Транспортные и мультисервисные системы и сети связи.-1
.pdf
Рис. 43. Завершение инициализации УКЦ и формирование ключевой информации
Рис. 44. Окно каталогов УКЦ
71
Работа в Удостоверяющем и ключевом центре.
Перед началом работы в УКЦ рекомендуется произвести первоначальные настройки программы. Это можно сделать в меню «Сервис» → «Настройка»… или нажав кнопку «Настройка» в панели инструментов программы. В окне «Пароли» настраиваем парольные параметры работы УКЦ.
После прохождения этапа первичной инициализации и произведения настроек программы необходимо сформировать дистрибутивы для пользователей созданной защищенной сети. Для этого выбираем пункт меню «Сервис» → «Автоматически создать» → «Дистрибутивы ключей»
Рис. 45. Меню формирования ключевой информации
При создании дистрибутива пользователя автоматически формируется его сертификат ЭЦП. В случае если срок действия сертификата уполномоченного лица истекает до конца действия рядового пользователя VPN сети, будет выведено предупреждение о том, что срок действия сертификата пользователя будет ограничен сроком действия сертификата уполномоченного лица (Рис.45).
Рис. 46. Предупреждение о сроке действия сертификата
При формировании ключевой информации, входящей в файл-дистрибутив, мастером также будет предложено ввести пароль Администратора сетевого узла (Рис.46), который позволяет получить расширенные права по управлению системой защиты на конкретном узле
72
защищенной сети. Пароль может быть собственным, случайным и цифровым и имеет срок действия и может быть изменен в дальнейшем на самом узле пользователя VPN.
Рис. 47. Выбор типа пароля для администратора СУ всей группы
Формирование паролей Администраторов СУ осуществляется отдельно от формирования паролей на дистрибутив. Пароль Администратора СУ может быть задан как на отдельный компьютер, так и на всю группу, в которую входят несколько компьютеров.
После создания дистрибутивов необходимо их раздать пользователям защищенной сети. Это производится в окне Ключевой центр / Ключи / Дистрибутивы ключей. Действия можно производить как с отдельным дистрибутивом, так и с набором файлов-дистрибутивов (Рис.48). В данном случае необходимо выделить все записи, щелкнуть правой кнопкой «мыши» на одной из записей (или сразу на все записи) и выбрать пункт меню Перенести в папку…
73
Рис. 48. Контекстное меню в каталоге Дистрибутивы
Впоявившемся окне мастера (Рис.48) необходимо выбрать каталог на диске , в котором будут храниться файлы-дистрибутивы до их передачи пользователям. Для проведения операции переноса для всех файлов-дистрибутивов напротив строки «Применить ко всем» слева внизу окна следует поставить «галочку».
Аналогичную операцию необходимо провести с наборами персональных ключей пользователей защищенной сети.
ВУКЦ в окне Администраторы возможно указать еще лица (Уполномоченные лица), которые будут иметь право входить в УКЦ и формировать ключевую информацию для пользователей системы ViPNet.
По умолчанию действующим становится тот Администратор (УЛ), пароль которого введен для входа в УКЦ.
Вменю «Сервис» → «Журнал событий» с помощью фильтров поиска можно просмотреть действия и события, произошедшие в УКЦ.
Развертывание защищенного узла Администратора сети ViPNet.
Для развертывания защищенного узла Администратора 3.0 необходимо зайти в каталог, где были сохранены файлы dst – дистрибутивы и скопировать dst–файл Администратора 3 0 в каталог установки ViPNet Client (по умолчанию – это каталог ..\SS\). Развертывание защищенного узла может быть произведено двумя способами:
запуском файла dst – в этом случае программа запросит каталог, в котором будет храниться ключевая информация;
запуском программы ViPNet Client Монитор, при этом необходимо будет указать, где хранится файл-дистрибутив и куда нужно будет сохранить ключевую информацию;
После перезагрузки драйвер ViPNet запросит пароль на вход в виртуальную сеть и на начало работы с защищенным узлом. Необходимо ввести тот пароль, который был дан Администратору 3.0 в УКЦ и начать первичную инициализацию по развертыванию защищенного узла. Без первичной инициализации (ее производят только один раз в самом начале развертывания защищенного узла) драйвер не будет загружаться.
Для проведения первичной инициализации в окне запроса пароля драйвером необходимо справа от кнопки «Настройка» выбрать выпадающее меню (треугольник вниз) и выбрать строку Первичная Инициализация (Рис.49).
74
Рис. 49. Начало первичной инициализации ViPNet «Клиент» Монитор
Появится «Мастер» первичной инициализации (Рис.50), который поможет развернуть СУ виртуальной сети ViPNet.
Рис. 50. Мастер первичной инициализации ViPNet «Клиент»
75
Мастер запросит месторасположение файла dst для пользователя, запросит информацию о том, какие аппаратные носители информации будет использовать абонент для хранения ключевой информации и пароль к дистрибутиву, а также потребует указать место для хранения справочников и ключевой информации.
Перед загрузкой «Монитора» программа спросит пользователя о том, в какой конфигурации тот желает работать – в обычной или в конфигурации Открытого Интернета. Следует выбрать обычную конфигурацию (Рис.51).
Рис. 51. Окно выбора конфигурации «Монитора»
После входа в операционную систему и загрузки «Монитора» некоторые из приложений, установленных на компьютере, попытаются получить доступ к сетевой карте. Программа «Контроль приложений», входящая в состав ПО ViPNet «Клиент» заблокирует выход этих приложений в сеть (как открытую, так и закрытую) и запросит пользователя о том, какие действия надо предпринять в отношении этих приложений (Рис. 52). В настоящем случае необходимо разрешить работу в сети службы ОС Windows Generic Host Process. Решение в отношении других программ, запросивших доступ в сеть, остается за пользователем.
Рис. 52. Окно программы «Контроль приложений»
В итоге на СУ Администратора 3.0 окно «Защищенная сеть» в «Мониторе» должно выглядеть, как показано на Рис.53.
76
Рис. 53. Окно «Защищенная сеть» Администратора 3.0
В окне «Защищенная сеть» «Монитора» показаны: Синим цветом – настоящий СУ.
Красным цветом – координаторы сети.
Серым и сиреневым цветом – СУ сети ViPNet, связь с которыми есть на уровне типов коллективов. Если настоящий узел не обменялся служебной информацией с конкретным СУ, то тот СУ будет показан серым цветом. Если же настоящий узел обменялся служебной информацией с конкретным СУ, то тот СУ будет показан сиреневым цветом.
После развертывания защищенного узла ОС Windows должны появиться значки программ MFTP (грузовичок), Монитор (семь красных квадратиков) и Контроль приложений (зеленый шарик на полосатом фоне) (Рис.54).
Рис. 54. Трей ОС Windows со значками ПО ViPNet
Значок MFTP (грузовичок) становится красным, если пришла информация от абонентов защищенной сети. По значку «Монитора» при отправке или приеме пакетов бегает белый квадратик. Значок «Контроля приложений» становится серым, если программа отключена (не производится контроль доступа в сеть).
77
Установка ПО ViPNet «Координатор».
Для установки ViPNet Координатор необходимо иметь инсталляционный комплект - файл setup.exe, ключевой дистрибутив – файл abn_AAAA.dst (где AAAA – последние четыре цифры идентификатора пользователя, зарегистрированного на данном Координаторе), в котором в склеенном виде помещена необходимая адресная и ключевая информация для обеспечения первичного запуска и последующей работы прикладной программы ViPNet Координатор (предоставляется администратором Удостоверяющего и Ключевого Центра), а также парольная информация (пароль) для рабочей станции (предоставляется администратором Удостоверяющего и Ключевого Центра). Для начала процесса установки ViPNet «Координатор» необходимо запустить файл setup.exe, находящийся в инсталляционном комплекте. В этом случае в составе ViPNet «Координатор» будет установлена также программа ViPNet «Контроль приложений». Если необходимости устанавливать программу ViPNet «Контроль приложений» нет, то следует запустить файл setup.exe из командной строки с параметром norf, а именно: setup.exe /norf.
После запуска программы установки на экране появится окно «Добро пожаловать» (Рис.55). Далее все окна во время установки программного обеспечения будут появляться так же, как и при установке ViPNet «Клиента».
Рис. 55.. Установка ViPNet «Координатор»
Если в сетевых настройках компьютера не была включена функция IP-forwarding, то программа установки включит ее, о чем будет выдано соответствующее сообщение. После окончания установки появится окно с сообщением об успешном завершении установки программы и окно с ярлыками для запуска ПО ViPNet «Координатор». Далее программа установки предложит перезагрузить компьютер. Если администратор защищенной сети уже выдал dst-файл для данного компьютера, необходимо этот файл скопировать в каталог установки ПО ViPNet «Координатор», запомнить пароль доступа к dst-файлу и перегрузить ОС компьютера. При перезагрузке ОС драйвер ViPNet начнет защищать компьютер с
78
помощью систем шифрования и сетевого экрана. Если администратор защищенной сети не выдавал dst-файл для данного компьютера, перегружать ОС нет необходимости.
Первичная инициализация справочно-ключевой информации пользователя ViPNet Координатор.
Авторизация пользователей
В процессе загрузки (или перезагрузки) компьютера откроется окно для идентификации пользователя с приглашением ввести пароль (Рис.56). Во время загрузки компьютера драйвер ПО ViPNet «Координатор» блокирует весь трафик, кроме некоторых протоколов, отвечающих за работу сетевых служб, например DHCP. При отказе от введения пароля драйвер ViPNet будет загружен в пятом режиме безопасности (т.е. в нерабочем состоянии).
Рис. 56. Окно авторизации пользователя
Если программа ViPNet запускается в первый раз, то пользователю необходимо выполнить процедуру первичной инициализации справочно-ключевой информации.
В программе имеется возможность провести идентификация пользователя ViPNet тремя способами (Рис.57) – посредством ввода пароля пользователя с клавиатуры, посредством ввода пароля пользователя с какого-либо внешнего устройства хранения данных, путем авторизации при помощи пароля и устройства одновременно.
Рис. 57. Режимы авторизации
После ввода пароля и полной загрузки ViPNet «Координатор» «Монитор» на каждом сетевом интерфейсе устанавливается режим, назначенный пользователем, либо, если
79
программа запускается впервые, запустится мастер настройки сетевых интерфейсов (процедура настройки описана ниже).
После успешной настройки сетевых интерфейсов откроется окно ViPNet «Координатор» «Монитор» (Рис.58) и появится значок в области уведомлений на панели задач. В дальнейшем, в процессе работы, при передаче информации по сетевому адаптеру, по красным квадратам значка будет «бегать» белый квадратик. Для обеспечения обмена почтовой и управляющей информацией между объектами сети будет загружен модуль ViPNet MFTP (в области уведомлений на панели задач появится значок «грузовичок»).
Рис. 58. Окно ViPNet «Координатор» «Монитор»
Первичная инициализация (при первом запуске программы ViPNet).
При первом запуске программы ViPNet в окне ввода пароля (Рис.57) следует нажать стрелку слева от кнопки «Настройка» и, в появившемся меню, выбрать опцию «Первичная инициализация». Появится окно мастера инициализации справочно-ключевой информации пользователя (Рис.59).
80