Выбери формат для чтения
Загружаем конспект в формате doc
Это займет всего пару минут! А пока ты можешь прочитать работу в формате Word 👇
Воронежский институт МВД России
Кафедра информационной безопасности
УТВЕРЖДАЮ
Заместитель начальника кафедры
информационной безопасности
полковник полиции
А.В. Мельников
«___» ___________ 2018 г.
Тезисы лекции
по программе повышения квалификации
сотрудников подразделений территориальных органов МВД России по теме:
«ПАК ViPNet Coordinator HW1000/2000,
правила эксплуатации и обработки информации»
(c использованием системы дистанционных образовательных технологий)
Блок дистанционного обучения в системе MOODLE
Тема №2. «Защита каналов связи ИМТС МВД России с помощью программно-аппаратной технологии ViPNet»
Лекция №6. «Функции и особенности настройки компонента ViPNet Coordinator»
Подготовил:
старший преподаватель кафедры
информационной безопасности
подполковник полиции
С.В. Зарубин
Обсуждены и одобрены
на заседании
методической секции кафедры
информационной безопасности
протокол № __ от _______ 2018 г.
Обсуждены и одобрены
на заседании кафедры
информационной безопасности
протокол № __ от _______ 2018 г.
Воронеж 2018
1. Состав ViPNet Coordinator.
ViPNet Coordinator состоит из следующих основных модулей:
• ViPNet-драйвер (низкоуровневый драйвер сетевой защиты);
• транспортный модуль ViPNet MFTP;
• программа ViPNet Монитор - является графическим интерфейсом для управления ViPNet-драйвером, обеспечивает ведение журнала событий в системе, а также набор коммуникационных и других функций;
• программа ViPNet Контроль приложений (при наличии лицензии).
Примечание. В состав ViPNet Coordinator не включается программа ViPNet Деловая почта.
ViPNet-драйвер
ViPNet-драйвер - это низкоуровневый драйвер сетевой защиты, осуществляющий шифрование и фильтрацию 1Р-трафика. ViPNet- драйвер взаимодействует непосредственно с драйверами сетевых интерфейсов компьютера (реальных или их эмулируемых), что обеспечивает независимость программы от операционной системы и недокументированных возможностей в ней. ViPNet-драйвер перехватывает и контролирует весь IP-трафик, поступающий и исходящий из компьютера.Одна из важнейших функций драйвера - эффективный контроль IP-трафика во время загрузки операционной системы. В ОС Windows для инициализации загрузки компьютера используется только одна служба. Инициализация ViPNet-драйвера и ключей шифрования ViPNet выполняется перед входом пользователя в Windows, то есть до инициализации остальных служб и драйверов операционной системы.
В результате ViPNet-драйвер первым получает контроль над стеком протоколов TCP/IP. К моменту инициализации драйверов сетевых адаптеров ViPNet-драйвер подготовлен к шифрованию и фильтрации трафика, тем самым обеспечивается защищенное соединение с контроллером домена, контроль сетевой активности запущенных на компьютере приложений и блокирование нежелательных пакетов извне. В момент загрузки операционной системы ПО ViPNet проверяет собственные контрольные суммы, гарантирующие целостность программного обеспечения, наборов ключей и списка приложений, которым разрешена сетевая активность.
Принцип работы ViPNet-драйвера
Ядром программного обеспечения ViPNet является ViPNet-драйвер, основная функция которого - фильтрация, шифрование и расшифрование входящих и исходящих IP-пакетов.
Каждый исходящий пакет обрабатывается ViPNet-драйвером в соответствии с одним из следующих правил:
• переадресуется или отправляется в исходном виде (без шифрования);
• блокируется;
• шифруется и отправляется;
• шифруется и переадресуется.
Каждый входящий пакет обрабатывается следующим образом:
• пропускается (если он не зашифрован и это разрешено правилами фильтрации для нешифрованного трафика);
• блокируется (в соответствии с установленными правилами фильтрации);
• расшифровывается (если пакет был зашифрован) и перенаправляется для дальнейшей обработки соответствующим приложением.
ViPNet-драйвер работает между канальным уровнем и сетевым уровнем модели OSI, что позволяет осуществлять обработку IP-пакетов до того, как они будут обработаны стеком протоколов TCP/IP и переданы на прикладной уровень. Таким образом, ViPNet- драйвер защищает IP-трафик всех приложений, не нарушая привычного порядка работы пользователей.
Рис. 1. ViPNet-драйвер в модели OSI
Благодаря такому подходу внедрение технологии ViPNet не требует изменения сложившихся бизнес-процессов, а затраты на развертывание сети ViPNet невелики.
Примечание. На приведенной схеме модели OSI допущены следующие упрощения:
• транспортный и сеансовый уровни объединены в транспортный уровень;
• прикладной уровень и уровень представления объединены в прикладной уровень.
Следующая схема иллюстрирует работу ViPNet-драйвера при обработке запроса на просмотр веб-страницы. Страница размещена па IIS-сервере, который работает на компьютере Б.
Рис. 2. Схема работы сети TCP/IP, защищенной ПО ViPNet
Компьютер А отправляет на компьютер Б запрос по протоколу HTTP. Запрос передается на нижние уровни стека TCP/IP, при этом на каждом уровне к нему добавляется служебная информация. Когда запрос достигает ViPNet-драйвера, он зашифровывает запрос и добавляет к нему собственную информацию. ViPNet-драйвер, работающий на компьютере В, принимает запрос и удаляет из него служебную информацию ViPNet. Затем ViPNet-драйвер расшифровывает запрос и передает по стеку TCP/IP на прикладной уровень для обработки.
ViPNet Монитор
Основной функцией программы ViPNet Монитор является настройка различных параметров ViPNet-драйвера и запись событий, возникающих в процессе обработки трафика драйвером, в журнал регистрации IP-пакетов. Если выгрузить программу ViPNet Монитор из памяти компьютера, ViPNet-драйвер продолжит работу и будет обеспечивать
безопасность компьютера, но в журнале регистрации IP-пакетов может отсутствовать информация о трафике, обработанном драйвером при закрытой программе ViPNet Монитор (ViPNet-драйвер может хранить в памяти не более 10 000 записей журнала).
На компьютере программа ViPNet Монитор:
• позволяет настраивать параметры встроенного сетевого экрана;
• позволяет управлять параметрами обработки прикладных протоколов;
• предоставляет встроенные функции для защищенного обмена сообщениями, проведения конференций, файлового обмена и т. д.
