Функции и особенности настройки компонента ViPNet Client

Воронежский институт МВД России Кафедра информационной безопасности УТВЕРЖДАЮ Заместитель начальника кафедры информационной безопасности полковник полиции А.В. Мельников «___» ___________ 2018 г. Тезисы лекции по программе повышения квалификации сотрудников подразделений территориальных органов МВД России по теме: «ПАК ViPNet Coordinator HW1000/2000, правила эксплуатации и обработки информации» (c использованием системы дистанционных образовательных технологий) Блок дистанционного обучения в системе MOODLE Тема №2. «Защита каналов связи ИМТС МВД России с помощью программно-аппаратной технологии ViPNet» Лекция №7. «Функции и особенности настройки компонента ViPNet Client» Подготовил: старший преподаватель кафедры информационной безопасности подполковник полиции С.В. Зарубин Обсуждены и одобрены на заседании методической секции кафедры информационной безопасности протокол № __ от _______ 2018 г. Обсуждены и одобрены на заседании кафедры информационной безопасности протокол № __ от _______ 2018 г. Воронеж 2018 1. Назначение компонента ViPNet Client. Программное обеспечение ViPNet Client является обязательным компонентом, входящим в состав пакетов ViPNet CUSTOM. ViPNet Client выполняет функции VPN-клиента в сети ViPNet и обеспечивает защиту компьютера от несанкционированного доступа при работе в локальных или глобальных сетях. Программное обеспечение ViPNet Client может быть установлено для защиты трафика на любом компьютере с ОС Windows, будь то стационарный, удаленный, мобильный компьютер или сервер. Сертификация. • Сертификат ФСБ России № СФ/515-1692 от 22.06.2011 г. соответствия изделия «Программный комплекс "ViPNet Клиент КСЗ, версия 3.1"» требованиям к устройствам типа Межсетевые экраны по 4-му классу защищенности. • Сертификат ФСБ России № СФ/515-1838 от 01.07.2012 г. на соответствие изделия «Программный комплекс "ViPNet Клиент КС2, версия 3.1"» (вариант комплектации 1) требованиям к межсетевым экранам 4-го класса защищенности. • Сертификат ФСБ России № СФ/515-1839 от 01.07.2012 г. на соответствие изделия «Программный комплекс "ViPNet Клиент КС2, версия 3.1"» (вариант комплектации 2) требованиям к межсетевым экранам 4-го класса защищенности. • Сертификат ФСБ России № СФ/124-1566 от 06.11.2010 г. на соответствие изделия «Программный комплекс "ViPNet Клиент КСЗ версия 3.1"» требованиям к СКЗИ класса КСЗ. • Сертификат соответствия ФСТЭК России № 1549/1 от 26.05.2010 г. на программный комплекс ViPNet CUSTOM 3.1 по требованиям РД Гостехкомиссии по 3-му классу защищенности для межсетевых экранов, 3-му уровню контроля отсутствия НДВ и оценочному уровню доверия ОУД4+, допускается применение в АС до класса 1В включительно и ИСПДн до 1-го класса включительно. Функции ПО ViPNet Client. ViPNet Client - модуль, реализующий на рабочем месте следующие функции: 1. Персональный сетевой экран - позволяет защитить компьютер от попыток несанкционированного доступа как из глобальной, так и из локальной сети. Персональный сетевой экран позволяет системному администратору или пользователю (при наличии полномочий): • управлять доступом к данным компьютера из локальной или глобальной сети; • определять адреса злоумышленников, пытающихся получить доступ к информации на вашем компьютере; • обеспечивать режим установления соединений с другими открытыми узлами локальной или глобальной сети только по инициативе пользователя, при этом компьютер пользователя остается «невидимым» для открытых узлов локальной и глобальной сетей, что исключает возможность запуска по инициативе извне всевозможных программ- «шпионов»; • формировать «черные» и «белые» списки узлов открытой сети, соединение с которыми «запрещено» или «разрешено» соответственно; • осуществлять фильтрацию трафика по типам сервисов и протоколов для данного адреса открытой сети или диапазона адресов, что позволяет в случае необходимости ограничить использование «опасных» сервисов на «сомнительных» узлах открытой сети; • осуществлять фильтрацию трафика по типам сервисов и протоколов для связанных с данным узлом других защищенных узлов; • контролировать активность сетевых приложений на данном компьютере, где установлена программа ViPNet Client, что позволяет вовремя обнаружить и заблокировать активность несанкционированно установленных и запущенных программ-«шпионов», которые могут передавать злоумышленникам сведения об информации, обрабатываемой на данном компьютере (пароли доступа, данные о кредитных картах, идентификаторы для доступа в корпоративные базы данных и др.). 2. Установление защищенных соединений между компьютерами, оснащенными ViPNet Client, для любых стандартных сетевых приложений. Для любых сетевых приложений обеспечиваются следующие основные функции: • шифрование IP-пакетов с добавлением в них информации для обеспечения целостности, контроля времени, аутентификации и скрытия первоначальной структуры пакета; • блокировка шифрованных пакетов при нарушении их целостности, превышении допустимой разницы между временем отправки и текущим временем (защита от пере- повторов) или при невозможности аутентифицировать пакет; • предоставление COM-интерфейса для вызова криптографических функций и их использования веб-приложениями. Возможность установления защищенных соединений между компьютерами с ПО ViPNet Client позволяет: • организовать схему защищенного использования всевозможных веб-приложений, в том числе приложений для интернет-торговли, интернет-бизнеса, веб-хостинга, вебвещания и т. д., с доступом к веб-платформе, на которой установлена программа ViPNet Client, только определенному списку участников VPN. Данная схема обеспечивает пользователям и корпорации гибкое и безопасное использование всевозможных веб-приложений как наиболее простого и доступного средства коллективной работы корпорации и ее партнеров; • защитить и дополнительно авторизовать все соединения между локальными, мобильными и удаленными пользователями программы ViPNet Client и корпоративными серверами приложений, баз данных, SQL-серверами с установленной программой ViPNet Client. Это открывает широкие возможности по безопасному внедрению всевозможных ERP-систем, финансово-учетных систем, работающих в реальном времени, систем типа «Клиент-Банк», «Интернет-Банкинг», систем CRM (Customer Relationship Management) и прочих, где, с одной стороны, накапливается конфиденциальная информация, требующая соблюдения правил информационной безопасности и управления доступом, а с другой - необходима коллективная работа с приложениями в сети разных категорий пользователей; • использовать недорогие и общедоступные сетевые ресурсы открытой сети для передачи конфиденциальной информации. 3. Услуги защищенных служб реального времени для организации обмена сообщениями, проведения конференций, защищенных аудио- и видеопереговоров позволяют: • обмениваться сообщениями или организовывать обмен сообщениями, в процессе которого организатор видит все сообщения, в то время как участники обмена сообщений друг друга не видят. При этом ведутся и могут быть сохранены протоколы всех сообщений; • проводить защищенные конференции; • оперативно отображать подтверждения доставки и прочтения сообщений; • проводить защищенные аудио- (Voice over IP, VoIP) и видеопереговоры (конференции). При этом технология ViPNet поддерживает любые стандартные программные и аппаратные средства для проведения аудио- и видеоконференций, основанные на IP-технологиях. 4. Сервис защищенных почтовых услуг - защищенный почтовый клиент с возможностями аутентификации отправителя и получателя, а также обеспечивающий контроль за прохождением и использованием документов. Деловая почта - модуль, входящий в состав ПО ViPNet Client, позволяет: • передавать электронные сообщения по открытым каналам связи с защитой на всем маршруте следования от отправителя до получателя, при этом в качестве открытого канала могут быть использованы стандартные серверы SMTP/POP3; • одновременно с самим сообщением защитить прикрепленные к нему файлы; • организовать по установленным правилам защищенную автоматическую обработку стандартных документов, формируемых другими приложениями и системами управления бизнесом (бухгалтерскими, банковскими, управленческими и прочими); • осуществлять поиск документа в почтовой базе документов по множеству параметров (отправитель, получатель, тема, дата, период, контекст и т. п.); • подтверждать личность отправителя, используя ЭП, встроенную в общую систему безопасности; • передать сообщение только тем получателям, для которых оно предназначалось, а также при необходимости автоматически отправить копии сообщений на заданные в ЦУСе узлы; • подтвердить получение и использование сообщений, а также дату, время получения и личности получателей; • вести учетную нумерацию сообщений. Кроме вышеперечисленных функций, ViPNet Client предоставляет COM-интерфейс для вызова криптофункций и их совместного использования с веб-приложениями. Состав ПО ViPNet. Программное обеспечение ViPNet Client состоит из следующих компонентов: • низкоуровневый драйвер сетевой защиты (ViPNet-драйвер) (см. «ViPNet-драйвер» на стр. 99); • программа ViPNet Монитор (см. «ViPNet Монитор» ниже); О транспортный модуль ViPNet MFTP; • программа ViPNet Контроль приложений; • программа ViPNet Деловая почта. ViPNet Монитор. Режимы безопасности. По умолчанию в программе ViPNet Client Монитор установлен третий режим безопасности. Он обеспечивает достаточный уровень защиты и необходимую для работы в сети функциональность. Фильтрация трафика. В программе ViPNet Client Монитор существует возможность настройки фильтрации сетевого трафика, что позволяет блокировать или пропускать IP-пакеты в зависимости от IP-адреса отправителя, используемого протокола или порта. Сетевые фильтры создаются отдельно для защищенного и открытого трафика. С помощью фильтров для открытой сети на защищенном узле можно разрешить либо запретить обмен IP-пакетами определенного типа с открытыми узлами, то есть с узлами, на которых не установлено программное обеспечение ViPNet с функцией шифрования трафика. Рис.1. Окно настройки режимов безопасности программы ViPNet Client Monitor. Примечание. К открытым узлам относятся также компьютеры с программным обеспечением ViPNet CryptoService и ViPNet Registration Point. С помощью фильтров защищенной сети можно ограничить обмен IP-трафиком с защищенными узлами ViPNet, с которыми данный узел имеет связь. Сетевые фильтры в программе ViPNet Client имеют следующие особенности. Фильтры защищенной сети и фильтры открытой сети разделены на группы: • локальные фильтры определяют правила фильтрации для нешироковещательных IP-пакетов, которыми сетевой узел обменивается с внешними сетевыми устройствами; • широковещательные фильтры определяют правила фильтрации пакетов, адреса назначения которых являются широковещательными. Такие адреса используются для рассылки пакетов на все компьютеры в локальной сети. Настройки фильтров в каждой группе независимы друг от друга. Рис. 2. Окно настройки фильтров открытой сети в программе ViPNet Client Монитор Система обнаружения атак. Система обнаружения атак (Intrusion Detection System, IDS), входящая в состав программы ViPNet Client Монитор, служит для обнаружения и предотвращения действий злоумышленников («хакеров»), целью которых может быть получение несанкционированного доступа к компьютеру либо вывод его из строя. Система обнаружения атак работает на сетевом уровне, благодаря чему имеет ряд достоинств: • возможность обнаруживать и блокировать сетевые пакеты до обработки их стеком TCP/IP; • возможность блокировать на ранней стадии атаки, направленные на перегрузку ОС, приводящие к отказу в обслуживании. Кроме того, система IDS способна обнаруживать исходящие атаки (как будто злоумышленник находится за вашим компьютером). Это полезно в том случае, если ваша ОС каким-либо образом используется злоумышленником в качестве атаки на какую-либо третью ОС (например, с помощью «троянских» программ). Если система обнаружения атак обнаружит пакет, соответствующий параметрам одной из типовых атак, этот пакет будет заблокирован. Для пакетов, заблокированных системой обнаружения атак, в Журнале IP-пакетов указаны код события и название предполагаемой атаки. Обработка прикладных протоколов. В программе ViPNet Монитор реализована возможность настройки параметров обработки следующих прикладных протоколов. • Протокол FTP обеспечивает передачу файлов между FTP- клиентом и FTP-сервером. • Протокол DNS (Domain Name System) обеспечивает разрешение DNS-имен сетевых узлов в IP-адреса. • Протокол NetBIOS разработан в виде интерфейса для обеспечения сетевых операций ввода/вывода и управления соответствующим транспортным протоколом. Работа протокола основана на следующих службах: • служба имен NetBIOS Name Service. Обеспечивает разрешение имен сетевых узлов, использующих NetBIOS, в IP-адреса при обмене данными между приложениями сетевых узлов; • служба датаграмм NetBIOS Datagram Service. Обеспечивает обмен данными без установления прямого подключения и без подтверждения приема между двумя сетевыми узлами, использующими NetBIOS; • служба сессий NetBIOS Session Service. Обеспечивает дуплексный упорядоченный обмен данными с подтверждением приема между двумя сетевыми узлами, использующими NetBIOS. • Протокол Н.323 обеспечивает работу программ для проведения мультимедиаконференций через IP-сети, в том числе Интернет. • Протокол SCCP (Skinny Client Control Protocol) обеспечивает передачу сообщений между Skinny-клиентами (проводными и беспроводными IP-телефонами Cisco) и сервером голосовой почты Cisco Unity и Cisco CallManager. • Протокол SIP (Session Initiation Protocol) обеспечивает установление сеансов связи при передаче голосовых, видеозвонков, а также мультимедийной информации. • Протокол IRC (Internet Relay Chat) позволяет общаться пользователям в режиме реального времени через Интернет с помощью таких IRC-клиентов, как X-Chat, Opera Chat, Konversation, ChatZilla, Pidgin. • Протокол CU-SeeMe обеспечивает работу программы для проведения видеоконференции в реальном времени через IP- сети, в том числе Интернет. Протокол осуществляет многоклиентскую видеоконференцию с участием сервера конференций, отвечающего за распределение видеовызовов между ее участниками. А также позволяет проводить видеоконференцию между двумя CU-SeeMe-клиентами, не используя при этом сервера. Встроенные средства коммуникации. В состав программы ViPNet Монитор входят несколько дополнительных инструментов, предоставляющих возможность быстрого и защищенного обмена информацией: • обмен защищенными сообщениями / защищенная конференция; • файловый обмен; • вызов внешних приложений; • функция «Открыть веб-ресурс сетевого узла»; • функция «Обзор общих ресурсов сетевого узла». Программа ViPNet Монитор также имеет следующие полезные функции: • проверка соединения с другим сетевым узлом ViPNet; • блокировка компьютера. Обмен защищенными сообщениями. Пользователи сети ViPNet могут в режиме реального времени обмениваться мгновенными сообщениями с другими пользователями ViPNet или участвовать в конференции с несколькими пользователями. Прием и отправка сообщений выполняются в окне Оперативный обмен защищенными сообщениями, которое представлено на рисунке ниже. Рис. 3. Интерфейс программы обмена защищенными сообщениями. Цифрами на рисунке обозначены: 1. Главное меню программы обмена защищенными сообщениями. 2. Панель инструментов. Чтобы удалить или добавить кнопки на панель инструментов, в меню Вид выберите пункт Настроить панель. 3. Панель Получатели сообщений. Содержит список пользователей, участвующих в данном сеансе. После отправки сообщения его статус отображается с помощью следующих символов: • О - сообщение отправлено, но еще не доставлено; • Д - сообщение доставлено, на экране получателя появилось уведомление о сообщении; • Ч - сообщение прочитано получателем; • П - сообщение было прочитано, получатель собирается ответить. Сообщения пронумерованы в порядке их отправки. Колонки со статусами отправленных сообщений расположены в обратном порядке (начиная с последнего отправленного сообщения). Сообщения отправляются пользователям, рядом с именами которых установлены флажки. 4. Строка поиска, предназначенная для фильтрации списка получателей на панели Получатели, сообщений. 5. Контекстное меню, вызываемое щелчком правой кнопки мыши по имени получателя. Позволяет проверить соединение с получателем. 6. Панель Сообщение. Предназначена для ввода новых сообщений. 7. Панель Протокол сеанса. На этой панели отображается история сообщений (протокол) текущего сеанса. 