ViPNet Office Firewall
Программный межсетевой экран, предназначенный для контроля и управления трафиком и преобразования трафика (NAT) между сегментами локальных сетей при их взаимодействии, а также при взаимодействии узлов локальных сетей с ресурсами сетей общего пользования.
Сценарии использования:
Управление доступом к интернет-ресурсам из локальной сети.
Помимо защиты компьютеров локальной сети от НСД по сетевому соединению, ViPNet Office Firewall позволяет запретить работу с Интернетом для определенных компьютеров локальной сети, пользователям которых такой доступ для служебных нужд не требуется, или разрешить отдельным компьютерам работать в сети только с определенными сервисами, например, почтовыми серверами. В этом случае достаточно задать фильтры для IP-адресов компьютеров или диапазонов адресов и указать, что трафик с данных адресов должен быть заблокирован или разрешен.
Защита нескольких локальных сетей и ДМЗ.
ViPNet Office Firewall обеспечивает работу с несколькими сетевыми интерфейсами, позволяя объединять сегменты подсетей и для каждого сетевого адаптера можно задать свой режим работы и свои фильтры. Также имеется возможность организации так называемой «демилитаризованной зоны» (ДМЗ), в которой можно разместить серверы, открытые для доступа из Интернета. При этом исходящий трафик из ДМЗ в локальные сети, подключенные к другим внутренним адаптерам, можно полностью заблокировать.
Продуктовые линейки ViPNet
ViPNet CUSTOM
Самая обширная продуктовая линейка корпоративного уровня — конструктор защищенных сетей, предлагающий решение всего спектра задач по организации VPN и PKI. Продукты, входящие в состав ViPNet CUSTOM, на регулярной основе проходят сертификацию по требованиям ФСБ и ФСТЭК России к средствам защиты информации ограниченного доступа (конфиденциальной информации), включая персональные данные. Это позволяет использовать данные продукты как в коммерческих, так и в государственных компаниях и организациях. Продукты ViPNet CUSTOM рассчитаны на применение в самых разнообразных условиях современных мультисервисных сетей связи — от локальных сетей с несколькими десятками компьютеров до глобальных, географически распределенных сетей передачи данных с десятками тысяч сетевых узлов с применением Интернета в качестве транспортной среды. Все продукты ViPNet CUSTOM предназначены для работы в составе единого комплекса средств защиты информации ViPNet. Автономное применение данных продуктов не предусматривается[2].
ViPNet BOX
Линейка продуктов ViPNet BOX включает в себя «коробочные» продукты, сертифицируемые в ФСБ и ФСТЭК России по требованиям к средствам защиты информации ограниченного доступа. Под «коробочностью» понимается возможность автономной работы данных продуктов без необходимости организации защищенной сети с единым центром управления. Продукты из линейки ViPNet BOX рекомендуются для применения в государственных информационных системах или коммерческих организациях, где стоят задачи по защите выделенных компьютеров, без необходимости защиты сети в целом. Исключением в этой линейке является только программный комплекс ViPNet OFFICE, который представляет собой упрощенную с точки зрения развертывания и управления версию ViPNet CUSTOM.
VipNet BOX Lite
В линейке VipNET BOX Lite собраны все несертифицируемые «коробочные» продукты. Эти продукты не уступают в функциональности своим аналогам из линейки ViPNet BOX, но гораздо более доступны по цене конечному потребителю. Продукты ViPNet BOX Lite предназначены для индивидуального применения на мобильных и персональных компьютерах. Их можно приобрести в интернет-магазине «Софткей». Некоторые продукты в этой линейке являются полностью бесплатными.
Средства защиты информации ViPNet в силу своего комплексного характера могут применяться во множестве разнообразных сценариев решения задач информационной безопасности.
Установка ViPNet Office Firewall
Перед установкой программы ViPNet Office Firewall необходимо убедитесь, что на компьютере выполнены стандартные сетевые настройки, а также правильно заданы часовой пояс, дата и время. Для установки необходимы права администратора. Перед установкой ViPNet Office Firewall убедитесь, что на компьютере не установлены никакие другие сетевые экраны. Если такие программы установлены, перед установкой ViPNet Office Firewall их требуется удалить и перезагрузить компьютер. Использование ViPNet Office Firewall одновременно с другими сетевыми экранами может привести к конфликту программ и вызвать проблемы с доступом в сеть.
Чтобы установить программу ViPNet Office Firewall, выполните следующие действия:
1) Запустите установочный файл, входящий в комплект поставки.Дождитесь завершения подготовки к установке ViPNet Office Firewall.
2. Ознакомьтесь с условиями лицензионного соглашения. В случае согласия установите соответствующий флажок. Затем нажмите кнопку «Продолжить».
3. Если вы хотите настроить параметры установки, нажмите кнопку Настроить и укажите:
• компоненты ViPNet Office Firewall, которые необходимо установить;
• путь к папке установки компонентов ViPNet Office Firewall на компьютере;
• имя пользователя и название организации;
• название папки для программы ViPNet Office Firewall в меню Пуск.
4. Чтобы начать установку ViPNet Office Firewall, нажмите кнопку Установить сейчас.