ViPNet MFTP
Транспортный модуль ViPNet MFTP реализует в координаторе функцию сервера-маршрутизатора почтовых конвертов, а также обеспечивает обмен управляющей, адресной и ключевой информацией с программой ViPNet Центр управления сетью. Подробнее о программе см. документ «ViPNet MFTP. Руководство администратора».
Описание работы модуля MFTP в серверном режиме
ViPNet MFTP запускается одновременно с ПО ViPNet, в состав которого входит, и остается активным в течение всего времени работы программы.
В серверном режиме MFTP взаимодействует с абонентскими пунктами, зарегистрированными на данном координаторе, и с другими координаторами, связь с которыми устанавливается администратором сети ViPNet в программе ViPNet Administrator Центр управления сетью или ViPNet Manager. Когда конверты получены координатором, его MFTP определяет дальнейший маршрут их передачи на сетевые узлы. Согласно заданной логике, при наличии конверта сервер либо сам начинает устанавливать соединение с другим сервером или абонентским пунктом (по умолчанию такая логика установлена при отправке конверта на другой сервер), либо ожидает, когда с ним установит соединение другая сторона (по умолчанию эта логика работает при наличии конвертов для абонентского пункта).
Если письмо или файл адресованы нескольким получателям, то формируется многоадресный конверт. Тело многоадресного конверта шифруется один раз на случайном ключе. Чтобы все получатели могли расшифровать тело конверта, для каждого из них формируется отдельный заголовок - частный заголовок конверта. В каждый частный заголовок конверта помещается случайный ключ, зашифрованный на ключе обмена.
ViPNet Контроль приложений
11рограмма «Контроль приложений» является необязательным модулем программного обеспечения. Чтобы иметь возможность контролировать сетевую активность приложений на каждом компьютере, необходима специальная лицензионная запись в регистрационном файле на ПО ViPNet.
Программа «Контроль приложений» позволяет:
• получить информацию обо всех приложениях, которые запрашивали доступ в сеть;
• ограничить (разрешить или запретить) доступ приложений к сети;
• просмотреть журнал событий по сетевой активности приложений.
2. Функции координатора в защищенной сети ViPNet.
Как правило, узел с установленным ПО ViPNet Coordinator выполняет в сети одну или несколько функций в зависимости от задач, решаемых в рамках корпоративной сети, ее структуры, нагрузки на координатор и других факторов. Функциональность координатора может быть следующей:
• выполнение функций почтового сервера для сообщений программы «Деловая почта» и управляющих сообщений из программы ViPNet Центр управления сетью (Сервер-маршрутизатор);
• проксирование защищенного трафика (организация безопасной связи между защищенными сетями через публичные сети);
• оповещение узлов о параметрах доступа друг к другу (сервер IP-адресов);
• организация защищенного взаимодействия с открытым узлом в локальной сети (туннелирование);
• фильтрация открытого и туннелируемого трафика (межсетевой экран);
• выполнение динамической и статической трансляции IP- адресов (NAT);
• организация безопасного подключения компьютеров корпоративной сети к Интернету (сервер Открытого Интернета).
Если требуется, чтобы координатор, помимо почтового сервера, выполнял и остальные вышеперечисленные функции, необходимо зарегистрировать его в прикладной задаче «Сервер IP-адресов».
На этапе планирования сети следует определить, сколько координаторов будет в сети и какие функции они будут выполнять.
Сервер-маршрутизатор
В программе ViPNet Центр управления сетью каждый создаваемый клиент регистрируется на координаторе. Этот координатор является для клиента сервером-маршрутизатором. Пользователь сетевого узла не может изменить заданный сервер-маршрутизатор на какой-либо другой.
Роль сервера-маршрутизатора в сети ViPNet состоит в доставке на сетевые узлы управляющих сообщений, обновлений ключей и программного обеспечения из программы ViPNet Центр управления сетью, а также обмене прикладными транспортными конвертами между узлами (см. «Транспортный конверт» на стр. 377).
Маршрутизация прикладных и управляющих конвертов осуществляется с помощью транспортного модуля ViPNet MFTP, работающего на прикладном уровне. Транспортный модуль на координаторе принимает конверты от других узлов сети ViPNet и пересылает их на узел назначения.
Маршрутизация данных между координаторами выполняется на основании межсерверных каналов, заданных для этих координаторов. Межсерверные каналы могут быть организованы по любой схеме. Если маршрутов несколько, передача информации осуществляется по кратчайшему из них. Передача информации из одной сети в другую выполняется с помощью шлюзовых координаторов, с помощью которых происходит взаимодействие двух сетей.
Рис. 3. Роль сервера-маршрутизатора в сети ViPNet
При поступлении прикладного или управляющего конверта сервер-маршрутизатор в соответствии с маршрутными таблицами определяет дальнейший путь передачи этого конверта. Если конверт многоадресный, он дробится сервером на соответствующие части. Получив конверт, сервер-маршрутизатор выполняет одно из действий в зависимости от заданных параметров:
• устанавливает соединение с сетевым узлом (по умолчанию такая логика действует при отправке конверта на другой сервер-маршрутизатор);
• ожидает, когда соединение установит получатель конверта (по умолчанию эта логика действует при наличии конвертов для клиентов).
Кроме того, можно задать период опроса других объектов независимо от наличия для них конвертов. При разрывах соединений передача информации всегда продолжается с точки разрыва, что особенно важно на коммутируемых каналах.
Маршрутизатор VPN-пакетов
Координатор осуществляет маршрутизацию транзитного VPN-трафика (защищенного трафика), который проходит через координатор на другие защищенные узлы. Маршрутизация осуществляется как внутри одной сети ViPNet, так и при взаимодействии с другими сетями ViPNet.
Маршрутизация защищенного трафика осуществляется на основании идентификаторов защищенных узлов, содержащихся в открытой части VPN-пакетов, которая защищена от подделки, и на основании защищенного протокола динамической маршрутизации VPN-трафика.
арм клиента 1 Координатор 1 Координатор 2 арм Клиента 2
Рис. 4. Функция проксирования защищенного трафика в сети ViPNet
Одновременно выполняется трансляция адресов (NAT) для защищенного трафика. Все транзитные защищенные пакеты, поступающие на координатор, отправляются на другие узлы от имени IP- адреса координатора. Трансляция адресов для защищенного трафика выполняется автоматически в соответствии с параметрами, которые не могут быть изменены.
Сервер IP-адресов
При подключении любого компьютера с программой ViPNet Client к сети или изменении его параметров подключения эти параметры сообщаются координатору, который играет роль сервера IP-адресов для данного компьютера. В свою очередь, сервер IP-адресов отправляет на абонентский пункт информацию о параметрах подключения и о состоянии всех узлов, с которыми у данного абонентского пункта имеется связь.
• Таким образом, роль сервера IP-адресов заключается в:
• сборе сведений о сетевых узлах;
• информировании о параметрах доступа и состоянии тех узлов сети, с которыми у данного компьютера имеется связь.
Рис. 5. Роль сервера IP-адресов в сети ViPNet
Список всех узлов, с которыми у компьютера имеется связь, а также параметры доступа к ним отображаются в окне программы ViPNet Монитор в разделе Защищенная сеть.
Чтобы подтвердить свое присутствие в сети, абонентский пункт через заданный промежуток времени (по умолчанию - 5 минут) отправляет серверу сообщение о своей активности. Если такое сообщение не поступило, координатор переводит абонентский пункт в статус «Недоступен».
Аналогичным образом происходит обмен информацией о параметрах доступа между координаторами. Периодически (по умолчанию каждые 15 минут) координатор отсылает на другие связанные координаторы подтверждение о своей активности. Кроме того, координаторы обеспечивают рассылку информации об узлах, для которых они выполняют функцию сервера IP-адресов.
Сервер IP-адресов работает по следующей логике:
• при появлении новой информации о подведомственном ему абонентском пункте рассылает ее на другие абонентские пункты и связанные координаторы;
• при появлении новой информации об абонентских пунктах других координаторов рассылает ее подведомственным абонентским пунктам, которые связаны с абонентскими пунктами из списка;
• при отсутствии информации от подведомственного абонентского пункта по истечении периода опроса считает этот абонентский пункт отключившимся и рассылает информацию об этом;
• в случае взаимодействия координатора с другой сетью ViPNet на шлюзовой координатор другой сети высылается информация о состоянии всех узлов своей сети, связанных с узлами другой сети ViPNet. При получении такой информации из другой сети ViPNet рассылает эту информацию на все координаторы своей сети, а также на подключенные в данный момент подведомственные абонентские пункты, связанные с узлами другой сети.
По умолчанию для абонентского пункта роль сервера IP-адресов выполняет его сервер-маршрутизатор (координатор, на котором клиент зарегистрирован в программе ViPNet Центр управления сетью). В отличие от сервера-маршрутизатора, сервер IP-адресов можно сменить, выбрав любой другой координатор, с которым у данного абонентского пункта есть связь.
Прикладная задача «Сервер IP-адресов»
Для того чтобы сократить число необходимых настроек на абонентских пунктах и координаторах до минимума, администратор сети ViPNet имеет возможность установить параметры настройки для любого узла в программе ViPNet Центр управления сетью.
Сервер-маршрутизатор будет выполнять функцию «Сервер IP-адресов» только в том случае, если в программе ViPNet Центр управления сетью он будет зарегистрирован в прикладной задаче «Сервер IP-адресов». Для СМ, зарегистрированных в данной задаче, в ЦУСе можно произвести дополнительные настройки различных параметров работы.
Рис. 6. Регистрация в задаче «Сервер IP-адресов»
Если сервер будет использоваться как сервер Открытого Интернета, то следует нажать кнопку Сервер ОИ.
Если сервер должен обеспечивать туннелирование трафика открытых компьютеров локальной сети, то следует нажать кнопку Туннель и задать число адресов, которое может туннелироваться данным ViPNet-координатором.
Нажав кнопку IP-адреса, можно для конкретного сервера произвести различные настройки (задать один или несколько IP-адресов и т. д.).
Краткое описание формата строк, используемых для настройки
№
Формат
строки
Пример строки
Описание
1
АДРЕС
195.210.139.67
Строка определяет рельный
IP – адрес компьютера
2
АДРЕС:
ПОРТ:FIX
195.210.139.67:4321
или
195.210.139.67: OUT
или
195.210.139.67:4321:FIX
Строка определяет:
• АДРЕС – IP-адрес доступа к сетевому узлу через межсетевой экран.
• ПОРТ- порт доступа к сетевому узлу через межсетевой экран.
Параметр ПОРТ может иметь определенный номер порта или значение OUT. OUT – порт доступа по умолчинию – 55777.
Параметр: FIX является необязательным параметром. Наличие : FIX означает, что на сетевом узле в программе ViPNet Монитор при выборе типа МЭ Со статической трансляцией адресов зафиксируется внешний IP-адрес доступа через МЭ, указанный в параметре АДРЕС
3
E:АДРЕС1-
АДРЕС2:
ПОРТ:FIX
E:195.210.139.44-
195.210.135.56:OUT
Строка задается только для координатора.
Строка используется для автоматической настройки из ЦУС параметров подключения координатора к сети.
Строка определяет:
• АДРЕС1 – IP – адрес внешнего сетевого интерфейса координатора.
• АДРЕС2 – IP – адрес доступа к координатору через МЭ.
• Значение АДРЕС2 должно быть равно 0.0.0.0., если данный параметр неизвестен или в нем нет необходимости.
• ПОРТ – порт доступа к координатору через МЭ.
• Параметр ПОРТ может иметь определенный номер порта или значение OUT. OUT – порт доступа по умолчанию 55777.
• Параметр :FIX является необязательным параметром. Наличие :FIX означает, что на сетевом узле в программе ViPNet Монитор при выборе типа МЭ Со статической трансляцией адресов зафиксируется внешний IP-адрес доступа через МЭ, указанный в параметре АДРЕС2. Если значение АДРЕС2 равно 0.0.0.0, то параметр :FIX использовать нельзя.
Для координатора строка такого формата должна быть только одна
4
DNS://DNS-
имя:ПОРТ
DNS://www.infotecs-vpn.info:
OUT
Строка задается в случае, если собственный адрес узла или адрес МЭ, который он использует, динамически меняется.
Параметр :ПОРТ - необязательный.
• Если :ПОРТ не задан, то строка DNS://DNS-имя задает собственное DNS-имя узла.
• Если :ПОРТ задан, то строка DNS://DNS-имя:ПOPT задает DNS-имя и порт доступа через МЭ
5
S:АДРЕСА
S:178:136:121:10
S:178:136:121:12-
178:136:121:33
S:178:136:121:56-
178:136:122:212
S:178:136:122:215;
178:136:122:218
Строка задается только для координатора. Строка определяет туннелируемые адреса координатора:
АДРЕСА - туннелируемые адреса координатора задаются в виде адреса или диапазона адресов в одной или нескольких строках, начинающихся с S:.
Адреса и диапазоны можно задавать одной строкой, разделяя их «точкой с запятой» (;)
Специальные строки
Строки для групповой настройки параметров абонентских пунктов координатора, который является для них сервером IP-адресов. Строки задаются только для координаторов.
№
Формат
стоки
Описание
1
NOPROXY_AP
Наличие такой настройки у ViPNet-координатора означает, что на абонентских пунктах, для которых данный координатор является сервером IP-адресов, после установки и запуска ViPNet Client Монитор по умолчанию выберется работа без использования МЭ
2
REQUEST_AP
Наличие такой настройки у ViPNet-координатора означает, что на абонентских пунктах, для которых данный координатор является сервером IP-адресов, после установки и запуска ViPNet Client Монитор по умолчанию задается вопрос о желании использовать данный координатор в качестве МЭ. При отказе на АП будет выбрана работа без использования МЭ
3
DYN_AP:SRV
Наличие такой настройки у ViPNet-координатора означает, что на абонентских пунктах, для которых данный координатор является сервером IP-адресов, после установки и запуска ViPNet Client Монитор по умолчанию будет выбрано использование МЭ С динамической трансляцией адресов.
Параметр :SRV является необязательным параметром. Наличие :SRV означает, что весь трафик АП с внешними узлами будет направляться только через данный ViPNet- координатор
4
STAT_AP
Наличие такой настройки у ViPNet-координатора означает, что на абонентских пунктах, для которых данный координатор является сервером IP-адресов, после установки и первого запуска ViPNet Client Монитор будет выбрано использование МЭ Со статической трансляцией адресов
Строки для индивидуальной настройки сетевых узлов. Индивидуальные настройки имеют приоритет перед групповыми настройками.
1
NOPROXY
Строка задается только для АП.
Наличие такой настройки у АП означает, что на этом АП в ViPNet Client Монитор будет выбрана работа без использования МЭ
2
PROXY
Строка задается только для АП.
Наличие такой настройки у АП означает, что на этом АП в ViPNet Client Монитор должен быть выбран в качестве МЭ ViPNet-координатор
3
REQUEST
Строка задается только для АП.
Наличие такой строки у АП означает, что на АП при первом запуске ViPNet Client Монитор задается вопрос о желании использовать в качестве МЭ ViPNet-координатор
4
DYN:SRV
Наличие такой настройки у сетевого узла означает, что на этом узле (АП или координаторе) в программе ViPNet Монитор будет выбрано использование МЭ С динамической трансляцией адресов.
Параметр :SRV является необязательным параметром. Наличие :SRV означает, что весь трафик АП с внешними узлами будет направляться только через выбранный координатор для организации входящих соединений.
Для координатора эта строка действует только при наличии строки формата Е:АДРЕС1-АДРЕС2:ПОРТ:Е1Х
5
NODYN
Строка задается только для АП.
Наличие такой настройки у АП означает, что на этом АП в ViPNet Client Монитор не будет выбрано использование МЭ С динамической трансляцией адресов
6
TIMEOUT:N
Наличие такой настройки у сетевого узла означает, что на сетевом узле в программе ViPNet Монитор в случае использования МЭ С динамической трансляцией адресов период опроса координатора для обеспечения пропуска входящего трафика будет равен N секундам.
Например, TIMEOUT:40.
Отсутствие данной строки у сетевого узла означает, что период опроса равен 25 секундам
7
STAT:ПОРТ
Строка задается только для АП.
Наличие такой настройки у АП означает, что на этом АП в ViPNet Client Монитор будет выбрано использование МЭ Со статической трансляцией адресов.
Параметр :ПОРТ является необязательным. Параметр указывается, если к данному АП доступ осуществляется через порт, отличный от порта с номером 55777
8
PRID=ID
ID - идентификатор ViPNet-координатора.
Наличие такой настройки у сетевого узла означает, что данный узел будет использовать координатор с указанным идентификатором для работы с узлами, находящимися во внешней сети.
Для АП строку следует задавать, если в качестве такого координатора нужно выбрать иной координатор, чем сервер IP-адресов этого АП
9
IPID=ID
Строка задается только для АП.
ID - идентификатор ViPNet-координатора.
Наличие такой строки у абонентского пункта означает, что на АП в качестве сервера IP-адресов будет выбран координатор с указанным идентификатором.
Строку следует задавать, если для АП в качестве сервера IP-адресов нужно выбрать иной координатор, чем по умолчанию. По умолчанию сервером IP-адресов для АП является координатор, на котором этот АП зарегистрирован в ЦУС
Межсетевой экран
Координатор выполняет фильтрацию любых пакетов на каждом сетевом интерфейсе по адресам, протоколам и портам в соответствии с настроенными сетевыми фильтрами. С помощью сетевых фильтров можно не только заблокировать нежелательные соединения, но и разрешить соединения с открытыми узлами, не входящими в сеть ViPNet.
Помимо настраиваемых правил фильтрации, в программе имеются система обнаружения атак и система антиспуфинга. Эти системы защищают компьютер от наиболее распространенных сетевых атак.
Рис. 7. Роль межсетевого экрана в сети ViPNet
Координатор может быть установлен на границе локальной сети и выполнять функцию межсетевого экрана для защищенных и открытых узлов, а также осуществлять трансляцию адресов для проходящего через координатор открытого трафика (см. «Трансляция сетевых адресов (NAT)» на стр. 377).
Функция NAT для открытого трафика позволяет задать правила трансляции адресов для решения двух основных задач:
• для подключения локальной сети к Интернету, когда количество узлов локальной сети превышает выданное поставщиком услуг Интернета количество публичных IP-адресов. Таким образом, NAT позволяет компьютерам с локальными адресами получать доступ к Интернету от имени публичного адреса координатора. Для решения этой задачи используется трансляция адреса источника;
• для организации доступа к внутренним ресурсам из внешней сети. В результате применения технологии NAT узлы локальной сети, имеющие частные адреса, могут быть доступны пользователям Интернета по публичным IP-адресам.
Для решения этой задачи используется трансляция адреса назначения.
Примечание. Трансляция адресов для защищенного трафика осуществляется автоматически.
Основные принципы фильтрации трафика
Фильтрации подвергается весь трафик, который проходит через сетевой узел:
• открытый (нешифрованный) трафик (локальный или транзитный);
• защищенный трафик (перед его шифрованием и после расшифровки);
• туннелируемый трафик (перед его шифрованием и после расшифровки).
Примечание. В ПО ViPNet локальными, транзитными и широковещательными называются следующие типы IP-пакетов:
- IP-пакет называется локальным для некоторого сетевого узла, если этот сетевой узел является отправителем или получателем данного пакета;
- IP-пакет называется транзитным для некоторого координатора, если этот координатор не является ни отправителем, ни получателем данного пакета. На координаторе принимается решение переслать такой IP-пакет на другой сетевой узел или заблокировать его;
- IP-пакет называется широковещательным, если IP-адрес или МАС-адрес назначения данного пакета является широковещательным адресом.
Рис. 8. Виды IР-трафика
Для того чтобы правильно настроить правила фильтрации, необходимо понимать основные принципы фильтрации трафика различного типа:
1. Наибольшую опасность представляет трафик из открытой сети, где источник атаки бывает очень сложно обнаружить. Также непросто принять адекватные оперативные меры по пресечению атаки. Поэтому открытый трафик подвергается последовательной комплексной фильтрации.
Правила фильтрации открытого IP-трафика, в том числе трафика между координатором и его туннелируемыми устройствами, являются результатом действия:
• правил антиспуфинга;
• выбранного для каждого сетевого интерфейса режима безопасности;
• списка правил фильтрации трафика для соединений;
• системы обнаружения атак.
Инициализация ViPNet-драйвера выполняется на начальном этапе загрузки Windows, то есть до инициализации остальных служб и драйверов операционной системы. Работа ViPNet- драйвера до авторизации пользователя ViPNet не зависит от настроек фильтров открытой сети, а определяется текущим режимом безопасности и рядом фильтров по умолчанию, необходимых для работы сетевых служб, которые запускаются до авторизации пользователя ViPNet:
• в первом режиме блокируется весь открытый 1Р-трафик без исключений;
• во втором режиме блокируется весь IP-трафик, за исключением следующих соединений:
• все соединения для работы службы DHCP вне зависимости от направления соединения по протоколу UDP и портам источника и назначения 67-68;
• исходящие соединения netbios-ns по протоколу UDP с портами источника и назначения 137;
• исходящие соединения netbios-dgm по протоколу UDP с портами источника и назначения 138;
• исходящие соединения для работы службы DNS по протоколу UDP с любым портом источника и 53 портом назначения;
• в третьем режиме пропускаются все исходящие соединения и входящие соединения службы DHCP (протокол UDP, порты источника и назначения 67-68);
• в четвертом режиме разрешен весь открытый IР-трафик, защита снята.
Фильтрация трафика осуществляется с учетом установленных соединений. Соединение устанавливается, когда в соответствии с правилами фильтрации трафика пропускается входящий или исходящий IP-пакет. Параметры такого IP-пакета регистрируются. На основании этих параметров создается временное правило для пропускания последующих пакетов в прямом и обратном направлениях. Правило существует, пока есть трафик, соответствующий параметрам данного соединения.
Кроме того, в рамках созданного соединения по протоколам TCP, UDP, ICMP всегда пропускаются следующие ICMP- сообщения об ошибках:
• тип 3 - адресат недоступен;
• тип 4 - замедление источника;
• тип 11 - истечение времени;
• тип 12 - неверный параметр.
Если в течение определенного промежутка времени пакеты, соответствующие параметрам данного соединения, не поступают, соединение разрывается.
Если входящий или исходящий пакет не соответствует ни одному правилу в рамках соединения и ни одному из заданных пропускающих правил, то пакет блокируется. Такой метод контроля обеспечивает высокий уровень безопасности, позволяя открывать минимальное число протоколов и портов для доступа к открытым ресурсам своей сети. Таким образом, IP-пакет последовательно проходит ряд фильтров, пока не будет пропущен или заблокирован одним из них. Как только пакет пропускается или блокируется, все последующие фильтры уже не действуют.
Открытый IP-пакет проходит проверку на соответствие различным правилам в следующей последовательности:
а) правила в рамках уже существующих соединений. Если для пакета в таблице соединений есть подходящее, то пакет пропускается, иначе - следующая проверка;
б) блокирующие правила системы обнаружения атак. Есл
и обнаружена атака, то пакет блокируется, иначе - следующая проверка;
Рис. 9. Схема проверки открытого IP-пакета ViPNet-драйвером
в) пропускающее правило антиспуфинга. Если IP-пакет имеет адрес, разрешенный правилом антиспуфинга, пакет пропускается. В противном случае - блокируется;г) блокирующее правило первого режима безопасности. Если на сетевом интерфейсе включен первый режим, то пакет блокируется, иначе - следующая проверка;
д) правило второго режима безопасности направляет пакет на дальнейшую проверку;
е) пропускающее правило третьего режима безопасности. Если на сетевом интерфейсе включен третий режим и это исходящий локальный пакет, то пакет пропускается, иначе - следующая проверка;
ж) пропускающее правило четвертого режима безопасности. Если на сетевом интерфейсе включен данный режим и это локальный пакет, то пакет пропускается, иначе - следующая проверка;
з) пропускающее правило пятого режима безопасности. Если на сетевом интерфейсе включен данный режим, то пакет пропускается, иначе - следующая проверка;
и) блокирующие и пропускающие правила пользователя. Если пакет соответствует одному из правил фильтрации, заданных пользователем, то пакет пропускается или блокируется в соответствии с этим правилом, иначе - следующая проверка;
к) блокирующее правило для всех открытых пакетов. Пакет, не соответствующий ни одному из предыдущих правил, блокируется.
2. Внутри защищенной сети, благодаря криптографической аутентификации трафика, невозможно провести атаку, источник которой нельзя было бы однозначно идентифицировать и устранить (в том числе в случае атаки на туннелируемый узел со стороны защищенного узла).
Любые правила фильтрации применяются к IP-пакетам только после их успешной расшифровки и идентификации сетевого узла-источника. В этом случае IP-адреса сетевых узлов не имеют никакого значения. Также для координатора не имеет значения, со стороны какого сетевого интерфейса находятся те или иные узлы.
Поэтому трафик между защищенными узлами проходит только фильтры, заданные по умолчанию или настроенные пользователем. Эти сетевые фильтры не зависят от сетевого интерфейса, с которого поступил пакет, и определяют правила пропускания трафика для конкретных протоколов, портов и направления передачи. Эти правила в основном предназначены для разграничения прав пользователей защищенных узлов сети ViPNet.
3. Структура фильтров для открытого трафика (в том числе трафика между координатором и его туннелируемыми узлами) отличается от структуры фильтров защищенной сети.
Настройка параметров сетевых интерфейсов
Для обеспечения безопасной работы корпоративной сети компьютер с установленной программой ViPNet Coordinator размещается на границе сетей (или подсетей) и поэтому имеет несколько сетевых интерфейсов. Настройка сетевых интерфейсов происходит при установке программы ViPNet Coordinator или в процессе работы с программой п разделе Сетевые интерфейсы. Данный раздел содержит список нсех сетевых адаптеров компьютера, параметры безопасности которых можно настроить с помощью программы ViPNet Coordinator. Вы можете задать:
• псевдоним, который при необходимости можно использовать вместо системного имени интерфейса;
• режим безопасности на данном сетевом интерфейсе. В программе ViPNet Coordinator возможно задание различных режимов безопасности на разных сетевых интерфейсах;
• параметры пропускания или блокирования пакетов от определенных IP-адресов (функция антиспуфинга).
Режимы безопасности
Интегрированный межсетевой экран программы ViPNet Coordinator имеет пять предустановленных режимов безопасности:
1. Блокировать IP-пакеты всех соединений.
2. Блокировать все соединения, кроме разрешенных.
3. Пропускать все исходящие соединения, кроме запрещенных.
4. Пропускать все соединения.
5. Пропускать IP-пакеты на всех интерфейсах без обработки.
Возможны следующие режимы работы интегрированного межсетевого экрана:
• 1 режим (Блокировать IP-пакеты всех соединений) блокирует на сетевом интерфейсе любые открытые IP-пакеты, в том числе туннелируемые. Данный режим следует использовать на сетевых интерфейсах, где открытые IP-пакеты не должны пропускаться.
• 2 и 3 режимы действуют только на открытый локальный и широковещательный трафик, запрещая либо разрешая установление соединений, для которых не настроены локальные и широковещательные фильтры открытой сети.
- 2 режим (Блокировать все соединения, кроме разрешенных) блокирует создание любых соединений, кроме явно разрешенных.
- 3 режим (Пропускать все исходящие соединения, кроме запрещенных) пропускает исходящие соединения и блокирует входящие соединения, кроме явно разрешенных.
• 4 режим (Пропускать все соединения) также действует только на локальный трафик. В данном режиме разрешается создание любых локальных соединений. Рекомендуется использовать его только для тестирования.
Внимание! Компьютер в четвертом режиме не защищен от несанкционированного доступа, поэтому этот режим следует использовать только в течение короткого времени для тестирования.
• 5 режим (Пропускать IP-пакеты на всех интерфейсах без обработки) прекращает обработку любого открытого и закрытого трафиков на всех интерфейсах координатора. Прекращаются шифрование и расшифровка трафика, любая фильтрация трафика, трансляция IP-адресов. Этот режим также следует использовать только в течение короткого времени для тестирования.
Внимание! В пятом режиме вся передаваемая информация не защищена от несанкционированного доступа и может быть легко перехвачена.
По умолчанию на всех сетевых интерфейсах координатора устанавливается второй режим безопасности.
Антиспуфинг
Программа ViPNet Coordinator обладает функцией антиспуфинга, то есть блокирования входящих IP-пакетов от отправителей, IP-адреса которых недопустимы на данном сетевом интерфейсе. Антиспуфинг работает только для открытого трафика, поскольку для защищенного трафика IP-адрес отправителя не имеет никакого значения.
Открытые пакеты сначала проверяются системой антиспуфинга, а затем уже обрабатываются правилами фильтрации пакетов и правилами режимов безопасности.
Правила антиспуфинга позволяют задать для каждого сетевого интерфейса диапазоны IP-адресов, пакеты от которых допустимы на данном интерфейсе. При этом пакеты, не попадающие в допустимый диапазон, будут блокироваться.
Как видно из названия, основная задача антиспуфинга - это защита от так называемого спуфинга, одного из видов сетевых атак. При спуфинге злоумышленник посылает какому-либо компьютеру пакет, в котором в качестве адреса отправителя указан не адрес злоумышленника, а какой-либо другой, которому разрешено соединение с данным координатором. Например, таким образом можно послать открытый пакет из Интернета через координатор, задав в качестве адреса отправителя адрес частной внутренней сети, которая также подключена к данному координатору. Правила антиспуфинга позволяют исключить такую возможность.
Таким образом, для обеспечения высокого уровня безопасности сети рекомендуется, чтобы на координаторе были настроены правила антиспуфинга. По умолчанию антиспуфинг выключен.
Рис. 10. Свойства сетевого интерфейса
Система обнаружения атак
Система обнаружения атак (intrusion detection system, IDS), являющаяся компонентом программы ViPNet Coordinator, служит для обнаружения и предотвращения действий злоумышленников («хакеров»), целью которых может быть получение несанкционированного доступа к компьютеру либо вывод его из строя.
Система обнаружения атак работает на сетевом уровне, благодаря чему имеет ряд достоинств:
• возможность обнаруживать и блокировать сетевые пакеты до обработки их стеком TCP/IP;
• возможность блокировать на ранней стадии атаки, направленные на перегрузку ОС, приводящие к отказу в обслуживании.
Кроме того, система IDS способна обнаруживать исходящие атаки (как будто злоумышленник находится за вашим компьютером). Это полезно в том случае, если ваша ОС каким-либо образом используется злоумышленником в качестве атаки на какую-либо третью ОС (например, с помощью «троянских» программ).
Если система обнаружения атак обнаружит пакет, соответствующий параметрам одной из типовых атак, этот пакет будет заблокирован. Для пакетов, заблокированных системой обнаружения атак, в журнале IP-пакетов указаны код события и название предполагаемой атаки.
Рис. 11. Настройка системы обнаружения атак в программе ViPNet Coordinator
Туннелирование
Нередко возникает задача защитить обмен данными между узлами на потенциально опасном участке сети или включить узел в сеть ViPNet, при этом ПО ViPNet на некоторые узлы не может быть установлено. Такая ситуация возможна, если узлы сети представляют собой специализированные устройства (например, IP-АТС или аппаратные IP-телефоны) или серверы (SQL, 1C, DHCP), установка дополнительного ПО на которые нежелательна.
Задачи по защите открытых узлов корпоративной сети на потенциально опасном участке сети или по включению открытых узлов в общую защищенную сеть ViPNet без установки на данные узлы ПО ViPNet могут быть решены с помощью технологии туннелирования. Данная технология предполагает направление трафика узла не напрямую на другой узел, а через ViPNet-координатор, где трафик фильтруется и защищается криптографическими методами.
Рис. 12. Использование технологии туннелирования
Примечание. Туннелирование ViPNet - это защита трафика узла сети по всему маршруту следования, кроме участков от узла до туннелирующего координатора.
Логика работы координатора в качестве туннелирующего сервера следующая:
• от туннелируемого узла на координатор трафик поступает в открытом виде;
• координатор обрабатывает трафик в соответствии с правилами фильтрации, шифрует его и передает дальше по цепочке назначения;
• при получении зашифрованных пакетов, предназначенных для туннелируемого узла, координатор подвергает их фильтрации, расшифровывает и передает узлу в открытом виде.
