114
различных способа аутентификации: технологию «вызов-ответ» с использованием хэш-функции с общим секретным ключом, применение сертификатов открытых ключей и использование протокола Керберос.
5.7. Организация VPN средствами СЗИ VipNet
5.7.1. Постановка задачи
Рассмотрим некоторую гипотетическую организацию, ведущую проектирование инженерной документации, составляющей коммерческую тайну. Готовые проекты передаются по защищенному каналу в удаленные филиалы.
Внедряемая система защиты должна обеспечить защиту от несанкционированного доступа к передаваемым данным, удовлетворяя следующим требованиям:
−только зарегистрированные пользователи могут иметь возможность входа в систему и обмена конфиденциальной информацией;
−передаваемая конфиденциальная информация должна быть защищена криптографическими методами, обеспечивающими её конфиденциальность, целостность и подлинность;
−в целях расследования возможных инцидентов должна вестись регистрация в журналах наиболее важных событий, связанных с передачей защищаемой информации по каналам связи;
−должна быть обеспечена безопасная работа пользователей в Интернет средствами межсетевого экранирования.
Пусть в данной организации работают администратор безопасности и два пользователя. Один пользователь работает в головном офисе, другой в удаленном филиале. Задачами администратора безопасности являются: создание логической структуры сети, определение необходимых соединений между узлами, создание ключевых наборов и генерация пользовательских паролей, установка различных уровней защиты сетевого трафика. Задачей пользователей, имеющих допуск к клиентской части ViPNet, является обмен конфиденциальной информацией.
Входе работы имитируется функционирование четырех рабочих станций: две станции для работы пользователей и две станции для работы администратора безопасности. Администратор использует два функционально различных компьютера: ViPNet Менеджер и ViPNet Координатор.
Кроме того, имитируется работа компьютера стороннего наблюдателя (злоумышленника), имеющего возможность захватывать сетевой трафик на пути его следования. Задачей стороннего наблюдателя является анализ возможности получения доступа к конфиденциальной информации.
Лабораторная работа выполняется двумя слушателями на двух рабочих местах с использованием технологии виртуальных машин (см. Приложение 1).
115
Первое рабочее место имитирует компьютер пользователя основного офиса и компьютер «ViPNet Менеджер» администратора безопасности. Второе рабочее место имитирует компьютер пользователя филиала и компьютер «ViPNet Координатор» администратора безопасности. На каждом рабочем месте запускаются две виртуальные машины с ОС Windows 2000 для установки СЗИ
VipNet.
Основные операционные системы на обоих рабочих местах имитируют компьютеры сторонних наблюдателей и используются для анализа сетевого трафика.
Для исследования применяется демонстрационная версия СЗИ VipNet.
5.7.2. Настройка сетевых соединений виртуальных машин
Задача данного этапа — подготовить сетевые настройки виртуальных компьютеров для обеспечения сетевого взаимодействия между ними. Сетевые настройки виртуальных машин устанавливаются для имитации присутствия в сети независимого компьютера с отдельным IP-адресом (рис. 5.14).
Рис. 5.14. Схема организации VPN с помощью виртуальных машин
ВЫПОЛНИТЬ!
1.На каждом рабочем месте в системе VMware открыть по два образа ОС Windows 2000. Для каждого образа на вкладке Edit выбрать меню «Virtual Machine Settings» и установить размер потребляемой памяти (Guest size) — 64 MB, а тип сетевого подключения — «bridged». Запустить все четыре виртуальные машины.
2.Назначить виртуальным ОС уникальные сетевые имена («Manager», «Client1» — для первого рабочего места, «Coordinator», «Client2» — для второго). Для этого в каждой из виртуальных ОС следует перейти на
116
вкладку «Сетевая идентификация» окна «Свойства системы», в графе «Имя компьютера» ввести сетевое имя данной виртуальной машины.
3.Настроить IP-адреса запущенных виртуальных машин следующим образом. Назначить для первого рабочего места адреса: 192.168.1.1 (для
«ViPNet Менеджера» на узле «Manager»), 192.168.1.2 (для «ViPNet Клиен-
та1» на узле «Client1») и 192.168.1.5 (для основной ОС). Для второго рабочего места назначьте адреса: 192.168.1.3 (для «ViPNet Координатора» на узле «Coordinator»), 192.168.1.4 (для «ViPNet Клиента2» на узле «Client2»)
и 192.168.1.6 (для основной ОС). Для этого необходимо в каждой из виртуальных ОС зайти в свойства подключения по локальной сети, выбрать пункт «Протокол Интернета (TCP/IP») и ввести IP-адрес.
4.С помощью программ ipconfig и ping убедитесь в правильной настройке сетевых адресов, а именно, в возможности получить ICMP-ответ от каждого из узлов.
5.Осуществите захват трафика в основных ОС, убедитесь в возможности анализа ICMP-пакетов.
6.Организуйте передачу текстового файла с одного клиентского компьютера («Client1») на другой («Client2»). Убедитесь в возможности захвата трафика и получения передаваемого документа.
5.7.3. Установка СЗИ VipNet
Установка ViPNet Office осуществляется в три этапа: сначала инсталлируется модуль менеджера, затем модуль координатора и в последнюю очередь
–модули клиентов.
Видеологии данной версии СЗИ VipNet предполагается, что на компьютерах пользователей устанавливаются модули клиентов (рис. 5.15). Координаторы — это компьютеры, выполняющие функции туннелирующих узлов. Менеджер — это центральный узел, хранящий ключи и пароли всех пользователей.
Для построения имитируемой сети необходим один менеджер, один координатор и два клиента.
Для установки модуля «ViPNet Manager» необходимо запустить мастер
(файл «Setup.exe» из каталога «\Soft\ViPNet Manager»). После перезагрузки компьютера следует активизировать программу «ViPNet Manager», нажав иконку 
на рабочем столе, и создать структуру сети при помощи «Мастера создания сети ViPNet». С помощью мастера создается структура ViPNet сети, ключевые наборы и начальные пароли для всех пользователей в режиме автоматической генерации структуры с использованием готового сценария (рис. 5.16).
117
Рис. 5.15. Схема взаимодействия компонентов ViPNet в сети
Рис. 5.16. Окно «Автогенерирование структуры»
По умолчанию префиксы имен Координаторов — «Coordinator», а префиксы имен Клиентов — «Client». Изменение вышеуказанных значений возможно при соблюдении следующих правил:
− количество Координаторов не должно быть не менее одного и не может быть больше, чем это определено лицензией;
118
−количество Клиентов может быть равно нулю, но не более количества определенных лицензией;
−префиксы имен сетевых узлов не должны содержать более 40 символов.
−После коррекции предложенных значений следует нажать кнопку Далее
иперейти в окно «Автоматическое создание связей», в котором производится выбор стандартных сценариев для разрешенных соединений между узлами се-
ти ViPNet.
Существуют следующие варианты установления связи:
−Связать все сетевые узлы — установлено по умолчанию. Все Клиенты и Координаторы будут иметь разрешенные VPN-соединения между собой.
−Связать все абонентские пункты каждого координатора — Клиенты, лицензированные для данного Координатора, будут иметь разрешенные VPNсоединения между собой и с соответствующим Координатором. Координаторы будут связаны VPN-соединениями между собой.
−Связать каждый абонентский пункт со своим координатором — каждый Клиент будет иметь разрешенное соединение только со своим Координатором. Координаторы будут по-прежнему иметь VPN-соединение по схеме «каждый с каждым».
После выбора оптимального варианта появляется окно «Редактирование структуры». На этом шаге предоставляется возможность модернизации созданной структуры, а также создания новой. В окне можно осуществлять следующие действия: добавлять новые сетевые узлы, переименовывать и удалять существующие узлы, переносить Клиента под обслуживание другим Координатором, удалять сетевую структуру.
После завершения редактирования структуры появляется окно, в котором следует сгенерировать системный пароль, затем, следуя инструкциям мастера установки, необходимо создать дистрибутив ключей. В процессе генерации появится окно «Электронная рулетка» — специальное приложение для генерации случайных значений.
Дистрибутив ключей для каждого сетевого узла размещен в файле с расширением «*.DST». Исходные ключи зашифрованы на парольной фразе и потому недоступны третьим лицам непосредственно из DST-файла.
Все наборы ключей и пароли к ним будут сохранены в подкаталоге «\NCC\KEYS» для каталога, куда был установлен «ViPNet Manager». Файлы с ключевыми наборами сохраняются в каталогах с именами сетевых узлов и имеют расширение «*.DST». Также будет создан файл «ViPNet.txt», в котором будут указаны пароли для соответствующих ключевых наборов.
ВЫПОЛНИТЬ!
7.Установить модуль «ViPNet Manager» на диск виртуальной машины с сете-
вым именем «Manager».
8.После перезагрузки виртуальной машины выполнить автоматическую генерацию структуры сети. Установить: количество координаторов — 1; ко-
119
личество клиентов — 2; все клиенты и координаторы должны иметь разрешенные VPN-соединения между собой (пункт «Связать все сетевые уз-
лы»).
9.Сгенерировать наборы ключей и пароли к ним, основываясь на требованиях: словарь — английский, слов в парольной фразе — 6, используемых букв — 3.
10.После завершения работы мастера скопировать все наборы ключей и па-
роли к ним из каталога «С:\Program Files\InfoTeCS\ViPNet Manager\NCC\KEYS» на отдельную дискету (ключевую дискету).
Для установки «ViPNet Координатор» необходимо запустить файл
«Setup.exe» из каталога «\Soft\ViPNet Coordinator\» и следовать указаниям мастера установки. В ходе последующей загрузки компьютера «ViPNet Координатор» автоматически попросит ввести соответствующий пароль из списка, находящегося в файле «ViPNet.txt», еще до появления запроса на пароль входа в ОС Windows (рис. 5.17).
Рис. 5.17. Окно ввода пароля VipNet
В компьютер необходимо поместить внешний носитель (дискету), на котором предварительно в процессе работы с «ViPNet Manager» были записаны наборы ключей. При нажатии кнопки «Носители» появляется проводник, в котором указывается путь, где хранятся ключи на внешнем носителе. Соответствующие данному узлу ключи будут скопированы автоматически на системный диск. В дальнейшем для входа на этот же узел ViPNet внешний носитель уже не понадобится.
Установка «ViPNet Клиента» осуществляется аналогично.
ВЫПОЛНИТЬ!
11. Установить модуль «ViPNet Координатор» на диск виртуальной машины с сетевым именем «Coordinator», модули «ViPNet Клиент» на диски узлов
«Client1» и «Client2».