5. Если после завершения установки возникает сообщение о необходимости перезагрузить компьютер, выполните перезагрузку.
Запуск программы
Запуск программы ViPNet Office Firewall может осуществляться пользователем самостоятельно или автоматически при загрузке операционной системы Windows (по умолчанию установлен автоматический запуск программы).
Если программа не зарегистрирована, откроется окно с предложением зарегистрировать ViPNet Office Firewall. Вы можете перейти к регистрации программы либо запустить незарегистрированную версию.
3. Откроется окно авторизации пользователя. Введите пароль пользователя и нажмите кнопку OK.
При первом запуске программы ViPNet Office Firewall в окне авторизации пользователя будет автоматически введен пароль по умолчанию. После входа в программу вы можете сменить пароль.
После выполнения входа в программу будут запущены компоненты ViPNet Монитор и ViPNet Контроль приложений и откроется главное окно ViPNet Office Firewall (ViPNet Монитор).
Слева представлена панель навигации. Справа находится панель просмотра разделов. Внизу строка состояния, содержащая следующие сведения: IP-адреса узла и текущая конфигурация программы.
Панель навигации содержит перечень разделов, предназначенных для настройки различных параметров ViPNet Office Firewall:
• сетевые фильтры — содержит подразделы с фильтрами IP-трафика:
• транзитные фильтры — предназначен для настройки фильтров транзитного трафика;
• локальные фильтры — предназначен для настройки фильтров локального трафика;
• трансляция адресов — предназначен для задания правил трансляции IP-адресов узлов.
• группы объектов — содержит списки объектов, которые могут быть использованы при создании сетевых фильтров: группы IP-адресов, группы протоколов и так далее;
• сетевые интерфейсы – содержит сетевые интерфейсы, установленные на компьютере;
• статистика и журналы;
• конфигурации — предназначен для управления конфигурациями программы ViPNet Office Firewall;
• администратор — отображается только после входа в программу в режиме администратора и служит для настройки дополнительных параметров программы.
Панель просмотра разделов предназначена для отображения раздела, выбранного на панели навигации.
ПО ViPNet Personal Firewall 4 (сертификат ФСБ)
Категория: Сетевые экраны Исполнение: Программный комплекс Тип операционной системы: Windows (desktop & server)
государственным структурам и организациям, сертифицирована ФСБ России как средство защиты от НСД
ViPNet Personal Firewall — надежное средство защиты компьютера и персональных данных от сетевых атак и кражи личной информации при подключении к Интернету и локальной сети. Personal Firewall сертифицирован ФСБ России как средство защиты от НСД и может использоваться в государственных структурах и организациях, обеспечивая как высокий уровень защищенности компьютера и данных, так и гибкость управления и удобство использования.
Защищенность:
- Режим безопасности «Бумеранг» для разрешения доступа в сеть только по инициативе пользователя.
- Защита от программ-шпионов и троянов.
- Система обнаружения вторжений и блокирования атак (IDS).
- Определение источников сетевых атак.
Гибкость управления:
- Разрешение или запрет создания сетевых соединений для отдельных программ.
- Предустановленные режимы безопасности, которые гарантируют высокий уровень защиты сразу после установки программы.
- Гибкое управление правилами фильтрации облегчает разрешение или запрет соединений по указанным протоколам и портам.
Удобство использования:
- Поддержка различных способов подключения к сети — домашние сети, Стрим (ЗАО «МТУ-Интел»), обычное модемное подключение, беспроводные технологии связи (GPRS, Wi-Fi).
- Система онлайн-обновления ПО, которая информирует о выходе новых версий и обеспечивает загрузку обновлений, необходимых для установки новых версий и содержащих как новые функции, так и исправления ошибок.
- Веб-фильтрация, блокирующая всплывающие окна, различные рекламные баннеры, интерактивные элементы (приложения Java и ActiveX, Flash-анимация, сценарии JavaScript и VB Script) и персонализирующие пользователя элементы (Referrer и Cookie).
- Информативный журнал IP-пакетов для изучения и устранения сетевых сбоев.
Основные преимущества программы:
- Готовность к работе сразу после установки без дополнительных настроек обеспечивается наличием встроенных правил и фильтров для DHCP, сети Microsoft, режима инициативных соединений.
- Возможность раздельно осуществлять фильтрацию сетевого трафика и контроль сетевой активности программ способствует уменьшению нагрузки на компьютер и упрощению процесса настройки.
- Усиленная защита входа в операционную систему и быстрая блокировка компьютера и IP-трафика.
- Режим обязательной авторизации при запуске операционной системы не позволит войти в систему без ввода пароля программы.
- Журнал IP-пакетов, регистрирующий детальную информацию о сетевой активности компьютера.
- Интеграция с Центром безопасности (компонент Microsoft Windows XP SP2) позволяет получать объективную информацию о состоянии защиты компьютера.
- Возможность быстрой блокировки сетевого трафика и «рабочего стола».
- Работа сетевых фильтров по заранее заданному расписанию, позволяющая гибко управлять и ограничивать расходы на оплату каналов связи.