8. Панель Сеансы. Содержит список открытых сеансов. Процесс обмена сообщениями между пользователями ViPNet называется сеансом. Все сообщения, полученные и отправленные в течение сеанса, записываются в протокол сеанса. Протокол сеанса можно сохранить как текстовый файл. Если в рамках сеанса отправить сообщение какому-либо пользователю, его ответ придет в том же сеансе и будет сохранен в том же протоколе. Пользователь ViPNet может участвовать в нескольких сеансах обмена сообщениями одновременно. Если получено сообщение, которое не относится ни к одному из текущих сеансов, будет открыт новый сеанс и создан новый протокол. Новые сообщения - это сообщения, которые пользователь еще не обработал (не принял, не ответил или не удалил), но мог прочитать в окне Новые сообщения. Непрочтенные сообщения - это новые сообщения, которых пользователь еще не видел. Программу обмена защищенными сообщениями можно использовать двумя способами: • обмен сообщениями с другими пользователями ViPNet. Вы можете отправлять сообщения одному или нескольким пользователям одновременно и получать от них ответы. При этом пользователи будут получать ваши сообщения, но не будут получать ответные сообщения от других пользователей; • конференция с другими пользователями ViPNet. Вы можете отправлять сообщения одновременно нескольким пользователям и получать от них ответы. Отличие от сеанса обмена сообщениями заключается в том, что все участники конференции будут получать сообщения от других участников. Рис. 4. Просмотр нового сообщения Файловый обмен. Пользователи сети ViPNet могут пересылать друг другу файлы по защищенному каналу VPN. При этом нет ограничений на размер и тип файлов. Для отправки файла можно использовать как программу ViPNet Монитор, так и контекстное меню Windows. Информация о файлах, отправленных и принятых с помощью «Файлового обмена», отображается в окне программы, которое открывается каждый раз при отправке или приеме файлов. Внешний вид окна программы «Файловый обмен» представлен на рисунке ниже. Цифрами на рисунке обозначены: 1. Главное меню программы. 2. Панель инструментов. С помощью кнопок на панели инструментов можно отправить новый файл, перейти к принятым файлам или удалить файл из списка. 3. Фильтр списка файлов. Предусмотрены три режима отображения списка: • все файлы; • полученные файлы; • отправленные файлы. 4. Группа Полученные файлы. В этой группе отображаются файлы, полученные от пользователей других сетевых узлов ViPNet. 5. Группа Отправленные файлы. В этой группе отображаются файлы, отправленные пользователям других сетевых узлов ViPNet. 6. Ссылка для перехода в папку, в которой находится файл. Рис. 5. Интерфейс программы «Файловый обмен». Вызов внешних приложений. Программы ViPNet Client и ViPNet Coordinator поддерживают вызов внешних приложений, таких как: • Microsoft Portrait; • VNC Viewer; • Remote Desktop Connection; • Radmin Viewer. С помощью внешних программ пользователи ViPNet могут пользоваться различными сервисами, предоставляемыми через Интернет, например доступом к удаленному рабочему столу Преимущество работы с внешними программами в сети ViPNet состоит в том, что весь трафик этих программ надежно шифруется. Просмотр веб-ресурсов сетевого узла. Если на компьютере, где установлено ПО ViPNet Client или ViPNet Coordinator, также установлен какой-либо веб-сервер или веб- приложение, то другие пользователи сети ViPNet могут осуществлять защищенное (шифрованное) соединение с этим веб-сервером. При этом данный веб-сервер будет доступен только пользователям сети ViPNet, которым разрешено соединение с сетевым узлом, на котором установлен сервер. Это позволяет реализовать идею защищенного интернет-портала, в который могут быть интегрированы различные приложения - CRM, CMS, приложения на основе баз данных и многое другое. Обзор общих ресурсов сетевого узла. Функция «Обзор общих ресурсов сетевого узла» позволяет открыть сетевые ресурсы с общим доступом на сетевом узле ViPNet. Соединение устанавливается в защищенном режиме. Модули: ViPNet MFTP (Client). Программа ViPNet MFTP представляет собой транспортный модуль. На абонентском пункте транспортный модуль ViPNet MFTP обеспечивает обмен управляющими конвертами, конвертами программы «Деловая почта» и файлами с другими сетевыми узлами ViPNet. Процесс обмена конвертами с помощью компонента ViPNet MFTP схематично представлен на рисунке ниже. Описание работы MFTP. Транспортный модуль ViPNet MFTP передает информацию в виде конвертов. Конверт формируется одной из прикладных программ - ViPNet Центр управления сетью или ViPNet Manager, «Деловая почта», «Файловый обмен». Конверт состоит из тела конверта и заголовка. Тело конверта представляет собой файл с передаваемой информацией. В заголовок включена адресная информация (для правильной маршрутизации конвертов в сети), идентификаторы отправителя и получателей, информация для расшифрования случайного ключа. На случайном ключе шифруется тело конверта, а случайный ключ шифруется на ключе обмена и помещается в заголовок. Рис. 6. Обмен конвертами с помощью ViPNet MFTP. Конверты могут быть следующих типов: • прикладной конверт; • прикладная квитанция; • транспортная квитанция; • служебный конверт. Программы распознают предназначенные им конверты по имени. ViPNet MFTP запускается вместе с ПО ViPNet, в состав которого входит, и отображается в области уведомлений на панели задач. Транспортный модуль сетевого узла устанавливает соединение со своим координатором, то есть координатором, на котором зарегистрирован данный сетевой узел, и проверяет, есть ли конверты, адресованные данному сетевому узлу. В клиентском режиме MFTP абонентского пункта может передавать конверты другим абонентским пунктам напрямую или через свой координатор. Режим передачи конвертов через координатор является режимом по умолчанию и обеспечивает надежную передачу конвертов. Рис. 7. Передача конвертов через координатор. Каналы работы MFTP. Обмен конвертами между сетевыми узлами может осуществляться по различным каналам. По умолчанию обмен конвертами между абонентскими пунктами выполняется через координаторы, являющиеся серверами-маршрутизаторами конвертов для данных абонентских пунктов. Однако иногда может возникнуть необходимость передачи конвертов по другим каналам, например когда два сетевых узла находятся на одном компьютере или когда невозможно использование TCP-каналов. В таких случаях настройки маршрутизации конвертов можно изменить. Доступные каналы работы MFTP: • локальный - осуществляется передача конвертов через настроенную папку без использования протокола TCP/IP, что является удобным способом обмена данными, когда на одном компьютере находятся два сетевых узла (например, координатор и абонентский пункт с программой «Деловая почта») и нет необходимости обмена конвертами по ТСР/ IP-протоколу; • через сервер - при выборе данного канала передача конвертов осуществляется через свой координатор, на котором зарегистрирован данный сетевой узел, то есть через координатор, являющийся сервером-маршрутизатором конвертов; • MFTP: передача конвертов между узлами напрямую. Передача конвертов по каналу MFTP позволяет сетевым узлам обмениваться данными, когда координатор по какой-либо причине недоступен. При восстановлении соединения после разрыва канала связи транспортный модуль MFTP продолжает передачу конвертов с того же места, что особенно важно на коммутируемых линиях. Возможность передачи конвертов между узлами напрямую используется при проблемах или сбоях в рассылке обновлений по сети ViPNet, а именно когда обновления уже вступили в силу на координаторах, но еще не поступили на абонентские пункты; Рис. 8. Передача конвертов по каналу «Через сервер». • выключен - запрет обмена конвертами через координатор. Запрет обмена конвертами через координатор может использоваться, когда нужно ограничить объем трафика между абонентским пунктом и координатором. Этот режим также позволяет ограничить поток нежелательных конвертов при каком-либо сбое. Рис. 9. Канал MFTP: передача конвертов напрямую. Рис. 10. Запрет обмена конвертами через координатор. Несмотря на отсутствие связи между абонентским пунктом и координатором, абонентский пункт может обмениваться конвертами с другими абонентскими пунктами, например по каналу MFTP; • SMTP/POP3 - передача конвертов через почтовые серверы. Возможность использования почтовых серверов позволяет обмениваться конвертами сетевым узлам компаний, в которых по каким-либо причинам затруднен выход к ресурсам Интернета по ТСР-каналам. Рис.11. Передача конвертов через почтовые серверы по каналу SMTP/POP3. ViPNet Контроль приложений. Программа ViPNet Контроль приложений позволяет следить за сетевой активностью приложений, установленных на компьютере. Приложения, проявляющие сетевую активность (например, обращение к удаленному веб-узлу, передача файла по протоколу FTP, «прослушивание» сетевых портов или передача пакетов в сеть), регистрируются в программе «Контроль приложений», и в зависимости от выбора пользователя доступ таких приложений в сети блокируется или разрешается. «Контроль приложений» предоставляет защиту от таких угроз, как, например, несанкционированный доступ к пользовательским данным или запуск «шпионских» программ. Программа «Контроль приложений» является необязательным модулем программного обеспечения ViPNet Client. Чтобы иметь возможность контролировать сетевую активность приложений на каждом компьютере, необходима специальная лицензионная запись в регистрационном файле на ПО ViPNet. Программа «Контроль приложений» позволяет: • получить информацию обо всех приложениях, которые запрашивали доступ в сеть; • ограничить (разрешить или запретить) доступ приложений к сети; • просмотреть журнал событий по сетевой активности приложений. Цифрами на рисунке обозначены: 1. Главное меню программы. 2. Панель навигации, на которой отображается список основных возможностей программы. 3. Панель просмотра, на которой отображается содержание разделов, выбранных на панели навигации. 4. Рис. 12. Интерфейс программы «Контроль приложений». 5. Раздел Контроль приложений. Содержит информацию о назначении программы и статистические данные о приложениях, которым разрешено или запрещено работать в сети. 6. Раздел Зарегистрированные приложения. Позволяет просмотреть информацию о приложениях, зарегистрированных программой «Контроль приложений». 7. В разделе Зарегистрированные приложения можно также изменить режим доступа зарегистрированного приложения в сеть или отменить регистрацию приложения. 8. Раздел Журнал событий. Позволяет просмотреть информацию об изменениях режимов доступа приложений в сеть. В соответствующих подразделах можно изменить настройки журнала и установить фильтр отображения событий в журнале. 9. Раздел Настройка. Позволяет настроить параметры слежения за сетевой активностью приложений и за изменениями в приложениях. Принцип работы программы. Программа «Контроль приложений» позволяет обнаружить сетевую активность приложений на компьютере, а именно: • попытки создания исходящих соединений; • попытки открытия портов для входящих соединений; • отправку пакетов без предварительного создания соединения. В случае обнаружения сетевой активности появляется окно с сообщением об активности приложения. В этом окне можно разрешить или запретить приложению доступ в сеть. Программа позволяет задать правила контроля приложений, согласно которым приложениям автоматически разрешается или запрещается выполнение каких-либо операций в сети, а также настроить работу программы в неинтерактивном режиме. Рис. 13. Принцип работы программы ViPNet Контроль приложений. Если пользователь определил, разрешить или запретить приложению работать с сетью, данное приложение регистрируется программой «Контроль приложений». Это значит, что выбранное действие запоминается программой «Контроль приложений» и выполняется при каждой следующей сетевой активности данного приложения. Модули: ViPNet Деловая почта. Программа ViPNet Деловая почта (или просто «Деловая почта») предназначена для организации электронного документооборота в защищенной сети ViPNet. С помощью программы ViPNet Деловая почта пользователи сети ViPNet, у которых есть связь друг с другом, могут обмениваться электронными письмами. Программа ViPNet Деловая почта входит в состав программного обеспечения ViPNet Client и может быть установлена на компьютер вместе с другими компонентами данного программного обеспечения или отдельно. Установка ПО ViPNet Client описана в документе «ViPNet Client Монитор. Руководство пользователя». Программа ViPNet Деловая почта