Теория
Часть 1
Часть 2
Часть 3
Часть 4
Часть 5

Практика
Часть 1
Часть 2
Часть 3
Часть 4
Часть 5
Часть 6

Руководство
Часть 1
Часть 2
Часть 3
Часть 4
Часть 5
Часть 6
Часть 7
Часть 8
Часть 9
Часть 10
Часть 11

О Проекте
О SoftEther VPN
Спецификация
Вопрос-ответ
Соглашение
Лицензия

Теория (часть 3)

3. Безопасность и надежность.

3.1. Превосходная безопасность и надежность, превосходящие таковые у аппаратных средств.

У вас может возникнуть вопрос: действительно ли SoftEther VPN так же безопасен, как аппаратные VPN продукты, или нет.
Кто-то может подумать, что программные VPN`ы уступают аппаратным VPN`ам. Естественно, SoftEther VPN реализован как программный код, а не в виде какой-либо специальной интегральной схемы (микросхемы). Но всё же SoftEther VPN обладает достаточным уровнем безопасности, и, кроме того, он может быть даже безопаснее аппаратных VPN.

Что такое аппаратные VPN продукты?

Пожалуйста, обратите внимание на тот факт, что почти все аппаратные VPN на современном рынке не являются чисто аппаратными. На самом деле они почти полностью программные.  Вы разбирали когда-нибудь маршрутизатор Cisco? Если да, то вы могли видель, что внутреннее устройство маршрутизатора Cisco почти такое же, как у современного компьютера. Основные отличия только в архитектуре ЦП. Для снижения себестоимости производства, Cisco и другие поставщики VPN используют более дешевые центральные процессоры чем те, что применяют в настольных компьютерах. Производители аппаратных VPN используют часто в своих устройствах процессоры с архитектурами MIPS, ARM и PowerPC. Всё же есть более важное отличие настольного компьютера от аппаратного VPN-маршрутизатора.
Вы можете проанализировать внутреннее устройство маршрутизатора Cisco с помощью некоторой информации доступной из Интернета или книг. Cisco на своём VPN маршрутизаторе и другие производители маршрутизаторов на своих устройствах используют программную операционную систему. На операционной системе маршрутизация и программа управления VPN сеансами и VPN связью также являются обычными процессами. Практически все важные процессы реализованы в виде программного обеспечения, а не аппаратных схем(микросхем) в существующих аппаратных VPN решениях на современном рынке. Вы можете убедиться в этом, спросив друга или знакомого, работающего в компании, производящей аппаратные VPN.

Нет различий в стойкости шифрования между аппаратными ASIC и программными средствами.

Следует отметить, что некоторые дорогостоящие аппаратные продукты – VPN маршрутизаторы, такие как концентратор Cisco VPN, имеют специализированную микросхему (ASIC) для шифрования и расшифровки пакетов. Возможно, кто-то из вас считает, что шифрование с помощью ASIC более безопасно, чем программное шифрование, но это совершенно не так. Результаты шифрования и расшифровки абсолютно идентичны как у ASIC и так у программ. И нет слабой точки в шифровании программным вариантом, потому что все алгоритмы шифрования абсолютно одинаковы, и не зависят от того чем шифруется ASICом или программой.
Например, Cisco ASIC модуль шифрования реализует AES-256, который является стандартной спецификацией шифрования, опубликованной правительством США. AES-256 реализуется как программный код тоже, и сильные стороны обоих вариантов реализации точно совпадают. Пожалуйста, не вводитесь в заблуждение, что якобы ASIC является более безопасным, чем программный модуль с точки зрения криптологии.

SoftEther VPN безусловно безопаснее, чем устаревшие аппаратные VPN продукты.

Не будет преувеличением сказать, что безопасность SoftEther VPN превосходит аппаратные реализации устаревших VPN. Как вы знаете, компания Cisco Systems и другие поставщики устаревших VPN не открывают код как программного обеспечения так и ASIC, поэтому пользователь не может определить является код продукта безопасным или нет, а может в продукте реализован секретный черный ход, чтобы позволить любому кто знает секрет (например, правительство страны или сами разработчики) могли войти в частную сеть клиента без его разрешения. Любой может допустить существование такой угрозы безопасности. Из-за того, что весь внутренний код написан на уровне аппаратного обеспечения интегральных микросхем, мы не можем провести их анализ. Эти факты могут говорить об одном, то что аппаратные реализации устаревших VPN не безопасны для заказчиков (клиентов/покупателей).
В аппаратных продуктах, устаревших VPN, разработчик уровня операционной системы и разработчик VPN работают на одну фирму. Это может стать важной проблемой в плане безопасности. В любых кодах есть неизвестные нам уязвимости. Код операционной системы является очень большим и сложным, по сравнению с VPN кодом. В будущем большее количество уязвимостей будет обнаружено в операционной системе, а не в VPN. Но закрытая и специальная операционная система находится в руках разработчика. Так что, если они решат не исправлять уязвимости и не распространять исправления среди пользователей своих продуктов, то это затронет всех. Все подвергнуться опасности.

Две причины почему SoftEther VPN безопаснее, чем аппаратные VPN Вендоров.

По сравнению с аппаратными VPN продуктами SoftEther VPN может быть более безопасным. Есть две причины так считать. Во-первых, важные части SoftEther VPN с 2010 года выпускаются как открытое программное обеспечение. Поэтому разработчик SoftEther VPN не может реализовать в программном обеспечении какие-либо лазейки, так как если разработчик сделает это, то любой человек, который проанализирует исходный код, обратит внимание на реализованный черный ход. Таким образом, из-за невозможности реализовать «черный ход» или какой-либо вредоносный код, SoftEther VPN безопаснее, чем аппаратные VPN-продукты Вендоров с закрытым программным обеспечением.
Во-вторых, SoftEther VPN может работать во многих операционных системах, таких как Windows, Linux, FreeBSD, Solaris и Mac OS X. Сегодня эти операционные системы очень популярны, поэтому при обнаружении уязвимости в ОС, производитель или кто-либо другой устранит её и распространит исправление. Обычно основной разработчик операционной системы исправляет и распространяет исправление для всех, как можно быстрее. Вы знаете о системе обновления Windows и программе обновления дистрибутивов Linux. Сильная сторона SoftEther VPN это что он полностью отделён от уровня операционной системы. Поэтому все обнаруженные проблемы безопасности в операционной системе могут быть решены на уровне операционной системы и не затронут SoftEther VPN. То есть если пользователь использует SoftEther VPN, то он не рискует в том, что разработчик операционной системы не сможет или не захочет устранять её уязвимости. Пользователь, использующий аппаратные продукты устаревших VPN, такой риск имеет.

Об открытии TCP/IP порта в операционной системе для SoftEther VPN.

Чтобы запустить SoftEther VPN-сервер на сервере-компьютере, необходимо разрешить конкретный TCP/IP порт для входящих VPN подключений. Как правило это TCP порт с номером 443 (HTTPS-порт).
Современная операционная система имеет программный брандмауэр с хорошим функционалом. Он блокирует любые пакеты с любыми номерами TCP/IP портов. Брандмауэр всегда включен по умолчанию. Таким образом, нет никакой опасности от каких-либо атак со стороны злоумышленников и вирусов в Интернете. Чтобы принимать VPN сеансы на VPN-сервере, необходимо открыть только минимум TCP/IP портов. Это достаточно безопасно, нет причин считать, что использование операционных систем Windows или Linux в качестве VPN сервера опасно.

3.2. Основан на стандартных Интернет протоколах.

SoftEther VPN применяет стандартные интернет-протоколы во всех аспектах коммуникационных функций этого программного обеспечения при работе через Интернет.

Верхний уровень туннельного протокола VPN.

SoftEther VPN протокол для туннелирования находится на уровне соответствующем протоколу HTTPS (HTTP через SSL). HTTP является наиболее часто используемым протоколом для просмотра веб-страниц. HTTPS — это расширение обеспечивающее безопасность протоколу HTTP. Вы используете SSL каждый день в Интернете. В мире нет более безопасного протокола, чем HTTPS.

Промежуточный уровень туннельного протокола VPN.

Оба протокола SSL 3.0 и TLS 1.0 поддерживаются SoftEther VPN. Пользователь может выбрать какой протокол использовать. SSL является протоколом уровня защищенных сокетов. TLS — это протокол защиты транспортного уровня. Оба они широко используются в Интернете, а безопасность и надежность доказывались на протяжении десятилетия, несмотря на безжалостный анализ, которым занимается криптографическая наука и промышленность. (Лет 15 назад, так и было. На данный момент SSL 3.0, TLS 1.0, TLS 1.1 считаются небезопасными. TLS пришёл на смену SSL.)

Нижний уровень туннельного протокола VPN.

Нижний уровень туннельного протокола VPN соответствует протоколу TCP/IP (протокол управления передачей данных по IP), который является одним из стандартов Интернет Протокола. SoftEther VPN может использовать TCP как c IPv4, так и IPv6.

3.3. Поддержка множества стандартов шифрования.

SoftEther VPN использует алгоритмы шифрования для защиты VPN туннеля от злоумышленников и похитителей информации в Интернете. Пользователь может выбрать алгоритмы шифрования, которые будут использоваться. RC4 быстрее, но у него слабая защита. AES256 медленнее, но практически имеет идеальную защиту на данный момент.

Алгоритмы шифрования.

Следующие алгоритмы шифрования могут быть применены в SoftEther VPN. Все они являются международными стандартами.

  • - RC4 (128 bits)
  • - AES128 (128 bits)
  • - AES256 (256 bits)
  • - DES (56 bits)
  • - Triple-DES (168 bits)

RC4 - это потоковый алгоритм, другие же являются блочными алгоритмами.

Алгоритмы хеширования для HMAC.

SoftEther VPN также использует алгоритмы хеширования для HMAC (хэш-код проверки целостности(подлинности) сообщений). Поддерживаемые хэши указаны ниже. Все они являются международными стандартами.

  • - SHA-1 (160 bits)
  • - SHA-2 (256, 384 bits)
  • - MD5 (128 bits)

Параметры алгоритма шифрования.

3.4. Создан на основе OpenSSL.

Ядро движка шифрования, расшифровки и аутентификации SoftEther VPN основывается на OpenSSL. OpenSSL является наиболее известной и авторитетной библиотекой программного обеспечения с открытым исходным кодом, широко используемой для целей, требующих обеспечения безопасности. Считается что OpenSSL безопаснее чем другие подобные продукты.
Это преимущество SoftEther VPN. OpenSSL хорошо проявила себя в реализациях безопасности во всём мире и SoftEther VPN получил плюс от использования его. Другие поставщики устаревших VPN разрабатывают свой собственный код шифрования и используют его в своих продуктах, поскольку они не хотят использовать открытые исходные коды. Можно сказать, что закрытые криптографические коды значительно слабее, чем открытые, в соответствии с общими знаниями криптографической науки.
Нет необходимости говорить, что SoftEther VPN использует изменённый OpenSSL для обеспечения всей полноты безопасности.

3.5. Предотвратить атаки “человек по середине”.

«Атака человек по середине» широко известный способ атаковать зашифрованный сеанс через Интернет. Атаки человек по середине могут быть предотвращены проверкой сертификата сервера со стороны клиента. SoftEther VPN имеет такую функцию проверки. Все VPN-сервера имеют свой собственный секретный ключ RSA и аналогичный открытый ключ RSA в сертификате X.509. Каждый раз, когда VPN-клиент подключается к VPN-серверу, VPN-клиент может проверить правильность идентификатора VPN-сервера. Если что-то не так VPN сеанс будет прерван немедленно. Поэтому пользователь SoftEther VPN защищён от атак человек по середине.

