Студопедия Главная Случайная страница Обратная связь

Разделы: Автомобили Астрономия Биология География Дом и сад Другие языки Другое Информатика История Культура Литература Логика Математика Медицина Металлургия Механика Образование Охрана труда Педагогика Политика Право Психология Религия Риторика Социология Спорт Строительство Технология Туризм Физика Философия Финансы Химия Черчение Экология Экономика Электроника

Последовательность выполнения




 

Шаг 1 (10)
Установка ПО ViPNet [Administrator] и [Client]

Для установки защищенного рабочего места Администратора сети VPN необходимы следующие составляющие:

· ПО ViPNet [Администратор] версии 3.0;

· ПО ViPNet [Клиент] версии 3.0;

· набор лицензионных файлов ОАО «ИнфоТеКС»:

- infotecs.re– лицензионный справочник;

- infotecs.reg– файл лицензий на ПО и ПЗ;

· русификатор – файл RK.com, который дает возможность использования русских букв в ЦУСе;

· не менее 100 Мб свободного места на жестком диске компьютера.

 

Замечание: Следует помнить, что в ходе эксплуатации программного обеспечения необходимый объем рабочего места на жестком диске будет постоянно расти. Поэтому рекомендуется заранее предусмотреть как минимум пятикратное резервирование доступного места на HDD по сравнению с начальными требованиями.

 

Для установки на локальном компьютере ПО ViPNet Administrator необходимо запустить программу Setup.exe, после появления окна (Рис. 1.2.) следует прочесть информацию и нажать кнопку Далее, ознакомиться с лицензионным соглашением и, в случае согласия, – нажать кнопку Далее. В случае несогласия с лицензионным соглашением необходимо вернуть ПО производителю с объяснением причин отказа от приобретения.

Рис. 1.2. Мастер (Wizard) установки программы ViPNet Administrator

В следующих окнах необходимо ввести имя пользователя и название организации, после чего предлагается указать каталог установки рабочих файлов программы (по умолчанию программу предлагается установить в каталог С:\Program Files\Infotecs\ViPNet Administrator\). В появившемся окне следует выбрать тип установки программы (из каких компонентов будет состоять рабочее ПО) (Рис. 1.3.). Поскольку рабочее место Администратора 3 0 будет являться одновременно и центром управления виртуальной сетью и центром обработки ключевой структуры виртуальной сети, необходимо установить оба компонента (Центр управления сетью и Удостоверяющий ключевой центр) на данную машину. Следует выбрать строку Выборочная установка и установить «галочки» напротив обеих строк (по умолчанию «галочки» установлены).

После выбора необходимых компонентов следет нажать кнопку Далее. Удостоверившись, что все настройки сделаны правильно, необходимо нажать кнопку Готово и подождать, пока программа установки завершит копирование необходимых файлов на жесткий диск компьютера.

Для установки на локальном компьютере администратора сети ПО ViPNet Client необходимо запустить программу Setup.exe, после появления окна (Рис. 1.4.) следует прочесть информацию и нажать кнопку Далее, ознакомиться с лицензионным соглашением и, в случае согласия, – нажать кнопку Далее. В случае несогласия с лицензионным соглашением необходимо вернуть ПО производителю с объяснением причин отказа от приобретения.

Рис. 1.3. Выбор вида установки программы ViPNet Administrator

Рис. 1.4. Мастер (Wizard) установки программы ViPNet Client

В следующих окнах необходимо ввести имя пользователя и название организации, после чего предлагается указать каталог установки рабочих файлов программы (по умолчанию программу предлагается установить в каталог С:\Program Files\Infotecs\ViPNet Administrator\SS).

В появившемся окне следует выбрать тип установки программы (из каких компонентов будет состоять рабочее ПО) (Рис. 1.5.). Рабочее место Администратора 3 0 должно полнофункциональным, поэтому необходимо установить оба компонента (Монитор и Деловая почта) на данную машину. Следует выбрать строку Выборочная установка и установить «галочки» напротив обеих строк (по умолчанию «галочки» установлены).

 

Примечание:Для своей работы ПО ViPNet использует следующие каталоги:

NCC – Network Control Center (рабочий каталог ViPNet Центра управления сетью);

KC – Key Center (рабочий каталог ViPNet Удостоверяющего и ключевого центра);

SS – Security Service (рабочий каталог ViPNet Client).

 

Рис. 1.5. Выбор вида установки программы ViPNet Client

После выбора необходимых компонентов следет нажать кнопку Далее. Удостоверившись, что все настройки сделаны правильно, необходимо нажать кнопку Готово и подождать, пока программа установки завершит копирование необходимых файлов на жесткий диск компьютера.

В результате установки ПО ViPNet Client будет предложено перегрузить ОС компьютера. Пока это делать нет необходимости (нажать кнопку Нет), так как ещё не произведена первоначальная настройка рабочего места администратора защищенной сети.

 

Замечание: Если ОС компьютера была перезагружена, то на этапе загрузки ОС будет предложено ввести пароль на вход в программу ViPNet Client. Но пока не была сформирована ключевая информация Администратора 3 0, поэтому необходимо отказаться от введения пароля и не указывать транспортный каталог программы ViPNet Client.

 

Для завершения шага инсталляции рабочего места Администратора защищенной сети необходимо скопировать файлы в указанные папки:

· infotecs.reg, infotecs.re и RK.com в каталог ..\NCC\ (каталог установки ЦУСа);

· infotecs.re – в каталог ..\KC\ (каталог установки УКЦ).

 

ВНИМАНИЕ! Файлы infotecs.re и infotecs.reg являются наиболее важными файлами с точки зрения защиты авторских прав ОАО «ИнфоТеКС» и прав её клиентов, поэтому следует хранить их отдельно от основного инсталляционного комплекта и не допускать их свободного распространения. Вся ответственность за незаконное распространение файлов лицензий целиком возложено на Клиента ОАО «ИнфоТеКС».

 

 

Шаг 2 (10)
Работа в Адресной администрации ЦУСа

Создание защищенной сети, установка режимов и параметров работы сети производится в Центре управления сетью (ЦУСе). При указании рабочих каталогов ЦУСа нет необходимости указывать каталоги, где будет храниться ключевая информация Администратора сети / Уполномоченного лица, поскольку при распаковке dst-файла Администратора ViPNet-сети программное обеспечение ViPNet автоматически пропишет пути доступа к ключевой информации.

Работа с виртуальной сетью ViPNet начинается в Центре управления сетью (ЦУСе). Для загрузки ЦУСа необходимо запустить файл _start.bat, находящийся в рабочем каталоге ЦУСа ..\NCC\, либо запустить ярлык ЦУСа, находящийся на Рабочем столе Windows, либо выбрать запуск программы ViPNet Центр управления сетью из стандартного меню ОС Windows – Start (Старт) → All programs (Программы) → ViPNet → Administrator.

 

Замечание: В описании работы программы будет встречаться символ двух последовательных точек (..). Этот символ означает корневой каталог ПО ViPNet (как правило находящийся по адресу C:\ Program Files \ InfoTeCS \ ViPNet Administrator \ ).

Т.е. запись ..\NCC\ означает, что необходимо смотреть каталог NCC в корневом каталоге установки ПО ViPNet.

 

После запуска программа ЦУС предлагает создать несколько служебных каталогов и запрашивает место, в котором будет храниться информация транспортного каталога и каталогов обмена информацией с УКЦ (Рис. 1.6.). Рекомендуется оставить каталоги, предложенные программой по умолчанию. Если местонахождение каталогов изменяется, рекомендуется запомнить точное их расположение.

Рис. 1.6. Настройка по умолчанию для каталогов хранения ключевой информации

При выборе настроек по умолчанию необходимо изменить позиции Автоматически связывать новый ТК со всеми другими ТК (поставить крестик напротив этой строки) и указать Максимальный уровень полномочий (Рис. 1.7.).

Рис. 1.7. Настройки по умолчанию параметров работы ЦУСа

После нажатия кнопки принять программа ЦУС приветствует администратора сети и предлагает начать с адресной администрации и появляется главное окно Центра управления сетью (Рис. 1.8.). Для начала работы по созданию виртуальной сети необходимо выбрать меню Службы → Адресная администрация → Структура сети ViPNet…

Логическую структуру сети ViPNet в Адресной администрации необходимо создать в соответствии с Рис. 1.1.

 

Рис. 1.8. Главное окно Центра управления сетью

Лицензию на виртуальную сеть ViPNet можно посмотреть в меню Сервис → Лицензия (Рис. 1.9.).

Рис. 1.9. Состав лицензионного файла на виртуальную сеть ViPNet

 

Замечание: В Адресной администрации ЦУСа манипулятор «мышь» не работает. Следует использовать для входа в меню клавишу Enter, а для выхода из меню – Esc.

 

Замечание: Для перехода в режим работы с русской раскладкой необходимо нажать одновременно и правую и левую клавиши Shift.

 

Замечание: Используя клавишу F1 в соответствующих различных окнах программы Адресной администрации ЦУСа, можно найти комбинации клавиш для управления сетью ViPNet.

 

Для введения в виртуальную сеть серверов-маршрутизаторов (СМ) необходимо выделить строку Серверы-маршрутизаторы, нажать Enter и ввести имя нового сервера – СМ Координатор 3 0. Затем в этом же окне необходимо нажать Alt+I для добавления нового СМ – Координатор-ОИ 3 0.

 

Напоминание: Абонентские пункты должны быть зарегистрированы за Серверами-маршрутизаторами. За координатором, зарегистрированном в задаче Открытый Интернет, не должно быть зарегистрировано ни одного АП.

 

Для добавления в виртуальную сеть Абонентских пунктов (АП) необходимо выделить строку с СМ (СМ Координатор 3 0), за которым будет зарегистрирован новый АП, нажать Enter и нажать комбинацию клавиш Alt+I. В предложенной строке следует ввести наименование нового АП (например, АП Администратор 3 0). В соответствии с Error! Reference source not found. необходимо сформировать структуру защищенной сети.

Для создания межсерверных каналов связи необходимо прописать взаимодействие на защищенном уровне между двумя координаторами сети. Для этого необходимо зайти в меню Серверы-маршрутизаторы и выбрать один из СМ. Для указания начала межсерверного канала следует нажать комбинацию клавиш Alt+M, после чего слева в данной строке появится «звездочка» со стрелкой. Для указания конца канала необходимо выделить другой координатор и нажать ту же комбинацию клавиш - Alt+M. Теперь программе следует указать, что межсерверный канал будет между СМ Координатор 3 0 и СМ Координатор–ОИ 3 0 – для этого нажать комбинацию клавиш Alt+С. В столбце МСК обоих координаторов будет показано количество межсерверных каналов (в данном случае - один). В столбце АП обоих координаторов указано количество сетевых узлов (СУ), которые зарегистрированы за данным СМ (количество АП плюс сам СМ).

Окно регистрации Серверов-маршрутизаторов должно выглядеть так, как показано на 0, а окно регистрации АП за СМ Координатор 3 0 – на Рис. 1.11.

Рис. 1.10. Создание Координаторов сети и указание межсерверного канала

Рис. 1.11. Регистрация АП за СМ Координатор 3 0

Рис. 1.12. Основное окно Адресной администрации ЦУСа

Поскольку работа в Адресной администрации ЦУСа по созданию виртуальной сети завершена, следует выйти в основное окно (Рис. 1.12.) и сформировать таблицы маршрутизации (часть справочников ЦУСа). Справа зеленым цветом программа показывает, что в виртуальной сети были произведены изменения и необходимо создание новых таблиц маршрутизации. Для создания новых таблиц необходимо выделить строку Выдать таблицы маршрутизации и нажать Enter, после чего программа подтвердит создание новых таблиц.

Теперь работа в Адресной администрации полностью завершена и необходимо выйти в главное меню ЦУСа (либо нажав кнопку Esc либо выделить строку Выход и нажать Enter).

 

 

Шаг 3 (10)
Индивидуальная регистрация Абонентских пунктов в Прикладных задачах

АП Администратор 3 0, АП Центр регистрации 3 0, АП Криптосервис 3 0необходимо зарегистрировать в прикладных задачах (ПЗ) ЦУС и УКЦ; Центр регистрации; Криптосервис соответственно. Для этого необходимо зайти в меню Службы → Индивидуальная регистрация АП в ПЗ и выделить строку с записью одного из АП, нуждающегося в регистрации. Например, для регистрации АП Администратор 3 0 в задачах ЦУС и УКЦ следует выделить строку с записью и нажать кнопку Регистрация. В появившемся окне выделить «крестиком» строки ЦУС и УКЦ, снять «крестик» с записи Криптосервис (поскольку АП уже зарегистрирован в задаче Защита трафика) и нажать кнопку Принять.

Для АП Центр Регистрации 3 0 необходимо поставить «крестик» в записи Центр регистрации и снять его в записи Криптосервис. Для АП Криптосервис 3 0 необходимо снять «крестики» в записи Деловая почта и оставить в записи Криптосервис. Для АП Клиент 3 0 необходимо снять «крестик» в записи Криптосервис, а для АП Сервис Публикации 3 0 необходимо снять «крестики» в записях Деловая почта и Криптосервис.

В результате указанных действий окно регистрации АП в ПЗ приобретет следующий вид (Рис. 1.13.).

Рис. 1.13. Регистрация АП в прикладных задачах

Шаг 4 (10)
Групповая регистрация Сетевых узлов в Прикладных задачах

Серверы-маршрутизаторы виртуальной сети необходимо зарегистрировать в задаче Сервер IP-адресов и ее подзадачах. Для этого необходимо зайти в меню Службы → Групповая регистрация СУ в ПЗ, выделить строку с записью Сервер IP-адресов и нажать кнопку Регистрация.

В прикладной задаче Сервер IP-адресов для каждого из Координаторов необходимо задать следующие параметры работы (изменение параметров производится посредством кнопок в правом столбце):

11. Для СМ Координатор-ОИ 3 0 включить функцию Сервер Открытого Интернета (Рис. 1.14.).

12. Для СМ Координатор 3 0 включить функцию Туннелирование и задать необходимое количество туннельных соединений (по заданию - 5) (Рис. 1.15).

Рис. 1.14. Включение функции Открытый Интернет

Рис. 1.15. Включение функции туннелирования

Шаг 5 (10)
Работа в Прикладной администрации ЦУСа

В Прикладной администрации при регистрации типов коллективов (ТК) необходимо проверить их связи (по заданию все ТК должны быть связаны между собой). При регистрации пользователей необходимо снять право владения ЭЦП у Координаторов сети.

Для формирования связей между ТК различных СУ сети ViPNet необходимо зайти в меню Прикладная администрация → Регистрация типов коллективов… и проверить с помощью кнопки справа Связи, какие связи имеют каждый из ТК сети ViPNet.

Далее, для различия СУ и ТК этих СУ необходимо переименовать записи в меню типов коллективов (с помощью кнопки справа Изм. имя). Например, АП Администратор 3 0 в ТК Администратор 3 0. То же самое сделать для всех записей ТК всех СУ (Рис. 1.16.). С помощью кнопки Область можно просмотреть, на каком сетевом узле зарегистрирован данный ТК (область действия данного ТК) (например, Рис. 1.17.).

Рис. 1.16. Список Типов коллективов защищенной сети

Рис. 1.17. Область действия ТК Администратор 3 0

После работы с ТК необходимо проверить параметры работы пользователей (абонентов). Для этого необходимо зайти в меню Прикладная администрация → Регистрация пользователей… В этом окне следует отключить право иметь ЭЦП обоим СМ (Рис. 1.18.) и переименовать названия пользователей (с помощью кнопки справа Изм. имя), удалив приставки «АП» и «СМ» (Рис. 1.19.).

Рис. 1.18. Отключение права иметь ЭЦП

Рис. 1.19. Окно Регистрация пользователей

С помощью кнопки справа Изм. ТК можно изменять для данного пользователя его ТК – добавлять, удалять, изменять (Рис. 1.20.).

Рис. 1.20. Добавление пользователю нового ТК

Шаг 6 (10)
Формирование справочной информации и архивов баз данных

По завершении формирования защищенной сети необходимо создать справочники, в которых отображается информация, необходимая для работы прикладных программ ViPNet (Монитор, Деловая Почта и др.). До формирования справочников необходимо произвести логическую проверку виртуальной сети ViPNet, для чего необходимо выбрать меню Службы → Проверка конфигурации. В случае отсутствия логических ошибок в сети ViPNet (например, пользователь не зарегистрирован ни в одном типе коллектива) программа выдаст окно с записью «Аномальные ситуации не обнаружены». Если же логические ошибки имеют место быть (аномальные ситуации), необходимо произвести оценку этих моментов и принять решение о том, нужно ли продолжать дальше работу с виртуальной сетью.

 

Замечание: Аномальные ситуации не являются критическими ошибками, которые не позволяют работать защищенной сети. Эти ситуации лишь указывают на то, что такие ошибки МОГУТ быть.

 

Если аномальные ситуации не проявились необходимо выбрать меню Службы → Сформировать все справочники. В результате такой операции программа ЦУС сконфигурирует структуру защищенной сети, зафиксирует изменения, которые были введены в сеть и сформирует набор справочников (Рис. 1.21.). Изменения, произведенные в ЦУСе, будут переданы в УКЦ для формирования ключевой структуры сети ViPNet. В последующем окне можно будет увидеть, какие справочники и файлы были сформированы.

Рис. 1.21. Формирование справочников

После формирования справочников необходимо создать базы данных, которые будут служить для восстановления информации на определенный момент времени (меню Службы → Архивы баз данных… → Создать).

Структуру созданной виртуальной сети можно просмотреть в меню Службы → Просмотр конфигурации → Структура сети. В широком формате показана сеть в виде таблицы объектов, в узком – в виде иерархической структуры объектов сети.

Выход из ЦУСа производится с помощью меню Файлы → Выйти либо комбинацией клавиш Alt+X.

Шаг 7 (10)
Первичная инициализация Удостоверяющего и ключевого центра

Работа по созданию ключевой инфраструктуры виртуальной сети ViPNet производится в Удостоверяющем и ключевом центре (УКЦ). Для загрузки УКЦ необходимо запустить файл keycenter.exe, находящийся в рабочем каталоге УКЦ ..\KC\, либо запустить ярлык УКЦ, находящийся на Рабочем столе Windows, либо выбрать запуск программы ViPNet Удостоверяющий и ключевой центр из стандартного меню ОС Windows – Start (Старт) → All programs (Программы) → ViPNet → Administrator.

При первом старте и в процессе работы УКЦ создает следующие каталоги:

/PSW- каталог для хранения файла с паролем для входа в программу УКЦ, информации об пользователях, для которых были созданы ключевые диски и др.

/MASTERS - каталог для мастер-ключей;

/P_KEYS - каталог для резервных персональных ключей;

/ARCHIVES - каталог для архивов;

/EXPORT - каталог для экспорта межсетевых мастер-ключей;

/IMPORT - каталог для импорта межсетевых мастер-ключей;

/KEYKEYKE - каталог для упакованных ключевых дисков (КД) и ключевых наборов (КН);

FROM_NCC - каталог для файлов связей пользователей и СУ из ЦУС, предназначенных для УКЦ (имя каталога можно изменить, выбрав пункт меню Сервис → Настройка);

FOR_NCC - каталог для файлов, подлежащих отправке в ЦУС (имя каталога можно изменить, выбрав пункт меню Сервис → Настройка).

Начало работы с УКЦ версии 3.0 отличается от предыдущих версий ПО ViPNet введением в действие мастера (визарда) установки (первичной инициализации) УКЦ (Рис. 1.22.).