Рис. 13. Защита трафика при туннелировании
В терминологии ViPNet маршрут трафика от открытого узла до защищенного узла называют полутуннелем, а маршрут трафика между двумя открытыми узлами - полным туннелем.
Чтобы координатор мог выполнять функцию туннелирования, администратор сети ViPNet в программе ViPNet Administrator (ЦУС) задает максимально разрешенное число одновременных туннельных соединений на данном координаторе. Также в программе ViPNet Administrator (ЦУС) или на самом координаторе задаются IP-адреса туннелируемых устройств.
NAT-cepвep
Трансляция сетевых адресов (NAT, Network Address Translation) - это механизм преобразования IP-адресов одной сети в IP-адреса другой сети. Положения технологии трансляции адресов регламентируются RFC 2663.
NAT обычно применяется для решения двух основных задач:
• при необходимости подключения локальной сети к Интернету, когда количество узлов локальной сети превышает выданное поставщиком услуг Интернета количество публичных IP-адресов. Таким образом, NAT позволяет локальным сетям, использующим частные адреса, получать доступ к ресурсам Интернета. В ViPNet эту функцию выполняет динамический NAT;
• для организации доступа к внутренним ресурсам из внешней сети. В результате применения технологии NAT локальные сети, имеющие частные адреса, могут быть доступны пользователям Интернета по публичным IP-адресам. В ViPNet эту функцию выполняет статический NAT.
Кроме того, NAT позволяет скрыть внутреннюю структуру сети и внутреннюю адресацию, тем самым оградив локальные узлы от атаки злоумышленников.
Функции NAT конфигурируются на компьютере, разграничивающем локальную (внутреннюю) сеть и глобальную (внешнюю) сеть (например, Интернет). Компьютер должен иметь как минимум два сетевых интерфейса:
• внешний интерфейс - имеет публичный IP-адрес и обеспечивает доступ в Интернет;
• внутренний интерфейс - имеет локальный адрес.
При прохождении сетевых пакетов через компьютер с функциями NAT с внутреннего интерфейса на внешний (или наоборот) происходит трансляция сетевых адресов (NAT).
Роль координатора в качестве сервера NAT можно разделить на две функции:
• организация NAT для защищенных узлов сети (узлов ViPNet);
• организация NAT для открытых узлов сети.
Организация NAT для защищенных узлов сети подразумевает, что координатор с несколькими сетевыми интерфейсами, расположенный на границе разных сетей, выполняет функции трансляции адресов для VPN-соединений между узлами ViPNet в сторону каждой из сетей. То есть все IP-пакеты, упакованные в UDP-формат и проходящие через ViPNet-координатор, передаются в сеть от имени адреса соответствующего интерфейса координатора. Данная функция координатора имеет автоматические настройки, которые не могут быть изменены.
Функция организации NAT для открытых узлов сети позволяет задать правила статической и динамической трансляции адресов.
ViPNet Coordinator поддерживает трансляцию IP-адресов для всех типов IP-протоколов. Однако для всех протоколов, кроме TCP, UDP и ICMP, выполняется только частичная трансляция.
ViPNet Coordinator может выполнять трансляцию адресов двух типов.
• Статическая трансляция адресов устанавливает взаимно однозначное соответствие адресов или портов по типу «один к одному». То есть один публичный адрес или порт маршрутизатора соответствует одному частному адресу или порту внутренней сети. Статическая трансляция применяется в тех случаях, когда некий внутренний узел, не имеющий публичного IP-адреса, должен быть доступен из внешней сети по постоянному адресу (например, веб-сервер).
При добавлении статического правила трансляции локальному IP-адресу ставится в соответствие публичный IP-адрес, по которому внешние пользователи будут «видеть» локальный ресурс.
Рис. 14. Статическая трансляция адресов
При обращении к какому-либо внешнему интерфейсу из Интернета ViPNet Coordinator проверяет, описано ли для этого IP-адреса правило трансляции. Если правило есть и оно статическое, то движение пакетов будет происходить следующим образом:
- во входящих пакетах от внешнего узла координатор подменяет публичный IP-адрес получателя на локальный в соответствии с описанным правилом. Затем пакет передается через внутренний сетевой интерфейс узлу локальной сети, которому адресован пакет;
Примечание. Публичным адресом получателя пакета является адрес внешнего сетевого интерфейса координатора, обеспечивающего доступ в глобальную сеть (Интернет).
- при прохождении ответных пакетов (в рамках уже созданной сессии) координатор производит обратную замену адресов. Адрес локального узла подменяется на публичный IP-адрес внешнего интерфейса координатора. Затем ответный пакет отправляется по назначению (узлу в Интернете).
Таким образом, при передаче в Интернете пакет выглядит так, будто отправитель и получатель этого пакета имеют публичные IP-адреса.
Внимание! При статической трансляции адресов инициировать соединение может только внешний узел. Чтобы локальный узел мог также иметь доступ в Интернет (двусторонний NAT), необходимо в дополнение к статическому задать динамическое правило трансляции адресов.
• Динамическая трансляция адресов (точнее, один из типов динамической трансляции - masquerading) устанавливает соответствие между несколькими частными адресами внутренней сети и одним публичным адресом маршрутизатора путем динамического присвоения уникальных дополнительных параметров (например, портов). Данная разновидность NAT используется для предоставления компьютерам из локальной сети с частными адресами доступа к Интернету через маршрутизатор, имеющий всего один публичный адрес. Таким образом, несколько компьютеров локальной
сети могут одновременно использовать один публичный IР-адрес.
Рис. 15. Динамическая трансляция адресов
При динамической трансляции адресов преобразование пакетов, пересылаемых между локальной сетью, имеющей частные адреса, и Интернетом (или другими глобальными сетями, поддерживающими IP-протокол) происходит следующим образом:
- в момент передачи IP-пакета из локальной сети в Интернет ViPNet Coordinator преобразует в нем адрес и (или) порт отправителя пакета для протоколов TCP и UDP Для пакетов протокола ICMP преобразуется адрес отправителя, остальные параметры запоминаются. В процессе преобразования частный адрес отправителя пакета заменяется на публичный адрес внешнего сетевого интерфейса координатора, обеспечивающего доступ в глобальную сеть. При дальнейшей передаче в Интернете пакет имеет публичный IP-адрес отправителя. Номера портов отправителя (для протоколов TCP и UDP) и запоминаемые параметры (для протокола ICMP) пакетов имеют уникальные значениядля всех исходящих IP-соединений внешнего сетевого интерфейса координатора. После преобразования пакет отправляется адресату в Интернете;
- при прохождении ответных пакетов ViPNet Coordinator производит обратное преобразование указанных параметров. То есть в момент передачи ответного IP-пакета ViPNet Coordinator заменяет в нем адрес получателя на частный адрес узла локальной сети, которому адресован ответный пакет. Преобразование происходит на основании уникальных номеров портов, присвоенных исходящим пакетам (для протоколов TCP и UDP), и запоминаемых параметров исходящих пакетов (для протокола ICMP). Номера портов (для протоколов TCP и UDP) также преобразуются в свои истинные значения. Затем ответные пакеты передаются через внутренний сетевой интерфейс узлу локальной сети, которому адресован пакет.
