Дневник megavtogal.com

МЕНЮ
  • Контакты
  • Статьи

Срок действия приложения истекает через vipnet ios

Обновлено: 06.01.2025

VPN-клиент «ViPNet Client iOS» для виртуальных частных сетей ViPNet, работающий под управлением операционной системы Apple iOS и обеспечивающий защищенный удаленный доступ с Apple iPhone и iPad к ресурсам корпоративной сети с использованием алгоритма шифрования ГОСТ 28147-89.

По словам разработчиков, ViPNet Client iOS обеспечивает защиту (конфиденциальность, подлинность и целостность) любого вида IP-трафика (приложений, систем управления и служебного трафика ОС), передаваемого между iPhone/iPad и корпоративными ресурсами, защищенными сертифицированными СКЗИ ViPNet: криптошлюзами ViPNet Coordinator в программном или программно-аппаратном исполнении, VPN-клиентами ViPNet Client для ОС Windows. При этом неважно, каким способом и из какой точки мира, мобильное устройство было подключено к интернету, подчеркнули в «Инфотекс».

По данным «Инфотекс», высокая производительность шифрующего драйвера позволяет в реальном времени защищать трафик служб голосовой связи в сетях TCP/IP. При этом поддерживается прозрачная работа через устройства динамической NAT/PAT-маршрутизации при любых способах подключения к сети. При работе с почтой, веб- и терминальными серверами, удаленным документооборотом, ViPNet Client iOS позволяет сохранить время работы мобильного устройства практически без изменений.

Используя технологию ViPNet VPN, ViPNet Client iOS обеспечивает безопасный доступ к важным ресурсам корпоративной сети следующим образом: на защищенных ViPNet Client iOS устройствах iPad и iPhone входящий открытый трафик блокируется, чем обеспечивается защищенность устройств от сетевых атак. Исходящий открытый трафик и ответный открытый трафик («ViPNet boomerang») в защищенном виде посредством ViPNet-туннеля пробрасывается до корпоративного Proxy-сервера, где подвергается обработке в соответствии с установленными политиками безопасности, пояснили в компании.

ViPNet Client iOS позволяет использовать ресурсы ИБ корпоративной сети удаленно: нет таким образом, необходимости устанавливать дополнительные программы на iPhone и iPad — можно пользоваться корпоративным антивирусом, контролем и пресечением вторжений, контентной фильтрацией трафика. Это позволяет работать с мобильным устройством без ухудшения показателей его автономного использования, подчеркнули в «Инфотекс».

Совместимость с мобильными приложениями Directum

В ноябре 2017 года специалисты компаний Directum и ««ИнфоТеКС»» протестировали совместную работу мобильных решений Directum с продуктами линейки ViPNet Network Security. Испытания подтвердили, что пользователи приложений к системам Directum и DirectumRX могут безопасно обращаться к корпоративным данным через защищенные каналы связи с применением программного комплекса ViPNet Client производства «ИнфоТеКС», функционирующего под различными мобильными и стационарными операционными системами. Подробнее здесь.

Реестр отечественного ПО

Единый реестр Минкомсвязи пополнили весной продукты компании ViPNet Client for iOS и ViPNet Удостоверяющий центр 4 (версия 4.6). Таким образом в реестр российского ПО, который создан в целях расширения использования российских программ для электронных вычислительных машин и баз данных, входит 31 продукт компании ИнфоТеКС.

ViPNet Client iOS поддерживает "Сибрус"

8 декабря 2016 года компания ИнфоТеКС и компания «Киберника» сообщили о партнерстве для совместной разработки многофункциональной системы связи с использованием сертифицированной криптографической защиты данных.

В основе совместного решения флагманские продукты компаний: корпоративный мессенджер «Сибрус» компании «Киберника» и программный комплекс ViPNet Client компании ИнфоТеКС. Оба продукта входят в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ.



Система ViPNet Client создает защищенную сеть, в которой работает мессенджер «Сибрус». Все коммуникации и взаимодействие пользователей в мессенджере ведутся по зашифрованному каналу с сертифицированной криптографической защитой. Решение поддерживает групповые чаты с возможностью обмена любыми типами файлов, аудио- и видеозвонки, конференц-связь. Для совместной работы в мессенджере предусмотрен менеджер задач и органайзер.

ViPNet Client iOS совместим с Рутокен

26 августа 2016 года компания ИнфоТеКС и «Актив» сообщили о сертификации продукта ViPNet Client с токенами и смарт-картами Рутокен.

Сертификаты совместимости подтверждают возможность использования решений линейки Рутокен и ряда продуктов компании ИнфоТеКС для создания на токенах квалифицированной электронной подписи, хранения на них персональных ключей пользователей ViPNet.

В ходе тестирования специалисты компаний проверили интеграцию ViPNet Client с токенами с неизвлекаемыми ключами электронной подписи Рутокен ЭЦП 2.0.

Совместимая с продуктами ИнфоТеКС модель Рутокен ЭЦП 2.0 с аппаратной реализацией криптографических стандартов (ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012 и VKO ГОСТ Р 34.10-2012) позволит заказчику не перестраивать работающую инфраструктуру в конце 2018 года, чтобы соответствовать новым требованиям ФСБ России.

ViPNet Mobile Security Suite

Комплекс криптографических средств ViPNet Mobile Security Suite позволяет обеспечить защищенные бизнес-коммуникации при использовании смартфонов, планшетов и других мобильных устройств. С их помощью сотрудники могут получить безопасный удалённый доступ к необходимым бизнес-приложениям и данным (например, к электронной почте, файловой системе, CRM, ERP), а также общаться с другими сотрудниками в виртуальной частной сети (VPN) посредством IP-телефонии и чата с возможностью отправки произвольных файлов. В дальнейшем планируется расширение функционала: будет добавлена поддержка аудиоконференцсвязи и возможность работы с внешними SIP серверами. ViPNet Mobile Security Suite доступен для устройств на Android, Windows, MacOS; выпуск версии для iOS запланирован на 3 квартал 2016 года.

2015: ViPNet Client для iOS 9

11 сентября 2015 года ИнфоТеКС объявила о выходе технического релиза новой версии ViPNet Client for iOS – приложения для защиты мобильных устройств и обеспечения безопасного доступа к корпоративным ресурсам с мобильных устройств производства компании Apple. Новая версия программного продукта совместима с iOS 9 и не требует получения прав суперпользователя (Jailbreak). Официальный релиз продукта запланирован на конец 2015 года, после чего данная версия ViPNet Client for iOS будет подана на сертификацию в ФСБ России.

Приложение ViPNet Client for iOS обеспечивает удаленное защищенное подключение к корпоративным ресурсам для iPhone и iPad. Предыдущая версия приложения требовала наличия Jailbreak, а в новой эти ограничения сняты благодаря доступу к VPN Network Extensions и использованию официальных механизмов, разработанных компанией Apple.

«Мы первыми среди российских компаний выпустили VPN-решения для iOS и Android в 2010 и в 2012 гг., – отметил генеральный директор компании ИнфоТеКС Чапчаев Андрей . – А сейчас успешно преодолели следующий этап: к релизу iOS 9 подготовили версию ViPNet Client, которая не требует Jailbreak. Кроме того, для бета-тестирования доступно приложение ViPNet Client for Android, которое также не требует прав суперпользователя. Выход новой версии запланирован на осень 2015 года, релизу предшествует этап бета-тестирования продукта».

2012: Сертификат соответствия ФСБ России № СФ/114-1971

Компания ОАО "ИнфоТеКС" объявила всентябре 2012 года о получении 12.09.2012 г. сертификата соответствия ФСБ России № СФ/114-1971 на программный комплекс ViPNet Client iOS. Сертификат подтверждает соответствие программного комплекса ViPNet Client iOS требованиям, предъявляемым ФСБ России к шифровальным (криптографическим) средствам, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, по классу КC1.

Применение ViPNet Client iOS позволяет блокировать прямое неконтролируемое обращение с мобильных устройств в Интернет и организовать доступ к необходимым ресурсам Интернет с использованием корпоративных proxy-серверов и межсетевых экранов. Данная возможность достигается посредством создания VPN туннеля между корпоративными серверами безопасности и мобильным устройством и блокированием любого несанкционированного открытого входящего и исходящего трафиков с устройства. Таким образом, может быть обеспечена эффективная многоуровневая защита информационного обмена мобильных пользователей от вредоносного ПО и компьютерных атак, подчиненная общей политике ИБ организации.

Для управления функциями ViPNet Client iOS используется простой и интуитивно понятный графический интерфейс, не требующий от пользователя каких-либо специальных знаний в области ИБ.


Жизнь сетевого инженера была счастливой и беззаботной, пока в ней не появился сертифицированный криптошлюз. Согласитесь, разбираться с решениями, предназначенными для шифрования каналов передачи данных по ГОСТу, задача не из легких. Хорошо, если это известные и понятные продукты. Вспомним ту же «С-Терра» (об их «С-Терра Шлюз» мы уже писали). Но что делать с более экзотичными решениями на базе собственных протоколов шифрования, например, «Континент» (от «Кода Безопасности») или ViPNet Coordinator HW (от «Инфотекса»)? В этой статье я постараюсь облегчить погружение в мир ViPNet (про «Континент» тоже когда-нибудь поговорим) и рассказать, с какими проблемами столкнулся сам и как их решал.

Сразу оговорюсь, что мы поговорим о сертифицированной на сегодня ФСБ и ФСТЭК версии 4.2.1. В актуальных версиях 4.3.х появилось много интересного, например, DGD (Dead Gateway Detection) и измененный механизм кластеризации, обеспечивающий практически бесшовное переключение, но пока это будущее. Я не буду глубоко погружаться в недра конфигурационных команд и файлов, акцентировав внимание на ключевых командах и переменных, а подробное описание по этим «ключам» можно будет найти в документации.