Рис. 1.22. Начало инициализации УКЦ

Для работы мастера требуется наличие файлов из программы ЦУС. Используя эти файлы, мастер создаст начальную ключевую информацию для работы программы УКЦ. В результате работы Мастера будут созданы:

- персональный ключ защиты Администратора;

- пароль Администратора;

- ключ защиты КЦ;

- ключ подписи и сертификат Администратора;

- Мастер-ключи:

· Мастер-ключ персональных ключей (МКПК),

· Мастер-ключ ключей защиты (МККЗ),

· Мастер-ключ ключей обмена (МККО).

· Межсетевой асимметричный мастер-ключ (сформируется, если будет выбрана соответствующая опция).

Мастер инициализации поэтапно предложит ввести параметры работы УКЦ и завершит первоначальную установку УКЦ развертыванием ключевой инфраструктуры защищенной сети. После этого необходимо будет лишь создать саму ключевую информацию, предназначенную пользователям, и передать эту информацию объектам защищенной сети.

Далее мастер предложит выбрать способ взаимодействия с базой данных, в которой будет храниться информация, необходимая для УКЦ (Рис. 1.23.). Поскольку УКЦ версии 3.0 использует формат данных в виде базы данных, на компьютере, на котором установлен УКЦ, необходимо иметь одну из систем управления базами данных (СУБД).

Рис. 1.23. Выбор базы данных для УКЦ

На выбор предлагается два вида СУБД – Microsoft Office Access и Microsoft SQL Server. При выборе одной из СУБД файлы, в которой УКЦ будет сохранять информацию, будут переведены в формат файлов СУБД. После этого необходимо указать те каталоги, которые необходимы для работы УКЦ и взаимодействия его с ЦУСом (Рис. 1.24.).

Рис. 1.24. Указание рабочих папок УКЦ

На следующем этапе следует указать то лицо (администратор сети ViPNet), которое будет обладать полномочиями заверять своей электронной цифровой подписью сертификаты ЭЦП остальных пользователей системы (аналог Главного абонента в УКЦ версии 2.8) (Рис. 1.25.). А также на этом этапе необходимо ввести данные для сертификата ЭЦП этого лица – информацию о местоположении, адрес электронной почты (Рис. 1.26.), алгоритм формирования ключей ЭЦП (Рис. 1.27.), срок действия сертификата (Рис. 1.28.) и другое.

Лицо, которое имеет право работать в УКЦ, называется уполномоченным. В дальнейшем можно будет поменять уполномоченное лицо либо добавить еще одно.

Рис. 1.25. Назначение Администратора (Уполномоченного лица)

Рис. 1.26. Описание владельца сертификата

Рис. 1.27. Указание параметров ключа подписи

После создания ключей ЭЦП и сертификата ЭЦП следует указать, в каком месте будет храниться контейнер ключа подписи (Рис. 1.29.) и пароль для входа в УКЦ (Рис. 1.32.). При задании собственного типа пароля – все пароли в УКЦ должны быть длиной не менее 6 символов.

 

Рекомендации: При тренировочном создании сети рекомендуется использование простого, запоминающегося пароля (например, 111111).

 

Контейнер – это место на жестком диске (каталог) либо аппаратный носитель, в котором хранится личная ключевая информация (ключевая дискета) пользователя.

Рис. 1.28. Указание сроков действия сертификатов ЭЦП

В случае, если располагаться контейнер будет в каталоге на диске (в файле), следует указать путь к этому файлу (Рис. 1.30.).

Рис. 1.29. Указание типа места хранения ключей подписи и ключа защиты УКЦ

В случае, если располагаться контейнер будет на носителе информации, необходимо указать считыватель (если их несколько) и сохранить информацию на нем (Error! Reference source not found.). При введении пароля при входе в [Монитор] необходимо будет указать данный носитель информации в качестве места хранения контейнера.

 

Рис. 1.30. Указание папки для хранения ключей подписи и ключа защиты УКЦ

Рис. 1.31. Указание носителя для хранения ключей подписи и ключа защиты УКЦ

Следующим этапом станет создание набора Мастер-ключей (МК) (Рис. 1.31.). В ПО ViPNet версии 3.0 используются несколько мастер-ключей для отдельного вида ключевой информации. Все типы МК защищаются шифрованием на ключе защиты УКЦ.

МК персональных ключей используется для создания персональных ключей пользователей (в т.ч. резервного набора персональных ключей).

МК ключей защиты используется формирования ключей шифрования защиты ключей обмена коллективов.

МК ключей обмена используется для формирования ключей шифрования обмена (связи) коллективов.

Рис. 1.32. Указание типа пароля для входа в УКЦ

Рис. 1.33. Формирование Мастер-ключей системы

Ключи защиты – ключи, используемые для шифрования других ключей. Ключи защиты могут быть иерархической конструкцией, т.е. одни ключи защиты могут использоваться для защиты других ключей защиты.

Персональный ключ пользователя – это главный ключ защиты ключей, к которым имеет доступ пользователь. Этот ключ должен храниться в безопасном месте (например, на дискете или другом съемном носителе), так как компрометация этого ключа означает компрометацию всех других ключей пользователя. При компрометации этого ключа Ключевой центр изменяет вариант персонального ключа.

Номера и варианты. Для плановой смены ключей в сети используется система номеров мастер-ключей, а для изменения ключей отдельных СУ и коллективов используется (в частности, при компрометации) система вариантов.

Под компрометацией ключей подразумевается утрата доверия к тому, что используемые ключи обеспечивают безопасность информации (целостность, конфиденциальность, подтверждение авторства, невозможность отказа от авторства).

Различают явную и неявную компрометацию ключей. Явной называют компрометацию, факт которой становится известным на отрезке установленного времени действия данного ключа. Неявной называют компрометацию ключа, факт которой остается неизвестным для лиц, являющихся законными пользователями данного ключа.

Пароли. В УКЦ существует три вида паролей:

- пароль Администратора используется Администратором для входа в УКЦ. При желании Администратор может изменить этот пароль.

- пароли для ключевых дисков используется для входа в прикладные программы в сети ViPNet.

- пароли Администраторов групп сетевых узлов - такие пароли могут создаваться для каждого узла, а также для групп СУ, в том числе и для группы «Вся сеть», в которую входят все узлы сети. Эти пароли используются на сетевых узлах для входа в ПО ViPNet с правами Администратора и получения дополнительных возможностей и настроек в программе.

После проведения всех этапов по инициализации УКЦ программа установки начнет формирование ключевой инфраструктуры сети ViPNet (Рис. 1.34.), а затем на экран будет выведено окно программной оболочки УКЦ (Рис. 1.35.), которая также претерпела серьезные изменения по сравнению с версией 2.8 (например, нет команды меню Автоматическое формирование ключей…). Инструменты создания, обновления, хранения и выдачи ключевой информации и сертификатов ЭЦП стали более гибкими и привязанными к определенному действию (например, создание дистрибутивов для пользователей сети ViPNet производится специально выделенной клавишей).

Рис. 1.34. Завершение инициализации УКЦ и формирование ключевой информации

Рис. 1.35. Окно каталогов УКЦ

Шаг 8 (10)
Работа в Удостоверяющем и ключевом центре

Перед началом работы в УКЦ рекомендуется произвести первоначальные настройки программы. Это можно сделать в меню Сервис → Настройка… или нажав кнопку Настройка в панели инструментов программы. В окне Пароли можно настроить парольные параметры работы УКЦ.

После прохождения этапа первичной инициализации и произведения настроек программы необходимо сформировать дистрибутивы для пользователей созданной защищенной сети. Для этого следует выбрать пункт меню Сервис → Автоматически создать → Дистрибутивы ключей (Рис. 1.36).

Рис. 1.36. Меню формирования ключевой информации

При создании дистрибутива пользователя автоматически формируется его сертификат ЭЦП. В случае, если срок действия сертификата уполномоченного лица истекает до конца действия рядового пользователя VPN сети, будет выведено предупреждение о том, что срок действия сертификата пользователя будет ограничен сроком действия сертификата уполномоченного лица (Рис. 1.37).

Сертификаты пользователей сети ViPNet (как рядовых пользователей, так и Администраторов УКЦ (Уполномоченных лиц) можно посмотреть в каталоге Удостоверяющий центр. В этом каталоге также можно посмотреть пришедшие запросы на сертификаты, пришедшие запросы на отзыв сертификатов, а также информацию об отозванных сертификатах (справочник списка отозванных сертификатов (СОС)).

Рис. 1.37. Предупреждение о сроке действия сертификата

При формировании ключевой информации, входящей в файл-дистрибутив, мастером также будет предложено ввести пароль Администратора сетевого узла (Error! Reference source not found.), который позволяет получить расширенные права по управлению системой защиты на конкретном узле защищенной сети. Пароль может быть собственным, случайным и цифровым и имеет срок действия и может быть изменен в дальнейшем на самом узле пользователя VPN.

Рис. 1.38. Выбор типа пароля для администратора СУ всей группы

Формирование паролей Администраторов СУ осуществляется отдельно от формирования паролей на дистрибутив. Пароль Администратора СУ может быть задан как на отдельный компьютер (Рис. 1.39), так и на всю группу, в которую входят несколько компьютеров (Рис. 1.40).

Рис. 1.39. Окно указания пароля администратора для СУ

Рис. 1.40. Окно указания пароля администратора для всех СУ группы

После создания дистрибутивов необходимо их раздать пользователям защищенной сети. Это производится в окне Ключевой центр / Ключи / Дистрибутивы ключей. Действия можно производить как с отдельным дистрибутивом, так и с набором файлов-дистрибутивов (Рис. 1.41.).

В данном случае необходимо выделить все записи, щелкнуть правой кнопкой «мыши» на одной из записей (или сразу на все записи) и выбрать пункт меню Перенести в папку…

Рис. 1.41. Контекстное меню в каталоге Дистрибутивы

В появившемся окне мастера (Рис. 1.42.) необходимо выбрать каталог на диске (например, ..\Distr), в котором будут храниться файлы-дистрибутивы до их передачи пользователям. Для проведения операции переноса для всех файлов-дистрибутивов напротив строки Применить ко всемслева внизу окна следует поставить «галочку».

При необходимости можно перенести ключи подписи на внешнее устройство.

Рис. 1.42. Указание параметров для переноса дистрибутивов

Аналогичную операцию необходимо провести с наборами персональных ключей пользователей защищенной сети (Рис. 1.43. и Рис. 1.44.).

Рис. 1.43. Контекстное меню в каталоге Резервные персональные ключи

Рис. 1.44. Указание параметров для переноса персональных ключей

В УКЦ в окне Администраторы возможно указать еще лица (Уполномоченные лица), которые будут иметь право входить в УКЦ и формировать ключевую информацию для пользователей системы ViPNet. Для указания нового УЛ необходимо щелкнуть правой кнопкой «мыши» по уже существующему Администратору и выбрать строку меню Создать… После этого появится Мастер (Wizard), с помощью которого полномочия УЛ будут присвоены новому Администратору (Рис. 1.45.). В дальнейшем из нескольких УЛ можно выбирать действующего, т.е. того Администратора, чьей ЭЦП заверяются все вновь созданные сертификаты ЭЦП сети ViPNet.

Рис. 1.45. Назначение администраторов УКЦ

По умолчанию действующим становится тот Администратор (УЛ), пароль которого введен для входа в УКЦ.

В меню Сервис → Журнал событий с помощью фильтров поиска можно просмотреть действия и события, произошедшие в УКЦ (Рис. 1.46.). Каждое событие можно просмотреть более подробно, щелкнув на нем левой кнопкой «мыши» (Рис. 1.47.).

Рис. 1.46. Окно Журнала событий УКЦ

Рис. 1.47. Информация о событии из Журнала событий УКЦ

Шаг 9 (10)
Развертывание защищенного узла Администратора сети ViPNet

Для развертывания защищенного узла Администратора 3 0 необходимо зайти в каталог, где были сохранены файлы dst – дистрибутивы и скопировать dst–файл Администратора 3 0 в каталог установки ViPNet Client (по умолчанию – это каталог ..\SS\).

Развертывание защищенного узла может быть произведено двумя способами:

· запуском файла dst – в этом случае программа запросит каталог, в котором будет храниться ключевая информация;

· запуском программы ViPNet Client Монитор, при этом необходимо будет указать, где хранится файл-дистрибутив и куда нужно будет сохранить ключевую информацию;

 

Замечание: драйвер ViPNet IPLir начнет работать только после перезагрузки ОС компьютера.

 

В настоящем случае развертывание защищенного узла Администратора 3 0 будет происходить посредством ViPNet Монитора. Если перезагрузка ОС компьютера не была произведена ранее, ее следует произвести сейчас. После перезагрузки драйвер ViPNet запросит пароль на вход в виртуальную сеть и на начало работы с защищенным узлом. Необходимо ввести тот пароль, который был дан Администратору 3 0 в УКЦ и начать первичную инициализацию по развертыванию защищенного узла. Без первичной инициализации (ее производят только один раз в самом начале развертывания защищенного узла) драйвер не будет загружаться.

Для проведения первичной инициализации в окне запроса пароля драйвером необходимо справа от кнопки Настройка выбрать выпадающее меню (треугольник вниз) и выбрать строку Первичная Инициализация (Рис. 1.48.).

Рис. 1.48. Начало первичной инициализации ViPNet Client Монитор

Появится Мастер (Wizard-Визард) первичной инициализации (Рис. 1.49.), который поможет развернуть СУ виртуальной сети ViPNet.

Рис. 1.49. Мастер первичной инициализации ViPNet Client

Мастер запросит месторасположение файла dst для пользователя, запросит информацию о том, какие аппаратные носители информации будет использовать абонент для хранения ключевой информации и пароль к дистрибутиву, а также потребует указать место для хранения справочников и ключевой информации.

Перед загрузкой Монитора программа спросит пользователя о том, в какой конфигурации тот желает работать – в обычной или в конфигурации Открытого Интернета. Следует выбрать обычную конфигурацию (Рис. 1.50.).

Рис. 1.50. Окно выбора конфигурации Монитора

После входа в операционную систему и загрузки Монитора некоторые из приложений, установленных на компьютере, попытаются получить доступ к сетевой карте (картам). Программа Контроль приложений, входящая в состав ПО ViPNet Client (при условии лицензирования) заблокирует выход этих приложений в сеть (как открытую, так и закрытую) и запросит пользователя о том, какие действия надо предпринять в отношении этих приложений (Рис. 1.51.). В настоящем случае необходимо разрешить работу в сети службы ОС Windows Generic Host Process. Решение в отношении других программ, запросивших доступ в сеть, остается за пользователем.

Рис. 1.51. Окно программы Контроль приложений

В итоге на СУ Администратора 3 0 окно Защищенная сеть в Мониторе должно выглядеть, как показано на Рис. 1.52.

Рис. 1.52. Окно Защищенная сеть Администратора 3 0

Замечание: В окне Защищенная сеть Монитора показаны:

Синим цветом – настоящий СУ.

Красным цветом – координаторы сети.

Серым и сиреневым цветом – СУ сети ViPNet, связь с которыми есть на уровне типов коллективов. Если настоящий узел не обменялся служебной информацией с конкретным СУ, то тот СУ будет показан серым цветом. Если же настоящий узел обменялся служебной информацией с конкретным СУ, то тот СУ будет показан сиреневым цветом

После развертывания защищенного узла в трее ОС Windows должны появиться значки программ MFTP (грузовичок), Монитор (семь красных квадратиков) и Контроль приложений (зеленый шарик на полосатом фоне) (Рис. 1.53.).

Рис. 1.53. Трей ОС Windows со значками ПО ViPNet

 

Замечание: Значок MFTP (грузовичок) становится красным, если пришла информация от абонентов защищенной сети. По значку Монитора при отправке\приеме пакетов бегает белый квадратик. Значок Контроля приложений становится серым, если программа отключена (не производится контроль доступа в сеть).

 

Контрольные вопросы

1. Что представляет собой виртуальная сеть ViPNet? Из чего она состоит? Что такое «номер сети»? Из чего состоит идентификатор сети?

2. Что такое «сетевой узел»? Из чего состоит идентификатор сетевого узла?

3. Что такое «коллектив»? Из чего состоит идентификатор коллектива?

4. Что такое «тип коллектива»? Из чего состоит идентификатор типа коллектива?

5. Что такое «область действия ТК»?

6. Что такое «Абонент» (Пользователь) сети ViPNet? Из чего состоит идентификатор пользователя?

7. Чем определяется наличие защищенного канала связи между пользователями сети ViPNet?

8. Что такое «прикладная задача»?

9. Что такое «полномочия пользователя»? Для каких прикладных задач задаются полномочия?

10. В какой программе определяется возможность пользователю иметь ЭЦП?

11. Что происходит в ЦУСе при нажатии кнопки «Сформировать все справочники»?

12. Что такое «мастер-ключ»? Где хранится Основной Мастер-ключ?

13. Кто такое «Уполномоченное лицо»?

14. Что такое файл-дистрибутив (dst-файл)? Для чего он нужен?

15. Что содержится в полном дистрибутиве? Что содержится в минимальном дистрибутиве?

16. Что находится в ключевой дискете (КД)?

17. Что находится в ключевом наборе (КН)?

18. Какая ключевая информация формируется в УКЦ для пользователя сети ViPNet?

19. Какая ключевая информация формируется в УКЦ для коллектива пользователей?

20. Какая ключевая информация формируется в УКЦ для СУ?

21. Где формируются адресные справочники и таблицы маршрутизации?

22. В каком каталоге находятся справочники, КД и КН на СУ Администратора безопасности?

23. Чем защищаются КН каждого пользователя защищенной сети?

24. На каких внешних устройствах можно сохранить пароль пользователя?

25. Какие лицензионные файлы необходимы при установке ПО ViPNet Client и ПО ViPNet Coordinator?

 


Практическое занятие 2 . Модификация виртуальной сети ViPNet

 

Цель задания № 2

§ Проведение модификации защищенной сети ViPNet.

§ Управление виртуальной сетью ViPNet.

 

Содержание

§ Изменения в Адресной и Прикладной администрациях ЦУСа.

§ Формирование новых адресных справочников и справочников для УКЦ.

§ Формирование новой ключевой информации в УКЦ.

§ Перенос сформированной ключевой информации из УКЦ в ЦУС.

§ Рассылка обновлений из ЦУСа.

§ Настройка транспортного модуля.

§ Обновление адресной и ключевой информации.

§ Контроль прохождения обновлений из ЦУСа.

§ Проверка прохождения обновлений с клиентского рабочего места.

Термины и понятия

· Компрометация ключей абонента.

· Автоматическая генерация ключей.

· Электронная рулетка.

· Ключевой набор.

· Ключевая дискета.

· Адресные справочники АП и СМ.

· Рассылка обновления.

· Журнал запросов и ответов.

· Транспортный модуль.

Виды модификации и обновления защищенных сетей ViPNet

Изменение (модификация) сети ViPNet является очень важным действием по управлению виртуальной сетью. Изменения могут быть следующими:

1. Модификация без компрометации.

1.1 Модификация с формированием ключей - ДОБАВЛЕНИЕ ИЛИ УДАЛЕНИЕ:

· Сетевого Узла (СУ).

· Типа Коллектива (ТК).

· Пользователя (Абонента).

· Связей между ТК.

· ЭЦП пользователю.

 

1.2 Модификация без формирования ключей - ПЕРЕИМЕНОВАНИЕ:

· Изменение имени Сетевого Узла (СУ).

· Изменение имени Типа Коллектива (ТК).

· Изменение имени Пользователя (Абонента).

 

2. МОДИФИКАЦИЯ С КОМПРОМЕТАЦИЕЙ (внеплановая смена ключей):

2.1 УДАЛЕНИЕ С КОМПРОМЕТАЦИЕЙ:

· Сетевого Узла (СУ) (вместе с его пользователями).

· Типа Коллектива (вместе с его пользователями).

· Пользователя (Абонента).

 

2.2 КОМПРОМЕТАЦИЯ БЕЗ УДАЛЕНИЯ:

· Сетевого Узла.

· Пользователя (Абонента).

 

3. СМЕНА ОСНОВНОГО МАСТЕР-КЛЮЧА – Плановая смена всех ключей.

 

4. ПРОВЕДЕНИЕ ОБНОВЛЕНИЙ:

4.1 Обновление адресных справочников для АП и СМ.

4.2 Обновление КН для АП и СМ.

4.3 Обновление и создание новой КД для Пользователя АП и СМ.

4.4 Смена пароля Уполномоченного лица.

4.5 Смена пароля пользователя.

4.6 Формирование нового сертификата ЭЦП пользователя.

4.7 Формирование дистрибутивов.

 

Модификация защищенной сети ViPNet версии 3.0 будет включать в себя:

- создание нового сервера-маршрутизатора (СМ Координатор Linux);

- регистрация за СМ Координатор Linux нового абонентского пункта (АП Клиент Linux);

- добавить в ТК Администратор 3 0 нового пользователя Контролер 3 0; сделать пользователя скрытым в этом ТК;

- создать Сетевую Группу (СГ) Домен в составе пяти АП (Марс, Юпитер, Сатурн, Уран, Нептун); АП Домена имеют одноименные ТК и абонентов; все ТК АП Домена связаны только с ТК Администратор 3 0;

- назначить Уполномоченным Лицом (УЛ) абонента Юпитер; сделать УЛ Юпитер действующим УЛ;

- создать абонента Клиент 3 1 в ТК Клиент 3 0;

- удалить из СГ Домен АП Уран;

- сменить Основной Мастер-ключ системы.

 

Внимание! Перед модификацией сети ViPNet и высылкой обновлений необходимо проверить работоспособность каналов связи между узлами защищенной сети. По умолчанию, все СУ сети ViPNet используют канал Через сервер. Для взаимодействия СУ между собой без посредников необходимо использовать канал MFTP.

 

 

Шаг 1
Настройка защищенных каналов передачи информации

Для передачи информации внутри защищенной сети используются каналы MFTP – путь передачи информации от одного узла до другого.

По умолчанию установлен канал с посредником – Через сервер.

Поскольку в настоящей работе нет физического присутствия серверов-маршрутизаторов, Администратор 3 0 не может выслать никому (в том числе себе) информацию. Для того, чтобы информация была передана (выслана и получена), необходимо для Администратора 3 0 установить канал передачи информации без посредника – MFTP.

Настройка каналов производится в программе MFTP – следует дважды щелкнуть «мышкой» на грузовичке и в появившемся окне выбрать меню Настройки (Рис. 2.1.).

Дале следует выбрать запись «АП Администратор 3 0» и дважды щелкнуть «мышкой» на ней. В появившемся окне (Рис. 2.2.) в абзаце Тип канала необходимо выбрать опцию MFTP, проставить все «галочки» и поставить время опроса базы данных.

 

Замечание: IP-адрес узла не обязательно прописывать, поскольку узлы обменяются друг с другом информацией и адреса появятся автоматически.

 

Рис. 2.1. Окна программы MFTP

Рис. 2.2. Настройка канала взаимодействия АП Администратор 3 0

После этого следует нажать кнопку ОК дважды и выйти в окно Монитора.

 

Шаг 2
Добавление с сеть ViPNet СМ Координатор Linux и АП Клиент Linux

В Адресной администрации (меню Службы → Адресная администрация → Структура сети ViPNet) в списке Серверов-маршрутизаторов необходимо добавить (Alt+I) СМ Координатор Linux и зарегистрировать за новым СМ (Alt+I) АП Клиент Linux (Рис. 2.3.). Необходимо связать СМ Координатор Linux межсерверным каналом с СМ Координатор 3 0(это производится клавишами Alt+С и Alt+M). После этого необходимо создать новые таблицы маршрутизации.

Рис. 2.3. Создание СМ Координатор Linux и АП Клиент Linux

В Прикладной администрации (меню Службы → Прикладная администрация → Регистрация типов коллективов) необходимо переименовать новые ТК Координатор Linux и ТК Клиент Linux и проверить связи вновь созданных ТК (все ТК должны быть связаны со всеми). При необходимости добавить отсутствующие связи.

Переименовать пользователей (наименования должны быть без приставок) и отказать Координатору Linux в праве иметь ЭЦП в меню Службы → Прикладная администрация → Регистрация пользователей.

Далее необходимо сформировать справочники (Службы → Сформировать все справочники) и, при отсутствии аномальных ситуаций, начать работу в УКЦ.

В УКЦ в меню Сервис → Автоматически создать необходимо сформировать дистрибутивы (строка Дистрибутивы) - автоматически будут созданы наборы резервных персональных ключей (НРПК) для вновь созданных пользователей, после чего перенести созданную информацию в каталог на диске. Далее следует сформировать обновления ключевой информации (строки Ключевые наборы и Обновления ключей) для существующих пользователей (после чего перенести эту информацию из окон Ключевой центр / Своя сеть ViPNet / Ключи / Обновления ключей (Ключевые наборы) в ЦУС посредством правой кнопки «мыши» - строка Перенести в ЦУС).

Дистрибутивы следует выдать на носителе информации новым пользователям сети ViPNet, а в ЦУСе необходимо разослать справочную и ключевую информацию, полученную из УКЦ, на СУ виртуальной сети в виде обновлений (меню Управление → Отправить измененные файлы → Ключевые наборы для СУ и Справочники АП и СМ).

После прохождения обновлений в окне Защищенная сеть сетевых узлов сети должны появиться фильтры для вновь созданных узлов (Рис. 2.4.).

Рис. 2.4. Окно защищенная сеть с новыми СУ

 

Шаг 3
Добавление пользователя Контролер 3 0 в ТК Администратор 3 0

Добавление пользователя происходит в меню Службы → Прикладная администрация → Регистрация пользователей. В появившемся окне необходимо добавить нового пользователя Контролер 3 0 в ТК Администратор 3 0. В окне Список типов коллективов пользователя необходимо скрыть пользователя Контролер 3 0 в ТК Администратор 3 0 (Рис. 2.5.).

Рис. 2.5. Введение пользователя в ТК в скрытом виде

В УКЦ следует сформировать ключевую информацию для созданного пользователя (дистрибутив и НРПК) и сохранить ее в каталоге на диске. А также следует сформировать обновление ключевой информации для объектов защищенной сети и выслать ее в ЦУС.

Из ЦУСа обновления необходимо разослать по СУ сети. Дистрибутив пользователя Контролер 3 0 следует поместить в каталог ..\SS\. После этого необходимо выгрузить [Монитор], если он был загружен, и произвести первичную инициализацию (Рис. 2.6.) для дистрибутива пользователя Контролер 3 0. Ключевая информация пользователя должна быть сохранена в каталоге, отличном от каталога хранения ключевой информации абонента Администратор 3 0.

В дальнейшем пользователь Контролер 3 0 сможет использовать ПО ViPNet [Клиент][Монитор] следующим образом – при вводе пароля он должен будет указать каталог, где хранится его ключевая информация (по умолчанию предлагается ..\SS\user_AAAA, где АААА – номер пользователя в ЦУСе). Без указания каталога хранения ключевой информации ПО будет загружать профиль абонента по умолчанию – Администратор 3 0.

Рис. 2.6. Окно входа в ПО ViPNet

Шаг 4
Добавление СГ ДОМЕН

Создание сетевой Группы Домен производится в Адресной администрации ЦУСа в меню Группы сетевых узлов. Группу ДОМЕН необходимо сделать текущей (комбинация клавиш ALT+G).

После создания СГ необходимо создать пять АП - Марс, Юпитер, Сатурн, Уран, Нептун. Указанные АП необходимо зарегистрировать за СМ Координатор Linux. Далее вышеуказанные абонентские пункты необходимо включить в текущую группу (клавиша INS). Слева от наименований АП появятся «звездочки» - * (Рис. 2.7.). В меню Серверы-маршрутизаторы напротив наименования СМ Координатор Linux также появится «звездочка» (Рис. 2.8.).

Рис. 2.7. Добавление СУ, входящие в СГ ДОМЕН, за СМ Координатор Linux

Рис. 2.8. Окно Серверы-маршрутизаторы

Следующим действием будет создание пользователей МАРС, ЮПИТЕР, Сатурн, Уран, Нептун (Рис. 2.9.). Каждого из пользователей необходимо зарегистрировать в ТК ДОМЕН и на соответствующем сетевом узле, входящем в СГ ДОМЕН. После указанных действий следует выполнить условие по связи ТК ДОМЕН.

Рис. 2.9. Добавление пользователей, входящих в СГ ДОМЕН

Завершающим действием в ЦУСе станет формирование справочников.

После перехода в УКЦ следует сформировать дистрибутивы, НРПК и обновления ключевой информации распределить их по соответствующим местам (дистрибутивы и НРПК в папку на выдачу абонентам, обновления – в ЦУС). Далее из ЦУСа информацию необходимо разослать на СУ сети.

После прохождения обновлений в окне Защищенная сеть сетевых узлов сети должны появиться фильтры для вновь созданных узлов (Рис. 2.10.).

Рис. 2.10. Окно защищенная сеть с СУ, входящими в СГ ДОМЕН

Шаг 5
Назначение пользователя ЮПИТЕР Уполномоченным Лицом

Назначение абонента ЮПИТЕР Уполномоченным лицом (УЛ) производится в УКЦ. В меню Администраторы можно увидеть всех УЛ системы. Назначить нового УЛ можно, щелкнув правой кнопкой «мыши» по одной из записей УЛ и выбрав сроку Создать… (Рис. 2.11.). После прохождения всех этапов инициализации Администратора сети ViPNet в окне Администраторыможно увидеть вновь созданного Администратора ЮПИТЕР. Причем ЮПИТЕР сразу становится действующим УЛ, что обозначается яркими цветами иконки. Иконка Администратора 3 0 становится тусклой. Щелкнув правой кнопкой «мыши» по записи Администратор 3 0 и выбрав строку Назначить текущим, можно сделать текущим УЛ указанного абонента.

Рис. 2.11. Назначение текущим Администратором

Шаг 6
Добавление пользователя Клиент 3 1

Создание абонента Клиент 3 1 производится в меню Регистрация пользователей в Прикладной администрации.

В УКЦ необходимо сформировать дистрибутив для нового пользователя.

 

Шаг 7
Удаление АП УРАН

Удаление АП УРАН производится в Адресной администрации ЦУСа. После этого необходимо в УКЦ сформировать ключевую информацию для объектов защищенной сети и разослать ее по СУ защищенной сети.

 

Шаг 8
Смена Основного Мастер-ключа персональных ключей пользователей

Смена Мастер-ключа (МК) системы может быть произведена для каждого МК из представленных в УКЦ версии 3.0. В настоящем задании необходимо сменить Мастер-ключ персональных ключей.

Рис. 2.12. Меню смены мастер-ключей

Для этого необходимо зайти в УКЦ, меню Ключевой центр / Ключи / Мастер-ключи и , щелкнув правой кнопкой «мыши», выбрать меню Сменить… (Рис. 2.12.) После запроса авторизации для изменения Мастер-ключа (Рис. 2.13.) необходимо ввести пароль УЛ и создать новый МК. После этого в ЦУСе необходимо сформировать и выслать справочники в УКЦ для создания КН и КД и в самом УКЦ заново сформировать новую ключевую информацию для объектов защищенной сети, после чего выслать в ЦУС для пересылки на указанные объекты.

Рис. 2.13. Предупреждение о смене мастер-ключа

Шаг 9
Работа с ПО ViPNet [Администратор] [Сервис публикации]

ViPNet Администратор [Сервис публикации] (СП) предназначена для публикации сертификатов пользователей ViPNet, сертификатов администраторов УКЦ и списков отозванных сертификатов. Кроме того, в программе реализованы и механизмы доступа к опубликованной информации по стандартным протоколам.

Программная оболочка [Сервиса публикаций] состоит из нескольких окон, работа с которыми будет описана ниже.

Рис. 2.14. Окно Общие в Сервисе публикаций

В окне Общие (Рис. 2.14.) необходимо настроить работу [Сервиса публикаций] при взаимодействии с УКЦ. Для этого в каталоге установки ПО ViPNet [Администратор] следует создать папки ..\FOR_KC\ и ..\FROM_KC\, используя которые СП будет обмениваться с УКЦ информацией о сертификатах системы, а также установить «галочки» напротив тех строк, режимы которых необходимы для работы.

В окне Пользователь (Рис. 2.15.) указан тот абонент системы, который ввел пароль для входа в саму программу, его коллектив и состав самого коллектива.

Рис. 2.15. Окно Пользователь в Сервисе публикаций

В окне Серверы публикации (Рис. 2.16.) выводится список серверов в виде таблицы, содержащей краткую информацию о серверах, используемых для публикации списка отозванных сертификатов (СОС) и сертификатов. «Галочки» в строке перед именем позволяют включать или отключать участие серверов в публикации.

Рис. 2.17. Окно Серверы публикации в Сервисе публикаций

В окне Импорт СОС показаны так называемые точки распространения СОС. Точки распространения СОС – это центры хранения сертификатов (Удостоверяющие центры – УЦ), с которыми данный СП будет обмениваться информацией по отозванным сертификатам.







Дата добавления: 2014-11-10; просмотров: 2215. Нарушение авторских прав

codlug.info - Студопедия - 2014-2017 год . (0.127 сек.) русская версия | украинская версия