Общие Организационные Вопросы

[azizcheg]

Добрый день.

Мне придется скоро работать с Вашими продуктами. Читаю про них, изучаю, есть кое-какие непонятные моменты.

Что конретно делает Coordinator? Понятно ViPNet Client - это ВПН-клиент, подключается, шифрует весь трафик.

Coordinator - закрывает всё в локальную сеть. Но Client всё ёще нужен на машинах. Зачем шифровать уже закрытый трафик?

Дайте, пожалуйста, ссылку на небольшую вводную инфу.

[slavanchuk]

Всё очень просто. Координатор позволяет шифровать трафик целой подсети и, в принципе, не обязательно при этом ставить VIpNet Client. VipNet Client обычно ставится на удалённые машины. VipNet Client обязательно нужен только для VipNet AdministratorА (чтобы администратор мог рассылать справочники и ключи координаторам и клиентам).Также следует устанавливать его и при использовании центра регистрации (опциональный элемент Vipnet custom). Также координатор может выполнять роль "сервера" деловой почты (защищённого почтового шлюза). Деловая почта - это опция для защищённой переписки в VipNet Client. Мы, к примеру, используем VipNet Client чтобы в локальной сети, содержащей как конфиденциальную, так и открытую информацию, защищать от перехвата конфиденциальную информацию между защищёнными компьютерами. Как я уже говорил, если Вам нужен просьтенький документооборот (с ЭП, гарантией доставки и т.п.), то тут необходимо ставить VipNet Client с деловой почтой. В VipNet Client встроено средство электронной подписи. Но вы можете вместо него использовать бесплатный vipnet CSP.

Таким образом, использование VipNet Client в общем случае не обязательно (кроме администратора). Всё зависит от Ваших потребностей. Однако, использование как минимум одного администратора и координатора - обязательно.

Вот ссылка на функции координатора с официального сайта. В документации также можете почерпнуть всё, что захотите о данном продукте узнать.

P.S. А для каких целей Вы планируете использование данного программного продукта? От этого зависит какую версию программ нужно будет выбрать.

[w3d]

Как я уже говорил, если Вам нужен просьтенький документооборот (с ЭП, гарантией доставки и т.п.), то тут необходимо ставить VipNet Client с деловой почтой. В VipNet Client встроено средство электронной подписи. Но вы можете вместо него использовать бесплатный vipnet CSP.

Каким образом в подобном случаем можно использовать vipnet CSP ?

[slavanchuk]

Каким образом в подобном случаем можно использовать vipnet CSP ?

Если вы используете координаторы для организации VPN (не ставите VPN клиенты на оконечные узлы), то Вам можно использовать обычный почтовый сервер. Переписка будет шифроваться и подписываться при помощи VipNet CSP (бесплатный продукт). Ключи для VipNet CSP может выдавать Registration Point и, вроде бы, новая версия администратора (не уверен в последнем). Получаете документооборот.

[AnTonN(c)]

В CSP можно создать запрос на сертификат и удовлетворить его в любом удостоверяющем центре. Будь то ViPNet, будь то КриптоПРО.

ViPNet Registration Point этот запрос может делать автоматически, то есть автоматом посылать запрос в удостоверяющий центр. Но вот беда - контейнер закрытого ключа будет создаваться не на месте пользователя, кто владеет сертификатом, а на месте RegPoint.

[slavanchuk]

Да, действительно я не так выразился. Я имел ввиду обработку запроса. Администратор 3.1 точно не умел обрабатывать запрос на сертификат.

[azizcheg]

slavanchuk

Вот как я понимаю. Правильно ли это?

1-й случай. Есть 2 компа, соединение между которыми надо зашифровать. Они находятся НЕ в одной подсети. Они, установив у себя ПО Client, могут подключиться друг к другу через Интернет.

Вопрос 1. Кто в таком случае является VPN-сервером? Скорее всего какой-то координатор, да? (ПАК или комп с ПО Координатор)

Вопрос 2. Если запущено ПО Клиент, то шифруется ВЕСЬ трафик, исходящий от данного хоста, или только то, что можно отправлять через эту программу (Client)?

2-й случай. Есть Две подсети в разных частях города или страны. В обе подсети ставим Координаторы.

Вопрос 3. Трафик шифруется только между Координаторами? Внутри сети (от координатора до хоста) трафик открытый, так?

[slavanchuk]

Для первого случая:

1. Сервером VPN является координатор, за которыми они логически стоят.
   
2. Шифруется весь трафик между защищёнными узлами. Какой именно трафик шифруется можно дополнительно посмотреть в журнале пакетов.
   

Для второго случая:

1. Трафик шифруется только между координаторами. Пакеты от узла до координатора внутри локальной сети при использования технологии туннелирования не шифруются.
   

[azizcheg]

slavanchuk

Построили для организации ЛВС (на 50-70 компов), сеть стоит за Координатором HW1000. Есть ли смысл ставить на компы, участвующие в защищенном обмене данными, клиентское ПО? Или это делается их тех соображений, что уровень доверия к остальным невысок?..

[slavanchuk]

Клиенты ставятся (если сеть уже стоит за координатором) только для того, чтобы защищтить трафик уже от самого компьютера. У нас, к примеру, сеть по умолчанию - недоверенная. И если организация находится в двух и более зданиях, то внутри организации можно также поставить клиенты, а можно и координатор. В общем - на усмотрение организации.

[matrix]

1. а если использовать координаторы чисто ради VPN, то им же никакие сертификаты не нужны для шифрования трафика?

2. что содержится в dst файле?

[Echo]

Шифрование трафика между узлами ViPNet симметричное, не на сертификатах, это касается как Координаторов, так и Клиентов. Вообще в ViPNet peer-to-peer шифрование для каждой пары связанных узлов.

Функции Координатора могут быть как в шифровании, если он криптошлюз, либо технологические, если защищшенный трафик идет через него транзитом

Сертификаты Вы можете использовать для дополнительных функций - Деловая Почта (подпись), внешние приложения (аутлук, например) - подпись и шифрование.

DST-файл предназначен для инициализации справочно-ключевой информации нового узла, там содержатся справочники, ключи, ключи ЭП, ключи для авторизации пользователя etc.

Более подробно смотрите в документации, или спросите у техподдержки.