Установка и настройка программы. 6 Лицензия на число клиентов. 49 Регламентное тестирование системы «Net-pro» 50 приложение задание узлов и сетей. 55

Вид материала

Регламент

Содержание Тестирование процесса идентификации и аутентификации запросов Тестирование подсистемы регистрации действий администратора Тестирование процесса контроля за целостностью программной и информационной частей системы Тестирование процедуры восстановления. ПРИЛОЖЕНИЕ 1. Задание узлов и сетей. ПРИЛОЖЕНИЕ 2. Задание портов. ПРИЛОЖЕНИЕ 5. Примеры настройки параметров “Net-PRO VPN Server” и “Net-PRO VPN Client” для организации VPN Net-PRO VPN Server

Подобный материал:

• Установка и настройка программы WinGate Установка и настройка программы WinRoute Настройка, 444.53kb.
• Установка и запуск программы 6 Настройка соединения, авторизации и безопасности 6 Подключение, 1851.46kb.
• Возможно дистрибутив программы Windows 98 Установка и настройка необходимого программного, 132.4kb.
• Установка и запуск программы 5 настройка параметров программы 7 настройка цветовой, 440.52kb.
• Отчет по циклу лабораторных работ «Локальные вычислительные сети», 62.03kb.
• «Россельхозбанк», 42.31kb.
• Характеристика специальности 210406 «сети связи и системы коммутации», 37.03kb.
• Содействия Трудоустройству, 471.6kb.
• Настройка служб сети Пышкин, 123.54kb.
• Настройка adsl через сетевой адаптер (lan) Установка модема и установка сплитера, 103.51kb.

Тестирование процесса идентификации и аутентификации запросов

• В окне «Пользователи» правил защиты сервера «Net-PRO» зарегистрируйте пользователя с тестовым именем и паролем (см.п.3.11.5).
  
• В правилах доступа сервера «Net-PRO» разрешите доступ к внешнему ресурсу только с парольной аутентификацией и задайте имя зарегистрированного пользователя (см.п.3.11.7).
  
• Настройте программу «Net-PRO VPN Client» на клиентском компьютере для работы с парольной аутентификацией, задайте тестовое имя и пароль пользователя (см.пп. 3.5.2, 3.5.3. [1]).
  
• Выгрузите и загрузите клиентское TCP/IP приложение.
  
• Осуществите доступ к внешнему ресурсу последовательно через серверное приложение и службу «Net-PRO VPN Server». Ресурс должен быть доступен.
  
• В программе «Net-PRO VPN Client» задайте пароль пользователя, отличный от заданного в параметрах сервера.
  
• Выгрузите и загрузите клиентское TCP/IP приложение.
  
• Повторите доступ к внешнему ресурсу последовательно через серверное приложение и службу «Net-PRO VPN Server». Ресурс должен быть недоступен.
  
• В правилах доступа сервера «Net-PRO» разрешите доступ к ресурсу только с SSL аутентификацией и задайте пользователя с параметрами сертификата, используемого на клиентской стороне (см.п.3.11.7). В правилах аутентификации задайте SSL контекст (см.п.3.11.4). Проверьте периоды действия сертификатов сервера и сертификационного авторитета (СА).
  
• Настройте программу «Net-PRO VPN Client» для работы с SSL аутентификацией, задайте соответствующий SSL контекст (см.пп. 3.5.1-3.5.3. [1]). Проверьте периоды действия сертификатов клиента и СА.
  
• Выгрузите и загрузите клиентское TCP/IP приложение.
  
• Повторите доступ к внешнему ресурсу последовательно через серверное приложение и службу «Net-PRO VPN Server». Ресурс должен быть доступен.
  
• В программе «Net-PRO VPN Server» измените параметры сертификата тестового пользователя.
  
• Повторите доступ к внешнему ресурсу последовательно через серверное приложение и службу «Net-PRO VPN Server». Ресурс должен быть недоступен.
  

Тестирование подсистемы регистрации

• Откройте журнал событий сервера «Net-PRO». (см.п.3.11.11) и просмотрите записи, сделанные в процессе тестирования правил фильтрации (см.п.5.4) и процесса аутентификации запросов (см.п.5.5). Сверьте значения в записях журнала с результатами пошагового тестирования, выполненного в соответствии с пунктами 4, 5 данной методики; проверьте значения даты, времени, IP адресов и др.
  
• Откройте системный журнал сервера «Net-PRO» (см.п.3.9.4) и cверьте записи в системном журнале с записями в журнале событий (в системном журнале регистрируются только блокируемые соединения).
  

6. Тестирование подсистемы регистрации действий администратора

Откройте системный журнал сервера «Net-PRO» (см.п.3.9.4) и сверьте записи о действиях администратора сервера с результатами тестирования, выполненного в соответствии с пунктами 5.2, 5.4, 5.5 данной методики; проверьте значения даты, времени, кодов операций и др.

1. Тестирование процесса контроля за целостностью программной и информационной частей системы

• Выгрузите службу «Net-PRO VPN Server», если она загружена.
  
• Загрузите утилиту regedt32.exe.
  
• В системном реестре (ключ HKEY_LOCAL_MACHINE\Software\Signal-COM\Integrity\Net-PRO VPN Server) измените значение переменной Service.
  
• Загрузите службу «Net-PRO VPN Server». Служба должна завершить свою работу немедленно.
  
• Найдите в системном журнале (см.п.3.9.4) соответствующую запись.
  
• Выгрузите приложение «Net-PRO VPN Server».
  
• В системном реестре (ключ HKEY_LOCAL_MACHINE\Software\Signal-COM\Integrity\Net-PRO VPN Server) измените значение переменной GUI.
  
• Загрузите приложение «Net-PRO VPN Server». Программа должна завершить свою работу после сообщения «Целостность программы нарушена».
  

8. Тестирование процедуры восстановления.

• Загрузите службу «Net-PRO VPN Server» и убедитесь, что внешний ресурс доступен с клиентского компьютера.
  
• Нажмите кнопку RESET на панели того компьютера, на котором установлен сервер «Net-PRO». Дождитесь перезагрузки компьютера и убедитесь, что внешний ресурс по-прежнему доступен с клиентского компьютера.
  
• Нажмите кнопку RESET на панели того компьютера, на котором установлен модуль «Net-PRO VPN Client». Дождитесь перезагрузки компьютера и убедитесь, что внешний ресурс по-прежнему доступен с клиентского компьютера.
  
• Деинсталируйте программу «Net-PRO VPN Server» стандартными средствами ОС (Control Panel =>Add/Remove Programs).
  
• Инсталируйте «Net-PRO VPN Server» вновь с дистрибутивного диска.
  
• Загрузите приложение «Net-PRO VPN Server». Программа должна продолжить свою работу с параметрами настройки, установленными до деинсталяции.
  
• Загрузите службу «Net-PRO VPN Server». Служба должна продолжить свою работу.
  

ПРИЛОЖЕНИЕ 1. Задание узлов и сетей.


При настройке программы «Net-PRO VPN Server» некоторые параметры требуют задания в одном поле перечня адресов, определяющих узел, группу узлов, сеть или группу сетей. В этих случаях перечень необходимых адресов определяется с помощью шаблона узла/сети. Ниже приведены правила задания этих шаблонов.

Для задания какого-либо узла необходимо указать его IP адрес (в формате a1.a2.a3.a4), доменное имя или псевдоним (см. п. 3.11.1).

Для задания какой-либо сети (подсети) необходимо указать ее адрес и маску или псевдоним. Ниже приводятся способы задания пары адрес/маска:

• a1.a2.a3.a4/m1.m2.m3.m4 - для того, чтобы какой-либо узел удовлетворял данному шаблону, необходимо, чтобы результат «наложения» (побитовая операция «И») IP адреса этого узла и маски m1.m2.m3.m4 равнялся результату «наложения» адреса a1.a2.a3.a4 и маски m1.m2.m3.m4 (например, адрес 193.212.35.37 удовлетворяет шаблону 193.212.35.0/255.255.255.0).
  