Для начала разберемся, как это все работает. Итак, координатор ViPNet выполняет несколько функций. Во-первых, это криптошлюз (КШ), который позволяет реализовать как Site-to-site, так и RA VPN. Во-вторых, он является сервером-маршрутизатором конвертов, содержащих зашифрованные служебные данные (справочники и ключи) или данные клиентских приложений (файловый обмен, деловая почта). Кстати, именно в справочниках хранятся файлы, содержащие информацию об объектах сети ViPNet, в том числе об их именах, идентификаторах, адресах, связях. Координатор также является источником служебной информации для своих клиентов.


Помимо этого, он может туннелировать трафик от компьютеров сети, где не установлено ПО ViPNet. Кстати, специалисты, работающие с этим решением, часто называют открытые хосты не «туннелируемыми узлами», а просто «туннелями». Это может сбить с толку инженеров, которые привыкли к другим VPN-решениям, где под туннелем подразумевают PtP-соединение между КШ.

В качестве протокола шифрования в ViPNet используется IPlir, также разработанный «Инфотексом». Для инкапсуляции трафика применяются транспортные протоколы IP/241 (если трафик не покидает широковещательный домен), UDP/55777 и TCP/80 (при недоступности UDP).

В концепции построения защищенных соединений лежат так называемые «связи», которые бывают двух типов. Первые (на уровне узлов) нужны для построения защищенного соединения между узлами, вторые (на уровне пользователей) необходимы для работы клиентских приложений. Но есть исключение: узлы администратора сети ViPNet требуют обоих типов связи.

Что же может в этой схеме пойти не так? Как показывает практика, особенностей работы действительно много, и далеко не все проблемы можно решить интуитивно, без «помощи зала», а что-то нужно просто принять как данность.

Координатор недоступен

«У нас недоступен координатор/клиент/туннель. Что делать?» – самый частый вопрос, с которым приходят новички при настройке ViPNet. Единственно верное действие в такой ситуации – включать регистрацию всего трафика на координаторах и смотреть в журнал IP-пакетов, который является важнейшим инструментом траблшутинга всевозможных сетевых проблем. Этот способ спасает в 80% случаев. Работа с журналом IP-пакетов также помогает лучше усвоить механизмы работы узлов ViPNet-сети.

Конверт не доставлен

Из этого следуют два вывода. Во-первых, между клиентами не обязательно должна проверяться связь (по нажатию на F5 и соответствующей иконки в меню) для доставки конвертов. Во-вторых, если связь межу ними все-таки проверяется, это не гарантирует доставку, так как проблема может быть в одном из межсерверных каналов.

Диагностировать прохождение конвертов межсерверным каналам или между клиентом и координатором в неочевидных случаях можно с помощью журнала и очереди конвертов, а также логов на координаторе. Также транспортный модуль ViPNet-клиента можно настроить на прямую доставку конвертов, доставку через общую папку или SMTP/POP3 (но это совсем экзотичный вариант). Погружаться в эти настройки мы не будем.

Последствия перепрошивки

Неинформативные конфиги

Основным конфигурационным файлом HW является «iplir.conf», однако он не всегда отражает текущие параметры. Дело в том, что в момент загрузки драйвера IPlir происходит интерпретация этого конфига в соответствии с заложенной логикой, и не вся информация может быть загружена в драйвер (например, при наличии конфликтов IP-адресов). Инженеры, работавшие с программным координатором для Linux, наверняка знают о существовании команды «iplirdiag», которая отображает текущие настройки узлов, прогруженные в драйвер. В HW эта команда также присутствует в режиме «admin escape».

Немного остановимся на режиме «admin escape». По сути это выход из ViPNet shell в bash. Тут я солидарен с вендором, который рекомендует использовать данный режим только для диагностики и вносить какие-либо модификации только под присмотром техподдержки вендора. Это вам не обычный Debian, здесь любое неосторожное движение может вывести из строя ОС, защитные механизмы которой воспримут вашу «самодеятельность» как потенциальную угрозу. В связке с заблокированным по умолчанию BIOS это обрекает вас на негарантийный (читай «дорогой») ремонт.

(Un)split tunneling

Служебные порты и TCP-туннель

Однажды я столкнулся с приложением, которое ни в какую не хотело работать через координатор. Так я узнал, что у координатора есть служебные порты, по которым незашифрованный трафик блокируется без возможности какой-либо настройки. К ним относятся UDP/2046,2048,2050 (базовые службы ViPNet), TCP/2047,5100,10092 (для работы ViPNet Statewatcher) и TCP/5000-5003 (MFTP). Тут подвела функции TCP-туннеля. Не секрет, что провайдеры любят фильтровать высокие порты UDP, поэтому администраторы, стремясь улучшить доступность своих КШ, включают функцию TCP-туннеля. Ресурсы в зоне DMZ (по порту TCP-туннеля) при этом становятся недоступны. Это происходит из-за того, что порт TCP-туннеля также становится служебным, и никакие правила межсетевых экранов и NAT (Network Address Translation) на него уже не действуют. Затрудняет диагностику тот факт, что данный трафик не регистрируется в журнале IP-пакетов, как будто его вовсе нет.

