Vipnet coordinator hw 4

2021: Совместимость с ВКС VideoMost и «Протей-ВКС»

19 февраля 2021 года компания ИнфоТеКС сообщила о результатах комплексного тестирования продуктов ViPNet с решениями компаний российского рынка в сфере разработки систем видеоконференцсвязи (ВКС): с программным ВКС-сервером «VideoMost с клиентами на ПК и мобильных» от компании SPIRIT, ВКС под брендом «Протей-ВКС» от Научно-Технического Центра «ПРОТЕЙ» и другими системами ВКС.

Оперативность управления территориально-распределенной компанией (персоналом, проектами, ресурсами) приобретает все большую значимость. Для обеспечения оперативного управления многие компании используют системы аудио- и видеосвязи. Как правило, при построении такого рода систем применяются сети общего пользования: Интернет и арендованные у провайдера каналы. При этом информация, передаваемая по данным каналам, является конфиденциальной, а, следовательно, требует защиты. Продукты линейки ViPNet компании «ИнфоТеКС» способны ее обеспечить.

ИнфоТеКС совместно с обозначенными выше компаниями организовал и провел встречное тестирование продуктов ViPNet с каждой из этих систем ВКС, в ходе которого были подтверждены возможности технологии ViPNet по прозрачной и надежной защите систем ВКС.

В рамках данного тестирования была разработана программа и методика испытаний, в соответствии с которой было выполнено тестирование. Результаты данного тестирования подтверждены подписанными сертификатами технологической совместимости.

Кроме этого компания «ИнфоТеКС» ведет работу по интеграции собственного защищенного мессенджера ViPNet Connect с указанными системами ВКС, что позволит обеспечить единую точку коммуникаций и защиту подключения к корпоративному периметру.

Сервер VideoMost обеспечивает надежную защиту пользовательских данных, т.к. вся информация об учетных записях пользователей хранится внутри корпоративной сети, а не в облаке. Дополнительно, при установках в государственных, военных и силовых структурах РФ, весь трафик, все передаваемые данные могут шифроваться с помощью ViPNet, от ИнфоТеКС и работать вместе на шифрованном канале, по VPN. Результаты тестирования подтверждают, что VideoMost и ИнфоТеКС уже давно готовы обеспечивать надежные и безопасные видеокоммуникации в госорганизациях и госкорпорациях с использованием только отечественного ПО,
сказал Андрей Свириденко, председатель правления SPIRIT

Нам как производителю ВКС со статусом ТОРП важно иметь надежного Российского технологического партнера для обеспечения достаточного уровня защиты и конфиденциальности данных. Учитывая запрос Государства на создание надежной отечественной ИТ-инфраструктуры, мы активно двигаемся в сторону глубокой интеграции с Российскими продуктами и создания партнерской экосистемы для обеспечения привычного высокого качества сервиса для конечных пользователей,
отмечает Владимир Фрейнкман, директор по маркетингу и системным исследованиям НТЦ ПРОТЕЙ.

Компания ИнфоТеКС обладает большим опытом по защите систем ВКС у существующих заказчиков, нами были реализованы проекты по защите территориально распределенных систем видеоконференцсвязи для множества крупных как коммерческих, так и государственных заказчиков, при этом организованное нами комплексное тестирование наших продуктов еще раз доказало возможности технологии ViPNet для защиты любого типа трафика включая высоконагруженный потоки данных в системах ВКС. Нами ведутся работы по подтверждению совместимости наших продуктов и с другими российскими разработчиками систем ВКС. В ближайшем будущем мы планируем расширить список совместимых ВКС,
заявляет Дмитрий Гусев, заместитель генерального директора компании «ИнфоТеКС».

Нет связи с ресурсами компании

Предположим, у нас есть веб-сайт, который открывается только при наличии VPN подключения через Vipnet клиент. Данный веб-сайт вчера открывался, а сегодня «внезапно» перестал. Чтож, идём в пуск — Vipnet — vipnet client — Монитор.