- Поддержка протокола FTP для обеспечения возможности работы FTP-клиентов в активном режиме, а также фильтрация команд FTP-протокола для защиты от использования некорректных значений IP-адресов клиента и сервера.
- Поддержка протокола SIP для автоматического открытия портов, которые необходимы для работы SIP-клиентов, обеспечивающих работу VoIP-телефонии.
- В программе использованы технологии ViPNet, прошедшие государственную сертификацию (в составе других продуктов компании).
Системные требования:
- процессор Pentium III 500 МГц и выше;
- не менее 512 МБ оперативной памяти;
- 100 МБ свободного места на жестком диске;
- операционная система Microsoft Windows 2000/XP (вся линейка) /Vista (вся линейка) 32-bit;
- Internet Explorer версии 6.0 и выше.
Техническое сопровождение
В состав продукта входит бесплатное годовое техническое сопровождение, включающее: Обновление программы при выходе новых версий. Консультации по использованию программы через электронную почту ([email protected]). После окончания бесплатной поддержки возможно ее платное продление.
Экранные снимки
Блокированные IP-пакеты
Журнал регистрации IP-пакетов
Настройка блокировки баннеров
Сертификат соответствия ФСБ России №СФ/115-1783 от 20.12.2011Срок действия: 20.12.2014
На изделие ViPNet Personal Firewall по требованиям ФСБ к устройствам типа межсетевые экрана 4 класса защищенности.
Настройка межсетевого экрана ViPNet Office Firewall
В программе ViPNet Office Firewall фильтрации подвергается весь трафик, который проходит через сетевой узел.
Трафик может быть локальным или широковещательным. Под локальным трафиком понимается входящий или исходящий трафик конкретного узла (то есть когда сетевой узел является отправителем или получателем IP-пакетов). Под широковещательным трафиком имеется в виду передача узлом IP-пакетов, у которых IP-адрес или MAC-адрес назначения является широковещательным адресом (то есть передача пакетов всем узлам определенного сегмента сети).
Кроме этого, через межсетевой экран может проходить транзитный трафик. Межсетевой экран не является ни отправителем, ни получателем транзитных IP-пакетов, которые следует через него на другие узлы.
Наибольшую опасность может представлять трафик из Интернета, где при умелом действии атакующего источник атаки очень сложно обнаружить. Для того чтобы правильно настроить сетевые фильтры, необходимо понимать основные принципы фильтрации трафика.
Все входящие и исходящие IP-пакеты проходят комплексную проверку в соответствии с сетевыми фильтрами. Если IP-пакет имеет адрес, разрешенный правилом антиспуфинга, пакет пропускается. В противном сручае – блокируется. Проверка в соответствии с сетевыми фильтрамию Если ip-пакет соответствует параметрам одного из имеющихся сетевых фильтров, то он пропускается или блокируется в соответствии с этим фильтром. Если пакет не соответствует ни одному из заданных фильтров, то он блокируется.
Такой принцип фильтрации обеспечивает высокий уровень безопасности, разрешая соединения только с нужными узлами по заданным протоколам и портам. IP-пакет последовательно проходит ряд фильтров в соответствии с их приоритетом, пока не будет пропущен или заблокирован одним из них. Как только пакет пропускается или блокируется, все последующие фильтры уже не действуют. Если пакет не был обработан ни одним фильтром, то он блокируется.
Общие сведения о сетевых фильтрах
Все сетевые фильтры (см. «Сетевой фильтр» на стр. 131) делятся на следующие категории:
• Предустановленные фильтры и фильтры, заданные пользователем — доступны для редактирования пользователем;
• Фильтры по умолчанию — недоступны для редактирования.
Предустановленные фильтры и фильтры по умолчанию создаются программой ViPNet Office Firewall автоматически во время установки.Предустановленные фильтры и фильтры, заданные пользователем в программе ViPNet Office Firewall, имеют более высокий приоритет, чем фильтры по умолчанию. Их всегда можно изменить или удалить. Фильтры по умолчанию представлены одним сетевым фильтром, блокирующим IP-трафик, который не соответствует ни одному из сетевых фильтров из первой категории.
Список сетевых фильтров представлен на панели просмотра в окне программы ViPNet Office Firewall в разделе Сетевые фильтры.
Сетевые фильтры имеют следующие особенности:
• Фильтры включают в себя следующие параметры:
— Действие, применяемое к IP-пакетам. Фильтры могут пропускать или блокировать IP-пакеты, соответствующие заданным параметрам;
— Источник и назначение IP-пакетов, на которые распространяется действие фильтра;
— Протоколы фильтрации IP-пакетов;
— Расписание действия.
Для задания параметров фильтра могут использоваться группы объектов.
• Чтобы изменить действие фильтра, двойным щелчком откройте свойства фильтра и в разделе Основные параметры выберите требуемое значение. Чтобы включить или отключить фильтр, установите или снимите флажок рядом с именем фильтра.
• IP-пакеты проверяются в соответствии с расположением фильтров в списке, по порядку сверху вниз. Когда пакет блокируется или пропускается первым подходящим фильтром, последующие фильтры уже не оказывают никакого влияния на данный пакет.
