Файл: Руководство пользователя ао ИнфоТеКС.pdf

ViPNet Client 4. Руководство пользователя |
146
4 В разделе Источники задайте отправителя защищенных IP-пакетов. Для этого добавьте: o
Один или несколько узлов защищенной сети (см.
Добавление сетевых узлов на стр. 140). o
Одну или несколько групп узлов сети ViPNet, если такие созданы (см.
Создание и изменение групп объектов на стр. 137). o
Системную группу объектов Мой узел. В этом случае фильтр будет действовать для исходящих соединений вашего сетевого узла. o
Системную группу объектов Другие узлы. В этом случае фильтр будет действовать для входящих соединений вашего сетевого узла. o
Системные группы объектов Все координаторы и Все клиенты (см.
Системные группы объектов на стр. 135).
Если вы не укажете отправителя, то действие фильтра будет распространяться на IP-пакеты, отправленные любыми защищенными узлами, и вашим в том числе.
Рисунок 65. Задание отправителя защищенных IP-пакетов
5 В разделе Назначения задайте получателя защищенных IP-пакетов. Для этого добавьте: o
Один или несколько узлов защищенной сети (см.
Добавление сетевых узлов на стр. 140). o
Одну или несколько групп узлов сети ViPNet, если такие созданы (см.
Создание и изменение групп объектов на стр. 137). o
Системную группу объектов Мой узел. В этом случае фильтр будет действовать для входящих соединений вашего сетевого узла. o
Системную группу объектов Другие узлы. В этом случае фильтр будет действовать для исходящих соединений вашего сетевого узла. o
Системные группы объектов Все координаторы и Все клиенты (см.
Системные группы объектов на стр. 135). o
Системную группу объектов Широковещательные адреса. В этом случае действие фильтра будет распространяться на широковещательные пакеты.
Если в качестве получателя указать Широковещательные адреса, в качестве отправителя
— Мой узел или Другие узлы (см. пункт выше), то будут созданы фильтры для исходящих или входящих широковещательных IP-пакетов соответственно.

ViPNet Client 4. Руководство пользователя |
147
Если вы не укажете узел назначения, то действие фильтра будет распространяться на IP-пакеты, отправленные на любой узел сети, и ваш узел в том числе.
Рисунок 66. Задание получателя защищенных IP-пакетов
6 В разделе Протоколы укажите протокол для фильтрации.
7 В разделе Расписания укажите время действия фильтра.
8 Нажмите кнопку OK. В результате в списке на панели просмотра появится новый фильтр.
Создание фильтров для открытой сети
Чтобы создать фильтр для локального открытого трафика (см.
Общие сведения о сетевых фильтрах на стр. 131), выполните следующие действия:
1 В окне программы ViPNet Монитор на панели навигации выберите раздел Сетевые фильтры >
Фильтры открытой сети.
2 На панели просмотра нажмите кнопку Создать, после чего в появившемся окне задайте параметры нового фильтра открытого трафика.
3 В разделе Основные параметры укажите имя фильтра и его действие: блокировать или пропускать трафик
(см. рисунок на стр. 144).
4 В разделе Источники задайте отправителя открытых IP-пакетов. Для этого добавьте: o
IP-адрес или DNS-имя отправителя либо диапазон адресов, если их несколько
(см.
Добавление IP-адресов и DNS-имен на стр. 141). o
Группы IP-адресов отправителей, если такие созданы (см.
Создание и изменение групп объектов на стр. 137). o
Системную группу объектов Мой узел. В этом случае фильтр будет действовать для исходящих открытых соединений вашего узла. o
Системную группу объектов Другие узлы. В этом случае фильтр будет действовать для входящих открытых соединений вашего узла.
Если вы не укажете отправителя, то действие фильтра будет распространяться на IP-пакеты, отправленные любыми открытыми узлами, и вашим узлом в том числе.

