите уведомления для каждого отправленного файла для каждого получателя. В случае, если вы отправили несколько десятков файлов нескольким получателям, будет показано достаточно много уведомлений, которые могут загромоздить ваш рабочий стол. Чтобы закрыть окна, нажмите клавишу ВВОД и удерживайте ее до тех пор, пока не закроются все окна. Для решения этой проблемы мы рекомендуем либо отключить уведомление о доставке, либо передавать по одному- двум файлам (если требуется передать много файлов - использовать архив).

10.2.3.2 Отправка файлов с помощью файлового менеджера или проводника Windows

1. В файловом менеджере или Проводнике Windows (на рабочем столе, в любой папке) выберите файлы или папки, которые вы хотите отправить.

2. Щелкните правой кнопкой мыши по одному из выбранных файлов и в появившемся контекстном меню выберите Отправить файл адресату ViPNet.

Рисунок 49. Отправка файлов с помощью Проводника Windows

3. В окне Файловый обмен: Выбор сетевого узла в списке Защищенная сеть выберите те сетевые узлы, пользователям которых вы хотите отправить файл (ы) или папки.


ФРКЕ.00004-04 34 01

90

Рисунок 50. Выбор получателей отправляемых файлов

Нажмите на кнопку Выбрать. 4. Выбранные файлы будут подготовлены к отправке и отправлены получателям. 5. В окне Файловый обмен вы можете посмотреть информацию об отправленных вами

файлов, их статус (см. Рисунок 44). Когда отправленные вами файлы будут доставлены получателям, вы получите уведомление о доставке (см.Рисунок 48). Чтобы отключить уведомления, установите флажок в поле Не показывать это сообщение в дальнейшем.

Чтобы потом включить уведомления о доставке в меню Файл выберите Настройка, в левой панели щелкните Файловый обмен, в правой панели установите флажок в поле О доставке файла адресату (подробнее см. Настройка параметров файлового обмена).


10.2.3.3 Отправка файлов с помощью окна программы Файловый обмен

1. В программе ViPNet [Monitor], в строке состояния, нажмите кнопку Запустить файловый обмен (см. Рисунок 6).

2. В окне Файловый обмен на панели инструментов нажмите кнопку Отправить… (см. Рисунок 44).

3. В появившемся стандартном окне Открыть укажите файл(ы) или папки, которые вы хотите отправить (см. Рисунок 47).

4. В окне Файловый обмен: Выбор сетевого узла в списке Защищенная сеть выберите те сетевые узлы, пользователям которых вы хотите отправить файл (ы) или папки (см. Рисунок 50). Нажмите на кнопку Выбрать.

5. Выбранные файлы будут подготовлены к отправке и отправлены получателям.

Когда отправленные вами файлы будут доставлены получателям, вы получите уведомление о доставке (см.Рисунок 48). Чтобы отключить уведомления, установите флажок в поле Не показывать это сообщение в дальнейшем.


ФРКЕ.00004-04 34 01

91

Чтобы потом включить уведомления о доставке в меню Файл выберите Настройка, в левой панели щелкните Файловый обмен, в правой панели установите флажок в поле О доставке файла адресату (подробнее см. Настройка параметров файлового обмена).


10.2.3.4 Отправка файлов с помощью программы Деловая почта

Чтобы отправить файлы как вложение к письму программы Деловая почта: 1. В файловом менеджере или Проводнике Windows (на рабочем столе, в любой папке)

выберите файлы или папки, которые вы хотите отправить. 2. Щелкните правой кнопкой мыши по одному из выбранных файлов и в появившемся

контекстном меню выберите Отправить письмо адресату ViPNet.

Рисунок 51. Отправка файлов как вложений к письму Деловой почты

3. Файлы будут добавлены как вложения к новому письму в Деловой почте. 4. Выберите получателей письма и отправьте им файлы. Совет! Подробнее о работе с Деловой почтой см. ViPNet [Client] Деловая почта. Руководство пользователя, входящее в комплект поставки документации ViPNet [Client] Monitor.

10.2.4 Получение файлов

Если вам был прислан файл или папка с файлами: 1. Сначала вы получите уведомление об этом в виде окна сообщения и нотификации в области

уведомлений.

Если уведомления отключены, единственным способом узнать о том, что вам был прислан файл, останется появление значка программы Файловый обмен в области уведомлений. Совет. О том, как включить/выключить уведомления о том, что вам был отправлен файл, см. Настройка параметров файлового обмена


ФРКЕ.00004-04 34 01

92

2. Щелкните значок приложения Файловый обмен в области уведомлений. В окне Файловый обмен в группе Полученные файлы вы увидите полученный вами файл.

3. Чтобы открыть файл в Проводнике Windows, либо: • в окне Файловый обмен в группе Полученные файлы щелкните по файлу. • в окне Файловый обмен на панели инструментов нажмите кнопку Полученные.

Разница между этими двумя методами состоит в том, что в первом случае в Проводнике автоматически будет выделен файл, который вы щелкнули в окне Файловый обмен.

Вы также можете сразу открыть папку на вашем компьютере, куда попадают все файлы,

принятые вами от других пользователей ViPNet. Для этого: 1. В программе ViPNet [Monitor], на панели инструментов нажмите кнопку Полученные. 2. В папке \TaskDir\Receive вы увидите подпапки, имеющие имена тех сетевых узлов, чьи

пользователи когда-либо отправляли вам файлы. Чтобы начать работать с полученными файлами, перейдите в нужную папку.

Если вы хотите посмотреть файлы, полученные от какого-либо конкретного пользователя сети

ViPNet: 1. В ViPNet [Monitor], в левой панели, выберите элемент Защищенная сеть. 2. В правой панели в cписке Защищенная сеть щелкните правой кнопкой мыши сетевой узел,

пользователь которого прислал вам файлы. 3. В появившемся контекстном меню выберите Полученные файлы. Вы также можете

щелкнуть кнопку Полученные на панели инструментов главное окна ViPNet [Monitor]. 4. В проводнике Windows будет открыта папка, содержащая все файлы присланные

пользователем выбранного сетевого узла. Если вы не получали от данного пользователя файлы, будет открыта папка \TaskDir\Receive. Чтобы начать работать с полученными файлами, перейдите в нужную папку.

10.2.5 Настройка параметров файлового обмена

Настройка параметров файлового обмена осуществляется с помощью окна Настройка. Данное окно можно открыть двумя способами:

• В окне Файловый обмен в меню Файл выберите Настройка. • В программе ViPNet [Monitor], в меню Сервис, выберите Настройки.

Чтобы настроить параметры файлового обмена:

1. Запустите окно Настройка одним из вышеперечисленных способов. 2. В окне Настройка, в левой панели, выберите Файловый обмен. 3. В правой панели установите флажок Выдавать сообщение о приходе файла, если

вы ходите получать уведомление каждый раз, когда вы получаете файл (ы) с помощью Файлового обмена. Если данный флажок снят, Вы сможете узнать о новых файлах

только по появлению значка Файловый обмен в области уведомлений (см Описание интерфейса. Значки в области уведомлений.).

4. В правой панели установите флажок Уведомлять о доставке отправленных файлов, если вы хотите точно знать, был ли отправленный вами файл доставлен получателю или нет.

10.3 Проверка соединения с сетевым узлом и информирование о статусе его пользователя Программа ViPNet Monitor предоставляет возможность пользователю по своей инициативе

узнавать о текущем статусе других пользователей из секции Защищенная сеть – доступны они


ФРКЕ.00004-04 34 01

93

или нет, активны или нет и т.д. Для работы этой функции необходимо, чтобы узел, статус которого нужно узнать, имел версию ПО ViPNet не ниже 2.8.9.

Вся информация о результатах проверки соединения выдается в отдельном окне Проверка соединения.

10.3.1 Описание интерфейса окна Проверка соединения

Рисунок 52. Окно Проверка соединения - описание интерфейса

Цифрами на рисунке обозначены: 1. Главное меню. 2. Панель инструментов. Вы можете удалять или добавлять кнопки на панель инструментов.

Для этого в меню Вид выберите Настроить панель. 3. Верхняя панель – содержит список узлов, с которыми осуществляется проверка связи. 4. Столбцы верхней панели. По умолчанию показывается то количество столбцов, которое вы

видите на рисунке. Вы можете: • Сортировать содержимое столбцов. • Добавлять на панель новые и скрывать ненужные столбцы. • Изменять местоположение добавленных столбцов.

5. Строка поиска. Позволяет отфильтровать содержимое верхней панели (3), в зависимости от введенных символов. По умолчанию строка поиска скрыта. Чтобы показать ее, в меню Вид щелкните Строка поиска.

6. Контекстное меню, вызываемое правым щелчком мыши по выделенному сетевому узлу в верхней панели (3). Те же команды доступны и из меню Действия. Контекстное меню


ФРКЕ.00004-04 34 01

94

дублирует некоторые команды, вызываемые с помощью контекстного меню секции Защищенная сеть.

7. Нижняя панель (Свойства узла). По умолчанию эта панель скрыта. Чтобы показать эту панель, в меню Вид щелкните Свойства узла.

8. Строка состояния. По умолчанию строка состояния скрыта. Чтобы показать строку состояния, в меню Вид выберите Строка состояния.

9. Время последней проверки соединения с сетевыми узлами на верхней панели. 10. Порядковый номер отображения сетевого узла в верхней панели. 11. Общее количество узлов, отображенных в верхней панели. 12. Окно получения подробной информации о выбранном в верхней панели сетевом узле. Окно

полностью дублирует информацию, показываемую в нижней панели (7). Вы можете использовать это окно, например, в случае, когда нижняя панель скрыта.

10.3.2 Проверка соединения с сетевыми узлами

Чтобы проверить соединение с сетевыми узлами: 1. В ViPNet [Monitor], в левой панели, выберите элемент Защищенная сеть. 2. В правой панели выберите те сетевые узлы, соединение с которыми необходимо

проверить. Вы можете выбрать как один узел, так и несколько. Совет! Вы также можете проверить соединение одновременно с группой сетевых

узлов собранных внутри папки, созданной в секции Защищенная сеть. Для этого в секции Защищенная сеть выберите группу сетевых узлов, щелкните правой кнопкой мыши и в появившемся контекстном меню выберите Проверить соединение.

Используя данный метод, очень удобно наблюдать за несколькими сетевыми узлами сразу (например, проверять состояние серверов).

3. Далее либо: 1. На панели инструментов нажмите кнопку Проверить. 2. Щелкните правой кнопкой мыши по одному из выделенных сетевых улов и в

появившемся контекстном меню выберите Проверить соединение. 3. На клавиатуре нажмите клавишу F5.

4. В окне Проверка соединения в верхней панели будет показана информация о том, проверяется ли соединение с выбранными сетевыми узлами (см. Рисунок 52). В нижней панели будут выведены дополнительные данные об узле, включающие:

• имя узла ViPNet; • статус, то есть результат проверки соединения (Доступен – пользователь

доступен (соединение установлено), Недоступен – соединение не установлено, возможно, у пользователя выключен компьютер или программа ViPNet Монитор));

• дату и время последней активности пользователя данного сетевого узла версию (то есть, когда пользователь последний раз работал (пользовался клавиатурой или мышью) за компьютером, на котором развернут данный сетевой узел);

• имя компьютера; • версию ПО ViPNet; • версию операционной системы, установленной на компьютере сетевого узла,

с которым проверяется соединение; • режим безопасности, в котором работает ПО ViPNet, установленное на узле,

с которым проверяется соединение; • различная дополнительная информация.

Подробнее об интерфейсе окна Проверка соединения, см. Описание интерфейса окна Проверка соединения. Вы также можете просмотреть информацию о проверке соединения в отдельном окне (см. Просмотр информации о соединении в отдельном окне).


ФРКЕ.00004-04 34 01

95

5. Далее с помощью контекстного меню вы можете выполнить ряд действий, назначение которых аналогично некоторым действиям, выполняемым из контекстного меню в секции Защищенная сеть. Совет! Вы можете открыть несколько окон Проверка соединения одновременно. Также обратите внимание, что если окно Проверка соединения с выбранным

сетевым узлом не появляется, возможно, оно все-таки было отображено, но оказалось позади других окон программы ViPNet [Monitor].

10.3.3 Просмотр информации о соединении в отдельном окне

Чтобы показать информацию о статусе соединения в отдельном окне: 1. В окне Проверка соединения, в верхней панели выберите сетевой узел. 2. В меню Инструменты, щелкните Статус.

либо нажмите клавишу F3 на клавиатуре.

3. Результаты проверки соединения с выбранным вами сетевым узлом, а также дополнительная информация об этом узле будут показаны в отдельном окне Свойства узла (см. Рисунок 52).

10.3.4 Управление внешним видом верхней панели окна Проверка соединения

Вы можете отображать или скрывать дополнительные столбцы в верхней панели окна Проверка соединения. Для этого:

1. В окне Проверка соединения, в верхней панели, щелкните правой кнопкой мыши по любому из заголовков столбцов.

2. В появившемся контекстном меню выберите Выбор столбцов. 3. В окне Выбор столбцов вы можете:

1. Сменить местоположение отображаемых столбцов с помощью кнопок Вверх, Вниз. Кнопка Вверх сдвигает столбец влево, кнопка Вниз – вправо.

2. Скрыть или показать в окне Проверка соединения те или иные столбцы. Для этого воспользуйтесь кнопками Добавить или Удалить.

3. Восстановить положение и количество отображаемых столбцов так, как было сделано по умолчанию с помощью кнопки По умолчанию.

Рисунок 53. Настройка отображения столбцов в окне Проверка соединения

4. По окончании настройки нажмите кнопку OK для закрытия окна и сохранения изменений или кнопку Отмена для выхода без сохранения изменений.

10.3.5 Просмотр результатов проверки соединения в других программах.

Чтобы просмотреть результаты проверки соединения в интернет браузере и Microsoft Excel:


ФРКЕ.00004-04 34 01

96

1. Запустите проверку соединения с выбранными сетевыми узлами (подробнее см. Проверка соединения с сетевыми узлам).

2. В меню Файл щелкните: • Просмотр в веб-браузере - для просмотра результатов проверки соединения в

вашем интернет-браузере. • Просмотр в Excel - для просмотра результатов проверки соединения в

программе Microsoft Excel. 3. Результаты проверки соединения будут показаны в выбранном вами программном

средстве. Совет! Таким способом вы можете сохранить результаты проверки соединения либо в файл Microsoft Excel, либо в HTML файл. Это полезно, если вы хотите отправить информацию о результатах проверки подключения кому-нибудь другому (например, системному администратору для диагностики).

10.3.6 Информирование о недоступности сетевого узла

Программа ViPNet Monitor предоставляет возможность пользователю получать уведомления, в случае, если какой-либо из сетевых узлов, с которым у данного пользователя есть связь, не доступен.

Чтобы получать уведомления о недоступности сетевых узлов: 1. В меню Сервис, щелкните Настройки. 2. В окне Настройка, перейдите на вкладку Предупреждения. 3. На вкладке Предупреждения убедитесь, что флажок Выдавать сообщение о

недоступности узлов установлен. Подробнее см.Настройка предупреждений.

В случае, если какой-либо из улов недоступен, на ваш экран будет выведено сообщение, предупреждающее вас о недоступности того или иного узла.

Если определена причина недоступности, то сообщение будет содержать информацию о причине недоступности. Сообщение может содержать следующие причины недоступности узла:

• Отсутствует IP-адрес – в окне Правило доступа не задано ни одного адреса узла: IP-адреса или DNS-имени самого узла (на вкладке IP-адреса), адреса доступа через межсетевой экран/NAT-устройство, установленный на границе сети (на вкладке Межсетевой экран).

• Зарегистрированные на DNS-сервере IP-адреса недоступны – в окне Правило доступа задано DNS-имя, но соответствующие IP-адреса, зарегистрированные на DNS-сервере, недоступны.

• IP-адрес DNS-сервера неизвестен – в окне Правило доступа задано DNS-имя, но ОС Windows неизвестен IP-адрес DNS-сервера. Проверьте сетевые настройки.

• Имя данного узла на DNS-сервере не зарегистрировано – в окне Правило доступа задано DNS-имя, но на DNS-сервере оно не зарегистрировано.

• DNS-сервер недоступен – в окне Правило доступа задано DNS-имя, но DNS-сервер недоступен.

10.4 Использование внешних программ для связи с пользователями ViPNet В программе Монитор можно воспользоваться внешними программами Microsoft NetMeeting,

VoxPhone, InternetPhone, Compaq Insight Manager, Microsoft Portrait, обеспечивающими возможность вести телефонные переговоры, передачу аудио- и видео- информации или другое защищенное взаимодействие через Интернет с включенными пользователями из окна Защищенная сеть.


ФРКЕ.00004-04 34 01

97

Рисунок 54

Для запуска необходимой программы выберите пользователя в окне Защищенная сеть и затем выберите пункт с названием программы в главном меню Действия ->Внешние программы (или в аналогичном меню по щелчку правой кнопки мыши) (Рисунок 54).

Пункты меню (Вызвать Microsoft NetMeeting, Вызвать VoxPhone и Вызвать InternetPhone) будут активными, если на Вашем компьютере установлена выбранная программа для проведения телефонных переговоров (и хотя бы один раз запускалась) при условии, что у пользователя из окна Защищенная сеть также установлена эта программа. Если программа не установлена у пользователя, с которым Вы хотите провести телефонные переговоры, то Монитор выдаст соответствующее предупреждение.

Пункт меню Вызвать Microsoft Portrait будет активным (также будет активной

соответствующая кнопка на панели инструментов), если на Вашем компьютере и компьютере пользователя защищенной сети установлена программа MS Portrait. С помощью этой программы Вы можете организовывать видеосвязь с другими компьютерами. Подробнее узнать об особенностях программы MS Portrait, а также загрузить установочный комплект можно на странице http://research.microsoft.com/en-us/projects/portrait/default.aspx.

Пункт меню Вызвать Compaq Insight Manager будет активным, если на Вашем компьютере установлена программа Compaq Insight Manager, осуществляющая менеджмент компьютеров Compaq.

10.5 Удаленное управление компьютерами пользователей сети ViPNet Программа Монитор позволяет получить защищенный доступ на удаленный компьютер

пользователя сети ViPNet (из окна Защищенная сеть), используя внешние программы удаленного доступа к компьютерам Remote Administrator (Radmin), VNC или Remote Desktop Connection.

Для запуска необходимой программы выберите пользователя в окне Защищенная сеть и затем выберите пункт с названием программы (Вызвать Radmin Viewer, Вызвать VNC Viewer или Remote Desktop Connection) в главном меню Действия -> Внешние программы (или в аналогичном меню по щелчку правой кнопки мыши) (Рисунок 54).

Пункты меню будут активными, если на Вашем компьютере установлена выбранная программа, а также пользователь, к компьютеру которого осуществляется доступ, имеет ненулевой IP-адрес доступа. Для получения доступа на выбранный компьютер пользователя на нем должно

http://research.microsoft.com/en-us/projects/portrait/default.aspx�


ФРКЕ.00004-04 34 01

98

быть установлено, запущено и настроено соответствующее серверное программное обеспечение (Radmin Server, VNC Server и т.д.).

При соблюдении вышеописанных условий после выбора необходимого пункта меню появится окно соединения, и если соединение установлено появится окно ввода пароля для доступа к выбранному узлу.

Загрузить установочный комплект Remote Administrator можно со страницы http://www.radmin.com/download/. Пакет Remote Administrator содержит компоненты Сервер и Клиент.

Загрузить установочный комплект VNC можно со страницы http://www.realvnc.com/download.html. Пакет VNC содержит компоненты Сервер и Клиент.

Загрузить установочный комплект Remote Desktop Connection можно с web-сайта Microsoft. В ОС Windows Server 2003 и Windows XP программа Remote Desktop Connection установлена по умолчанию.

10.6 Сервис "Web-ресурс" и "Обзор общих ресурсов сетевого узла" Сервисы доступны для окна Защищенная сеть. Функция Web-ресурс позволяет обратиться к информационным ресурсам компьютера

защищенной сети, построенным на основе web-технологии. Для узлов окна Защищенная сеть обращение происходит в защищенном режиме.

Функция Обзор общих ресурсов сетевого узла позволяет открыть доступные сетевые ресурсы на компьютере защищенной сети. Для узлов окна Защищенная сеть соединение происходит в защищенном режиме.

Рисунок 55

Чтобы воспользоваться одним из данных сервисов выберите узел из окна Защищенная сеть и затем используйте пункт с названием нужного сервиса в главном меню Действия (или в

контекстном меню по щелчку правой кнопки мыши), или нажмите кнопки Веб-ресурс ( ) или Обзор ( ) на панели инструментов (Рисунок 55).

При выборе Веб-ресурс– если на компьютере (обращение происходит по первому видимому адресу узла защищенной сети) в данный момент работает web-сервер, то Ваш Интернет-браузер отобразит главную страницу этого сервера. Пункт меню доступен, только если выбран один узел защищенной сети.

http://www.radmin.com/download/�

http://www.realvnc.com/download.html�


ФРКЕ.00004-04 34 01

99

При выборе Обзор общих ресурсов сетевого узла – если к компьютеру (обращение происходит по первому видимому адресу узла защищенной сети) в данный момент есть доступ, то Ваш Windows-проводник отобразит доступные сетевые ресурсы на этом компьютере. Пункт меню доступен, только если выбран один узел защищенной сети.

10.7 Использование псевдонимов Для любого пользователя защищенной сети при желании можно задать псевдоним вместо

того имени, которое прописано в окне Защищенная сеть. Для этого в программе реализована система псевдонимов, которую можно использовать на любом компьютере. Если планируется задать псевдонимы для всех пользователей защищенной сети, то это лучше сделать на каком-нибудь одном компьютере, а затем разослать всем пользователям Защищенной сети. В принципе, любой пользователь может задать самостоятельно псевдонимы только для своего личного пользования.

Псевдонимы задаются следующим образом: в окне Защищенная сеть выберите пользователя и два раза щелкните на нем левой кнопкой мыши. Откроется окно Правило доступа (Рисунок 22), в котором на вкладке Общие в строке Псевдоним задайте псевдоним для данного пользователя, затем нажмите кнопку OK. Данную операцию требуется проделать для всех пользователей сети из окна Защищенная сеть.

Для того, чтобы псевдонимы отображались в окне Защищенная сеть необходимо установить флажок Отображать псевдонимы ViPNet-пользователей в окне Настройка\Общие (п.15.2).

Для обеспечения одинаковых имен пользователей (которые Вы задали) на компьютерах всех пользователей защищенной сети требуется сделать следующее:

• экспортировать псевдонимы с помощью пункта главного меню Сервис -> Экспорт псевдонимов (п.7.3, стр.25) в файл (с расширением *. spn) и разослать его любым доступным Вам способом всем пользователям защищенной сети,

• пользователи защищенной сети помещают присланный Вами файл с псевдонимами в подпапку SaveData рабочей папки программы Монитор и импортируют его с помощью пункта главного меню Сервис -> Импорт псевдонимов (п.7.3, стр.26). Далее устанавливают флажок Отображать псевдонимы ViPNet-пользователей в окне Настройка\Общие (п.15.2).

Если Вы задаете псевдонимы только для личного использования, то никакие действия по экспорту и передаче файлов с псевдонимами, описанные выше, производить не надо.

10.8 Блокировка компьютера (Кнопка Блокировки) Пользователь программы ViPNet Client [Монитор] может по собственному желанию закрыть

доступ ко всем приложениям на рабочем столе, заблокировать весь IP-трафик или же выполнить эти действия одновременно, используя кнопку Блокировки.

Внимание! При работе текущей версии программы в операционной системе Windows Vista/Windows 7 не поддерживается функция блокировки компьютера. В связи с этим пункты контекстного меню Блокировать компьютер и IP-трафик и Блокировать компьютер по

нажатию кнопки на строке состояния главного окна Монитора (Рисунок 56) и одноименные пункты системного меню программы (см. п. 7.1), будут недоступны.


ФРКЕ.00004-04 34 01

100

Рисунок 56

Для выполнения блокировки нужно нажать на кнопку , находящуюся на строке состояния главного окна программы Монитор (Рисунок 56). По умолчанию программа выполнит тот тип блокировки, который осуществлялся пользователем в последний раз, а если блокировка не выполнялась ни разу, то – блокировку всех приложений компьютера и IP-трафика.

