Файл: Руководство пользователя ао ИнфоТеКС.pdf

ViPNet Client 4. Руководство пользователя |
118
Незащищенный DNS- (WINS-) сервер
Особенности использования
Часто возникает задача получения доступа к координатору с динамически изменяющимся внешним адресом доступа (например, координатор подключен к сети через DSL-модем) со стороны других защищенных узлов. Для решения данной задачи можно опубликовать адрес этого координатора на публичном DNS-сервере, расположенном в интернете, и задать DNS-имя координатора в программе ViPNet Client на других узлах. В корпоративной сети может возникнуть необходимость в использовании публичного DNS-сервера и в других случаях.
Однако публичные DNS-серверы могут быть подвержены различным сетевым атакам, в результате которых происходит подмена IP-адреса запрашиваемого сетевого ресурса с целью заставить защищенный компьютер обратиться на атакующий компьютер. Если такая атака удастся, при обращении к защищенному узлу по DNS-имени он установит с атакующим компьютером открытое соединение, так как IP-адрес атакующего компьютера не известен ViPNet-драйверу. В результате злоумышленник может получить интересующую его информацию с защищенного компьютера.
Рисунок 45. Атака на публичный DNS-сервер
Чтобы предотвратить атаки подобного рода, для защищенных прикладных серверов
(см. глоссарий, стр. 382), регистрируемых на публичном DNS-сервере и доступных с защищенного узла, в программе ViPNet Client на этом узле следует указать DNS-имена (см.
Настройка доступа к защищенным узлам на стр. 99). Тогда при обращении к серверу по DNS-имени независимо от адреса, подставленного злоумышленником, при приеме ответа на DNS-запрос ViPNet-драйвер подставит уже известный ему IP-адрес видимости узла (реальный или виртуальный), соответствующий заданному в программе ViPNet Client DNS-имени.

ViPNet Client 4. Руководство пользователя |
119
Рекомендации по настройке
При использовании открытого DNS-сервера учитывайте рекомендации:
 Если внешний IP-адрес доступа к координатору может изменяться, для организации доступа к этому координатору по DNS-имени, зарегистрированному на открытом DNS-сервере, в программе ViPNet Client на защищенных узлах для данного координатора следует указать
DNS-имя.
 Если на узле с ПО ViPNet другие защищенные узлы доступны по виртуальным IP-адресам, и необходимо обеспечить доступ к этим узлам по DNS-именам, зарегистрированным на открытом DNS-сервере, то эти DNS-имена следует указать в программе ViPNet Client. При этом на открытом DNS-сервере может быть зарегистрирован любой адрес (реальный или виртуальный). Технология ViPNet обеспечит защищенное соединение по виртуальному адресу видимости узла вне зависимости от типа опубликованного адреса.
 Даже если доступ к защищенным узлам обеспечивается по реальным адресам, важно указать их DNS-имена в программе ViPNet Client.
Во всех описанных случаях DNS-имена защищенных узлов могут быть заданы вручную на каждом сетевом узле (см.
Настройка доступа к защищенным узлам на стр. 99), однако рекомендуется указывать DNS-имена централизованно в программе ViPNet Центр управления сетью.

ViPNet Client 4. Руководство пользователя |
120
Использование защищенного
DNS- (WINS-) сервера для удаленной работы с корпоративными ресурсами
Удаленные пользователи подключаются к сети ViPNet через интернет. Они могут работать дома, в интернет-кафе, в гостинице или других местах, где IP-адреса и используемые DNS- (WINS-) серверы определяются поставщиком услуг интернета. Однако для работы со многими корпоративными приложениями требуется использовать DNS- (WINS-) сервер корпоративной сети. Использование корпоративного DNS- (WINS-) сервера позволяет обращаться к серверам и другим узлам корпоративной сети по их именам, а не по IP-адресам. При этом преобразование DNS- (WINS-) имен в IP-адреса обеспечивается как для адресов корпоративной сети, так и для адресов интернета.
Автоматическая регистрация DNS- (WINS-) серверов
Для удаленного доступа к узлам корпоративной сети по DNS-именам должны быть выполнены следующие условия:
 В системном файле hosts
, который устанавливает соответствие между IP-адресами и именами компьютеров, не должно быть записей об узлах корпоративной сети. Этот файл расположен в папке
%systemroot%\System32\drivers\etc\
(по умолчанию это
C:\Windows\System32\drivers\etc\
).
 В ЦУСе или на сетевых узлах должен быть сформирован список корпоративных DNS (WINS) серверов.

ViPNet Client 4. Руководство пользователя |
121 управления сетью. В этом случае список корпоративных DNS-серверов будет передан на сетевые узлы ViPNet вместе с ключами и справочниками. На сетевых узлах программа ViPNet Монитор будет определять текущие IP-адреса видимости корпоративных DNS-серверов (реальные или виртуальные) и автоматически изменять адреса DNS-серверов в настройках сетевых интерфейсов компьютера.
Если сетевой узел настроен на работу с корпоративными DNS-серверами, то для него существуют следующие особенности работы с публичными и корпоративными сетевыми ресурсами:
 Корпоративные DNS-серверы настроены на преобразование как внутренних, так и внешних имен.
В этом случае при подключении к защищенной сети будут использоваться только корпоративные DNS-серверы. Запросы на преобразование имен внешних и внутренних ресурсов (например, www.google.com и http://portal.internal) будут направляться на корпоративный DNS-сервер.
 Корпоративные DNS-серверы настроены только на преобразование внутренних имен.
В этом случае запросы на преобразование внешних имен (например www.google.com) будут направляться на внешний (незащищенный) DNS-сервер. Запросы на преобразование имен внутренних ресурсов (например http://portal.internal) будут направляться на корпоративный
DNS-сервер.
Обратите внимание, что если в ЦУСе заданы имена доменов, используемых внутри корпоративной сети (например http://portal.internal), то запросы на их преобразование будут направляться только на корпоративный DNS-сервер. Запросы на преобразование имен внутренних ресурсов на внешние DNS-серверы будут блокироваться.
Рассмотрим следующий пример. Сотрудник, работающий в главном офисе на ноутбуке с установленным ПО ViPNet Client, подключается к защищенному корпоративному DNS-серверу по одному адресу (например, 10.0.0.25). В какой-то момент времени этот сотрудник отправляется со своим ноутбуком в командировку в другой офис, и DNS-сервер главного офиса становится доступен по другому IP-адресу (например, 11.0.0.3). При этом сотруднику нужно подключиться через Интернет к корпоративным ресурсам главного офиса.
При регистрации DNS-сервера средствами операционной системы сотруднику потребуется на ноутбуке изменять настройки подключения к сети, что неудобно, поскольку после возвращения в главный офис эти настройки нужно будет вернуть в исходное состояние. Если узлы, на которых расположены DNS-серверы, заданы в программе ViPNet Центр управления сетью, изменять настройки подключения к сети вручную не требуется.
Если по какой-либо причине адреса корпоративных DNS-серверов не заданы в программе ViPNet
Центр управления сетью, на сетевом узле вы можете задать список защищенных DNS-серверов вручную, как описано ниже.

ViPNet Client 4. Руководство пользователя |
122
Создание списка DNS (WINS) серверов вручную
Если список корпоративных DNS- (WINS-) серверов не был задан централизованно в программе
ViPNet Центр управления сетью (см.
Автоматическая регистрация DNS- (WINS-) серверов на стр. 120), вы можете создать такой список вручную на вашем сетевом узле. В этом случае программа ViPNet Client также будет определять текущие IP-адреса видимости корпоративных
DNS-серверов и автоматически изменять настройки сетевых интерфейсов компьютера.
Для регистрации корпоративного DNS- (WINS-) сервера вручную:
1 В любом текстовом редакторе (лучше «Блокнот») создайте пустой текстовый файл
DNS.TXT
2 Внесите в него запись о корпоративном DNS- (WINS-) сервере. О том, как указать информацию о сервере, см. в разделах ниже. Формат записей в файле
DNS.TXT
отличается в зависимости от того, установлен ли корпоративный DNS- (WINS-) сервер на защищенном узле или туннелируется координатором.
3 Также вы можете добавить в файл параметр, который переключает DNS-зоны (корпоративные или публичные) на вашем сетевом узле.
4 Сохраните файл в папке
\DATABASES\DNSWINSLIST
, находящейся в папке установки ПО ViPNet
(если папка не существует, создайте ее).
Примечание. Все операции по созданию и редактированию файла DNS.TXT можно производить не закрывая программу ViPNet Client.
В файле
DNS.TXT
можно зарегистрировать сразу несколько DNS- (WINS-) серверов. В этом случае на всех сетевых интерфейсах компьютера списки IP-адресов DNS- (WINS-) серверов будут дополнены IP-адресами, по которым в данный момент доступны указанные серверы.
Одновременно в настройках сетевых интерфейсов сохранятся IP-адреса, полученные по DHCP или заданные на сетевых интерфейсах вручную, если эти IP-адреса не принадлежат указанным в
DNS.TXT
серверам.
Примечание. Если используемые DNS- (WINS-) серверы перечислены в файле
DNS.TXT
, задавать их адреса в сетевых настройках Windows не требуется.
Если корпоративный DNS (WINS) сервер установлен непосредственно на сетевом узле ViPNet
Если корпоративный DNS- (WINS-) сервер установлен на защищенном сетевом узле, то в файле
DNS.TXT
укажите следующую информацию:
 Для DNS-сервера:
[DNSLIST]

ViPNet Client 4. Руководство пользователя |
123
ID00=<идентификатор>;
 Для WINS-сервера:
[WINSLIST]
ID00=<идентификатор>;
где:
<идентификатор>
— шестнадцатеричный идентификатор сетевого узла ViPNet, на котором установлен DNS- (WINS-) сервер, с номером сети;
Примечание. Чтобы узнать идентификатор узла, в программе ViPNet Client в разделе Защищенная сеть дважды щелкните сетевой узел, на котором установлен
DNS- (WINS-) сервер. Откроется окно Свойства узла. На вкладке Общие в первой строке будет указан идентификатор сетевого узла.
ID00
— идентификатор номера строки, где после ID допустимы любые цифры.
В разделе ниже вы можете ознакомиться с примером составления файла
DNS.TXT
(см.
Пример составления файла DNS.TXT
на стр. 124).
Если корпоративный DNS (WINS) сервер туннелируется координатором
Если корпоративный DNS- (WINS-) сервер туннелируется координатором, то в файле
DNS.TXT
укажите следующую информацию:
 Для DNS-сервера:
[DNSLIST]
ID00=<идентификатор>-;
 Для WINS-сервера:
[WINSLIST]
ID00=<идентификатор>-;
где:
<идентификатор>
— шестнадцатеричный идентификатор координатора, туннелирующего
DNS- (WINS-) сервер, с номером сети;
Примечание. Чтобы узнать идентификатор координатора, который туннелирует
DNS- (WINS-) сервер, в программе ViPNet Client дважды щелкните его в разделе
Защищенная сеть. В окне Свойства узла на вкладке Общие в первой строке будет указан идентификатор координатора.
ID00
— идентификатор номера строки, где после ID допустимы любые цифры.
IP-адрес
— IP-адрес DNS- или WINS-сервера.
В отличие от ситуации, когда корпоративный DNS- (WINS-) сервер установлен непосредственно на сетевом узле ViPNet, здесь указывается идентификатор координатора, который туннелирует DNS-
(WINS-) сервер, и через дефис непосредственно IP-адрес DNS- (WINS-) сервера. Если имеется

