Меню Рубрики

Установка и настройка сети vipnet

ViPNet Client

ViPNet Client представляет собой программный комплекс, предназначенный для защиты компьютеров корпоративных пользователей. Благодаря встроенной функции фильтрации трафика, обеспечивается надежная защита от внешних и внутренних сетевых атак. ViPNet Client поддерживает работу на компьютерах под управлением операционных систем Windows, Linux и OS X.

Установка и настройка ViPNet

Установка ViPNet Client

1 Для установки VipNet Client запустите установочный файл Setup.exe и в открывшемся окне установки нажмите на кнопку Далее.

2 Примите условия лицензионного соглашения и нажмите на кнопку Далее.

3 На все остальные вопросы установщика последовательно отвечайте Далее.

4 Выберите Типичную установку и нажмите на кнопку Далее.

5 В следующем окне Меню и ярлыки нажмите на кнопку Далее.

6 Нажмите на кнопку Готово.

7 Дождитесь окончания установки и перезагрузите компьютер. Галочку с readme.txt можно снять.

Установка ViPNet Client 3.2 завершена. Если вам необходимо установить ViPNet Client 4.3 воспользуйтесь этой ссылкой.

Инициализация ViPNet

8 После перезагрузки компьютера появится сообщение о необходимости произвести первичную инициализацию с использованием ключевого набора и ввести пароль.

9 Для того чтобы произвести инициализацию, запустите приложение ViPNet Client [Монитор] и выберите пункт Первичная инициализация. Запустится мастер первичной инициализации.

10 В открывшемся окне нажмите на кнопку Далее.

11 Следуя подсказкам мастера, укажите путь к файлу с расширением .DST и пароль. Остальные настройки оставьте по умолчанию, не изменяя их. В открывшемся окне нажмите на кнопку Далее и выберите путь к полученному дистрибутиву ключей (*.DST файлу).

12 В следующем окно нажмите на кнопку Далее.

13 В следующем окне введите пароль для данного ViPNet Client (пароль отправляется вместе с .DST файлом) и нажмите на кнопку Далее.

14 На все дальнейшие вопросы установщика отвечайте Далее.

15 В конце завершения работы мастера инициализации установите галочку Запустить приложение и нажмите на кнопку Готово.

16 После инициализации в настройках ViPNet Client необходимо отключить криптопровайдер ViPNet CSP.

17 Запустите ViPNet Client [Монитор] и перейдите в раздел СервисНастройка параметров безопасности.

18 В открывшемся окне Настройка параметров безопасности перейдите на вкладку Криптопровайдер и проверьте, что Поддержка работы ViPNet CSP через MS CryptoAPI выключена. Если это не так, нажмите на кнопку Выключить.

19 Сохраните настройки, нажав на кнопку Оk, и согласитесь с предложением перезагрузить компьютер, нажав на кнопку Да и перезагрузите компьютер.

Настройка ViPNet

После перезагрузки компьютера запустите приложение ViPNet Client [Монитор] и выберите в нем пункт меню СервисНастройкаЗащищённая сеть и убедитесь, что выбраны следующие параметры:

→ Стоит галочка Использовать межсетевой экран.

→ Тип межсетевого экрана С динамической трансляцией адресов.

→ Координатор для соединений с внешними узлами выбран Координатор HW1000 ETZP.

20 Разверните окно программы VipNet Client [Monitor]. Для этого дважды кликните на значок VipNet на панели задач.

21 В открывшемся окне слева выберите пункт Защищенная сеть и найдите абонентский пункт HW1000 ETZP.

22 Далее откройте свойства абонентского пункта HW-1000 ETZP (дважды кликнув левой кнопкой мыши на записи HW-1000 ETZP). На вкладке IP- адреса убедитесь, что первым в списке стоит адрес 10.248.2.23 и стоит галочка Использовать виртуальные IP-адреса.

23 На вкладке Межсетевой экран убедитесь, что в настройках доступа через межсетевой экран на первом месте стоит IP-адрес 217.175.155.68, и, при необходимости, передвиньте его наверх списка. Также рекомендуется выставить метрику 10 для этого IP-адреса, если он не верхний в списке, а для остальных IP-адресов установить метрику 100.

24 Перейдите на вкладку Туннель и убедитесь в наличие следующих туннельных IP-адресов:

Читайте также:  Установка кардана на маз 5337

Удостоверьтесь, что стоит галочка Использовать IP-адреса для туннелирования (если галки нет, поставьте её) и что не стоит галочка Использовать виртуальные IP-адреса.

25 Сохраните изменения – нажмите на кнопки Применить и Ок.

26 Убедитесь, что связь по защищенному каналу установлена. Для этого выделите в списке защищенной сети ПО VipNet-Монитор Координатор HW1000 ETZP и нажмите на клавишу F5 на клавиатуре. Должна появиться надпись, что узел доступен.

источник

Создаём защищённую сеть ViPNet

Итак, пришло время на практике разобраться, как создавать защищённую сеть с использованием ViPNet. Я наизобретал довольно типовую схему, которую мы и будем реализовывать.

На первом этапе мы будем создавать защищённое взаимодействие в рамках одной сети ViPNet. Будут применяться программные координаторы. Далее, мы разделим эту структуру на две сети и построим межсетевое взаимодействие. Опять же, будем использовать программные координаторы. И наконец, мы заменим программные координаторы на аппаратные (HW1000) и убедимся, что сеть не рухнула.

Обратим внимание на узел Т.У. (Туннелируемый узел). На него мы не будем ставить ПО ViPNet, нужно будет организовать сетевое взаимодействие с этим узлом.

Адресация

Адреса назначаем согласно схемы:

Таким образом имеем как бы 3 сети: 192.168.1.0/24 – сеть предприятия НИИ Твёрдых сплавов. 192.168.2.0/24 – НИИ Авиастроения и 30.30.30.0/24 – Интернет.

Назначим адреса на хосты соответствующим образом, попутно ограничим прохождение кадров на уровне виртуальных машин, заведу соответственно 3 виртуальных сети и в настройках сетевых адаптеров выставлю соответствующие значения:

LAN1, LAN2 и INET соответственно. Не забываем отключать брандмауэр Windows!

Создаём структуру защищённой сети

В ЦУС-е добавляем координаторы, называем их “Координатор1” и “Координатор2” соответственно. Я не создаю пользователей сразу, лучше всё это делать потом, для наглядности. Впоследствии, для экономии времени можно оставлять галочку о “Создать одноимённого пользователя…”.

Вот такая картина у нас получится. Два координатора.

Далее создаём пользователей. Переходим в раздел “Пользователи”, нажимаем зелёный “+”. Вводим имя пользователя, выбираем сетевой узел, на котором может работать пользователь и нажимаем кнопку “Создать”.

Узлы создаём аналогичным образом. Переходим в раздел “Клиенты”, нажимаем зелёный плюсик. Вводим имя сетевого узла, выбираем координатор, к которому узел будет привязываться и нажимаем кнопку “Создать”. Обратите внимание, что самым первым должен создаваться узел администратора (о чём внизу выводится соответствующее сообщение).

Читайте также:  Установка кодовых замков меттэм

Создаём все необходимые узлы:

Создаём всех остальных пользователей на соответствующих узлах.

Когда пользователи и сетевые узлы будут готовы, не забываем создать межсерверный канал между нашими координаторами, он необходим для обмена служебными конвертами и маршрутизации между ними. Для этого заходим в первый координатор и в свойствах добавляем межсерверный канал до второго координатора:

Теперь делаем соответствующие связи между узлами и пользователями. Это очень просто, открываем нужный узел и в его свойствах добавляем связи с другими узлами. Обратите внимание, некоторые связи уже будут созданы и удалить их нельзя – это, например, связь между ЦУС и узлом. Связь между пользователем и его координатором и т.д. Это справочная информация (предустановленные связи) и я не буду приводить все случаи, просто о них стоит знать. Итак, добавляем нужные связи:

Связь двух узлов означает, что они будут видны в Мониторе друг у друга и между ними будет образован защищённый канал. Соответственно, связь между пользователями будет означать, что у для них будет создан соответствующие ключи обмена. Пользователи смогут общаться через внутренний чат и пользоваться деловой почтой.

Для простоты я сделал связь между всеми. Не забываем проверять конфигурацию сети на наличие неполных связей или других ошибок в разделе “Моя сеть”.

Если ошибок нет, то можем смело создавать адресные справочники в разделе “Справочники и ключи – Создать справочники”.

При этом откроется окно, в котором можно выбрать конкретные узлы, для которых создать справочники. Но первично мы создадим справочники для всех:

Работа с УКЦ

Если мы ещё не запускали УКЦ, то самое время это сделать. Тем более, что первый запуск УКЦ сулит нам муторную операцию выдачи себе корневого сертификата

КЛИКАБЕЛЬНО

В общем виде это “Далее-Далее-Готово” с заполнением персональных данных и запуском генератора случайных чисел.

