Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под

3.
Средства защиты при обмене данными через сети
Общие сведения о средствах защиты. Архитектура защищенных сетей передачи данных, как правило, представляет собой совокупность множества территориально удаленных локальных сетей (внутренних сегментов ЗСПД), в которых циркулирует информация Пользователя. Доступ к этой информации регламентирует Пользователь ЗСПД.
Для обеспечения информационного обмена между локальными сетями Пользователя внутренние сегменты
ЗСПД подключают к внешним сегментам ЗСПД – сетям общего пользования (сети операторов связи, сеть
Интернет и пр.). Через каналы связи сетей общего пользования осуществляется транспортировка информации
Пользователя между внутренними сегментами ЗСПД.
Создавая средства, обеспечивающие защиту информации при таком обмене, необходимо учитывать, что:
- информация Пользователя в сетях общего пользования может быть перехвачена;
- в сетях общего пользования могут находиться: источники нежелательного (паразитного) входящего трафика; источники, осуществляющие попытки несанкционированного доступа извне к информации во внутренних сегментах; источники трафика, представляющего собой атаку на внутренние сегменты ЗСПД, и пр.;
- во внутренних сетях Пользователя также могут находиться источники нежелательного исходящего трафика.
Рассматриваемые в настоящем Руководстве изделия обладают набором средств, обеспечивающих решение задачи защиты информации с учетом указанных выше аспектов. Краткие сведения об этих средствах приведены ниже.
С целью выполнения функций защиты передаваемой через сети общего пользования информации Пользователя изделие используется в качестве пограничного криптографического маршрутизатора – криптомаршрутизатора
(устройства L3-уровня) или пограничного средства организации криптографических мостов – криптомостов
(устройства L2-уровня), наведенных через внешние сегменты ЗСПД между ее внутренними сегментами, как представлено на схеме применения изделия в составе ЗСПД (см. Рис. 3.1).
Рис. 3.1 Схема применения изделия в составе ЗСПД
С помощью сетевых интерфейсов БВМ изделие подключается к защищаемым локальным сетям Пользователя, а с помощью сетевых интерфейсов БНМ – к сетям общего пользования. Таким образом, БВМ и БНМ изделия обеспечивают маршрутизацию IP-потоков данных или обработку потоков Ethernet-кадров в подключенных к изделию сетях внутреннего и внешнего сегментов ЗСПД соответственно, а БКО изделия выполняет специальные преобразования исходящих и входящих IP-потоков данных или потоков Ethernet-кадров.
Ниже приведены краткие сведения о функциональном наборе средств защиты, предоставляемых изделием
Администрации ЗСПД и администратору изделия.
1. Криптографические
туннели
(криптотуннели).
Поддерживаемые изделием механизмы криптографического туннелирования в общем случае предусматривают при передаче данных инкапсуляцию
(упаковку) отобранных в туннель исходных IP-датаграмм (L3-уровень) или исходных Ethernet-кадров
(L2-уровень) после их соответствующей криптообработки во вновь формируемую т.н. транспортную
IP-датаграмму, которая через сети общего пользования доставляется получателю, где из нее извлекается исходная IP-датаграмма или исходный Ethernet-кадр. Применяемый в изделии алгоритм криптообработки обеспечивает гарантированную стойкость, поэтому даже в случае перехвата передаваемых через сети общего пользования туннелированных транспортных IP-датаграмм не происходит утечки информации
Пользователя. Криптотуннели являются единственным каналом двунаправленного обмена информацией между БВМ и БНМ изделия.
Подробнее о работе криптотуннелей см. раздел 3.1, с. 73.
2. Фильтрация IP-датаграмм. Поддерживаемый изделием механизм фильтрации на сетевом уровне предусматривает наличие фильтров входящих и исходящих потоков IP-датаграмм на каждом из сетевых интерфейсов, физических или виртуальных, а также на внутреннем (служебном) интерфейсе обоих маршрутизаторов изделия – БВМ и БНМ. Анализ IP-датаграмм и принятие решения о дальнейшем

72
Глава 3. Средства защиты при передаче данных через сети
алгоритме их обработки принимается автоматически на основе правил фильтрации, формируемых администратором изделия при настройке. Механизм составления правил фильтрации обеспечивает необходимую глубину и гибкость, позволяющие изделию успешно отражать информационные атаки, бороться с нежелательными (паразитарными) входящим и исходящим трафиками, а также с попытками несанкционированного доступа извне к информации во внутренних сегментах ЗСПД – в ЛВС Пользователя.
Примечание. Отметим, что механизм фильтрации IP-датаграмм работает на сетевом уровне –
L3-уровне модели OSI.
Подробнее о работе с фильтрами IP-датаграмм см. раздел 3.2.1, с. 90.
3. Трансляция сетевых адресов (NAT/PAT-обработка). Поддерживаемый изделием механизм
NAT/PAT-обработки предусматривает выполнение трансляции IP-адресов заголовков исходящих и входящих IP-датаграмм из одного множества IP-адресов в другое, определяемое при настройке изделия, поэтому использование механизма NAT-обработки обеспечивает полное сокрытие внутренней структуры
(внутреннего адресного пространства) защищаемых сетей, усложняя неосведомленным пользователям реализацию несанкционированного доступа извне к информации, размещенной во внутренних сегментах
ЗСПД. Кроме того, применение NAT-обработки позволяет назначать рабочим станциям защищаемых сетей
Пользователя IP-адреса из фиктивных (т.н. приватных) областей адресов (например, 192.168.х.х), помогая решать задачу оптимизации использования ограниченного адресного пространства сетей, организованных согласно системным требованиям internet/intranet-технологии.
Подробнее о работе с транслятором сетевых адресов см. раздел 3.3, с. 111.
4. Групповая замена ключевых документов. Известно, что стабильная и устойчивая работа ЗСПД нередко нарушается в периоды регламентной замены ключевых документов, когда обслуживающий персонал в сжатые сроки в масштабе всей ЗСПД вручную выполняет перевод работы изделий защиты с одной серии ключевых документов на другую. Изделием поддерживается механизм групповой замены
ключевых документов, который позволяет обслуживающему персоналу изделий выполнить заранее вручную подготовительные операции к переводу работы изделия защиты с одной серии КД на другую и после этого в сжатый промежуток времени, установленный заранее администрацией ЗСПД, автоматически перевести обмен данными между криптоузлами в масштабе всей ЗСПД с предыдущей серии КД на новую.
Подробнее о работе механизма групповой замены ключевых документов см. раздел 3.4, с. 122.
5. Фильтрация трафика с применением таблиц MAC-адресов. Изделием поддерживается механизм фильтрации на канальном уровне физическими интерфейсами изделия (Ethernet-интерфейсами и L2–Eth- интерфейсами) входящего трафика Ethernet-кадров. Критерием приема на дальнейшую обработку изделием поступившего на его физический интерфейс Ethernet-кадра является наличие MAC-адреса отправителя кадра в связанной с данным интерфейсом таблице, предварительно настроенной администратором изделия.
Принимаемые из сети Ethernet-кадры, MAC-адрес отправителя (источника генерации) которых отсутствует в соответствующей таблице MAC-адресов, изделием игнорируются, что повышает защитные свойства и устойчивость работы изделия на фоне сетевых атак.
Примечание. Отметим, что механизм фильтрации Ethernet-кадров с применением таблиц MAC- адресов работает на канальном уровне – L2-уровне модели OSI.
Подробнее о работе механизма фильтрации Ethernet-кадров с применением таблиц
MAC-адресов см. раздел 3.2.2, с. 109.
6. Регистрация событий. Механизм регистрации событий, поддерживаемый изделием, позволяет протоколировать сведения о проходящем через изделие трафике, включая факты попыток несанкционированного доступа и нарушения штатного режима работы изделия.
Анализ зарегистрированных событий позволяет обслуживающему персоналу принять дополнительные меры повышения эффективности работы средств защиты.
Подробнее о работе механизма регистрации событий см. раздел 8.2, с. 181.
Настройка и управление средствами защиты изделия осуществляется с помощью цепочки альтернатив ГМ:
Настройка  Защита, после выбора которой на экран видеомонитора ЛКУ выводится меню, представленное на Рис. 3.2. Описание средств защиты, доступ к которым организован через это меню, приведено ниже.
Рис. 3.2 Меню выбора средств защиты передаваемых по сетям данных

Глава 3. Средства защиты при передаче данных через сети 73
3.1.
Криптографические туннели
Основным назначением изделия является защита информации Пользователя, передаваемой из одного защищаемого сегмента ЗСПД в другие защищаемые сегменты через сети общего пользования, в которых эта информация может быть перехвачена. Информация Пользователя передается через сети общего пользования в зашифрованном виде. Механизмом, реализующим функцию передачи информации Пользователя в зашифрованном виде по каналам связи между удаленными защищаемыми сегментами ЗСПД, является криптографический туннель – криптотуннель.
Изделия обеспечивают администратору возможность применения нескольких видов криптотуннелей.
Пусть имеются две локальные сети, обслуживающие территориально удаленные объекты одной организации, и ставится задача взаимного IP-доступа рабочих станций одной сети к информационным ресурсам другой через открытую IP-сеть общего пользования (например, сеть Internet).
Поставленная задача может быть решена путем установки в составе каждой защищаемой локальной сети изделий в качестве пограничных криптомаршрутизаторов или пограничных средств организации криптомостов
(криптографических шлюзов) и организации с помощью криптошлюзов виртуальных криптографически защищенных каналов связи между локальными сетями через сети общего пользования – криптографических туннелей (криптотуннелей).
Принципы организации криптографически защищенных соединений, поддерживаемых изделием, соответствуют общим принципам, предложенным технологией IPSec (RFC 2401 и сопутствующие документы), но реализация этой технологии в изделии имеет свои особенности.
Криптографический туннель между изделиями может быть реализован путем создания на каждом из пары изделий, образующих криптотуннель, описателя криптотуннеля, использующего механизмы:
- статического криптотуннеля;
- туннельного TNL-интерфейса;
- туннельного L2–TNL-интерфейса.
Шифратором изделия обеспечивается одновременное функционирование до 256 криптотуннелей, образованных с помощью любого из механизмов их поддержки (статических криптотуннелей,
TNL-интерфейсов или L2–TNL-интерфейсов).
Примечание. При организации работы криптотуннелей с помощью механизмов
TNL-интерфейсов или статических криптотуннелей обеспечивается защищенная передача трафика IP-датаграмм между изделиями на L3-уровне; при организации криптотуннелей с помощью механизма L2–TNL-интерфейсов обеспечивается защищенная передача трафика
Ethernet-кадров между изделиями на L2-уровне.
При криптообработке изделием IP-датаграмм на L3-уровне (использование изделия в качестве криптомаршрутизатора) применение криптотуннелей, реализованных путем создания TNL-интерфейсов, дает следующие преимущества по сравнению с применением статических криптотуннелей:
- упрощается и ускоряется процесс отбора датаграмм в туннель при их отправке (отбор выполняется по одному параметру – IP-адресу назначения – в процессе обычной маршрутизации IP-датаграммы);
-
TNL-интерфейсы, в отличие от статических криптотуннелей, обеспечивают поддержку механизма
приоритизации трафика (QoS-приоритизацию);
- упрощается процесс конфигурирования криптотуннеля – он выполняется как стандартное конфигурирование сетевого интерфейса, не требуется составления правил отбора в криптотуннель, как этого требует организация статического криптотуннеля.
Тем не менее, в ряде случаев применение механизма статических криптотуннелей может оказаться
предпочтительнее, т.к. статические криптотуннели позволяют при настройке более точно и избирательно очертить круг отбираемых в криптотуннель IP-датаграмм (хотя это и требует соответствующей квалификации администратора).
Примечание. При функционировании изделия в качестве криптомаршрутизатора (при криптообработке изделием IP-датаграмм на L3-уровне) обеспечивается нормальное функционирование криптотуннеля между изделиями и в том случае, когда на одном из изделий криптотуннель образован как статический, а на другом – как TNL-интерфейс (при условии совпадения в описателях этих криптотуннелей соответствующих криптопараметров).
В изделии реализована возможность конвертирования описателя статического туннеля в описатель
TNL-интерфейса (см. Рис. 2.1, с. 22, функция Alt+F7 – конв.туннели в интерфейсы).
Процедуры создания и настройки TNL-интерфейсов описаны в разделе 2.4.2, с. 39, создания и настройки
статических туннелей – в разделе 3.1.1.2, с. 78, создания и настройки L2–TNL-интерфейсов – в разделе 2.4.5, с. 49.

74
Глава 3. Средства защиты при передаче данных через сети
Все IP-датаграммы, которыми обмениваются информационно сопряженные криптотуннелем узлы ЗСПД, подвергаются различным видам обработки (компрессия, шифрование, имитозащита) и снабжаются новыми
IP-заголовками. Сформированные таким образом транспортные IP-датаграммы отправляются в открытую
IP-сеть общего пользования, соединяющую пару узлов криптосети. На противоположной (приемной) стороне туннеля дополнительные
(транспортные)
IP-заголовки полученной транспортной
IP-датаграммы отбрасываются, а доставленные с их помощью туннелированные данные Пользователя подвергаются обратному преобразованию, в результате чего полностью восстанавливаются исходные IP-датаграммы.
В качестве транспортного протокола для передачи туннелированных IP-датаграмм используются протокол TNL
(IP in IP – номер протокола 4), протокол UDP (номер протокола 17) или протокол UDPnat (номер протокола
17). Протокол UDP следует использовать в тех случаях, когда провайдер не пропускает датаграммы с протоколом TNL. Протокол UDPnat следует использовать в случаях, когда используется механизм
NAT-преобразований.
Примечание. При использовании для туннелирования протокола UDP длина IP-заголовков транспортных датаграмм увеличивается на 8 байт по сравнению с их длиной при использовании протокола TNL.
Механизм работы криптотуннеля, обеспечивающего защищенное информационное сопряжение изделий на L3- уровне, иллюстрирует схема, представленная на Рис. 3.3.
Рис. 3.3 Схема транспортировки IP-датаграммы в криптотуннеле через сети общего пользования
При попадании в криптотуннель исходная IP-датаграмма подвергается следующим преобразованиям.
1. Вся датаграмма (исходный IP-заголовок и данные) подвергается обработке: компрессия, зашифрование, имитозащита. К полученному блоку данных добавляется заголовок туннеля (T – на схеме), в который записывается информация о выполненных преобразованиях.
2. К сформированному на шаге 1 блоку данных добавляется новый IP-заголовок – транспортный (IP’ – на схеме); если для туннелированных датаграмм используется протокол UDP, то кроме транспортного добавляется еще один заголовок (UDP – на рисунке). Полученная таким образом новая (транспортная) датаграмма отправляется передающим концом туннеля с локального изделия защиты в IP-сеть общего пользования.
3. Коммуникационное оборудование сетей общего пользования выполняет доставку транспортной
IP-датаграммы к месту назначения – принимающему концу туннеля на удаленном изделии защиты, используя для этой цели только IP-адрес назначения из заголовка транспортной IP-датаграммы (IP’), который может не иметь ничего общего с IP-адресом назначения, указанным в заголовке исходной
IP-датаграммы (IP).
4. По достижении транспортной IP-датаграммой противоположного (приемного) конца криптотуннеля на удаленном изделии защиты:
- из транспортной IP-датаграммы извлекается исходная IP-датаграмма в зашифрованном виде;
- восстанавливаются данные исходной IP-датаграммы путем обратного преобразования (расшифрование, декомпрессия, проверка имитозащиты) с использованием информации из заголовка криптотуннеля (T).
5. Восстановленная в исходном виде IP-датаграмма отправляется на дальнейшую доставку получателю обычным образом.
Одновременно с приведенным выше процессом передачи IP-датаграмм по криптотуннелю от локального изделия к удаленному по тому же криптотуннелю выполняется встречный процесс передачи IP-датаграмм от удаленного изделия к локальному.
Примечание. Приведенная на Рис. 3.3 схема, иллюстрирующая процессы, происходящие при передаче исходной IP-датаграммы Пользователя через криптотуннель на L3-уровне, и приведенные выше описания этапов преобразования IP-датаграммы в криптотуннеле в принципе подходят и для иллюстрации процессов, происходящих при передаче через криптотуннель Ethernet-кадров на L2-уровне. Только из локального сегмента ЛВС Пользователя

Глава 3. Средства защиты при передаче данных через сети 75
на вход криптотуннеля вместо IP-датаграммы подается исходный Ethernet-кадр, который в итоге инкапсулируется криптотуннелем в транспортную IP-датаграмму. Она через IP-сеть общего пользования передается в виде транспортной IP-датаграммы точно такого же формата, как показано на Рис. 3.3, а на приемном конце криптотуннеля из нее извлекается транспортируемый ею исходный Ethernet-кадр, который затем передается в соответствующий
удаленный сегмент ЛВС Пользователя.
Ниже приведена информация о форматах заголовков, добавляемых к туннелируемым датаграммам.