ViPNet Client 4. Руководство пользователя |
124 несколько DNS- (WINS-) серверов, которые туннелируются одним координатором, их IP-адреса можно перечислить в одной строке через точку с запятой без пробелов после идентификатора координатора:
ID00=<идентификатор>-;
При этом следует убедиться, что в списке туннелируемых адресов данного координатора эти
IP-адреса также присутствуют.
В разделе ниже вы можете ознакомиться с примером составления файла
DNS.TXT
(см.
Пример составления файла DNS.TXT
на стр. 124).
Пример составления файла DNS.TXT
Ниже приведен пример того, как может быть составлен файл
DNS.TXT
:
[DNSLIST]
ID00=000100CA-10.0.0.25;
ID01=0001000b;
ID02=000110bс-10.0.0.20;10.0.0.21;10.0.2.132;
[WINSLIST]
ID00=0001000b;
ID01=000101fa-10.0.1.132;10.0.1.133;10.0.1.134;
[DNSOPTIONS]
INTERNET=OFF
Обратите внимание, что в одном файле
DNS.TXT
могут содержаться записи как для DNS- (WINS-) серверов, установленных на сетевых узлах ViPNet, так и туннелируемых тем или иным координатором. Число записей не ограничивается.
Параметр
INTERNET
необязательный и может иметь два значения:

ON
— использовать только корпоративные DNS-серверы;

OFF
— не использовать корпоративные DNS-серверы.

ViPNet Client 4. Руководство пользователя |
125
Обращение к удаленным узлам через туннелируемый DNS-сервер
Чтобы узлы внутренней сети ViPNet могли обращаться к удаленным узлам ViPNet по доменным именам через туннелируемый DNS-сервер, требуются дополнительные настройки на DNS-сервере и клиентах сети.
Для примера рассмотрим схему сети, в которой корпоративный DNS-сервер туннелируется координатором, при этом:
 есть сетевые узлы без ViPNet Client, которые находятся в туннеле;
 есть сетевые узлы с ViPNet Client, которые подключаются к корпоративной сети через интернет;
 с внутренних туннелируемых узлов (1) надо обращаться к узлам с ViPNet Client в интернете (2) по доменным именам.
Рисунок 46. Схема расположения сетевых узлов и DNS-сервера
Чтобы в этой схеме доменные имена разрешались правильно:
 На DNS-сервере настройте поддержку динамического изменения DNS-записей. Как правило, по умолчанию DNS-серверы не поддерживают эту настройку.
 Для клиентов, к которым будут обращаться по DNS-имени: o в ViPNet ЦУС укажите корпоративный DNS-сервер; o на самих клиентах настройте автоматическую регистрацию на DNS-сервере.
 На всех туннелирующих координаторах, участвующих в схеме, включите обработку прикладного протокола DNS (для службы alg
).

ViPNet Client 4. Руководство пользователя |
126
Использование публичного
DNS-сервера
Если в вашей корпоративной сети настроены защищенные DNS-серверы (см.
Использование защищенного DNS- (WINS-) сервера для удаленной работы с корпоративными ресурсами на стр. 120), с которыми у вас в данный момент нестабильное соединение, то вы можете включить режим «Публичный DNS». В этом режиме все запросы на преобразование имен будут направляться только на внешний DNS-сервер вашего интернет-провайдера. Имена корпоративных ресурсов при этом будут недоступны, так как их разрешение возможно только при подключении к защищенному DNS-серверу.
Чтобы включить использование публичного DNS-сервера:
1 В меню Файл выберите пункт Конфигурации > Публичный DNS.
2 В окне с предупреждением нажмите кнопку Публичный DNS.
Чтобы вернуться к использованию защищенного DNS-сервера, в окне программы в меню Файл >
Конфигурации выберите Защищенный DNS. Также программа ViPNet Client автоматически переключается на использование защищенного DNS-сервера после перезагрузки компьютера.