Когда всё будет готово, мы увидим перед собой собственно интерфейс УКЦ. Обращаем внимание на жёлтые предупреждающие значки – подсказки говорят о том, что требуется создать первичный набор ключей (dst-файлы).

Выделяем все узлы, кликаем правой кнопкой мыши и выбираем пункт “Выдать новый дистрибутив ключей”.

Выбираем шаблон сертификата (оставляем по умолчанию)

И для каждого пользователя будем вводить пароль. Я использую здесь простые пароли, в идеале нужно либо генерировать их автоматически, либо использовать достаточно сложные пароли.

Готовый набор дистрибутивов ключей выглядит у меня так: XPS-файлы – это пароли, подготовленные для печати. Третья версия выдавала текстовик.

Эти дистрибутивы доверенным каналом связи передаём пользователю на места. Я же просто перекину через флешку.

Установка софта ViPNet

На все узлы ставим соответствующее программное обеспечение – на клиенты – Client, на координаторы Coordinator. Установка координатора в принципе ничем не отличается от установки клиента, её я рассматривать не буду.

Читайте также:  Установка aux в nissan

Далее устанавливаем ключевую информацию – при первом запуске программы указываем путь к соответствующему dst-файлу – это важный момент! Вообще первичные дистрибутивы ключевой информации распространяются доверенным каналом через спецсвязь или фельдъегерской службой. Либо нарочно. Не суть важно. Так же передаём пароль, потому что без пароля пользователя активировать ViPNet драйвер не получится.

При первом запуске как клиента, так и координатора увидим следующее окно:

Выбираем пункт “Установить ключи” и указываем dst-файл соответствующего пользователя.

Затем производим вход и если всё в порядке, увидим интерфейс ViPNet Monitor.

Может появится окно с предложением установить корневой сертификат. Соглашаемся.

Всё готово! Когда все узлы будут установлены мы увидим что-то вроде:

Здесь можно обратить внимание, что некоторые IP адреса реальные, некоторые – нет. Это особенность работы драйвера ViPNet. За каждой станцией закрепляется дополнительный “виртуальный” IP-адрес (начальный адрес задаётся в настройках), как правило это подсеть 11.0.0.0/8. Сделано это для того, чтобы исключить совпадения адресов различных узлов (так как ViPNet может объединять разнородные сети, некоторые из узлов которых могут находиться за NAT-ом).

Виртуальный адрес обычно остаётся постоянным и не зависит от реального адреса машины (даже мобильное рабочее место, меняя реальный IP, перемещаясь по стране/миру, подключаясь к разным провайдерам, будет иметь постоянный виртуальный адрес). Виртуальный IP адрес зависит только от внутреннего идентификатора станции в сети ViPNet, а если кто не знает, то идентификатор представляет собой следующий вид: 0xAAAABBBB, где AAAA – 16-ричный номер сети, а BBBB – 16-ричный номер сетевого узла в сети. Кстати, обращаться к рабочим станциям можно как по реальному адресу (где это возможно), так и по виртуальному. В общем виде о них вообще можно не париться, драйвер ViPNet делает работу с адресами достаточно прозрачной.

Ну чтож, пока всё. Дальше будем развивать и прокачивать нашу сеть и исправлять возможные проблемы.

Кстати, любые изменения структуры сети теперь можно доставлять до станций следующим образом:

  1. В ЦУС производятся необходимые изменения, будь до добавления/удаления узлов, связей и назначение ролей;
  2. В ЦУС-е создаются новые справочники;
  3. В УКЦ создаются новые ключи (“Создать и передать ключи в ЦУС”);
  4. В ЦУС-е изменения отправляются на сетевые узлы:

Изменения по служебным протоколам (MFTP) отправятся на все задействованные в этих изменения узлы и применятся там. Разбор сложных ситуаций мы проведём как-нибудь, там достаточно много подводных камней.

Надеюсь, было интересно! Пока!

Друзья! Вступайте в нашу группу Вконтакте, чтобы не пропустить новые статьи! Хотите сказать спасибо? Ставьте Like, делайте репост! Это лучшая награда для меня от вас! Так я узнаю о том, что статьи подобного рода вам интересны и пишу чаще и с большим энтузиазмом!

Также, подписывайтесь на наш канал в YouTube! Видео выкладываются весьма регулярно и будет здорово увидеть что-то одним из первых!

источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *