Введение
В настоящее время идёт всеобщее развитие IT-инфраструктуры и автоматизации рабочих мест. У предприятий появляется потребность в надёжной и безопасной связи центрального офиса с удалёнными компьютерами сотрудников. Возникает необходимость защиты соединений для передачи конфиденциальной информации. Кроме того, ряд нормативных актов РФ в области информационной безопасности обязывает обеспечивать защищённый обмен сведениями определённого рода. В частности, если речь идёт о персональных данных, то основанный на одноимённом Федеральном законе №152-ФЗ приказ ФСТЭК России №21 обязывает охранять их от раскрытия, модификации и навязывания — ввода ложной информации — при передаче (или подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе — беспроводным. Схожие требования прописаны и в приказе ФСТЭК России №17, который касается обеспечения безопасности данных, содержащихся в государственных информационных системах. Также о защите каналов связи и об организации защищённого удалённого доступа говорится в нормативных актах, регламентирующих оборону критической информационной инфраструктуры, в частности — в приказах ФСТЭК России №239 и №31.
Чаще всего для организации защищённого канала связи создают виртуальную частную сеть (VPN) с использованием криптоалгоритмов ГОСТ. Для этого применяются криптошлюзы и клиентское программное обеспечение. Законодателями мод в этой нише стали такие разработчики, как «ИнфоТеКС», «Код Безопасности» и «С-Терра». Однако подобное решение представляет собой весьма тяжёлую конструкцию, поскольку необходимо не только использовать криптошлюз, но и устанавливать VPN-клиенты на все рабочие станции, с которых требуется производить подключение. Поэтому такой вариант больше подходит для защиты каналов связи между подразделениями компании.
В то же время решения на базе TLS-криптошлюзов позволяют создавать защищённые соединения и без VPN-клиентов, с использованием одного лишь браузера и установленных сертификатов. Это даёт возможность получать доступ к корпоративным ресурсам даже со смартфонов и планшетов. Реализация данного решения требует небольшого количества времени.
VipNet
Клиент мешает авторизации машины в домене. Перед вводом/выводом машины в/из домена выключить клиента.
Доступ к защищенным сайтам с компьютеров в ЛВС через один VipNet-клиент
netsh interface portproxy add v4tov4 listenport=1920 connectport=80 connectaddress=192.168.200.211 netsh interface portproxy add v4tov4 listenport=1922 connectport=80 connectaddress=172.21.102.144
И перевести VipNet Client в режим разрешающий входящие соединения.
Можно добавить ярлык в каталог «Автозагрузка», где во вкладке «Ярлык» в строке «Объект» указать:
cmd /c "netsh interface portproxy add v4tov4 listenport=1920 connectport=80 connectaddress=192.168.200.211"
АЦК
Если VipNet клиент не видит АЦК, то нужно найти узел «Мин. фин», проверить его доступность (F5), и если доступен в свойствах узла открыть вкладку «Тоннели», добавить тоннель 192.168.14.2
Загрузка VipNet Client без ввода пароля
При загрузке ПК с VipNet Client каждый раз приходится вводить сложный пароль. Для того чтобы этого избежать, необходимо в корневой папке программы (например C:\Program Files\InfoTeCS\ViPNet Client) создать текстовый файл svcx.txt и вписать туда пароль абонентского пункта.
Перенос установленного клиента
- Сделать из каталога установки программы ViPNet Clent резервную копию следующих каталогов и файлов:
- \d_station;
- \databases;
- \MS;
- \MSArch (каталог по умолчанию хранения архивов «Деловой почты»);
- \Protocol (если требуется скопировать сохраненные протоколы сеансов обмена сообщениями);
- \TaskDir (если требуется сохранить файлы, принятые по файловому обмену);
- Каталог ключей пользователя, обычно \user_AAAA (где AAAA — шестнадцатиричный идентификатор пользователя ViPNet без номера сети). В некоторых случаях каталог ключей пользователя может совпадать с каталогом установки программы ViPNet Client, тогда следует скопировать каталог \key_disk.
- APAXXXX.TXT, APCXXXX.TXT, APIXXXX.TXT, APLXXXX.TXT, APNXXXX.CRC, APNXXXX.CRG, APNXXXX.TXT, APSXXXX.TXT, APUXXXX.TXT (где XXXX — шестнадцатиричный идентификатор сетевого узла без номера сети);
- autoproc.dat (этот файл присутствует, если настроены правила автопроцессинга);
- infotecs.re;
- iplir.cfg, iplirmain.cfg;
- ipliradr.do$, ipliradr.doc;
- linkXXXX.txt, nodeXXXX.tun (где XXXX — шестнадцатиричный идентификатор сетевого узла без номера сети);
- mftp.ini;
- wmail.ini.
- Перед переносом справочно-ключевой информации на новый компьютер установить программу ViPNet Client (см. «Установка и первичная инициализация» на стр. 40), но не выполнять инициализацию справочно-ключевой информации. Иначе, удалить следующие каталоги и файлы:
- каталог ключей пользователя \user_AAAA;
- файлы AP*.TXT, APNXXXX.CRC, APNXXXX.CRG.
- Справочно-ключевую информацию, перечисленную на шаге 1, поместить в новый каталог установки программы ViPNet Client.
- В файле wmail.ini в качестве значений параметров MSDir и MSArchDir указать путь к новому каталогу установки программы ViPNet Client.
- В файле mftp.ini указать путь к новому каталогу установки программы ViPNet Client в значениях всех параметров, где он встречается.
- Удалить файл certlist.sst, находящийся в подкаталоге \d_station\abn_AAAA (где AAAA — шестнадцатиричный идентификатор пользователя ViPNet без номера сети).
- Запустить программу ViPNet Монитор и в окне входа в программу указать путь к каталогу ключей пользователя, например C:\Program Files (x86)\InfoTeCS\ViPNet Client\user_0003.
- Выполнить вход в программу ViPNet Монитор (см. «Режимы авторизации» на стр. 62).
- В окне «Настройка параметров безопасности» на вкладке «Ключи» установить контейнер ключей электронной цифровой подписи. Для этого:
- Нажать кнопку «Установить».
- В окне «ViPNet CSP» «Инициализация контейнера ключа» указать путь к каталогу с контейнером, например C:\Program Files (x86)\InfoTeCS\ViPNet Client\user_0003\key_disk\dom.
- В списке «Имя контейнера» выбрать контейнер (имя контейнера начинается с символов sgn).
- Нажать кнопку OK.
После выполнения перечисленных действий программа ViPNet Client готова к работе.
В случае повреждения носителя с .dst
- Пишем письмо на имя директора ГБУ РО «РЦИС», в котором
- указываем причину утраты носителя,
- просим эти файлы снова выдать.
- Оформляем доверенность на получение носителей с .dst
- В Ростове-на-Дону по адресу улица Козлова, дом 62/148 получаем.
Обновление сертификата клиента
При появлении подобного сообщения
Открыть настройки электронной подписи — выбрать «Обновить сертификат». Файлы обновления могут поступить в течение двух дней.
Преимущества
- Использование в качестве аппаратной платформы надежного промышленного сервера типоразмера 19” 1U;
- Программное обеспечение создано на базе провереннего многолетней эксплуатацией ПО ViPNet Coordinator Linux и технологии защиты информации ViPNet;
- Количество одновременно установленных соединений через криптошлюз не ограничивается;
- Поддержка работы в современных мультисервисных сетях связи с серверами DHCP, WINS, DNS и преобразованием адресов (NAT, PAT);
- Использование в качестве центра генерации ключей шифрования сертифицированного ФСБ России ПО ViPNet Administrator из состава СКЗИ «Домен-КС2/КМ»;
- Низкая стоимость по сравнению с аналогичными по возможностям СЗИ других отечественных компаний;
- Возможность проведения СИиСП оборудования серверов.
Деинсталляция в Безопасном режиме
Если пользователь столкнулся с проблемой деинсталляции программ в защищенном режиме после установки драйвера USB-ключа либо по любой другой причине, но ему нужно срочно удалить VipNet Client, тогда на помощь придет встроенный режим «Windows Safe Mode»:
- Перезагрузить ПК, и сразу после появления курсора на черном экране щелкнуть на «F8».
- На мониторе появятся варианты загрузки Виндовс – выбрать 1.
- После загрузки ПК в защищенном режиме нужно нажать на сочетание Win + R, и в окне «Выполнить» вбить команду «regedit». Попасть в окно «Registry Editor» также можно через ввод кода «regedit» в поисковой строке Windows.
- Щелкнуть правой клавишей мыши по любой папке, расположенной в правой части экрана. В раскрывшемся меню выбрать опцию «Найти…» — вбить следующий адрес директории «HKLM\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Minimal\» без кавычек и пробелов.
- Кликнуть по папке «Minimal» правой кнопкой мыши и выбрать «Создать» — «Раздел». Имя для раздела указать «MSIServer».
- Открыть запись «По умолчанию» в только что созданной папке. В поле «Значения» строкового параметра для «MSIServer» указать «Service». Кликнуть «ОК».
- После проведения указанной манипуляции в директории «HKLM\ SYSTEM\ CurrentControlSet\Control\SafeBoot\Minimal\» будет располагаться объект «MSIServer» с параметром «Service».
- Теперь нужно удалить VipNet Client в безопасном режиме. Для этого потребуется зайти в «Командную строку» – зажать Win + R и вбить команду «cmd» без кавычек – «Enter». Пользователям Windows 10 нужно войти в «PowerShell» — щелкнуть правой кнопкой мышки по меню «Пуск», и в раскрывшемся списке найти данный раздел.
- В Cmd или PowerShell ввести команду «net start msiserver».
- В диалоговом окне появится надпись «Установщик Windows запущен».
- Также можно запустить консоль Виндовс через команду «Службы» — зажать комбинацию Win + R и ввести код «services.msc» без кавычек.
- В списке служб отыскать «Установщика» — кликнуть по нему правой клавишей мыши и нажать «Запустить».
- Теперь можно будет удалить с компьютера в безопасном режиме любые программы, в том числе VipNet.
- Для этого зайти в «Установку и удаление программ» и выполнить деинсталляцию привычным методом.
Всё, описанное ниже, подходит для Vipnet Client как версии 3.2, так и версии 4.3. Принцип одинаковый.
В зависимости от причин переноса и требований к нему можно выбрать один из двух способов:
- «Чистая» установка Vipnet на новый компьютер, с последующей загрузкой ключевого дистрибутива (*.dst), который использовался на старом компьютере;
- Установка Vipnet на новый компьютер, с предварительным копированием файлов конфигурации и архива писем программы со старого компьютера.
СПИСОК ЛИТЕРАТУРЫ
- Биячуев, Т. А. Безопасность корпоративных систем : учеб. пособие / Т. А. Биячуев. – СПб.: СПб ГУ ИТМО, 2014. – 161 с.
- Браун, С. Виртуальные частные сети : учеб. пособие / С. Браун. – М: Лори, 2015. – 481 с.
- Романец, Ю. В. Защита информации в компьютерных системах и сетях: Учебное пособие / Ю.В.Романец, П.А.Тимофеев, В.Ф.Шаньгин. – М. : Ифра-М, 2015. – 304 с.
- Дворский, М. Н. Техническая безопасность объектов предпринимательства : Учебное пособие / М. Н. Дворский, С. Н. Палатченко. – М. : А-депт, 2016. – 304 с.
- ViPNet Администратор: Руководство администратора
- ViPNet Координатор: Руководство администратора
- http://www.infotecs.ru
- http://expo-infosecurity.ru
- http://ru.wikipedia.org/wiki/VPN
- «Невербальные проявления эмоциональных состояний человека»
- Основы теории первого иностранного (английского) языка (Понятие о системе пунктуации)
- Анатомия облачной инфраструктуры хранения данных
- Проектирование информационных систем
- Особенности использования пословиц в английском языке
- Специфика перевода рекламного текста (как пример оперативного текста):перевод или интерпретация?
- Предмет, метод предпринимательского права и принципы предпринимательского права(Принципы российского предпринимательского права)
- Теоретические аспекты функций менеджмента.
- Теоретические аспекты роли кадровой службы в формировании и реализации кадровой стратегии на предприятии
- Проектирование организации(Основы проектирования организации)
- Управление изменениями в проекте на примере ООО «Вайлдберриз»
- ПОНЯТИЕ, СУЩНОСТЬ И ПРАВОСПОСОБНОСТЬ ЮРИДИЧЕСКИХ ЛИЦ
Нет связи с ресурсами компании
Предположим, у нас есть веб-сайт, который открывается только при наличии VPN подключения через Vipnet клиент. Данный веб-сайт вчера открывался, а сегодня «внезапно» перестал. Чтож, идём в пуск — Vipnet — vipnet client — Монитор.
При открытии VipNet монитора видим, что все узлы у нас серые, а при проверке имеют статус «Недоступен». Защищённые ресурсы компании, находящиеся в пределах VPN не открываются, однако интернет у нас на месте. Для диагностики проблемы идём в журнал IP-пакетов, устанавливаем желаемый промежуток времени и жмём поиск:
В логах причина вполне очевидна — «Слишком большая разница во времени».
Если время на сервере отличается от времени на устройстве, VipNet клиент работать не будет. Сам постоянно грешу и забываю в первую же очередь проверить время на устройстве, однако в последнем обращении клиентов с такой проблемой наблюдал забавную фишку. Время на компе было вписано якобы правильно. Точнее цифры то правильные, а часовой пояс неверный. Короче меняем время в системе. Делаем правый тык на часах ->настройка даты и времени, проверяем что часовой пояс верный. На верочку так же можно включить автоматическую установку времени и дополнительно его синхронизировать.
Нет интернета при использовании VipNet Client
Данная проблема конечно гораздо глобальнее, ведь интернета как и локальной сети в данном случае нет. А виноват опять пользователь. Если при использовании VipNet пропал интернет, скорее всего был заблокирован Svсhost.exe, отвечающий за выход АРМ в сеть. Процесс блокировки скорее всего выглядел так: Контроль приложений Vipnet вызвал у пользователя окно о том, что приложение Svchost.exe изменено и можно ли ему разрешить выход в сеть. Пользователь не глядя ткнул на запрет и вот результат. Проверить заблокирован ли Svchost.exe можно вызвав контроль приложений во вкладке приложения.
Ищем в списке наш процесс и удостоверяемся в том что он не заблокирован. В моем случае всё норм, у вас будет крест напротив процесса.
Чтобы разблокировать данный процесс, понадобится вход в режим администратора, а следовательно, пароль администратора. Звоните администратору сети чтобы узнать был ли ранее задан пароль администратора Vipnet и не истек ли его срок годности.
А если истек?
В случае истечения срока действия админского пароля Vipnet Client скорее всего придётся сносить т.к. администратор сети не сможет выслать вам новый (сети же нет). Однако если вам повезло и администратор сети находится от вас на расстоянии вытянутой руки, пусть перевыпустит и переустановит DST данного узла на новый, но проще конечно переустановить Vipnet Client, не забыв при этом вручную удалить папку d_station по пути установки клиента. По-умолчанию путь C:\Program Files (x86)\InfoTeCS\ViPNet Client\d_station. Если вы не зачистите папку d_station, после переустановки клиент снова подхватит правила из контроля приложений и интернета снова не будет. Естественно прежде чем переустанавливать VipNet Client не забудьте убедиться в том что у вас сохранился прежний DST файл. За это вам конечно надо дать по шапке т.к. это небезопасно. Если DST файла у вас нет, опять же звоните администратору сети с просьбой выпустить новый взамен старого.
Надеюсь данный пост был вам полезен, всего хорошего =)
Установка софта ViPNet
На все узлы ставим соответствующее программное обеспечение – на клиенты – Client, на координаторы Coordinator. Установка координатора в принципе ничем не отличается от установки клиента, её я рассматривать не буду.
Далее устанавливаем ключевую информацию – при первом запуске программы указываем путь к соответствующему dst-файлу – это важный момент! Вообще первичные дистрибутивы ключевой информации распространяются доверенным каналом через спецсвязь или фельдъегерской службой. Либо нарочно
Не суть важно. Так же передаём пароль, потому что без пароля пользователя активировать ViPNet драйвер не получится
При первом запуске как клиента, так и координатора увидим следующее окно:
Выбираем пункт “Установить ключи” и указываем dst-файл соответствующего пользователя.
Затем производим вход и если всё в порядке, увидим интерфейс ViPNet Monitor.
Может появится окно с предложением установить корневой сертификат. Соглашаемся.
Всё готово! Когда все узлы будут установлены мы увидим что-то вроде:
Здесь можно обратить внимание, что некоторые IP адреса реальные, некоторые – нет. Это особенность работы драйвера ViPNet
За каждой станцией закрепляется дополнительный “виртуальный” IP-адрес (начальный адрес задаётся в настройках), как правило это подсеть 11.0.0.0/8. Сделано это для того, чтобы исключить совпадения адресов различных узлов (так как ViPNet может объединять разнородные сети, некоторые из узлов которых могут находиться за NAT-ом).
