Содержание
Итак, пришло время на практике разобраться, как создавать защищённую сеть с использованием ViPNet. Я наизобретал довольно типовую схему, которую мы и будем реализовывать.
На первом этапе мы будем создавать защищённое взаимодействие в рамках одной сети ViPNet. Будут применяться программные координаторы. Далее, мы разделим эту структуру на две сети и построим межсетевое взаимодействие. Опять же, будем использовать программные координаторы. И наконец, мы заменим программные координаторы на аппаратные (HW1000) и убедимся, что сеть не рухнула.
Обратим внимание на узел Т.У. (Туннелируемый узел). На него мы не будем ставить ПО ViPNet, нужно будет организовать сетевое взаимодействие с этим узлом.
Адресация
Адреса назначаем согласно схемы:
Таким образом имеем как бы 3 сети: 192.168.1.0/24 – сеть предприятия НИИ Твёрдых сплавов. 192.168.2.0/24 – НИИ Авиастроения и 30.30.30.0/24 – Интернет.
Назначим адреса на хосты соответствующим образом, попутно ограничим прохождение кадров на уровне виртуальных машин, заведу соответственно 3 виртуальных сети и в настройках сетевых адаптеров выставлю соответствующие значения:
LAN1, LAN2 и INET соответственно. Не забываем отключать брандмауэр Windows!
Создаём структуру защищённой сети
Координаторы
В ЦУС-е добавляем координаторы, называем их “Координатор1” и “Координатор2” соответственно. Я не создаю пользователей сразу, лучше всё это делать потом, для наглядности. Впоследствии, для экономии времени можно оставлять галочку о “Создать одноимённого пользователя…”.
Вот такая картина у нас получится. Два координатора.
Далее создаём пользователей. Переходим в раздел “Пользователи”, нажимаем зелёный “+”. Вводим имя пользователя, выбираем сетевой узел, на котором может работать пользователь и нажимаем кнопку “Создать”.
Узлы создаём аналогичным образом. Переходим в раздел “Клиенты”, нажимаем зелёный плюсик. Вводим имя сетевого узла, выбираем координатор, к которому узел будет привязываться и нажимаем кнопку “Создать”. Обратите внимание, что самым первым должен создаваться узел администратора (о чём внизу выводится соответствующее сообщение).
Создаём все необходимые узлы:
Создаём всех остальных пользователей на соответствующих узлах.
Когда пользователи и сетевые узлы будут готовы, не забываем создать межсерверный канал между нашими координаторами, он необходим для обмена служебными конвертами и маршрутизации между ними. Для этого заходим в первый координатор и в свойствах добавляем межсерверный канал до второго координатора:
Теперь делаем соответствующие связи между узлами и пользователями. Это очень просто, открываем нужный узел и в его свойствах добавляем связи с другими узлами. Обратите внимание, некоторые связи уже будут созданы и удалить их нельзя – это, например, связь между ЦУС и узлом. Связь между пользователем и его координатором и т.д. Это справочная информация (предустановленные связи) и я не буду приводить все случаи, просто о них стоит знать. Итак, добавляем нужные связи:
Связь двух узлов означает, что они будут видны в Мониторе друг у друга и между ними будет образован защищённый канал. Соответственно, связь между пользователями будет означать, что у для них будет создан соответствующие ключи обмена. Пользователи смогут общаться через внутренний чат и пользоваться деловой почтой.
Для простоты я сделал связь между всеми. Не забываем проверять конфигурацию сети на наличие неполных связей или других ошибок в разделе “Моя сеть”.
Если ошибок нет, то можем смело создавать адресные справочники в разделе “Справочники и ключи – Создать справочники”.
При этом откроется окно, в котором можно выбрать конкретные узлы, для которых создать справочники. Но первично мы создадим справочники для всех:
Дальше идём в УКЦ.
Работа с УКЦ
Если мы ещё не запускали УКЦ, то самое время это сделать. Тем более, что первый запуск УКЦ сулит нам муторную операцию выдачи себе корневого сертификата
КЛИКАБЕЛЬНО
В общем виде это “Далее-Далее-Готово” с заполнением персональных данных и запуском генератора случайных чисел.
Когда всё будет готово, мы увидим перед собой собственно интерфейс УКЦ. Обращаем внимание на жёлтые предупреждающие значки – подсказки говорят о том, что требуется создать первичный набор ключей (dst-файлы).
Выделяем все узлы, кликаем правой кнопкой мыши и выбираем пункт “Выдать новый дистрибутив ключей”.
Выбираем шаблон сертификата (оставляем по умолчанию)
И для каждого пользователя будем вводить пароль. Я использую здесь простые пароли, в идеале нужно либо генерировать их автоматически, либо использовать достаточно сложные пароли.
Готовый набор дистрибутивов ключей выглядит у меня так: XPS-файлы – это пароли, подготовленные для печати. Третья версия выдавала текстовик.
Эти дистрибутивы доверенным каналом связи передаём пользователю на места. Я же просто перекину через флешку.
Установка софта ViPNet
На все узлы ставим соответствующее программное обеспечение – на клиенты – Client, на координаторы Coordinator. Установка координатора в принципе ничем не отличается от установки клиента, её я рассматривать не буду.
Далее устанавливаем ключевую информацию – при первом запуске программы указываем путь к соответствующему dst-файлу – это важный момент! Вообще первичные дистрибутивы ключевой информации распространяются доверенным каналом через спецсвязь или фельдъегерской службой. Либо нарочно. Не суть важно. Так же передаём пароль, потому что без пароля пользователя активировать ViPNet драйвер не получится.
При первом запуске как клиента, так и координатора увидим следующее окно:
Выбираем пункт “Установить ключи” и указываем dst-файл соответствующего пользователя.
Затем производим вход и если всё в порядке, увидим интерфейс ViPNet Monitor.
Может появится окно с предложением установить корневой сертификат. Соглашаемся.
Всё готово! Когда все узлы будут установлены мы увидим что-то вроде:
Здесь можно обратить внимание, что некоторые IP адреса реальные, некоторые – нет. Это особенность работы драйвера ViPNet. За каждой станцией закрепляется дополнительный “виртуальный” IP-адрес (начальный адрес задаётся в настройках), как правило это подсеть 11.0.0.0/8. Сделано это для того, чтобы исключить совпадения адресов различных узлов (так как ViPNet может объединять разнородные сети, некоторые из узлов которых могут находиться за NAT-ом).
Виртуальный адрес обычно остаётся постоянным и не зависит от реального адреса машины (даже мобильное рабочее место, меняя реальный IP, перемещаясь по стране/миру, подключаясь к разным провайдерам, будет иметь постоянный виртуальный адрес). Виртуальный IP адрес зависит только от внутреннего идентификатора станции в сети ViPNet, а если кто не знает, то идентификатор представляет собой следующий вид: 0xAAAABBBB, где AAAA – 16-ричный номер сети, а BBBB – 16-ричный номер сетевого узла в сети. Кстати, обращаться к рабочим станциям можно как по реальному адресу (где это возможно), так и по виртуальному. В общем виде о них вообще можно не париться, драйвер ViPNet делает работу с адресами достаточно прозрачной.
Ну чтож, пока всё. Дальше будем развивать и прокачивать нашу сеть и исправлять возможные проблемы.
Кстати, любые изменения структуры сети теперь можно доставлять до станций следующим образом:
- В ЦУС производятся необходимые изменения, будь до добавления/удаления узлов, связей и назначение ролей;
- В ЦУС-е создаются новые справочники;
- В УКЦ создаются новые ключи (“Создать и передать ключи в ЦУС”);
- В ЦУС-е изменения отправляются на сетевые узлы:
Изменения по служебным протоколам (MFTP) отправятся на все задействованные в этих изменения узлы и применятся там. Разбор сложных ситуаций мы проведём как-нибудь, там достаточно много подводных камней.
Надеюсь, было интересно! Пока!
Друзья! Вступайте в нашу группу Вконтакте, чтобы не пропустить новые статьи! Хотите сказать спасибо? Ставьте Like, делайте репост! Это лучшая награда для меня от вас! Так я узнаю о том, что статьи подобного рода вам интересны и пишу чаще и с большим энтузиазмом!
Также, подписывайтесь на наш канал в YouTube! Видео выкладываются весьма регулярно и будет здорово увидеть что-то одним из первых!
Comments: