Объединённые вопросы и ответы по администрированию ViPNet

Клиент и сервер ЦУС, клиент УКЦ, База данных SQL-сервера

Управление структурой сети ViPNet создание и удаление сетевых узлов; создание и удаление пользователей; определение связей между сетевыми узлами и пользователями; Настройка свойств объектов сети ViPNet Настройка свойств объектов сети ViPNet добавление ролей на сетевые узлы; настройка параметров доступа к сетевым узлам (IP-адреса, DNS-имена и т.д.); настройка способа подключения к внешней сети; задание полномочий пользователей; настройка туннелируемых ресурсов; Организация межсетевого взаимодействия организация защищенного соединения с другими сетями ViPNet; управление связями между узлами доверенных сетей; обмен межсетевой информацией; Отправка обновлений на сетевые узлы ViPNet удаленное обновление на сетевых узлах ключей; удаленное обновление на сетевых узлах справочников; удаленное обновление на сетевых узлах программного обеспечения ViPNet; Административные функции создание и удаление учетных записей администраторов ViPNet ЦУС; просмотр журналов аудита системных событий ViPNet ЦУС; просмотр журналов обмена транспортными конвертами между ЦУС и узлами ViPNet; резервное копирование и восстановление данных; обновление лицензии на сеть ViPNet.

Задачи ключевого центра формирование мастер-ключей своей сети; формирование межсетевых мастер-ключей, необходимых для установления взаимодействия с доверенными сетями; создание ключей для объектов сети ViPNet; обновление ключевой информации сети ViPNet; формирование паролей; генерация ключей подписи Уполномоченных лиц Удостоверяющего центра; генерация ключей подписи пользователей. Задачи удостоверяющего центра издание сертификатов открытого ключа подписи; управление жизненным циклом сертификатов; формирование корневых сертификатов администраторов, списков отозванных сертификатов, запросов на проведение кросс-сертификации; импорт корневых сертификатов и СОС из доверенных сетей ViPNet и других удостоверяющих центров; разбор конфликтных ситуаций и экспертиза правомочности и подлинности электронных документов; сервисные функции (оповещение, автоматическое формирование архивов).

выполняет функции персонального и межсетевого экрана; создает туннели для организации защищенных соединений с открытыми узлами; осуществляет трансляцию адресов (NAT) для проходящего через координатор открытого трафика; позволяет разделить доступ защищенных узлов в Интернет и к ресурсам локальной сети; позволяет исключить любые атаки в реальном времени на компьютеры локальной сети.

фильтрацию всего IP-трафика; шифрование соединений между защищенными узлами. Для шифрования трафика используются симметричные ключи, которые создаются и распределяются централизованно.

Предназначен для регистрации и обслуживания внешних и внутренних пользователей ViPNet и хранения их регистрационных данных; является посредником между внешними пользователями и удостоверяющим центром.

публикации сертификатов пользователей УЦ в общедоступных хранилищах данных; публикации сертификата издателя и списков аннулированных сертификатов в общедоступных хранилищах данных; импорт и публикация CRL внешних (сторонних) УЦ.

Объединение сетевых узлов в группы («подразделения») сетевые узлы, к которым должна применяться одинаковая политика безопасности можно объединять в группы; политики безопасности назначаются не отдельным узлам, а всему подразделению, что упрощает управление политиками безопасности; Назначение шаблонов политики безопасности шаблон политики безопасности можно назначить отдельным узлам или подразделениям; шаблон, назначенный подразделению, распространяется на все узлы, входящие в состав этого подразделения; от порядка следования шаблонов зависит приоритет применения на узле параметров безопасности, заданных в шаблонах Управление шаблонами политики безопасности шаблон политики безопасности можно создать, настроить (изменить) или удалить; Рассылка результирующей политики на сетевые узлы формируется автоматически при отправке политики безопасности на узел; позволяет учесть приоритет шаблонов и исключить повторы одного и того же шаблона; политики безопасности можно рассылать на отдельные узлы или на группы узлов; Контроль за отправкой и применением политик безопасности все события, связанные с применением политик безопасности, записываются в журнал; Управление учетными записями пользователей учетная запись содержит имя, пароль, персональные данные и роли пользователя; учетную запись можно создать, изменить или удалить; Управление ролями пользователей роли используются для разграничения полномочий пользователей; в ViPNet Policy Manager можно использовать предустановленные роли или создавать свои; Аудит действий пользователей действия пользователей в ViPNet Policy Manager регистрируются в журнале событий.