Виртуальный адрес обычно остаётся постоянным и не зависит от реального адреса машины (даже мобильное рабочее место, меняя реальный IP, перемещаясь по стране/миру, подключаясь к разным провайдерам, будет иметь постоянный виртуальный адрес). Виртуальный IP адрес зависит только от внутреннего идентификатора станции в сети ViPNet, а если кто не знает, то идентификатор представляет собой следующий вид: 0xAAAABBBB, где AAAA – 16-ричный номер сети, а BBBB – 16-ричный номер сетевого узла в сети. Кстати, обращаться к рабочим станциям можно как по реальному адресу (где это возможно), так и по виртуальному. В общем виде о них вообще можно не париться, драйвер ViPNet делает работу с адресами достаточно прозрачной.
Ну чтож, пока всё. Дальше будем развивать и прокачивать нашу сеть и исправлять возможные проблемы.
Кстати, любые изменения структуры сети теперь можно доставлять до станций следующим образом:
- В ЦУС производятся необходимые изменения, будь до добавления/удаления узлов, связей и назначение ролей;
- В ЦУС-е создаются новые справочники;
- В УКЦ создаются новые ключи (“Создать и передать ключи в ЦУС”);
- В ЦУС-е изменения отправляются на сетевые узлы:
Изменения по служебным протоколам (MFTP) отправятся на все задействованные в этих изменения узлы и применятся там. Разбор сложных ситуаций мы проведём как-нибудь, там достаточно много подводных камней.
Надеюсь, было интересно! Пока!
Бесплатный GPS-трекинг Промо
Современные технологии и возможности становятся все более доступными для широких масс и повсеместно используемыми, как для частного лица, так и для мелкого и среднего бизнеса.
Так и GPS-трекинг (отслеживание в реальном времени на карте местоположения водителей, курьеров, монтажных бригад, торговых представителей, детей, собак и т.п., а также просмотр статистики по их передвижениям и остановкам), становится сейчас все более востребованным сервисом, как для домашних условий, так и для предприятия.
И, если крупные фирмы (например, транспортные предприятия) подписав договора с коммерческими сервисами, оплачивая своевременно счета за устройства и абонплату, эту проблему для себя решили, то это скорее подходит для крупных корпоративных клиентов.
Что делать нам, простым смертным или небольшой фирме с несколькими водителями, например? Какие есть простые, надежные и недорогие решения?
2.1 Выбор средства реализации данной технологии
VPN бывают программные, программно-аппаратные и аппаратные. В защите данной сети я предлагаю использовать программное средство VPN, т.к. на мой взгляд, программные средства реализации VPN наиболее доступны и просты в использовании, и функциональных возможностей программного VPN хватит для целей защиты данной сети.
На сегодняшний день на рынке программных продуктов в данной области существует множество решений. Среди программного обеспечения данного типа от российских разработчиков можно выделить:
– Программный комплекс «ЗАСТАВА» фирмы «Элвис-плюс»;
– Программный комплекс «ViPNet» фирмы «Инфотекс»;
– Аппаратно программный комплекс «Континент-К», разработчик – НИП «Информзащита».
ОАО «ИнфоТеКС» (Информационные Технологии и Коммуникационные Системы) — одна из ведущих High Tech компаний России, основанная в 1989 г., в настоящее время является лидером отечественного рынка программных VPN-решений и средств защиты информации в TCP/IP сетях, на рабочих станциях, серверах и мобильных компьютерах. Компания и ее специалисты являются действующими членами профильных общественных организаций и ассоциаций: АДЭ, АЗИ, ЕВРААС.
Компания выполняет функции официальной секретарской компании Технического комитета по стандартизации №26 «Криптографическая защита информации».
Компания осуществляет полный цикл разработки и технической поддержки целого спектра средств защиты информации ViPNet, рассчитанных на обработку информации ограниченного доступа, включая персональные данные:
- программные и программно-аппаратные средства организации виртуальных частных сетей (VPN) и инфраструктуры открытых ключей (PKI);
- средства межсетевого экранирования и персональные сетевые экраны;
- средства шифрования данных, хранимых и обрабатываемых на компьютерах и в сети;
- системы централизованного управления и мониторинга СЗИ;
- средства криптографической защиты информации для встраивания в прикладные системы сторонних разработчиков (системы юридически значимого документооборота, порталы и т.п.)
