Vipnet client linux firewall

ViPNet-Client

установил ViPNet-Сlient на машину. настроил подключение доменного пользователя с машины через ViPNet-Client. пользователь подключается в том числе и первом уровне. можно получить доступ к своим файлам. сервер стоит за координатором и его соединение туннелируется.
но вот сетевые ресурсы на первом уровне не работают (http и imap). команда ss -t показывает попытку соединения с сервером. в нулевом уровне все работает.

кто-нибудь пробовал такой вариант организации связи? поделитесь опытом

oko

New member

to ingener
Модуль экстрасенсорики подсказывает, что iplir из состава ViPNet, представляющий собой драйвер фильтрации-VPN-проч. не знает про ГОСТ. Или этого не знает Координатор (скорее всего оба варианта). Попробуйте ткнуть ИнфоТекс — нехай напрягутся.

ingener

New member

а можно по-подробней.
я так понимаю, что для Astra Linux координатор прозрачное устройство. если бы с двух сторон стояли координаторы, то связь бы работала на всех уровнях. а вот когда клиентский компьютер предлагает пройти аутентификацию — он в нулевом уровне. связь с сервером доступна по причине нулевого уровня сокета сетевого соединения.
после того, как мы переходим в ненулевой уровень сетевой сокет так и остается в нулевом уровне, а процессы компьютера переходят на высшие уровни. мандатное разграничение доступа не позволяет делать запись из более высокого уровня в более низкий.
скорее всего на сокет сетевого соединения ViPNet нужно установить метку ehole и тогда в него запись пойдет, и пойдет связь в ненулевом уровне

oko

New member

to ingener
Если проблема в работоспособности драйвера, то способ с ehole прокатит. Но откровенно сомневаюсь, потому что, imho, тогда бы iplir в принципе не отрабатывал при перемещении в сессию выше 0.
Насколько помню, драйвер ViPNet как и всякий порядочный VPN инкапсулирует любой исходящий трафик в серию UDP-пакетов, а на приемной стороне Координатор разворачивает их. В процессе такого взаимодействия вполне могут теряться мандатные метки IP-трафика, заложенные Astra Linux в соответствии с ГОСТ (ибо это сетевой, а не транспортный уровень ISO/OSI, в котором UDP/TCP).
«Врежьте» машину «между» Координатором и туннелируемым сервером на удаленной стороне и продампите трафик Wireshark’ом. Структуры типа 40 AB 02 на 1 мандатном уровне в трафике в поле SEC весьма заметны в случае обычного взаимодействия.

ingener

New member

развернул openvpn.
доступ с компьютера где стоит клиент к серверу с почтой и web в любом уровне имеется. схема организации связи простая: клиент_openvpn-сервер_openvpn-промежуточный_маршрутизатор-сервер_с_почтой_и_web.
Coordinator туннелирует сервер_с_почтой_и_web сразу.
ViPNet-Client соответствуют два адреса: один виртуальный, второй — адрес tun на компьютере (реальный). так вот, виртуальный адрес со стороны пингуется, а реальный нет.
если сетевому адресу ethernet прописать алиасом виртуальный адрес, то при такой схеме устанавливается соединение между туннелируемым адресом сервера и компьютером.
думаю проблема — в организации связи ViPNet. нужно копать в эту сторону и интерфейс tun тут ни причём
есть еще подозрение, что виртуальный и адрес интерфейса tun транслируются, но iptables ничего не показывает

oko

New member

to ingener
Откровенно плохо суть проблемы, давайте разбираться.
tun — интерфейс, поднятый openvpn? Потому что ViPNet доп.интерфейсы, отображаемые через ifconfig (например), самостоятельно не поднимает.
Если это так, и вам необходимо «пинговать» tun-интерфейс (его виртуальный ip), то копайте в сторону правил iptables (что вряд ли) и правки конфигураций, как, например, тут.
У вас ViPNet Client и OpenVPN-клиент на одной машине? Не самая лучшая идея.
Лучше запросите у ИнфоТЕКС ответ, поддерживает ли их nix-клиент передачу мандатных меток по сети в соответствии с ГОСТ. Аналогично по Координатору (кстати, какой версии Координатор?).
И еще нюанс, если вы всю эту схему используете для обработки ГТ (а иначе, кому, в здравом уме, понадобились мандатные метки в Astra Linux?), то у меня для вас откровенно плохие новости.

Читайте также:  Linux полный доступ к файлу

ingener

New member

И еще нюанс, если вы всю эту схему используете для обработки ГТ (а иначе, кому, в здравом уме, понадобились мандатные метки в Astra Linux?), то у меня для вас откровенно плохие новости.