ViPNet Client 4. Руководство пользователя |
148
Рисунок 67. Указание источника отправки IP-пакетов в открытой сети
5 В разделе Назначения задайте получателя открытых IP-пакетов. Для этого добавьте: o
IP-адрес или DNS-имя получателя либо диапазон адресов, если их несколько. o
Группы IP-адресов получателей, если такие созданы. o
Системную группу объектов Мой узел. В этом случае фильтр будет действовать для входящих открытых соединений вашего узла. o
Системную группу объектов Другие узлы. В этом случае фильтр будет действовать для исходящих открытых соединений вашего узла. o
Широковещательные адреса, выбрав системную группу объектов Широковещательные
адреса. В этом случае действие фильтра будет распространяться на широковещательные пакеты. o
Системную группу объектов Групповые адреса. В этом случае действие фильтра будет распространяться на пакеты, отправленные по групповой рассылке.
Если вы не укажете получателя, то действие фильтра будет распространяться на IP-пакеты, отправленные на любой открытый узел.
Рисунок 68. Указание получателя IP-пакетов в открытой сети
6 В разделе Протоколы укажите протокол для фильтрации.
7 В разделе Расписания укажите время действия фильтра.
8 Нажмите кнопку OK. В результате в списке на панели просмотра появится новый фильтр.

ViPNet Client 4. Руководство пользователя |
149
Создание фильтров прикладного уровня
Примечание. Фильтры прикладного уровня не предназначены для фильтрации трафика на веб-сервере.
Если настройка фильтров заблокирована, установите модуль расширенной фильтрации:
1
В меню Пуск выберите ViPNet > Настройка компонентов ViPNet Client.
2 Выберите Изменить состав и нажмите кнопку Далее.
3 Установите флажок компонента ViPNet IDS HS Agent.
Анализ трафика фильтрами открытой сети происходит на уровне заголовка IP-пакета. Это позволяет провести быстрый отсев нежелательного трафика по выбранным адресам, протоколам и портам. Фильтры прикладного уровня открытой сети анализируют тело IP-пакета. Это позволяет блокировать трафик на более высоком уровне, в зависимости от его содержания. При этом быстродействие фильтров прикладного уровня ниже, чем фильтров открытой сети. Включенные фильтры прикладного уровня могут замедлить работу в интернете.
Для эффективной обработки трафика рекомендуется создавать фильтры прикладного уровня только в том случае, когда нужно фильтровать содержимое IP-пакетов. Например, запретить запуск динамических веб-сценариев или открытие файлов определенного типа. Если требуется провести фильтрацию трафика только по прикладному протоколу, следует пользоваться фильтрами открытой сети (см.
Создание фильтров для открытой сети на стр. 147).
Чтобы создать фильтр прикладного уровня:
1 Выберите раздел Сетевые фильтры > Фильтры прикладного уровня открытой сети.
2 На панели просмотра нажмите кнопку Создать и укажите параметры нового фильтра.
Рисунок 69. Задание параметров фильтрации прикладного уровня

ViPNet Client 4. Руководство пользователя |
150
3 В разделе Основные параметры укажите имя фильтра.
4 В разделе Протоколы укажите порт и протокол для фильтрации.
5 В разделе Прикладной уровень укажите команду или тип содержимого, который необходимо блокировать. В одном фильтре вы можете задать только один параметр для фильтрации.
6 Нажмите кнопку OK. В списке на панели просмотра появится новый фильтр.
Рекомендации по созданию сетевых фильтров
Чтобы обеспечить стабильную работу ПО ViPNet, необходимо контролировать число создаваемых фильтров, потому что оно зависит от количества узлов, на которые будет распространяться действие каждого из фильтров. Мы рекомендуем придерживаться следующих ограничений:
 Если действие каждого из создаваемых фильтров распространяется на один сетевой узел или
IP-адрес, общее количество фильтров не должно превышать 3000.
 Если действие каждого из создаваемых фильтров распространяется на два или большее количество сетевых узлов или IP-адресов, общее количество сетевых узлов или IP-адресов, на которые будут распространяться действия всех созданных фильтров, не должно превышать
700. При этом действие одного фильтра не должно распространяться более чем на 500 сетевых узлов или IP-адресов.

ViPNet Client 4. Руководство пользователя |
151
Восстановление предустановленных фильтров и групп объектов
Если вы создали неудачный список сетевых фильтров, то вы можете восстановить предустановленные фильтры. В этом случае списки настроенных фильтров всех типов будут заменены на предустановленные. Вместе с фильтрами также будут восстановлены предустановленные группы объектов.
Для восстановления предустановленных фильтров и групп объектов выполните следующие действия:
1 В окне программы ViPNet Монитор на панели навигации выберите раздел Сетевые фильтры.
2 На панели просмотра нажмите кнопку Восстановить фильтры по умолчанию.
3 В появившемся окне Сброс фильтров нажмите кнопку Да.
В результате во всех разделах сетевых фильтров в группе Настраиваемые фильтры будут присутствовать только предустановленные фильтры, в разделе Группы объектов — только предустановленные группы.

ViPNet Client 4. Руководство пользователя |
152
Практический пример использования групп объектов и сетевых фильтров
Рассмотрим следующий пример использования групп объектов и сетевых фильтров. Допустим, в организации развернут почтовый сервер, на котором установлена программа ViPNet Client. Этот защищенный почтовый сервер выполняет следующие функции:
 Обмен сообщениями электронной почты с внешними почтовыми серверами;
 Передача сообщений электронной почты, отправленных удаленными сотрудниками или адресованных им.
Отправка сообщений на почтовый сервер внешними почтовыми серверами и пользователями осуществляется по протоколу SMTP. Передача сообщений электронной почты пользователям производится по протоколам POP3 и IMAP.
Чтобы организовать обмен сообщениями с внешними почтовыми серверами и пользователями и доступ пользователей к электронной почте из Интернета, на защищенном почтовом сервере необходимо создать сетевой фильтр, разрешающий прием и передачу IP-пакетов по 25-му порту протокола TCP (стандартный порт для протокола SMTP), а также по 110-му и 143-му порту (для протоколов POP3 и IMAP соответственно).
Вы можете создать группу протоколов, в которую будут входить все указанные выше протоколы.
Данную группу вы сможете использовать при создании сетевого фильтра. Кроме этого, вы сможете использовать ее повторно в дополнительных фильтрах для почтового сервера, если такие в дальнейшем потребуется создать.
Чтобы создать группу протоколов, выполните следующие действия:
1 В окне программы ViPNet Монитор на панели навигации выберите раздел Группы объектов >
Протоколы.
2 На панели просмотра нажмите кнопку Создать и в окне свойств создаваемой группы в разделе
Состав добавьте все нужные протоколы.
3 Для добавления протокола SMTP в меню кнопки Добавить выберите пункт Протокол
TCP/UDP, после чего в появившемся окне укажите: o в качестве протокола — TCP; o в качестве порта источника — Все порты; o в качестве порта назначения — номер порта 25-smtp.

ViPNet Client 4. Руководство пользователя |
153
Рисунок 70. Пример добавления протокола SMTP в группу
4 Аналогичным образом добавьте протоколы POP3 и IMAP, указав вместо порта назначения номер порта 110 и 143 соответственно.
5 По завершении добавления протоколов в окне свойств группы нажмите кнопку ОК.
В результате будет создана группа протоколов. Используйте данную группу при создании фильтра.
Рисунок 71. Результат создания группы протоколов для почтового сервера
Чтобы создать сетевой фильтр для обмена почтовыми сообщениями с внешними серверами и пользователями, на защищенном почтовом сервере выполните следующие действия:
1 В окне программы ViPNet Монитор на панели навигации выберите раздел Сетевые фильтры >
Фильтры открытой сети.
2 В разделе Фильтры открытой сети создайте сетевой фильтр для всех IP-адресов, так как
IP-адреса внешних почтовых серверов заранее неизвестны и создаваемый фильтр должен распространяться на IP-адреса всех пользователей. Для этого на панели просмотра нажмите кнопку Создать и в появившемся окне свойств создаваемого фильтра задайте его параметры.
3 В разделе Основные параметры установите переключатель Действие в положение
Пропускать трафик.

ViPNet Client 4. Руководство пользователя |
154
4 Чтобы действие фильтра распространялось на все IP-адреса, в разделах Источники и
Назначения не задавайте отправителей и получателей соответственно.
5 В разделе Протоколы в меню кнопки Добавить выберите пункт Группа протоколов, после чего в появившемся окне выберите группу протоколов, которая была создана предварительно.
6 Расписание для данного фильтра формировать не следует.
7 Нажмите кнопку OK.
В результате будет создан сетевой фильтр.
Таким образом, на защищенном почтовом сервере будет разрешен обмен сообщениями с внешними серверами и сотрудниками организации и доступ сотрудников к электронной почте.
Рисунок 72. Результат создания разрешающего фильтра для протоколов SMTP, POP3, IMAP

ViPNet Client 4. Руководство пользователя |
155
Блокировка IP-трафика
С помощью программы ViPNet Монитор вы можете заблокировать весь IP-трафик компьютера. В этом случае любые соединения с защищенными и открытыми узлами будут запрещены.
Чтобы заблокировать IP-трафик, выполните следующие действия:
1 В программе ViPNet Монитор включите блокировку одним из следующих способов: o
В меню Файл выберите пункт Конфигурации > Блокировать IP-трафик. o
На панели задач щелкните правой кнопкой мыши значок программы и в меню выберите пункт Блокировать IP-трафик.
2 Если вы хотите, чтобы после блокировки трафика при определенных условиях трафик был автоматически разблокирован, в окне Блокирование IP-трафика: o
Установите флажок

ViPNet Client 4. Руководство пользователя |
156
Отключение защиты трафика
При необходимости вы можете отключить защиту трафика с помощью программного обеспечения
ViPNet Client. В этом случае будет прекращена любая обработка трафика и ведение журнала регистрации IP-пакетов. Соединение с защищенными узлами ViPNet будет невозможно.
Внимание! Не следует работать на сетевом узле с отключенной защитой трафика, так как в этом случае компьютер не защищен от попыток несанкционированного доступа из сети.
Чтобы отключить защиту трафика:
1 В меню Файл выберите пункт Конфигурации > Отключить защиту.
2 Чтобы после отключения защиты трафика, она включалась автоматически, в окне Отключение
защиты: o
Установите флажок Включить защиту IP-трафика автоматически. o
Из списка под флажком выберите условие для автоматического включения защиты трафика: после перезагрузки компьютера или по истечении определенного промежутка времени.
Рисунок 74. Отключение защиты трафика
3 Нажмите кнопку Отключить защиту. Защита трафика будет отключена, значок программы
ViPNet Client в области уведомлений примет следующий вид
4 Чтобы включить защиту трафика, в меню Файл выберите пункт Конфигурации > Включить
защиту.

ViPNet Client 4. Руководство пользователя |
157
Настройка параметров блокировки трафика
Чтобы разрешить трафик по любым протоколам (например, если требуется установить соединение по протоколу PPPoE):
1 В меню Сервис выберите пункт Настройка приложения.
2 В разделе Управление трафиком снимите флажок Блокировать все протоколы, кроме IP, ARP.
По умолчанию флажок установлен, что обеспечивает высокую сетевую безопасность.
Внимание! Трафик IPv6 не обрабатывается сетевыми фильтрами ViPNet. Поэтому когда флажок снят, этот трафик пропускается без фильтрации. Также разрешение имен корпоративных ресурсов может выполняться по протоколу IPv6 на публичных серверах, даже если в ЦУСе отключена такая возможность. Это означает, что сетевой узел не будет надежно защищен и может подвергнуться
DNS-спуфингу.