Navodila za namestitev aplikacij za uporabo storitev VPN ...urszr.si/db/priloga/p1796.pdf · Navodila za namestitev in uporabo aplikacij VPN 1.2. Potek namestitve 1. korak: Z dvojnim

Navodila za namestitev in uporabo aplikacij

VPN v omrežju HKOM

Navodila za namestitev in uporabo aplikacij VPN

Kazalo 1. Namestitev odjemalca VPN 3

1.1. Sistemske zahteve 3 1.2. Potek namestitve 4 1.3. Uporaba odjemalca VPN 8 1.4. Pregled podatkov o povezavi VPN 10

1.4.1. Uporaba beleženja 10 2. Namestitev programa »ISS RealSecure Desktop Protector« 12

2.1 Namestitev za vse Microsoftove operacijske sisteme 12 2.2 Uporaba ISS RealSecure Desktop Protectorja 12

3. V primeru težav 15

3.1. Težave z odjemalcem VPN 15 3.1.1. Odjemalec VPN po nadgradnji OS Windows XP s SP2 ne deluje več 15 3.1.2. Odjemalec VPN sporoči, da je povezava prekinjena: »Reason 412: The Remote Peer is no Longer Responding« 15

3.2. Težave z Desktop Protectorjem 17 3.2.1. Po namestitvi DP na računalnik z OS Windows XP z SP2 računalnika ni več možno zagnati (zagon se vedno konča z modrim zaslonom – blue screen) 17

3.3. Drugo 17 3.3.1. Po vzpostavitvi povezave VPN ne morem več dostopati do medmrežja (interneta) 17

4. Uporaba brskalnika in nastavitve strežnika proxy 18

Stran 2 od 20

13.1.2006


1. Namestitev odjemalca VPN

1.1. Sistemske zahteve Preden začnemo z namestitvijo, preverimo, ali naš računalnik izpolnjuje naslednje minimalne zahteve:

• Na računalniku je nameščen eden od operacijskih sistemov (operacijski sistem Windows 95 ni več podprt, odjemalec VPN različica 4.6 pa je zadnji, ki še podpira Windows NT):

– Windows 98 ali Windows 98 (SE), – Windows ME, – Windows NT 4.0, – Windows 2000, – Windows XP;

• delujoča povezava v internet oz. omrežje HKOM; • 50 MB prostega diska; • zaslonska ločljivost vsaj 800x600; • RAM:

− 32 MB za Windows 98, NT ali Windows ME, − 64 MB za Windows 2000, − 128 MB za Windows XP;

• skrbniške pravice na Windows NT, Windows 2000 ali Windows XP. Pomembno: za namestitev odjemalca boste potrebovali administratorske pravice na računalniku, uporabljate pa ga lahko kot navaden uporabnik. Pomembno: pred nameščanjem je zelo priporočljivo izklopiti protivirusne programe, ki so nameščeni na našem računalniku! V nasprotnem primeru sklad IP po namestitvi odjemalca VPN morda ne bo več deloval pravilno. Po končanem nameščanju lahko protivirusne programe ponovno vklopite. Če se vaš odjemalc nahaja za požarno pregrado (npr. za usmerjevalnikom ADSL s funkcionalnostno požarne pregrade ipd.), potem morate za pravilno delovanje odjemalca zagotoviti, da požarna pregrada prepušča naslednje protokole in vrata:

• UDP 500 (IKE), • protokol 50 (ESP), • UDP 10000, • TCP 10000.

Stran 3 od 20

13.1.2006


1.2. Potek namestitve

1. korak: Z dvojnim klikom na »VPNklient480.exe« razpakiramo namestitvene datoteke v začasno mapo, npr. c:\temp\cisco:

2. korak: V začasni mapi vidimo naslednje datoteke:

Namestitev pričnemo z dvojnim klikom na »setup.exe«.

Stran 4 od 20

13.1.2006


3. korak: Odpre se pozdravno okno. Nameščanje potrdimo s klikom na »Next«:

4. korak: Licenčo pogodbo sprejmemo tako, da kliknemo »Yes«.

Stran 5 od 20

13.1.2006


5. korak: Namestitveni program nam ponudi mapo, v katero bo namestil datoteke. Če nimamo posebnih želja o fizični lokaciji programa, kliknemo »Next«, sicer pa »Browse« in izberemo želeno mapo:

6. korak: Namestiteveni program bo pričel koprati datoteke, ko kliknete na »Next«:

Stran 6 od 20

13.1.2006


7. korak: Namestitev zaključimo tako, da ponovno zaženemo računalnik:

Stran 7 od 20

13.1.2006


1.3. Uporaba odjemalca VPN 1. korak: Po ponovnem zagonu računalnika izberemo “Start | Programs | Cisco Systems VPN Client | VPN Client”. 2. korak: Kateri profil izberemo? Izbiramo med tremi profili: HKOM-internet, HKOM-notranji in HKOM-oddaljeni:

HKOM-zunanji: ta profil je namenjen vsem uporabnikom, ki se v HKOM povezujejo iz zunanjosti HKOM-a/interneta, npr preko:

• povezave ADSL, • kabelske povezave, • povezave iz tujine preko lokalnega internetnega ponudnika, • povezav GPRS, UMTS in HSCSD,

HKOM-notranji: sem sodijo povezave VPN na notranji VPN koncentrator, ki jih vzpostavljamo iz notranjosti HKOM. HKOM-oddaljenii: povezave VPN na zunanji VPN koncentrator, ki jih vzpostavljamo iz

• povezav GPRS in UMTS iz APN »gov.si«, • klicnih dostopov v HKOM.

3. korak: Ob vzpostavitvi povezave se moramo avtenticirati z uporabo kartice SecurID z našim uporabniškim imenom (»Username«) in geslom (»Password«). Geslo je deset mestno, sestavljeno iz štiri mestnega PIN-a in šest mestne številke, ki je trenutno izpisana na kartici SecurID.

Stran 8 od 20

13.1.2006


4. korak: Če smo se uspešno avtenticirali, nas pozdravi spodnje sporočilo. To je hkrati tudi znak, da je povezava VPN uspešno vzpostavljena! Čestitamo!

Stran 9 od 20

13.1.2006


1.4. Pregled podatkov o povezavi VPN Ko je povezava VPN aktivna, lahko s klikom na puščico v desnem spodnjem kotu odjemalca VPN pregledamo podatke o:

• trajanju povezave (Connected Time), • količini prenesenih podatkov (Bytes In, Bytes Out), • dodeljenem naslovu IP (IP Address).

Več informacij najdemo pod »Status | Statistics«, kjer so nam na voljo možnosti »Tunnel Details«, »Route Details«, »Firewall«.

1.4.1. Uporaba beleženja V primeru težav pri vzpostavljanju povezave VPN si lahko pomagamo z beleženjem (logging). Če želimo vklopiti beleženje, moramo najprej preklopiti v napredni način (»Options | Advanced Mode« ali ctrl+M). Nato v meniju izberemo »Log | Log Setings«, kjer nastavimo primerne ravni beleženja za posamezne kategorije dogodkov.

Stran 10 od 20

13.1.2006


Z izbiro »Log | Enable« oz. ctrl+E vklopimo beleženje, z »Log | Log Window« oz. ctrl+L odpremo posebno okno, kjer se dogodki izpisujejo. Če želimo, lahko zabeležene dogodke shranimo v datoteko s klikom na gumb »Save«.

Stran 11 od 20

13.1.2006


2. Namestitev programa »ISS RealSecure Desktop Protector«

2.1 Namestitev za vse Microsoftove operacijske sisteme Namestitev začnemo z dvoklikom na datoteko “RDSPS.exe.

2.2 Uporaba ISS RealSecure Desktop Protectorja Stanje našega Desktop Protectorja (DP) (glej sliko spodaj) lahko vedno vidimo v spodnjem desnem kotu poleg ure. Program nas o alarmnem dogodku obvesti z utripanjem ikone in spremembo njene barve.

Če z miško dvokliknemo ikono, se odpre okno, ki nam ponuja več informacij. S klikom na zavihek »Events« si lahko ogledamo podrobnosti o dogodkih. Prečrtan znak z vprašajem pred dogodkom pomeni, da DP blokira dostop do vašega računalnika za dotično vrsto prometa. Če znak ni prečrtan, potem DP uporabnika zgolj obvešča o dogodku, prometa pa ne blokira.

Stran 12 od 20

13.1.2006


Program razvršča dogodke v različne varnostne nivoje in jih barvno označuje. Posamezne barve pomenijo: Ikona Stopnja

ogroženosti Opis

rdeča 7-10 Kritičen dogodek: premišljen napad na računalnik z namenom poškodovanja podatkov ali operacijskega sistema.

oranžna 4-6 Resen dogodek: poskus pridobivanja podatkov o oz. na sistemu brez namena poškodovanja.

rumena 1-3 Sumljiv dogodek: naš računalnik trenutno ni ogrožen, vendar morda nekdo išče varnostno luknjo v sistemu.

zelena 0 Informacija: normalno stanje, ni zaznan noben poskus napada. Pod zavihkom »Intruders« lahko vidmimo »osebno izkaznico« napadalca:

Na seznamu napadalcev se lahko znajde tudi računalnik, ki ga uporabljamo. To pomeni, da je DP prepoznal poizkus napada na druge računalnike v omrežju. Potencialno nevarno akcijo smo lahko sprožili sami, lahko pa to tudi pomeni, da je naš računalnik okužen z virusom, trojanskim konjem ipd. V tem primeru lahko DP blokira odhodni promet ali pa nas o dogodku le obvešča.

Stran 13 od 20

13.1.2006


Pod zavihkom »History« si lahko ogledamo povezavo obsega prometa s posameznimi varnostnimi nivoji, kar nam lahko pomaga določiti naravo oz. vrsto napada na naš računalnik.

Stran 14 od 20

13.1.2006


3. V primeru težav

3.1. Težave z odjemalcem VPN

3.1.1. Odjemalec VPN po nadgradnji OS Windows XP s SP2 ne deluje več Odjemalci VPN, ki so starejši od različice 4.6 imajo lahko težave s požarno pregrado, ki je vgrajena v Windows XP, SP2. Priporočamo nadgradnjo odjemalca na najnovejšo različico. Zapis o tem je dosegljiv na strani proizvajalca Cisco: http://www.ciscotaccc.com/security/showcase?case=K87359546.

3.1.2. Odjemalec VPN sporoči, da je povezava prekinjena: »Reason 412: The Remote Peer is no Longer Responding«

Pri uporabi odjemalca VPN Cisco se uporabnikom včasih zgodi, da se njihova povezava VPN prekine s sporočilom »Reason 412: The Remote Peer is no Longer Responding«. V nekaterih primerih pride do napake zaradi v Windows XP vgrajene požarne pregrade (SP2), ki blokira pakete keepalive. Možni rešitvi: 1) Namesto enkapsulacije TCP lahko uporabimo UDP: Izberemo »Connection Entries«, profil »HKOM-internet«, kliknemo »Modify«, na zavihku »Transport« izberemo »IPsec over UDP (NAT/PAT) in kliknemo »Save«:

Stran 15 od 20

13.1.2006

http://www.ciscotaccc.com/security/showcase?case=K87359546


2) V požarni pregradi v Windows XP naredimo izjemo za vrata 500/UDP oz. protokol IKE: V Nadzorni plošči izberemo »Požarni zid programa Windows | Izjeme | Dodaj vrata«. Kot ime vpišemo npr. »IKE«, številka vrat »500« in izberemo »UDP«:

Dodatno izberemo »Spremeni obseg | Lasten seznam« in vpišemo »193.2.226.96/255.255.255.254«:

Aktiviramo izjemo in kliknemo »V redu«:

Stran 16 od 20

13.1.2006


3.2. Težave z Desktop Protectorjem

3.2.1. Po namestitvi DP na računalnik z OS Windows XP z SP2 računalnika ni več možno zagnati (zagon se vedno konča z modrim zaslonom – blue screen)

Težavo povzroča nova funkcionalnost v WinXP SP2: Data Execution Prevention (DEP). Težavo odpravimo tako, da v datoteki boot.ini (skrita sistemska datoteka, običajo v c:\) zamenjamo ukaz »/noexecute=optin« z »/noexecute=alwaysoff«. Postopamo lahko takole (angleška različica Windows XP):

• zaženemo računalnik v varnem načinu in se prijavimo v sistem; • z desnim klikom na ikono »My Computer« odpremo meni in izberemo »Properties«; • kliknemo na zavihek »Advanced«; v razdelku »Startup and Recovery« izberemo »Settings«; • datoteko boot.ini odpremo za popravljanje s klikom na »Edit«; • »/noexecute=optin« zamenjamo z »/noexecute=alwaysoff« in shranimo spremembe; • ponovno zaženemo računalnik.

3.3. Drugo

3.3.1. Po vzpostavitvi povezave VPN ne morem več dostopati do medmrežja (interneta) Preverite, ali imate v brskalniku ustrezno nastavljen strežnik proxy (gl. razdelek 4).

Stran 17 od 20

13.1.2006


4. Uporaba brskalnika in nastavitve strežnika proxy

Uporabniki, ki brskajo po medmrežju preko vzpostavljene povezave VPN v HKOM, morajo v brskalnik vpisati naslov strežnika proxy. V omrežju HKOM je to »proxy.gov.si«. Če pa povezava VPN ni aktivna in dostopa uporabnik v internet neposredno preko svojega ponudnika, potem je običajo potrebno izklopiti uporabo strežnika proxy. V »MS Internet Explorerju« konfiguriramo nastavitve strežnika proxy v:

• »Tools | Internet Options | Connections | LAN Settings« npr. za povezavo ADSL ali kabelsko povezavo, oz.

• »Tools | Internet Options | Connections | Dial-up and VPN Settings« če gre za klicno (npr. GPRS) povezavo.

Stran 18 od 20

13.1.2006


Pod »Advanced | Exceptions« vpisujemo naslove, do katerih ne dostopamo preko proxyja:

Če uporabljamo brskalnik, ki temelji na kodi »Mozilla«, npr. »Mozilla Firefox«, potem lahko uporabimo samodejno zaznavanje nastavitev z uporabo skripta. Naslov, na katerem se nahaja skript, je »http://vpndist.sigov.si/proxy/asm.js«. V brskalnik »Mozilla Firefox« ga je potrebno vpisati v »Orodja | Možnosti | Povezava | Nastavitve povezave« v polje »URI samodejne nastavitve za proxy:«.

Stran 19 od 20

13.1.2006


S tako konfiguriranim brskalnika se izognemo ročnemu izklapljanju strežnika proxy, če se z internetom povežemo direktno preko našega internetnega ponudnika. Samodejna nastavitev deluje na spodaj opisani način:

• Ko smo z omrežjem HKOM povezani preko tunela VPN, zaženemo brskalnik, ta pa se z izvedbo skripta, ki ga prebere z naslova »http://vpndist.sigov.si/proxy/asm.js«, nauči potrebna pravila za povezovanje z internetom preko proxyja.

• Če smo povezani z internetom direktno preko ponudnika, ne da bi vzpostavili tunel VPN, potem brskalniku naslov »http://vpndist.sigov.si/proxy/asm.js« ni dostopen. V tem primeru brskalnik smatra, da je internet dosegljiv direktno (in ne preko proxyja).

Ljubljana, 12.1.2006 Sestavil: Srečko Milanič

Stran 20 od 20

13.1.2006

Documents

Navodila za namestitev aplikacij za uporabo storitev VPN ...urszr.si/db/priloga/p1796.pdf · Navodila za namestitev in uporabo aplikacij VPN 1.2. Potek namestitve 1. korak: Z dvojnim