Решение задач vipnet linux. vipnet_linux решение задач. Руководство администратора
 Скачать 1.91 Mb.
|
|
Название события Описание события 1101 Возможная атака Smurf Обнаружен ICMP-запрос, отправленный на адрес подсети (x.x.x.0 или x.x.x.255) Такой запрос способен инициировать множественные эхо-ответы, которые могут перегрузить сеть или атакуемую систему 1104 ICMP-запрос маски подсети Обнаружен запрос на получение значения маски подсети Такая информация может помочь хакеру собрать данные о конфигурации сети 1106 Фрагментация ICMP- заголовка ICMP-заголовок был разбит на несколько фрагментов в попытке обойти сетевые экраны или системы обнаружения вторжений Таблица 9. События подгруппы Все IP-пакеты/События системы обнаружения атак/Атаки протокола UDP Номер события Название события Описание события 1203 Урезанный UDP-заголовок Обнаружен UDP-пакет с аномально коротким заголовком 1204 Возможная атака Fraggle Обнаружен UDP-пакет, отправленный на адрес подсети (x.x.x.0 или x.x.x.255) и предназначенный для одного из «отражающих» портов Такой пакет способен инициировать множество ответов, которые могут перегрузить сеть или атакуемую систему ViPNet Coordinator Linux. Руководство администратора | 183 1205 Зацикливание портов UDP Обнаружен UDP-пакет, зацикленный между двумя «отражающими» портами Такие пакеты могут отражаться бесконечное число раз, перегружая сеть и ресурсы вовлеченных систем 1206 Атака Snork Попытка вызова отказа в обслуживании Таблица 10. События подгруппы Все IP-пакеты/События системы обнаружения атак/Атаки протокола TCP Номер события Название события Описание события 1302 Фрагментация TCP-заголовка TCP-заголовок был разбит на несколько фрагментов в попытке обойти сетевые экраны или системы обнаружения вторжений 1303 Урезанный TCP-заголовок Обнаружен TCP-пакет с аномально коротким TCP- заголовком 1304 Неправильное смещение Urgent в TCP-заголовке Множество таких пакетов могут вызвать «зависание» у некоторых реализаций TCP/IP 1305 Атака WinNuke Попытка привести операционную систему к перезагрузке Атака использует ошибку реализации стека TCP/IP при посылке пакета Out of Band 1306 TCP-опции нулевой длины Попытка злоумышленника вывести из строя внешний сетевой экран с помощью посылки пакета с TCP- опциями нулевой длины 1307 Сканирование TCP XMAS Обнаружен TCP-пакет с установленными битами FIN, URG и PUSH Злоумышленник пытается определить наличие доступных служб в системе, посылая такие специально сформированные пакеты 1308 Сканирование TCP null Обнаружен TCP-пакет со всеми сброшенными управляющими битами Злоумышленник пытается определить наличие доступных служб в системе, посылая такие специально сформированные пакеты ViPNet Coordinator Linux. Руководство администратора | 184 Примеры настройки туннелей с использованием Координаторов ViPNet В данном приложении рассмотрены две распространенные схемы использования туннелей в ViPNet, и для каждой схемы приведены необходимые настройки. Схема 1 Пусть имеется два офиса, соединенных через Интернет. В одном из офисов находится сервер, к которому обращаются компьютеры из другого офиса, и необходимо, чтобы весь обмен данными через Интернет производился с шифрованием трафика. При этом установка ПО ViPNet непосредственно на участвующие в информационном обмене компьютеры невозможна или по каким-либо причинам нежелательна. Чтобы решить эту задачу, в каждом из офисов устанавливается Координатор ViPNet Coordinator Linux, к которому подключаются компьютеры (см. схему). F ViPNet Coordinator Linux. Руководство администратора | 185 Рисунок 8: Схема настройки туннелей с использованием Координаторов ViPNet Каждый Координатор имеет два сетевых интерфейса, один из которых имеет реальный адрес и подключен к Интернет (внешний интерфейс), а второй имеет частный адрес и подключен к локальной сети офиса (внутренний интерфейс). Пусть Координатор 1 имеет внутренний адрес 192.168.1.1 и идентификатор в сети ViPNet 0х00010101 , при этом подключенные к нему компьютеры 1, 2, 3 имеют адреса с 192.168.1.2 по 192.168.1.4 Координатор 2 имеет внутренний адрес 192.168.2.1 и идентификатор 0х00020201 , а подключенный к нему сервер имеет адрес 192.168.2.2 . Чтобы настроить правильную работу туннелей, на Координаторах необходимо сделать следующие настройки в файле iplir.conf : На Координаторе 1: o В собственной секции [id] вписать строку: tunnel= 192.168.1.2-192.168.1.4 to 192.168.1.2-192.168.1.4 o В секции [id] для Координатора 2 вписать строку: tunnel= 192.168.2.2-192.168.2.2 to 192.168.2.2-192.168.2.2 На Координаторе 2: o В собственной секции [id] вписать строку: tunnel= 192.168.2.2-192.168.2.2 to 192.168.2.2-192.168.2.2 o В секции [id] для Координатора 1 вписать строку: tunnel= 192.168.1.2-192.168.1.4 to 192.168.1.2-192.168.1.4 Внутренние интерфейсы обоих Координаторов не должны находиться в режиме 1. После запуска управляющего демона с указанными настройками компьютеры 1, 2, 3 смогут обращаться к серверу по адресу 192.168.2.2 . При этом на участке между Координатором 1 и Координатором 2 пакеты будут идти в зашифрованном виде. ViPNet Coordinator Linux. Руководство администратора | 186 По умолчанию на Координаторах настроены правила, разрешающие трафик для всех туннелируемых адресов. Если в приведенном примере требуется закрыть доступ к серверу каким-либо компьютерам, необходимо изменить правила в файле firewall.conf и явно указать, каким компьютерам доступ разрешен. Например, пусть требуется закрыть доступ к серверу компьютеру 1 и разрешить доступ компьютерам 2 и 3. Для этого на Координаторе 1 в секции [tunnel] файла firewall.conf необходимо удалить правило по умолчанию и вместо него задать следующие правила: rule= proto any from 192.168.1.3-192.168.1.4 to 0х00020201 pass rule= proto any from 0х00020201 to 192.168.1.3-192.168.1.4 pass Эти правила разрешают трафик в обоих направлениях только между туннелируемыми компьютерами 2, 3 и Координатором 2, туннелирующим сервер. В свою очередь, на Координаторе 2 должен быть разрешен трафик между сервером и Координатором 1. Для этого на Координаторе 2 в секции [tunnel] файла firewall.conf можно оставить правило по умолчанию или вместо него задать правила, явно разрешающие трафик между туннелируемым сервером и Координатором 1 (в обоих направлениях): rule= proto any from 192.168.2.2 to 0х00010101 pass rule= proto any from 0х00010101 to 192.168.2.2 pass В рассмотренном примере взаимодействие компьютеров с сервером разрешено по всем протоколам и портам. Чтобы ограничить это взаимодействие конкретными протоколами и портами, надо в приведенных правилах задать более жесткое условие. Например, пусть на сервере установлен веб-сервис, к которому разрешено обращаться компьютерам 2 и 3, но запрещено компьютеру 1. В этом случае на Координаторе 1 в секции [tunnel] необходимо задать следующие правила: rule= proto tcp from 192.168.1.3-192.168.1.4 to 0х00020201:80 pass rule= proto tcp from 0х00020201:80 to 192.168.1.3-192.168.1.4 pass На Координаторе 2 в секции [tunnel] необходимо задать следующие правила: rule= proto tcp from 192.168.2.2:80 to 0х00010101 pass rule= proto tcp from 0х00010101 to 192.168.2.2:80 pass Схема 2 Рассмотрим модифицированную схему использования туннелей, когда на компьютеры 1, 2, 3 установлено ПО ViPNet Client, а сервер остается незащищенным (см. схему). Пусть в сети ViPNet компьютерам 1, 2, 3 присвоены идентификаторы 0х00010102 , 0х00010103 , 0х00010104 соответственно. ViPNet Coordinator Linux. Руководство администратора | 187 Рисунок 9: Модифицированная схема настройки туннелей В этом случае, когда туннелируется только сервер, на Координаторах ViPNet необходимо сделать следующие настройки в файле iplir.conf : На Координаторе 1: o В секции [id] для Координатора 2 вписать строку: tunnel= 192.168.2.2-192.168.2.2 to 192.168.2.2-192.168.2.2 На Координаторе 2: o В собственной секции [id] вписать строку: tunnel= 192.168.2.2-192.168.2.2 to 192.168.2.2-192.168.2.2 Если в настройках Координатора 2 задано правило по умолчанию для туннелируемых адресов, то никакие дополнительные настройки не нужны. Иначе на Координаторе 2 в секции [tunnel] файла firewall.conf необходимо задать правила, разрешающие трафик между сервером и компьютерами 1, 2, 3: rule= proto any from 192.168.2.2 to 0х00010102-0х00010104 pass rule= proto any from 0х00010102-0х00010104 to 192.168.2.2 pass Пусть требуется ограничить доступ к серверу со стороны некоторых узлов, например, закрыть доступ к серверу компьютеру 1 и разрешить доступ компьютерам 2 и 3. Для этого на Координаторе 2 необходимо изменить правила в секции [tunnel] файла firewall.conf следующим образом: rule= proto any from 192.168.2.2 to 0х00010103-0х00010104 pass rule= proto any from 0х00010103-0х00010104 to 192.168.2.2 pass ViPNet Coordinator Linux. Руководство администратора | 188 Для случая, когда на сервере установлен веб-сервис, к которому разрешено обращаться компьютерам 2 и 3, но запрещено компьютеру 1, приведенные правила необходимо изменить следующим образом: rule= proto tcp from 192.168.2.2:80 to 0х00010103-0х00010104 pass rule= proto tcp from 0х00010103-0х00010104 to 192.168.2.2:80 pass ViPNet Coordinator Linux. Руководство администратора | 189 Примеры настроек работы Координаторов ViPNet через фиксированные альтернативные каналы Рассмотрим упрощенную схему взаимодействия двух Координаторов ViPNet, которые имеют два альтернативных канала доступа с условными названиями GlobalDataNet и Internet. G ViPNet Coordinator Linux. Руководство администратора | 190 Рисунок 10: Схема взаимодействия координаторов с двумя альтернативными каналами доступа Оба Координатора могут производить сетевой обмен без ограничений по любому из рассматриваемых каналов. Для работы через данные каналы подразумевается, что узлы Router-1 и Router-2 осуществляют маршрутизацию пакетов для данных каналов. При этом для пакетов, маршрутизируемых в Интернет, будет выполняться подмена адреса отправителя, а для входящих из Интернета пакетов с портом назначения 55777 будет выполняться подмена адреса получателя адресом соответствующего Координатора (статическая трансляция адреса). На каждом из Координаторов шлюз по умолчанию установлен на внутренний интерфейс соответствующего маршрутизатора. На обоих Координаторах установлен режим Со статической транляцией адресов (см. « Настройка режима „Со статической трансляцией адресов“ » на стр. 107). Ниже приводятся несколько решений для типовых задач управления каналами взаимодействия между рассматриваемыми Координаторами. 1 Выбор канала GlobalDataNet в качестве фиксированного канала взаимодействия. В первую очередь необходимо в файле iplir.conf для каждого из Координаторов создать секцию [channels] , в которой определить 2 альтернативных канала взаимодействия с привязкой к соответствующим группам: [channels] channel= GlobalDataNet, DataNetGroup channel= Internet, InternetGroup После этого необходимо задать привязку Координаторов к соответствующей группе и задать параметры доступа для каждого из каналов. Для этого в файле iplir.conf ViPNet Coordinator Linux. Руководство администратора | 191 на Координаторе 1 в секции [id] для Координатора 2 необходимо задать следующие настройки: group= DataNetGroup channelfirewallip= GlobalDataNet, 10.0.0.2 channelfirewallip= Internet, 210.11.0.3 В файле iplir.conf на Координаторе 2 в секции [id] для Координатора 1 необходимо задать следующие настройки: group= DataNetGroup channelfirewallip= GlobalDataNet, 10.0.0.1 channelfirewallip= Internet, 89.135.15.41 После старта управляющего демона с данными настройками оба Координатора будут взаимодействовать только через канал GlobalDataNet. 2 Переключение на канал Internet. Для переключения Координаторов на взаимодействие через канал Internet необходимо выполнить следующие настройки. В файле iplir.conf на Координаторе 1 в секции [id] для Координатора 2 необходимо изменить значение параметра group на следующее: group= Internet Аналогичные настройки необходимо произвести на Координаторе 2 в секции [id] для Координатора 1. После старта управляющего демона с данными настройками оба Координатора будут взаимодействовать только через канал Internet. 3 Отключение работы через фиксированные каналы. Для отключения механизма работы через фиксированный канал в данном примере необходимо в файле iplir.conf на каждом Координаторе в секции [channels] удалить регистрацию групп в каналах, определенных параметрами channel : [channels] channel= GlobalDataNet channel= Internet ViPNet Coordinator Linux. Руководство администратора | 192 Пример использования дополнительных IP-адресов на интерфейсе В данном приложении приведен пример использования дополнительных IP-адресов на одном из интерфейсов Координатора ViPNet Coordinator Linux. Способ задания дополнительных адресов, описанный в примере, справедлив только для одиночного Координатора. Если Координатор входит в состав кластера горячего резервирования, то дополнительные адреса задаются с помощью специальных параметров настройки кластера. Способ задания дополнительных адресов на кластере горячего резервирования приведен в документе «ViPNet Coordinator Linux. Система защиты от сбоев. Руководство администратора». Пусть в локальной сети находятся серверы, предоставляющие различные сервисы (например, почтовый сервер, веб-сервер и FTP-сервер). Требуется, чтобы эти сервисы были доступны из внешней сети, при этом серверы не имеют публичных адресов. Для решения этой задачи на границе локальной сети устанавливается Координатор ViPNet Coordinator Linux, к которому подключаются серверы (см. схему). H ViPNet Coordinator Linux. Руководство администратора | 193 Рисунок 1: Схема подключения серверов к Координатору Координатор имеет два сетевых интерфейса, один из которых имеет реальный адрес и подключен к Интернету (внешний интерфейс eth0 ), а второй имеет частный адрес и подключен к локальной сети (внутренний интерфейс eth1 ). Пусть Координатор имеет внешний адрес 89.175.26.1 , внутренний адрес 192.168.1.1 , а подключенные к нему серверы имеют частные адреса с 192.168.1.2 по 192.168.1.4 . Предполагается, что Координатор работает в режиме Со статической трансляцией адресов.Чтобы обеспечить доступ к серверам извне, на Координаторе необходимо выполнить следующее: Задать дополнительные адреса на внешнем интерфейсе eth0 с помощью следующих команд: ifconfig eth0:0 89.175.26.2 netmask 255.255.255.0 ifconfig eth0:1 89.175.26.3 netmask 255.255.255.0 ifconfig eth0:2 89.175.26.4 netmask 255.255.255.0 В файле firewall.conf в секции [nat] задать следующие правила трансляции адреса получателя: rule= change dst=192.168.1.2:25 proto any from anyip to 89.175.26.2:80 rule= change dst=192.168.1.3:80 proto any from anyip to 89.175.26.3:81 rule= change dst=192.168.1.4:21 proto any from anyip to 89.175.26.4:82 В файле firewall.conf в секции [forward] задать следующие разрешающие правила: rule= proto any from anyip to 192.168.1.2:25 pass rule= proto any from anyip to 192.168.1.3:80 pass rule= proto any from anyip to 192.168.1.4:21 pass ViPNet Coordinator Linux. Руководство администратора | 194 При указанных настройках к почтовому серверу можно будет обращаться по адресу 89.175.26.2 и номеру порта 80 , к веб-серверу – по адресу 89.175.26.3 и номеру порта 81 , к FTP-серверу – по адресу 89.175.26.4 и номеру порта 82 . Приведенная ниже схема иллюстрирует организацию доступа к серверам с использованием дополнительных адресов на внешнем интерфейсе Координатора. Рисунок 2: Схема организации доступа к серверам с помощью дополнительных адресов |