Предназначен для централизованного мониторинга защищенных сетей и анализа событий, произошедших на узлах сети.

УКЦ

серверное приложение ЦУС; база-данных; клиентское приложение ЦУС.

На одном компьютере Администратора; На разных компьютерах, со связностью с БД.

Программа Контроль приложений предназначена для защиты пользователя от несанкционированных попыток приложений, работающих на его компьютере, выполнить определенные действия в сети. Программа отслеживает все попытки приложений установить соединение, отправить пакет или подключиться к порту в ожидании соединения (слушать порт). Программа информирует пользователя о таких попытках и позволяет заблокировать или разрешить их. Пользователь может определить так называемую политику безопасности, следуя которой приложения будут либо запрещены к выполнению, либо разрешены.

Это права, которые дают пользователю возможность изменять настройки ПО ViPNet, установленного на сетевом узле; Задаются администратором ViPNet в клиентском приложении ЦУС в свойствах ролей.

В ЦУСе полномочия пользователя задаются для абонентских пунктов и серверов-маршрутизаторов, зарегистрированных в различных прикладных задачах. VPN Client для мобильных устройств; VPN-клиент; CryptoService; Деловая почта.

Для удобства любому сетевому узлу в разделе Защищенная сеть можно задать произвольный псевдоним. Этот псевдоним будет отображаться вместо имени сетевого узла в разделе Защищенная сеть. Чтобы найти сетевой узел в списке, в строку поиска можно ввести как псевдоним, так и имя сетевого узла.

При установке серверного приложения ЦУСа создаются: база данных с именем ViPNetAdministrator, в которой хранится информация о структуре и настройках сети ViPNet; база данных с именем ViPNetJournals, в которой хранятся журналы аудита программы ViPNet ЦУС; учетная запись пользователя CaUser, под которыми осуществляется подключение УКЦ к базе данных; учетная запись пользователя NccUser, под которыми осуществляется подключение ЦУС к базе данных; учетная запись пользователя с правами администратора базы данных.

C:\ProgramData\Infotecs\ViPNet Administrator\KC

Вручную; С помощью мастера.

Резервная копия конфигурации сети.

C:\ProgramData\InfoTeCS\ViPNet Administrator\KC\Restore

Копия архива, содержащий список всех резервных копий, которые создавались при эксплуатации сети.

Да, могут.

Перед началом миграции ПО ViPNet Administrator с одного компьютера на другой при любом сценарии из рассмотренных в этом документе подготовьте следующие данные: Резервную копию конфигурации сети (файл *.rp), в состав которой входит: Резервная копия базы данных ViPNet Administrator; Копия лицензионного файла (infotecs.reg или *.itcslic); Копия папки C:\ProgramData\Infotecs\ViPNet Administrator\KC; Копию архива, содержащего список всех резервных копий, которые создавались при эксплуатации сети (файл rpts_50.stg); Файл архива находится в папке: C:\ProgramData\InfoTeCS\ViPNet Administrator\KC\Restore Копию лицензионного файла (infotecs.reg или*.itcslic). Копию папки с контейнерами ключей администратора УКЦ: C:\Users\<имя учетной записи локального администратора Windows, от лица которого была произведена установка УКЦ>\AppData\Roaming\Infotecs\ViPNetAdministrator Список учетных записей администраторов ЦУСа и УКЦ, с помощью которых осуществляется аутентификация в указанных программах, и пароли к каждой из них; Справочники и ключи, которые позволят восстановить работоспособность ПО ViPNet Client.

C:\Users\<имя учетной записи локального администратора Windows, от лица которого была произведена установка УКЦ>\AppData\Roaming\Infotecs\ViPNetAdministrator C:\ProgramFiles(x86)\InfoTeCS\ViPNetAdministrator

Установка ViPNet Policy Manager на отдельном компьютере без сервера ЦУСа поддерживается в сетях под управлением ViPNet Administrator версии 4.6.5 и выше.

ЦУС, функция создания отчетов о структуре сети.

Для развертывания, настройки и администрирования защищённой сети ViPNet корпоративного масштаба.

Центр управления сетью. Используется для конфигурирования, управления структурой защищённой сети, узлами, пользователями, связями и параметрами взаимодействия.

Удостоверяющий и ключевой центр. Используется для формирования ключей шифрования, персональных ключей пользователей и выполнения функций удостоверяющего центра.

Сетевой узел ViPNet, который выполняет функции координатора защищённого взаимодействия, маршрутизации служебной информации и организации защищённых соединений между сегментами.

Клиентский узел ViPNet, предназначенный для защищённого подключения пользователя или рабочей станции к ViPNet-сети.

Client является конечной точкой защищённого взаимодействия, а Coordinator обеспечивает маршрутизацию, взаимодействие сегментов и работу в роли шлюза/координатора.

Набор ключевой информации и настроек, необходимый для ввода пользователя или узла в защищённую сеть ViPNet.

Объект защищённой сети, которому назначаются роли, связи, параметры доступа и ключевая информация.

Учетная сущность, связанная с ключами, полномочиями и доступом к определённым узлам или сервисам защищённой сети.

Логические разрешения на защищённое взаимодействие между узлами, пользователями или сегментами сети.

Ресурсы внешней или локальной сети, доступ к которым организуется через ViPNet Coordinator с защитой трафика.

На официальной странице продукта указана поддержка Windows.

В официальном FAQ ИнфоТеКС указано, что компьютер для серверного приложения ЦУС и СУБД не должен быть контроллером домена.

Проверить соответствие ОС системным требованиям, параметры SQL Server, отсутствие роли контроллера домена, наличие требуемых компонентов вроде .NET Framework и Visual C++ Redistributable.

Проверить запуск служб NccService и NccFilewatcherService, корректность IP/DNS сервера ЦУС, доступность TCP-портов 9000–9700 и синхронизацию даты/времени.

В официальном FAQ указаны TCP 9000, 9100, 9200, 9300, 9400, 9500, 9600 и 9700.

По FAQ ИнфоТеКС — перезапустить службу NccService.

Возможна блокировка таблиц SQL сторонними приложениями или репликацией. ИнфоТеКС указывает, что таблицы БД ViPNet Administrator не рекомендуется модифицировать и они не поддерживают репликацию.

Официальный FAQ рекомендует использовать путь установки по умолчанию и не устанавливать компоненты на сетевой диск или внешний USB-накопитель.

Сохранённое состояние конфигурации сети, которое используется для восстановления или миграции ViPNet Administrator.

Создать резервную копию ViPNet Administrator, особенно перед изменением ключевой информации, мастер-ключей или миграцией.

Ключевая основа сети, от которой зависит выпуск и обслуживание ключевой информации пользователей и узлов.

Это может привести к рассинхронизации ключевой информации и нарушению взаимодействия узлов. Перед такими операциями нужна резервная копия и понятный план отката.

Защищённое взаимодействие собственной ViPNet-сети с другими доверенными ViPNet-сетями через обмен межсетевой информацией и настройку связей.

Другая ViPNet-сеть, с узлами которой разрешено защищённое взаимодействие.

Логическая защищённая сеть поверх физической инфраструктуры, где трафик защищается криптографическими механизмами и политиками доступа.

Для упрощения администрирования, назначения связей, политик и параметров сразу нескольким узлам.

Создавать и изменять структуру защищённой сети, настраивать взаимодействие узлов, формировать ключевую информацию, работать с Coordinator, Client, Policy Manager, выполнять резервное копирование и базовую диагностику. Описание курса прямо указывает на создание и модификацию защищённых сетей, межсетевое взаимодействие, формирование ключевой информации и работу с объектами ViPNet-сети.