• a1. - эквивалентно шаблону a1.0.0.0/255.0.0.0
  
• a1.a2. - эквивалентно шаблону a1.a2.0.0/255.255.0.0
  
• a1.a2.a3. - эквивалентно шаблону a1.a2.a3.0/255.255.255.0
  
• .<доменное имя> - для того, чтобы какой-либо узел удовлетворял данному шаблону, необходимо, чтобы имя этого узла заканчивалось строкой «доменное имя» (например, имя узла www.signal-com.ru удовлетворяет шаблонам .signal-com.ru и .ru).
  

ПРИЛОЖЕНИЕ 2. Задание портов.


При настройке программы «Net-PRO VPN Server» некоторые параметры требуют задания в одном поле перечня номеров портов. В этих случаях перечень необходимых портов определяется с помощью шаблона порта. Ниже приведены правила задания этих шаблонов.

Для задания номеров портов можно использовать отдельные номера или диапазон портов, которые, в свою очередь, можно перечислять, отделяя запятыми. Диапазон портов задается двумя номерами, разделенными символом «-» («минус» или «тире»), причем, оба номера включаются в диапазон.


Например, 20,21,50-60,80,443,1000-1200


В данном примере заданы следующие номера портов: 20, 21, все порты, начиная с 50 по 60 включительно, 80, 443 и с 1000 по 1200 включительно.


ПРИЛОЖЕНИЕ 3. Идентификаторы алгоритмов.


В программе «Net-PRO VPN Server» используются следующие идентификаторы алгоритмов:

• «RC4-MD5» - длина ключа шифрования - 128 бит, длина MAC - 128 бит;
  
• «EXP-RC4-MD5» - длина ключа шифрования - 40 бит (экспортные ограничения), длина MAC - 128 бит;
  
• «RC2-CBC-MD5» - длина ключа шифрования - 128 бит, длина MAC - 128 бит;
  
• «EXP-RC2-CBC-MD5» - длина ключа шифрования - 40 бит (экспортные ограничения), длина MAC - 128 бит;
  
• «IDEA-CBC-MD5» - длина ключа шифрования - 128 бит, длина MAC - 128 бит;
  
• «DES-CBC-MD5» - длина ключа шифрования - 56 бит, длина MAC - 128 бит;
  
• «DES-CBC-SHA» - длина ключа шифрования - 56 бит, длина MAC - 160 бит;
  
• «DES-CBC3-MD5» - длина ключа шифрования - 168 бит, длина MAC - 128 бит;
  
• «DES-CBC3-SHA» - длина ключа шифрования - 168 бит, длина MAC - 160 бит;
  
• «RUS-GAMMA-MD5» - длина ключа шифрования - 256 бит (ГОСТ 28147-89/3), длина MAC - 128 бит;
  
• «RUS-GAMMA-SHA» - длина ключа шифрования - 256 бит (ГОСТ 28147-89/3), длина MAC - 160 бит;
  
• «RUS-GAMMA» - длина ключа шифрования - 256 бит (ГОСТ 28147-89/3), длина MAC - 64 бита (ГОСТ 28147-89/5);
  
• «RUS-GAMMAR-MD5» - длина ключа шифрования - 256 бит (ГОСТ 28147-89/4), длина MAC - 128 бит;
  
• «RUS-GAMMAR-SHA» - длина ключа шифрования - 256 бит (ГОСТ 28147-89/4), длина MAC - 160 бит;
  
• «RUS-GAMMAR» - длина ключа шифрования - 256 бит (ГОСТ 28147-89/4), длина MAC - 64 бита (ГОСТ 28147-89/5).
  

ПРИЛОЖЕНИЕ 4. Коды ошибок в журнале событий


Приведенные ниже коды ошибок используются в журнале событий (см.п.3.11.11)IDH_LOGING_SETUP программы «Net-PRO VPN Server»:


-2 - ошибка при установлении соединения;

-3 - ошибка при приеме UDP датаграммы;

-4 - неверный формат UDP датаграммы;

-5 - ошибка при отправке UDP датаграммы;

-6 - ошибка при приеме данных;

-7 - соединение было разорвано;

-8 - время ожидания при приеме данных истекло;

-9 - время ожидания при передаче данных истекло;

-10 - ошибка при передаче данных;

-11 - недопустимый адрес получателя в SOCKS-запросе;

-12 - доменное имя в запросе разрешить не удалось;

