Решение задач vipnet linux. vipnet_linux решение задач. Руководство администратора

ViPNet Coordinator Linux. Руководство администратора
|
102
Работа с политиками безопасности
Политика безопасности формируется в Центре управления политиками безопасности
(ЦУПБ) и рассылается на сетевые узлы (Координаторы) с помощью транспортного модуля MFTP. Она определяет текущую политику безопасности на узле совместно с правилами, заданными пользователем на самом узле (в файлах конфигурации).
Политика безопасности содержится в файле policy.conf
. Полученный из ЦУПБ файл policy.conf помещается в тот каталог, где находятся файлы конфигурации.
Политика безопасности включает в себя предправила и постправила фильтрации открытых IP-пакетов и правила задания режимов безопасности на интерфейсах.
Предправила предшествуют правилам, заданным пользователем на узле, постправила следуют после пользовательских правил. Режимы безопасности на интерфейсах, установленные политикой безопасности, имеют приоритет над режимами, заданными пользователем на узле.
Файл policy.conf может содержать следующие секции:

[local]
– предправила и постправила фильтрации локальных IP-пакетов;

[forward]
– предправила и постправила фильтрации транзитных IP-пакетов;

[broadcast]
– предправила и постправила фильтрации широковещательных IP- пакетов;

[mode]
– правила задания режимов безопасности на интерфейсах.
Каждое предправило описывается параметром policy-pre-rule
, постправило - параметром policy-post-rule
. Правило задания режимов безопасности на интерфейсах описывается параметром policy-mode
В правилах политики безопасности вместо конкретных значений может быть указана специальная лексическая единица, называемая подстановкой. Подстановка задает некоторое условие и результат, который вставляется в правило вместо подстановки при выполнении условия. Подробное описание синтаксиса правил политики безопасности и формата подстановок содержится в документе «ViPNet Policy Manager. Руководство администратора».
Обработка политики безопасности производится управляющим демоном каждый раз при его старте/рестарте. В результате обработки правила, содержащиеся в полученной из

ViPNet Coordinator Linux. Руководство администратора
|
103
ЦУПБ политике безопасности, добавляются в файлы конфигурации firewall.conf и iplir.conf-<интерфейс>
в виде следующих параметров:

предправила – параметры policy-pre-rule
;

постправила – параметры policy-post-rule
;

режимы безопасности на интерфейсах – параметры policy-mode
Примечание. Не следует редактировать указанные параметры вручную, так как после старта/рестарта управляющего демона они будут заменены правилами из политики безопасности.
Перед обработкой политики безопасности из файлов конфигурации удаляются все правила, добавленные при предыдущей обработке политики безопасности:

из файла firewall.conf удаляются все параметры policy-pre-rule и policy-post- rule из всех секций, где они присутствуют;

из всех файлов iplir.conf-<интерфейс>
, где в секции
[mode]
присутствуют параметры policy-mode
, эти параметры удаляются.
Обработка политики безопасности осуществляется в следующей последовательности:
1 Обрабатываются и раскрываются подстановки (если они присутствуют в политике безопасности). При обнаружении ошибок в формате подстановок сообщение об этом выдается в syslog и обработка политики безопасности прекращается.
2 Проверяется синтаксическая корректность правил, полученных после обработки подстановок. При обнаружении хотя бы одного некорректного правила сообщение об этом выдается в syslog и обработка политики безопасности прекращается.
3 В секции
[local]
,
[forward]
и
[broadcast]
файла firewall.conf добавляются параметры policy-pre-rule и policy-post-rule согласно политике безопасности.
Параметры policy-pre-rule располагаются в начале каждой секции в порядке их следования в политике безопасности, параметры policy-post-rule
– в конце каждой секции в порядке их следования в политике безопасности.
4 Определяются интерфейсы, для которых должен быть установлен режим безопасности согласно политике безопасности. Для этих интерфейсов в файлы iplir.conf-<интерфейс>
в секцию
[mode]
добавляется параметр policy-mode с соответствующим значением режима.

ViPNet Coordinator Linux. Руководство администратора
|
104
Политику безопасности можно изменять локально, однако при получении из ЦУПБ нового файла policy.conf на узле немедленно применяется новая политика безопасности. При этом старая политика безопасности (со всеми локальными изменениями) сохраняется в файле с именем policy.conf.old
, из которого можно скопировать сделанные ранее изменения и вставить их в новый файл policy.conf
Если необходимо локально изменить политику безопасности, то следует править только файл policy.conf
, после чего надо выполнить рестарт управляющего демона. Не следует изменять параметры policy-pre-rule и policy-post-rule в файле firewall.conf
, а также параметры policy-mode в файлах iplir.conf-<интерфейс>
, такие изменения будут потеряны. Эти параметры добавляются в конфигурационные файлы только для информации о том, как раскрываются подстановки и какой набор правил получается в результате. После изменения политики безопасности и рестарта управляющего демона все эти параметры автоматически обновляются.

ViPNet Coordinator Linux. Руководство администратора
|
105
Настройка режимов работы через межсетевой экран
Если узел с ПО ViPNet работает во внутренней сети с внутренними IP-адресами, и на входе этой сети установлен мжесетевой экран или другое устройство, осуществляющее преобразование внутренних адресов в адреса, доступные из внешней сети (то есть выполняется NAT – Network Address Translation), то для нормальной работы с другими узлами, находящимися не во внутренней сети или стоящими за другими межсетевыми экранами, необходимо настроить один из режимов работы через межсетевой экран (см.
«
Режимы работы ПО ViPNet через межсетевой экран
» на стр. 27). При настройке режима необходимо помнить, что перед редактированием файла конфигурации iplir.conf необходимо остановить управляющий демон, а после окончания редактирования вновь запустить его, чтобы все изменения вступили в действие.
Настройка режима «Без использования межсетевого
экрана»
При выборе данного режима необходимо установить следующие параметры в файле iplir.conf
:

В секции
[id]
для собственного узла установить параметр usefirewall в значение off
, т.е. внешний межсетевой экран не используется.

В секции
[dynamic]
установить параметр dynamic_proxy в значение off

Для всех используемых сетевых интерфейсов в секциях
[adapter]
установить параметр type в значение internal.
Внимание! В предыдущих версиях параметр usefirewall имел другое назначение, поэтому при откате на старые версии необходимо заново настроить параметры собственного узла, руководствуясь документацией к устанавливаемой версии. В противном случае будет нарушена логика работы ПО ViPNet
Coordinator Linux.

ViPNet Coordinator Linux. Руководство администратора
|
106
Настройка режима «Координатор»
Если на границе локальной сети установлен Координатор, то узлы, имеющие с ним связь, могут выбрать этот Координатор в качестве узла, через который и от имени которого будет осуществляться обмен информацией между узлами, находящимися в разных сетях.
При работе узлов через Координатор трафик, предназначенный для других узлов, которые:

находятся со стороны других сетевых интерфейсов Координатора или

не работают через этот Координатор и

недоступны по широковещательным пакетам, автоматически маршрутизируется на адрес этого Координатора (производится подмена
IP- и MAC-адреса), который, выполнив подмену адресов, направляет пакеты дальше от своего имени. Аналогичным образом трафик следует в обратную сторону.
Автоматическая маршрутизация зашифрованных пакетов на собственный Координатор позволяет не устанавливать на него шлюз по умолчанию. Это дает возможность маршрутизировать открытые пакеты на другие шлюзы (если это необходимо) и не делать дополнительных настроек на компьютере после установки ПО ViPNet.
Примечание. Автоматическая подмена MAC-адреса производится только при использовании патча ядра (см. «
Использование патча ядра
» на стр. 35). В случае использования технологии NETFILTER (см. «
Использование технологии
NETFILTER
» на стр. 38) автоматическая подмена MAC-адресов невозможна, и в этом случае необходимо использовать шлюз по умолчанию, в качестве которого может использоваться как сам Координатор, так и любой другой маршрутизатор в данной сети, который будет перенаправлять пакеты на Координатор.
Если для работы через Координатор настраивается узел большой локальной сети, разделенной на сегменты различного рода маршрутизаторами и коммутаторами, на которых, как правило, в целях безопасности настраиваются допустимые для пропуска адреса и протоколы, то в этом случае задача администратора значительно упрощается, поскольку не потребуется настройка множества допустимых внешних адресов и протоколов. В этой ситуации будет циркулировать только UDP-трафик с внутренними адресами своего сегмента и внутренним адресом Координатора.
Узел может устанавливаться за Координатор, только если один из сетевых интерфейсов этого Координатора доступен данному узлу по реальному адресу (то есть между ними нет никаких межсетевых экранов).

ViPNet Coordinator Linux. Руководство администратора
|
107
В качестве Координатора, выполняющего функции прокси-сервера, можно выбрать любой из Координаторов, доступных данному узлу.
Для настройки работы узла через Координатор необходимо установить следующие параметры в файле iplir.conf
:

В секции
[id]
, описывающей Координатор, выбранный в качестве прокси-сервера, задать значение любого из его реальных IP-адресов, доступных данному узлу
(параметр ip
), если он еще не задан; в этой же секции задать значение параметра port
, т.е. порта назначения, на который будут посылаться пакеты для данного
Координатора.

В секции
[adapter]
, соответствующей сетевому интерфейсу, со стороны которого установлен выбранный Координатор, установить параметр type в значение external.

В собственной секции
[id]
установить параметр usefirewall в значение on
; в этой же секции установить параметр proxyid равным значению id выбранного
Координатора.

В секции
[dynamic]
установить параметр dynamic_proxy в значение off.
После соединения с Координатором, если он правильно настроен, в секции
[id]
для выбранного Координатора установятся значения firewallip
, port и proxyid
. Кроме того, могут измениться значения параметров firewallip и port в секции
[id]
для собственного узла – они должны соответствовать параметрам выбранного Координатора.
Настройка режима «Со статической трансляцией
адресов»
Если в локальной сети установлен межсетевой экран, выполняющий NAT, на котором можно настроить статические правила NAT, обеспечивающие взаимодействие с определенным внутренним адресом сети по протоколу UDP с заданным портом, и есть необходимость во взаимодействии с другими узлами, находящимися во внешней относительно межсетевого экрана сети, то на узле нужно настроить режим работы со статической трансляцией адресов.
В этом случае IP-адрес узла и порт доступа к нему должны быть жестко заданы на межсетевом экране. Кроме того, на узле необходимо настроить маршрутизацию на внешний межсетевой экран (шлюз по умолчанию или маршруты для удаленных подсетей).

ViPNet Coordinator Linux. Руководство администратора
|
108
Для пропуска пакетов на межсетевом экране (или NAT-устройстве), на котором можно настроить статические правила NAT, должен быть обеспечен:

Пропуск исходящих UDP-пакетов с IP-адресом и портом данного узла (Source-порт) на любой внешний адрес и порт (с подменой адреса источника на внешний адрес
NAT-устройства).

Пропуск и перенаправление входящих UDP-пакетов с портом данного узла
(Destination-порт) на IP-адрес данного узла.
Для настройки работы узла через межсетевой экран со статическим NAT необходимо установить следующие параметры в файле iplir.conf
:

В собственной секции
[id]
установить параметр usefirewall в значение on.

В секции
[dynamic]
установить параметр dynamic_proxy в значение off.

В секции
[adapter]
, соответствующей сетевому интерфейсу, со стороны которого установлен внешний межсетевой экран, установить параметр type в значение external.

В собственной секции
[id] установить параметр proxyid в значение
0
; при необходимости значение параметра port выбрать из диапазона 1-65535 (по умолчанию 55777). Этот параметр определяет номер порта, от которого преобразованные в UDP-формат пакеты уходят с данного узла (Source-порт), и на который такие пакеты приходят на данный узел (Destination-порт). Номер порта имеет смысл изменять, только если внутри локальной сети через один межсетевой экран (или NAT-устройство) работает несколько узлов с ПО ViPNet. В этом случае у всех таких узлов номера портов должны быть разные.
В случае, если на внешнем межсетевом экране с NAT есть возможность настроить статические правила только для входящих пакетов, предназначенных данному узлу, то есть обеспечить пропуск пакетов, имеющих заданный адрес и порт назначения, а также их перенаправление на адрес данного узла, то следует установить параметр fixfirewall в значение on
. В этом случае IP-адрес данного узла и порт доступа к нему должны быть жестко заданы на межсетевом экране, и их необходимо прописать в параметрах firewallip и port в собственной секции
[id]
В случае, если внешний адрес межсетевого экрана с NAT в процессе работы может меняться, то следует установить параметр fixfirewall в значение off
. В этом случае на других узлах IP-адрес доступа к данному узлу будет регистрироваться по внешним параметрам пакета. Параметр firewallip в данном режиме определяется автоматически по информации, полученной от узлов, находящихся во внешней сети, поэтому редактировать его вручную не следует.

ViPNet Coordinator Linux. Руководство администратора
|
109
Информация об IP-адресе межсетевого экрана и порте доступа сообщается программой всем остальным узлам, с которыми связан данный узел.
Настройка режима «С динамической трансляцией
адресов»
Если в локальной сети подключение к сети происходит через некоторое устройство, выполняющее NAT, на котором затруднительно настроить статические правила трансляции, и есть необходимость во взаимодействии с другими узлами, находящимися во внешней относительно этого устройства сети, то на узле нужно настроить режим работы с динамической трансляцией адресов.
Режим работы с использованием такого типа межсетевого экрана наиболее универсален и может использоваться практически во всех случаях. Однако основное его назначение – обеспечить надежное двухстороннее соединение с узлами, работающими через NAT- устройства, на которых настройка статических правил трансляции затруднена или невозможна. Такая ситуация типична для простых NAT-устройств с минимумом настроек, например, DSL-модемов, Wireless-устройств и в других случаях.
Затруднительно также произвести настройки на NAT-устройствах, установленных у провайдера (в домашних сетях Home network, GPRS и других сетях, где провайдер предоставляет частный IP-адрес).
Далее кратко описывается технология пропуска трафика такими NAT-устройствами. Все
NAT-устройства обеспечивают пропуск UDP-трафика в режиме автоматического создания так называемых динамических правил NAT, когда пропускаются любые исходящие пакеты с подменой адреса и порта, фиксируются их параметры, и на основании этих параметров создаются динамические правила пропуска для входящего трафика. В течение определенного промежутка времени (тайм-аута) пропускаются входящие пакеты, параметры которых соответствуют созданным правилам. По истечении тайм-аута после прохождения последнего исходящего пакета соответствующие динамические правила удаляются, и входящие пакеты начинают блокироваться. То есть инициативное соединение извне с узлами, работающими через такие NAT-устройства, невозможно, если не будет соответствующего исходящего трафика.
Для обеспечения возможности двухсторонней работы на узле, работающем через NAT- устройство, и всех его Клиентов (если узел является Координатором) на узле устанавливается режим работы через межсетевой экран с динамической трансляцией адресов. Одновременно должен присутствовать постоянно доступный Координатор, находящийся во внешней сети (см. рисунок ниже). Назовем его Координатором входящих соединений (параметр forward_id секции
[dynamic]
). Узел в режиме использования типа межсетевого экрана с динамическим NAT после подключения к сети производит с заданным периодом (по умолчанию – 25 секунд) отправку UDP-пакетов на свой Координатор входящих соединений (параметр timeout секции
[dynamic]
). Период