
Знакомство с ViPNet Administrator 4
Предлагаю познакомиться с интерфейсом ПО ViPNet Administrator 4, в состав которого входит ViPNet Client, ViPNet Деловая почта, Центр Управления Сетью, Удостоверяющий и ключевой центр.
Данная статья скорее будет не интересна тем, кто уже знаком и работал с данным программным обеспечением.
В технические детали постараюсь не углубляться, так как цель именно познакомить с интерфейсом. Не научить работать, не научить настраивать или восстанавливать, а именно познакомить.
ViPNet Client
Первая часть это vipnet client, так называемый админский vipnet client. Именно этот ViPNet Client отправляет пакеты со справочниками и ключами на координатор.
В защищенной сети светится фиолетовым ViPNet Координатор, но также в этом списке могут отображаться и обычные клиенты, с которыми у вас установлена связь.
Удобнее всего смотреть версию ViPNet Client и имя узла vipnet сети именно во вкладке "О программе".
Если нажать правой кнопкой на клиент или координатор в списке в защищенной сети и выбрать пункт "Проверить соединение", тогда откроется дополнительное окно, в котором будет отображено состояние проверки соединения.
В данном случае сообщается, что координатор доступен, а также версия его ПО. Активность для координатора не отображается, только для клиентов.
Статус недоступен означает, что в данный момент конкретный узел ViPNet отсутствует в сети, либо у него просто отключен клиент. Если у вас недоступные все узлы в списке, значит у вас проблемы с доступом в интернет, если быть более точным, проблемы с доступом до вашего основного координатора.
Также может быть статус, что клиент доступен, но модуль управления не отвечает. Это может означать, что зависли отдельные компоненты ViPNet Client на этом компьютере или плохое сетевое соединение.
Еще хочу отметить, что ViPNet Client не во всех случаях показывает достоверную информацию о наличии в сети абонента и связано это с особенностями конкретно ваших сетей. В любом случае, самая актуальная информация на координаторе, поэтому с его веб-интерфейсом советую дружить.
Для большой сети рекомендуется создавать папки и раскидывать клиентов по ним.
Такой подход удобен не всем администраторам больших сетей, поэтому советую попробовать на небольшом количестве, чтобы не так сложно было переместить обратно. И да, перемещаются клиенты между папками и самой защищенной сетью при помощи перетаскивания.
Примерно так может выглядеть.
ViPNet Деловая почта
Деловая почта ViPNet это средство гарантированной доставки писем с шифрованием. Это очень умно и удобно, а также безопасно. Такое средство исключает атаки "человек по середине", при которых кто-то может перехватить ваше электронное письмо и расшифровать его. Нет, его может прочитать только отправитель или получатель. И для чтения архива писем на компьютере должен быть установлен vipnet ключ конкретного абонента.
Примерно так выглядит интерфейс деловой почты, если скрыть ту часть, в которой могут быть важные данные.
Убрал лишние письма.
В списке справа отображаются письма. Слева можно выбрать папку с входящими или исходящими письмами. Достаточно два раза кликнуть мышкой по письму, чтобы оно открылось. Его также можно расшифровать, чтобы его можно было открыть любой деловой почтой.
Если нажать на кнопку письму слева сверху, тогда откроется окно создания исходящего письма.
При помощи кнопки Получатели можно выбрать кому отправлять письмо, включая несколько получателей одновременно, хоть сразу всех абонентов, при этом сохраняя гарантию того, что письмо не потеряется по пути и дойдёт в неизменном виде.
При помощи кнопки Вложения можно добавить файл, и ограничения около двух или двух с половиной гигабайт, если мне память не изменяет. Мы отправляли и гигабайт с лишним по деловой почте випнет в Норильск, но идёт такое большое письмо к узлам с такой связью очень долго.
Остальное всё интуитивно понятно.
Центр управления сетью ViPNet Administrator 4
В центре управления сетью первым делом нас встречает диалоговое окно с требованием ввести логин и пароль. Он запоминает последний введённый логин, а пароль запоминать нельзя.
При первом входе после установки ПО логин и пароль Administrator, и вас тут же попросит сменить его.
Так выглядит основное окно Центра управления сетью ViPNet Administrator 4. Вместо двух красивых картинок чувствительная информация с номером сети и количеством лицензионных ограничений, то есть доступных лицензий для узлов с конкретными ролями.
Во вкладке координаторы можно увидеть все координаторы вашей сети. Очень полезна информация с датой последнего изменения и статус справочников и ключей. В данном случае указано приняты, то есть координатор не только получил справочники и ключи, но и успешно установил их.
Когда справочники только отправлены в этом поле указывается статус отправлено, и статус доставлено, если узел отправил ответный пакет, что он получил справочники.
Также возможен статус отказ (не приняты), означающий, что установить справочники и ключи не удалось.
Во вкладке клиенты можно видеть всех клиентов вашей сети, и отдельной иконкой отмечается узел Администратора ViPNet. И да, какой бы у вас мощный компьютер не был, но вкладка клиенты все равно будет открываться с неким притормаживанием. Однако, в данном ПО делается ставка на защищенность, а не на производительность.
Тут все те же самые поля, что и во вкладке координаторы, но добавляется поле с информацией о том, на каком координаторе заведён клиент, и именно через него он должен работать, чтобы исключить разнообразные технические трудности.
Можно, кстати, добавить еще несколько полей.
Теперь вкладка Пользователи, о которого рассказать сложнее, так как незнакомому с этим человеку сложно понять логику в наличии и клиентов, и пользователей.
Координаторы это скорее некие большие маршрутизаторы, которые шифруют канал и рассылают пакеты, при этом регулируя кто и с кем может общаться, согласно заданной в ЦУСе информации.
Клиенты и пользователи уже ставятся на компьютер, и разделили их для того, чтобы можно было на одном компьютере сделать несколько разных пользователей ViPNet. Например, клиент 344 Бухгалтерия, а уже внутри этого клиента заведено несколько пользователей, таких как 344 Бухгалтерия Иванова Е.А. и 344 Бухгалтерия Дмитриев Г.Н., и при включении компьютера до загрузки рабочего стола випнет будет просить выбрать пользователя и ввести его пароль. Кстати, не даром в деловой почте можно выбирать в качестве адресата имя клиента и внутри него имя пользователя, таким образом можно отправить письмо, которое получит только 344 Бухгалтерия Дмитриев Г.Н., и не получит 344 Бухгалтерия Иванова Е.А.. Также следует понимать, что когда работает Дмитриев, Иванова почту не может получать.
Для координатора тоже создаётся пользователей по технической причине - иначе не будет полного набора ключей для шифрования пакетов, которые адресованы ему лично.
С кнопками в данных вкладках разобраться легко - плюсик добавить, странная таблица с карандашом редактировать, крестик удалить, а остальное удобнее через правую кнопку открывать.
Группы пользователей самая непонятная для начинающих функциональность, но на самом деле очень удобная для больших сетей.
Даже в маленьких, но распределенных сетях есть некие специалисты, которые поддерживают работоспособность неких узлов ViPNet, и им для работы нужно знать пароль Администратора сети, но по умолчанию он один для всей сети. Благодаря группам эту проблему можно решить. Достаточно раскидать такие узлы по разным группам и потом при помощи Ключевого центра задать для каждой группы отдельный пароль.
Группы пользователей и узлов отличаются лишь тем, кто может входить в группу - только пользователи или клиенты и координаторы.
Также это позволяет создать группу узлов и при создании нового клиента не добавлять ему в связи одни и те же 20 узлов, а просто выбрать группу и они все добавятся ему в связи.
Это конечно и другую функциональность носит, но об этом лучше отдельно рассказывать.
DNS-серверы и DNS-зоны. Для экспериментов в данном разделе стоит иметь высокие компетенции в сетях, создании веб-сайтов и администрировании ViPNet, даже если это кажется очень простым.
Про это также лучше рассказывать отдельно, так как тут очень много важных тонкостей.
Шаблоны сетевых узлов должны быть у всех администраторов крупных випнет сетей, иначе можно сразу оценить уровень их компетенций.
Данные шаблоны позволяет задать общие настройки, которые можно применять при создании узлов сети. Иными словами, нужно тебе создать 50 узлов и для того, чтобы каждый раз не выставлять одни и те же настройки, можно просто применять шаблоны. Очень удобно.
Также можно отправлять обновление программного обеспечения через ЦУС, что очень удобно.
Вкладку доверенные сети показывать не буду, там как там смотреть без конфиденциальной информации не интересно. В общем, там отображаются сети випнет, с которыми у вас установлено межсетевое взаимодействие. В них можно устанавливать связь между конкретными пользователями, чтобы они могли обмениваться деловой почтой, или обращаться к ресурсам за координатором из другой сети.
При помощи кнопки с шестерёнкой внизу можно открыть администрирование ЦУСа.
Во вкладке учетные записи отображаются, как не трудно догадаться, учетные записи, под которыми можно входить в центр управления сетью.
Журнал аудита показывает события именно самого цуса.
Самое полезное это журнал транспортных конвертов, при помощи которого можно отслеживать кто получил конверты со справочниками, а кто нет.
Вот так выглядит сам журнал.
Удостоверяющий и ключевой центр ViPNet Administrator 4
Так выглядит вход в ключевой центр и тут нужно вводить пароль администратора сети.
Так выглядит основное окно ключевого центра и сразу открытая вкладка Сетевые узлы, в которой отображаются клиенты и координаторы.
В настройках можно указать куда сохранять ключевую информацию (DST-файлы и XPS-файлы).
Можно задать как будет формироваться пароль узла. Если нужно кому-то поставить свой пароль, а не случайный, тогда меняем тут настройку, а потом уже идёт задавать свой пароль. Очень удобно так делать для планшетов, так как на них клавиатуры не показывают сразу и русские, и английские буквы.
Тут можно выбрать куда сохранять DST-файлы.
Настройки резервного копирования. Полезная история, но я настоятельно рекомендую каждую неделю делать резервную копию всего жесткого диска, например, при помощи Acronis True Image или подобного программного обеспечения. Если это виртуальная машина, тогда резервную копию делать еще проще.
И да, лишние резервные копии лучше периодически удалять.
Пароль задаётся именно пользователю, а не сетевому узлу, поэтому изменить и посмотреть пароль можно только в этой вкладе.
Примерно так можно передать ключи пользователя в ЦУС.
Если открыть пользователя, то можно увидеть подробную информацию и пароль.
Можно задать способ аутентификации, но подобные изменения обычно приводят к множеству проблем, когда закончится срок действия сертификата на токене и вы его смените, или еще чего. В общем, подобные способы аутентификации это всегда боль. Если вы зададите вход по токену, то вход по паролю будет невозможен, и для возврату ко входу по паролю нужно заблаговременно переключить это на пароль.
Пароль пользователя.
Также можно сохранить ключи в файл, и сохранить РНПК, которые обязательно нужны при смене мастер ключей.
Вернёмся к сетевым узлам.
Таким нехитрым способом можно выдать обновленный вариант DST-файла. Также можно передать ключи в ЦУС или в файл, как и в пользователях.
Группы узлов. Про удобство групп я уже говорил.
Мастер-ключи, про которые лучше рассказывать отдельно, а на начальном этапе лучше вообще их не трогать.
Администрирование. И тут можно видеть пользователя ключевого центра.
В целом, это всё. Спасибо за внимание.