не пугайтесь! кроме ГТ есть еще обширный перечень информации ограниченного доступа. но есть еще указ Президента от 2008 года № 351 (в части служебной тайны). а еще есть модель угроз безопасности, в которой есть пункт случайной или преднамеренной утечки информации через Интернет. и потому он должен быть отключен.
как раз мандатное разграничение и позволит использовать компьютер в нулевом уровне без ограничений, а в первом (например, персональные данные) создается изолированный сегмент телекоммуникационной инфраструктуры.
но это все лирика. задачу нужно решать. и проблема сейчас в том, что на первом уровне я вхожу в сеть. файловая система cifs работает без замечаний, и все файлы с метками первого уровня, которые физически расположены на сервере, доступны в полном объеме.
не работает только почтовый сервис и web-сервис!
Русбитех сказал, что это проблема производителя стороннего ПО. а я думаю, что проблема Astra Linux. нужно копаться в конфигурации, но нет времени. потому и обращаюсь к сообществу проффесионалов

cogniter

Moderator

не пугайтесь! кроме ГТ есть еще обширный перечень информации ограниченного доступа. но есть еще указ Президента от 2008 года № 351 (в части служебной тайны). а еще есть модель угроз безопасности, в которой есть пункт случайной или преднамеренной утечки информации через Интернет. и потому он должен быть отключен.
как раз мандатное разграничение и позволит использовать компьютер в нулевом уровне без ограничений, а в первом (например, персональные данные) создается изолированный сегмент телекоммуникационной инфраструктуры.
но это все лирика. задачу нужно решать. и проблема сейчас в том, что на первом уровне я вхожу в сеть. файловая система cifs работает без замечаний, и все файлы с метками первого уровня, которые физически расположены на сервере, доступны в полном объеме.
не работает только почтовый сервис и web-сервис!
Русбитех сказал, что это проблема производителя стороннего ПО. а я думаю, что проблема Astra Linux. нужно копаться в конфигурации, но нет времени. потому и обращаюсь к сообществу проффесионалов

oko

New member

to ingener
Primo, схему структурки + потоков (рабочих и не рабочих) набросайте и приложите, потому что модуль экстрасенсорики реально перегревается (samba на том же сервере, где mail и web? или samba просто в сети, а проблемные сервисы через туннель? и openvpn все также используется? сервисы почты и web в DMZ и Координатор — «внутренний» МЭ в такой реализации, судя по всему?).
Secundo, служебной тайны в стране нет, потому что нет ФЗ. Подзаконные акты типа Указов, Постановлений (которое 1233, ага) и проч. де юре — не пришей тому самому то самое.
Tertio, полагаться при создании КСЗИ на общедоступную спец.реализацию сетевого протокола — спорное решение, напоминающее принцип StO. Либо объект уникальный, либо модель угроз к нему, мягко говоря, как подзаконные акты выше.
Last, так-то iptables в составе АРМ-под-Astra выполняет задачу «отключения» АРМ от ИТКС Интернет на логическом уровне не хуже ViPNet Client. Если же вас напрягают отсутствием сертификата по МЭ, то у вас и без того имеется Координатор, которым вполне можно реализовать любую схему на L2 и L3, чего в большинстве своем достаточно с головой. К чему здесь ViPNet Client Linux — для меня загадка.

Читайте также:  Linux команда размер разделов

ingener

New member

ingener

New member

to ingener
Primo, схему структурки + потоков (рабочих и не рабочих) набросайте и приложите, потому что модуль экстрасенсорики реально перегревается (samba на том же сервере, где mail и web? или samba просто в сети, а проблемные сервисы через туннель? и openvpn все также используется? сервисы почты и web в DMZ и Координатор — «внутренний» МЭ в такой реализации, судя по всему?).
Secundo, служебной тайны в стране нет, потому что нет ФЗ. Подзаконные акты типа Указов, Постановлений (которое 1233, ага) и проч. де юре — не пришей тому самому то самое.
Tertio, полагаться при создании КСЗИ на общедоступную спец.реализацию сетевого протокола — спорное решение, напоминающее принцип StO. Либо объект уникальный, либо модель угроз к нему, мягко говоря, как подзаконные акты выше.
Last, так-то iptables в составе АРМ-под-Astra выполняет задачу «отключения» АРМ от ИТКС Интернет на логическом уровне не хуже ViPNet Client. Если же вас напрягают отсутствием сертификата по МЭ, то у вас и без того имеется Координатор, которым вполне можно реализовать любую схему на L2 и L3, чего в большинстве своем достаточно с головой. К чему здесь ViPNet Client Linux — для меня загадка.