Основные преимущества:
Простое и понятное программное обеспечение для создания защищенной сети, для использования которого не требуются специальных познаний в области защиты информации, а так же приобретения дополнительного оборудования и изменения структуры уже существующей сети;
Минимальные затраты на создание и обслуживание собственной VPN-сети;
Надежная защита сетевого трафика не мешающая в работе с дополнительными приложениями и прикладными задачами;
Гибкий подход в построении VPN-сетей на базе уникальных технологий ViPNet позволяет создавать и связывать между собой разные ViPNet сети, обеспечивать более гибкий подход к созданию различных сетевых конфигураций, создавать территориально распределенные подсети, управляемые из центрального офиса;
Новый мастер развертывания сети позволяет пошагово создать структуру сети без дополнительных настроек на сетевых узлах;
Возможность ограничивать интерфейс пользователя на сетевом узле позволяет централизованно управлять политиками безопасности в защищенной сети;
Автоматизированная обработка и прием запросов на сертификаты ЭЦП;
Совместимость с решениями Linux, включая возможность централизованного обновления ПО на Linux координаторах.
Деинсталляция VipNet Client
Прежде чем полностью удалить Vipnet Client, необходимо зайти на ПК под учетной записью Админа:
Теперь можно удалить VipNet Client полностью с Windows 7. С данной задачей отлично справятся сторонние утилиты, такие как Revo Uninstaller или CCleaner. Например, чтобы удалить приложение при помощи CCleaner, понадобится:
- Зайти в «Service» — иконка гаечного ключа на правом боковом меню.
- Выбрать раздел «Uninstall programs» («Удаление программ»), найти в списке Випнет – щелкнуть по нему правой клавишей мышки и инициировать «Деинсталляцию». Следовать инструкции на экране.
- Зайти на вкладку «Реестр» — отметить компоненты для комплексной проверки текущего состояния registry и кликнуть на «Поиск проблем».
- По факту проверки нажать на «Исправить», согласиться с появившимся сообщением на экране – создать резервную копию данных. Следовать инструкции на экране.
- Выйти из Клинера, перезагрузить ПК.
Общие сведения
Современные мультисервисные распределенные корпоративные системы обработки данных представляют собой совокупность высокоскоростного сетевого оборудования, поддерживающего приоритезацию трафика, а также большого числа всевозможных прикладных платформ и сервисов реального времени (IP-телефонии и видеоконференцсвязи), реализующих IT-фундамент бизнес-процессов и средств общения в компании. Постановка задачи защиты информации в подобных сетях всегда требует поиска ответов на большое число разнонаправленных вопросов и выбора компромисса между возможностями представленных на рынке средств защиты информации (СЗИ), сроками реализации и ценой.
Базовыми требованиями к СЗИ при этом выступают:
- выполнение целевых функций;
- удобство и простота обслуживания;
- оптимальная производительность;
- высокая надежность в режиме 24/7/365;
- невысокая совокупная стоимость владения на всем жизненном цикле;
- соответствие требованиями регулирующих органов (сертификаты соответствия);
- невозможность или нецелесообразность установки программных средств защиты непосредственно на само оборудование.
ViPNet Coordinator HW1000 — это криптошлюз и межсетевой экран, построенный на аппаратной платформе телекоммуникационных серверов компании «Аквариус». Он легко интегрируется в существующую инфраструктуру, надежно защищает передаваемую по каналам связи информацию от несанкционированного доступа и подмены. Использование адаптированной ОС Linux и надежной аппаратной платформы серверов AquaServer позволяет применять ViPNet Coordinator HW1000 в качестве корпоративного решения, к которому предъявляются самые жесткие требования по функциональности, удобству эксплуатации, надежности и отказоустойчивости.
ViPNet Coordinator HW1000 построен на базе ПО ViPNet Coordinator Linux и выполняет в ViPNet-сети функции ПО ViPNet Coordinator, включая функцию VPN-сервера для доступа удаленных VPN-клиентов, оснащенных ПО ViPNet Client и сервера почтовой программы ViPNet Деловая почта.
Окно «Защищенная сеть» Java-апплета ViPNet SGA 3
Окно «Журнал пакетов» Java-апплета ViPNet SGA 3
Окно «Локальные фильтры» Java-апплета ViPNet SGA 3
Интеграция 1С с ГИИС ДМДК
ГИИС ДМДК — единая информационная платформа для взаимодействия участников рынка драгоценных металлов и драгоценных камней. с 01.09.21 стартовал обязательный обмен данными с Федеральной пробирной палатой (ФПП) исключительно через ГИИС. А постепенно — с 01.01.2022 и с 01.03.2022 — все данные о продаже драгоценных металлов и камней должны быть интегрированы с ГИИС.