Замена координатора

Рано или поздно встает вопрос о замене координатора на более производительный или временный вариант. Например, замена HW1000 на HW2000 или программного координатора – на ПАК и наоборот. Сложность заключается в том, что у каждого исполнения своя «роль» в ЦУС (Центре управления сетью). Как правильно изменить роль, не потеряв связность? Сначала в ЦУС меняем роль на новую, формируем справочники, но не отправляем(!) их. Затем в УКЦ выпускаем новый DST-файл и проводим инициализацию нового Координатора. После производим замену и, убедившись, что все взаимодействия работоспособны, отправляем справочники.

Кластеризация и сбой ноды

Горячий резерв – это must have для любой крупной площадки, поэтому на них всегда закупался кластер старших моделей (HW1000, HW2000, HW5000). Однако создание кластера из более компактных криптошлюзов (HW50 и HW100) было невозможно из-за лицензионной политики вендора. В итоге владельцам небольших площадок приходилось серьезно переплачивать и покупать HW1000 (ну, или никакой отказоустойчивости). В этом году вендор, наконец, сделал дополнительные лицензии и для младших моделей координаторов. Так что с выходом версий 4.2.x появилась возможность собирать в кластер и их.

При первичной настройке кластера можно серьезно сэкономить время, не настраивая интерфейсы в режиме мастера или командами CLI. Можно сразу вписывать необходимые адреса в конфигурационный файл кластера (failover config edit), только не забудьте указать маски. При запуске демона failover в кластерном режиме он сам назначит адреса на соответствующие интерфейсы. Многие при этом боятся останавливать демон, предполагая, что адреса сменяются на пассивные или адреса сингл-режима. Не волнуйтесь: на интерфейсах останутся те адреса, которые были на момент остановки демона.

В кластерном исполнении существует две распространенные проблемы: циклическая перезагрузка пассивной ноды и ее непереключение в активный режим. Для того чтобы понять суть этих явлений, разберемся в механизме работы кластера. Итак, активная нода считает пакеты на интерфейсе и в случае, если за отведенное время пакетов нет, отправляет пинг на testip. Если пинг проходит, то счетчик запускается заново, если не проходит, то регистрируется отказ интерфейса и активная нода уходит в перезагрузку. Пассивная нода при этом отправляет регулярные ARP-запросы на всех интерфейсах, описанных в failover.ini (конфигурационный файл кластера, где указаны адреса, которые принимает активная и пассивная ноды). Если ARP-запись хоть одного адреса пропадает, то пассивная нода переключается в активный режим.

Вернемся к кластерным проблемам. Начну с простого – неперключение в активный режим. В случае если активная нода отсутствует, но на пассивной в ARP-таблице (inet show mac-address-table) ее mac-адрес все еще присутствует, необходимо идти к администраторам коммутаторов (либо так настроен ARP-кэш, либо это какой-то сбой). С циклической перезагрузкой пассивной ноды немного сложнее. Происходит это из-за того, что пассивная не видит ARP-записи активной, переходит в активный режим и (внимание!) по HB-линку опрашивает соседа. Но сосед-то у нас в активном режиме и аптайм у него больше. В этот момент пассивная нода понимает, что что-то не так, раз возник конфликт состояний, и уходит в перезагрузку. Так продолжается до бесконечности. В случае возникновения данной проблемы необходимо проверить настройки IP-адресов в failover.ini и коммутацию. Если все настройки на координаторе верны, то пришло время подключить к вопросу сетевых инженеров.

Пересечения адресов

В нашей практике нередко встречается пересечение туннелируемых адресов за разными координаторами.


Именно для таких случаев в продуктах ViPNet существует виртуализация адресов. Виртуализация – это своеобразный NAT без контроля состояния соединения один к одному или диапазон в диапазон. По умолчанию на координаторах эта функция выключена, хотя потенциальные виртуальные адреса вы можете найти в iplir.conf в строке «tunnel» после «to» в секциях соседних координаторов. Для того, чтобы включить виртуализацию глобально для всего списка, необходимо в секции [visibility] изменить параметр «tunneldefault» на «virtual». Если же хотите включить для конкретного соседа, то необходимо в его секцию [id] добавить параметр «tunnelvisibility=virtual». Также стоит убедиться, что параметр tunnel_local_networks находится в значении «on». Для редактирования виртуальных адресов параметр tunnel_virt_assignment необходимо перевести в режим «manual». На противоположной стороне нужно выполнить аналогичные действия. За настройки туннелей также отвечают параметры «usetunnel» и «exclude_from_tunnels». Результат выполненной работы можно проверить с помощью утилиты «iplirdiag», о которой я говорил выше.