схема очень проста — на одном физическом устройстве запущены:
— контроллер домена ALD
— файловый сервер домашних каталогов доменных пользователей cifs
— samba server для обмена файлами между пользователями
— почтовый сервер dovecot+exim4 (из коробки)
— web-server Apache2 (тоже из коробки)
— DNS-сервер для обеспечения работы
— аутентификация пользователей по kerberos
— пользователи могут работать в нулевом и первом (конфиденциальном) уровне с разными категориями

у физического устройства (сервера) два сетевых интерфейса:
— интерфейс Х — рабочие станции, находящиеся в одной контролируемой зоне
— интерфейс У туннелируется координатором серии HW для рабочих станций в других зонах. эти рабочие станции подключаются к ресурсу через ViPNet-Client 4 Linux
проблема в том, что в нулевом уровне все работает как надо.
а в первом уровне пользователь проходит аутентификацию, подключается. но почтовый и web-сервис недоступны. видимо не распознаются имена служб. файлы пользователя доступны и никаких ограничений нет

Читайте также:  Ubuntu one client linux

Источник

Vipnet client linux firewall

В ПО VipNet Клиент под ОС Windows и ПО VipNet Coordinator for Linux (поставлялся для всех ОС Linux до июня 2019 года), который работал как Клиент для ОС Linux, присутствует МЭ

В ПО VipNet для ОС Linux по умолчанию в МЭ запрещены входящие подключения, поэтому, например, при расшаривании принтера он не будет «виден» для других АРМ сети.

Настройка в ОС Windows не представляет трудностей восполняется интуитивно в графическом режиме. Настройка для ОС Linux описана ниже.

Для выполнения настройки потребуются пароль к dst-файлу установленному на данное АРМ, а так же пароль администратора (можно узнать позвонив в техподдержку по номер 45-00-45)

Настройка правил МЭ в ПО VipNet

Если пароль вводите правильно, но оболочка его не принимает, возможно для вашего ПК закончился срок его действия. Необходим звонок в техническую поддержку для дальнейших консультаций

После того как вы попали в системную консоль VipNet можете создавать правила используя синтаксис:

firewall local add rule «Название_правила» src «Адресация_источника_пакетов» dst «Адресация _назначения_пакетов» «протокол» dport «номер_порта_назначения» sport «номер_порта_источника» «операнд пропуска или запрета (pass/drop

В качестве адресов источника/назначения могут быть использованы специальные лексемы для обозначения групп объектов, а так же несколько адресов или подсетей

Разрешить входящие tcp пакеты из подсети 192.168.13.0/24 на порт 1234 локального компьютера. firewall local add rule Remote src 192.168.13.0/24 dst @local tcp dport 1234 pass
Разрешить все входящие для локального ПК firewall local add rule All-input src @any dst @local pass
Запретить исходящие пакеты на 80 и 443 порт (Запрет интернет трафика) firewall local add rule http-x src @local dst @any tcp dport 80,443 drop

Источник

VipNet client для линукс — не редактируется iplir

Добрый день.
Изучаю астра-линукс, сейчас есть задача запустить клиент базы данных. Для работы клиента нужен vipnet client, соответственно, поставил ViPNet Client 4U for Linux, получил ключ *.dst, инициализировал. Узлы и координатор вижу. Теперь стоит задача в координаторе поставить определенный ip в межсетевой экран. Для этого, как я понял, нужно отредактировать iplir.conf, и нужный ip ставить в позиции firewallip=, но чтобы изменения прошли, нужно остановить службу (демон) iplir. Вот здесь и загвоздка, потому что команда iplir stop выдает: iplir: команда не найдена.
Вопрос теперь пока стоит, как остановить службу iplir а потом запустить, или как поставить нужный ip в межсетевой экран координатора?

kvv-vp

New member

oko

New member

to bakumur
Primo, +1 к тов. kvv-vp, поэтому service iplir start | stop.
Secundo, непонятно, что вы хотите сделать: изменить конфигурации iplir.conf на клиенте (где поставили ViPNet for Linux) или на координаторе (он вообще по-идее отдельный программно-аппаратный комплекс со своим интерфейсом).
Если вам нужно, чтобы клиентская рабочая станция, оснащенная ViPNet Client, при передаче трафика через отдельный Координатор получала сетевой доступ к удаленному серверу баз данных, то редактировать нужно конфигурации Координатора (как правило через его веб-интерфейс безо всякого обращения к iplir). Если же у вас косячит правило фильтрации трафика еще на стороне клиентской рабочей станции, то ковырять надо конфигурации установленного ViPNet Client for Linux, но там тоже, насколько помню, есть примитивный GUI-интерфейс.

Источник

Оцените статью
Adblock
detector