Существует несколько режимов блокировки. Режим можно выбрать в меню, которое появится, если нажать на стрелку Отобразить меню блокировки, находящуюся рядом с этой кнопкой (Рисунок 56). В этом меню полужирным шрифтом отмечено значение по умолчанию, которое будет выполнено при нажатии на кнопку блокировки. При наведении указателя мыши на эту кнопку всплывающая подсказка отобразит режим блокировки, установленный по умолчанию. Меню содержит следующие режимы блокировки:

• Блокировать компьютер и IP-трафик – при выборе этого режима произойдет выгрузка программы, и отобразится окно ввода пароля с информацией – IP-трафик заблокирован. Будет закрыт доступ ко всем приложениям "рабочего стола" на Вашем компьютере, а также блокирован весь входящий и исходящий IP-трафик. Для продолжения работы необходимо ввести пароль и нажать кнопку OK.

• Блокировать компьютер – при выборе этого режима, выгрузки программы не происходит, пользователь не меняется, трафик не блокируется. В результате будет закрыт доступ ко всем приложениям "рабочего стола" на Вашем компьютере. Отобразится окно ввода пароля с именем пользователя и предложением ввести его пароль (и только его, смена пользователя не допускается) для продолжения работы. Этот режим блокировки доступен по нажатию комбинации горячих клавиш Ctrl+Alt+L.

• Блокировать IP-трафик – при выборе этого режима происходит выгрузка программы и блокируется весь входящий и исходящий IP-трафик. Отобразится окно ввода пароля с информацией – IP-трафик заблокирован. Однако, в отличие от значения Блокировать компьютер и IP-трафик, останется открытым доступ ко всем приложениям на Вашем компьютере. Для продолжения работы программы необходимо ввести пароль и нажать кнопку OK.

При выборе любого режима он выделяется полужирным шрифтом и будет выполняться по умолчанию, а также сохраняется для текущей конфигурации.


ФРКЕ.00004-04 34 01

101

Если в окне Администратор задан Интервал автоматического блокирования (п. 15.1.2, стр.156), то через указанное время, в течение которого Вы не будете дотрагиваться до клавиатуры и мыши, произойдет установленное действие блокировки.

В окне Настройка\Общие при установке флажка Отображать кнопку блокировки IP-трафика и компьютера поверх всех окон (п. 15.2, стр.159), при загрузке программы на "рабочем

столе" в правом нижнем углу экрана отобразится большая кнопка Блокировки , при нажатии на которую выполнится действие, определенное для кнопки блокировки, находящейся внизу главного окна программы (Рисунок 56). По умолчанию флажок вывода кнопки на экран снят.

Вы можете также блокировать доступ к рабочему столу компьютера сразу после старта программы, установив флажок Блокировать компьютер в окне Настройка\Запуск и аварийное завершение (п. 15.2.2).

10.9 Работа с конфигурациями программы (окно Конфигурации) Конфигурация – это совокупность всех настроек ViPNet Client [Монитор]. В окне

Конфигурации (Рисунок 57) можно создавать новые конфигурации, сохранять в них текущие настройки программы, а затем использовать эти конфигурации в зависимости от потребностей. Каждый пользователь СУ, войдя на СУ со своим паролем, может сохранять конфигурации своих персональных настроек ViPNet Client [Монитор] и затем использовать их, при этом конфигурации других пользователей СУ ему недоступны. Редактировать конфигурации одновременно всех пользователей СУ можно только в режиме Администратора, т.е. войдя с паролем администратора СУ (п.15.1.1, стр.154). Администратор имеет все полномочия по работе с конфигурациями каждого пользователя АП.

При первом запуске Монитора создается конфигурация по умолчанию с названием Основная конфигурация (Рисунок 57), она является текущей. Переименовать и удалить эту конфигурацию нельзя.

Если Ваш пункт соединен с координатором открытого Интернета, то появится еще одна конфигурация – Открытый Интернет (подробности читайте в п.15.6, стр.169).

Рисунок 57

Для создания новой конфигурации следует:


ФРКЕ.00004-04 34 01

102

• В контекстном меню на строке Конфигурации выбрать Создать новую конфигурацию. Будет создана папка Новая конфигурация. Имя можно отредактировать.

• Внести все необходимые изменения в настройки Монитора, которые Вы хотите сохранить, и, находясь на папке с именем новой конфигурации, в контекстном меню выбрать Сохранить текущую конфигурацию. При сохранении текущей конфигурации запрашивается подтверждение. После положительного ответа данная конфигурация будет сохранена.

Содержание конкретной конфигурации определяется текущими значениями всех настроек программы на момент выполнения функции Сохранить текущую конфигурацию.

Для установки той или иной конфигурации установите указатель на строку с названием нужной конфигурации, и в контекстном меню выберите Установить данную конфигурацию.

Для созданных пользователем конфигураций в меню по правой кнопке мыши имеются также следующие возможности:

• Переименовать – конфигурации можно присвоить другое имя.

• Удалить – конфигурацию можно удалить.

Выбрать одну из заданных конфигураций можно также в системном меню на значке в области уведомлений на панели задач и выбрав нужную конфигурацию в меню Установить конфигурацию.

При следующем старте Монитора Вам будет предложено выбрать необходимую конфигурацию из числа ранее созданных (если Вы не отмените отображение окна с выбором конфигураций).

Пользователь (со средними (1) или минимальными (0) полномочиями) не может без администратора производить никакие действия с конфигурациями, из описанных выше, кроме выбора текущей конфигурации из списка конфигураций, созданных администратором.

Внимание! При смене конфигурации устанавливается тот режим обработки открытых IP-пакетов, который в момент создания (сохранения) конфигурации был выбран в списке При старте программы в разделе Режимы. Например, при создании конфигурации NewConfig в качестве текущего режима был установлен третий режим. В списке При старте программы был выбран первый режим. Соответственно при загрузке конфигурации NewConfig в качестве текущего режима обработки открытых IP-пакетов будет выбран 1-ый режим.

11 Настройки параметров защиты и сетевой фильтрации IP-трафика

Эта глава написана для пользователей, хорошо понимающих назначение и принцип организации протоколов, а также разбирающихся во внутреннем устройстве Интернет.

Фильтры предназначены для блокирования/пропускания IP-пакетов в зависимости от протокола, параметров протокола, направления соединения или направления пакета, внешних адресов пакета, времени прохождения пакета.

Замечание: Все действия по настройкам фильтров недоступны для пользователей с минимальными (0) и средними (1) полномочиями, определенными для АП в ЦУС. В этом случае настройки может произвести только администратор, войдя с паролем администратора (см. п. 15.1.1, стр.154). О полномочиях читайте в отдельном документе "Классификация полномочий".

11.1 Основные принципы фильтрации Фильтрации подвергается весь трафик, который проходит через узел.

• открытый (нешифрованный) трафик (локальный или транзитный); • защищенный трафик (перед его шифрованием и после расшифровки): • туннелируемый трафик (перед его шифрованием и после расшифровки).


ФРКЕ.00004-04 34 01

103

Рисунок 58. Виды

трафика, для которых

указываются различные

правила фильтрации

Внимание! Во время

загрузки компьютера

работа ViPNet Драйвера до

авторизации пользователя

ViPNet (то есть ввода соответствующего пароля) не зависит от настроек фильтров открытой сети, а определяется выбранным режимом безопасности и рядом фильтров по умолчанию, необходимых для работы некоторых сетевых служб, которые стартуют до авторизации пользователя ViPNet.

В первом режиме блокируется весь открытый IP-трафик без исключений. Во втором режиме блокируется весь IP-трафик, за исключением следующих соединений:

• все соединения для работы службы DHCP в независимости от направления соединения по протоколу UDP и портам источника и назначения 67-68;

• исходящие соединения netbios-ns по протоколу UDP c портами источника и назначения 137;

• исходящие соединения netbios-dgm по протоколу UDP c портами источника и назначения 138;

• исходящие соединения для работы службы DNS по протоколу UDP с любым портом источника и 53 портом назначения.

В третьем режиме пропускаются все исходящие соединения и входящие соединения службы DHCP (протокол UDP, порты источника и назначения 67-68).

В четвертом режиме разрешен весь открытый IP-трафик, защита снята. Подробнее о режимах безопасности см. п. 1.5 на стр.16 и п. 11.2 на стр. 105.

Для того чтобы правильно настроить правила фильтрации, необходимо понимать основные принципы фильтрации трафика различного типа: 1. Наибольшую опасность представляет трафик из открытой сети, где при умелом действии

атакующего источник атаки очень сложно обнаружить. Также непросто принять адекватные оперативные меры по пресечению атаки. Поэтому такой трафик подвергается последовательной комплексной фильтрации.

• Правила фильтрации открытого IP-трафика, в том числе трафика между координатором и туннелируемыми устройствами, являются результатом действия: ○ выбранного режима безопасности для каждого сетевого интерфейса; (см. п.11.2, стр.105); ○ списка сетевых фильтров для соединений;(см. п.11.3, стр.107); ○ системы обнаружения атак (см. п. 11.4, стр. 120).

• Фильтрация трафика осуществляется с учетом установленных соединений. Соединение устанавливается, когда в соответствии с правилами фильтрации трафика пропускается входящий или исходящий IP-пакет. Параметры такого IP-пакета регистрируются. На основании этих параметров создается временное правило для пропускания последующих пакетов в прямом и обратном направлении. Правило существует, пока есть трафик, соответствующий параметрам данного соединения.

• Кроме того, в рамках созданного соединения по протоколам TCP, UDP, ICMP всегда пропускаются следующие ICMP-сообщения об ошибках: ○ тип 3 – адресат недоступен; ○ тип 4 – замедление источника;


ФРКЕ.00004-04 34 01

104

○ тип 11 – истечение времени; ○ тип 12 – неверный параметр.

• Если в течение определенного промежутка времени пакеты, соответствующие параметрам данного соединения, не поступают, соединение уничтожается.

• Если входящий или исходящий пакет не соответствует ни одному правилу в рамках соединения и ни одному из заданных пропускающих правил, то пакет блокируется. Такой метод контроля обеспечивает высокий уровень безопасности, позволяя открывать минимальное число протоколов и портов для доступа к открытым ресурсам своей сети. Таким образом, IP-пакет последовательно проходит ряд фильтров, пока не будет пропущен или заблокирован одним из них. Как только пакет пропускается или блокируется, все последующие фильтры уже не действуют.

• Открытый IP-пакет проходит проверку на соответствие различным правилам в следующей последовательности:

Рисунок 59. Уровни фильтрации открытого трафика.

○ Правила в рамках уже существующих соединений – если для пакета в таблице соединений есть подходящее, то пакет пропускается, иначе – следующая проверка.

○ Блокирующие правила системы обнаружения атак – если обнаружена атака, то пакет блокируется, иначе – следующая проверка.


ФРКЕ.00004-04 34 01

105

○ Пропускающее правило Антиспуфинга – если IP-пакет имеет адрес, разрешенный правилом Антиспуфинга, пакет пропускается. В противном случае – блокируется.

○ Блокирующее правило первого режима безопасности – если на сетевом интерфейсе включен первый режим, то пакет блокируется, иначе – следующая проверка.

○ Правило второго режима безопасности направляет пакет на дальнейшую проверку. ○ Пропускающее правило третьего режима безопасности – если на сетевом интерфейсе

включен третий режим и это исходящий локальный пакет, то пакет пропускается, иначе – следующая проверка.

○ Пропускающее правило четвертого режима безопасности – если на сетевом интерфейсе включен данный режим и это локальный пакет, то пакет пропускается.

○ Пропускающее правило пятого режима безопасности – если на сетевом интерфейсе включен данный режим, то пакет пропускается.

○ Блокирующие и пропускающие правила пользователя – если пакет соответствует одному из правил фильтрации, заданных пользователем, то пакет пропускается или блокируется в соответствие с этим правилом, иначе – следующая проверка.

○ Блокирующее правило для всех открытых пакетов – пакет, не соответствующий ни одному из предыдущих правил, блокируется.

2. Внутри защищенной сети (в том числе для туннелируемых ресурсов со стороны защищенной сети), благодаря криптографической аутентификации трафика, невозможно провести атаку, источник которой нельзя было бы однозначно идентифицировать и устранить.

• Любые правила фильтрации применяются к IP-пакетам только после их успешной расшифровки и идентификации сетевого узла-источника. В этом случае IP-адреса сетевых узлов не имеют никакого значения. Также для координатора не имеет значения, со стороны какого сетевого интерфейса находятся те или иные узлы.

• Поэтому трафик между защищенными узлами проходит только фильтры (см. п.0), заданные по умолчанию или настроенные пользователем. Эти сетевые фильтры не зависят от сетевого интерфейса, с которого поступил пакет, и определяют правила пропускания трафика для конкретных протоколов, портов и направления передачи. Эти правила в основном предназначены для разграничения прав пользователей защищенных узлов сети ViPNet. Структура фильтров для открытого трафика (в том числе трафика между координатором и его

туннелируемыми устройствами) отличается от структуры фильтров защищенной сети. Подробнее об основных отличиях и структуре сетевых фильтров для открытого, защищенного и туннелируемого трафика читайте в разделе 11.3.

11.2 Выбор режима безопасности (раздел Режимы) Программа ViPNet Client [Монитор] имеет несколько режимов безопасности. Режим

безопасности определяет типовое правило фильтрации открытого трафика, которое в дальнейшем можно модифицировать настройками сетевых фильтров для пакетов определенного типа (для конкретных адресов, протоколов и портов) в окне Открытая сеть (см. п. 11.3.2).

В защищенной сети трафик считается доверенным, поэтому по умолчанию любой трафик с защищенными узлами, с которыми связан Ваш сетевой узел (в окне Защищенная сеть), разрешен без каких-либо ограничений в любом режиме безопасности.

Для работы в открытой сети предусмотрено три основных рабочих режима безопасности: • 1 режим Блокировать IP-пакеты всех соединений. В этом режиме любой открытый трафик блокируется, независимо от сетевых фильтров, настроенных в окне Открытая сеть. Это режим максимальной защиты компьютера и эквивалентен физическому отключению Вашего компьютера от открытых источников сети. Компьютер доступен только для узлов защищенной сети.

• 2 режим Блокировать все соединения кроме разрешенных. В этом режиме без дополнительных настроек сетевых фильтров в окне Открытая сеть Ваш компьютер не сможет взаимодействовать с другими открытыми ресурсами. По умолчанию, разрешены лишь некоторые безопасные типы трафика, позволяющие компьютеру получить IP-адрес и подготовиться к работе в локальной сети (более подробно см. п. 11.3.2). Компьютер доступен для взаимодействия с узлами защищенной сети. Данный режим обычно


ФРКЕ.00004-04 34 01

106

используется опытными пользователями для тонкой настройки самых необходимых видов открытого трафика.

• 3 режим Пропускать все исходящие соединения кроме запрещенных (Бумеранг). В этом режиме по умолчанию пропускаются все инициативные исходящие открытые соединения с Вашего компьютера, и блокируется любой несанкционированный входящий трафик. Данный режим предназначен для использования на сетевых узлах, которые должны взаимодействовать с другими узлами защищенной сети и иметь возможность получать безопасный доступ к открытым ресурсам локальной или внешней сети.

Для тестовых целей существуют следующие режимы: • 4 режим Пропускать все соединения. В этом режиме компьютер не защищен от несанкционированного доступа из сети, независимо от сетевых фильтров, настроенных в окне Открытая сеть, но может взаимодействовать с узлами защищенной сети. Режим предназначен для тестовых кратковременных проверок.

• 5 режим Пропускать IP-пакеты без обработки. В этом режиме отключается вся криптографическая обработка трафика и его фильтрация. Режим предназначен для тестовых кратковременных проверок. В этом режиме не ведется журнал регистрации IP-пакетов.

По умолчанию ViPNet Client [Монитор] устанавливается в 3 режим – Пропускать все исходящие соединения кроме запрещенных. Режим 3 является оптимальным режимом защиты и при этом практически во всех случаях обеспечивает всю необходимую функциональность компьютера при его работе в сети.

Демо-версия программы9

Установка режима безопасности работы Вашего компьютера в сети производится в окне Режимы (

по умолчанию устанавливается в 4-й режим.

Рисунок 60). Замечание: Режим, который может установить пользователь, зависит от уровня полномочий,

определенных для каждого АП в ЦУС. О полномочиях читайте в отдельном документе "Классификация полномочий".

9 Версия ViPNet Client с ограниченным сроком работы.


ФРКЕ.00004-04 34 01

107

Рисунок 60

Для выбора режима, следует установить переключатель напротив нужного режима. Если требуется, чтобы при последующих запусках ViPNet Client [Монитор] устанавливался такой же режим, то выберите этот режим из выпадающего списка При старте программы (Рисунок 60). Для сохранения изменений нажмите кнопку Применить.

Внимание! При смене конфигурации устанавливается тот режим обработки открытых IP-пакетов, который в момент создания (сохранения) конфигурации был выбран в списке При старте программы в разделе Режимы. Например, при создании конфигурации NewConfig в качестве текущего режима был установлен третий режим. В списке При старте программы был выбран первый режим. Соответственно при загрузке конфигурации NewConfig в качестве текущего режима обработки открытых IP-пакетов будет выбран 1-ый режим.

Изменить режим безопасности можно также с помощью системного меню, которое вызывается щелчком правой кнопки мыши на значке программы в области уведомлений на панели задач. Сверху полужирным шрифтом будет выделен текущий режим. Чтобы его изменить, следует поставить флажок напротив нужного.

Для восстановления режима по умолчанию (режима 3) нажмите кнопку По умолчанию. Замечание: Если на Вашем компьютере установлена ОС Windows XP (SP 2 и выше) или

Windows Vista, то при включении 4 или 5 режима Windows Security Center10

Во всех режимах (кроме последнего – Режим 5 Пропускать IP-пакеты на всех интерфейсах без обработки) ViPNet Client [Монитор] осуществляет мониторинг трафика и отражает информацию о соединениях в соответствующих журналах IP-пакетов (п.

сообщит (если не отключены настройки оповещения) об отключении ViPNet Firewall (т.е. защиты Вашего компьютера программным обеспечением ViPNet).

14.1, стр.129).

11.3 Сетевые фильтры Чтобы блокировать или пропускать IP-пакеты в зависимости от IP-адреса отправителя, используемого протокола или порта, требуется настроить фильтрацию сетевого трафика.

10 Windows Security Center (Центр обеспечения безопасности Windows) – компонент Windows XP (SP2) и Windows

Vista, предназначенный для централизованного управления параметрами безопасности компьютера.


ФРКЕ.00004-04 34 01

108

11.3.1 Различия сетевых фильтров для открытого и защищенного трафика

Сетевые фильтры создаются отдельно для защищенного, открытого и туннелируемого трафика. Древовидная структура сетевых фильтров представлена на правой панели окна ViPNet [Монитор], если на левой панели выбраны элементы Защищенная сеть, Открытая сеть или Туннелируемые ресурсы.

Основные отличия сетевых фильтров для открытого трафика (в том числе трафика между туннелируемым узлом и координатором, за которым этот узел расположен) от фильтров защищенной сети: • Фильтрация открытого трафика для всех протоколов осуществляется в соответствии с

установленными соединениями. Если фильтром разрешен некоторый трафик в определенном направлении, для пропускания такого трафика создается временное соединение. Автоматически будет пропущен и ответный трафик, удовлетворяющий параметрам данного соединения. При фильтрации защищенного трафика такое правило действует для всех протоколов: TCP, UDP, ICMP.

• Фильтры открытого трафика могут быть применены к различным сетевым интерфейсам координатора. Фильтры защищенной сети к интерфейсам не привязаны.

• Фильтры открытого трафика действуют в соответствии с порядком их размещения внутри каждой группы для разных типов трафика, и этот порядок можно изменять. Логика работы фильтров защищенной сети носит более жесткий характер.

• Фильтры открытого и защищенного трафика имеют двухуровневую структуру. • Фильтр открытого трафика первого уровня, называемый правилом доступа, определяет адреса

и интерфейсы, на которые распространяют свое действие фильтры протоколов, создаваемые на втором уровне. Фильтры протоколов привязаны к конкретным правилам доступа и определяют действие фильтра в соответствии с заданными параметрами: протокол, порты, типы, коды, направление соединения, расписание действия данного фильтра.

• Для защищенного трафика фильтр первого уровня определяет действие (пропускать или блокировать) для всех фильтров протоколов, создаваемых на втором уровне. Для фильтров защищенного трафика не задается расписание действия фильтра.

Рисунок 61. Сетевые фильтры 1-го и 2-го уровня

Создание фильтров для защищенной сети

11.3.1.1 Общие сведения о фильтрах защищенной сети

В разделе Защищенная сеть по умолчанию определены следующие правила доступа (фильтры первого уровня): • IP-пакеты всех адресатов – основной фильтр для всех узлов сети ViPNet. С его помощью

можно разрешить или заблокировать трафик со всеми сетевыми узлами ViPNet, перечисленными в окне Защищенная сеть.

• Широковещательные IP-пакеты всех адресатов – фильтр для широковещательных IP-пакетов от сетевых узлов, перечисленных в окне Защищенная сеть.

• Действие этого фильтра зависит от связанных с ним фильтров протоколов. • По умолчанию фильтр Широковещательные пакеты всех адресатов пропускает только те

широковещательные пакеты, которые соответствуют заданным по умолчанию фильтрам протоколов:


ФРКЕ.00004-04 34 01

109

○ Фильтры netbios-ns (порт 137) и netbios-dgm (порт 138) обеспечивают пропускание пакетов службы NetBIOS, которая осуществляет регистрацию и проверку имен компьютеров в локальной сети.

○ Служба DHCP – фильтры bootps, (порт 67) и bootps (порт 68) обеспечивают пропускание пакетов службы DHCP, которая позволяет компьютерам автоматически получать IP-адреса для работы в сети.

○ Фильтр iplirdatagram (порт 2046) обеспечивает пропускание служебных пакетов сети ViPNet. ○ Фильтр clusterdatagram (порт 2060) обеспечивает пропускание служебных пакетов кластера

ViPNet (этот фильтр отображается только при использовании ПО ViPNet Cluster). • Индивидуальные фильтры для каждого сетевого узла – фильтры для конкретных узлов

ViPNet. Индивидуальные фильтры задаются отдельно для каждого узла из списка узлов в окне Защищенная сеть.

• С помощью индивидуальных фильтров можно запретить обмен трафиком с каким-либо узлом ViPNet, даже если этот трафик разрешен основным фильтром. Также можно разрешить пропускание трафика, который блокируется основным фильтром.

Рисунок 62. Окно «Защищенная сеть»

Для каждого из фильтров первого уровня можно добавить следующие фильтры: • Фильтры протоколов (некоторые из них добавлены по умолчанию). Фильтр протоколов

определяет правила фильтрации IP-пакетов по протоколу, направлению установления соединения и номеру порта.

• Для индивидуальных фильтров можно также добавить фильтр Microsoft SQL (см. п. Настройка фильтра Microsoft SQL). Фильтр Microsoft SQL действует только при установке ПО ViPNet Client на компьютер, на котором также установлен Microsoft SQL Server, и работает на уровне протокола TDS (протокол передачи данных MS SQL). В защищенной сети действие фильтра протоколов всегда противоположно действию фильтра

первого уровня. То есть фильтр первого уровня определяет, следует ли пропускать или блокировать пакеты данного типа для всех протоколов, кроме протоколов, которые определяются фильтром второго уровня (фильтром протоколов). К протоколам, заданным в фильтре второго уровня, всегда применяется действие, противоположное действию фильтра первого уровня.

Фильтр Microsoft SQL применяется только в том случае, если соответствующий пакет был пропущен другими фильтрами.


ФРКЕ.00004-04 34 01

110

Фильтры первого уровня нельзя удалять. Однако при наличии соответствующих полномочий можно инвертировать их действие (Подробнее о полномочия см. приложение к документации ViPNet "Классификация полномочий", глава "Интерпретация полномочий программами Монитор"). При этом действие всех фильтров протоколов, связанных с данным фильтром первого уровня, также будет инвертировано. Фильтры протоколов можно изменять или удалять.

11.3.1.2 Настройка фильтров защищенной сети

Чтобы настроить фильтр для какого-либо узла сети ViPNet, следует выбрать индивидуальный фильтр первого уровня и при необходимости создать фильтр протоколов или фильтр Microsoft SQL.

Чтобы изменить действие фильтра первого уровня, нужно установить или снять флажок рядом с именем фильтра в окне Защищенная сеть. Если флажок установлен, фильтр пропускает пакеты. Если флажок снят, фильтр блокирует пакеты.

Если для фильтра первого уровня не заданы фильтры второго уровня и флажок этого фильтра установлен, то фильтр пропускает IP-пакеты всех протоколов. Если флажок фильтра снят, фильтр блокирует пакеты всех протоколов.

Для фильтров протоколов действуют следующие правила: • Если флажок фильтра первого уровня установлен, то фильтр пропускает IP-пакеты всех

протоколов, кроме протоколов, определяемых фильтрами второго уровня (при этом флажки фильтров второго уровня автоматически снимаются).

• Если флажок фильтра первого уровня снят, то фильтр блокирует IP-пакеты всех протоколов, кроме протоколов, определяемых фильтрами второго уровня (при этом флажки фильтров второго уровня автоматически устанавливаются). Описанные выше правила не относятся к фильтру Microsoft SQL. Этот фильтр работает

всегда, если не заблокирован соответствующий протокол. Чтобы изменить действие фильтра:

1. Снимите флажок фильтра первого уровня.

Рисунок 63. Действие фильтра – пропускать все пакеты, кроме указанных в фильтрах второго уровня

• До того, как флажок был снят, фильтр первого уровня пропускал все входящие и исходящие пакеты для указанных IP-адресов, кроме протоколов, которые заданы в фильтрах второго уровня.

2. Подтвердите инвертирование фильтра. При этом фильтры протоколов также будут инвертированы (будут установлены флажки фильтров протоколов).

Рисунок 64 . Действие фильтра – блокировать все пакеты, кроме указанных в фильтрах второго уровня

• Фильтр первого уровня блокирует все входящие и исходящие пакеты для указанных IP-адресов, кроме протоколов, которые заданы в фильтрах второго уровня.

3. Действие фильтра изменится с разрешающего на блокирующее. Изменить действие индивидуального фильтра можно также в окне Правило доступа:

1. В окне Защищенная сеть дважды щелкните сетевой узел ViPNet. 2. В окне Правило доступа откройте вкладку Общие.


ФРКЕ.00004-04 34 01

111

Рисунок 65. Изменение действия индивидуального фильтра

3. С помощью переключателя выберите Разрешить или Блокировать. Действие будет применено ко всем IP-пакетам, кроме портов и протоколов, указанных в добавленных фильтрах протоколов.

Любой фильтр второго уровня может быть отключен. Отключенный фильтр не будет

участвовать в обработке пакетов, но запись об этом фильтре в окне Защищенная сеть сохранится. Чтобы отключить фильтр второго уровня:

1. Щелкните значок фильтра протоколов ( ) или значок фильтра Microsoft SQL ( ). 2. В окне подтверждения нажмите кнопку Да.

3. Значок фильтра изменит свой вид на или (значки означают, что фильтр отключен). Чтобы включить отключенный фильтр второго уровня:

1 Щелкните значок отключенного фильтра протоколов ( ) или фильтра Microsoft SQL ( ). 2 В окне подтверждения нажмите кнопку Да.

3 Значок фильтра изменит свой вид на или (фильтр включен). Вы также можете включить или отключить фильтр второго уровня в окне свойств фильтра:

1. Дважды щелкните фильтр второго уровня в окне Защищенная сеть. Для фильтра протоколов откроется окно Фильтр защищенной сети, для фильтра Microsoft SQL откроется окно Параметры фильтра Microsoft SQL.

2. В окне Фильтр защищенной сети снимите или установите флажок Включить фильтр. • В окне Параметры фильтра Microsoft SQL снимите или установите флажок Отключить

фильтр. 3. Чтобы сохранить настройки, нажмите кнопку OK.

11.3.1.3 Создание фильтра протоколов для защищенной сети

Чтобы создать фильтр протоколов для защищенной сети: 1. На левой панели окна ViPNet [Монитор] щелкните элемент Защищенная сеть.


ФРКЕ.00004-04 34 01

112

2. Выполните одно из действий: ○ На правой панели щелкните правой кнопкой мыши фильтр первого уровня и в контекстном

меню выберите Правила доступа, затем щелкните Добавить фильтр протоколов. ○ На правой панели выделите фильтр первого уровня, в меню Действие выберите пункт

Правило доступа, затем щелкните Добавить фильтр протоколов.

Рисунок 66. Создание фильтра протоколов

3. В окне Фильтр защищенной сети задайте параметры создаваемого фильтра протоколов.

Рисунок 67. Параметры фильтра протоколов

4. Чтобы сохранить настройки, нажмите OK.


ФРКЕ.00004-04 34 01

113

11.3.1.4 Настройка фильтра Microsoft SQL

Настройка фильтра Microsoft SQL требуется в том случае, если на сетевом узле ViPNet установлено ПО Microsoft SQL Server. Этот фильтр позволяет ограничить доступ пользователей к SQL-серверу, чтобы они не могли подключиться к SQL-серверу, воспользовавшись чужими правами доступа. С помощью программы ViPNet Client (или ViPNet Coordinator), установленной на SQL-сервере, можно для каждого пользователя сети ViPNet настроить учетные записи для доступа к SQL-серверу. Тогда доступ к SQL-серверу будет открыт только указанным пользователям с определенными для них учетными записями. Таким образом, даже зная имя и пароль чужой учетной записи, пользователь не сможет использовать их для доступа к SQL-серверу со своего узла ViPNet.

Внимание! Блокировать доступ пользователей ViPNet к SQL-серверу можно только в том случае, если Microsoft SQL Server использует стандартный серверный порт 1433 (mssql).

Чтобы настроить фильтр Microsoft SQL, выполните следующие действия:

1. Если на вашем сетевом узле не включен фильтр Microsoft SQL: ○ В окне ViPNet [Монитор] в меню Сервис выберите пункт Настройка. ○ В окне Настройка выберите подраздел Фильтр Microsoft SQL раздела Защищенная сеть. ○ Установите флажок Включить фильтр, затем нажмите OK. ○ Установите флажок Фильтровать TCP, чтобы фильтрация TDS-протокола проходила через

TCP. ○ Установите флажок Фильтровать SMB, чтобы осуществлять фильтрацию TDS-протокола

через SMB. В этом случае необходимо задать список используемых каналов. Чтобы добавить канал (пайп), нажмите кнопку Добавить и укажите имя канала. Задавать имя канала нужно по следующему правилу: От полного имени оставляем только вторую часть без \\<servername>\pipe. То есть если Вы подключаетесь к SQL серверу через \\195.210.139.15\pipe\sql\query, то в имени канала надо написать \sql\query. Этот фильтр будет действовать на все подключения к SQL серверам, в которых используется имя канала, оканчивающееся на \sql\query.

Рисунок 68. Включение фильтра Microsoft SQL на узле ViPNet

2. В разделе Защищенная сеть правой кнопкой мыши щелкните сетевой узел ViPNet, пользователю которого требуется открыть доступ к SQL-серверу.

3. В контекстном меню выберите Правила доступа, затем щелкните Добавить Microsoft SQL фильтр.

4. В окне Параметры фильтра Microsoft SQL:


ФРКЕ.00004-04 34 01

114

○ Чтобы добавить учетную запись для доступа к SQL-серверу, введите имя учетной записи в текстовое поле и нажмите кнопку Добавить.

○ Чтобы удалить учетную запись, выберите ее в списке и нажмите кнопку Удалить. ○ Чтобы изменить имя учетной записи, выберите ее в списке, затем в текстовое поле введите

новое имя и нажмите кнопку Изменить.

Рисунок 69. Настройка фильтра Microsoft SQL

5. Чтобы сохранить настройки, нажмите OK.

11.3.2 Создание фильтров для открытой сети

В окне Открытая сеть можно настроить фильтрацию трафика для узлов, не принадлежащих защищенной сети ViPNet.

11.3.2.1 Общие сведения о фильтрах открытой сети

В окне Открытая сеть представлены следующие типы фильтров: • Локальные фильтры определяют правила фильтрации для открытых нешироковещательных

IP-пакетов, которыми ViPNet-узел обменивается с внешними устройствами. • Широковещательные фильтры определяют правила фильтрации широковещательных

пакетов.


ФРКЕ.00004-04 34 01

115

Рисунок 70. Фильтры открытой сети в ViPNet Client

Фильтры в окнах Открытая сеть состоят из правил доступа и связанных с ними фильтров протоколов. Правило доступа определяет IP-адреса узлов и IP-адреса сетевых интерфейсов координатора, на которые распространяется действие фильтра. Фильтры протоколов задают параметры фильтрации и определяют, пропускать или блокировать соответствующие IP-пакеты. Фильтры протоколов можно легко создавать, изменять и удалять. Также можно создавать дополнительные правила доступа.

При работе с фильтрами для открытой сети и туннелируемых ресурсов следует учитывать следующие обстоятельства: • Настройки фильтров каждого типа независимы друг от друга. • Внутри группы проверка соответствия пакета правилам фильтрации выполняется по порядку

сверху вниз в соответствии с расположением правил в списке. Когда пакет блокируется или пропускается первым подходящим правилом, последующие фильтры уже не оказывают никакого влияния на данный пакет. Правила можно свободно перемещать и копировать внутри группы.

• Внутри правила проверка соответствия пакета фильтрам протоколов также выполняется по порядку сверху вниз в соответствии с положением фильтров протоколов в списке. Когда срабатывает первый подходящий фильтр протокола, последующие фильтры не оказывают на данный пакет никакого влияния. Фильтры протоколов могут свободно перемещаться и копироваться пользователем внутри своего правила доступа.

11.3.2.2 Фильтры, созданные по умолчанию

В программе ViPNet Client по умолчанию определены следующие фильтры: 1. В группе Локальные фильтры:

○ <Все IP-адреса> . Это правило содержит фильтры протоколов с действием Пропускать, разрешающие создание соединений для локальных нешироковещательных пакетов следующих протоколов и направлений: • Исходящие пакеты bootps (порт 67) и входящие пакеты bootpc (порт 68),

предназначенные для организации работы службы DHCP (автоматическое назначение IP-адресов).


ФРКЕ.00004-04 34 01

116

• Пакеты netbbios-dgm (порт 138), предназначенные для организации работы службы NetBIOS, осуществляющей регистрацию и проверку имен компьютеров в локальной сети.

○ Windows Mobile-based device. Это правило содержит фильтры протоколов с действием Пропускать, предназначенные для обеспечения синхронизации компьютера с КПК (на базе Windows Mobile 5.0/6.0) при помощи ActiveSync 4.x (или Windows Mobile Device Center на Windows Vista). По умолчанию это правило выключено, включать его следует только для синхронизации с КПК.

2. В группе Широковещательные фильтры правило <Все IP-адреса>. Это правило содержит фильтры протоколов с действием Пропускать, разрешающие создание соединений для локальных широковещательных пакетов следующих протоколов и направлений: ○ Исходящие пакеты bootps (порт 67) и входящие пакеты bootpc (порт 68), предназначенные

для организации работы службы DHCP (автоматическое назначение IP-адресов). ○ Пакеты netbios-ns (порт 137) и netbios-dgm (порт 138), предназначенные для организации

работы службы NetBIOS, осуществляющей регистрацию и проверку имен компьютеров в локальной сети.

11.3.2.3 Параметры фильтров открытой сети

Действие правила определяется фильтрами протоколов. Правило может пропускать ( ) или блокировать ( ) IP-пакеты, соответствующие параметрам фильтра протоколов.

Чтобы изменить действие правила, двойным щелчком откройте добавленный фильтр протоколов и из списка Действие фильтра выберите требуемое значение.

Правило включено, если установлен флажок рядом с именем правила ( ). Если флажок снят ( ), то правило отключено. Чтобы включить или отключить правило, установите или снимите флажок этого правила.

11.3.2.4 Создание правил доступа для открытой сети

Чтобы создать новое правило доступа для открытой сети: 1. На левой панели окна ViPNet [Монитор] выберите элемент Открытая сеть. 2. На правой панели выполните одно из действий:

○ Щелкните правой кнопкой мыши заголовок группы фильтров, в которой требуется создать новое правило. В контекстном меню выберите Правила доступа, затем щелкните Создать новое правило доступа.

○ Выделите заголовок группы фильтров, в которой требуется создать новое правило. В меню Действия выберите Правила доступа, затем щелкните Создать новое правило доступа.


ФРКЕ.00004-04 34 01

117

Рисунок 71. Создание нового правила доступа для открытой сети

3. В зависимости от того, какой тип фильтра выбран, откроется одно из следующих окон: Широковещательное правило, Локальное правило, Транзитное правило.

Рисунок 72. Создание локального правила и широковещательного правила (ViPNet Client)

4. Если вы хотите самостоятельно задать имя правила, снимите флажок Автоматическое

назначение имени. По умолчанию имя правила будет назначено автоматически. 5. Удостоверьтесь, что установлен флажок Включить правило, иначе созданное правило будет

отключено. После создания правила его всегда можно включить или отключить. 6. Задайте IP-адреса внешних устройств, трафик с которыми должен фильтроваться в

соответствии с создаваемым правилом. • Для локального правила требуется также указать локальные IP-адреса настраиваемого

координатора, для широковещательного правила – широковещательные адреса, для транзитного правила требуется указать два набора внешних IP-адресов.

• Чтобы задать IP-адрес: ○ Нажмите кнопку Добавить.


ФРКЕ.00004-04 34 01

118

○ В окне IP-адрес выполните одно из действий: Если вы знаете IP-адреса узлов, которые требуется включить в правило: • В поле Диапазон IP-адресов введите IP-адрес или диапазон IP-адресов для

фильтрации. При вводе диапазона IP-адресов задайте начальный и конечный адрес диапазона.

• Вы можете нажать кнопку Определить имя компьютера, чтобы найти имя компьютера по введенному IP-адресу. Если удастся определить имя компьютера, оно отобразится в поле Имя компьютера, в противном случае в окне Поиск компьютера будет выдано сообщение о неудаче.

Если вы не знаете IP-адресов, но знаете сетевые имена компьютеров или их URL-адреса (для веб-сайтов, FTP-серверов и пр.):

• В поле Имя компьютера введите имя или URL-адрес компьютера, трафик с которым должен фильтроваться в соответствии с создаваемым правилом.

• Нажмите кнопку Определить IP-адрес, чтобы найти IP-адрес компьютера по введенному имени. Если удастся определить IP-адрес компьютера, он отобразится в поле Диапазон IP-адресов, в противном случае в окне Поиск компьютера будет выдано сообщение о неудаче.

○ Задав IP-адреса, нажмите OK. Если вы не хотите сохранять изменения, нажмите кнопку Отмена.

7. Из списка Со стороны интерфейса выберите сетевой интерфейс, со стороны которого находятся внешние IP-адреса, заданные на предыдущем шаге.

8. Если вы создаете транзитное правило, повторите шаги 6 и 7 для второго внешнего узла. 9. Для сохранения правила нажмите OK. Сразу после этого откроется окно для добавления

фильтра протоколов к созданному правилу. Подробнее о создании фильтров протоколов см. Создание фильтров протоколов для открытой .

• Чтобы отказаться от создания фильтра протоколов, нажмите Отмена.

11.3.2.5 Создание фильтров протоколов для открытой сети

Чтобы добавить к правилу доступа фильтр протоколов: 1. Щелкните правой кнопкой мыши правило, к которому требуется добавить фильтр протоколов. 2. В контекстном меню выберите пункт Правила доступа, затем щелкните Добавить фильтр

протоколов. 3. В зависимости от типа правила, для которого вы добавляете фильтр протоколов, откроется

одно из окон: Транзитный фильтр, Локальный фильтр, Широковещательный фильтр или Туннелируемый фильтр.

Рисунок 73. Создание фильтров протоколов для локального и широковещательного правила


ФРКЕ.00004-04 34 01

119

4. Если вы хотите самостоятельно задать имя фильтра, снимите флажок Автоматическое назначение имени. По умолчанию имя фильтра назначается автоматически.

5. Убедитесь, что установлен флажок Включить фильтр, иначе созданный фильтр протоколов будет отключен. После создания фильтра его можно включить или отключить в любой момент.

6. Задайте параметры фильтра: ○ Из списка Протокол выберите протокол для фильтрации. Правило, к которому будет

добавлен создаваемый фильтр, будет обрабатывать только IP-пакеты, переданные с помощью указанного протокола. Если требуемый протокол отсутствует в списке, нажмите кнопку Список и в открывшемся окне добавьте протокол.

○ Из списка Направление соединения выберите направление передачи IP-пакетов. Если выбрать Любое, то направление передачи IP-пакетов не будет учитываться при фильтрации.

7. Из списка Действие фильтра выберите действие (Пропускать или Блокировать), которое будет применяться к IP-пакетам, соответствующим параметрам фильтра.

8. Чтобы настроить расписание работы фильтра, нажмите кнопку Настроить расписание. С помощью расписания можно задать интервалы активности фильтра.

• В окне Расписание выполните следующие действия: ○ Установите флажок Использовать расписание действия фильтра. ○ Из списка Расписание выберите тип расписания (Ежедневное или Еженедельное). Если

требуется, чтобы фильтр был активен в некоторые дни недели, выберите Еженедельное расписание.

○ Из списка Фильтр действует выберите, когда фильтр будет активен: В указанное время или Все время кроме указанного.

○ Выбрав Ежедневное расписание, укажите время начала и время конца интервала. ○ Выбрав Еженедельное расписание, с помощью флажков укажите, в какие дни недели

фильтр должен быть активен. Для каждого из выбранных дней укажите время начала и время конца интервала.

○ Выполнив необходимые настройки, нажмите OK.

Рисунок 74. Настройка расписания для фильтра протоколов

9. Выполнив настройку фильтра протоколов, нажмите OK. Созданный фильтр протоколов будет добавлен к выбранному правилу доступа. Если для фильтра настроено расписание работы, справа от его имени отображается значок .


ФРКЕ.00004-04 34 01

120

11.4 Настройка системы обнаружения атак (окно Настройка\Обнаружение атак) Система обнаружения атак (intrusion detection system, IDS) служит для обнаружения и

предотвращения таких действий со стороны злоумышленника ("хакера" либо "взломщика"), которые могут привести к проникновению внутрь Вашей операционной системы (ОС), либо совершению по отношению к ней каких-либо злоупотреблений.

Настройки системы производятся в окне Настройка\Обнаружение Атак (Рисунок 75). Для вызова окна Настройка воспользуйтесь главным меню Сервис -> Настройки. В окне Настройка выберите раздел Обнаружение Атак.

Рисунок 75

Система обнаружения атак работает на сетевом уровне, благодаря чему имеет ряд достоинств:

• Возможность обнаруживать и блокировать сетевые пакеты до обработки их стеком TCP/IP и этим защищать стек от атак на него самого (такие атаки, как WinNuke).

• Возможность блокировать на ранней стадии атаки, направленные на перезагрузку ОС, приводящие к отказу от обслуживания (например, jolt2 (CAN-2000-0305)).

• В случае установки IDS на шлюз, возможность контроля сразу всех компьютеров, находящихся за этим шлюзом.

Кроме того, IDS способна обнаруживать исходящие атаки (как если бы злоумышленник находился за Вашим компьютером). Это полезно в том случае, если Ваша ОС каким-либо образом была скомпрометирована (например, с помощью программ – троянских коней) и после используется злоумышленником в качестве атаки на какую-либо третью ОС.

Настройки обнаружения атак выполняется при помощи установки и снятия следующих флажков в окне Обнаружение атак:

• Обнаруживать атаки во входящих IP-пакетах – по умолчанию флажок установлен. На сетевые атаки проверяется весь входящий IP-трафик Вашего компьютера. Рекомендуем не снимать этот флажок, поскольку анализ входящих IP-пакетов на предмет наличия активности злоумышленников будет прекращен, и Ваш компьютер может быть атакован.

• Обнаруживать атаки в исходящих IP-пакетах – по умолчанию флажок снят. После установки флажка будет проверяться также весь исходящий IP-трафик от Вашего компьютера.

В случае если программа обнаружит пакет, отвечающий условиям одной из типовых атак, он будет заблокирован. Чтобы убедиться, что параметры блокированного пакета соответствуют


ФРКЕ.00004-04 34 01

121

признакам известных сетевых атак, нужно отобразить для него Журнал регистрации IP-пакетов (п. Работа с журналом IP-пакетов), где в поле Событие будет указана причина блокировки в виде номера события и названия возможной атаки. Описание обнаруживаемых атак находится п. 0 на стр.139. Для просмотра журнала регистрации IP-пакетов в окне Журнал IP-пакетов в списке Событие выберите События системы обнаружения атак и нажмите Поиск (подробнее читайте п.14.1, стр.129).

12 Настройка параметров обработки прикладных протоколов для открытого трафика

По умолчанию программа ViPNet Client [Монитор] осуществляет обработку прикладных протоколов FTP, HTTP, SIP по определенным параметрам.

Обработка протокола FTP и протокола SIP обеспечивает на компьютере работоспособность FTP-клиента в активном режиме и IP-телефонии соответственно, без дополнительных настроек сетевых фильтров. Обработка протокола HTTP позволяет настроить и использовать веб-фильтры.

Внимание! При работе ViPNet Client [Монитор] во 2 режиме безопасности для возможности обработки протоколов для открытого трафика должны быть настроены сетевые фильтры в окне Открытая сеть для пропуска открытых IP-пакетов с соответствующими параметрами протокола и портов.

Настройка параметров обработки прикладных протоколов, а также отключение обработки прикладных протоколов производятся в окне Настройка прикладных протоколов в разделе Прикладные протоколы (Рисунок 76). Окно Настройка прикладных протоколов открывается с помощью пункта главного меню Сервис -> Настройка прикладных протоколов.

Рисунок 76

В правой части окна отображается список прикладных протоколов, параметры их обработки (соответствующие транспортные протоколы и порты), а также индикатор включения обработки прикладных протоколов (в колонке Вкл.).

По умолчанию обработка всех прикладных протоколов, кроме HTTP, включена (в колонке Вкл. установлен флажок). Транспортный протокол и списки портов, которые обычно используются прикладными протоколами для своей работы, уже настроены в программе по умолчанию.

Значения портов и протоколов, заданные в окне Прикладные протоколы, должны соответствовать значениям, указанным в соответствующих настройках прикладных протоколов в таких программах, как браузер, FTP-клиент, SIP-клиент и т.п. Если эти программы используют протоколы и порты, отсутствующие в настройках ViPNet Client [Монитор] по умолчанию, то


ФРКЕ.00004-04 34 01

122

соответственно измените настройки параметров обработки прикладных протоколов в окне Прикладные протоколы.

Внимание! Если настройки недоступны, и в окне Прикладные протоколы отображается сообщение об отсутствии связи со службой Сервис ViPNet Firewall, то о способах устранения проблемы читайте приложение 1.9.

В окне доступны следующие действия: 1. Изменение параметров обработки прикладных протоколов. Для изменения параметров

обработки прикладных протоколов выберите строку с протоколом и нажмите кнопку Изменить, или два раза щелкните левой кнопкой мыши на строке с протоколом. Откроется окно изменения настройки прикладного протокола (Рисунок 77).

Рисунок 77

Для каждого прикладного протокола это окно имеет свое название. Для изменения настроек (Рисунок 77) установите флажок транспортного протокола (если он

еще не установлен), введите значения портов или диапазонов портов, разделяя их запятыми, и нажмите OK. Если снять флажки всех протоколов и нажать OK, то будет отключена обработка соответствующего прикладного протокола.

2. Восстановление настроек, заданных по умолчанию. Вы можете восстановить настройки прикладных протоколов, заданные по умолчанию, для этого в окне Прикладные протоколы (Рисунок 76) нажмите кнопку По умолчанию.

3. Отключение обработки протоколов. Для отключения обработки протокола щелкните левой кнопкой мыши на флажке в колонке Вкл. для выбранного протокола, флажок снимется. При отключении прикладного протокола HTTP не будут действовать настроенные веб-фильтры (см. п.13) и сами настройки станут недоступны.

Для применения установленных параметров нажмите кнопку OK или Применить в окне Прикладные протоколы (Рисунок 76).

13 Настройка веб-фильтров В настоящее время в сети Интернет появляется все больше и больше сайтов, которые

содержат опасные интерактивные элементы, реализующие несанкционированные пользователем действия при посещении сайтов, а также осуществляющие сбор информации о действиях пользователя в Интернете. Все большее количество сайтов содержит неконтролируемый пользователем поток информации рекламного характера в виде баннеров (графических, анимационных Flash-баннеров) и всплывающих (popup, popunder) окон, отвлекающих пользователя и приводящих к увеличению интернет-трафика.

Для защиты от подобных опасных объектов ViPNet Client [Монитор] предоставляет возможность настроить веб-фильтры. Веб-фильтры позволяют заблокировать различную рекламу, интерактивные элементы (ActiveX, Java приложения, Flash-анимацию, Javascript и VBScript сценарии), содержащиеся в загружаемых веб-страницах, а также настроить блокировку Cookies и Referer. Вы можете задать индивидуальные веб-фильтры для отдельных веб-сайтов.

Часть фильтров по блокировке различного рода баннеров и всплывающих окон уже настроена в ViPNet Client [Монитор] по умолчанию.


ФРКЕ.00004-04 34 01

123

Настройки веб-фильтров производятся в окне Настройка прикладных протоколов в разделе Веб-фильтры (Рисунок 78). Окно Настройка прикладных протоколов открывается с помощью пункта главного меню Сервис -> Настройка прикладных протоколов.

Рисунок 78

Настройка веб-фильтров доступна только в случае включения обработки протокола HTTP в окне Настройки\Прикладные протоколы (Рисунок 76, п. 11.4).

Внимание! Если настройки недоступны, и в окне Прикладные протоколы отображается сообщение об отсутствии связи со службой Сервис ViPNet Firewall, то о способах устранения проблемы читайте приложение 1.9.

В случае если веб-фильтры в окнах Реклама, Интерактивные элементы, Конфиденциальность были Вами изменены, то можно восстановить их в значения по умолчанию при помощи кнопки По умолчанию.

О настройках веб-фильтров читайте далее.

13.1 Блокировка рекламы Блокировка рекламы способствует более комфортному просмотру веб-сайтов, поскольку не

нужно отвлекаться на всплывающую рекламу и мелькающие баннеры, а также увеличению скорости открытия веб-страниц и уменьшению сетевого трафика.

Для настройки веб-фильтров блокирования рекламы на просматриваемых сайтах выберите в левой части окна Настройки раздел Веб-фильтры\Реклама (Рисунок 79).


ФРКЕ.00004-04 34 01

124

Рисунок 79

Параметры блокировки рекламы настраиваются в правой части окна. По умолчанию флажок блокировки всплывающих окон Блокировать всплывающие окна снят, флажок блокировки баннеров Блокировать баннеры установлен. ViPNet Client [Монитор] блокирует баннеры, наиболее распространенные на сегодняшний день, список шаблонов адресов этих баннеров содержится в окне Реклама ниже флажка Блокировать баннеры в виде списка строк фильтрации (Рисунок 79). Принцип блокировки баннеров следующий: будут блокированы баннеры и другие элементы, в адресах которых содержатся строки из списка (Рисунок 79). Результатом блокирования баннера является его полное удаление с веб-страницы. Результатом блокирования всплывающих окон является отсутствие всплывающих окон при просмотре веб-страниц.

Для списка строк фильтрации баннеров доступны следующие действия (действия доступны только если установлен флажок Блокировать баннеры):

1. Добавление строк фильтрации баннеров в список. Для добавления строки фильтрации нажмите кнопку Добавить, откроется окно Строка фильтрации (Рисунок 80).

Рисунок 80

Введите строку фильтрации баннера, который Вы желаете блокировать. Строка фильтрации может содержать либо полный адрес баннера (URL баннера), либо его шаблон (часть URL баннера). При задании шаблона баннера можно использовать следующие символы:

• * – любая последовательность любых символов.

• ? – любой единичный символ.

• [ ] – соответствует любому единичному символу из числа заключенных в скобки. В скобках также можно задавать диапазоны символов с помощью "-". Например, выражение [abс0-9] задаёт один символ, которой может быть буквами "а", "b", "с" или любой цифрой.


ФРКЕ.00004-04 34 01

125

• [^ ] – соответствует символу отличному от тех, которые заданы в [ ]. Например, выражение [^abс0-9] задаёт один символ, кроме букв "а", "b", "с" или любой цифры.

• \ – отменяет действие специального символа. Например, выражение \? рассматривается как символ "?".

• | – операция "или". Например, выражение abc|bds означает последовательность символов "abc" или последовательность символов "bds".

• ( ) – круглые скобки объединяют последовательность символов в один «мета-символ». Круглые скобки используются для построения сложных, вложенных выражений. Например, выражение (abсd) задаёт последовательность символов "abcd".

• (^ ) – соответствует значению отличному от тех, которые заданы в (). Например, выражение (^abсd) задаёт что угодно, кроме последовательности символов "abcd".

• + – выражение, стоящие перед "+", может повторяться один или более раз. В операцию "+" войдут все символы, которые смогут интерпретироваться как повторяющиеся. Например, a+ будет соответствовать "a", "aа", "ааа" и т.д. При этом выражение, которое следует за "+" не учитывается. Например, a+a не будет соответствовать "aa", так как "а+" поглотит два "а".

• ++ – тоже, что и "+", но в операцию "++" не войдут символы, которые могут быть распознаны выражением после "++". Например, строку "aba" распознает выражение [аb]++а, но не распознает выражение [аb]+а.

По окончании ввода строки фильтрации нажмите OK, строка фильтрации появится в списке (Рисунок 79).

2. Редактирование строк фильтрации баннеров из списка. Для редактирования строки фильтрации выберите строку и нажмите кнопку Редактировать, в открывшемся окне отредактируйте строку фильтрации и нажмите OK. Отредактированная строка фильтрации появится в списке строк (Рисунок 79).

3. Удаление строк фильтрации баннеров из списка. Для удаления строки фильтрации выберите строку и нажмите кнопку Удалить. Строка будет удалена из списка после подтверждения удаления в появившемся окне.

4. Сохранение списка строк фильтрации блокируемых баннеров в текстовый файл. Для сохранения нажмите кнопку Экспорт строк, в открывшемся окне введите имя файла для сохранения строк фильтрации. По умолчанию предлагается файл Web-filters.xml.

5. Импорт списка строк фильтрации блокируемых баннеров из текстового файла. Для импорта сохраненного ранее списка строк фильтрации нажмите кнопку Импорт строк, в открывшемся окне укажите текстовый файл откуда будет осуществлен импорт строк фильтрации.

Замечание: Функции экспорта и импорта полезны для переноса списка строк фильтрации блокируемых баннеров с одного компьютера на другой, а также для создания резервных копий. Настройте параметры в соответствии с Вашими потребностями. Для применения

установленных параметров нажмите кнопку OK или Применить в окне Реклама (Рисунок 79). Замечание: На некоторых веб-сайтах всплывающие окна используются для предоставления

какой-либо функциональности, поэтому при установленном флажке Блокировать всплывающие окна могут возникнуть проблемы с доступом к информации на таких сайтах. Для обеспечения нормального отображения информации на таких сайтах внесите их в список исключений (см. п. 13.4) и отключите для них блокировку всплывающих окон.

13.2 Блокировка интерактивных элементов Блокировка различных интерактивных элементов способствует увеличению скорости

открытия веб-страниц, уменьшению сетевого трафика и обеспечению сохранности личной информации на Вашем компьютере при работе в Интернете.

Для настройки веб-фильтров блокирования различных интерактивных элементов на просматриваемых сайтах выберите в левой части окна Настройка прикладных протоколов раздел Веб-фильтры\Интерактивные элементы (Рисунок 81).


ФРКЕ.00004-04 34 01

126

Рисунок 81

Параметры блокировки интерактивных элементов настраиваются в правой части окна. По умолчанию все флажки сняты, никакие интерактивные элементы не блокируются. Чтобы заблокировать интерактивные элементы ActiveX, Flash-анимацию, Java-приложения, JavaScript и VBScript сценарии установите соответствующие флажки.

Для применения установленных параметров нажмите кнопку OK или Применить (Рисунок 81). Замечание: На некоторых веб-сайтах для предоставления какой-либо функциональности

используются JavaScript и VBScript сценарии, поэтому при установленном флажке Блокировать JavaScript и VBScript сценарии могут возникнуть проблемы с доступом к информации на таких сайтах. Для обеспечения нормального отображения информации внесите их в список исключений (см. п. 13.4) и отключите для них блокировку JavaScript и VBScript сценариев.

13.3 Блокировка Cookies и Referer Блокировка Cookies и Referer позволяет обеспечить защиту от несанкционированного сбора

информации о Ваших действиях в Интернете. Для настройки блокировки использования Cookies и Referer выберите в левой части окна

Настройка прикладных протоколов раздел Веб-фильтры\Конфиденциальность (Рисунок 82).


ФРКЕ.00004-04 34 01

127

Рисунок 82

Параметры блокировки настраиваются в правой части окна. По умолчанию все флажки сняты, т.е. Cookies и Referer не блокируются. Чтобы заблокировать использования Cookies и Referer установите соответствующие флажки.

Для применения установленных параметров нажмите кнопку OK или Применить (Рисунок 82).

13.4 Настройка исключений Если при просмотре некоторых сайтов у Вас возникают проблемы с доступом к информации,

связанные с блокировкой большой части содержимого сайта настроенными общими веб-фильтрами, Вы можете добавить такие сайты в список исключений и задать для них индивидуальные веб-фильтры.

Для настройки исключений выберите в левой части окна Настройка прикладных протоколов раздел Веб-фильтры\Исключения (Рисунок 83).


ФРКЕ.00004-04 34 01

128

Рисунок 83

Настройки производятся в правой части окна: 1. Добавление сайта и настройка для него индивидуального веб-фильтра.

Для добавления сайта нажмите кнопку Добавить, откроется окно Добавление веб-фильтров (Рисунок 84).

Рисунок 84

Введите адрес сайта, для которого Вы желаете настроить индивидуальный фильтр, в строку Введите адрес сайта. Адрес сайта может содержать либо полный адрес (URL), либо его шаблон (часть URL). При задании шаблона адреса можно использовать такие же символы, как и при задании шаблонов баннеров (см. п. 13.1, абзац 1).

Далее настройте параметры блокировки различных интерактивных элементов на указанном сайте. По умолчанию все элементы разрешены, соответствующие флажки сняты. Для того чтобы включить блокировку какого-либо интерактивного элемента установите флажок перед именем элемента.


ФРКЕ.00004-04 34 01

129

Замечание: Блокировка баннеров (если установлен флажок Баннеры) осуществляется в соответствии со списком шаблонов баннеров из раздела Веб-фильтры\Реклама (Рисунок 79).

По окончании настройки нажмите OK, адрес сайта появится в списке сайтов исключений (Рисунок 83).

2. Изменение индивидуального веб-фильтра. Для изменения веб-фильтра нажмите кнопку Изменить, в открывшемся окне отредактируйте адрес сайта и (или) параметры веб-фильтра и нажмите OK.

3. Удаление сайта из списка исключений. Для удаления выберите строку с именем сайта и нажмите кнопку Удалить. Сайт и настроенные для него индивидуальные веб-фильтры будут удалены из списка исключений после подтверждения удаления в появившемся окне. После применения настроек для удаленного сайта начнут действовать общие веб-фильтры.

Настройте индивидуальные веб-фильтры в соответствии с Вашими потребностями. Для применения установленных параметров нажмите кнопку OK или Применить в окне Исключения (Рисунок 83).

14 Просмотр результатов работы программы Программа ViPNet Client [Монитор] фиксирует различного рода информацию по результатам

своей работы на Вашем компьютере. Всю эту информацию Вы можете отслеживать. В этой главе описаны способы просмотра различной информации по результатам работы

программы ViPNet Client [Монитор].

14.1 Работа с журналом IP-пакетов Для анализа проходящего через компьютер IP-трафика ViPNet [Monitor] ведет журналы

регистрации IP-пакетов, зарегистрированных ViPNet Драйвером.

14.1.1 Просмотр журнала пакетов

Чтобы просмотреть журнал пакетов:

1. В программе ViPNet [Monitor] в левой панели выберите элемент Журнал пакетов. 2. В правой панели задайте нужные Вам параметры поиска или используйте параметры по

умолчанию. 3. Нажмите кнопку Поиск. 4. В окне Журнал регистрации IP-пакетов вы сможете увидеть информацию обо всех IP

пакетах, зарегистрированных ViPNet-драйвером, соответствующую указанным параметрам поиска.


ФРКЕ.00004-04 34 01

130

14.1.2 Настройка параметров поиска IP-пакетов

Рисунок 85. Настройка параметров поиска IP-пакетов

Чтобы настроить параметры поиска IP пакетов: 1. В программе ViPNet [Monitor] в левой панели выберите элемент Журнал пакетов. 2. В правой панели в списке Время регистрации IP пакетов, выберите одно из следующих

значений: • Последние 24 часа (в окне Журнал регистрации IP-пакетов будет показана

информациях об IP пакетах, зарегистрированных ViPNet-драйвером за прошедшие сутки)

• Последний час (в окне Журнал регистрации IP-пакетов будет показана информациях об IP пакетах, зарегистрированных ViPNet-драйвером за прошедший час).

• Заданный интервал. При выборе значения Заданный интервал, в полях ниже введите дату и точное время начала и конца интервала, в течение которого были зарегистрированы IP пакеты.

3. Если вы хотите ограничить отображение записей о найденных IP пакетах, установите флажок в поле Отображать не более и введите требуемое количество записей. Если флажок снят, то в журнале будут отображаться все записи за заданный интервал дат и времени.

4. В списке Тип трафика выберите, записи о каких IP пакетах будут отражены в окне Журнал регистрации IP-пакетов:

• Весь трафик (будут показаны записи обо всех IP пакетах); • Защищенный (будут показаны запись только защищенных соединений (то есть

соединениям между узлами ViPNet); • Открытый (будут показаны записи, относящиеся к незашифрованным соединениям

узлов ViPNet c открытыми сетевыми ресурсами). 5. В списке Событие, настройте фильтрацию записей журнала по событиям, которые ПО

ViPNet присваивает каждому IP-пакету. Описание событий, отслеживаемых ПО ViPNet, находится в п. 14.1.6 на стр. 139.


ФРКЕ.00004-04 34 01

131

6. В группе Свой компьютер в поле IP адрес укажите один из IP-адресов данного компьютера. 7. В группе Внешнее устройство в поле IP адрес укажите IP-адрес компьютера, который

является вторым участником соединения. В поле Сетевой узел можно выбрать сетевой узел ViPNet, являющийся вторым участником

соединения. Обратите внимание, что задавать значения для обоих этих полей имеет смысл в случае,

если получатель пакетов имеет несколько IP адресов, и нам необходимо увидеть статистику соединений с каким-либо конкретным IP адресом, зарегистрированном на выбранном получателе.

Чтобы выбрать сетевой узел, нажмите кнопку ( ). 8. В списке Протокол выберите название протокола, по которому передавались IP пакеты,

информацию о которых вы хотите получить. Вы можете как воспользоваться значениями из списка, так и добавить новые. Чтобы добавить новые протоколы для фильтрации:

1. В секции Журнал IP адресов, в группе Протокол нажмите кнопку ( ). 2. В окне Список протоколов нажмите либо кнопку Добавить, либо кнопку Добавить

из списка. 3. По окончании нажмите кнопку OK для сохранения изменений или кнопку Отмена для

закрытия окна Список протоколов без сохранения изменений. В случае выбора ICMP в качестве протокола у вас появится возможность в полях Тип и Код указать значения для типа и кода протокола ICMP соответственно. В случае выбора в качестве протокола TCP или UDP у вас появится возможность в полях Локальный порт и Внешний порт указать конкретные номера портов, по которым было установлено соединение.

9. В группе Признаки IP-пакетов: 1. В списке Направление, укажите параметры фильтрации журнала IP пакетов по

направлению (Входящие, Исходящие, Все). 2. В списке Широковещание, укажите, хотите ли вы отображать в журнале IP пакетов

только широковещательные пакеты, или только нешироковещательные, или все. 10. По окончании настройки параметров поиска нажмите кнопку Поиск.

Будет выполнен поиск IP пакетов на основе указанных параметров. Результат будет отображен в окне Журнал регистрации IP пакетов. Совет! Чтобы вернуться к исходным параметрам поиска (и тем самым отменить все сделанные вами настройки), нажмите кнопку Параметры по умолчанию.

14.1.3 Просмотр журнала регистрации IP-пакетов другого узла ViPNet

Вы можете запросить журнал регистрации IP-пакетов любого узла ViPNet, с которым у вас есть связь. Для этого:

1. Войдите в программу ViPNet [Monitor] c правами администратора. Подробнее см. Работа в программе в режиме администратора стр.154).

2. В программе ViPNet [Monitor] в левой панели выберите элемент Журнал пакетов. 3. В правой панели в списке Журнал сетевого узла выберите сетевой узел, журнал IP-пакетов

которого вы хотите просмотреть.

Рисунок 86. Просмотр журнала регистрации IP- пакетов другого узла ViPNet


ФРКЕ.00004-04 34 01

132

Для этого вы можете воспользоваться либо списком, состоящим из узлов, журналы которых

были просмотрены в последнее время, либо с помощью кнопки выбрать другой сетевой узел.

4. Будет выполнено подключение к выбранному сетевому узлу. После успешного подключения сетевой узел отображается в поле Журнал сетевого узла. В случае если не удается подключиться сразу, то появляется сообщение о том, что производится подключение к сетевому узлу. Процесс подключения происходит в течение 60 секунд, и если подключения так не происходит, то появляется сообщение о невозможности подключения к сетевому узлу. Вы можете остановить процесс подключения, не дожидаясь 60 секунд, нажав кнопку Отмена.

5. Если подключение произошло успешно, настройте остальные параметры поиска (подробнее см. Настройка параметров поиска IP-пакетов). Замечание: Обратите внимание, что для настройки параметров поиска журнала IP-пакетов выбранного узла будут доступны те же настройки, что и на самом узле. Это значит, что если вы, работая в программе ViPNet [Monitor] Client, выбрали просмотр узла, на котором установлен ViPNet [Monitor] Coordinator, то вы сможете произвести такие настройки, как выбор сетевого интерфейса и фильтрация трафика для событий, которые доступны только для координаторов. Если соединиться с выбранным узлом не удалось, выберите другой узел. Замечание: Если на сетевом узле, журнал которого Вы желаете запросить, установлена версия ViPNet ниже 3.0, то параметры поиска информации в журнале на этом узле будут ограничены, поскольку журнал IP-пакетов в версии ViPNet ниже 3.0 ведется в другом формате. Соответствующее сообщение появится на Вашем экране.

14.1.4 Просмотр журнала регистрации IP-пакетов

Замечание: ViPNet Драйвер запоминает определенный объем информации об IP-пакетах даже когда ViPNet Монитор не загружен. После загрузки Монитора Драйвер передает ему сохраненную информацию, и она отображается в журнале регистрации IP-пакетов. Однако следует учитывать, что информация, сохраняемая в памяти Драйвера, ограничена 10000 записями журнала и при переполнении памяти более старые данные замещаются более новыми. Поэтому если Монитор был выгружен продолжительное время, то часть информации, возможно, будет утеряна. Часть информации может быть утеряна и в случае установки значения 0 в параметре Регистрировать однотипные IP-пакеты одной записью в интервале окна настройки журнала (см. п.14.1.5, стр.138).


ФРКЕ.00004-04 34 01

133

Рисунок 87. Журнал регистрации IP-пакетов - внешний вид

Цифрами на рисунке обозначены: 1. Столбец Тип события (см. таблицу ниже). 2. Столбец Свойства пакета (см. таблицу ниже). 3. Главное меню. 4. Панель инструментов. Вы можете удалять или добавлять кнопки на панель

инструментов. Для этого в меню Вид выберите Настроить панель. 5. Заголовки столбцов верхней панели (8). Отображение столбцов может быть

настроено пользователем (см.Настройка отображения журнала регистрации IP пакетов.).

6. В Журнале регистрации IP пакетов всегда светло-сиреневым цветом выделены: широковещательные и служебные IP-пакеты. Отменить данное выделение нельзя.

7. Верхняя панель. 8. Нижняя панель. Содержит подробную информацию о выделенном в данный

момент в верхней панели записи журнала.


ФРКЕ.00004-04 34 01

134

Вы можете скрыть эту панель. Для этого в меню Вид щелкните Свойства IP-пакетов. Вы можете также получить доступ к этой информации с помощью окна Информация о записи (11) Для этого щелкните правой кнопкой мыши по выбранной записи и в контекстном меню выберите Свойства IP-пакета.

9. Строка состояния. Показывает количество выбранных записей журнала, общее количество показываемых записей и объем трафика, содержащегося в выбранных записях (подробнее о подсчете объема см. Подсчет объема трафика).

10. Окно Информация о записи. Полностью дублирует информацию, показываемую в нижней панели (9).

Записи в журнале группируются по следующему принципу: В какой-то момент времени программа регистрирует IP-пакет с определенными

характеристиками (адресами, портами, протоколом, и т.д.) и создает запись, при этом данный момент времени записывается в столбец Начало интервала. Далее в течение времени, указанного в окне Настройка\ Журнал IP-пакетов (параметр Регистрировать однотипные IP-пакеты одной записью в интервале, п.14.1.5, стр.138) подсчитывается количество пакетов с такими же характеристиками, при этом новая запись не создается. Количество пакетов фиксируется в столбце Счетчик. Когда время, указанное в Регистрировать однотипные IP-пакеты одной записью в интервале закончится, то при регистрации очередного пакета с такими же характеристиками создастся новая запись.

Соответственно при приходе какого-либо пакета с другими характеристиками, для него создается своя запись и выполняется тот же принцип.

Для каждой записи журнала выводится следующая информация:

Название колонки Описание Тип события (первая колонка слева)

В журнале регистрируется четыре типа событий, отображающиеся следующими значками:

– IP-пакеты заблокированы (записи присвоено одно из событий группы событий Блокированные IP-пакеты (1-34, 80-104), см. п.14.1.6, стр.139).

– IP-пакеты пропущены (записи присвоено одно из событий группы событий Все пропущенные IP-пакеты (40-61), см. п.14.1.6, стр.142).

– IP-пакеты блокированы системой обнаружения вторжений (записи присвоено одно из событий группы События системы обнаружения вторжений, см. п.14.1.6.1, стр.144).

– Зарегистрированые IP-пакеты, принадлежащие служебным событиям (см. см. п.14.1.6, стр.142, группа Все IP-пакеты\Служебные события)

Свойства пакета (вторая колонка слева)

Указываются следующие свойства пакета: – открытые входящие IP-пакеты. – открытые исходящие IP-пакеты.

– зашифрованные входящие IP-пакеты. – зашифрованные исходящие IP-пакеты.

Начало интервала Дата и время создания новой записи при регистрации пакета с

определенными характеристиками. Конец интервала Информация в этой колонке зависит от параметра Регистрировать

однотипные IP-пакеты одной записью в интервале окна Настройка\ Журнал IP-пакетов, п.14.1.5, стр.138 (по умолчанию 1 час):

• Если закончилось время, указанное в вышеуказанном параметре, то в этой колонке отображается дата и время окончания подсчета количества IP-пакетов с одинаковыми характеристиками без создания новых записей. Это значение больше не изменится.


ФРКЕ.00004-04 34 01

135

• Если указанный временной интервал еще не завершился, то Конец интервала показывает время последней регистрации IP-пакета с данной характеристикой, и если зарегистрируются еще такие IP-пакеты, то значение данного параметра будет меняться.

Узел источника Имя сетевого узла отправителя пакета (только для соединений между защищенными узлами). При соединениях с открытыми ресурсами данный столбец будет пустым.

Источник Отправитель пакета. Для открытого пакета – IP адрес и имя компьютера (если определилось). Для закрытого – имя узла ViPNet.

IP-адрес источника Значение IP-адреса и имени компьютера (если определилось) отправителя пакета.

Порт источника Значения порта соединения отправителя пакета.

Назначение Получатель пакета Для открытого пакета – IP адрес и имя компьютера (если определилось) Для закрытого – имя узла ViPNet.

Узел назначения Имя сетевого узла получателя пакета (только для соединений между защищенными узлами). При соединениях с открытыми ресурсами данный столбец будет пустым.

IP-адрес назначения Значение IP-адреса и имени компьютера (если определилось) получателя пакета.

Порт назначения (Тип/код ICMP)

Значения порта соединения получателя пакета.

Протокол Протокол, по которому происходил обмен. Событие Событие, присвоенное записи. Описание событий, отслеживаемых ПО

ViPNet, находится в п. 14.1.6 на стр. 139. Количество пакетов Количество IP-пакетов с одинаковой характеристикой, т.е. сгруппированных

в одну запись, в заданный интервал времени. Размер Размер (в байтах) всех IP-пакетов, сгруппированных в одну запись. Размер

IP-пакетов выбранной записи отображается также в строке состояния (см. Рисунок 87).

14.1.4.1 Подсчет объема трафика

С помощью Журнала регистрации IP пакетов вы можете подсчитать общий размер IP-пакетов, удовлетворяющих критериям поиска. Для этого:

1. В окне Журнал регистрации IP-пакетов в верхней панели выделите интересующие вас записи журнала. Вы можете выделить все IP-пакеты, показанные в журнале. Для этого используйте комбинацию клавиш Ctrl+A.

2. В строке состояния будет отображен суммарный размер трафика, созданный выделенными IP-пакетами (см. Рисунок 87).

14.1.4.2 Настройка отображения журнала регистрации IP пакетов.

Вы можете настроить количество отображаемых в верхней панели окна Журнал регистрации IP-пакетов. Для этого:

1. В окне Журнал регистрации IP-пакетов, в верхней панели, щелкните правой кнопкой мыши по любому из заголовков столбцов.

2. В появившемся контекстном меню выберите Свойства. 3. В окне Выбор столбцов вы можете:

1. Сменить местоположение отображаемых столбцов с помощью кнопок Вверх, Вниз. Кнопка Вверх сдвигает столбец влево, кнопка Вниз – вправо.


ФРКЕ.00004-04 34 01

136

2. Скрыть или показать в окне Журнал регистрации IP-пакетов те или иные столбцы. Для этого воспользуйтесь кнопками Добавить или Удалить.

3. Восстановить положение и количество отображаемых столбцов так, как было сделано по умолчанию с помощью кнопки По умолчанию.

Рисунок 88. Настройка отображения столбцов в Журнале регистрации IP-пакетов.


Совет! Рисунок 88 показывает, какие столбцы скрыты, а какие отображаются по умолчанию.

14.1.4.3 Выделение IP пакетов

В Журнале регистрации IP-пакетов вы можете выделить IP-пакеты: • принадлежащие одной сессии, установленной во время начала взаимодействия

между двумя узлами; • принадлежащие одним и тем же IP-адресам в независимости от направления пакета и

порта соединения; • все широковещательные, отображенные в Журнале регистрации IP-пакетов; • все служебные, отображенные в Журнале регистрации IP-пакетов. Служебными

являются IP-пакеты, отправленные по протоколам и портам, использующимися приложениями ViPNet для обмена данными между собой. Также данное выделение затронет IP-пакеты, относящиеся к служебным событиям (42, 46, 48, 49, 110)

Замечание! Сессия в данном контексте представляет собой все IP-пакеты, идущие от узла 1 к узлу 2 и от узла 2 к узлу 1. При этом, если соединение идет по протоколу TCP/IP или UDP, то учитываются также и порты. Например, будет считаться одной сессией связь между узлом 1 и узлом 2 по HTTP (на узле 2 стоит IIS и узел 1 открывает веб-страницу с этого IIS). Однако, если узел 1 подключится к узлу 2 по ftp (скачает файл с ftp-сервера, установленного на узле 2), то это уже будет считаться другой сессией.

Чтобы выделить IP-пакеты:

1. В окне Журнал регистрации IP-пакетов, щелкните правой кнопкой мыши по записи в журнале.

2. В появившемся контекстном меню выберите: • Выделить сессию. Тем самым будут выделены все записи в журнале, созданные в

рамках сессии. • Выделить по IP-адресам. Тем самым будут выделены все и записи журнала,

созданные в результате анализа трафика, между указанными IP адресами.


ФРКЕ.00004-04 34 01

137

Рисунок 89. Выделение записей Журнала регистрации IP-пакетов

14.1.4.4 Хорошие практики. Анализ открытых (нешифрованных) и зашифрованных соединений

Чтобы удобно анализировать открытые соединения в Журнале регистрации IP пакетов, мы

рекомендуем произвести следующие настройки: 1. В окне Журнал регистрации IP-пакетов, в верхней панели, щелкните правой кнопкой мыши

по любому из заголовков столбцов. 2. В появившемся контекстном меню выберите Свойства. 3. Чтобы удобно анализировать

• Открытые (нешифрованные) соединения: a. В окне Поля настройте отображение следующих столбцов: IP-адрес

источника, IP-адрес назначения. b. В окне Поля скройте следующие столбцы: Источник, Узел источника,

Назначение, Узел назначения. Отображение остальных столбцов остается на ваше усмотрение.

• Закрытые (зашифрованные) соединения: a. В окне Поля настройте отображение следующих столбцов: Узел источника,

Узел назначения. b. В окне Поля скройте следующие столбцы: IP-адрес источника, IP-адрес

назначения. Отображение остальных столбцов остается на ваше усмотрение.


14.1.4.5 Просмотр Журнала регистрации IP-пакетов в интернет браузере и Microsoft Excel.

Вы можете просмотреть все отображенные IP-пакеты в вашем интернет браузере или в программе Microsoft Excel. Для этого в окне Журнал регистрации IP-пакетов в меню Журнал выберите:

• Просмотр в виде веб-страницы - для просмотра созданного Журнала регистрации IP-пакетов в вашем интернет-браузере.

• Просмотр в Microsoft Excel - для открытия Журнала регистрации IP-пакетов в программе Microsoft Excel.


ФРКЕ.00004-04 34 01

138

Рисунок 90. Просмотр Журнала регистрации IP-пакетов в интернет-браузере и Microsoft Excel

Совет! С помощью данных возможностей вы можете не только просмотреть Журнал IP пакетов в интернет-браузере или программе Microsoft Excel, но и сохранить его в файл (либо *.html, или *.xls). Для этого, после открытия Журнала регистрации IP-пакетов в выбранной программе, необходимо выбрать команду Coхранить как.

14.1.5 Настройки параметров регистрации IP-пакетов в журнале (окно Настройка\Журнал IP-пакетов)

Настройки системы производятся в окне Настройка\Журнал IP-пакетов (Рисунок 91). Для вызова окна Настройка воспользуйтесь главным меню Сервис -> Настройки. В окне Настройка выберите раздел Журнал IP-пакетов.

Рисунок 91

В этом окне Вы можете настроить параметры, по которым будет фиксироваться информация в журнале:

Название параметра Описание Максимальный размер журнала

Максимальный размер текущего журнала. По умолчанию – 1 Мб. Этот параметр предназначен для ограничения размера журнала. При достижении максимального размера журнала, указанного в этом поле, все записи в хронологическом порядке перемещаются в архив журналов (см. п. 14.1.7, стр.145). Сам журнал обнуляется. Если задать значение 0, то журнал регистрации перестает пополняться свежей информацией, т.е. журнал больше не ведется. Вся информация, которая была в журнале до установки значения 0, сохранится.

Максимальный размер Этот параметр предназначен для ограничения размера архива


ФРКЕ.00004-04 34 01

139

архива журналов журналов. По умолчанию – 10 Мб. При достижении максимального размера журнала, указанного в поле Максимальный размер журнала, все записи в хронологическом порядке перемещаются в архив журналов. Если архив журналов достиг своего максимального значения, то выдается сообщение "Размер архивов журналов достиг N Мбайт. Желаете ли Вы изменить размер архива?". N – это значение параметра Максимальный размер архива журналов. Если размер архива требуется изменить, укажите значение в редактируемом поле. Если размер архива увеличен не будет, то часть самых старых записей в хронологическом порядке будет удалена. Если задать значение 0, то информация из журнала, при достижении им максимального размера, перестает перемещаться в архив журнала, т.е. архив больше не ведется. Вся информация, которая была в архиве до установки значения 0, сохранится.

Группа параметров Регистрация IP-пакетов – выбор типа IP-пакетов, которые будут регистрироваться в журнале Регистрировать Из списка можно выбрать одно из следующих значений:

• Все IP-пакеты – регистрировать в журнале все пакеты (установлено по умолчанию). • Только блокируемые IP-пакеты – регистрировать в журнале только пакеты, которые по каким-либо причинам блокируются.

Регистрировать однотипные IP-пакеты одной записью в интервале

Временной интервал для окна Журнал регистрации IP-пакетов. умолчанию – 60 минут. Этот параметр предназначен для уменьшения числа записей в журнале. Как уже описано выше при регистрации IP-пакета определенного типа в журнале создается новая запись и в течение указанного в этом параметре времени подсчитывается количество пакетов такого же типа без создания записей. Тем самым объем журнала сокращается. Чем больше указанный временной интервал, тем меньше объем журнала. Но при этом уменьшается точность определения времени прохождения IP-пакетов данного типа. Значение данного временного интервала следует подбирать индивидуально. По окончании этого времени при регистрации очередного пакета данного типа создастся новая запись. Если задать значение 0, то информация о каждом пакете будет фиксироваться в виде отдельной записи. Значение 0 рекомендуется задавать только в тестовых целях. Поскольку информация, сохраняемая в памяти Драйвера, ограничена 10000 записями журнала, и при переполнении памяти более старые данные замещаются более новыми, то при большом трафике часть информации может быть утеряна. Кроме того, существенно увеличиваются ресурсы процессора, потребляемые ViPNet Монитором, и снижается скорость обработки трафика.

Регистрировать широковещательные пакеты

По умолчанию флажок снят. Если установить флажок, то будут регистрироваться широковещательные пакеты.

Для TCP-соединений регистрировать только порт Сервера

По умолчанию флажок установлен. Т. е. в журнале, для TCP-соединений пакеты будут суммироваться в одну запись по порту Сервера без учета порта Клиента.

Все произведенные действия можно сохранить, если нажать кнопку Применить или отменить,

если нажать кнопку Отмена.

14.1.6 Описание событий, отслеживаемых ПО ViPNet

Все события разделены на группы и подгруппы. Иерархия групп и подгрупп отображена в таблице (Таблица 2).


ФРКЕ.00004-04 34 01

140

Таблица 2

Все IP-пакеты

Блокированные пакеты Все пропущенные пакеты

Порт инкапсуляции в UDP-пакеты

События системы обнаружения вторжений

IP-пакеты, блокированные правилами защищенной сети

IP-пакеты, блокированные правилами открытой сети

IP-пакеты, блокированные по другим причинам

Пропущенные зашифрованные IP-пакеты

Пропущенные незашифрованные IP-пакеты

- IP

ICMP

UDP

TCP

Записи журнала можно отфильтровать по группе (или подгруппе) событий или по конкретному

событию, выбрав строку с соответствующим названием в окне формирования запроса на поиск информации в журнале – Журнал IP-пакетов в поле Событие.

Списки событий, отслеживаемых ViPNet, а также группы, к которым относятся события, описаны ниже:

Группа Все IP-пакеты\Блокированные IP-пакеты\IP-пакеты, блокированные правилами защищенной сети

№ события

Название события Описание события

1 Не найден ключ для сетевого узла

Не найден ключ для связи с пользователем, идентификатор которого указан в пакете

2 Неверное значение имито Защищаемые данные или открытая информация криптосистемы были изменены

3 IP-пакет блокирован фильтром защищенной сети

Согласно настройкам фильтров входящий зашифрованный или предназначенный для шифрования исходящий открытый пакет был заблокирован

4 Слишком большая разница во времени

Сообщение было отправлено либо раньше, либо позже даты, установленной на принимающей машине, на величину большую, чем указано в настройке допустимого времени отправки принятых пакетов (см. п.15.1.2)

7 Неизвестный метод шифрования

Не поддерживается метод шифрования, код которого указан во входящем пакете

8 Искаженный IP-пакет Недопустимые параметры в расшифрованном пакете 9 Неизвестный

идентификатор сетевого узла

Идентификатор отправителя в пакете неизвестен

10 IP-пакет блокирован главным фильтром защищенной сети

Пакет блокирован фильтром защищенной сети IP-пакеты всех адресатов

13 Превышено время жизни IP-пакета

Пакет уничтожен из-за превышения лимита его нахождения в сети

14 Получен IP-пакет для другого сетевого узла

Принят пакет для другого адресата

15 Слишком много фрагментов для IP-пакета

Превышено допустимое количество одновременно обрабатываемых фрагментированных пакетов

16 Исчерпана лицензия на количество туннелируемых адресов

Это событие только для Координатора, осуществляющего туннелирование. На координатор одновременно поступили пакеты от большего количества


ФРКЕ.00004-04 34 01

141

машин, чем прописано в лицензии 17 Неверный IP-адрес Это событие только для Координатора,

осуществляющего туннелирование. На координатор поступил зашифрованный пакет, предназначенный для туннелируемого ресурса данного координатора, но IP-адрес ресурса отсутствует в списке туннелируемых адресов данного координатора.

18 Неизвестный IP-адрес получателя

Это событие только для Координатора. Появляется в случае, если координатор не знает на какой адрес перенаправить входящий пакет

Группа Все IP-пакеты\Блокированные IP-пакеты\IP-пакеты, блокированные правилами

открытой сети 22 Незашифрованный IP-

пакет от сетевого узла От защищённого адресата пришёл открытый пакет

23 Незашифрованный широковещательный IP-пакет от сетевого узла

От защищённого адресата пришёл открытый широковещательный пакет

30 Локальный IP-пакет блокирован фильтром открытой сети

Пакет блокируется правилом фильтрации открытой сети из группы локальных правил или для пакета не удалось найти подходящее правило

31 Транзитный IP-пакет блокирован фильтром открытой сети

Это событие только для Координатора. Пакет блокируется правилом фильтрации открытой сети из группы транзитных правил или для пакета не удалось найти подходящее правило

32 Широковещательный IP-пакет блокирован фильтром открытой сети

Пакет блокируется правилом фильтрации открытой сети из группы широковещательных правил или для пакета не удалось найти подходящее правило

33 IP-пакет блокирован фильтром антиспуфинга

Это событие только для Координатора. Найдено соответствующее правило в таблице антиспуфинга

34 Неподдерживаемый тип ICMP-сообщения

ICMP-пакет не принадлежит ни одному из существующих соединений и при этом его тип отличен от типа 8, кода 0

37 Пакет блокирован фильтром для туннелируемых ресурсов

Это событие только для Координатора. Пакет блокируется правилом фильтрации для туннелируемых ресурсов или для пакета не удалось найти подходящее правило

38 Пакет блокирован правилом 1 режима

Пакет блокируется 1 режимом безопасности, установленным на сетевых интерфейсах

39 IP-пакет блокирован фильтрами по умолчанию при загрузке компьютера

Пакет заблокирован фильтрами по умолчанию при загрузке компьютера

Группа Все IP-пакеты\Блокированные IP-пакеты\IP-пакеты, блокированные по другим

причинам 80 Размер IP-пакета меньше

допустимого Размер IP-пакета меньше минимально возможного

81 Недопустимая версия протокола IP

В данной версии поддерживается только протокол IP версии 4

82 Недопустимая длина заголовка IP

Длина заголовка протокола IP меньше минимально возможного

83 Недопустимая длина IP-пакета

Длина пакета меньше, чем указано в заголовке протокола IP

84 Несовпадение контрольной суммы IP

Подсчитанное значение контрольной суммы IP-пакета не совпадает со значением, указанным в пакете

85 Размер заголовка TCP Недопустимо короткий заголовок протокола TCP


ФРКЕ.00004-04 34 01

142

меньше минимально допустимого

86 Размер заголовка UDP меньше минимально допустимого

Недопустимо короткий заголовок протокола UDP

88 Широковещательный адрес отправителя IP-пакета

Адрес отправителя в пакете указан широковещательный

90 Недостаточно ресурсов для криптообработки

Невозможно создать ключ для зашифрования или расшифрования пакета из-за недостаточности свободных ресурсов криптодрайвера. Если эта ошибка стабильно проявляется, обратитесь в службу поддержки Инфотекс. Возможно, потребуется обновление версии драйвера, использующего больше машинных ресурсов, или более совершенная модель компьютера

91 IP-пакет получен во время инициализации драйвера

Блокировка всех пакетов во время инициализации драйвера

92 Слишком большой размер IP-пакета

Размер пакета ограничен параметром 48 Кбайт

93 Превышено время сборки фрагментов IP-пакета

За допустимое время получены не все фрагменты фрагментированного пакета

95 Обнаружен сетевой узел с таким же идентификатором

Поступили пакеты с одинаковыми идентификационными номерами СУ, но разными IP-адресами

97 IP-пакет блокирован фильтром SQL

Соединение заблокировано Microsoft SQL фильтром

100 Недопустимые флаги TCP

Блокируются новые соединения с установленными одновременно флагами SYN+FIN/RST. Также блокируются новые (с точки зрения ПО ViPNet) соединения без флага SYN. Т.е. если до загрузки ПО ViPNet были установлены какие-либо TCP-соединения, то после загрузки ВСЕ пакеты, касающиеся этих соединений, будут блокироваться. Блокируется "некорректный" пакет в уже установленном TCP-соединении.

101 Не найден маршрут для транзитного IP-пакета

Это событие только для Координатора. Не найдено правило для транзитного пакета в таблице маршрутов.

102 Модуль прикладной обработки не загружен

Не загружен соответствующий модуль прикладной обработки

103 Превышено максимальное количество соединений

Количество уже установленных соединений превышает максимально допустимое ПО ViPNet (не лицензией)

104 Соединение уже существует

Если параметры исходящих пакетов для создаваемого соединения совпадают с уже существующими, то такое соединение блокируется

105 Не удалось выделить динамический порт для правила трансляции адресов

Это событие только для Координатора. Координатор не смог выделить порт для динамического правила трансляции адресов (например, все порты в пуле закончились).

Группа Все IP-пакеты\Все пропущенные IP-пакеты\Пропущенные зашифрованные IP-

пакеты 40 Пропущен Разрешённый зашифрованный пакет


ФРКЕ.00004-04 34 01

143

зашифрованный IP-пакет 41 Пропущен

зашифрованный широковещательный IP-пакет

Разрешённый зашифрованный широковещательный пакет

44 Осуществлена маршрутизация зашифрованного транзитного IP-пакета с изменением его адреса

Это событие только для Координатора. Пакет направлен на другой узел путём подмены в нём адреса получателя

45 Зашифрован (расшифрован) пакет туннелируемого ресурса

Это событие только для Координатора. Зашифрован или расшифрован пакет для туннелируемого ресурса

Группа Все IP-пакеты\Все пропущенные IP-пакеты\Пропущенные незашифрованные IP-

пакеты 60 Пропущен

незашифрованный локальный IP-пакет

Найдено разрешающее правило фильтрации открытой сети в группе локальных правил

61 Пропущен незашифрованный широковещательный IP-пакет

Найдено разрешающее правило фильтрации открытой сети в группе широковещательных правил

62 Пропущен незашифрованный транзитный IP-пакет

Это событие только для Координатора. Найдено разрешающее правило фильтрации открытой сети в группе транзитных правил

63 Пакет пропущен фильтром для туннелируемых ресурсов

Это событие только для Координатора. Найдено разрешающее правило фильтрации для туннелируемых ресурсов

64 IP-пакет пропущен фильтрами по умолчанию при загрузке компьютера

Пакет пропущен фильтрами по умолчанию при загрузке компьютера

Группа Все IP-пакеты\Служебные события – дополнительная информация, формируемая

для IP-пакетов, уже зарегистрированным в журнале 42 Изменились сетевые

параметры узла Драйвер обнаружил, что IP-адрес узла или параметры доступа к нему через внешнюю сеть изменились, и соответствующим образом скорректировал свои таблицы. При изменении параметров доступа событие регистрируется только для сетевых узлов, не работающих через МЭ с динамической или статической трансляцией адресов

46 Изменились параметры доступа к сетевому узлу

Драйвер обнаружил, что параметры доступа к сетевому узлу через внешнюю сеть изменились, и соответствующим образом скорректировал свои таблицы. Событие регистрируется для сетевых узлов, работающих через МЭ с динамической или статической трансляцией адресов. В качестве IP-адресов и портов регистрируются данные из IP-пакета, поступившего из сети, до его преобразования драйвером

48 Адрес сетевого узла зарегистрирован из широковещательного пакета

Зарегистрировано событие, что от узла поступают широковещательные пакеты

49 Изменились параметры доступа к своему узлу из

Поступила информация об изменении параметров доступа через внешнюю сеть к своему сетевому узлу. В


ФРКЕ.00004-04 34 01

144

внешней сети качестве IP-адресов и портов регистрируются данные по доступу к своему узлу (Получатель) и к узлу, от которого получена информация (Отправитель).

110 На DNS-сервере зарегистрирован новый IP-адрес узла

Поступило сообщение от DNS-сервера, что для узла с именем, указанным в поле От правит ель, зарегистрирован IP-адрес, указанный в поле IP-адрес от правит еля

События системы обнаружения атак описаны далее.

14.1.6.1 События системы обнаружения вторжений

ПО ViPNet обнаруживает следующие виды атак: Атаки, основанные на особенностях протокола IP (Группа Все IP-пакеты\ События

системы обнаружения атак\ Атаки протокола IP) №

события Название события Описание события

1001 Атака Land Попытка злоумышленника замедлить работу Вашей машины. Атака использует уязвимость стека TCP/IP, заключающуюся в том, что путем передачи фальшивого TCP-пакета можно заставить атакуемый компьютер попытаться установить соединение самому с собой, путем отправки SYN-пакета с адресом отправителя, идентичным адресу атакуемого компьютера

1002 IP-опции нулевой длины Попытка злоумышленника вывести из строя Ваш внешний сетевой экран путем посылки пакета с IP-опциями нулевой длины

1003 Пустой IP-фрагмент Обнаружен пустой IP-фрагмент 1020 Атака Jolt2 Обнаружен пакет с некорректным смещением

фрагмента, соответствующим атаке Jolt2. Атака заключается в посылке в течение короткого промежутка времени большого числа специально сформированных пакетов с целью замедлить атакуемую систему

Атаки, основанные на особенностях протокола ICMP (Группа Все IP-пакеты\ События

системы обнаружения атак\ Атаки протокола ICMP) 1101 Возможная атака Smurf Обнаружен ICMP-запрос, отправленный на адрес

подсети (x.x.x.0 или x.x.x.255); такой запрос способен инициировать множественные эхо-ответы, которые могут перегрузить сеть или атакуемую систему

1104 ICMP-запрос маски подсети

Обнаружен запрос на получение значения маски подсети. Такая информация может помочь хакеру собрать данные о конфигурации Вашей сети

1106 Фрагментация ICMP-заголовка

ICMP-заголовок был разбит на несколько фрагментов в попытке обойти сетевые экраны или системы обнаружения вторжений

Атаки, основанные на особенностях протокола UDP (Группа Все IP-пакеты\ События

системы обнаружения атак\ Атаки протокола UDP) 1203 Урезанный UDP-

заголовок Обнаружен UDP-пакет с аномально коротким заголовком

1204 Возможная атака Fraggle Обнаружен UDP-пакет, отправленный на адрес подсети (x.x.x.0 или x.x.x.255) и предназначенный для одного из "отражающих" портов; такой пакет способен инициировать множество ответов, которые могут перегрузить сеть или атакуемую систему


ФРКЕ.00004-04 34 01

145

1205 Зацикливание портов UDP

Обнаружен UDP-пакет, зацикленный между двумя "отражающими" портами. Такие пакеты могут отражаться бесконечное число раз, перегружая сеть и ресурсы вовлеченных систем

1206 Атака Snork Попытка вызова отказа в обслуживании Атаки, основанные на особенностях протокола TCP (Группа Все IP-пакеты\ События

системы обнаружения атак\ Атаки протокола TCP) 1302 Фрагментация TCP-

заголовка TCP-заголовок был разбит на несколько фрагментов в попытке обойти сетевые экраны или системы обнаружения вторжений

1303 Урезанный TCP-заголовок

Обнаружен TCP-пакет с аномально коротким TCP-заголовком

1304 Неправильное смещение Urgent в TCP-заголовке

Множество таких пакетов могут вызвать "зависание" у некоторых реализаций TCP/IP

1305 Атака WinNuke Попытка привести Вашу систему к перезагрузке. Атака использует ошибку реализации стека TCP/IP при посылке пакета Out of Band

1306 TCP-опции нулевой длины

Попытка злоумышленника вывести из строя Ваш внешний сетевой экран с помощью посылки пакета с TCP-опциями нулевой длины

1307 Сканирование TCP XMAS Обнаружен TCP-пакет с установленными битами FIN, URG и PUSH. Злоумышленник пытается определить наличие доступных служб на Вашей системе, посылая такие специально сформированные пакеты

1308 Сканирование TCP null Обнаружен TCP-пакет со сброшенными всеми управляющими битами. Злоумышленник пытается определить наличие доступных служб на Вашей системе, посылая такие специально сформированные пакеты

14.1.7 Просмотр архивов журналов IP-пакетов (окно Архив журналов)

Окно Архив журналов появляется в левой панели главного окна при достижении журналом регистрации IP-пакетов максимального размера, указанного в окне Настройка\Журнал IP-пакетов в поле Максимальный размер журнала (Рисунок 91, п.14.1.5, стр.138), если в поле Максимальный размер архива журналов не установлено значение 0. При достижении журналом максимального размера все записи журнала перемещаются в архив журналов и отображаются в хронологическом порядке (Рисунок 92).


ФРКЕ.00004-04 34 01

146

Рисунок 92. Просмотр архива журнала пакетов

Для просмотра какого-либо архива журнала: 1. В левой панели выберите строку с требуемой датой или интервалом дат. При этом в правой

панели окна отобразятся настройки для поиска журнала IP-пакетов в диапазоне дат и времени, соответствующих выбранной строке (Рисунок 92).

2. Установите необходимые параметры поиска согласно п.Настройка параметров поиска IP-пакетов ).

3. Нажмите кнопку Поиск. Откроется окно Журнал регистрации IP-пакетов (Просмотр журнала регистрации IP-пакетов) с информацией о зарегистрированном трафике.

Архивы журналов можно удалить. Для этого в левой панели выберите архив журнала, который Вы хотите удалить, и в контекстном меню по правой кнопке мыши выберите пункт Удалить.

14.2 Информация об адресах блокированных IP-пакетов (Окно Блокированные IP-пакеты) В окне Блокированные IP-пакеты (Рисунок 93) отображаются IP-адреса, открытые IP-

пакеты от которых (или на которые), были заблокированы ПО ViPNet, и этим пакетам было присвоено одно из следующих событий блокировки: 30, 31, 32, 33 (описание событий находится в п. 14.1.6 на стр. 139).

Замечание: Все действия по изменению каких-либо настроек и регистрации блокированных IP-адресов в окне Блокированные IP-пакеты зависят от уровня полномочий, определенных для Вашего АП в ЦУС. О полномочиях читайте в отдельном документе "Классификация полномочий".

Итак, окно Блокированные IP-пакеты содержит следующие элементы: 1. Записи об IP-адресах, пакеты с которых (или на которые) были заблокированы ViPNet

Драйвером;

2. Записи с параметрами блокированных IP-пакетов с этими IP-адресами, назовем эти записи – записями о протоколах.

Записи выводятся в окне Блокированные IP-пакеты в следующем виде (Рисунок 93):


ФРКЕ.00004-04 34 01

147

Рисунок 93

Вы можете произвести такие настройки, чтобы программа при блокировании очередного IP-пакета, сигнализировала Вам об этом (см. п.14.2.2, стр.149).

Для того чтобы более подробно просмотреть параметры блокированных пакетов используйте пункт меню Открыть (доступен по правой кнопке мыши, находясь на строке с характеристикой IP-пакета).

Вы также можете прямо из этого раздела перейти в раздел Журнал IP-пакетов. (см. п. Просмотр журнала регистрации IP-пакетов).

При этом в разделе Журнал IP-пакетов в качестве параметров поиска будут автоматически подставлены данные, взятые из выделенной в разделе Блокированные IP-пакеты записи об IP-адресах или записи о протоколах. Для этого:

1. Выделите либо запись об IP-адресах, либо запись о протоколах (см. Рисунок 94 и Рисунок 95, чтобы понимать, что такое запись об IP-адресах и запись о протоколах).

2. Щелкните правой кнопкой мыши и в появившемся контекстном меню выберите Журнал регистрации IP-пакетов.

3. Откроется раздел Журнал IP-пакетов. 4. Чтобы произвести поиск в соответствии с установленными автоматически

параметрами, в разделе Журнал IP-пакетов, нажмите кнопку Поиск. В окне Блокированные IP-пакеты можно осуществлять быстрый поиск и выделение нужных

элементов (адресов и их параметров) из списка. Для этого наберите часть имени в поле ввода, которое располагается в нижней части окна. При этом будут отображаться все элементы, содержащие в своём названии указанную подстроку. Если после набора нужной подстроки нажать Enter, то эта подстрока сохранится в списке для поиска.

Для записей о блокированных IP-адресах и параметрах блокированных IP-пакетов по правой кнопке мыши открывается меню, в котором отображены все доступные действия (эти функции доступны в меню Действия и по соответствующим кнопкам на панели инструментов в верхней части окна) (Рисунок 93):

• Правила доступа – по этому пункту меню доступны следующие подпункты:

∗ Открыть – доступно только на строке с параметрами блокированного IP-пакета; откроется окно Информация о блокированных IP-пакетах с информацией о портах, протоколе и направлении, по которому передавался IP-пакет.


ФРКЕ.00004-04 34 01

148

∗ Создать новое правило доступа – создает новое правило доступа для открытой сети на основе данных, полученных из блокированных IP-пакетов. Такие данные включают: тип правила (локальное или широковещательное), IP-адреса отправителя и получателя пакета). После создания правила доступа может быть добавлен и соответствующий фильтр протоколов. При добавлении фильтра протоколов автоматически учитывается такая информация как протокол, по которому было установлено соединение, номер порта, направление соединения и другие параметры.

Замечание! Подробнее о создании правил открытой сети, см. Создание фильтров для открытой сети п. 11.3.2 на тстр.114.

∗ Удалить – можно удалить любую запись в окне Блокированные IP-пакеты.

• Развернуть все (Ctrl+"+") – развернуть все записи в окне.

• Свернуть все (Ctrl+"-") – свернуть все записи в окне.

• Определить имя – доступно только на строке с записью о блокированном IP-адресе. Откроется окно для поиска сетевого имени для выбранного IP-адреса.

• Журнал регистрации IP-пакетов – откроется раздел Журнал IP-пакетов с заполненными параметрами поиска. Параметры поиска будут заполнены на основе полученной информации о заблокированных IP-пакетах данного типа. Вы можете либо изменить эти данные, либо нажать кнопку Поиск для отображения Журнала регистрации IP-пакетов, построенного на основе данных, полученных от заблокированных IP-пакетов.

• , в зависимости от того, где стоял курсор мыши.

Кнопка внизу окна Блокированные IP-пакеты: • Очистить – удалить из окна Блокированные IP-пакеты записи о заблокированных открытых IP-пакетах.

14.2.1 Создание правила доступа для открытой сети из раздела Блокированные IP-пакеты

Рассмотрим следующую ситуацию. Для работы с открытыми ресурсами вам необходима повышенная безопасность. В связи с

этим вы в программе ViPNet [Monitor] установили второй режим безопасности (подробнее см. Выбор режима безопасности (раздел Режимы) п.11.2 на стр. 105). Далее вы хотите произвести настройку правил открытой сети таким образом, чтобы разрешить только те соединения, которые вам действительно необходимы. Для этого:

1. В программе ViPNet [Monitor] выберите раздел Блокированные IP-пакеты. 2. В правой панели выберите заблокированные соединения, которые должны быть

разблокированы, для обеспечения комфортной работы с открытыми ресурсами. Если вы выберете запись об IP-адресе, который принадлежит отправителю заблокированных IP-пакетов, то далее при добавлении фильтра протоколов вам будет предложено создать фильтр протоколов для всех типов протоколов без учета номеров портов и направления соединения. Другими словами, вам будет предложено разблокировать весь трафик с данным адресом.

Рисунок 94. Выбрана запись об IP-адресе, принадлежащем отправителю заблокированных IP-пакетов


ФРКЕ.00004-04 34 01

149

Если вы выберете запись о протоколах, то далее при добавлении фильтра протоколов вам будет предложено создать фильтр протоколов для конкретного протокола, направления соединения, номеров порта источника и назначения (все эти данные будут автоматически получены из выбранной записи).

Рисунок 95. Выбрана запись о протоколах

3. В меню Действия, выберите Правила доступа и затем щелкните Создать новое

правило доступа. Вы также можете воспользоваться контекстным меню. 4. В зависимости от типа заблокированного соединения в окне Локальное правило или

Широковещательное правило проверьте, устраивает ли вас информация, полученная автоматически из заблокированного соединения. Если необходимо, внесите соответствующие изменения.

5. Нажмите кнопку OK, если вы хотите автоматически добавить фильтр протоколов к созданному правилу. Нажмите кнопку Отмена, если вы хотите добавить фильтр протоколов позже (с помощью раздела Открытая сеть).

6. Если вы нажали OK, в окне Локальный фильтр или Широковещательный фильтр проверьте, устраивает ли вас информация, полученная автоматически из заблокированного соединения. Если необходимо, внесите соответствующие изменения.

7. По окончании, нажмите OK. В окне ViPNet [Monitor] откроется раздел Открытая сеть. Замечание! Подробнее о создании правил открытой сети см. Создание фильтров для открытой сети п. 11.3.2 на стр.114.

С помощью данного сценария вы можете быстро и эффективно настроить правила открытой сети, разрешив только те соединения с открытыми ресурсами, которые вам действительно необходимы.

14.2.2 Настройка информирования пользователя о блокировании IP-пакетов (окно Настройка\Блокированные IP-пакеты)

Настройки информирования пользователя о блокировании IP-пакетов производятся в окне Настройка\Блокированные IP-пакеты (Рисунок 96). Для вызова окна Настройка воспользуйтесь главным меню Сервис -> Настройки. В окне Настройка выберите раздел Блокированные IP-пакеты.


ФРКЕ.00004-04 34 01

150

Рисунок 96

В окне Блокированные IP-пакеты можно произвести следующие настройки: • В момент блокирования IP-пакета информация о нем появляется на экране монитора. Для этого установите флажок Выдавать сообщение при блокировании IP-пакета. Сообщения о блокированных пакетах могут выводиться в двух вариантах, для выбора одного из них установите переключатель в соответствующее положение:

∗ При блокировании каждого IP-пакета – на экран монитора будет выдаваться сообщение о каждом пакете, блокируемом программой.

∗ При блокировании первого IP-пакета одного типа – на экран монитора будет выдаваться сообщение только о первом пакете каждого типа (пакеты с одинаковыми адресами, протоколами и портами), блокируемом программой.

В сообщении будет указана информация об адресе, с которого пришел или на который был отправлен пакет. Если Вы желаете посмотреть на характеристики блокированного пакета в данный момент, то нажмите кнопку Сейчас, после чего откроется окно Блокированные IP-пакеты (Рисунок 93) с курсором установленном на адресе данного блокированного пакета. А если Вы желаете посмотреть на характеристики блокированного пакета в другое время, то нажмите кнопку Позднее и сообщение просто исчезнет с экрана.

• В момент блокирования IP-пакета выводится звуковое уведомление. Для этого установите флажок Звуковое уведомление при блокировании IP-пакета. При помощи кнопки Настроить Вы можете настроить тип звукового уведомления. Звуковые уведомления о блокированных пакетах могут выводиться в двух вариантах, для выбора одного из них установите переключатель в соответствующее положение:

∗ При блокировании каждого IP-пакета – будет выдаваться уведомление о каждом пакете, блокируемом программой.

∗ При блокировании первого IP-пакета одного типа – будет выдаваться уведомление только о первом пакете каждого типа (пакеты с одинаковыми адресами, протоколами и портами), блокируемом программой.

14.3 Статистическая информация (окно Статистика) Статистика – это информация о процессе выполнения программой задач по фильтрации

сетевого трафика и веб-трафика. Информация отображается в режиме реального времени (on-line).


ФРКЕ.00004-04 34 01

151

14.3.1 Информация о числе пропущенных и блокированных IP-пакетов различного типа (Окно IP-пакеты)

В окне IP-пакеты (Рисунок 97) отображается информация об обработанных программой входящих и исходящих IP-пакетах, пропущенных и блокированных в соответствии с сетевыми фильтрами, настроенными для открытой и защищенной сети. Статистика по другим блокированным пакетам не отображается.

Рисунок 97

Отображается следующая статистическая информация: Наименование статистической информации

Описание параметров статистики Колонка Входящие Колонка Исходящие

Пропущено открытых IP-пакетов Количество принятых незашифрованных пакетов

Количество отправленных незашифрованных пакетов

Блокировано открытых IP-пакетов

Количество входящих блокированных незашифрованных пакетов

Количество исходящих блокированных незашифрованных пакетов

Пропущено зашифрованных IP-пакетов

Количество принятых зашифрованных IP-пакетов

Количество отправленных зашифрованных IP-пакетов

Блокировано зашифрованных IP-пакетов

Количество входящих блокированных зашифрованных IP-пакетов

Количество исходящих блокированных зашифрованных IP-пакетов

Пропущено широковещательных IP-пакетов

Количество принятых незашифрованных широковещательных IP-пакетов

Количество отправленных незашифрованных широковещательных IP-пакетов

Блокировано широковещательных IP-пакетов

Количество входящих блокированных незашифрованных широковещательных IP-пакетов

Количество исходящих блокированных незашифрованных широковещательных IP-пакетов

Пропущено зашифрованных широковещательных IP-пакетов

Количество принятых зашифрованных

Количество отправленных зашифрованных


ФРКЕ.00004-04 34 01

152

широковещательных IP-пакетов

широковещательных IP-пакетов

Блокировано зашифрованных широковещательных IP-пакетов

Количество входящих блокированных зашифрованных широковещательных IP-пакетов

Количество исходящих блокированных зашифрованных широковещательных IP-пакетов

Шифрование IP-пакетов – отдельной строкой отображается, включено или выключено шифрование IP-пакетов (зависит от выбранного режима, в 1,2,3,4 – включено, 5 – выключено).

Информация отображается в режиме реального времени (on-line). Кнопка Очистить – обнулить всю информацию в окне IP-пакеты.

14.3.2 Информация о числе заблокированных веб-фильтрами элементов веб-страниц (Окно Веб-фильтрация)

В окне Веб-фильтрация (Рисунок 98) отображается информация о количестве заблокированных веб-фильтрами элементов веб-страниц.

Рисунок 98

Информация отображается в виде таблицы. В первой колонке отображается список веб-фильтров для различных интерактивных элементов, настройки которых можно произвести в окне Настройки в разделе Веб-фильтры (Рисунок 78, п. 13). Во второй колонке отображается количество заблокированных каждым веб-фильтром элементов веб-страниц.

Информация отображается в режиме реального времени (on-line). Кнопка Очистить – обнулить всю информацию в окне Веб-фильтрация. Информация из

этого окна обнуляется также при перезапуске программы Монитор.


ФРКЕ.00004-04 34 01

153

14.4 Просмотр информации об АП, времени работы программы и числе соединений (окно ViPNet Client)

Рисунок 99

Окно ViPNet Client отображает информацию о данном узле и работе ПО ViPNet на нем: • Номер и название сети ViPNet, в которой зарегистрирован Ваш пункт

• Название Вашего сетевого узла

• Имя пользователя, который ввел пароль

• Время работы ПО ViPNet

• IP-адреса Вашего компьютера

• Информация о доступных, подключенных сетевых узлах и о соединениях Вашего компьютера:

∗ Общее число защищенных узлов, доступных Вам – здесь отображается общее число пользователей из окна Защищенная сеть.

∗ Число узлов, в данный момент подключенных к сети – здесь отображается число пользователей из окна Защищенная сеть, подключенных к сети, т.е. с которыми проверяется соединение.

∗ Число компьютеров, с которыми устанавливались защищенные соединения – отображается число пользователей из окна Защищенная сеть, с которыми происходил какой-либо обмен информацией.

∗ Число компьютеров, с которыми устанавливались открытые соединения – отображается число IP-адресов (НЕ из окна Защищенная сеть), с которыми происходил какой-либо незащищенный обмен информацией.

∗ Число компьютеров, с которых блокировались попытки входящих соединений – здесь отображается число IP-адресов, с которых происходили попытки соединения с Вашим компьютером, но по каким-либо причинам они были заблокированы.


ФРКЕ.00004-04 34 01

154

∗ Число компьютеров, на которые блокировались попытки исходящих соединений – здесь отображается число IP-адресов, с которыми Ваш компьютер пытался соединиться, но по каким-либо причинам попытки соединения были заблокированы.

15 Дополнительные возможности

15.1 Работа в программе в режиме администратора ViPNet Client [Монитор] можно запустить в режиме администратора. При этом

предоставляются дополнительные возможности по настройке программы.

15.1.1 Вход в программу в режиме администратора

Для входа в программу в режиме администратора требуется пароль администратора СУ. Такой пароль создается в УКЦ и выдается администратору СУ администратором УКЦ.

Для входа в программу в режиме администратора воспользуйтесь пунктом главного меню Сервис->Настройка параметров безопасности, откроется окно Настройка параметров безопасности. Выберите вкладку Администратор (Рисунок 100), нажмите кнопку Вход администратора и введите пароль администратора СУ. Более подробно читайте в руководстве "Настройка параметров безопасности".

Рисунок 100

После ввода пароля администратора в главном окне программы Монитор станут доступными: • окно Администратор (п. 15.1.2, стр.155), где можно произвести дополнительные настройки программы Монитор для пользователей,

• просмотр журнала регистрации действий пользователей и администратора по изменению настроек безопасности, произведенных в программе Монитор (п. 15.1.3, стр.157),

• запрос журнала регистрации IP-пакетов на каком-либо удаленном АП или координаторе (Просмотр журнала регистрации IP-пакетов) из окна Защищенная сеть.

• настройка и сохранение индивидуальных конфигураций программы для всех пользователей АП (п. 10.9, стр.101).


ФРКЕ.00004-04 34 01

155

Если в ЦУС для АП установлены полномочия, ограничивающие возможности пользователя по настройке и работе с программой Монитор, то все ограничения снимаются при вводе пароля администратора.

По завершении настроек в режиме администратора необходимо выйти из этого режима, воспользовавшись пунктом главного меню Сервис->Настройка параметров безопасности. Далее в открывшемся окне Настройка параметров безопасности выберите вкладку Администратор, нажмите кнопку Выход администратора. После этого программа переключится в режим пользователя, где станут доступными возможности программы, настроенные в режиме администратора.

15.1.2 Настройки в окне Администратор

Это окно появляется только, если был введен пароль администратора (п. 15.1.1, стр.154). В окне предоставляется возможность произвести различные настройки для пользователя.

Окно Администратор представлено ниже (Рисунок 101):

Рисунок 101

В этом окне администратор может настроить следующие параметры: -------------Параметры рестарта----------------

Название параметра Описание Ограничить интерфейс пользователя

По умолчанию флажок снят. Если после установки флажка выйти из программы, а затем запустить ее без прав администратора, то сразу после запуска главное окно программы ViPNet Client [Монитор] не отображается на экране. Однако его можно вызвать на экран щелчком левой кнопкой мыши на значке в области уведомлений на панели задач. При этом в левой панели Монитора будет отображаться только папка Защищенная сеть. В главном меню Действия и контекстном меню для записей в окне Защищенная сеть будут недоступны все подпункты пункта меню Правила доступа. Если щелкнуть правой кнопкой мыши на значке в области уведомлений на панели задач, то можно будет выполнить ряд дополнительных действий:


ФРКЕ.00004-04 34 01

156

• установить 1, 2 или 3 режим работы драйвера (п. 11.2, стр.105) (в зависимости от полномочий), • сменить конфигурацию (п. 10.9, стр.101), выбрав нужную из предложенного списка существующих конфигураций, • выбрать режим блокировки компьютера (п. 10.8, стр.99).

Не активизировать защиту IP-трафика при загрузке операционной системы

По умолчанию флажок снят. Можно настроить программу ViPNet Client [Монитор] таким образом, чтобы при следующей загрузке операционной системы, программа запускаться не будет и установится 5 режим, т.е. компьютер будет полностью открыт для доступа извне. Если требуется такая настройка, то установите данный флажок.

Разрешить запуск монитора в удалённой сессии

Настройка этого параметра доступна только в консольной сессии компьютера, на котором установлено программное обеспечение, обеспечивающее возможность запуска удаленных сессий (стандартные средства ОС Windows или программы других производителей). По умолчанию флажок снят. Если установить флажок, то ViPNet Client [Монитор] будет стартовать в удаленной сессии, при условии, что в данный момент ViPNet Монитор не запущен в консольной сессии.

Не запускать монитор после входа в операционную систему

По умолчанию флажок снят. Можно настроить программу ViPNet Client [Монитор] таким образом, чтобы при следующей загрузке операционной системы, программа запускаться не будет и установится режим, заданный по умолчанию в окне Режимы (п. 11.2, стр. 105) в группе параметров При старте программы. Если требуется такая настройка, то установите данный флажок.

-------------Параметры ввода пароля----------------

Обязательный ввод пароля при входе в операционную систему

По умолчанию флажок снят. Если установить флажок, то при следующем запуске компьютера будет запрещено отменить запуск ViPNet Монитор, т.е. в окне ввода пароля кнопка Отменить и закрывающий значок [x] станут недоступны. Параметр настраивается и имеет значение только при максимальных полномочиях СУ. Если СУ имеет минимальные или средние полномочия, то параметр не отображается.

------------- Интервал автоматического блокирования----------------

Интервал автоматического блокирования

Этот параметр задает время, через которое будет производиться блокировка работы компьютера. Красным цветом выделен текущий параметр блокировки (Рисунок 101), который устанавливается кнопкой

Отобразить меню блокировки на строке состояния в правом нижнем углу программы (п. 10.8, стр.99). Блокировка произойдет, если в течение заданного времени не дотрагиваться до клавиатуры и мыши. По умолчанию установлено значение 0, это означает, что автоматическая блокировка отключена. Внимание! В случае работы под Windows Vista в Интервале автоматического блокирования будет отображаться строка Блокировать IP-трафик, поскольку в текущей версии функция блокировки компьютера пока не поддерживается.

------------- Допустимое время отправки принятого пакета ----------------

Допустимое время отправки принятого пакета

Данный параметр предназначен для определения допустимого времени отправки принятого ранее IP-пакета (в минутах). Все пакеты, имеющие время отправки ранее этого времени, блокируются Драйвером (защита от навязывания ранее переданной информации) и в журнале появляется запись с событием 4. По умолчанию установлено значение 120 минут. Параметр действует для соединения с пользователями из окна


ФРКЕ.00004-04 34 01

157

Защищенная сеть. В связи с этой настройкой следует обращать особое внимание на правильность установки времени на связывающихся между собой компьютерах. Если на компьютерах время будет сильно отличаться или неправильно выбран часовой пояс, то работа будет невозможна.

Все произведенные действия можно сохранить, если нажать кнопку Применить или отменить,

если нажать кнопку Отмена. Кнопка Журнал событий – откроется окно Журнал событий (см. ниже).

15.1.3 Просмотр журнала регистрации действий пользователей по изменению настроек безопасности в программе (окно Журнал событий)

После нажатия в окне Администратор кнопки Журнал событий откроется окно Журнал событий (Рисунок 102).

Рисунок 102

В этом окне производится регистрация событий по изменению пользователем и администратором настроек безопасности в программе Монитор и выводится информация об этом. Каждая строка журнала содержит следующие данные:

Название колонки

Описание

Дата и время Дата и время, когда произошло действие Имя пользователя

Имя пользователя, производившего действие

Событие Список событий, регистрируемый программой:

• Вход в систему – появляется каждый раз при входе в программу.

• Выход из системы – появляется каждый раз при выходе из программы.

• Режим администрирования – появляется при входе в программу с паролем администратора (п. 15.1.1, стр. 154).

• Попытка входа в систему отвергнута (имя пользователя не установлено) – появляется в случае трехкратного неверного ввода пароля пользователя.

• Попытка входа Администратора в систему отвергнута (имя пользователя не установлено) – появляется в случае трехкратного неверного ввода пароля Администратора.

• Технологический перезапуск – появляется в случае перезагрузки


ФРКЕ.00004-04 34 01

158

программы после принятия файлов обновления или после нажатия на кнопку Блокировки (при использовании кнопки в режиме блокировки Блокировать IP-трафик или Блокировать компьютер и IP-трафик) на нижней панели основного окна программы (п. 10.8, стр.99).

• Технологический перезапуск – появляется в случае перезагрузки программы после аварийного завершения.

• Смена пользователя – появляется при входе в программу другого пользователя данного АП (используя пункт главного меню Сервис -> Настройка параметров безопасности -> Смена пользователя или Сервис -> Смена пользователя).

• Смена конфигурации – появляется при смене конфигурации программы из окна Конфигурации (п. 10.9, стр. 101).

• Изменение фильтра защищённой сети – появляется при любом изменении фильтра для какой-либо записи (пользователя, главного фильтра и т.д.) из окна Защищенная сеть (п.9, стр.63).

• Добавление фильтра защищённой сети – появляется при добавлении какого-либо фильтра (протоколов, SQL) для какой-либо записи из окна Защищенная сеть.

• Удаление фильтра защищённой сети – появляется при удалении ранее добавленного фильтра для какой-либо записи из окна Защищенная сеть.

• Изменение фильтра открытой сети – появляется при изменении какого-либо фильтра в окне Открытая сеть (п.11.3.2).

• Добавление фильтра открытой сети – появляется при добавлении какого-либо фильтра в окне Открытая сеть.

• Удаление фильтра открытой сети – появляется при удалении ранее добавленного фильтра в окне Открытая сеть.

• Изменение порядка сетевых фильтров – появляется после изменения порядка сетевых фильтров в окне Открытая сеть.

• Установка режима "номер режима" – появляется в случае изменения режима безопасности в окне Режимы (п. 11.2, стр.105).

• Включение опции "Блокировать все протоколы кроме IP, ARP, RARP" – появляется при установке флажка Блокировать все протоколы, кроме IP, ARP, RARP в окне Настройка\Общие.

• Выключение опции "Блокировать все протоколы кроме IP, ARP, RARP" – появляется при снятии флажка Блокировать все протоколы, кроме IP, ARP, RARP в окне Настройка\Общие.

• Включение опции "Блокировать компьютер" – появляется при установке флажка Блокировать компьютер в окне Настройка\Общие\Запуск и аварийное завершение.

• Выключение опции "Блокировать компьютер" – появляется при снятии флажка Блокировать компьютер в окне Настройка\Общие\Запуск и аварийное завершение.

Журнал событий можно открыть и сохранить в формате HTML и XLS, используя контекстное

меню (Рисунок 102): Название пункта меню Описание

Просмотр в HTML-формате Просмотр и сохранение журнала в формате HTML Просмотр в XLS-формате Просмотр и сохранение журнала с помощью программы Microsoft

Excel


ФРКЕ.00004-04 34 01

159

15.2 Настройки общих параметров программы и защищенной сети Настройка различных общих параметров программы производится в окне Настройка

(Рисунок 103) в разделах Общие, Предупреждения, Запуск и аварийное завершение, Защищенная сеть\Дополнительные параметры. Окно Настройка открывается при помощи главного меню Сервис -> Настройки или комбинации горячих клавиш Ctrl+Alt+S.

Для настройки общих параметров программы откройте раздел Общие (Рисунок 103).

Рисунок 103



Отображать IP-адреса в папке "Защищенная сеть"

По умолчанию флажок снят. В окне Защищенная сеть (п.9, стр.63) для сетевых узлов не будут отображены IP-адреса.

Отображать псевдонимы ViPNet-пользователей

По умолчанию флажок установлен. Если для пользователей защищенной сети заданы псевдонимы (п. 10.7, стр. 99), то на экране будут отображены именно псевдонимы.

Отображать линии в деревьях и списках

По умолчанию флажок снят. Если установить флажок, то на экране отобразятся линии, соединяющие элементы дерева, а также разделительные линии в списках.

При закрытии окна сворачивать в область уведомлений на панели задач

По умолчанию флажок установлен. Если в главном окне программы в правом верхнем углу нажать на (закрыть), то главное окно свернется в значок в области уведомлений на панели задач. Это действие не приведет в выгрузке программы из памяти. Если снять флажок, то при таком же действии появится окно с предупреждением о выходе из программы. После подтверждения программа будет выгружена из памяти компьютера.

Отображать кнопку блокировки IP-трафика и компьютера поверх всех окон

По умолчанию флажок снят. Если установить флажок, то в правом нижнем углу экрана отобразится кнопка

блокировки .


ФРКЕ.00004-04 34 01

160


Внимание! Если Вы работаете в операционной системе Windows Vista, то в текущей версии программы ViPNet Монитор пока не поддерживается возможность отобразить на экране кнопку блокировки.

Блокировать все протоколы, кроме IP, ARP, RARP

По умолчанию флажок установлен и блокируются пакеты сетевых протоколов IPX/SPX, NetBEUI из стека протоколов Microsoft, если они установлены в системе.

Звук

Кнопка для настройки звуковых сообщений при блокировке IP-пакета, при приходе сообщения, при отправке сообщения и при завершении сеанса обмена сообщениями.


15.2.1 Настройка предупреждений

Для настройки вывода предупреждений о различных событиях программы откройте раздел Предупреждения (Рисунок 104).

Рисунок 104



Запрашивать подтверждение на выход из приложения

По умолчанию флажок установлен. При выходе из программы (выбрав пункт меню Выход) будет запрашиваться подтверждение о выходе.

Выдавать сообщение о недоступности узлов

По умолчанию флажок снят. В случае недоступности сетевых узлов сообщения об этом выдаваться не будут. Если установить флажок, то: • При запуске программы Монитор, а также при периодической проверке наличия соединения со своим сервером IP-адресов, в случае недоступности сервера IP-адресов будут отображаться сообщения о его недоступности с указанием возможной причины.


ФРКЕ.00004-04 34 01

161


• При использовании функции проверки соединения с сетевыми узлами в окне Защищенная сеть, будет отображаться сообщения о сетевых узлах, которые недоступны в момент проверки соединения. • О возможных причинах недоступности узлов читайте в п. 10.3.

Выдавать предупреждение перед ViPNet-обновлениями

По умолчанию флажок снят. При приходе каких-либо обновлений ViPNet, если на переднем плане экрана отсутствуют сеансы передачи сообщений или конференции – обновление пройдет автоматически, без предупреждений. Если установить флажок, то при приходе обновлений ViPNet на экране появится сообщение об обновлении с запросом пользователю о желании произвести обновление сейчас или позднее.

Выдавать сообщения о недоступности локальной сети и удаленных соединений

По умолчанию флажок снят. Когда локальная сеть или удаленные соединения недоступны, сообщения об этом выдаваться не будут.

Выдавать сообщения о RAS-ошибках

По умолчанию флажок установлен. Если на компьютере не установлен сервис RAS (сервис удаленного доступа), то программа после загрузки будет выдавать предупреждение о том, что могут быть проблемы с удаленным соединением через модем. Чтобы это предупреждение не выдавалось, необходимо снять флажок.


15.2.2 Настройка параметров запуска и аварийного завершения программы

Для настройки параметров запуска и аварийного завершения программы откройте раздел Запуск и аварийное завершение (Рисунок 105).

Рисунок 105



ФРКЕ.00004-04 34 01

162

Группа параметров При запуске приложения:


Вызывать окно выбора конфигурации

По умолчанию флажок установлен. Этот параметр действует, если на Вашем компьютере были произведены настройки различных конфигураций программы (п.10.9, стр.101). В этом случае при запуске программы будет отображаться окно для выбора конфигурации. Если снять флажок, то при запуске программы окно для выбора конфигурации отображаться не будет, а сразу загрузится последняя используемая конфигурация.

Блокировать компьютер По умолчанию флажок снят. Позволяет блокировать доступ к рабочему столу компьютера после старта программы. Разблокировать доступ можно, введя пароль. Параметр используется для блокировки возможности несанкционированной работы с компьютером после его перезагрузки без введения пароля ViPNet. При этом ViPNet-клиент находится полностью в рабочем состоянии.


Перезапускать монитор при аварийном завершении

По умолчанию флажок установлен. В случае аварийного завершения ViPNet Монитор он будет загружен заново. При этом на экране останется сообщение об аварийном перезапуске.

Использовать функцию Watch Dog

По умолчанию флажок снят. Функция Watch Dog следит за поведением монитора и в случае его неработоспособности вследствие сбоев аппаратного или программного обеспечения, перезапускает ОС компьютера. Использование Watch Dog особенно важно на удаленных компьютерах, доступ к которым проблематичен. Для активации функции Watch Dog установите флажок и настройте параметр Время до перезагрузки.

Время до перезагрузки Параметр доступен только при установке флажка Использовать функцию Watch Dog. Время в секундах до перезагрузки компьютера после обнаружения функцией Watch Dog отключения Монитора. Это значение должно быть не менее 60 секунд и не более 300 секунд. По умолчанию установлено 120 секунд.


15.2.3 Настройка дополнительных параметров защищенной сети

Для настройки дополнительных параметров защищенной сети откройте раздел Защищенная сеть\Дополнительные параметры (Рисунок 106).


ФРКЕ.00004-04 34 01

163

Рисунок 106

Вы можете настроить следующие параметры: Название параметра Описание

Стартовый IP-адрес для генератора виртуальных IP–адресов

Параметр задает стартовый виртуальный IP-адрес для генератора виртуальных адресов, по умолчанию 11.0.0.1. Начиная с этого адреса, автоматически генерируются виртуальные IP-адреса для реальных адресов узлов из окна Защищенная сеть и одиночных11

При смене пользователем этого адреса производится переназначение всех виртуальных адресов.

туннелируемых адресов.

При изменении стартового адреса необходимо учесть, что во избежание возможных конфликтов стартовый виртуальный IP-адрес должен удовлетворять следующим условиям: • Первый октет может содержать значение от 1 до 254. • Четвертый октет – значение от 1 до 239. • Остальные октеты – значения от 0 до 255.

Формат шифрованных исходящих IP-пакетов

Параметр задает формат шифрованного IP-пакета. В последующих версиях может потребоваться переход на новый формат шифрованных IP-пакетов. Для этого, только по команде администратора сети, необходимо будет в списке выбрать значение X (требуемое значение Вам укажет администратор сети).

Уменьшить максимальный размер сегмента (MSS) протокола TCP на:

Здесь можно задать число байт (от 0 до 200), на которое будет уменьшен параметр MSS (максимальный размер сегмента) протокола TCP. Значение по умолчанию 0. Если на Вашем узле проверка соединения с сетевыми узлами (в ViPNet Монитор) или с туннелируемыми компьютерами (при помощи ping) проходит, но TCP-соединения не устанавливаются, то, скорее всего, по пути

11 Туннелируемый адрес, заданный явно (не в составе диапазона).


ФРКЕ.00004-04 34 01

164

следования пакетов на каких-то сетевых устройствах производится фрагментация пакетов и их блокировка. Для устранения таких проблем рекомендуется уменьшить значение MSS, например, на 20-40 байт. Уменьшение параметра MSS достаточно произвести только на одной стороне, участвующей в соединении. Новое значение параметра вступит в силу немедленно. Не изменяйте этот параметр без необходимости.

Период опроса сервера IP-адресов (минуты)

С периодом, отображенном в этом поле, Ваш АП сообщает информацию о своей работоспособности (включен/выключен) координатору, который является Вашим сервером IP-адресов. Это значение задается на координаторе. По умолчанию имеет значение 5 минут.


15.3 Активизация нового пользователя на АП Если администратор ЦУС зарегистрировал на Вашем СУ нового пользователя, то для того,

чтобы он мог работать, нужно его активизировать на СУ. Для добавления нового пользователя на Ваш СУ необходимо иметь:

• Ключевой дистрибутив нового пользователя в виде файла *.dst;

• Пароль для нового пользователя СУ.

Для активизации пользователя на СУ выполните такие же действия, что и при обновлении справочно-ключевой информации при помощи файла *.dst (см. п.15.4.2, стр.165). После выполнения указанных действий программа ViPNet Client [Монитор] автоматически стартует уже для нового пользователя.

15.4 Обновления справочно-ключевой информации и ПО При различных изменениях в сети ViPNet (добавление, удаление СУ, добавление

пользователя, издание нового сертификата и т.д.) может изменяться справочно-ключевая информация (ключевые дискеты, ключевые наборы, справочники) и для Вашего АП. В этом случае администратор сети из ЦУС (или ViPNet Manager) пришлет Вам обновления. Также администратор сети может удаленно обновить ПО ViPNet. О действиях пользователя при приходе обновлений читайте в п.15.4.1, стр.164.

Если по каким-либо причинам централизованное удаленное обновление справочно-ключевой информации из ЦУС (или ViPNet Manager) не может быть произведено, то существует возможность произвести обновление вручную при помощи нового ключевого дистрибутива (dst-файла), который Вам должен передать администратор. Об этом читайте в п.15.4.2, стр.165.

15.4.1 Удаленное обновление. Действия пользователя при приходе обновления

Периодически из ЦУС (или ViPNet Manager) на Ваш АП могут приходить различные обновления – справочников, ключевой информации (ключевых дискет и ключевых наборов), ПО ViPNet. Обновления вступают в силу после перезагрузки программы Монитор.

Процесс обновления может происходить в автоматическом (без предупреждений) или ручном режиме (будет задан вопрос о желании произвести обновление в данный момент). Настройка режима обновления производится в окне Настройка\Предупреждения (см. п.15.2, стр. 159, параметр Выдавать предупреждение перед ViPNet-обновлениями). По умолчанию флажок Выдавать предупреждение перед ViPNet-обновлениями снят, поэтому обновление произойдет в автоматическом режиме: программа ViPNet Монитор перезагрузится без предупреждений, но только в том случае, если на переднем плане Вашего экрана отсутствуют сеансы передачи сообщений или конференции (см. п.10.1, стр.67). Если Вы работаете с окном передачи сообщений или конференции (т.е. окно находится на переднем плане экрана), то при приходе обновления будет задан вопрос о желании произвести обновление в данный момент. Вы можете начать процесс обновления немедленно, нажав кнопку OK, в результате чего программа Монитор перезагрузится, и обновления вступят в силу. Если процесс обновления может помешать Вашей работе в текущий момент времени, то Вы можете отложить процедуру обновления, нажав кнопку Cancel. Если Вы


ФРКЕ.00004-04 34 01

165

отложили обновление, то в следующий раз вопрос о желании произвести обновление появится в случае перезапуска программы Монитор, или запуска программы ViPNet Client [Деловая почта], или в случае поступления нового обновления.

Если Вы желаете, чтобы предупреждение о приходе обновления появлялось всегда по приходу обновлений, то установите флажок Выдавать предупреждение перед ViPNet-обновлениями.

Замечание. Обновить ключевую дискету пользователя может только тот пользователь АП, для которого она предназначается. Для обновления ему нужно войти в Монитор со своим паролем.

Внимание! Если пришло обновление после компрометации или смены мастера персональных ключей, то в процессе обновления может быть запрошен пароль и путь к файлу резервного набора персональных ключей (AAAA.pk), подробнее читайте п.15.5.3, стр. 169.

Внимание! Если пришло обновление, содержащее измененный (в УКЦ) пароль пользователя, то после обновления появится сообщение программы Настройка параметров безопасности с предложением сменить пароль пользователя (см. руководство "Настройка параметров безопасности", пункт Истечение срока действия пароля в разделе Система оповещения программы).

Если пришло обновление ПО ViPNet, и после его прохождения программа обновления определила, что требуется перезагрузка компьютера, то может быть два варианта дальнейшего развития событий в зависимости от настроек, заданных администратором в ЦУС:

• Если администратор ЦУС при отправке обновления ПО ViPNet установил флажок обязательной перезагрузки компьютера пользователя после обновления ПО, то программа обновления выдаст сообщение о необходимости перезагрузки компьютера (с кнопками OK – перезагрузить, Отмена – не перезагружать). Для того, чтобы обновление вступило в силу, необходимо перезагрузить компьютер (нажать кнопку OK). Сообщение о перезагрузке появляется на 15 секунд. Если пользователь в течение этого времени не нажмет ни на одну из кнопок, компьютер будет автоматически перезагружен.

• Если администратор ЦУС при отправке обновления ПО ViPNet не установил флажок обязательной перезагрузки компьютера пользователя после обновления, то программа обновления выдаст сообщение о необходимости перезагрузки компьютера (с кнопками OK – перезагрузить, Отмена – не перезагружать). Для того, чтобы обновление вступило в силу, необходимо перезагрузить компьютер (нажать кнопку OK). Сообщение о перезагрузке появляется на 30 секунд. Если пользователь в течение этого времени не нажмет ни на одну из кнопок, сообщение исчезнет с экрана компьютера, и ПО ViPNet перезапустится, при этом компьютер не перезагрузится. На экране появится сообщение о том, что прошло обновление и для того чтобы оно вступило в силу, компьютер следует перезагрузить. Это сообщение будет оставаться на экране, пока его не закроет пользователь. В этом случае пользователь должен перезагрузить компьютер вручную.

Внимание! При обновлении ПО ViPNet Клиент [Монитор] будет произведена проверка, позволяет ли ваша текущая лицензия установить данное обновление. Если нет, будет выдано соответствующее сообщение и процесс обновления будет отменен. В этом случае обратитесь в службу поддержки Инфотекс для получения обновленного файла лицензии infotecs.re.

15.4.2 Ручное обновление справочно-ключевой информации при помощи файла *.dst

Перед обновлением выгрузите все модули ПО ViPNet Client, запущенные на Вашем компьютере, используя меню Выход.

Для обновления ключевой и справочной информации при помощи ключевого дистрибутива (dst-файла) Вы можете воспользоваться одним из следующих способов:

Способ 1. Установка ключей при помощи программы установки ключей Установка ключей этим способом может быть произведена только при помощи файла с

набором ключей (файл с расширением *.DST), сформированного в УКЦ версии 2.8 и ниже. О типе dst-файла Вы можете узнать у администратора Вашей сети. В случае если DST-файл сформирован в УКЦ версии 3.0 и выше следует использовать Способ 2.

Запустите программу установки ключей сети ViPNet: щелкните два раза на файле с набором ключей (dst-файле).

Внимание! Поскольку программа установки ключей сети ViPNet не производит обработку DST-файлов, сформированных в УКЦ версии 3.0 и выше, при попытке использовать такой файл будет выдано предупреждение о некорректности формата dst-файла.


ФРКЕ.00004-04 34 01

166

Если формат dst-файла корректен, то запустится программа установки ключей (Рисунок 107):

Рисунок 107

Убедитесь, что выбран правильный файл набора ключей. Информация об имени сетевого узла и пользователя отображается ниже поля для указания файла набора ключей (Рисунок 107). При необходимости Вы можете указать другой путь к файлу с набором ключей при помощи кнопки Обзор. Для начала установки нажмите кнопку Обновить ключи.

Замечание: При обновлении ключей СУ выполняется резервное копирование существующей ключевой информации СУ в папку CCC\backup папки установки ПО ViPNet. При необходимости можно всегда возвратить предыдущую ключевую информацию из резервной копии (см. п. 15.4.3).

Если в процессе установки ключей не произошло никаких ошибок, то появится сообщение об успешной установке ключей. Если произошли какие-то ошибки, то программа сообщит Вам о них, и ключи не будут установлены. Для более детального разъяснения ошибок Вам следует обратиться за помощью к администратору сети ViPNet.

После успешной установки ключей можно запустить ПО ViPNet. Способ 2. Установка ключей при помощи мастера первичной инициализации

Запустите программу ViPNet Client [Монитор], используя "Старт меню" или ярлык на рабочем столе. Откроется окно ввода пароля (Рисунок 1). Воспользуйтесь кнопкой Настройка–>Первичная инициализация в окне ввода пароля. Процесс первичной инициализации пользователя программным обеспечением ViPNet описан в документе Идентификация пользователя ViPNet в разделе Инициализация справочно-ключевой информации СУ. После успешной установки ключей можно запустить ПО ViPNet.

15.4.3 Сохранение и возврат предыдущей копии ключевой информации

При обновлении ключей СУ первым способом (см. п. 15.4.2) и при замене сетевого узла (см. п. 15.4.4) выполняется резервное копирование существующей ключевой информации СУ в подпапку CCC\backup папки установки ПО ViPNet. При необходимости можно всегда возвратить предыдущую ключевую информацию из резервной копии.

Резервная копия представляет собой набор файлов и папок с ключевой и справочной информацией. Резервная копия помещается в подпапку ССС\backup\[<год>,<число>,<время – ЧЧ.ММ.СС>] папки установки ПО ViPNet.

Для того чтобы произвести возврат к предыдущей копии ключевой информации, откройте папку с необходимой резервной копией и скопируйте из нее все папки и файлы в папку


ФРКЕ.00004-04 34 01

167

расположения ключевой информации (транспортный каталог). Если личные ключи (ключевой диск) пользователя располагались на внешнем носителе, то скопируйте папку с содержимым ключевого диска key_disk (например, abn_034A\key_disk\) на внешний носитель. На все вопросы о замене файлов ответьте положительно.

15.4.4 Замена сетевого узла на другой сетевой узел

Замена сетевого узла на другой узел может быть произведена только при помощи файла с набором ключей (файл с расширением *.DST), сформированного в УКЦ версии 2.8 и ниже. О типе dst-файла Вы можете узнать у администратора Вашей сети. В случае если DST-файл сформирован в УКЦ версии 3.0 и выше замена сетевого узла не может быть произведена.

Внимание! После замены сетевого узла на другой узел будет невозможна работа с зашифрованными письмами ранее установленного сетевого узла и может быть нарушена связь с некоторыми сетевыми узлами.

Если требуется заменить установленный сетевой узел на другой сетевой узел, то выполните следующие действия:

1. Выгрузите все модули ПО ViPNet Client, запущенные на Вашем компьютере, используя меню Выход.

2. Запустите программу установки ключей сети ViPNet: щелкните два раза на файле с набором ключей (файл с расширением *.DST) для нового сетевого узла, предоставленного Вам администратором сети ViPNet.

Внимание! Поскольку программа установки ключей сети ViPNet не производит обработку DST-файлов, сформированных в УКЦ версии 3.0 и выше, при попытке использовать такой файл будет выдано предупреждение о некорректности формата dst-файла.

Если формат dst-файла корректен, то запустится программа установки ключей (Рисунок 108).

Рисунок 108

3. Убедитесь, что выбран правильный файл набора ключей. Информация об имени устанавливаемого сетевого узла и пользователя отображается ниже поля для указания файла набора ключей (Рисунок 108). При необходимости Вы можете указать другой путь к файлу с набором ключей при помощи кнопки Обзор… Для начала установки нажмите кнопку Заменить сетевой узел.

Замечание: При замене СУ выполняется резервное копирование ключевой информации существующего СУ в папку CCC\backup папки установки ПО ViPNet. При необходимости можно возвратить предыдущий сетевой узел из резервной копии (см. п. 15.4.3).


ФРКЕ.00004-04 34 01

168

Если в процессе установки ключей не произошло никаких ошибок, то появится сообщение об успешной установке ключей. Если произошли какие-то ошибки, то программа сообщит Вам о них, и ключи не будут установлены. Для более детального разъяснения ошибок Вам следует обратиться за помощью к администратору сети ViPNet.

После успешной установки ключей можно запустить ПО ViPNet.

15.5 Компрометация ключей пользователя Под компрометацией ключей подразумевается утрата доверия к тому, что используемые

ключи обеспечивают безопасность информации (целостность, конфиденциальность, подтверждение авторства, невозможность отказа от авторства).

Различают явную и неявную компрометацию ключей. Явной называют компрометацию, факт которой становится известным на отрезке

установленного времени действия данного ключа. Неявной называют компрометацию ключа, факт которой остается неизвестным для лиц,

являющихся законными пользователями данного ключа. Наибольшую опасность представляют неявные компрометации ключей.

15.5.1 Резервный набор персональных ключей пользователей (файл *.pk). Порядок работы с резервными наборами ПК

Для чего нужен Резервный набор персональных ключей? Резервный набор персональных ключей (далее РНПК) пользователя необходим для

дистанционного обновления ключей пользователя при их компрометации. Резервный набор персональных ключей формируется в УКЦ для каждого пользователя. Сформированный для пользователя РНПК защищается паролем пользователя, который в данный момент прописан в УКЦ, и помещается в файл AAAA.pk, где АААА – шестнадцатеричный идентификатор пользователя в рамках своей сети. Файл AAAA.pk входит в состав первоначально формируемого ключевого дистрибутива пользователя (dst-файла) и передается администратором УКЦ каждому пользователю некоторым защищенным способом (см. ниже). Пользователи должны хранить РНПК в безопасном месте. Если текущий персональный ключ пользователя скомпрометирован, то УКЦ высылает пользователю новые ключи, защищенные с использованием очередного варианта персонального ключа, который по сети передавать не нужно, так как он уже есть в РНПК, переданном пользователю заранее лично в руки.

В дальнейшем, в случае изменения файла РНПК, он будет поступать на СУ пользователя по защищенным каналам ViPNet в составе обновления КД.

Порядок работы с РНПК: После создания в УКЦ первого ключевого дистрибутива пользователя, администратор УКЦ

должен выдать пользователю на отдельном индивидуальном носителе его файл AAAA.pk (в составе ключевого дистрибутива или непосредственно сам файл AAAA.pk). РНПК передается пользователю лично в руки или по альтернативному защищенному каналу (например, с использованием доверенных нарочных с документальным подтверждением отправки и приема, использованием ведомственной или фирменной фельдъегерской связи и т.п.).

При инициализации на АП его адресно-ключевой информации (при помощи dst-файла) мастер инициализации предложит сохранить файл AAAA.pk в заданном каталоге и при желании сменить пароль к этому файлу. По умолчанию AAAA.pk поместится в подкаталог d_STATION\ABN_AAAA каталога установки ПО ViPNet, и будет храниться там.

Однако для обеспечения большей безопасности (особенно, если к компьютеру пользователя есть доступ посторонних лиц), пользователю настоятельно рекомендуется хранить переданный ему файл AAAA.pk отдельно от своей ключевой дискеты в безопасном месте, например, в сейфе. Пользователь несет личную ответственность за хранение в секрете от посторонних лиц переданного ему РНПК.

Файлы AAAA.pk могут запрашиваться ПО ViPNet при поступлении на АП обновления КД после компрометации ключей пользователя (см. п.15.5.3, стр. 169) или смены мастера персональных ключей в УКЦ.

15.5.2 События, квалифицируемые как компрометация ключей

Основные события, при которых ключи могут считаться скомпрометированными:


ФРКЕ.00004-04 34 01

169

1. Посторонним лицам мог стать доступным файл ключевого дистрибутива 2. Посторонним лицам мог стать доступным съемный носитель с ключевой информацией 3. Посторонним лицам мог стать доступным пароль пользователя, и эти лица могли иметь

доступ к компьютеру пользователя 4. Посторонние лица могли получить неконтролируемый физический доступ к ключевой

информации, хранящейся на компьютере 5. На компьютере, подключенном к сети, не установлен модуль ViPNet Client [Монитор], или он

устанавливался в 4 или 5 режим работы и: • в локальной сети считается возможным присутствие посторонних лиц или

• на границе локальной сети отсутствует (отключен) сертифицированный межсетевой экран.

6. Увольнение сотрудников имевших доступ к ключевой информации 7. Нарушение печати на сейфе с ключевыми носителями 8. Наличие в подписи под входящим документом сертификата, находящегося в списке

отозванных сертификатов. 9. Случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том

числе случаи, когда ключевой носитель вышел из строя, и доказательно не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий злоумышленника).

К событиям, требующим проведения расследования и принятия решения на предмет происшествия компрометации, относится возникновение подозрений, что произошла утечка информации или ее искажение в системе конфиденциальной связи.

15.5.3 Действия пользователя при компрометации его ключей

При наступлении любого из перечисленных выше (см. п.15.5.2, стр.168) событий пользователь ViPNet должен немедленно прекратить работу на своем СУ и сообщить о факте компрометации (или предполагаемом факте компрометации) администратору УКЦ своей сети. В случае компрометации только ключей подписи пользователь должен прекратить использовать эти ключи для подписи документов и также сообщить своему администратору.

В случае если есть сомнение в неизвестности посторонним лицам пароля доступа к ключам программы ViPNet (этот пароль совпадает с паролем доступа при старте программы ViPNet), но эти посторонние лица не имеют доступа к компьютеру пользователя, следует сменить пароль и продолжить работу. Если доступ посторонних лиц к компьютеру пользователя возможен, то следует считать ключи скомпрометированными.

После того, как администратор УКЦ выполнит все необходимые действия, связанные с компрометацией ключей пользователя, на СУ пользователя будет выслано обновление ключей. При обновлении, если файл резервного набора персональных ключей (РНПК) не найден, будет запрошен пароль доступа и путь к файлу РНПК (AAAA.pk) для того, чтобы перейти на использование следующего (нескомпроментированного) персонального ключа пользователя из набора (см. п.15.5.1, стр. 168). Если у Вас отсутствует резервный набор персональных ключей или не подходит пароль, то откажитесь от ввода данных и обратитесь к администратору УКЦ за новым файлом РНПК.

15.6 Организация безопасного подключения группы компьютеров локальной сети к Интернет без их физического отключения от локальной сети организации (технология выхода в "Открытый Интернет") Если в организации, из соображений политики безопасности, компьютерам локальной сети

запрещен выход в Интернет (назовем их группой компьютеров А), но отдельным компьютерам необходим такой доступ (группа компьютеров Б), то технология выхода в "открытый Интернет" поможет решить эту проблему удобным и надежным способом. Технология позволит организовать работу каждого компьютера группы Б в одном из двух вариантов:

• либо в Интернете, с блокировкой любого трафика в локальную сеть,

• либо в локальной сети, с блокировкой любого трафика в/из Интернет;


ФРКЕ.00004-04 34 01

170

Для выбора варианта работы (в Интернете или в локальной сети), необходимо просто переключить конфигурацию в программе ViPNet Client [Монитор].

При этом физически отключать компьютеры группы Б от локальной сети не нужно, т.к. при любом варианте работы компьютера группы Б (в Интернете или в локальной сети) компьютеры группы А будут полностью защищены от атак из Интернета через компьютеры группы Б.

15.6.1 Реализация технологии

Для реализации технологии выхода в "Открытый Интернет" необходимо произвести следующие действия:

• установить ПО ViPNet Coordinator с функцией ViPNet-Сервер Открытого Интернета (такая функция координатора задается в ЦУС) на компьютер, размещенный на границе локальной сети с Интернет. Назовем этот компьютер (с ПО ViPNet) Координатором Открытого Интернета;

• на этом же компьютере (Координатор Открытого Интернета) также должен быть установлен Proxy-сервер прикладного уровня типа WinProxy, WinGate, MSProxy и т.д. для организации доступа к ресурсам открытого Интернета от имени своего IP-адреса для компьютеров группы Б;

• установить на компьютеры локальной сети ПО ViPNet Client. Каждый компьютер группы Б должен быть связан с Координатором Открытого Интернета (такая связь задается в ЦУС). Для компьютера группы А такая связь не обеспечивается.

Внимание! На компьютерах группы Б административными методами должна быть запрещена установка любых виртуальных машин.

Координатор Открытого Интернета выполняет следующие функции: • организовывает доступ к ресурсам открытого Интернета от имени своего IP-адреса для компьютеров группы Б, за счет установленного на этом же компьютере Proxy-сервера прикладного уровня;

• запрещает доступ к ресурсам открытого Интернета для компьютеров группы А;

• организовывает защищенный туннель между собой и компьютером группы Б на время его работы с ресурсами открытого Интернета без возможности доступа к этому туннелю со стороны всех остальных пользователей локальной сети;

• является Межсетевым Экраном, который запрещает доступ в локальную сеть из открытого Интернета.

При этом на компьютерах группы Б в процессе работы с Координатором Открытого Интернета блокируется любой трафик (открытый и закрытый), кроме трафика с открытым Интернетом. И, наоборот, при работе с ресурсами локальной сети - блокируется любая работа с Координатором Открытого Интернета.

Такая технология гарантирует, что никакие стратегии атак как снаружи, так и изнутри сети не могут привести к нарушению безопасности компьютеров сети, подключение которых к Интернет запрещено (компьютеры группы А). На такие компьютеры, при любых атаках трафик из Интернет может попасть только в зашифрованном виде, что не будет воспринято компьютером, и в связи с этим не опасно. Попытки проведения атак на сеть через компьютеры группы Б невозможны, так как блокируется посторонний трафик от них, кроме трафика с Координатором Открытого Интернета.

Одновременно исключаются любые возможности несанкционированного подключения из локальной сети к Интернету.

15.6.2 Описание работы на компьютере согласно технологии выхода в "Открытый Интернет"

Работа ПО ViPNet Client [Монитор] на компьютере группы Б: Как было сказано выше, технология начинает действовать, если у АП есть связь с

Координатором Открытого Интернета. Таким образом, выход в Интернет будет разрешен только таким АП.

На данные компьютеры устанавливаются также сертифицированные антивирусные программы.


ФРКЕ.00004-04 34 01

171

Выход в открытый Интернет (к серверам WWW, FTP, POP3, SMTP и т.д.) обеспечивается с помощью Интернет браузера, установленного на компьютере. Интернет браузер компьютера должен быть настроен на работу через Координатор Открытого Интернета.

Для обеспечения двух вариантов работы Б-компьютера, ПО ViPNet Client [Монитор] предусматривает соответственно две конфигурации, переключаемые пользователем в окне Конфигурации (п.10.9, стр.101):

• Работа в открытом Интернете (в программе называется Открытый Интернет).

В этой конфигурации Монитор установлен в 1 режим, в котором производится блокировка любого открытого трафика данного компьютера, а также:

∗ Трафик, предназначенный для Интернет, преобразуется в нечитаемый вид. Этот трафик может быть восстановлен в исходный вид только Координатором Открытого Интернета.

∗ Поступивший из Интернет и преобразованный Координатором Открытого Интернета трафик восстанавливается в исходное состояние и передается соответствующим приложениям данного компьютера.

∗ Блокируется любой трафик с компьютерами, имеющими ПО ViPNet, кроме трафика с Координатором Открытого Интернета.

Таким образом, в этой конфигурации все сетевые узлы кроме Координатора Открытого Интернета, будут отключены (т.е. флажки в окне Защищенная сеть будут сняты у всех сетевых узлов). Установить эти флажки невозможно. Для всех пользователей из окна Защищенная сеть, кроме Координатора Открытого Интернета и записи о Вашем АП, в контекстном меню и в главном меню доступны только следующие команды: Отправить письмо, Отправить файл, Журнал регистрации IP-пакетов. Все остальные действия в программе в этой конфигурации будут доступны согласно полномочиям. • Работа в локальной сети (в программе называется Основная конфигурация).

В этой конфигурации, наоборот, блокируется любая работа с Координатором Открытого Интернета и разрешается штатная работа в локальной сети, определенная для данного компьютера администратором. Т.е. флажок в окне Защищенная сеть для Координатора Открытого Интернета будет снят. Установить этот флажок невозможно. Для записи о Координаторе Открытого Интернета в контекстном меню и в главном меню доступны только следующие команды: Отправить файл, Журнал регистрации IP-пакетов. Все остальные действия в программе в этой конфигурации будут доступны согласно полномочиям.

Конфигурация Открытый Интернет удаляется, если из ЦУС придет обновление справочников и там больше не будет связи с Координатором Открытого Интернета.

В обеих конфигурациях Монитор выполняет функции персонального сетевого экрана и блокирует любые нештатные программы (трояны), пытающиеся слушать или передавать непредусмотренный трафик.

Пользователь может создавать свои конфигурации, но при этом в любой созданной пользователем конфигурации будут выполняться следующие условия:

• Координатор Открытого Интернета отключен, т.е. флажок в окне Защищенная сеть для Координатора Открытого Интернета будет снят. Установить этот флажок невозможно.

• Для Координатора Открытого Интернета в контекстном меню и в главном меню доступны только следующие команды: Отправить файл, Журнал регистрации IP-пакетов.

Все остальные действия в программе будут доступны согласно полномочиям. Для установки какой-либо конфигурации установите курсор на строку с названием нужной

конфигурации, и в контекстном меню выберите Установить данную конфигурацию. Выбрать одну из заданных конфигураций можно также щелкнув правой кнопкой мыши на

значке в области уведомлений на панели задач и выбрав нужную конфигурацию в меню Установить конфигурацию.


ФРКЕ.00004-04 34 01

172

Пользователь (со средними или минимальными полномочиями) не может без администратора отключить защиту или модифицировать конфигурации.

15.7 Обеспечение синхронизации с КПК при помощи ActiveSync и центра устройств Windows Mobile Для обеспечения синхронизации Вашего компьютера с КПК (на базе Windows Mobile 5.0/6/0)

при помощи ActiveSync 4.x (или Windows Mobile Device Center на Windows Vista) достаточно выполнить одно из следующих действий:

• В программе ViPNet Client [Монитор] включить правило Windows Mobile-based device в окне Открытая сеть в группе Локальные фильтры (см п. 11.3.2).

• На КПК в меню Настройка/Подключения/От USB к ПК снять флажок Включить режим расширенных сетевых возможностей.

Если КПК был подключен к компьютеру, то для возможности синхронизации его нужно отключить и снова подключить.

Приложения

1 Возможные неполадки и способы их устранения

1.1 Неправильно введенный пароль или нет ключевой дискеты В этом случае программа выдает сообщение (Рисунок 109):

Рисунок 109

Возможные варианты решения проблемы: • Проверьте состояние клавиши Caps Lock: оно должно быть выключенным (только при блокировке трафика и компьютера состояние клавиши должно быть выключенным; при начальных входах в программы состояние этой клавиши может быть любым).

• Проверьте раскладку клавиатуры, используя соответствующий индикатор в окне ввода пароля (Рисунок 1). Пароль должен набираться в английской раскладке клавиатуры. Для изменения раскладки клавиатуры используйте ту комбинацию клавиш, которая установлена на Вашей машине (Shift+Alt, Shift+Ctrl).

• Возможно, путь к ключевой дискете указан неверно. В этом случае, после ввода пароля, необходимо нажать кнопку Настройка->Каталог ключей пользователя и указать каталог, где хранится папка с Вашей ключевой дискетой.

• Проверьте правильность пароля и еще раз внимательно наберите пароль.

1.2 Нет возможности работать с ресурсами глобальной сети Интернет Установлен режим безопасности 1-ый или 2-ой. Для безопасной работы с ресурсами

глобальной сети Интернет необходимо установить 3-ий режим. Во 2-ом режиме работа возможна только с зарегистрированными в окне Открытая сеть адресами.


ФРКЕ.00004-04 34 01

173

1.3 Не проверяется соединение с компьютером из защищенной сети Возможные причины:

• Компьютер пользователя защищенной сети не включен или у него не загружена программа ViPNet Монитор.

• Нет ключей для связи Ваших компьютеров (обратитесь к администратору Вашей сети).

• Ваш компьютер физически не подключен к сети или не имеет выхода в Интернет.

1.4 Нет связи с незащищенным компьютером локальной сети Возможные причины:

• IP-адрес открытого компьютера присутствует в списке защищенных адресов. В этом случае драйвер пытается послать зашифрованный пакет на открытую машину. Это объясняет отсутствие связи с данной незащищенной машиной. Для устранения данной ситуации необходимо удалить адрес открытой машины из списка защищенных адресов.

• Неправильно настроены фильтры для работы с открытой сетью. Для нормальной работы в сетях Microsoft, необходимо убедиться, что настроены следующие фильтры в окне Открытая сеть:

1. В группе Локальные фильтры правило с именем <Все IP-адреса> (п. 11.3.2.2), а в нем фильтры протоколов с действием Пропускать, разрешающие создание соединений по локальным нешироковещательным пакетам следующих протоколов и направлений:

исходящим пакетам bootps (на порт 67) и входящим пакетам bootpc (на порт 68), предназначенным для организации работы службы DHCP – получения компьютером IP-адреса.

пакетам netbbios-dgm (порт 138), предназначенным для организации работы доменной службы, входящей в Microsoft Network.

2. В группе Широковещательные фильтры правило с именем <Все IP-адреса> (п. 11.3.2.2), а в нем фильтры протоколов с действием Пропускать, разрешающие создание соединений по локальным широковещательным пакетам следующих протоколов и направлений:

исходящим пакетам bootps (на порт 67) и входящим пакетам bootpc (на порт 68), предназначенным для организации работы службы DHCP – получения компьютером IP-адреса.

пакетам netbios-ns (порт 137) и netbios-dgm (порт 138), предназначенным для организации работы службы имен NETBIOS – определения имен компьютеров и доменной службы, входящих в Microsoft Network.

Если фильтры не настроены, то произведите их настройки.

• Установлен более жесткий режим работы драйвера, например первый или второй (и не заданы разрешающие сетевые фильтры).

1.5 Программа не загружается Вероятно, программа была деинсталлирована или удалена вручную с Вашего компьютера.

Обратитесь к администратору сети для проверки данного утверждения и, если нужно восстановить программу, то попросите администратора сделать это, если Вы сами не можете это сделать.

1.6 Невозможно изменить настройки в программе ViPNet Монитор Все дело в полномочиях. Все настройки на Вашем компьютере может делать только

администратор сети. Обратитесь к нему за помощью или за получением обновления с максимальными полномочиями (2).


ФРКЕ.00004-04 34 01

174

1.7 Невозможно сохранить пароль Возможность сохранения пароля предоставляется администратором сети каждому

пользователю персонально. Для этого администратор сетевых узлов должен войти на рабочую станцию со своим паролем и разрешить сохранение пароля пользователя (см. п. 15.1.1, стр. 154). При следующем вводе пароля пользователь сможет сохранить пароль.

1.8 Прошло ли обновление? В каталоге, где установлен ViPNet Client, есть папка \ССС\log\, в которой находится файл

update.log, где указывается, когда и во сколько приходили обновления и прошли ли они. Фрагмент такого файла: ************************************************************ Now is Tue Sep 26 14:19:16 2006 Key upgrade done. Updated files C:\Program Files\InfoTeCS\ViPNet Client\ccc\key\abn_06f2\353a5237\ABN_06F2.KE {Здесь обновились ключи} ************************************************************ Now is Mon Oct 02 13:33:13 2006 Address book upgrade done. Updated files C:\Program Files\InfoTeCS\ViPNet Client\EXTNET.DOC C:\Program Files\InfoTeCS\ViPNet Client\IPLIRADR.DOC {Здесь обновились справочники} ************************************************************ Замечание: Список обновленных файлов не должен быть таким, как в примере. Все зависит

от конкретного случая.

1.9 Недоступны настройки прикладных протоколов и веб-фильтров (отсутствует связь со службой Сервис ViPNet Firewall) Если недоступны настройки прикладных протоколов и веб-фильтров, и в окне Прикладные

протоколы отображается сообщение об отсутствии связи со службой Сервис ViPNet Firewall (Рисунок 110),


ФРКЕ.00004-04 34 01

175

Рисунок 110

то для решения проблемы воспользуйтесь следующими способами, используя их по порядку, если не помогает предыдущий способ:

• Перезапустите службу Сервис ViPNet Firewall.

• Перезапустите компьютер.

• Переустановите программу ViPNet.

• Сообщите о проблеме на HOTLINE в компанию Инфотекс.

2 Действия пользователей, приводящие к нарушению работы ViPNet Client [Монитор]

2.1 Удаление (изменение) файлов. Критичные к удалению файлы Все файлы, входящие в состав поставки ViPNet, защищены контрольными суммами,

хранящимися в файлах с расширением *.crg. Удаление любого из этих файлов, а также самих защищаемых файлов, приведет к общей неработоспособности системы.

2.2 Изменение времени и способа запуска сетевых служб для Windows Изменение времени и способа запуска сетевых служб может повлиять на работу ПО компании

Инфотекс, поэтому во избежание необратимых последствий не изменяйте время и способы запуска сетевых служб.

2.3 Изменение реестра Во избежание необратимых последствий не следует вручную изменять настройки реестра,

связанные с работой ПО ViPNet! За последствия компания Инфотекс ответственности не несет!

2.4 Изменение сетевых настроек на компьютере Изменение сетевых настроек на Вашем компьютере, например смена IP-адреса, шлюза и

других настроек могут повлиять на работу ПО и сети в целом. Поэтому не рекомендуем Вам изменять настройки сети без Вашего администратора сети.


ФРКЕ.00004-04 34 01

176

2.5 Изменение настроек работы программы ViPNet Client [Монитор] Если у Вас максимальные полномочия (2), Вам доступны любые настройки. Если Вы

недостаточно квалифицированы и не совсем знакомы с ПО ViPNet Client, то можете обратиться к администратору сети или на HOTLINE компании Инфотекс. Самостоятельно изменять настройки не рекомендуется. Это может привести к неработоспособности ПО, например, таким, как потеря соединения с сервером, невозможность отправки и приема почты и другим.

2.6 Установка на компьютер других ПСЭ (Firewall) Использование ViPNet Client одновременно с другими Firewall может привести к различным

конфликтам между программами и вызвать проблемы с доступом в сеть.

3 Восстановление ViPNet Client ViPNet Client является программным средством, которое может быть установлено на любой

аналогичный компьютер с необходимым числом сетевых интерфейсов в случае выхода из строя основного компьютера с ПО ViPNet Client. Для этого необходимо иметь инсталляционный диск и ключевой дистрибутив для данного АП, созданный в ключевом центре.

В процессе работы ViPNet Client после проведения на нем каких-либо настроек рекомендуется делать резервную копию файлов подкаталога DATABASES рабочего каталога ViPNet Client, в котором сохраняются все актуальные настройки и журналы этого ViPNet Client.

В случае выхода из строя компьютера с ПО ViPNet Client необходимо: • произвести инсталляцию ПО на другой компьютер;

• в сетевых настройках присвоить новому компьютеру IP-адреса действующего АП, настроить необходимые свойства сети (gateway, Routing и др.);

• произвести копирование сохраненных файлов каталога DATABASES вместо существующих в этом каталоге;

• подсоединить компьютер к сети и произвести перезагрузку операционной системы;

• проверить и при необходимости восстановить настройки ViPNet Client.

Для повышения отказоустойчивости предусмотрена также функция Watchdog обеспечения контроля за состоянием программных средств ПО ViPNet и автоматического восстановления работоспособности ПО после программных, аппаратных или иных сбоев.

Функция реализована программно в ПО ViPNet Client. Функция позволяет автоматически перезапускать приложения ViPNet или производить перезагрузку операционной системы в случае обнаружения критических сбоев в работе системного ПО или ПО ViPNet.

Если на компьютере с ПО ViPNet Client установлена плата АМДЗ «Аккорд», то может быть использован Watchdog-таймер, расположенный на этой плате.

4 Регламентное тестирование Состав и результаты проверок и контрольных тестов

№ Описание действий Ожидаемый результат Результат

(+/-)

Примечания

Отметки об

устранении

1. Загрузка ОС с отказом от ввода пароля ViPNet

Отказ в загрузке ОС

2. Загрузка ОС с аутентификацией пользователя

Загрузка ОС и старт ПО ViPNet Указать тип аутентификации


ФРКЕ.00004-04 34 01

177


(+/-)


Отметки об


3. Проверка установленных режимов безопасности

Режимы безопасности соответствуют назначению СУ

4. Проверка настроек ПО Настройки ПО соответствуют определенным требованиям 12

.

5. Аутентификация с паролем администратора СУ

Переход ПО в режим работы администратора СУ

6. Контроль журнала событий ПО ViPNet Монитор

Отсутствие попыток несанкционированного изменения режимов, настроек фильтров, отсутствие признаков НСД, аварийных завершений ПО.

7. Предварительный контроль журнала регистрации IP-пакетов

Отсутствие признаков сетевых атак, отсутствие информации о пропуске пакетов на запрещенные режимом (фильтрами) адреса (протоколы)

8. Проверка соединения с СУi, посылка ping на СУi

Наличие сообщений о доступности СУi, информация в журнале о пропуске UDP 2046-2046 и эхо-запросов/ответов

9. Настройка фильтра, запрещающего протокол ICMP для СУ1, посылка ping на СУ1

Отсутствие ответа от СУ1, информация о блокировании эхо-запросов К->СУ1

10. Настройка фильтра, запрещающего протокол UDP для всех СУ, проверка соединения с СУ2

Наличие сообщений о недоступности СУ2, информация в журнале о блокировании UDP 2046-2046

11. Посылка ping на ОУ1, ОУ31 Отсутствие ответа от ОУi, информация о блокировании эхо-запросов К->ОУi

12. Настройка фильтра, разрешающего протокол ICMP для всех узлов открытой сети, посылка ping на ОУ1, ОУ31

Наличие ответа от ОУi. Информация в журнале о пропуске эхо-запросов/ответов

13. Регистрация IP-адреса ОУ2 в Открытой сети. Проверка связи по протоколу TCP с этим адресом

Наличие соединения. Информация в журнале о пропуске TCP-пакетов.

14. Настройка фильтра, запрещающего протокол ICMP для ОУ2, посылка ping на ОУ1, ОУ2

Наличие ответа от ОУ1. Информация в журнале о пропуске эхо-запросов/ответов К<–>ОУ1. Отсутствие ответа от ОУ2, информация о блокировании эхо-запросов К->ОУ2

15. Отправка зашифрованного и Отправка письма, получение

12 Эти требования описаны в документе «Регламент информационной безопасности при использовании программно-

аппаратных средств комплекса ViPNet», в разделе «Настройки ПО ViPNet Client/Coordinator [Монитор]»


ФРКЕ.00004-04 34 01

178


(+/-)


Отметки об


подписанного письма адресатам ДП13

квитанций о доставке (прочтении)

16. Контроль журналов автопроцессинга ДП14

Отсутствие сбоев в работе правил

17. Открыть на редактирование файл monitor.exe. Записать в конец файла дополнительный пробел. Запустить ПО.

Сообщение о невозможности старта в связи с не прошедшей проверкой целостности

18. Выгрузить ПО. Сохранить (в архив) каталог[и] \DATABASES [и \RF] и файл iplir.cfg. Уничтожить сохранённые каталоги. Запустить ПО.

Настройки «по умолчанию».

19. Выгрузить ПО. Разархивировать сохранённую информацию и записать её поверх существующей. Запустить ПО.

Восстановление настроек, действовавших до выполнения п. 18.

Принятые сокращения: ОУi – Открытый Узел СУi – Сетевой Узел ViPNet

13 При наличии установленного ПО ViPNet Деловая Почта 14 При наличии данного функционала на СУ

vipnet client [Монитор] - · pdf file1991 – 2010 ОАО...

Documents