Примечание. Для всех протоколов, кроме TCP, UDP и ICMP, преобразуются только IP-адреса. Для протоколов с частичным преобразованием динамическая трансляция адресов не будет работать, если несколько узлов локальной сети одновременно инициируют соединение с одним и тем же IP-адресом публичной сети.
Сервер Открытого Интернета
Технология «Открытый Интернет» позволяет решить задачу доступа к Интернету с максимально высоким уровнем безопасности, возможным без физического отключения компьютера от корпоративной сети. Данная технология дает возможность произвести отключение компьютера сотрудника от корпоративной сети и предоставляет ему безопасный доступ к ресурсам сети Интернет.
Реализация технологии «Открытый Интернет» состоит в следующем: в сети выделяется виртуальный изолированный сегмент, который будет связан как с координатором с функцией «Открытый Интернет» (ОИ), так и с другими узлами локальной сети. Доступ в Интернет регулирует прокси-сервер, который может находиться как на сервере Открытого Интернета, так и на выделенном компьютере.
Внимание! Для обеспечения безопасности вашей сети не рекомендуется размещать прокси-сервер на одном компьютере с координатором Открытого Интернета. Более безопасной является конфигурация, в которой прокси-сервер связан туннелем с координатором ОИ.
Рис. 16. Использование координатора в качестве сервера Открытого Интернета
Компьютеры, связанные с сервером Открытого Интернета, могут работать только в одном из двух режимов:
• работа в сети Интернет, при этом ресурсы корпоративной защищенной сети не доступны, хотя компьютер не отключен от сети физически;
• работа с ресурсами локальной сети, при этом доступ к Интернету полностью заблокирован, но без физического отключения от него.
Такое разделение на два непересекающихся режима исключает любые атаки в реальном времени на компьютеры корпоративной сети через компьютеры, имеющие доступ к Интернету Если же на компьютер, работающий с Интернетом, попадет вредоносная программа, она будет обнаружена и блокирована модулем контроля приложений ViPNet, при этом не получив доступа в корпоративную сеть.
Рис. 17. Конфигурация «Открытый Интернет»
Использование технологии «Открытый Интернет» позволяет решить сразу несколько задач:
• предоставление сотрудникам безопасного и удобного доступа в сеть Интернет с рабочих мест без дополнительных трудозатрат;
• отсутствие затрат на создание и обслуживание специальной выделенной сети, посредством которой сотрудники учреждения получают доступ в сеть Интернет.
Примечание. Узлы, связанные с координатором Открытого Интернета, в режиме работы с сетью Интернет имеют связь только с данным координатором. При этом другие узлы, которым также разрешен доступ в Интернет, не доступны.
Чтобы координатор мог выполнять функцию «Открытый Интернет», администратор сети ViPNet в программе ViPNet Центр управления сетью регистрирует координатор в прикладной задаче «Сервер ОИ».
Рис. 18. Режим «Основная конфигурация»
3. Принципы осуществления соединений в сети ViPNet.
Защищенные узлы ViPNet могут быть подключены к внешней сети непосредственно либо взаимодействовать с внешней сетью через различные межсетевые экраны, в том числе ViPNet-координатор.
Каждый защищенный узел получает информацию о других узлах ViPNet, параметрах доступа и их активности в данный момент от своего сервера IP-адресов или от других координаторов (если узел сам является координатором). Таким образом, координатор отвечает за сбор и рассылку информации о сетевых узлах на узлы, для которых он выполняет функции сервера IP-адресов.
Защищенные узлы ViPNet могут располагаться внутри локальных сетей любого типа, поддерживающих IP-протокол. Способ подключения к сети может быть любой: сеть Ethernet, РРРоЕ через XDSL-подключение, РРР через подключение Dial-up или ISDN, сеть сотовой связи GPRS или UMTS, устройства Wi-Fi, сети MPLS или VLAN. ПО ViPNet автоматически поддерживает разнообразные
протоколы канального уровня. Для создания защищенных VPN- туннелей между сетевыми узлами используются IP-протоколы двух типов (IP/241 и IP/UDP), в которые упаковываются пакеты любых других IP-протоколов.
При взаимодействии любых сетевых узлов между собой, если между ними отсутствуют межсетевые экраны с преобразованием адресов, используется протокол IP/241. Этот протокол более экономичен, так как не имеет UDP-заголовка размером 8 байт. Исходный пакет после шифрования упаковывается в пакет протокола IP/241.
Рис. 19. Схема использования протокола IP/241
Если между защищенными узлами находится межсетевой экран, выполняющий преобразование сетевых адресов (в том числе координатор ViPNet), автоматически используется протокол UDP, который позволяет IP-пакетам проходить через межсетевые экраны. Исходный пакет после шифрования упаковывается в UDP-пакет. Для настройки соединения между узлами на межсетевом экране необходимо указать разрешающее правило для UDP-протокола с фиксированным портом источника. Порт назначения в общем случае не задается, поскольку он регистрируется по пакетам от узла получателя.
Рис. 20. Схема использования протокола IP/UDP
На защищенных узлах ViPNet можно настроить следующие типы подключения к внешней сети:
1. Непосредственное подключение к внешней сети. В этом слу-
чае следует отключить использование межсетевого экрана.
2. Подключение через координатор, обеспечивающий трансляцию адресов для сетевых узлов ViPNet. Тип межсетевого экрана - Координатор.
3. Подключение через межсетевой экран, на котором настройка статических правил трансляции адресов затруднительна или невозможна. Тип межсетевого экрана - С динамической трансляцией адресов.
4. Подключение через межсетевой экран, на котором возможна настройка статических правил трансляции адресов. Тип межсетевого экрана - Со статической трансляцией адресов.
Чтобы избежать настройки подключения на каждом сетевом узле, рекомендуется задавать параметры подключения сетевых узлов централизованно в ПО ViPNet Administrator.