Файл: Руководство пользователя ао ИнфоТеКС.pdf

ViPNet Client 4. Руководство пользователя |
127
Использование DNS-серверов на контроллерах домена
Если в сети ViPNet вашей организации используется служба Active Directory и при этом защищенные контроллеры домена с DNS-серверами, которые в рамках домена синхронизируются между собой, защищены разными узлами ViPNet, то могут возникнуть проблемы разрешения
IP-адресов при обращении к ним с других защищенных узлов. Для предотвращения проблем в этом случае необходимо обеспечить регистрацию на всех резервируемых DNS-серверах одного и того же адреса каждого узла.
Воспользуйтесь одним из следующих вариантов:
 Разместите DNS-серверы без ПО ViPNet за отдельным сетевым интерфейсом координатора и настройте туннелирование этих серверов данным координатором (см.
Если корпоративный
DNS (WINS) сервер туннелируется координатором на стр. 123). Другие защищенные и открытые узлы, которые обращаются к DNS-серверам, во избежание конфликтов не должны находиться со стороны данного интерфейса координатора.
Если регистрация IP-адресов узлов осуществляется на защищенном DNS-сервере автоматически, будут зарегистрированы IP-адреса, соответствующие видимости узлов с данного координатора. Если регистрация IP-адресов узлов осуществляется на DNS-сервере вручную, на каждом DNS-сервере зарегистрируйте IP-адреса видимости узлов (виртуальные или реальные) с этого координатора. Открытые узлы, которые обращаются к DNS-серверу за
IP-адресом защищенного узла через координатор, получат реальный IP-адрес этого узла.
 Если размещение DNS-серверов за одним координатором затруднительно или на них установлена программа ViPNet Client, на координаторах, за которыми расположены
DNS-серверы, или в программе ViPNet Client настройте видимость узлов (туннелируемых узлов, клиентов и координаторов), зарегистрированных на этих DNS-серверах, по реальным
IP-адресам.
Чтобы изменить IP-адрес видимости всех клиентов, стоящих за координатором, достаточно изменить IP-адрес видимости координатора на одном из клиентов в программе ViPNet Client, после чего появится сообщение с предложением изменить аналогичным образом IP-адреса видимости клиентов, расположенных за данным координатором.

ViPNet Client 4. Руководство пользователя |
128
7
Интегрированный сетевой экран
Основные принципы фильтрации трафика
129
Общие сведения о сетевых фильтрах
131
Использование групп объектов
134
Создание сетевых фильтров
144
Восстановление предустановленных фильтров и групп объектов
151
Практический пример использования групп объектов и сетевых фильтров
152
Блокировка IP-трафика
155
Отключение защиты трафика
156
Настройка параметров блокировки трафика
157

ViPNet Client 4. Руководство пользователя |
129
Основные принципы фильтрации трафика
Фильтрации подвергается весь IP-трафик, который проходит через сетевой узел
(см. глоссарий, стр. 386):
 открытый (незашифрованный) трафик;
 защищенный (зашифрованный) трафик.
Рисунок 47. Виды IP-трафика
Наибольшую опасность представляет трафик из открытой сети, поскольку в случае атаки достаточно сложно обнаружить ее источник и принять оперативные меры по ее пресечению.
И открытый, и защищенный трафик может быть локальным или широковещательным. Под локальным трафиком понимается входящий или исходящий трафик конкретного узла (то есть когда сетевой узел является отправителем или получателем IP-пакетов). Под широковещательным трафиком имеется в виду передача узлом IP-пакетов, у которых IP-адрес или MAC-адрес назначения является широковещательным адресом (то есть когда пакеты передаются всем узлам определенного сегмента сети).
Рисунок 48. Виды защищенного и открытого трафика
Для того чтобы правильно настроить сетевые фильтры, необходимо понимать основные принципы фильтрации трафика:
 Все входящие и исходящие открытые и зашифрованные IP-пакеты проверяются на соответствие условиям сетевых фильтров в порядке убывания приоритета этих фильтров
(см. рисунок на стр. 132).

ViPNet Client 4. Руководство пользователя |
130
 Если IP-пакет соответствует условию одного из фильтров, то он пропускается или блокируется этим фильтром. При этом фильтры с более низким приоритетом не применяются.
 Если IP-пакет был пропущен одним из фильтров, то ответные IP-пакеты (включая служебные
ICMP-пакеты) в рамках текущего соединения будут пропускаться автоматически.
Если IP-пакет не был обработан ни одним из фильтров, то он блокируется фильтром по умолчанию.
Это обеспечивает высокий уровень безопасности, разрешая соединения только с нужными узлами по заданным протоколам и портам.
Схематично последовательность фильтрации IP-пакетов представлена ниже.
Рисунок 49: Фильтрация IP-трафика

ViPNet Client 4. Руководство пользователя |
131
Общие сведения о сетевых фильтрах
Программа ViPNet Client позволяет настроить сетевые фильтры как для защищенного, так и для открытого трафика. Они выполняют следующие функции:
 Фильтры открытой сети могут разрешать либо запрещать обмен IP-трафиком с открытыми узлами.
 Фильтры прикладного уровня открытой сети позволяют блокировать IP-пакеты на уровне приложений (доступно, если установлен модуль расширенной фильтрации).
Примечание. К открытым узлам
(см. глоссарий, стр. 384) также относятся компьютеры с ПО ViPNet Registration Point.
 Фильтры защищенной сети могут разрешать или блокировать обмен IP-трафиком с защищенными узлами ViPNet
(см. глоссарий, стр. 382), с которыми данный узел ViPNet Client имеет связь.
Все сетевые фильтры делятся на следующие категории:
 Фильтры, определенные специальными конфигурациями.
Данные фильтры имеют самый высокий приоритет и применяются в первую очередь. Они ограничивают трафик, который запрещен в конфигурациях «Открытый Интернет»
(см.
Конфигурация «Открытый интернет»
на стр. 201), «Внутренняя сеть» или «Интернет»
(см.
Конфигурации «Внутренняя сеть» и «интернет»
на стр. 201). Их нельзя редактировать и удалять.
 Фильтры, поступившие в составе политик безопасности
(см. глоссарий, стр. 385) из программы
ViPNet Policy Manager.
Данные фильтры нельзя редактировать и удалять. Их можно отключить с помощью специальной опции в режиме администратора (см.
Параметры защиты трафика на стр. 218).
 Предустановленные фильтры (см.
Предустановленные сетевые фильтры на стр. 351) и фильтры, заданные пользователем.
В том случае если программа ViPNet Монитор была обновлена с версии 3.х, предустановленных фильтров не будет. В списках сетевых фильтров будут присутствовать только фильтры, которые действовали в программе до обновления (в сконвертированном формате).
 Блокирующий фильтр по умолчанию. Данный фильтр блокирует весь трафик, который не соответствует условиям ни одного из предыдущих фильтров.
При запуске программы ViPNet Монитор, при включении защиты трафика или смене конфигурации программы сетевые фильтры загружаются в ViPNet-драйвер (см.
Низкоуровневый

ViPNet Client 4. Руководство пользователя |
132
ViPNet-драйвер сетевой защиты на стр. 15). При этом выполняется контроль целостности базы сетевых фильтров. Если целостность сетевых фильтров нарушена, появится соответствующее предупреждение, и будут загружены предустановленные сетевые фильтры.
Последовательность применения сетевых фильтров согласно приоритету изображена на схеме.
Рисунок 50. Последовательность применения сетевых фильтров
Списки сетевых фильтров представлены в разделах

ViPNet Client 4. Руководство пользователя |
133
Сетевые фильтры имеют следующие особенности:
 Для каждого фильтра можно настроить: o
Действие — пропускать ( ) или блокировать ( ) IP-пакеты, соответствующие заданным параметрам. o
Источник и назначение задают отправителя и получателя IP-пакетов. o
Протоколы фильтрации IP-пакетов. o
Расписание действия.
Для задания параметров фильтра могут использоваться группы объектов (см.
Использование групп объектов на стр. 134).
 Фильтры, созданные пользователем, влияют как на новые, так и на уже существующие соединения. Таким образом, если фильтр, блокирующий трафик соединения, добавлен после установления соединения, то оно будет разорвано.
 IP-пакеты проверяются в соответствии с расположением фильтров в списке, по порядку сверху вниз. Когда пакет блокируется или пропускается первым подходящим фильтром, последующие фильтры уже не оказывают никакого влияния на данный пакет.
 В программе ViPNet Client фильтры различных категорий в списках фильтров отображаются в соответствующих группах и располагаются в порядке их приоритета согласно схеме выше.
Порядок фильтров, определенных конфигурацией программы, фильтров, поступивших из
ViPNet Policy Manager, и фильтров по умолчанию изменить нельзя. Порядок предустановленных фильтров и фильтров, заданных в ViPNet Client, вы можете изменять с помощью кнопок и
Фильтры, которые нельзя отредактировать и удалить, отмечены значком
 Чтобы изменить действие фильтра, двойным щелчком откройте свойства фильтра и в разделе
Основные параметры выберите нужное значение. Чтобы включить или отключить фильтр, установите или снимите флажок рядом с именем фильтра.
 При изменении настроек сетевых фильтров или создании новых фильтров в строке состояния появляется сообщение о том, что фильтры были изменены, но не применены. Измененные или новые фильтры не вступят в действие до тех пор, пока вы не нажмете кнопку Применить и в течение 30 секунд не подтвердите сохранение изменений.
Если вам не требуется сохранять новые настройки фильтров, нажмите кнопку Отмена. В этом случае произойдет возврат к тем настройкам фильтров, которые действовали на момент их изменения.
При необходимости вы можете отменить все изменения и восстановить предустановленные фильтры (см.
Восстановление предустановленных фильтров и групп объектов на стр. 151).

ViPNet Client 4. Руководство пользователя |
134
Использование групп объектов
Группы объектов позволяют упростить создание сетевых фильтров. Они объединяют несколько значений одного типа и могут быть заданы при настройке параметров фильтра вместо отдельных объектов.
Группы объектов делятся на несколько видов:
Рисунок 52. Виды групп объектов
Системные группы объектов — встроенные в ПО ViPNet Client объекты с фиксированными именами, которые могут использоваться в создаваемых сетевых фильтрах для задания отправителей и получателей IP-пакетов, а также в других пользовательских группах объектов.
Системные группы объектов не отображаются в списках групп и их нельзя изменить или удалить.
Список системных групп объектов см. в разделе
Системные группы объектов
(на стр. 135).
Группы объектов, создаваемые в ПО ViPNet Policy Manager, — группы, которые рассылаются вместе с политиками безопасности. Они недоступны для редактирования и использования в создаваемых сетевых фильтрах, других пользовательских группах объектов. В программе ViPNet
Client можно только просмотреть состав данных групп.
Пользовательские группы объектов — группы объектов, создаваемые пользователем непосредственно в программе ViPNet Client, а также некоторые группы, настроенные по умолчанию. Подробнее о группах по умолчанию см. в разделе
Пользовательские группы объектов, настроенные по умолчанию
(на стр. 136). У каждой группы объектов есть свой состав, при этом из состава могут быть заданы некоторые исключения. В состав и исключения группы могут быть включены другие группы объектов той же категории или некоторые системные группы объектов.
Работа с такими группами объектов осуществляется в разделе Группы объектов.

ViPNet Client 4. Руководство пользователя |
135
Рисунок 53. Работа с пользовательскими группами объектов
Пользовательские группы объектов делятся на следующие типы:
 Узлы ViPNet — группа узлов защищенной сети. Используется в фильтрах защищенной сети.
 IP-адреса — любая комбинация отдельных IP-адресов и диапазонов IP-адресов или DNS-имен.
Используется в фильтрах открытой сети.
 Протоколы — любая комбинация протоколов и портов. Используется во всех фильтрах.
 Расписания — любая комбинация условий применения сетевых фильтров по времени и дням недели. Используется во всех фильтрах.
Вы можете создать группу объектов любой категории. Имеет смысл создавать группы из часто используемых наборов объектов. Подробнее о создании групп см. в разделе
Создание и изменение групп объектов
(на стр. 137).
Системные группы объектов
В таблице ниже приведен список системных групп объектов и их значений.
Таблица 4. Системные группы объектов
Имя группы объектов
Значение
Все клиенты
Все клиенты из справочников узла
Все координаторы
Все координаторы из справочников узла