ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 04.12.2023
Просмотров: 1070
Скачиваний: 10
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
ViPNet Client 4. Руководство пользователя |
15
О программе
Назначение ПО ViPNet Client
Программное обеспечение ViPNet Client предназначено для использования в сетях ViPNet, управляемых с помощью ПО ViPNet Administrator. ViPNet Client выполняет функции VPN-клиента в сети ViPNet и обеспечивает защиту компьютера от несанкционированного доступа при работе в локальных или глобальных сетях.
Программное обеспечение ViPNet Client может быть установлено для защиты трафика на любом компьютере с ОС Windows, будь то стационарный, удаленный, мобильный компьютер или сервер.
Состав ПО ViPNet Client
Программное обеспечение ViPNet Client состоит из следующих компонентов:
Низкоуровневый драйвер сетевой защиты ViPNet-драйвер.
Сервис управления драйвером защиты.
Программа ViPNet Монитор.
Транспортный модуль ViPNet MFTP.
Программа ViPNet Контроль приложений.
Программа ViPNet Деловая почта.
Криптопровайдер ViPNet CSP.
Модуль расширенной фильтрации.
Система обновления ViPNet.
Низкоуровневый ViPNet-драйвер сетевой защиты
ViPNet-драйвер (см.
Принцип работы ViPNet-драйвера на стр. 17) выполняет шифрование и фильтрацию IP-трафика. Он взаимодействует с драйверами сетевых интерфейсов компьютера
(реальных и виртуальных), что обеспечивает независимость программы от операционной системы.
ViPNet-драйвер перехватывает и контролирует весь входящий и исходящий IP-трафик компьютера.
Сервис управления драйвером защиты ViPNet
Сервис управления — это служба Windows, которая обеспечивает:
ViPNet Client 4. Руководство пользователя |
16
загрузку в ViPNet-драйвер справочной информации о структуре сети, правил фильтрации и ключей шифрования;
прием и передачу на другие сетевые узлы информации о состоянии узла и параметрах доступа;
ведение журнала IP-пакетов (см.
Работа с журналом IP-пакетов на стр. 187) и журнала событий
(см.
Просмотр журнала событий на стр. 222).
Программа ViPNet Монитор
Программа ViPNet Монитор предоставляет пользовательский интерфейс для изменения настроек
ViPNet-драйвера, а также прикладные и административные возможности.
Для работы узла ViPNet и обеспечения безопасности компьютера запуск программы ViPNet
Монитор не требуется.
Транспортный модуль ViPNet MFTP
Транспортный модуль — это служба Windows и графический интерфейс для ее настройки. Функции
ViPNet MFTP зависят от назначения программы, в которую он входит. На клиентском узле
(см. глоссарий, стр. 382) транспортный модуль обеспечивает обмен управляющими конвертами, конвертами программы ViPNet Деловая почта и файлами с другими сетевыми узлами ViPNet.
Подробнее см. документ «ViPNet MFTP. Руководство администратора».
Программа ViPNet Контроль приложений
Программа ViPNet Контроль приложений — необязательный модуль ViPNet Client, ее наличие определяется лицензией на сеть ViPNet в вашей организации.
Программа ViPNet Контроль приложений позволяет:
Получать информацию обо всех приложениях, которые запрашивали доступ в сеть.
Разрешить или запретить доступ приложений к сети.
Просматривать журнал событий по сетевой активности приложений.
Подробнее см. документ «ViPNet Контроль приложений. Руководство пользователя».
Программа ViPNet Деловая почта
Программа ViPNet Деловая почта — необязательный модуль ViPNet Client, предназначена для обмена электронной почтой между пользователями сети ViPNet. C ее помощью можно безопасно отправлять и получать сообщения с вложенными файлами, шифровать сообщения и вложения, подписывать сообщения и вложения электронной подписью. В программе предусмотрена система автоматической обработки входящих сообщений и файлов в соответствии с заданными правилами
(автопроцессинг).
ViPNet Client 4. Руководство пользователя |
17
Подробнее см. документ «ViPNet Деловая почта. Руководство пользователя».
Криптопровайдер ViPNet CSP
Программа ViPNet CSP — криптопровайдер, обеспечивает вызов криптографических функций через интерфейс Microsoft CryptoAPI 2.0. Это позволяет использовать криптографические функции, реализованные в соответствии с российскими стандартами, в различных приложениях, например, в
Microsoft Office.
С помощью криптопровайдера ViPNet CSP вы можете выполнять следующие операции:
Формирование и проверка электронной подписи.
Шифрование данных, в том числе сообщений электронной почты.
Аутентификация и защита соединений по протоколу TLS/SSL.
Внимание! При установке ViPNet CSP в составе ViPNet Client поддержка протокола
TLS/SSL отключена. Чтобы ее включить, в меню Пуск выберите ViPNet > Настройка
компонентов ViPNet Client, в открывшемся окне выберите Изменить состав, в следующем окне раскройте список Поддержка работы ViPNet CSP через Microsoft
CryptoAPI и добавьте компонент Поддержка протокола TLS/SSL.
Не включайте поддержку протокола TLS/SSL, если планируется обновление ОС до
Windows 10.
Подробнее см. документ «ViPNet CSP. Руководство пользователя».
Модуль расширенной фильтрации
Модуль расширенной фильтрации — система обнаружения вторжений. Он позволяет:
создавать фильтры прикладного уровня
(на стр. 149);
взаимодействовать с антивирусным программным обеспечением
(на стр. 219).
Система обновления ViPNet
Система обновления ViPNet обеспечивает получение и установку программных обновлений, справочников и ключей из программы ViPNet Administrator, а также обновлений политик безопасности ViPNet Policy Manager. Подробнее см.
Система обновления ViPNet
(на стр. 82).
Принцип работы ViPNet-драйвера
Ядром программного обеспечения ViPNet является ViPNet-драйвер, его основная функция — фильтрация, шифрование и расшифрование входящих и исходящих IP-пакетов.
ViPNet Client 4. Руководство пользователя |
18
Инициализация ViPNet-драйвера и ключей шифрования ViPNet выполняется перед входом пользователя в Windows, то есть до запуска остальных служб и драйверов операционной системы.
В момент загрузки операционной системы ПО ViPNet проверяет собственные контрольные суммы, гарантирующие целостность программного обеспечения, наборов ключей и списка приложений, которым разрешена сетевая активность.
ViPNet-драйвер первым получает контроль над стеком протоколов TCP/IP. К моменту инициализации драйверов сетевых интерфейсов он подготовлен к шифрованию и фильтрации трафика. Это обеспечивает защищенное соединение с контроллером домена, контроль сетевой активности запущенных на компьютере приложений и блокирование нежелательных пакетов извне.
Каждый исходящий пакет обрабатывается ViPNet-драйвером одним из следующих способов:
шифруется и отправляется;
отправляется в исходном виде (без шифрования);
блокируется (в соответствии с установленными сетевыми фильтрами).
Каждый входящий пакет обрабатывается следующим образом:
пропускается (если он не зашифрован и это разрешено сетевыми фильтрами для нешифрованного трафика);
расшифровывается (если пакет был зашифрован);
блокируется (в соответствии с установленными сетевыми фильтрами).
ViPNet-драйвер работает между канальным и сетевым уровнем модели OSI, что позволяет обрабатывать входящие IP-пакеты до их обработки стеком протоколов TCP/IP и передачи на прикладной уровень. Таким образом, ViPNet-драйвер защищает IP-трафик всех приложений, не нарушая привычный порядок работы пользователей.
ViPNet Client 4. Руководство пользователя |
19
Рисунок 1. ViPNet-драйвер в модели OSI
Благодаря такому подходу внедрение технологии ViPNet не требует изменения сложившихся бизнес-процессов, а затраты на развертывание сети ViPNet невелики.
Примечание. На приведенной схеме модели OSI есть упрощения:
Транспортный и сеансовый уровни объединены в транспортный уровень.
Прикладной уровень и уровень представления объединены в прикладной уровень.
Следующая схема иллюстрирует работу ViPNet-драйвера при обработке запроса на просмотр веб-страницы. Страница размещена на IIS-сервере, который работает на компьютере Б.
ViPNet Client 4. Руководство пользователя |
20
Рисунок 2. Схема работы сети TCP/IP, защищенной ПО ViPNet
Компьютер A отправляет на компьютер Б запрос по протоколу HTTP. Запрос передается на нижние уровни стека TCP/IP, при этом на каждом уровне к нему добавляется служебная информация. Когда запрос достигает ViPNet-драйвера, он зашифровывает запрос и добавляет к нему собственную информацию. ViPNet-драйвер, работающий на компьютере Б, принимает запрос и удаляет из него служебную информацию ViPNet. Затем ViPNet-драйвер расшифровывает запрос и передает по стеку TCP/IP на прикладной уровень для обработки.
ViPNet Client 4. Руководство пользователя |
21
Что нового в версии 4.5.5
Обзор изменений в версии 4.5.5 по сравнению с 4.5.3. Информацию о предыдущих версиях см. в приложении
История версий
(на стр. 367).
1 2 3 4 5 6 7 8 9 ... 32
Удаленное подключение к защищенной сети без переключения конфигураций
Теперь администратор может разрешить пользователям, которые работают в конфигурации с запретом открытых соединений, подключаться к защищенной сети через внешнего провайдера с авторизацией на Captive portal.
Для этого в настройках программы ViPNet задается параметр Разрешать открытые
соединения при отсутствии связи с сервером соединений. При этом внешняя сеть доступна только тогда, когда нет соединения с защищенной сетью. При подключении к защищенной сети доступ к открытой сети автоматически блокируется. А значит, работа в сети ViPNet безопасна и подключиться к сети ViPNet через интернет можно из конфигурации с запретом открытых соединений.
Подробнее см.
Параметры защиты трафика
(на стр. 218).
Также эту настройку можно выполнить централизованно из программы ViPNet Policy Manager
(см.
Разрешать открытые соединения при отсутствии связи с сервером соединений на стр. 207).
Управление размером MSS протокола TCP через ViPNet Policy Manager
Ранее уменьшить максимальный размер TCP-сегмента (MSS) можно было только в настройках программы ViPNet Client непосредственно на каждом сетевом узле. Теперь это значение можно указать сразу для многих пользователей ViPNet Client. Для этого администратор сети в программе ViPNet Policy Manager указывает нужное значение и отправляет политику безопасности на сетевые узлы ViPNet.
Подробнее см.
Централизованное уменьшение MSS
(на стр. 204).
Вход в Windows без входа в программу ViPNet
Теперь администратор может разрешить пользователям ViPNet с минимальными полномочиями не запускать программу ViPNet Client (см.
Запуск программы на стр. 69), а войти сразу в Windows. Это полезно в особых ситуациях, например, если требуется разблокировать USB-устройство для аутентификации, когда несколько раз введен неправильный пароль. При этом использовать эту возможность для повседневной работы не рекомендуется, поскольку до входа в программу ViPNet компьютер не защищен.
Подробнее см.
Параметры запуска программы при загрузке Windows
(на стр. 217).
Также эту настройку можно выполнить централизованно из программы ViPNet Policy Manager
(см.
Централизованная настройка входа в программу на стр. 205).
Применение на сетевом узле политики с настройками конфигураций
Ранее создать конфигурацию (сборник фильтров и настроек ViPNet Client) можно было только непосредственно на сетевом узле. Теперь ViPNet Client может принять из управляющего приложения ViPNet ЦУС политику (в формате lzh
), в которой записаны настройки разных
ViPNet Client 4. Руководство пользователя |
22 конфигураций. Это позволит администратору быстро применить нужные наборы сетевых фильтров на большом числе сетевых узлов, не настраивая каждый узел отдельно.
Для формирования политики с различными конфигурациями обратитесь к представителям
«ИнфоТеКС» (см.
Обратная связь на стр. 27). Формирование такой политики в ViPNet Policy
Manager не поддерживается.
Поддержка Windows Server 2019
ViPNet Client 4. Руководство пользователя |
23
Системные требования
Требования к компьютеру для установки программы ViPNet Client:
Процессор — Intel Core 2 Duo или другой схожий по производительности x86-совместимый процессор с количеством ядер 2 и более.
Объем оперативной памяти — не менее 1 Гбайт.
Свободное место на жестком диске — не менее 500 Мбайт (рекомендуется 1 Гбайт).
Сетевой интерфейс (не более 10 IP-адресов на одном сетевом интерфейсе) или модем.
Операционная система: o
Windows 8.1 (32/64-разрядная); o
Windows Server 2012 (64-разрядная); o
Windows Server 2012 R2 (64-разрядная); o
Windows 10 (32/64-разрядная) следующих версий и сборок:
версия 1803, сборка 17134,
версия 1809, сборка 17763,
версия 1903, сборка 18362,
версия 1909, сборка 18363,
версия 2004, сборка 19041,
версия 20H2, сборка 19042,
версия 21H1, сборка 19043; o
Windows Server 2016 (64-разрядная), сборка 14393. o
Windows Server 2019 (64-разрядная), сборка 17763.
Внимание! Поскольку программа ViPNet Client предназначена для защиты трафика на рабочем месте пользователя, то стабильная работа всех сервисов серверных ОС не гарантируется. Для защиты трафика сервера воспользуйтесь технологией туннелирования
ПО ViPNet Coordinator.
На терминальном сервере с ViPNet Client при одновременной работе более 10 пользователей могут не приходить обновления из ЦУСа. Для стабильной доставки обновлений выполните рекомендации раздела
На терминальный сервер не приходят обновления
(на стр. 291).
Для операционной системы должен быть установлен самый последний накопительный пакет обновлений.
ViPNet Client 4. Руководство пользователя |
24
Внимание! Если планируется обновление до Windows 10, перед обновлением убедитесь, что в программе ViPNet CSP отключена поддержка протокола TLS/SSL. Для этого:
1
В меню Пуск выберите ViPNet > Настройка компонентов ViPNet Client.
2 В окне Управление составом ViPNet Client выберите Изменить состав.
3 В списке Поддержка работы ViPNet CSP через Microsoft CryptoAPI снимите флажок у компонента Поддержка протокола TLS/SSL и нажмите кнопку Далее.
4 Перезагрузите компьютер, чтобы изменения вступили в силу.
При использовании Internet Explorer — версия 11.
На компьютере не должны быть установлены другие сетевые экраны (брандмауэры), программные NAT-устройства, ПО HP Velocity и ViPNet CSP версии ниже 4.4.0. Встроенным брандмауэром Windows на вашем компьютере управляет администратор сети ViPNet.
На компьютере не должно быть установлено ПО и драйверы, которые работают на канальном уровне модели OSI, так как они могут отправлять и принимать трафик в обход драйвера
ViPNet. Поэтому такой трафик не будет зашифровываться и блокироваться правилами межсетевого экрана (см.
Принцип работы ViPNet-драйвера
(на стр. 17)).
Драйверы канального уровня используют программы — анализаторы трафика (Wireshark), виртуальные платформы (Oracle VM VirtualBox, VMware Workstation) и другие. Если ПО необходимо, отключите работу таких драйверов. Например, если используются платформы виртуализации, то для всех сетевых интерфейсов компьютера отключите драйвер сетевого моста виртуальной платформы.
Данная версия программы имеет ограниченную совместимость с ViPNet Administrator УКЦ версии 4.6.6 и ниже. Поэтому прежде чем установить ViPNet Client, обратитесь в службу поддержки ИнфоТеКС за новой версией ViPNet Administrator.
Совместная работа с другими программами
ViPNet
ViPNet Client не поддерживает совместную работу со следующими программами:
ViPNet CSP версии ниже 4.4.0;
ViPNet Administrator УКЦ версии 4.6.6 и ниже;
ViPNet SafeDisk-V, ViPNet Dispatcher, ViPNet CryptoService, ViPNet Registration Point, ViPNet
Personal Firewall любых версий.