Jump to content

Recommended Posts

Добрый день.

Мне придется скоро работать с Вашими продуктами. Читаю про них, изучаю, есть кое-какие непонятные моменты.

Что конретно делает Coordinator? Понятно ViPNet Client - это ВПН-клиент, подключается, шифрует весь трафик.

Coordinator - закрывает всё в локальную сеть. Но Client всё ёще нужен на машинах. Зачем шифровать уже закрытый трафик?

Дайте, пожалуйста, ссылку на небольшую вводную инфу.

Share this post


Link to post
Share on other sites

Всё очень просто. Координатор позволяет шифровать трафик целой подсети и, в принципе, не обязательно при этом ставить VIpNet Client. VipNet Client обычно ставится на удалённые машины. VipNet Client обязательно нужен только для VipNet AdministratorА (чтобы администратор мог рассылать справочники и ключи координаторам и клиентам).Также следует устанавливать его и при использовании центра регистрации (опциональный элемент Vipnet custom). Также координатор может выполнять роль "сервера" деловой почты (защищённого почтового шлюза). Деловая почта - это опция для защищённой переписки в VipNet Client. Мы, к примеру, используем VipNet Client чтобы в локальной сети, содержащей как конфиденциальную, так и открытую информацию, защищать от перехвата конфиденциальную информацию между защищёнными компьютерами. Как я уже говорил, если Вам нужен просьтенький документооборот (с ЭП, гарантией доставки и т.п.), то тут необходимо ставить VipNet Client с деловой почтой. В VipNet Client встроено средство электронной подписи. Но вы можете вместо него использовать бесплатный vipnet CSP.

Таким образом, использование VipNet Client в общем случае не обязательно (кроме администратора). Всё зависит от Ваших потребностей. Однако, использование как минимум одного администратора и координатора - обязательно.

Вот ссылка на функции координатора с официального сайта. В документации также можете почерпнуть всё, что захотите о данном продукте узнать.

P.S. А для каких целей Вы планируете использование данного программного продукта? От этого зависит какую версию программ нужно будет выбрать.

Share this post


Link to post
Share on other sites

Как я уже говорил, если Вам нужен просьтенький документооборот (с ЭП, гарантией доставки и т.п.), то тут необходимо ставить VipNet Client с деловой почтой. В VipNet Client встроено средство электронной подписи. Но вы можете вместо него использовать бесплатный vipnet CSP.

Каким образом в подобном случаем можно использовать vipnet CSP ?

Share this post


Link to post
Share on other sites

Каким образом в подобном случаем можно использовать vipnet CSP ?

Если вы используете координаторы для организации VPN (не ставите VPN клиенты на оконечные узлы), то Вам можно использовать обычный почтовый сервер. Переписка будет шифроваться и подписываться при помощи VipNet CSP (бесплатный продукт). Ключи для VipNet CSP может выдавать Registration Point и, вроде бы, новая версия администратора (не уверен в последнем). Получаете документооборот.

Share this post


Link to post
Share on other sites

В CSP можно создать запрос на сертификат и удовлетворить его в любом удостоверяющем центре. Будь то ViPNet, будь то КриптоПРО.

ViPNet Registration Point этот запрос может делать автоматически, то есть автоматом посылать запрос в удостоверяющий центр. Но вот беда - контейнер закрытого ключа будет создаваться не на месте пользователя, кто владеет сертификатом, а на месте RegPoint.

Share this post


Link to post
Share on other sites

Да, действительно я не так выразился. Я имел ввиду обработку запроса. Администратор 3.1 точно не умел обрабатывать запрос на сертификат.

Share this post


Link to post
Share on other sites

slavanchuk

Вот как я понимаю. Правильно ли это?

1-й случай. Есть 2 компа, соединение между которыми надо зашифровать. Они находятся НЕ в одной подсети. Они, установив у себя ПО Client, могут подключиться друг к другу через Интернет.

Вопрос 1. Кто в таком случае является VPN-сервером? Скорее всего какой-то координатор, да? (ПАК или комп с ПО Координатор)

Вопрос 2. Если запущено ПО Клиент, то шифруется ВЕСЬ трафик, исходящий от данного хоста, или только то, что можно отправлять через эту программу (Client)?

2-й случай. Есть Две подсети в разных частях города или страны. В обе подсети ставим Координаторы.

Вопрос 3. Трафик шифруется только между Координаторами? Внутри сети (от координатора до хоста) трафик открытый, так?

Share this post


Link to post
Share on other sites

Для первого случая:

  1. Сервером VPN является координатор, за которыми они логически стоят.
  2. Шифруется весь трафик между защищёнными узлами. Какой именно трафик шифруется можно дополнительно посмотреть в журнале пакетов.

Для второго случая:

  1. Трафик шифруется только между координаторами. Пакеты от узла до координатора внутри локальной сети при использования технологии туннелирования не шифруются.

Share this post


Link to post
Share on other sites

slavanchuk

Построили для организации ЛВС (на 50-70 компов), сеть стоит за Координатором HW1000. Есть ли смысл ставить на компы, участвующие в защищенном обмене данными, клиентское ПО? Или это делается их тех соображений, что уровень доверия к остальным невысок?..

Share this post


Link to post
Share on other sites

Клиенты ставятся (если сеть уже стоит за координатором) только для того, чтобы защищтить трафик уже от самого компьютера. У нас, к примеру, сеть по умолчанию - недоверенная. И если организация находится в двух и более зданиях, то внутри организации можно также поставить клиенты, а можно и координатор. В общем - на усмотрение организации.

Share this post


Link to post
Share on other sites

1. а если использовать координаторы чисто ради VPN, то им же никакие сертификаты не нужны для шифрования трафика?

2. что содержится в dst файле?

Share this post


Link to post
Share on other sites

Шифрование трафика между узлами ViPNet симметричное, не на сертификатах, это касается как Координаторов, так и Клиентов. Вообще в ViPNet peer-to-peer шифрование для каждой пары связанных узлов.

Функции Координатора могут быть как в шифровании, если он криптошлюз, либо технологические, если защищшенный трафик идет через него транзитом

Сертификаты Вы можете использовать для дополнительных функций - Деловая Почта (подпись), внешние приложения (аутлук, например) - подпись и шифрование.

DST-файл предназначен для инициализации справочно-ключевой информации нового узла, там содержатся справочники, ключи, ключи ЭП, ключи для авторизации пользователя etc.

Более подробно смотрите в документации, или спросите у техподдержки.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.