• В программе ViPNet Office Firewall фильтры различных категорий в списках фильтров отображаются в соответствующих группах и располагаются в порядке их приоритета согласно схеме выше. Порядок фильтров по умолчанию изменить нельзя. Порядок предустановленных фильтров и фильтров, заданных в ViPNet Office Firewall, вы можете изменять.
• Фильтры, заданные пользователем, влияют как на новые, так и на уже существующие соединения. Таким образом, если фильтр, блокирующий трафик соединения, добавлен после установления соединения, то оно будет разорвано.
Проверка запрета
По умолчанию ViPnet настроен на то, чтобы запрещать все, кроме разрешенного. Команда ping проводится с помощью протокола icmp.
1) Открываем Пуск на wkstnn, нажимаем выполнить и пишем cmd.
2) Открывается командная строка. Вводим туда команду ping 192.168.0.1.
3) Таким образом ping показал, что узел недоступен.
4) Просканируем порты с помощью программы Nmap.
5) Результатом сканирования становится вывод о том, что nmap не может определить порты.
Создание сетевых фильтров (для пропуска ICMP пакетов)
В программе ViPNet Office Firewall предусмотрена возможность создания сетевых фильтров.
Для создания сетевого фильтра выполните следующие действия:
1) В окне программы ViPNet Office Firewall на панели навигации выберите раздел того типа фильтров, который вы хотите создать.
2) На панели просмотра нажмите кнопку Создать. Откроется окно свойств сетевого фильтра, в котором вы можете задать параметры нового фильтра.
3) В разделе Основные параметры выполните следующие действия:
• Введите имя фильтра в соответствующем поле (имя – фильтр2);
• Укажите действие нового фильтра, установив переключатель в положение пропускать.
4) В разделе Источники задайте отправителя IP-пакетов, на которые будет
распространяться действие фильтра Для этого добавьте:
• IP-адрес (192.168.0.2) или DNS-имя отправителя либо диапазон адресов, если их несколько;
• Группы IP-адресов отправителей, если такие созданы;
• Системную группу объектов Мой узел. В этом случае фильтр будет действовать для исходящих открытых соединений вашего узла.
• Системную группу объектов Другие узлы. В этом случае фильтр будет
действовать для входящих открытых соединений вашего узла.
Если вы не укажете отправителя, то действие фильтра будет распространяться на IP-пакеты, отправленные любыми узлами, и вашим узлом в том числе.
5) В разделе Назначения задайте получателя IP-пакетов, на которые будет распространяться действие фильтра. Для этого добавьте системную группу объектов Мой узел. В этом случае фильтр будет действовать для входящих открытых соединений вашего узла;
Если вы не укажете получателя, то действие фильтра будет распространяться на IP-пакеты, отправленные на любой узел.
6) В разделе Протоколы укажите протокол для фильтрации ICMP. Фильтром в данном случае будут обрабатываться только ICMP-пакеты, переданные с помощью указанного протокола. Нажимаем применить.
Проверка ICMP пакетов
1) Открываем командную строку на wkstnn и вводим команду ping 192.168.0.1.
2)Мы ввидим беспрепятственной прохождение ICMP пакетов.
Создание сетевых фильтров (для сканирования портов)
Для создания сетевого фильтра выполните следующие действия:
1) В окне программы ViPNet Office Firewall на панели навигации выберите раздел того типа фильтров, который вы хотите создать.
2) На панели просмотра нажмите кнопку Создать. Откроется окно свойств сетевого фильтра, в котором вы можете задать параметры нового фильтра.
3) В разделе Основные параметры выполните следующие действия:
• Введите имя фильтра в соответствующем поле (имя – фильтр3);
• Укажите действие нового фильтра, установив переключатель в положение пропускать.
4) В разделе Источники задайте отправителя IP-пакетов, на которые будет
распространяться действие фильтра Для этого добавьте:
• IP-адрес (192.168.0.2) или DNS-имя отправителя либо диапазон адресов, если их несколько;
• Группы IP-адресов отправителей, если такие созданы;
• Системную группу объектов Мой узел. В этом случае фильтр будет действовать для исходящих открытых соединений вашего узла.
• Системную группу объектов Другие узлы. В этом случае фильтр будет
действовать для входящих открытых соединений вашего узла.
Если вы не укажете отправителя, то действие фильтра будет распространяться на IP-пакеты, отправленные любыми узлами, и вашим узлом в том числе.
5) В разделе Назначения задайте получателя IP-пакетов, на которые будет распространяться действие фильтра. Для этого добавьте системную группу объектов Мой узел. В этом случае фильтр будет действовать для входящих открытых соединений вашего узла;
Если вы не укажете получателя, то действие фильтра будет распространяться на IP-пакеты, отправленные на любой узел.
6) В разделе Протоколы укажите протокол для фильтрации TCP. Фильтром в данном случае будут обрабатываться только TCP-пакеты, переданные с помощью указанного протокола. Нажимаем применить.
ViPNet в деталях: разбираемся с особенностями криптошлюза
Жизнь сетевого инженера была счастливой и беззаботной, пока в ней не появился сертифицированный криптошлюз. Согласитесь, разбираться с решениями, предназначенными для шифрования каналов передачи данных по ГОСТу, задача не из легких. Хорошо, если это известные и понятные продукты. Вспомним ту же «С-Терра» (об их «С-Терра Шлюз» мы уже писали). Но что делать с более экзотичными решениями на базе собственных протоколов шифрования, например, «Континент» (от «Кода Безопасности») или ViPNet Coordinator HW (от «Инфотекса»)? В этой статье я постараюсь облегчить погружение в мир ViPNet (про «Континент» тоже когда-нибудь поговорим) и рассказать, с какими проблемами столкнулся сам и как их решал. Сразу оговорюсь, что мы поговорим о сертифицированной на сегодня ФСБ и ФСТЭК версии 4.2.1. В актуальных версиях 4.3.х появилось много интересного, например, DGD (Dead Gateway Detection) и измененный механизм кластеризации, обеспечивающий практически бесшовное переключение, но пока это будущее. Я не буду глубоко погружаться в недра конфигурационных команд и файлов, акцентировав внимание на ключевых командах и переменных, а подробное описание по этим «ключам» можно будет найти в документации.
Для начала разберемся, как это все работает. Итак, координатор ViPNet выполняет несколько функций. Во-первых, это криптошлюз (КШ), который позволяет реализовать как Site-to-site, так и RA VPN. Во-вторых, он является сервером-маршрутизатором конвертов, содержащих зашифрованные служебные данные (справочники и ключи) или данные клиентских приложений (файловый обмен, деловая почта). Кстати, именно в справочниках хранятся файлы, содержащие информацию об объектах сети ViPNet, в том числе об их именах, идентификаторах, адресах, связях. Координатор также является источником служебной информации для своих клиентов.
Помимо этого, он может туннелировать трафик от компьютеров сети, где не установлено ПО ViPNet. Кстати, специалисты, работающие с этим решением, часто называют открытые хосты не «туннелируемыми узлами», а просто «туннелями». Это может сбить с толку инженеров, которые привыкли к другим VPN-решениям, где под туннелем подразумевают PtP-соединение между КШ.
В качестве протокола шифрования в ViPNet используется IPlir, также разработанный «Инфотексом». Для инкапсуляции трафика применяются транспортные протоколы IP/241 (если трафик не покидает широковещательный домен), UDP/55777 и TCP/80 (при недоступности UDP).
В концепции построения защищенных соединений лежат так называемые «связи», которые бывают двух типов. Первые (на уровне узлов) нужны для построения защищенного соединения между узлами, вторые (на уровне пользователей) необходимы для работы клиентских приложений. Но есть исключение: узлы администратора сети ViPNet требуют обоих типов связи.
Что же может в этой схеме пойти не так? Как показывает практика, особенностей работы действительно много, и далеко не все проблемы можно решить интуитивно, без «помощи зала», а что-то нужно просто принять как данность.
Координатор недоступен
«У нас недоступен координатор/клиент/туннель. Что делать?» – самый частый вопрос, с которым приходят новички при настройке ViPNet. Единственно верное действие в такой ситуации – включать регистрацию всего трафика на координаторах и смотреть в журнал IP-пакетов, который является важнейшим инструментом траблшутинга всевозможных сетевых проблем. Этот способ спасает в 80% случаев. Работа с журналом IP-пакетов также помогает лучше усвоить механизмы работы узлов ViPNet-сети.
Конверт не доставлен
Но журнал IP-пакетов, увы, бесполезен, когда речь заходит о конвертах. Они доставляются с помощью транспортного модуля (mftp), у которого есть свой журнал и своя очередь. Конверты по умолчанию передаются на «свой» координатор клиента (то есть тот, на котором зарегистрирован узел), и далее по межсерверным каналам, которые настроены между координаторами (то есть не напрямую по защищенному каналу). Значит, если вы захотите отправить письмо по деловой почте, то клиент упакует его в конверт и отправит сначала на свой координатор. Далее на пути могут быть еще несколько координаторов, и только после этого конверт попадет на узел адресата.
Из этого следуют два вывода. Во-первых, между клиентами не обязательно должна проверяться связь (по нажатию на F5 и соответствующей иконки в меню) для доставки конвертов. Во-вторых, если связь межу ними все-таки проверяется, это не гарантирует доставку, так как проблема может быть в одном из межсерверных каналов.
Диагностировать прохождение конвертов межсерверным каналам или между клиентом и координатором в неочевидных случаях можно с помощью журнала и очереди конвертов, а также логов на координаторе. Также транспортный модуль ViPNet-клиента можно настроить на прямую доставку конвертов, доставку через общую папку или SMTP/POP3 (но это совсем экзотичный вариант). Погружаться в эти настройки мы не будем.
Последствия перепрошивки
Проблемной может оказаться перепрошивка на актуальную версию старых железок, которые долго лежали, например, в качестве ЗИП. В процессе может появиться ошибка «unsupported hardware», которая сообщает либо о том, что у вас действительно неподдерживаемая аппаратная платформа устаревшей линейки G1 (это HW100 E1/E2 и HW1000 Q1), либо о проблемах в настройке BIOS или в некорректной информации, зашитой в DMI. Править ли самостоятельно DMI, каждый решает для себя сам, поскольку есть риск превратить оборудование в бесполезный «кирпич». С BIOS чуть проще: неверные настройки системы заключаются в выключенной функции HT (Hyper Threading) или выключенном режиме ACHI (Advanced Host Controller Interface) для HDD. Чтобы не гадать, в чем конкретно проблема, можно обратиться к флешке, с которой производится прошивка. На ней создаются файлы с диагностической информацией, в частности, в файле verbose.txt перечислены все поддерживаемые платформы с результатом сверки с вашей. Например, ошибка cpu::Vendor(#3)==’GenuineIntel’ 24 times => [Failed], скорее всего, сообщает о выключенном HT. Кстати, перепрошивку часто путают с обновлением, но это разные процессы. При обновлении сохраняются все настройки, а параметры, о которых было написано выше, не проверяются. А при перепрошивке вы возвращаетесь к заводским параметрам.
Неинформативные конфиги
Основным конфигурационным файлом HW является «iplir.conf», однако он не всегда отражает текущие параметры. Дело в том, что в момент загрузки драйвера IPlir происходит интерпретация этого конфига в соответствии с заложенной логикой, и не вся информация может быть загружена в драйвер (например, при наличии конфликтов IP-адресов). Инженеры, работавшие с программным координатором для Linux, наверняка знают о существовании команды «iplirdiag», которая отображает текущие настройки узлов, прогруженные в драйвер. В HW эта команда также присутствует в режиме «admin escape».
Самые популярные выводы это: iplirdiag -s ipsettings —node-info <�идентификатор узла> ##отображение информации об узле iplirdiag -s ipsettings —v-tun-table ##отображение всех загруженных в драйвер туннелей
Немного остановимся на режиме «admin escape». По сути это выход из ViPNet shell в bash. Тут я солидарен с вендором, который рекомендует использовать данный режим только для диагностики и вносить какие-либо модификации только под присмотром техподдержки вендора. Это вам не обычный Debian, здесь любое неосторожное движение может вывести из строя ОС, защитные механизмы которой воспримут вашу «самодеятельность» как потенциальную угрозу. В связке с заблокированным по умолчанию BIOS это обрекает вас на негарантийный (читай «дорогой») ремонт.
(Un)split tunneling
Еще один факт, который знают далеко не все: по умолчанию ViPNet-клиент работает в режиме split tunnel (когда можно указать, какой трафик заворачивать в туннель, а какой нет). У ViPNet существует технология «Открытого Интернета» (позже переименована в «Защищенный интернет-шлюз»). Многие ошибочно приписывают этот функционал координатору, а не клиенту. На клиенте, который зарегистрирован за координатором с такой функцией, создается два набора предустановленных фильтров. Первый разрешает взаимодействие только с самим координатором и его туннелями, второй – с остальными объектами, но запрещает доступ к координатору ОИ и его туннелям. Причем, согласно концепции вендора, в первом случае координатор должен либо туннелировать прокси-сервер, либо сам являться прокси-сервером. Служебный трафик, а также прием и передача конвертов (как служебных, так и приложений), работают в любой конфигурации.
Служебные порты и TCP-туннель
Однажды я столкнулся с приложением, которое ни в какую не хотело работать через координатор. Так я узнал, что у координатора есть служебные порты, по которым незашифрованный трафик блокируется без возможности какой-либо настройки. К ним относятся UDP/2046,2048,2050 (базовые службы ViPNet), TCP/2047,5100,10092 (для работы ViPNet Statewatcher) и TCP/5000-5003 (MFTP). Тут подвела функции TCP-туннеля. Не секрет, что провайдеры любят фильтровать высокие порты UDP, поэтому администраторы, стремясь улучшить доступность своих КШ, включают функцию TCP-туннеля. Ресурсы в зоне DMZ (по порту TCP-туннеля) при этом становятся недоступны. Это происходит из-за того, что порт TCP-туннеля также становится служебным, и никакие правила межсетевых экранов и NAT (Network Address Translation) на него уже не действуют. Затрудняет диагностику тот факт, что данный трафик не регистрируется в журнале IP-пакетов, как будто его вовсе нет.
Замена координатора
Рано или поздно встает вопрос о замене координатора на более производительный или временный вариант. Например, замена HW1000 на HW2000 или программного координатора – на ПАК и наоборот. Сложность заключается в том, что у каждого исполнения своя «роль» в ЦУС (Центре управления сетью). Как правильно изменить роль, не потеряв связность? Сначала в ЦУС меняем роль на новую, формируем справочники, но не отправляем(!) их. Затем в УКЦ выпускаем новый DST-файл и проводим инициализацию нового Координатора. После производим замену и, убедившись, что все взаимодействия работоспособны, отправляем справочники.
Кластеризация и сбой ноды
Горячий резерв – это must have для любой крупной площадки, поэтому на них всегда закупался кластер старших моделей (HW1000, HW2000, HW5000). Однако создание кластера из более компактных криптошлюзов (HW50 и HW100) было невозможно из-за лицензионной политики вендора. В итоге владельцам небольших площадок приходилось серьезно переплачивать и покупать HW1000 (ну, или никакой отказоустойчивости). В этом году вендор, наконец, сделал дополнительные лицензии и для младших моделей координаторов. Так что с выходом версий 4.2.x появилась возможность собирать в кластер и их.
При первичной настройке кластера можно серьезно сэкономить время, не настраивая интерфейсы в режиме мастера или командами CLI. Можно сразу вписывать необходимые адреса в конфигурационный файл кластера (failover config edit), только не забудьте указать маски. При запуске демона failover в кластерном режиме он сам назначит адреса на соответствующие интерфейсы. Многие при этом боятся останавливать демон, предполагая, что адреса сменяются на пассивные или адреса сингл-режима. Не волнуйтесь: на интерфейсах останутся те адреса, которые были на момент остановки демона.
В кластерном исполнении существует две распространенные проблемы: циклическая перезагрузка пассивной ноды и ее непереключение в активный режим. Для того чтобы понять суть этих явлений, разберемся в механизме работы кластера. Итак, активная нода считает пакеты на интерфейсе и в случае, если за отведенное время пакетов нет, отправляет пинг на testip. Если пинг проходит, то счетчик запускается заново, если не проходит, то регистрируется отказ интерфейса и активная нода уходит в перезагрузку. Пассивная нода при этом отправляет регулярные ARP-запросы на всех интерфейсах, описанных в failover.ini (конфигурационный файл кластера, где указаны адреса, которые принимает активная и пассивная ноды). Если ARP-запись хоть одного адреса пропадает, то пассивная нода переключается в активный режим.
Вернемся к кластерным проблемам. Начну с простого – неперключение в активный режим. В случае если активная нода отсутствует, но на пассивной в ARP-таблице (inet show mac-address-table) ее mac-адрес все еще присутствует, необходимо идти к администраторам коммутаторов (либо так настроен ARP-кэш, либо это какой-то сбой). С циклической перезагрузкой пассивной ноды немного сложнее. Происходит это из-за того, что пассивная не видит ARP-записи активной, переходит в активный режим и (внимание!) по HB-линку опрашивает соседа. Но сосед-то у нас в активном режиме и аптайм у него больше. В этот момент пассивная нода понимает, что что-то не так, раз возник конфликт состояний, и уходит в перезагрузку. Так продолжается до бесконечности. В случае возникновения данной проблемы необходимо проверить настройки IP-адресов в failover.ini и коммутацию. Если все настройки на координаторе верны, то пришло время подключить к вопросу сетевых инженеров.
Пересечения адресов
В нашей практике нередко встречается пересечение туннелируемых адресов за разными координаторами.
Именно для таких случаев в продуктах ViPNet существует виртуализация адресов. Виртуализация – это своеобразный NAT без контроля состояния соединения один к одному или диапазон в диапазон. По умолчанию на координаторах эта функция выключена, хотя потенциальные виртуальные адреса вы можете найти в iplir.conf в строке «tunnel» после «to» в секциях соседних координаторов. Для того, чтобы включить виртуализацию глобально для всего списка, необходимо в секции [visibility] изменить параметр «tunneldefault» на «virtual». Если же хотите включить для конкретного соседа, то необходимо в его секцию [id] добавить параметр «tunnelvisibility=virtual». Также стоит убедиться, что параметр tunnel_local_networks находится в значении «on». Для редактирования виртуальных адресов параметр tunnel_virt_assignment необходимо перевести в режим «manual». На противоположной стороне нужно выполнить аналогичные действия. За настройки туннелей также отвечают параметры «usetunnel» и «exclude_from_tunnels». Результат выполненной работы можно проверить с помощью утилиты «iplirdiag», о которой я говорил выше.
Конечно, виртуальные адреса приносят некоторые неудобства, поэтому администраторы инфраструктуры предпочитают минимизировать их использование. Например, при подключении организаций к информационным системам (ИС) некоторых госорганов этим организациям выдается DST-файл c фиксированным диапазоном туннелей из адресного плана ИС. Как мы видим, пожелания подключающегося при этом не учитываются. Как вписываться в этот пул, каждый решает для себя сам. Кто-то мигрирует рабочие станции на новую адресацию, а кто-то использует SNAT на пути от хостов к координатору. Не секрет, что некоторые администраторы применяют SNAT для обхода лицензионных ограничений младших платформ. Не беремся оценивать этичность такого «лайфхака», однако не стоит забывать, что производительность самих платформ все-таки имеет предел, и при перегрузке начнется деградация качества канала связи.
Невозможность работы GRE
Само собой, у каждого решения в IT есть свои ограничения по поддерживаемым сценариям использования, и ViPNet Coordinator не исключение. Достаточно назойливой проблемой является невозможность работы GRE (и протоколов, которые его используют) от нескольких источников к одному адресу назначения через SNAT. Возьмем, к примеру, систему банк-клиент, которая поднимает PPTP-туннель к публичному адресу банка. Проблема в том, что протокол GRE не использует порты, поэтому после прохождения трафика через NAT, socketpair такого трафика становится одинаковым (адрес назначения у нас одинаковый, протокол тоже, а трансляцию адреса источника мы только что произвели также в один адрес). Координатор реагирует на такое блокировкой трафика на фоне ошибки 104 – Connection already exists. Выглядит это так:
Поэтому, если вы используете множественные GRE-подключения, необходимо избегать применения NAT к этим подключениям. В крайнем случае выполнять трансляцию 1:1 (правда, при использовании публичных адресов это достаточно непрактичное решение).
Не забываем про время
Тему блокировок продолжаем событием номер 4 – IP packet timeout. Тут все банально: это событие возникает при расхождении абсолютного (без учета часовых поясов) времени между узлами сети ViPNet (координаторы и ViPNet-клиенты). На координаторах HW максимальная разница составляет 7200 секунд и задается в параметре «timediff» конфигурационного файла IPlir. Я не рассматриваю в этой статье координаторы HW-KB, но стоит отметить, что в версии KB2 timediff по умолчанию 7 секунд, а в KB4 – 50 секунд, и событие там может генерироваться не 4, а 112, что, возможно, собьет с толку инженера, привыкшего к «обычным» HW.
Нешифрованный трафик вместо зашифрованного
Новичкам бывает сложно понять природу 22 события – Non-encrypted IP Packet from network node – в журнале IP-пакетов. Оно означает, что координатор ждал с этого IP-адреса шифрованный трафик, а пришел нешифрованный. Чаще всего это происходит так:
- пользователь забыл залогиниться в ViPNet-клиент, или случайно разлогинился, но при этом пытается попасть на защищаемые ресурсы. В этом случае драйвер IPlir неактивен, а трафик, который по маршрутизации дошел до координатора, не был зашифрован на АРМ пользователя. По заголовкам пакета координатор видит, что все легально: адрес источника принадлежит АРМ с ViPNet-клиентом, адрес назначения – защищенному или туннелируемому узлу. Значит, и трафик должен приходить зашифрованным, но это не так, поэтому его надо заблокировать. Частным случаем данного сценария является ситуация, когда в сети поменялись адреса, и на том адресе, на котором был защищенный ViPNet-клиент, АРМ оказался туннелируемый. Но координатор все еще считает, что на этом адресе есть ViPNet-клиент, и поэтому нешифрованный трафик блокируется;
- с одной стороны взаимодействия отсутствуют связи. Например, вы связали два координатора, а справочники и ключи отправили только на один (или до второго они не дошли). В этом случае первый будет ждать зашифрованный трафик, но второй, так как не знает о существовании первого, будет присылать только незашифрованный;
- туннели прописываются вручную локально на КШ. Чтобы смоделировать такой сценарий, нужно два связанных координатора. На одном прописываем собственные туннели и туннели соседа, на втором «забываем» это сделать. При такой настройке трафик, исходящий от туннелей второго координатора к туннелям первого, шифроваться не будет, и на первом координаторе возникнет 22 событие.
Обработка прикладных протоколов (ALG)
На многих межсетевых экранах, включая ViPNet Coordinator, могут возникать проблемы с прохождением SIP через NAT. С учетом того, что виртуальные адреса – это внутренний NAT, проблема может возникать, даже когда в явном виде NAT не используется, а используются только виртуальные адреса. Координатор обладает модулем обработки прикладных протоколов (ALG), который должен эти проблемы решать, но не всегда это работает так, как хотелось бы. Не буду останавливаться на механизме работы ALG (на эту тему можно написать отдельную статью), принцип одинаков на всех МСЭ, изменяются лишь заголовки прикладного уровня. Для корректной работы протокола SIP через координатор необходимо знать следующее:
- при использовании NAT должен быть включен ALG;
- при использовании виртуальной адресации ALG должен быть включен на обоих узлах, участвующих во взаимодействии (координатор-координатор, координатор-клиент), даже если виртуальная видимость установлена только с одной стороны;
- при использовании реальной видимости и отсутствии NAT необходимо выключить ALG для того, чтобы он не вмешивался в работу SIP;
- ALG-линейки 3.х и 4.х несовместимы (строго говоря, в линейке 3.х вообще не было возможности как-то им управлять). В таком сценарии гарантировать корректную работу SIP вендор не может.
Управляется модуль командами группы «alg module» из привилегированного режима (enable).
В заключение
Я постарался рассмотреть самые злободневные проблемы, обозначить их корни и рассказать о решениях. Конечно, это далеко не все особенности ViPNet, поэтому рекомендую не стесняться – обращаться в поддержку и спрашивать совета в коммьюнити (на форуме вендора, в телеграмм-канале, в комментариях под этим постом). А если вам не хочется погружаться во все сложности работы с ViPNet или это слишком трудозатратно, то всегда можно отдать управление вашей ViPNet-сетью в руки профессионалов.
Автор: Игорь Виноходов, инженер 2-ой линии администрирования «Ростелеком-Солар»