Проверка SSL сертификата сервера обнаруживает и предотвращает атаку человек по середине.

Всплывающие сообщение безопасности, когда конечный VPN-сервер предоставляет не доверенный SSL-сертификат.

3.6. Методы проверки подлинности пользователя.

 Для обеспечения безопасности недостаточно только шифрования. Проверка подлинности пользователя также обязательна для предотвращения вторжений посторонних лиц. SoftEther VPN имеет несколько вариантов проверки подлинности пользователя. В большинстве случаев они подходят для использования на предприятиях, имеющих несколько тысяч сотрудников.

SoftEther VPN поддерживает внешние серверы проверки подлинности пользователей.

Обычная проверка пароля.

Простейшим методом аутентификации является обычная проверка пароля. В этом случае виртуальный концентратор на VPN-сервере имеет базу данных пользователей. В базе данных пользователей имеется несколько пользователей со своими паролями. Пароль хеширован алгоритмом SHA в целях безопасности. Администратор может создать множество пользователей в базе данных. У каждого пользователя - свой пароль. Все, кто не знает правильного сочетания логина и пароля не может подключаться к виртуальному концентратору.

Проверка подлинности с помощью RADIUS сервера и Active Directory.

Обычная парольная аутентификация проста и подходит в некоторых случаях. Но если компания имеет огромное количество сотрудников и хочет, чтобы все они подключались к VPN-серверу, то неудобно заводить каждого пользователя на виртуальном концентраторе. Такая компания уже имеет внешнюю базу данных проверки подлинности пользователя. Компания может использовать аутентификацию пользователей через RADIUS сервер, так же в компании может использоваться Windows сервер с Active Directory или контроллером NT домена. SoftEther VPN-сервер может быть настроен на работу с такой внешней базой данных для проверки подлинности пользователя. Если администратор применяет этот вариант, ему не нужно создавать логин/пароль для каждого сотрудника на виртуальном концентраторе.
Он может сократить количество задач связанных с VPN. Есть еще одно преимущество. Если пользователь изменил пароль, то будет изменен и пароль для подключения к VPN-серверу. Это означает, что компания может обеспечить выполнение сотрудниками определенной политики безопасности паролей, предотвращая любые атаки со спекуляцией пароля со стороны внешних злоумышленников.
По той причине, что SoftEther VPN реализован в соответствии со стандартным RADIUS протоколом, любой современный механизм аутентификации пользователя может быть использован, например, такой как одноразовые пароли, если сервер аутентификации этого механизма так же реализован в соответствии с RADIUS протоколом.

RADIUS и служба Active Directory поддерживаются для проверки подлинности пользователя.

Проверка подлинности сертификатами RSA как PKI длиною до 4096 бит.

Механизмы проверки подлинности паролей не обеспечивают достаточной безопасности в некоторых случаях. Так как пользователь может забыть пароли, некоторые пользователи записывают пароль на стикере или в своём блокноте. Это увеличивает риск утечки паролей.
Другим альтернативным решением является использование PKI (инфраструктуры открытого ключа). PKI использует файлы RSA сертификатов и файлы с закрытыми ключами. Этот способ проверки подлинности также является международным стандартом.
Если пользователю указывается использовать PKI, то ему не требуется вводить пароль при подключении. Вместо этого пользователь должен обладать закрытым ключом. Закрытый ключ может содержаться на жестких дисках и токенах безопасности.

Проверка подлинности RSA сертификатом проста в использовании.

Поддержка смарт-карт и USB токенов для PKI.

Использование PKI со смарт-картами или USB токенами это самый безопасный способ аутентификации пользователей. Смарт-карты и USB токены предотвращают утечку закрытого ключа пользователя, поскольку такие устройства всегда требуют наличия ПИН-кода для доступа к внутреннему закрытому ключу. Кроме того, никто никогда не сможет прочитать закрытый ключ с такого устройства. Устройства могут выполнять подпись полученных случайных чисел закрытым ключом. Этот механизм абсолютно безопасный и никто не может нарушить его. При использовании этих методов будет гарантирована максимальная безопасность. Обратите внимание, что не все смарт-карты и токены поддерживаются SoftEther VPN. Поддерживаемые списки устройств можно найти в Интернете.

Поддерживаются любые смарт-карты или USB токены совместимые с PKCS#11.

Группировка пользователей. (Объединение пользователей в группу).

Все пользователи, созданные администратором на виртуальном концентраторе, могут быть сгруппированы. Группы должны быть созданы, и группа может содержать несколько пользователей. Очень удобно задать политику безопасности или политику фильтрации пакетов для группы из нескольких пользователей.

3.7. Фильтр пакетов.

Вы можете настроить правила пакетной фильтрации на виртуальном концентраторе VPN-сервера. Число правил может содержать до 4096 записей. Пакетная фильтрация также называется «Access Lists».
Любая запись правил фильтрации содержит обязательно поле «Действие/Action», чтобы определить, отбрасывать или передавать пакет, попавший под правило. В остальной части записи можно указать параметр соответствия для IPv4 и IPv6 пакетов. Соответствующий параметр может быть не только IP-адресами и масками, но и диапазонами номеров TCP и UDP портов, а также флагами протокола TCP.  Можно также указать имя пользователя или имя группы в поле “источника” или в поле “назначения” пакета.
Вы можете перенаправить любые пакеты запросов на HTTP соединения, передаваемые по виртуальному концентратору, которые соответствуют правилу из списков доступа. Например, сотрудник пытается получить доступ к запрещенному веб-узлу, который внесён в черный список. Фильтр пакетов виртуального концентратора будет автоматически отвечать "поддельными" пакетами HTTP веб-обозревателю клиента. Обозреватель клиента будет обрабатывать пакет ответа как запрос перенаправления с оригинального “запрещённого” сервера. Затем пользователь увидит URL-адрес, указанный администратором. (например, страницу предупреждения с изображением ужасного сердитого лица.)

Списки доступа легко-конфигурируются через программу графического управления VPN-сервером. 

Вы можете задать глубину уровня IP, TCP, UDP или другие значения заголовков пакетов, определяющих условия совпадения.

3.8. Политика безопасности.

Многие требования по ограничению действий пользователя могут быть выполнены с помощью функции фильтрации пакетов. Однако в некоторых случаях требуются более сложные правила для отбрасывания вредоносных пакетов от пользователей или других узлов, подключенных через VPN туннели.
Например, VPN-пользователи подключающиеся удаленно должны отправлять пакеты DHCP-запросов, но не должны отправлять пакеты DHCP-ответов, это необходимо для стабильной работы других пользователей в Ethernet сегменте. Другим примером может быть то, что системный администратор хочет обнаруживать и удалять все пакеты отравления ARP в целях безопасности. Такие требования не могут быть выполнены только с помощью фильтрации пакетов. Поэтому, SoftEther VPN сервер имеет хорошую функцию “политика безопасности”.
Политика безопасности — это список значений параметров, определяющих может ли быть передан конкретный вредоносный пакет или отброшен. Политика безопасности может применяться как к пользователю, так и к группе пользователей на VPN-сервере.

Фильтрация вредоносных DHCP пакетов.

Через VPN туннель любой пользователь по умолчанию может рассылать вредоносные DHCP пакеты в Ethernet сегменте. Если пользователь посылает вредоносный фальшивый пакет DHCP ответа в сеть, то другой пользователь, ожидающий ответа от DHCP сервера, чтобы ему назначился IP-адрес, получит неправильный IP-адрес. Это приведет к путанице во всей сети. Поэтому политика безопасности может ограничить такой тип пакетов DHCP, которые может отправлять пользователь.

Подмена DHCP и IP-адрес назначенный себе вручную (обеспечение назначения IP-адресов).

Изучая рынок коммутаторов Ethernet доступных сегодня на рынке, вы можете обнаружить, что некоторые из них имеют функцию защиты от DHCP спуфинга. Эта защита необходима для того, чтобы клиентский компьютер получал IP-адрес, выданный только легальным DHCP-сервером сети. Виртуальный концентратор SoftEther VPN реализует ту же самую функцию.

Запрещение любого поведения аналогичного поведению мостов и маршрутизаторов на стороне VPN пользователя.

Из-за того, что SoftEther VPN-туннель полностью виртуализирует второй уровень Ethernet`а, любой пользователь удаленного доступа VPN может настроить маршрутизатор или мост на своей стороне. Это легко и безопасно сделать высококвалифицированным пользователям, находящихся у себя дома. Но не очень хорошо, когда любой шутник у себя дома сделав это сможет нанести вред своим VPN сеансом локальной сети компании. Таким образом, политика безопасности может ограничить на стороне VPN-клиента любое поведение оборудования как моста или как маршрутизатора.

Запрещение любых пакетов с одинаковыми MAC-адресом и IP-адресом.

Если у пользователя есть IP-адрес (например, 192.168.3.2), а другой пользователь имеет тот же IP-адрес в одном Ethernet сегменте, это будет проблемой. Это также может быть риском безопасности, поскольку неправильный пользователь может иметь IP-адрес, а также может отправлять пакеты от правильного IP-адреса. Поэтому этот тип поведения должен быть запрещен. Эта политика безопасности может сделать это не только для IP-адресов, но и для MAC-адресов.

Уменьшение широковещательных пакетов.

Если несколько сотен компьютеров подключены к одному Ethernet сегменту через VPN, то количество широковещательных пакетов будет очень велико. В таком случае включите эту политику, чтобы блокировать все широковещательные пакеты, кроме ARP, DHCP и ICMPv6.

Режим конфиденциального фильтра.

Пользователь, которому установлена эта политика не может взаимодействовать с другим пользователем, которому эта политика установлена тоже. Эта политика удобна в ситуации, когда администратор разрешает пользователям доступ только к центральным серверам, но запрещает пользователям обмениваться трафиком друг с другом по соображениям безопасности.

Предотвращение атак переполнения таблиц Mac и IP-адресов. (FDB и ARP)

Виртуальный концентратор на VPN-сервере имеет таблицу MAC-адресов. Он также имеет таблицы IP-адресов. Но некоторые злонамеренные пользователи VPN могут отправлять случайные Mac-адреса или IP-адреса в поле источника пакетов для DOS атаки (атака типа «отказ в обслуживании»). При этом будет потребляться ценные ресурсы VPN-сервера, особенно ОЗУ. Поэтому используйте эту политику безопасности для ограничения максимального числа Mac-адресов и IP-адресов, присылаемых через VPN-подключения пользователей.

Ограничение полосы пропускания.

Ограничение полосы пропускания может быть применено к VPN сеансу (в единице измерения бит/с (бит в секунду)) для сохранения общей пропускной способности канала в Интернет. Как полоса пропускания от клиента к серверу, так и полоса от сервера к клиенту могут быть заданы независимо друг от друга.

Ограничение одновременного множественного входа пользователя под одним логином.

По умолчанию пользователь может подключиться к VPN-серверу одновременно несколькими VPN сеансами. Однако этой политикой безопасности можно ограничить максимальное число одновременных входов под одним логином пользователя.

Политика безопасности IPv6.

Можно также ограничить поведение пользователя через VPN, который использует IPv6. В IPv6 существует несколько новых концепций отличных от IPv4, поэтому необходима определенная политика безопасности, характерная для IPv6. SoftEther VPN Сервер полностью поддерживает функции необходимые для безопасной работы IPv6.

Политика безопасности может быть задана либо для пользователя, либо для группы.

3.9. Монитор пакетов VPN сеанса.

Функция мониторинга — это функция касается всех пакетов, которые приходят на виртуальный концентратор. Она может использоваться сетевыми администраторами VPN сети. Эта функция отключена по умолчанию, но администратор может включить её при необходимости.
Функция мониторинга используется на стороне VPN-клиента с применением программного обеспечения для прослушивания Ethernet, таких как WireShark, tcpdump или snort.

Для целей устранения неполадок.

Вы можете использовать функцию мониторинга в целях устранения неполадок, так как вы можете записывать и анализировать любые пакеты отправленные на VPN-сервер.

Для целей IDS (обнаружения атак).

Для обнаружения потенциальных нарушений безопасности в сети можно использовать любой тип IDS (система обнаружения вторжений). Можно подключить программный IDS к виртуальному концентратору VPN-сервера воспользовавшись функцией мониторинга.

Используйте Wireshark, tcpdump, snort или другие анализаторы для наблюдения за всеми пакетами через виртуальный концентратор.

3.10. Средство логирования пакетов.

Все пакеты, отправляемые через виртуальный концентратор на виртуальном сервере, могут регистрироваться в файле журнала, находящегося на жестком диске VPN-сервера. Но если все пакеты записывать на диск, то за короткое время диск будет переполнен. Поэтому SoftEther VPN-сервер имеет функцию фильтрации логирования, для того чтобы определить, какой тип пакетов должен регистрироваться. Можно так же выбрать, следует ли записывать в журнал целиком пакеты данных или регистрировать только заголовки пакетов. Из-за обработки программным обеспечением все пакеты будут регистрироваться без пропадания.
 Эта функция может использоваться не только для устранения неполадок, но также и в качестве свидетельства на тот случай, если вдруг пользователь сделает какие-либо незаконные действия против компании. Включение ведения журнала позволяет отслеживать все соединения между файловым сервером, сервером базы данных и сотрудниками подключенными через VPN.

Экран настройки параметров логирования пакетов.

3.11. Средство ведения журнала URL-адресов HTTP.

Трафик HTTP будет "глубоко проанализирован" на заголовки HTTP. Каждый целевой URL-адрес в пакетах запросов HTTP-подключений будет записываться в файл журнала пакетов открытым текстом с URL-адресами назначения. Системный администратор может хранить журналы HTTP-доступа сотрудников, использующих VPN-сервер, для аудита использования пользователями VPN-сервера.

Пример журналирования пакетов.

Вы можете просмотреть заголовки пакетов Ethernet, IP, TCP/UDP и заголовки запросов HTTP.

3.12. Делегирование прав администрирования виртуального концентратора.

VPN-сервер может иметь множество виртуальных концентраторов. И администратор всего VPN-сервера может поручить кому-либо другому управлять виртуальным концентратором, делегировав ему эту роль.
В этом случае администратор всего VPN-сервера определяет пароль администратора для конкретного виртуального концентратора и сообщает этот пароль делегированному пользователю. Затем делегированный пользователь может получить доступ к виртуальному концентратору и управлять им. Но он по-прежнему не может управлять другими виртуальными концентраторами на этом сервере. Функции безопасности и базы данных, такие как пользователи и правила фильтрации пакетов, полностью разделяются между всеми виртуальными концентраторами.

3.13. Высокая доступность и стабильность фоновой программы.

Служба SoftEther VPN-сервера должна постоянно и непрерывно работать в течении 24 часов после запуска процесса VPN-сервера. Очень много усилий было потрачено на разработку кода SoftEther VPN-сервера, особенно направленных на предотвращение утечки памяти и других возможных сбоев. В настоящее время считается что релизы SoftEther VPN-сервера не имеют никаких ошибок, влияющих на его стабильность.
Однако если в процессе работы SoftEther VPN-сервера произойдут какие-либо проблемы, он будет перезапущен автоматически. Чтобы предотвратить потерю данных конфигурации, все данные конфигурации и статистика VPN сеанса сохраняются на диске автоматически регулярно. Если процесс внезапно останавливается, то задача будет автоматически запущена и восстановится по возможности с последним состоянием до сбоя.

  © SoftEther Проект