Файл: Руководство пользователя ао ИнфоТеКС.pdf

ViPNet Client 4. Руководство пользователя |
352
Действие
фильтра
Имя фильтра
Источник
Назначение
Протоколы фильтрации пакетов
и их свойства
Блокирова ть
Входящий трафик от координатора
Открытого
Интернета
InternetGatew ay
Все узлы
Все
Блокирова ть
Исходящий трафик на координатор
Открытого
Интернета
Все узлы
InternetGatewa y
Все
Предустановленные настраиваемые фильтры
Разрешить
DHCP-трафик
Все узлы
Все узлы
DHCP (UDP: c 67 на 68, с 68 на 67)
Разрешить
NetBIOS- и
WINS-трафик
Все узлы
Все узлы
NetBIOS-DGM (UDP: с 138 на 138)
NetBIOS-NC (UDP: c 137 на 137)
Разрешить
Служебный трафик ViPNet
Все узлы
Все узлы
ViPNet: базовые службы (UDP:
2046, c 2048 на 2048, с 2050 на
2050)
ViPNet StateWatcher (TCP, dst: 2047,
5100, 10092)
ViPNet MFTP (TCP: dst:5000-5003)
Разрешить
Ping
Все узлы
Все узлы
Ping (ICMP8)
Разрешить
RDP-трафик
Все узлы
Все узлы
RDP (TCP, dst:3389)
Разрешить
IGMP-трафик
Все узлы
Все узлы
IGMP (IP: 2)
Разрешить
Мультимедиа-тр афик
Все узлы
Все узлы
SIP (TCP/UDP, dst:5060)
H323 (TCP, dst:1720)
SCCP (TCP, dst:2000)
Разрешить
Весь трафик
Все узлы
Все узлы
Все
Фильтр по умолчанию
Блокирова ть
Прочий трафик
Все узлы
Все узлы
Все
Таблица 19. Фильтры открытой сети

ViPNet Client 4. Руководство пользователя |
353
Действие
фильтра
Имя фильтра
Источник
Назначение
Протоколы фильтрации пакетов
и их свойства
Разрешить
DHCP-трафик
Все узлы
Все узлы
DHCP (UDP: c 67 на 68, с 68 на 67)
Разрешить
NetBIOS- и
WINS-трафик
Все узлы
Все узлы
NetBIOS-DGM (UDP: с 138 на 138)
NetBIOS-NC (UDP: c 137 на 137)
Разрешить
Ping
Все узлы
Все узлы
Ping (ICMP8)
Разрешить
IGMP-трафик
Все узлы
Все узлы
IGMP (IP: 2)
Разрешить
Исходящий трафик
Мой узел
Все узлы
Все
Примечание. Этого фильтра нет при минимальном уровне полномочий пользователя. При смене уровня полномочий с минимального на любой другой, фильтр автоматически не появляется. Его следует создать вручную.
Фильтр по умолчанию
Блокирова ть
Прочий трафик
Все узлы
Все узлы
Все

ViPNet Client 4. Руководство пользователя |
354
G
Совместная работа ПО
ViPNet Client с другими приложениями

ViPNet Client 4. Руководство пользователя |
355
Технология Hyper-V
Hyper-V — это система виртуализации, реализованная в 64-разрядной версии операционной системы Microsoft Windows Server 2008 R2.
Особенностью Hyper-V является то, что для обеспечения доступа виртуальных машин к внешней сети требуется выделить один из физических сетевых интерфейсов компьютера. Этот интерфейс будет подключен к виртуальному коммутатору Hyper-V, а вместо него в хостовой операционной системе будет создан виртуальный интерфейс с такими же настройками.
Для правильного подключения виртуальных сетевых интерфейсов (в том числе в хостовой операционной системе) к внешней сети на физическом интерфейсе, который используется для этого подключения, должны быть отключены все службы и протоколы, кроме протокола коммутации виртуальных сетей (Virtual Network Switching Protocol).
При установке программы ViPNet Монитор на компьютер с 64-разрядной операционной системой на всех сетевых интерфейсах компьютера включается служба Iplir lightweight Filter (х64 edition), то есть сетевой ViPNet-драйвер (см.
Низкоуровневый ViPNet-драйвер сетевой защиты на стр. 15).
Этот драйвер осуществляет шифрование, расшифрование и фильтрацию IP-пакетов, проходящих через сетевой интерфейс, и может нарушить работоспособность виртуальной сети Hyper-V.
Чтобы обеспечить работу виртуальной сети и программного обеспечения ViPNet в хостовой операционной системе, в настройках физического сетевого интерфейса, подключенного к виртуальной сети Hyper-V, требуется отключить службу Iplir lightweight Filter (х64 edition).
Рисунок 177. Настройки физического интерфейса, подключенного к виртуальной сети Hyper-V

ViPNet Client 4. Руководство пользователя |
356
Dallas Lock
Внимание! Рекомендации, приведенные в данном разделе, относятся к программному обеспечению Dallas Lock версии 8.0. Прежде чем приступать к настройке Dallas Lock 8.0 ознакомьтесь с руководством по эксплуатации программы.
Чтобы обеспечить на компьютере совместную работу программы ViPNet Монитор и системы защиты от несанкционированного доступа Dallas Lock, в программе ViPNet Монитор создайте фильтр (см.
Создание сетевых фильтров на стр. 144), разрешающий входящие и исходящие соединения с сервером безопасности Dallas Lock по следующим портам TCP: 17490, 17491, 17492.

ViPNet Client 4. Руководство пользователя |
357
ESET NOD32 Smart Security
При совместной установке на компьютер ПО ViPNet Client и ESET NOD32 Smart Security возможны проблемы с установлением соединения между защищенными узлами и доступом к ресурсам интернета. Чтобы обеспечить на компьютере совместное функционирование программ ViPNet
Монитор и ESET NOD32 Smart Security, в программе ESET NOD32 Smart Security создайте правила, разрешающие обмен данными по протоколу 241 (см.
Протоколы соединений в защищенной сети на стр. 89) и использование компонента
Itcsnatproxy.exe
Примечание. Приведенные ниже действия относятся только к ESET NOD32 Smart Security.
Программы ESET NOD32 Internet Security и ESET NOD32 Антивирус дополнительно настраивать не требуется.
Выполните следующие действия:
1 Откройте главное окно программы ESET NOD32 Smart Security и выберите вкладку Настройка.
2 В правой части окна щелкните ссылку Сеть и в открывшемся окне щелкните ссылку Настроить
правила и зоны.
3 В окне Настройка зон и правил нажмите кнопку Создать.
4 В окне Новое правило выберите вкладку Общие и в группе Общая информация об этом
правиле укажите название разрешающего правила для протокола 241.

ViPNet Client 4. Руководство пользователя |
358
Рисунок 178. Создание правила в ESET NOD32 Smart Security для протокола 241
5 Нажмите кнопку Выбрать протокол и выберите протокол 241.
6 Нажмите кнопку OK, чтобы сохранить правило.
7 В окне Настройка зон и правил нажмите кнопку Создать, чтобы создать правило для компоненты
Itcsnatproxy.exe
8 В окне Новое правило на вкладке Общие в группе Общая информация об этом правиле укажите название разрешающего правила.
9 Перейдите на вкладку Локальный и в группе Приложение укажите путь к файлу
Itcsnatproxy.exe
. Например,
C:\Program Files (x86)\InfoTeCS\ViPNet Client\Itcsnatproxy.exe

ViPNet Client 4. Руководство пользователя |
359
Рисунок 179. Создание правила в ESET NOD32 Smart Security для компоненты Itcsnatproxy.exe
10 Нажмите кнопку OK, чтобы сохранить правило.
11 В окне Настройка зон и правил нажмите кнопку Применить. Соединение между защищенными узлами и доступ к ресурсам интернета будут восстановлены.

ViPNet Client 4. Руководство пользователя |
360
Avast
Если на сетевом узле ViPNet включен межсетевой экран Avast, могут возникнуть проблемы с соединением между сетевыми узлами ViPNet. Чтобы обеспечить совместное функционирование программ ViPNet Монитор и Avast, добавьте три правила для межсетевого экрана, разрешающие обмен данными по протоколу 241, а также прохождение входящего и исходящего UDP-трафика через порт 55777 (см.
Протоколы соединений в защищенной сети на стр. 89). Для этого выполните следующие действия:
1 В главном окне программы выберите раздел Защита > Брандмауэр (Настройки > Активная
защита) и рядом с пунктом Брандмауэр щелкните ссылку Настройки.
2 В открывшемся окне выберите пункт Политики и в группе Предпочтения установите флажок
Режим общего доступа к подключению интернета (ICS).
3 Нажмите кнопку Правила работы с пакетами, откроется окно Правила для пакетов.
Рисунок 180. Создание правила в программе Avast
4 Нажмите кнопку Добавить, чтобы создать первое из трех новых правил (например, правило для исходящего UDP-трафика), и настройте его в соответствии со значениями параметров, которые представлены в следующей таблице:

ViPNet Client 4. Руководство пользователя |
361
Таблица 20. Параметры правил для межсетевого экрана Avast
Правило
Действие
Протокол
Направление Адрес
Локальный
порт
Удаленный
порт
Исходящий
UDP-трафик
Разрешить
UDP
Исходящие
Друзья
55777
Входящий
UDP-трафик
Разрешить
UDP
Входящие
Друзья
55777
Протокол 241 Разрешить
241
Входящие/ исходящие
Друзья
5 Создайте еще два правила в соответствии со значениями из таблицы и нажмите кнопку OK.
6 Вернитесь в главное окно Avast и выберите раздел Защита > Брандмауэр (Инструменты >
Брандмауэр).
7 В нижней части открывшегося окна щелкните ссылку Правила для приложений и в открывшемся окне Правила для приложений прокрутите список приложений вниз, чтобы найти группу «ИнфоТеКС».
8 Чтобы разрешить все соединения для программы ViPNet, выберите программу и в списке Для
всех остальных соединений выберите пункт Определять автоматически.
Рисунок 181. Настройка разрешения соединения с сетями в программе Avast
9 Повторите шаг 9 для каждой программы в группе «ИнфоТеКС» и затем нажмите кнопку
Закрыть, чтобы завершить настройку межсетевого экрана Avast для совместной работы с ПО
ViPNet.
Если на компьютере установлен антивирус Avast и возникают проблемы в работе электронной почты, воспользуйтесь рекомендациями из раздела
Невозможно получить и отправить сообщения электронной почты
(на стр. 278).

ViPNet Client 4. Руководство пользователя |
362
AVG Internet Security
Если на сетевом узле ViPNet включен межсетевой экран AVG Internet Security, могут возникнуть проблемы с соединением между сетевыми узлами ViPNet. Чтобы обеспечить совместную работу программ ViPNet Монитор и AVG Internet Security, вы можете:
 отключить межсетевой экран AVG Internet Security;
 добавить три правила для межсетевого экрана AVG Internet Security, разрешающие обмен данными по протоколу 241, а также прохождение входящего и исходящего UDP-трафика через порт 55777 (см.
Протоколы соединений в защищенной сети на стр. 89).
Чтобы добавить правила, выполните следующие действия:
1 В главном окне AVG Internet Security выберите Меню > Настройки.
2 В открывшемся окне выберите раздел Компоненты и рядом с пунктом Усиленный
брандмауэр щелкните ссылку Настройка.
3 В разделе Политики нажмите кнопку Правила работы с пакетами.
Примечание. Для создания правил в более ранней версии AVG Internet Security выполните следующие действия: В главном окне программы выберите Firewall >
, затем нажмите кнопку Режим для опытных пользователей. В разделе Системные
службы нажмите кнопку Управление системными правилами.
4 Нажмите кнопку Добавить, чтобы создать первое из трех новых правил (например, правило для входящего UDP-трафика), и настройте его в соответствии со значениями параметров, которые представлены в следующей таблице:
Таблица 21. Параметры правил для межсетевого экрана AVG Internet Security
Правило
Протокол Направлени
е
Локальный
порт
Удаленный
порт
Удаленный
адрес
Действие
Входящий
UDP-трафик
UDP
Входящее
55777
Все порты
Все сети
Разрешит ь
Исходящий
UDP-трафик
UDP
Исходящее
Все порты
55777
Все сети
Разрешит ь
Протокол 241
241
В обоих направления х
Все сети
Разрешит ь
5 Создайте еще два правила в соответствии со значениями из таблицы и нажмите кнопку OK, чтобы завершить настройку межсетевого экрана AVG Internet Security.
Если на компьютере установлен антивирус AVG Internet Security и возникают проблемы в работе электронной почты, воспользуйтесь рекомендациями из раздела
Невозможно получить и отправить сообщения электронной почты
(на стр. 278).

ViPNet Client 4. Руководство пользователя |
363
Secret Net
При совместной установке на компьютер ПО ViPNet Client и Secret Net возможны проблемы при обновлении справочников и ключей сетевого узла ViPNet. Это связано с наличием в ПО Secret Net ограничения доступа пользователей к конфиденциальным данным, в том числе к папкам, в которых ПО ViPNet Client хранит справочники и ключи. Чтобы справочники и ключи обновлялись при любом уровне доступа пользователей ПО Secret Net, необходимо снять конфиденциальность с соответствующих папок. Для этого создайте файл в формате XML, текст которого приведен в разделе
Настройка доступа к папкам справочников и ключей
(на стр. 364), и выполните приведенные ниже действия. Созданный файл используйте при настройке ПО Secret Net.
Внимание! Рекомендации, приведенные в данном разделе, относятся к программному обеспечению Secret Net версий 6.5 и 7.0.
Чтобы обеспечить совместную работу ПО ViPNet Client и Secret Net, выполните следующие действия в указанном порядке:
1 Установите на компьютер ПО Secret Net.
2 Установите на компьютер ПО ViPNet Client. После установки не перезагружайте компьютер.
Внимание! Если после установки ПО ViPNet Client вы перезагрузите компьютер, то все последующие настройки, производимые в ПО Secret Net, не будут применены.
3 Запустите программу «Настройка подсистемы полномочного управления доступом», входящую в состав ПО Secret Net (далее — «программа настройки»). Для этого в меню Пуск выберите Все
программы > Код безопасности > Secret Net > Настройка подсистемы полномочного
управления доступом.
4 В окне программы настройки на панели навигации в разделе Вручную выберите подраздел
Программы.