При открытии VipNet монитора видим, что все узлы у нас серые, а при проверке имеют статус «Недоступен». Защищённые ресурсы компании, находящиеся в пределах VPN не открываются, однако интернет у нас на месте. Для диагностики проблемы идём в журнал IP-пакетов, устанавливаем желаемый промежуток времени и жмём поиск:

В логах причина вполне очевидна — «Слишком большая разница во времени».

Если время на сервере отличается от времени на устройстве, VipNet клиент работать не будет. Сам постоянно грешу и забываю в первую же очередь проверить время на устройстве, однако в последнем обращении клиентов с такой проблемой наблюдал забавную фишку. Время на компе было вписано якобы правильно. Точнее цифры то правильные, а часовой пояс неверный. Короче меняем время в системе. Делаем правый тык на часах ->настройка даты и времени, проверяем что часовой пояс верный. На верочку так же можно включить автоматическую установку времени и дополнительно его синхронизировать.

Нет интернета при использовании VipNet Client

Данная проблема конечно гораздо глобальнее, ведь интернета как и локальной сети в данном случае нет. А виноват опять пользователь. Если при использовании VipNet пропал интернет, скорее всего был заблокирован Svсhost.exe, отвечающий за выход АРМ в сеть. Процесс блокировки скорее всего выглядел так: Контроль приложений Vipnet вызвал у пользователя окно о том, что приложение Svchost.exe изменено и можно ли ему разрешить выход в сеть. Пользователь не глядя ткнул на запрет и вот результат. Проверить заблокирован ли Svchost.exe можно вызвав контроль приложений во вкладке приложения.

Ищем в списке наш процесс и удостоверяемся в том что он не заблокирован. В моем случае всё норм, у вас будет крест напротив процесса.

Чтобы разблокировать данный процесс, понадобится вход в режим администратора, а следовательно, пароль администратора. Звоните администратору сети чтобы узнать был ли ранее задан пароль администратора Vipnet и не истек ли его срок годности.

А если истек?

В случае истечения срока действия админского пароля Vipnet Client скорее всего придётся сносить т.к. администратор сети не сможет выслать вам новый (сети же нет). Однако если вам повезло и администратор сети находится от вас на расстоянии вытянутой руки, пусть перевыпустит и переустановит DST данного узла на новый, но проще конечно переустановить Vipnet Client, не забыв при этом вручную удалить папку d_station по пути установки клиента. По-умолчанию путь C:\Program Files (x86)\InfoTeCS\ViPNet Client\d_station. Если вы не зачистите папку d_station, после переустановки клиент снова подхватит правила из контроля приложений и интернета снова не будет. Естественно прежде чем переустанавливать VipNet Client не забудьте убедиться в том что у вас сохранился прежний DST файл. За это вам конечно надо дать по шапке т.к. это небезопасно. Если DST файла у вас нет, опять же звоните администратору сети с просьбой выпустить новый взамен старого.

Надеюсь данный пост был вам полезен, всего хорошего =)

Установка сертификата в системное хранилище с помощью утилиты, имеющей командный интерфейс (cli)

Установка

Чтобы установить сертификат в системное хранилище с помощью утилиты с командным интерфейсом, в командной строке перейдите в каталог /opt/itcs/bin и запустите утилиту certmgr со следующими параметрами:

./certmgr add_certificate --location=<хранилище> --store=My --file=<путь ксертификату> --container=<путь к контейнеру>

где:

<хранилище> — хранилище сертификатов, задайте одно из следующих значений:

CurrentUser — если вы хотите установить сертификат в хранилище сертификатов пользователя (является значением по умолчанию);

LocalMachine — если вы хотите установить сертификат в хранилище сертификатов компьютера .

