Ще обясня подхода. От моя гледна точка, за да се гарантира на сесията, и по-специално транспортния слой (по отношение на OSI) не трябва да се отговори на клиента и на рутера. В нашия случай - ISA Server (да, ние все още имаме MS ISA). За клиента, всичко трябва да бъде проста и прозрачна - отваряне на сесията и да използва протокола на сървъра, което се нуждаем. Какво се случва по време на сесията и транспортния слой - не проблем на клиентите. Кой, къде и какво ще се хванат ", увийте", кодиране, влезте - не трябва да се притеснявате за всеки клиент, или дори на сървъра. С други думи, за всеки VPN за работни станции и мислене не трябва - и не е безопасно, и меко да се сложи ключовете, издадени на персонала, както и в случай на падане работно място - всичко това за дълго време ... Аз ще се опитам да пренаредите олово решение с минимални проблеми за администратори.
Какво ни казва FAQ (така че няма да направя :-)):
На Съвета за сигурност на Руската федерация, от нас се изисква да се организират по защитен канал със сървъра чрез тяхното FPSU-IP / Client и ITU (защитна стена) на тяхна страна, че е логично. С други думи, всеки клиент-банка, или сървърът не мисля за кой, какво и как (и къде), че са защитени, че е логично. Но в същото време постави FPSU-IP / клиентските работни станции - не е за нас.
сайт Схема взаимодействие е представена от Amicon:
Автоматично разпознаване от ICMP MTU FPSU-IP / Client е ясно в състояние да изпълнява. За MTU в този случай, операционната система ще реагира с поддръжка за автоматично откриване на "черни дупки" (те дойдоха с организацията на канала VPN с друга банка - ISA не знае как да приключи ICMP трафик, генериран RRAS VNP изходящ канал, но това е тема за друга статия).
Съдейки по описанието, тя трябва да бъде "страхуват" от следните неща: Клиент установи TCP UDP връзки филтриране (за да бъдем точни - може да се инсталира). Но тъй като тя е изпълнен като филтър, блокиране на връзката ще бъде само на тези интерфейси към който е прикрепен (свързване). Това трябва да се помни, в случай на проблеми с мрежата.
Използва се за криптиране решение CIPF "тунел / клиент", тя е вградена в FPSU IP клиент. По този начин,
Задайте FPSU-IP / Client
Инсталиране на клиента на ISA Server.
Въпреки това, от терминал сесия поставя клиента отказва категорично. Така че ние ще се опитаме да се сложи седи на конзолата. И аз не исках да се постави така, само по една причина - ПРСР пада по време на инсталацията, тъй като е установено ниво мрежа шофьор.
Местна инсталация мина нормално. След това, разбира се, тя се зае с ISA Server, за да се опише пакет филтъра IP, което позволява UDP (динамичен) -> UDP (87) изпрати получават.
След като инсталирате услугата се повишава: "Amicon FPSU-IP / Клиентска услуга" (Amicon FPSU-IP / Клиентска услуга за Amicon FPSU-IP) ( "C: \ Program Files \ Amicon \ Client FPSU-IP \ IP-Client.exe" RunAsService ). Launch - автоматично. Именно тази услуга песни "външен вид" в USB ключ, и веднага се опитва да установи връзка.
Може ли "FPSU-IP / Client", за да се възстанови връзката с помощта на Dial-Up? Да, като се започне с версия 1.42. Това не е само за комутируема. Когато се завръща мрежов интерфейс, също всичко в ажурна.
От версия 1.42 е достъпно възможност да осъществите връзка и не е свързан с командния ред: IP-клиент се свърже и IP-клиент прекъсване на връзката (програмата трябва вече да работи).
Виждаме нова защита от пренапрежение в протоколния стек (вдясно). Не забравяйте, че за да бъде приложен външен интерфейс на филтъра (на снимката става ясно, че е на стойност чавка) и TCP / IP, както добре. Всичко останало - вие развързване. Филтърът за вътрешни интерфейси Amicon NDIS IM Филтър за шофьора развързване. Послепис По-късно, ние всички се разкара филтър на всички интерфейси, които са необходими за функционирането на мрежата ни инфраструктура и го оставили вързан само в специално създаден за Amicon интерфейс, но повече за това по-късно.
Стартирайте услугата, а след това (чрез менюто Amicon). Ние се получи в резултат на нещо в системния трей. Активиране на приложението.
Подробности за създаване няма да спрат в документацията по-подробно. Само от функциите.
Така че, не забравяйте да поставите отметката "Запомни ПИН-кода се въвежда, докато VNP ключ не е изключено" в местна среда. Ние няма постоянно да раздава "повдигане" на канала, остана ключа и да забравите за сървъра.
Разделени и свързано успешно. Ние се опитваме да пинг "домакин" 213.148.164.75 - всичко е в ред.
Конфигуриране на ISA Server
Какво е по-интересно:
Най - клиентът е изключен от дъното - е включена. Това показва, че трафикът, ICMP, включително и от локалната машина, когато се инсталира FPSU клиент на ISA, чудесно увити в тунел (маршрута е по-кратък, тъй като трафикът е "летящ" обсег на мрежа рутер през тунел, в тунела за него - един хоп) ,
ICMP трафик изглежда успешно увити в тунел.
клиентът се свързва успешно (FPSU IP клиент), което е, без проблеми 87udp.
Очевидно е, че проблеми TCP трафик. И - след опаковането Рамков договор клиент. Следователно: трябва да експериментирате с Рамков договор, клиент, FTP кратки команди и разрешителни правила за ISA.
Конфигуриране на Рамков договор
Послепис Ние не може да бъде избегнато, ако ние поставяме FPSU-IP / Client към рутера за сървъра на ISA (например - защитната стена на външния МОС вече за DMZ), докато на вътрешния (до DMZ) FPSU не-IP / Client. В тази конфигурация и Рамков договор може да бъде оставен на мира.
Радвайки FWC настройки (application.ini) и добавя изключение за клиент-банка:
Аз привлека вниманието ви. Настройките могат да бъдат или глобално (чрез mspclnt) и конкретно приложение (wspcfg.ini в директорията на програмата). Поръчка и приоритети:
Софтуерът Client Firewall търси файл Wspcfg.ini в папката, в която е инсталирана програмата клиент WinSock. Ако не се намери този файл, Firewall Client търси [WSP_Client_App] раздел, където WSP_Client_App е името на програмата WinSock без разширение на името на .exe. Ако този раздел не съществува, Firewall Client търси секцията [Общ Configuration]. Ако този раздел също не съществува, Firewall Client търси същите секции във файла Mspclnt.ini. Firewall Client използва само първата част, която намери време това търсене да се прилагат настройките за конфигурация на специфичните за програмата.
Кой създаде wspcfg.ini файла с посоченото съдържание в клиент-банка директория до изпълнимия файл. Рестартирайте клиент-банка. Ние се опитваме да общуват. Неуспешно. Тъй като "клиент" в този случай - в папката system32. Ето защо, такава конфигурация няма да използва. Нека се опитаме глобална конфигурация.
Промените, въведени директно в конзолата на ISA. След това рестартирайте клиент защитна стена (Рамков договор) на машината, на сесията на клиента банката - и всичко отива.
Но абсолютно всички пакети (и tcp1024 и tcp21) Виждам в защитната стена на журналите на ISA.
допълнителни материали
Така че, ние трябва да се гарантира функционирането на клиент-банка Сбербанк на Русия през FPSU-IP / Client Amicon и ISA Server, без създаване на VPN връзка към машината, и положи всички тънкости на мрежата на хоста, ISA, както се изисква.
послеслов
История не свършва до тук ... Незабавни машинации на Съвета за сигурност на Руската федерация прочетете тук.
Свързани статии