У многих пользователей возникает вопрос как автоматизировать обмен между программой 1С и ГИИС ДМДК.
В настоящей статье ВЦ Раздолье поделится своим опытом о реализации такого обмена.
Автор статьи — Мордовин Антон — архитектор систем на базе 1С Внедренческого центра «Раздолье».
Причины ошибки
Чаще всего эта ошибка случается, когда программа для шифрования отчетов (криптопровайдер) ViPNet CSP перестает работать на рабочем месте пользователя.
Возможные причины сбоя:
- Обновление операционной системы на новую версию
- Установка другого криптопровайдера (КриптоПро CSP или СКЗИ Верба)
Если вы установили другой криптопровайдер, удалите обе программы шифрования и установите одну. Но стандартное удаление и повторная установка в большинстве случаев не решает проблему, поэтому зачистите реестр и другие «следы» программы в компьютере.
Итак, чтобы решить проблему нужно:
- Полностью удалить программу
- Повторно установить программу СКЗИ на компьютер
Зачистить данные можно вручную, но для этого нужен опыт работы с редактором реестра, умение найти все пользовательские настройки в скрытых папках. Проще всего почистить реестр с помощью программ.
В инструкции разбираем зачистку реестра программой Reg Organizer
.
Создаём структуру защищённой сети
Координаторы
В ЦУС-е добавляем координаторы, называем их “Координатор1” и “Координатор2” соответственно. Я не создаю пользователей сразу, лучше всё это делать потом, для наглядности. Впоследствии, для экономии времени можно оставлять галочку о “Создать одноимённого пользователя…”.
Вот такая картина у нас получится. Два координатора.
Далее создаём пользователей. Переходим в раздел “Пользователи”, нажимаем зелёный “+”. Вводим имя пользователя, выбираем сетевой узел, на котором может работать пользователь и нажимаем кнопку “Создать”.
Узлы создаём аналогичным образом. Переходим в раздел “Клиенты”, нажимаем зелёный плюсик. Вводим имя сетевого узла, выбираем координатор, к которому узел будет привязываться и нажимаем кнопку “Создать”
Обратите внимание, что самым первым должен создаваться узел администратора (о чём внизу выводится соответствующее сообщение)
Создаём все необходимые узлы:
Создаём всех остальных пользователей на соответствующих узлах.
Когда пользователи и сетевые узлы будут готовы, не забываем создать межсерверный канал между нашими координаторами, он необходим для обмена служебными конвертами и маршрутизации между ними. Для этого заходим в первый координатор и в свойствах добавляем межсерверный канал до второго координатора:
Теперь делаем соответствующие связи между узлами и пользователями. Это очень просто, открываем нужный узел и в его свойствах добавляем связи с другими узлами
Обратите внимание, некоторые связи уже будут созданы и удалить их нельзя – это, например, связь между ЦУС и узлом. Связь между пользователем и его координатором и т.д
Это справочная информация (предустановленные связи) и я не буду приводить все случаи, просто о них стоит знать. Итак, добавляем нужные связи:
Связь двух узлов означает, что они будут видны в Мониторе друг у друга и между ними будет образован защищённый канал. Соответственно, связь между пользователями будет означать, что у для них будет создан соответствующие ключи обмена. Пользователи смогут общаться через внутренний чат и пользоваться деловой почтой.
Для простоты я сделал связь между всеми. Не забываем проверять конфигурацию сети на наличие неполных связей или других ошибок в разделе “Моя сеть”.
Если ошибок нет, то можем смело создавать адресные справочники в разделе “Справочники и ключи – Создать справочники”.
При этом откроется окно, в котором можно выбрать конкретные узлы, для которых создать справочники. Но первично мы создадим справочники для всех:
Дальше идём в УКЦ.
Ответы знатоков
Бил Подонков:
Звоните в техподдержку випнета.
Полный Дибилизм админов !:
А не проще форматнуть винт и переустановить винду ??
†Падре Кодла усатая†:
Сноси ОС.
Виктор:
Жмите отмену, должна винда загрузиться. Потом удаляйте ViPNet.Для ViPNet клиента должен быть е-токен, без него он просто загружается.Если не получится, тогда переустановите винду, будет проще и чище. Эта гадость даже после удаления может свои хвосты оставить.
сергей нечепуренко:
Просто жмешь отмену. Комп загружается. спросит сначала Вы действительно хотите работать без защиты (или как то так.) потом просто удаляешь вип нет как обычную программу.
Деинсталляция криптопровайдера CSP
Процесс удаления приложения криптографической защиты информации VipNet CSP включает в себя следующие этапы:
- Сохранение резервной копии файлов контейнеров закрытых keys.
- Создание точки восстановления Windows на случай сбоев при деинсталляции программного решения.
- Непосредственно процесс деинсталляции.
Рассмотрим каждый шаг в отдельности.
Шаг 1: Резервное копирование
Перед тем как полностью удалить VipNet CSP, необходимо сохранить резервные копии контейнеров, содержащих ключи шифрования. Для создания резервной копии любого из сохраненных ключей в CSP нужно для начала понимать, есть ли в базе 1С заявление на подключение фирмы к БД 1С-Отчетность или нет.
Если копия key расположена в файловой системе компьютера и при этом в информационной базе присутствует заявление на подключение указанной компании к базам 1С-Отчетности, то первым делом потребуется узнать директорию расположения объекта и скопировать его на компьютер – следовать инструкции, представленной ниже. Если заявление на подключение отсутствует, то следует опустить первые шага инструкции:
Для восстановления закрытых ключей в ВипНете из созданной резервной копии:
2.2 Анализ состава и функциональных возможностей программного комплекса ViPNet
Продукт ViPNet предназначен для создания виртуальных частных сетей фиксированной конфигурации и защиты компьютерной информации в них.
Пакет программ ViPNet позволяет:
— Защитить информацию, хранимую на компьютере, а также сам компьютер от возможного несанкционированного доступа из Интернет или локальной сети
— Организовать защищенный обмен в режиме «on-line» конфиденциальной информацией (текстовой, голосовой) по телефонным каналам или через Интернет между компьютерами, установленных в произвольных точках земного шара
— Обмениваться почтовыми сообщениями и прикрепленными к ним файлами в защищенном режиме
— Организовывать защищенные конференции (видеоконференции) и сбор конфиденциальной информации, используя каналы Интернет
— Работать в защищенном режиме по открытому каналу, используя любые Интернет-приложения
— Обеспечить защищенную работу с серверами FTP, WWW и т.д.
— Обеспечить односторонний доступ только по инициативе пользователя к открытым информационным ресурсам в сети Интернет и локальной сети, блокируя любые другие соединения во время сеанса
— Определить сетевые адреса злоумышленников, пытающихся получить доступ к информации на компьютере или проникнуть в локальную сеть
— Разграничить доступ пользователей из «черного» и «белого» списков к базам данных и определенным www-серверам
— Разграничить доступ к конфиденциальной информации внутри локальной сети
Состав программного обеспечения:
- VPN включает в себя программы:
— Центр Управления Сетью
— Ключевой Центр
- ViPNet — многофункциональный модуль, осуществляющий в зависимости от настроек следующие функции:
- Сервер IP-адресов
- Почтовый сервер
- Сервер-туннель
- Межсетевой экран
- Сервер «открытый Интернет»
- ViPNet — модуль, реализующий на рабочем месте следующие функции:
- Персональный сетевой экран
- Установление защищенных соединений
- Услуги защищенных служб реального времени
- Сервис защищенных почтовых услуг.
ЗАКЛЮЧЕНИЕ
В ходе данной работы был проведен анализ незащищенной сети и выполнены требования, для создания системы защиты данной сети. Затем был проведен анализ средств защиты, и выбор наиболее подходящего, средства – программно-аппаратного комплекса ViPNet.
На основе этого комплекса была реализована система защиты, с помощью которой были выполнены все требования по информационной безопасности: организован закрытый информационный туннель для обмена информацией, в котором происходит шифрование всей информации, пользователи имеют электронно-цифровую подпись, их компьютеры защищены межсетевым экраном, а любая сетевая активность фиксируется в специальном модуле данного ПО.
Таким образом, в данной работе была сформирована модель защищаемой сети. Выявлены значимые свойства данной системы. Определены основные угрозы безопасности, от которых необходимо защищать нашу систему, а также требования, которым должна соответствовать защищённая нами система.
По итогам анализа полученной системы можно сказать, что требования выполняются, и организована защита нескольких локальных сетей, связанных через Internet, c Proxy-серверами и однокарточными координаторами, что соответствует цели данной работы.