-13 - тип адреса в запросе не поддерживается;

-14 - неверный номер версии в запросе;

-15 - неверный номер версии в ответе;

-16 - смежный SOCKS-сервер отказал в обслуживании запроса;

-17 - ошибка в стеке TCP/IP;

-18 - время ожидания входящего соединения истекло;

-19 - ошибка при установлении входящего соединения;

-20 - адрес источника не соответствует адресу в BIND-запросе;

-21 - неверный номер команды в запросе;

-22 - неверный номер версии в запросе для парольной аутентификации;

-23 - неверное имя или пароль клиента;

-24 - смежный SOCKS-сервер выдал ошибку при парольной аутентификации;

-25 - смежный SOCKS-сервер не поддерживает предложенные методы;

-26 - метод смежного SOCKS-сервера отсутствует в списке предложенных;

-27 - имя в сертификате смежного SOCKS-сервера не соответствует заданному;

-28 - тип адреса в ответе не поддерживается;

-29 - клиентские методы аутентификации не соответствуют заданным;

-30 - данная версия SOCKS-протокола запрещена;

-31 - недопустимый адрес источника (IP-spoofing);

-32 - адрес источника датаграммы не соответствует адресу клиента;

-33 - попытка организовать UDP-ассоциацию с SOCKS-сервером, для которого задана 4 версия SOCKS протокола;

-34 - адрес источника датаграммы не соответствует адресу сервера;

-35 - доступ к ресурсу запрещен;

-101 - не хватает оперативной памяти для нормальной работы программы;

-234 - отсутствует ключ авторитета (или неверно задан в настройке) для проверки сертификата, полученного от клиента или смежного SOCKS-сервера на этапе установления SSL сессии;

-235 - невозможно дешифровать подпись в сертификате, полученном от клиента или смежного SOCKS-сервера;

-236 - невозможно декодировать открытый ключ авторитета;

-237 - невозможно распаковать подпись в сертификате, полученном от клиента или смежного SOCKS-сервера;

-238 - алгоритм подписи в сертификате, полученном от клиента или смежного SOCKS-сервера, не соответствует стандарту X509;

-240 - плохая подпись в сертификате, полученном от клиента или смежного SOCKS-сервера;

-241 - срок действия сертификата, полученного от клиента или смежного SOCKS-сервера, еще не настал;

-242 - срок действия сертификата, полученного от клиента или смежного SOCKS-сервера, уже истек;

-243 - ошибка в формате даты начала срока действия сертификата, полученного от клиента или смежного SOCKS-сервера;

-244 - ошибка в формате даты конца срока действия сертификата, полученного от клиента или смежного SOCKS-сервера;

-245 - то же, что и код -101;

-246 - от клиента или смежного SOCKS-сервера получен самозаверенный сертификат (недопустимо).

ПРИЛОЖЕНИЕ 5. Примеры настройки параметров “Net-PRO VPN Server” и “Net-PRO VPN Client” для организации VPN


В данном разделе приводится пример настройки параметров модулей “ Net-PRO VPN Server” и “Net-PRO VPN Client” программного комплекса “Net-PRO”, используемого для организации защищенной виртуальной частной сети (VPN), создаваемой на базе локальной сети предприятия и его филиала (см. рис.33).


В рассматриваемом примере обеспечивается:

• защищенное взаимодействие со строгой аутентификацией между серверами “Net-PRO”, установленными на входе каждой из локальных сетей;
  

• защищенное взаимодействие мобильного пользователя с локальной сетью предприятия;
  

• открытое взаимодействие без аутентификации между рабочими станциями и серверами “Net-PRO” в пределах каждой из локальных сетей;
  

• запрет доступа в локальные сети предприятия или филиала любого соединения из других локальных сетей;
  

• разрешение пользователям филиала доступа только в удаленную локальную сеть предприятия (запрещается выход в какие-либо другие сети, в том числе, Интернет);
  

• разрешение пользователям локальной сети предприятия доступа в любые сети (в том числе, в Интернет).
  

Рис.33. Пример организации VPN на базе Net-PRO

1. Настройка сервера «Net-PRO VPN Server» номер 1 (локальная сеть предприятия).