Пример запуска утилиты certmgr с параметрами:

./certmgr add_certificate --location=CurrentUser --store=My --file=/home/astrauser/cert1 --container=/home/astrauser/.itcs/vipnet-csp/containers/cont1

В результате сертификат будет установлен в выбранное хранилище. Если вы указали путь к соответствующему контейнеру ключей, между сертификатом и контейнером ключей будет установлена связь. Это позволит внешним приложениям, работающим с сертификатом, обращаться к соответствующему контейнеру ключей и выполнять с помощью него криптографические операции.

Просмотр свойств сертификатов

Если вы хотите просмотреть свойства сертификата, следует воспользоваться командой:

./certmgr print_certificates --location =<хранилище> --store=<раздел хранилища>

Отобразится список сертификатов, установленных в заданном разделе хранилища. Каждому сертификату присваивается порядковый номер (параметр Index). Используйте его при следующем запуске утилиты с новыми параметрами:

./certmgr print_certificate --location =<хранилище> --store=<раздел хранилища> --index=<порядковый номер сертификата>

Пример запуска утилиты для просмотра свойств сертификата:

./certmgr print_certificates --location=CurrentUser --store=My
./certmgr print_certificate --location=CurrentUser --store=My --index=4

Пример запуска утилиты для просмотра свойств списка CRL:

./certmgr print_crls --location=CurrentUser --store=My
./certmgr print_crl --location=CurrentUser --store=My --index=2

Выполнение криптографических операций с файлами

С помощью тестовой утилиты cryptofile вы можете зашифровывать и расшифровывать файлы,подписывать файлы электронной подписью и проверять электронную подпись.

Примеры команд для выполнения таких операций приведены ниже.

 Пример подписания файла test.doc (для задания закрытого ключа используется имя издателя и серийный номер соответствующего ему сертификата):

/opt/itcs/bin/cryptofile sign --in=/home/user1/test.doc --out=/home/user1/test.doc.sig --nodetach --DER --issuer_serial="CRYPTO-CA|4ee987f40000000009fd"

Пример зашифрования файла test.doc:

/opt/itcs/bin/cryptofile encrypt --in=/home/user1/test.doc --out=/home/user1/test.doc.enc --issuer_serial="CRYPTO-CA|4ee987f40000000009fd"

Пример проверки электронной подписи файла test.doc.sig:

/opt/itcs/bin/cryptofile verify --in=/home/user1/test.doc.sig --out=/home/user1/test.doc

Пример расшифрования файла test.doc.enc:

/opt/itcs/bin/cryptofile decrypt --in=/home/user1/test.doc.enc --out=/home/user1/test.doc

Установка с помощью сценария

В ViPNet CSP Linux версии 4.4 и выше, Вы можете установить необходимые пакеты с помощью специального скрипта vipnetcsp_pkg_manager.sh. При этом зависимости между пакетами будут учтены автоматически.

Для ОС Astra Linux Special Edition (очередное обновление 1.5 и 1.6) и Astra Linux Common Edition 2.12 :

./vipnetcsp_pkg_manager.sh install —package deb —platform x86_64 —dist ../deb/

Регистрация ViPNet CSP Linux

После установки на компьютер программное обеспечение ViPNet CSP Linux работает в демо-режиме (срок его использования ограничен двумя неделями).

Чтобы зарегистрировать ViPNet CSP Linux с помощью полученного кода регистрации, в командной строке перейдите в каталог /opt/itcs/bin и запустите утилиту license со следующими параметрами:

sudo ./license register —product=<идентификатор> —serial=<серийный номер> —code=<регистрационный код>

где:

  • <идентификатор> — идентификатор продукта (csp_linux ).
  • <серийный номер> — Ваш серийный номер.
  •  <регистрационный код> — Ваш регистрационный код.

Чтобы убедиться, что программное обеспечения ViPNet CSP Linux зарегистрировано, запустите утилиту license с параметром list:

./license list

В результате будет выведена информация об установленной лицензии.