Конечно, виртуальные адреса приносят некоторые неудобства, поэтому администраторы инфраструктуры предпочитают минимизировать их использование. Например, при подключении организаций к информационным системам (ИС) некоторых госорганов этим организациям выдается DST-файл c фиксированным диапазоном туннелей из адресного плана ИС. Как мы видим, пожелания подключающегося при этом не учитываются. Как вписываться в этот пул, каждый решает для себя сам. Кто-то мигрирует рабочие станции на новую адресацию, а кто-то использует SNAT на пути от хостов к координатору. Не секрет, что некоторые администраторы применяют SNAT для обхода лицензионных ограничений младших платформ. Не беремся оценивать этичность такого «лайфхака», однако не стоит забывать, что производительность самих платформ все-таки имеет предел, и при перегрузке начнется деградация качества канала связи.


Невозможность работы GRE

Само собой, у каждого решения в IT есть свои ограничения по поддерживаемым сценариям использования, и ViPNet Coordinator не исключение. Достаточно назойливой проблемой является невозможность работы GRE (и протоколов, которые его используют) от нескольких источников к одному адресу назначения через SNAT. Возьмем, к примеру, систему банк-клиент, которая поднимает PPTP-туннель к публичному адресу банка. Проблема в том, что протокол GRE не использует порты, поэтому после прохождения трафика через NAT, socketpair такого трафика становится одинаковым (адрес назначения у нас одинаковый, протокол тоже, а трансляцию адреса источника мы только что произвели также в один адрес). Координатор реагирует на такое блокировкой трафика на фоне ошибки 104 – Connection already exists. Выглядит это так:


Поэтому, если вы используете множественные GRE-подключения, необходимо избегать применения NAT к этим подключениям. В крайнем случае выполнять трансляцию 1:1 (правда, при использовании публичных адресов это достаточно непрактичное решение).


Не забываем про время

Тему блокировок продолжаем событием номер 4 – IP packet timeout. Тут все банально: это событие возникает при расхождении абсолютного (без учета часовых поясов) времени между узлами сети ViPNet (координаторы и ViPNet-клиенты). На координаторах HW максимальная разница составляет 7200 секунд и задается в параметре «timediff» конфигурационного файла IPlir. Я не рассматриваю в этой статье координаторы HW-KB, но стоит отметить, что в версии KB2 timediff по умолчанию 7 секунд, а в KB4 – 50 секунд, и событие там может генерироваться не 4, а 112, что, возможно, собьет с толку инженера, привыкшего к «обычным» HW.

Нешифрованный трафик вместо зашифрованного

Новичкам бывает сложно понять природу 22 события – Non-encrypted IP Packet from network node – в журнале IP-пакетов. Оно означает, что координатор ждал с этого IP-адреса шифрованный трафик, а пришел нешифрованный. Чаще всего это происходит так:

  1. пользователь забыл залогиниться в ViPNet-клиент, или случайно разлогинился, но при этом пытается попасть на защищаемые ресурсы. В этом случае драйвер IPlir неактивен, а трафик, который по маршрутизации дошел до координатора, не был зашифрован на АРМ пользователя. По заголовкам пакета координатор видит, что все легально: адрес источника принадлежит АРМ с ViPNet-клиентом, адрес назначения – защищенному или туннелируемому узлу. Значит, и трафик должен приходить зашифрованным, но это не так, поэтому его надо заблокировать. Частным случаем данного сценария является ситуация, когда в сети поменялись адреса, и на том адресе, на котором был защищенный ViPNet-клиент, АРМ оказался туннелируемый. Но координатор все еще считает, что на этом адресе есть ViPNet-клиент, и поэтому нешифрованный трафик блокируется;
  2. с одной стороны взаимодействия отсутствуют связи. Например, вы связали два координатора, а справочники и ключи отправили только на один (или до второго они не дошли). В этом случае первый будет ждать зашифрованный трафик, но второй, так как не знает о существовании первого, будет присылать только незашифрованный;
  3. туннели прописываются вручную локально на КШ. Чтобы смоделировать такой сценарий, нужно два связанных координатора. На одном прописываем собственные туннели и туннели соседа, на втором «забываем» это сделать. При такой настройке трафик, исходящий от туннелей второго координатора к туннелям первого, шифроваться не будет, и на первом координаторе возникнет 22 событие.

Обработка прикладных протоколов (ALG)

На многих межсетевых экранах, включая ViPNet Coordinator, могут возникать проблемы с прохождением SIP через NAT. С учетом того, что виртуальные адреса – это внутренний NAT, проблема может возникать, даже когда в явном виде NAT не используется, а используются только виртуальные адреса. Координатор обладает модулем обработки прикладных протоколов (ALG), который должен эти проблемы решать, но не всегда это работает так, как хотелось бы. Не буду останавливаться на механизме работы ALG (на эту тему можно написать отдельную статью), принцип одинаков на всех МСЭ, изменяются лишь заголовки прикладного уровня. Для корректной работы протокола SIP через координатор необходимо знать следующее:

  • при использовании NAT должен быть включен ALG;
  • при использовании виртуальной адресации ALG должен быть включен на обоих узлах, участвующих во взаимодействии (координатор-координатор, координатор-клиент), даже если виртуальная видимость установлена только с одной стороны;
  • при использовании реальной видимости и отсутствии NAT необходимо выключить ALG для того, чтобы он не вмешивался в работу SIP;
  • ALG-линейки 3.х и 4.х несовместимы (строго говоря, в линейке 3.х вообще не было возможности как-то им управлять). В таком сценарии гарантировать корректную работу SIP вендор не может.

В заключение

Я постарался рассмотреть самые злободневные проблемы, обозначить их корни и рассказать о решениях. Конечно, это далеко не все особенности ViPNet, поэтому рекомендую не стесняться – обращаться в поддержку и спрашивать совета в коммьюнити (на форуме вендора, в телеграмм-канале, в комментариях под этим постом). А если вам не хочется погружаться во все сложности работы с ViPNet или это слишком трудозатратно, то всегда можно отдать управление вашей ViPNet-сетью в руки профессионалов.

Автор: Игорь Виноходов, инженер 2-ой линии администрирования «Ростелеком-Солар»

При появлении оповещений рекомендуется создать новый сертификат администратора УКЦ, не дожидаясь окончания срока действия закрытого ключа.

Для издания нового сертификата администратора УКЦ выполните следующие действия:

В окне программы ViPNet Удостоверяющий и ключевой центр на левой панели выберите раздел Администраторы.
В разделе Администраторы выполните одно из действий:
Если текущий корневой сертификат издан администратором УКЦ, на правой панели щелкните текущего администратора правой кнопкой мыши, в контекстном меню выберите Сертификат, затем щелкните команду Создать корневой сертификат. Будет запущен Мастер создания сертификата администратора сети ViPNet.
Если корневой сертификат издан вышестоящим Удостоверяющим центром, на правой панели щелкните текущего администратора правой кнопкой мыши, в контекстном меню выберите Сертификат, затем щелкните команду Создать запрос к вышестоящему УЦ. Будет запущен Мастер создания запроса на сертификат в вышестоящий УЦ.
На первой и второй страницах мастера требуется ввести сведения о владельце сертификата. После ввода данных нажмите кнопку Далее для перехода к следующей странице.

На странице Параметры ключа подписи задайте параметры ключа и нажмите кнопку Далее.

На странице Срок действия сертификата задайте желаемый срок действия

Если выбрано хранение ключа в файле, на странице Папка хранения контейнера ключа подписи укажите папку для контейнера.

Если выбрано хранение ключа на внешнем устройстве, на странице Место хранения контейнеров ключа подписи и ключа защиты УКЦ выберите внешнее устройство хранения данных.

Если создается запрос в вышестоящий Удостоверяющий центр, на странице Файл запроса на сертификат в вышестоящий УЦ укажите путь и имя файла запроса.
На странице Готовность к созданию корневого сертификата (или Готовность к созданию запроса на сертификат) проверьте указанные параметры и нажмите кнопку Далее.
При появлении электронной рулетки поводите указателем в пределах окна.

Примечание. Если в рамках текущей сессии электронная рулетка уже была запущена, данное окно не появится.

Если издается корневой сертификат, на странице Завершение создания корневого сертификата будет выведено уведомление о создании корневого сертификата, справочников и обновлений ключевых наборов.
Если создается запрос в вышестоящий Удостоверяющий центр, на странице Завершение создания запроса на сертификат. будет выведено уведомление о создании запроса. Созданный файл запроса нужно передать администратору вышестоящего Удостоверяющего центра. После издания этот сертификат нужно ввести в действие в УКЦ.

Если в УКЦ установлены доверительные отношения с каким-либо другим Удостоверяющим центром (на основе распределенной модели), то после обновления сертификата администратора УКЦ требуется также обновить кросс-сертификат администратора УКЦ. Для этого необходимо создать запрос на новый кросс-сертификат и передать файл с созданным запросом администратору Удостоверяющего центра, с которым установлены доверительные отношения (подробнее см. раздел Создание запроса на кросс-сертификат). По этому запросу администратор данного Удостоверяющего центра издаст новый кросс-сертификат.

ViPNet Client — программный комплекс для защиты рабочих мест корпоративных пользователей. ViPNet Client защищает от внешних и внутренних сетевых атак за счет фильтрации трафика. Кроме того, ПК обеспечивает защищенную работу с корпоративными данными через зашифрованный канал, в том числе для удаленных пользователей.

ViPNet Client для различных платформ

В связи с увеличением количества заявок с просьбой предоставить лицензии на ПО для организации удаленного защищенного доступа и непростой ситуацией с развитием коронавирусной инфекции компания « ИнфоТеКС » 6 окитября 2020 года объявила о своей готовности предоставить лицензии на ряд своих продуктов безвозмездно. В том числе на:

  • ViPNet Client — программный комплекс, предназначенный для защиты рабочих мест корпоративных пользователей. — приложение для защищенного общения корпоративных пользователей. HS — систему обнаружения вторжений, осуществляющую мониторинг и обработку событий внутри хоста. — сертифицированный высокотехнологичный программный модуль доверенной загрузки уровня UEFI BIOS.

Все заинтересованные организации могут получить лицензии на данное ПО сроком на 6 месяцев.

Полученные лицензии можно будет использовать для реализации удаленного защищенного доступа, а также для дополнительного сегментирования локальных сетей, например с целью защиты систем IP-телефонии и видеоконференцсвязи для проведения внутренних дистанционных совещаний.

Массовый переход компаний на удаленный режим работы, вызванный ограничительными мерами во время весенне-летнего периода изоляции, показал важность корректного подключения личных устройств сотрудников с помощью домашних сетей к корпоративным ресурсам организаций.

Компания «ИнфоТеКС» настоятельно рекомендует организовывать доступ с использованием средств VPN. Наиболее быстрый и безопасный вариант — использование домашних/личных устройств в качестве терминалов с VPN-клиентом для удаленных защищенных подключений к корпоративным рабочим станциям или терминальным серверам.

30 июля 2020 года компания «Актив-софт» сообщила, что линейки продуктов Рутокен: Рутокен Lite (+micro), Рутокен S (+micro), Рутокен ЭЦП 2.0 (+micro), смарт-карта Рутокен ЭЦП SC были протестированы на совместимость в том числе и с программным комплексом ViPNet Client (версий 4.5 для Windows), предназначенным для защиты рабочих мест корпоративных пользователей. Подробнее здесь.

19 марта 2020 года ИнфоТеКС сообщил, что предоставит на безвозмездной основе лицензии на свое ПО для организации защищенного удаленного доступа.

На март 2020 года ИнфоТеКС получает и отрабатывает множество запросов на предоставление лицензий на ПО ViPNet Client с целью организации удаленного защищенного доступа.

С целью оперативного разрешения всех вопросов и принимая во внимание непростую ситуацию с развитием коронавирусной инфекции компания объявила о готовности предоставить необходимое число лицензий на ПО ViPNet Client, ViPNet Connect, ViPNet IDS HS и ViPNet SafeBoot для расширения защищенных сетей ViPNet всем российским заинтересованным организациям на безвозмездной основе сроком на 6 мес. Указанные лицензии можно использовать по своему усмотрению не только для реализации удаленного защищенного доступа, но и для дополнительного сегментирования своих локальных сетей, например, с целью защиты ваших систем IP-телефонии и видеоконференцсвязи для проведения внутренних дистанционных совещаний между своими подразделениями без необходимости очно собирать десятки сотрудников в одном помещении.

Также компания внимание на необходимость аккуратной реализации удаленного доступа с использованием домашних сетей, компьютеров и личных мобильных устройств. Не рекомендовано подключать их к корпоративным ресурсам сетей напрямую, даже с использованием средств VPN. Это чревато неумышленным созданием дыр в контуре безопасности сетей из-за неконтролируемого содержания указанных домашних ресурсов: вирусы, malware и пр. Наиболее быстрый и безопасный вариант в таком случае – это использование домашних/личных устройств в качестве терминалов с VPN-клиентом для удаленных защищенных подключений к рабочему столу ваших корпоративных рабочих станций или терминальных серверов.

24 декабря 2019 года компания "Аладдин Р.Д." сообщила, что совместно с " ИнфоТеКС " завершили тестовые испытания на совместимость своих продуктов. Результаты тестирования показали, что электронные ключи JaCarta могут использоваться совместно с программным комплексом защиты рабочих мест ViPNet Client версий 4.5.1 и 4.5.2, СКЗИ версии 4.4 и модулем доверенной загрузки для UEFI BIOSViPNet SafeBoot версии 1.4. Подробнее здесь.

Компании Getac и ИнфоТеКС 26 августа 2019 года сообщили о том, что подтвердили совместимость своих продуктов на совместном тестовом стенде в лаборатории ИнфоТеКС в Москве . В результате испытаний подтверждена корректность работы ноутбуков/планшетовGetac F110G3 и Getac S410 с программным обеспечением ViPNet Client 4.5, ViPNet Connect 2.4 и ViPNet SafeBoot 1.4. Подробнее здесь.

6 августа 2018 года стало известно, что ОАО « ИнфоТеКС » получен сертификат соответствия ФСБ России № СФ/124-3430 на изделие «Программный комплекс «ViPNet Client 4» (исполнения 1, 2, 3) в комплектации согласно формуляру ФРКЕ-00116-03 30 01 ФО. Сертификат получен по результатам проведенных испытаний и удостоверяет соответствие программного комплекса «ViPNet Client 4» требованиям ГОСТ 28147-89, ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012, предъявляемым к электронной подписи, утвержденным приказом № 796 ФСБ России от 27 декабря 2011 г., установленным для классов КС1, КС2, КС3, предъявляемым к шифровальным (криптографическим) средствам классов КС1, КС2, КС3 для исполнений 1, 2, 3 соответственно.

Сертификат удостоверяет возможность использования программного комплекса «ViPNet Client 4» в целях криптографической защиты информации, не содержащей сведений, составляющих государственную тайну. Данные возможности включают создание и управление ключевой информацией, шифрование файлов, данных, содержащихся в областях оперативной памяти, IP-трафика, вычисление значения хэш-функции для файлов и данных, содержащихся в областях оперативной памяти, защиту TLS-соединений, реализацию функций электронной подписи в соответствии с Федеральным законом от 6 апреля 2011 года №63-ФЗ «Об электронной подписи».

Группа российских разработчиков программного обеспечения и вычислительной техники в составе «Т-Платформы» , «Новые облачные технологии », «Русбитех», «Инфотекс» , «КриптоПРО» и «Феникс» сформировали автоматизированное рабочее место, которое отличается высоким уровнем информационной безопасности. В первую очередь, решение ориентировано на использование в государственных структурах, а также в коммерческих компаниях, предъявляющих высокие требования к уровню информационной защиты, сообщили 30 июля 2018 года в «Т-Платформах» . Подробнее здесь.

Как отметили в компании, программный продукт соответствует требованиям правил формирования и ведения Единого реестра российских программ, утвержденных постановлением Правительства РФ №1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд» от 16 ноября 2015 года.

По данным на апрель 2019 года ViPNet Client поддерживает работу на компьютерных устройствах под управлением ОС Microsoft Windows, Linux и OS X.

Возможности

    -клиент (шифрование и имитозащита IP-пакетов).
  • Персональный сетевой экран (в версии ViPNet Client for Windows, ViPNet Client for Linux).
  • Контроль сетевой активности приложений и компонентов операционной системы (в версии ViPNet Client for Windows).
  • ViPNet Client работает в составе сети ViPNet и совместим со всеми продуктами линейки ViPNet Network Security.

Сценарии использования

  • Работа в корпоративной сети, защищенной от внутреннего нарушителя
    • Соединение с ресурсами, сервисами, а также другими пользователями осуществляется через каналы, функционирующие по принципу «точка-точка». Это позволяет защитить информацию от других пользователей, в том числе внутри корпоративной сети.
    • Шифрование трафика защитит работу с внутренними ресурсами и сервисами вашей организации при передаче данных через интернет.
    • Обеспечить защиту корпоративных пользователей также позволит совместное использование ПК ViPNet Client с приложениями ViPNet Connect и ViPNet Деловая почта (данная возможность поддерживается определенными модификациями ViPNet Client).
    • ViPNet Client поддерживает защищенные каналы для корпоративных коммуникаций на основе сторонних решений, в том числе IP-телефонии, видеоконференцсвязи и так далее.
    • ViPNet Client поддерживает работу на виртуальных машинах и позволяет использовать средства защиты ViPNet в VDI-средах.

    Особенности

    • Высокая производительность шифрования и фильтрации трафика позволяет в реальном времени осуществлять защиту трафика служб голосовой и видеосвязи в сетях TCP/IP, а также обеспечивать одновременную работу с ресурсами разных сегментов корпоративной сети.
    • Равный доступ к ресурсам корпоративных информационных систем независимо от места и способа подключения пользователя к телекоммуникационной сети (при использовании решения ViPNet Network Security).
    • Защита канала не влияет на работу сторонних приложений на компьютере пользователя.
    • Ключи шифрования, политики безопасности и обновления ПО ViPNet доставляются на компьютер через защищенный канал.

    Варианты поставки

    Программный комплекс ViPNet Client 4 поставляется в трех вариантах исполнения, соответствующих классам защищенности от КС1 до КС3.

    • Поставка ПК ViPNet Client 4 в варианте исполнения 1 в соответствии с формуляром ФРКЕ.00116-03 30 01 ФО обеспечивает класс защищенности КС1.
    • Поставка ПК ViPNet Client 4 в варианте исполнения 2 в соответствии с формуляром ФРКЕ.00116-03 30 01 ФО обеспечивает класс защищенности КС2 при совместном использовании с сертифицированным аппаратно-программным модулем доверенной загрузки (АПМДЗ).
    • Поставка ПК ViPNet Client 4 в варианте исполнения 3 в соответствии с формуляром ФРКЕ.00116-03 30 01 ФО обеспечивает класс защищенности КС3 при совместном использовании с сертифицированным АПМДЗ и специализированным ПО ViPNet SysLocker (входящим в комплект поставки) для создания и контроля замкнутой программной среды.

    Сертификация

    ViPNet Client for Windows имеет сертификат соответствия требованиям ФСБ РФ к СКЗИ класса КС1, КС2 и КС3.

    Читайте также:

        
    • Как удалять приложения на виндовс 11
      •   
    • Почему приложение инстаграм остановлено
      •   
    • Момент силы не изменяется при переносе точки приложения силы вдоль ее линии действия
      •   
    • Отследить активность в вайбере
      •   
    • Как скачать на компьютер приложение lightroom
  • Контакты
  • Политика конфиденциальности