обладает стандартными функциями почтового клиента: • отправка и прием писем; • отправка и прием вложенных в письма файлов; • подписание писем и вложений электронной подписью; О шифрование файлов вложений. Программа «Деловая почта» также имеет ряд особенностей: • доступ к программе на сетевом узле ViPNet имеет только • пользователь этого сетевого узла; • письма программы «Деловая почта» передаются по защищенным каналам в сети ViPNet с помощью транспортного модуля MFTP; • письма программы «Деловая почта» зашифрованы на ключах адресата и не могут быть прочитаны кем-либо другим; • «Деловая почта» имеет мощную систему автоматической обработки входящих писем и исходящих файлов (автопроцессинг). Интерфейс программы имеет следующий вид: Рис. 14. Интерфейс программы «Деловая почта». Цифрами на рисунке обозначены: 1. Главное меню программы. 2. Панель инструментов. Чтобы удалить или добавить кнопки на панель инструментов, в меню Вид выберите пункт Панель инструментов, затем щелкните Настройка. 3. Панель папок. На этой панели отображается иерархическая структура папок программы ViPNet Деловая почта. Если в папке есть непрочитанные письма, имя папки выделено полужирным шрифтом, а количество непрочитанных писем указано после имени папки в скобках. Если папка содержит вложенные папки, в которых есть непрочитанные письма, в скобках указаны два числа: количество непрочитанных писем в папке и суммарное количество непрочитанных писем во вложенных папках. 4. Панель писем. На этой панели отображается список писем, находящихся в выбранной на панели (3) папке. Чтобы просмотреть список находящихся в папке писем в формате HTML, на панели писем щелкните правой кнопкой мыши заголовок какого-либо столбца и в контекстном меню выберите пункт Просмотр в HTML-формате. 5. Столбцы панели писем (4). Чтобы отсортировать список писем по одному из столбцов, щелкните заголовок столбца. С помощью контекстного меню можно удалить или добавить столбцы. В столбце Атрибут отображаются коды статуса письма (например, П - подписано, Ш - зашифровано, Ч - прочитано и др.). 6. Панель чтения. На этой панели отображается текст письма, выбранного на панели (4). 7. Строка состояния. В строке состояния указано общее количество писем в выбранной папке и ее подпапках, а также количество непрочитанных (в папке Входящие) или недоставленных (в папке Исходящие) писем. Количество писем определенного типа отображается в виде суммы двух чисел: количество писем данного типа в выбранной папке и суммарное количество писем данного типа во вложенных папках. Автопроцессинг. Программа ViPNet Деловая почта предоставляет пользователю такой удобный инструмент автоматической обработки документов, как правила автопроцессинга. Автопроцессингом называется автоматическая обработка писем и файлов по определенным правилам. Рис. 15. Схема работы автопроцессинга. Правила автопроцессинга делятся на две категории: • правила обработки исходящих файлов: файлы с определенной маской имени, находящиеся в определенной папке, автоматически отправляются заданным пользователям сети ViPNet; • правила обработки входящих писем: входящие письма, соответствующие заданным параметрам, переносятся в заданную папку программы «Деловая почта» или текст письма, и вложения копируются в заданную папку на диске. Также возможна отправка квитанции о прочтении письма. Обработка писем и файлов осуществляется следующим образом. 1. Программа «Деловая почта» принимает новое входящее письмо, или в заданную папку для исходящих файлов помещается файл. Папки проверяются на наличие файлов каждые 5 секунд. 2. Начинается обработка письма или файла соответствующими правилами автопроцессинга. Обработка выполняется в порядке расположения правил в списке в разделе Автопроцессинг. 3. Каждое правило автопроцессинга состоит из условия и действия. Если письмо или файл удовлетворяет условиям правила: • над ним выполняется заданное действие; • если в действии правила не задано прекращение дальнейшей обработки, письмо или файл обрабатывается следующим правилом. 4. Обработка письма или файла прекращается после проверки всех правил или если выполняется действие, прекращающее дальнейшую обработку.