Носители и контейнеры

Просмотр доступных контейнеров ключей:

./csp-gost print_containers

Printing available containers (for user):0. SafeNet eToken (eToken Aladdin)(Makhmadiev): abn_0199.key1. /home/astrauser/.itcs/vipnet-csp/containers/test1234SUCCESSED 

Свойства контейнера:

./csp-gost container_content —container abn_0199.key

Container Name: abn_0199.key Type: Device Location: SafeNet eToken (eToken Aladdin)(Makhmadiev)

Certificate Issuer: Министерство обороны Российской Федерации Subject: «НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РУССКИЕ БАЗОВЫЕ ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ»  Serial: 01 d4 71 12 b2 ad 03 20 00 00 0a 57 06 ba 00 05 Subject key identifier: e4 09 ca 71 42 ef 6a 5d 8a ec 70 8c 9d dd dd dd dd 74 e4 78 Not before: 31-10-2018 17:10:00 Not after: 31-10-2019 17:10:00 Fingerprint (SHA1 hash): aa bb cc dd 0e 8e e0 84 e3 8f 48 85 4f 40 80 ef 1a c6 31 04SUCCESSED 

В результате на экран будет выведен список свойств контейнера ключей, а также соответствующего сертификата, если таковой имеется.

ViPNet CSP[править]

Сведения о продуктах и решениях ViPNet, распространенные вопросы и другая полезная
информация собраны на сайте ОАО «ИнфоТеКС»:

Внимание! Совет: не пытайтесь использовать Рутокены S под Linux и с ViPNet CSP. Хорошо работают Рутокены ЭЦП и Рутокены Lite.

Установкаправить

Выдержка из руководства пользователя:

Установка пакетов ViPNet CSP Linux
Пакеты из состава ПО ViPNet CSP Linux следует устанавливать в следующем порядке:

  1. itcs-licensing
  2. itcs-entropy-gost itcs-known-path
  3. itcs-winapi
  4. itcs-csp-gost
  5. Остальные пакеты — в любом порядке, при необходимости.

Пути к исполняемым файламправить

Для того, чтобы не вводить полный путь к исполняемым файлам ViPNet CSP, выполните в терминале:

 export PATH=/opt/itcs/bin:$PATH

Просмотр лицензииправить

$ license status --product csp_linux
Product ID: csp_linux
Version:    4
S-code:     0x00000011
State:      Valid,Trial (14 days left)

Контейнерыправить

Контейнеры пользователя находятся в ~/.itcs/vipnet-csp/containers/.

Просмотр контейнеров:

$ csp-gost print_containers
Printing available containers (for user):

  0. /home/user/.itcs/vipnet-csp/containers/le-b324dba8-7f71-45ad-b9f6-021ea2e9c924
  1. /home/user/.itcs/vipnet-csp/containers/12345678

SUCCESSED

Сертификатыправить

Добавить сертификат удостоверяющего центра в хранилище CA из контейнера:

$ certmgr add_certificate --store CA --container le-b324dba8-7f71-45ad-b9f6-021ea2e9c924

Добавить сертификат пользователя в хранилище My из контейнера:

$ certmgr add_certificate --store My --container 12345678

Просмотреть свои сертификаты:

$ certmgr print_certificates --store My | sed '/Fingerprint/ s/ //g'

Enumerating certificates. Location=CurrentUser, store=My.

Index: 0
Issuer: БУ ВО "ЦИТ"
Subject: БУ ВО ЦИТ тестовая
Serial: 01 d4 6a ea f3 93 5e 80 00 00 08 f2 1a 89 00 0e 
Subject key identifier: 1e 90 ba cd 5a 98 e2 b5 f2 fd 59 26 e7 f6 48 bf 1a eb e6 1d 
Not before: 23-10-2018 19:11:00
Not after: 23-10-2019 19:11:00
Fingerprint(SHA1hash):4810535c95ecdf0f5814d6b36444b916fc3f232b


Enumeration completed. 1 certificate(s) found.

Обратите внимание, мы убрали пробелы для отпечатка ключа (он нам пригодится для подписи).

В свежих версиях появилась графическая утилита certmgr-gui, упрощающая описанные выше операции с сертификатами.

Установка VipNetCSP 4.4

Токены типа Рутокен S и Рутокен Lite  исключены из поддержки с версии ViPNet CSP 4.2.11.

Скачайте архив и распакуйте его содержимое в корне домашней папки пользователя. Предоставьте права на запуск файла в папке scripts:

chmod 777 /home/<имя_пользователя>/scripts/vipnetcsp_pkg_manager.sh

На запрос пароля введите пароль локального администратора.

Запустите скрипт установки с следующими командами:

./vipnetcsp_pkg_manager.sh install --package rpm --platform <архитектура_процессора> --profile <конфигурация_приложения> --dist /home/<имя_пользователя>/rpm/

Архитектура процессора:

  • x86_64 — для 64 или 32 битной версии РЕД ОС.
  • i686 — для версии РЕД ОС на архитектуре i686.

Конфигурация приложения:

  • vipnet_csp — для установки приложения без графического интерфейса.
  • vipnet_csp_gui — для установки приложения с графическим интерфейсом.
  • all — то же, что и предыдущий параметр.

Чтобы посмотреть информацию об архитектуре процессора, наберите:

uname -p

Или просто запустите скрипт установки с указанным путем до каталога с устанавливаемыми пакетами. Все остальные параметры определятся автоматический.

./vipnetcsp_pkg_manager.sh install --dist /home/<имя_пользователя>/rpm/

После установки, все исполняемые файлы приложения будут находится по пути /opt/itcs/bin/

Для установки примеров использования функций в Vipnet CSP и заголовочных файлов, зайдите в /home/<имя_пользователя>/rpm и установите пакет itcs-csp-dev-4.4.0.732-1.noarch.rpm. Это можно сделать двойным щелчком по пакету, после чего откроется окно yumex (в РЕД ОС версии 7.2 и младше) или dnfdragora (в РЕД ОС версии 7.3 и старше), куда нужно ввести пароль привилегированного пользователя или администратора.

Или можно воспользоваться консолью и установить пакет с помощью команды:

для РЕД ОС версии 7.1 или 7.2:

yum localinstall itcs-csp-dev-4.4.0.732-1.noarch.rpm

для РЕД ОС версии 7.3 и старше:

dnf localinstall itcs-csp-dev-4.4.0.732-1.noarch.rpm

Примеры использования будут хранится по пути /opt/itcs/share/samples, а заголовочные файлы /opt/itcs/include/

Для удаления приложения замените параметр install в установочном скрипте на uninstall.

./vipnetcsp_pkg_manager.sh uinstall

Для подробного разбора функций и примера использования приложения, просмотрите официальную документацию по продукту на сайте .

2020

В связи с увеличением количества заявок с просьбой предоставить лицензии на ПО для организации удаленного защищенного доступа и непростой ситуацией с развитием коронавирусной инфекции компания «ИнфоТеКС» 6 окитября 2020 года объявила о своей готовности предоставить лицензии на ряд своих продуктов безвозмездно. В том числе на:

  • ViPNet Client — программный комплекс, предназначенный для защиты рабочих мест корпоративных пользователей.
  • ViPNet Connect — приложение для защищенного общения корпоративных пользователей.
  • ViPNet IDS HS — систему обнаружения вторжений, осуществляющую мониторинг и обработку событий внутри хоста.
  • ViPNet SafeBoot — сертифицированный высокотехнологичный программный модуль доверенной загрузки уровня UEFI BIOS.

Все заинтересованные организации могут получить лицензии на данное ПО сроком на 6 месяцев.

Полученные лицензии можно будет использовать для реализации удаленного защищенного доступа, а также для дополнительного сегментирования локальных сетей, например с целью защиты систем IP-телефонии и видеоконференцсвязи для проведения внутренних дистанционных совещаний.

Массовый переход компаний на удаленный режим работы, вызванный ограничительными мерами во время весенне-летнего периода изоляции, показал важность корректного подключения личных устройств сотрудников с помощью домашних сетей к корпоративным ресурсам организаций.

Компания «ИнфоТеКС» настоятельно рекомендует организовывать доступ с использованием средств VPN. Наиболее быстрый и безопасный вариант — использование домашних/личных устройств в качестве терминалов с VPN-клиентом для удаленных защищенных подключений к корпоративным рабочим станциям или терминальным серверам.

Совместимость ViPNet Client версий 4.5 c линейкой продуктов «Рутокен»

30 июля 2020 года компания «Актив-софт» сообщила, что линейки продуктов Рутокен: Рутокен Lite (+micro), Рутокен S
(+micro), Рутокен ЭЦП 2.0 (+micro), смарт-карта Рутокен ЭЦП SC были протестированы на
совместимость в том числе и с программным комплексом ViPNet Client (версий 4.5 для Windows), предназначенным для
защиты рабочих мест корпоративных пользователей. Подробнее .

Предоставление лицензии на безвозмездной основе на фоне эпидемии коронавируса

19 марта 2020 года ИнфоТеКС сообщил, что предоставит на безвозмездной основе лицензии на свое ПО для организации защищенного удаленного доступа.

На март 2020 года ИнфоТеКС получает и отрабатывает множество запросов на предоставление лицензий на ПО ViPNet Client с целью организации удаленного защищенного доступа.

С целью оперативного разрешения всех вопросов и принимая во внимание непростую ситуацию с развитием коронавирусной инфекции компания объявила о готовности предоставить необходимое число лицензий на ПО ViPNet Client, ViPNet Connect, ViPNet IDS HS и ViPNet SafeBoot для расширения защищенных сетей ViPNet всем российским заинтересованным организациям на безвозмездной основе сроком на 6 мес. Указанные лицензии можно использовать по своему усмотрению не только для реализации удаленного защищенного доступа, но и для дополнительного сегментирования своих локальных сетей, например, с целью защиты ваших систем IP-телефонии и видеоконференцсвязи для проведения внутренних дистанционных совещаний между своими подразделениями без необходимости очно собирать десятки сотрудников в одном помещении

Для удобства мы предлагаем воспользоваться шаблоном обращения за лицензиями на клиентское ПО, которое необходимо оформить на фирменном бланке и отправить на адрес: soft@infotecs.ru.

Также компания внимание на необходимость аккуратной реализации удаленного доступа с использованием домашних сетей, компьютеров и личных мобильных устройств. Не рекомендовано подключать их к корпоративным ресурсам сетей напрямую, даже с использованием средств VPN

Это чревато неумышленным созданием дыр в контуре безопасности сетей из-за неконтролируемого содержания указанных домашних ресурсов: вирусы, malware и пр. Наиболее быстрый и безопасный вариант в таком случае – это использование домашних/личных устройств в качестве терминалов с VPN-клиентом для удаленных защищенных подключений к рабочему столу ваших корпоративных рабочих станций или терминальных серверов.

Под управлением ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)

Если вы устанавливаете ПО ViPNet CSP Linux на компьютер под управлением ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) и планируете использовать данное ПО в режиме замкнутой программной среды, выполните следующие действия:

1) Установите пакет из состава Astra Linux astra-digsig-oldkeys.2) Поместите открытый ключ infotecs_pub_key.gpg, входящий в комплект поставки ViPNet CSP Linux, в следующий каталог:/etc/digsig/keys/legacy/keys/3) Следуйте инструкциям из справочного центра Astra Linux: https://wiki.astralinux.ru/pages/viewpage.action?pageId=1212431

Полезные ссылки

Сведения о продуктах и решениях ViPNet, распространенные вопросы и другая полезная информация собраны на сайте «ИнфоТеКС»:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector