Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под

76
Глава 3. Средства защиты при передаче данных через сети
3.1.1.
Криптотуннели для защиты обмена IP-датаграммами на L3-уровне
Защита трафика IP-датаграмм с информацией Пользователя, передаваемого через сети общего пользования на
L3-уровне, осуществляется изделиями с помощью статических криптотуннелей или TNL-интерфейсов.
3.1.1.1.
Принципы работы криптотуннелей на L3-уровне
Общая схема функционирования криптотуннеля, устанавливаемого между локальным и удаленным изделиями и выполняющего криптозащиту трафика IP-датаграмм, передаваемых на L3-уровне через IP-сети общего пользования, представлена на Рис. 3.4. Функционирование криптотуннеля описано ниже.
Криптотуннель, устанавливаемый между изделиями для обеспечения защиты трафика IP-датаграмм на
L3-уровне, вне зависимости от типа криптотуннеля (статический или TNL-интерфейс), можно представить
(Рис. 3.4) в виде конструкции, состоящей из двух трубок (двух стволов). Один ствол туннеля выполняет обработку исходящего трафика, другой – обработку входящего.
Пакеты с информацией передаются между образующими криптотуннель изделиями по каждому из стволов криптотуннеля только в одном направлении: от изделия-отправителя к изделию-получателю.
Тракт обработки трафика защищаемых IP-датаграмм каждым из однонаправленных стволов криптотуннеля начинается в БВМ изделия-отправителя, проходит через шифратор и БНМ, продолжается далее через оборудование сетей общего пользования и оканчивается в БНМ изделия-получателя.
БВМ
БВМ
Шифратор
Шифратор
БНМ
Удалённое изделие
2 4
3 1
БНМ
5
Локальное изделие
Ethernet
Исходящий трафик
Входящий трафик
Ethernet
Сети
общего
пользования
Криптотуннель
Рис. 3.4 Схема функционирования криптотуннеля при передаче IP-датаграмм на L3-уровне
Передача данных по криптотуннелю на L3-уровне. Каждый правильный Ethernet-кадр, принятый из
ЛВС Пользователя Ethernet-интерфейсом БВМ локального изделия, подвергается анализу с целью определения типа данных, транспортируемых этим кадром. Если это не IP-датаграммы или ARP-запросы, дальнейшая обработка принятого Ethernet-кадра прекращается. Если Ethernet-кадром транспортировалась IP-датаграмма, она будет передана на дальнейшую обработку БВМ изделия.
На обработку в конкретный криптотуннель принятая IP-датаграмма будет передана только в том случае, когда она по своим параметрам соответствует критериям отбора в этот криптотуннель.
Внимание! Проверка на возможность отправки IP-датаграммы через статические криптотуннели выполняется раньше процесса маршрутизации – проверки на возможность отправки IP-датаграммы через TNL-интерфейсы. Т.е. если установлено, что IP-датаграмма соответствует критериям отбора в статический туннель, то проверка возможности отправки IP- датаграммы через TNL-интерфейс не выполняется.
Если IP-датаграмма отобрана для отправки в криптотуннель (независимо от того, по каким критериям – через правила отбора – в статический криптотуннель или через маршрутную таблицу изделия – в TNL-интерфейс),
БВМ составляет задание для шифратора на обработку исходной входящей IP-датаграммы, предусматривающее зашифрование с имитозащитой, и передает ее вместе с заданием шифратору (шаг 1 на схеме Рис. 3.4).
Шифратор выполняет криптообработку согласно полученному заданию и результат своей работы передает далее в БНМ изделия (шаг 2 на схеме Рис. 3.4).
БНМ передающего изделия упаковывает (инкапсулирует) поступившие из шифратора данные в IP-датаграмму в транспортном формате (см. Рис. 3.3), добавляя к поступившим данным: заголовок туннеля, заголовок UDP (если должен использоваться протокол UDP или UDPnat) и транспортный IP-заголовок. Сформированная транспортная IP-датаграмма передается на дальнейшую маршрутизацию БНМ и через соответствующий наружный физический интерфейс изделия отправляется в сеть общего пользования (шаг 3 на Рис. 3.4).
Примечания.
1. Последовательность действий при обработке IP-датаграммы, подлежащей передаче по криптотуннелю на L3-уровне (после отбора IP-датаграммы в криптотуннель), не зависит от вида криптотуннеля – статический криптотуннель или TNL-интерфейс.
2. Структуры и форматы данных, которыми при обработке IP-датаграммы в криптотуннеле обмениваются БВМ, шифратор и БНМ передающего и принимающего изделий

Глава 3. Средства защиты при передаче данных через сети 77
унифицированы и не зависят от вида криптотуннеля – статический криптотуннель или
TNL-интерфейс.
Прием данных по криптотуннелю на L3-уровне. Если на Ethernet-интерфейс БНМ удаленного
(принимающего) изделия поступила туннелированная IP-датаграмма (т.е. поле Protocol IP-датаграммы имеет значение 4 или 17), то БНМ изделия начинает поиск криптотуннеля, соответствующего данным из заголовка туннеля принятой IP-датаграммы. Сначала выполняется поиск в списке статических туннелей, затем
(если соответствующий статический туннель не будет найден) поиск продолжится среди туннельных интерфейсов (TNL-интерфейсов).
После того как криптотуннель будет найден, программа управления БНМ извлекает из транспортной
IP-датаграммы исходную IP-датаграмму в зашифрованном виде и оформляет задание шифратору на ее обработку. Исходная IP-датаграмма в зашифрованном виде вместе с заданием отправляются в шифратор (шаг 4 на Рис. 3.4). Шифратор выполняет восстановление переданных через сеть исходных данных (расшифрование и проверку имитозащиты), после чего IP-датаграмма в исходном виде передается на маршрутизацию в БВМ (шаг
5 на Рис. 3.4) для доставки получателю во внутренних ЛВС Пользователя.
Если принадлежность принятой туннелированной IP-датаграммы к криптотуннелю не обнаружена, считается, что эта IP-датаграмма предназначена не для туннелей данного изделия и ее обработка продолжается на общих основаниях – IP-датаграмма отправляется на маршрутизацию в БНМ для обеспечения ее дальнейшего продвижения по сетям общего пользования (например, это может быть транзитная для данного изделия IP- датаграмма).
Ниже алгоритмы упаковки передаваемых данных в туннель и их распаковки рассмотрены более подробно.
Алгоритм отправки IP-датаграмм в криптотуннель. Для каждой IP-датаграммы, предназначенной к отправке в сети общего пользования, БВМ выполняет проверку, должна ли она быть упакована в криптотуннель.
1. Сначала просматривается список статических криптотуннелей (сверху вниз, начиная с первой строки) до первого совпадения параметров датаграммы и правил отбора в криптотуннель. Совпадение фиксируется в том случае, если выполнены следующие условия.
 Значение параметра Протокол правила отбора в туннель совпадает со значением поля Protocol
IP-датаграммы (если поле Протокол правила отбора в туннель имеет значение ANY, то условие считается выполненным при любом значении поля Protocol датаграммы).
Замечание. Значениям ICMP, TCP, UDP и TNL элемента Протокол из правила отбора в туннель соответствуют значения 1, 6, 17, и 4 поля Protocol IP-датаграммы.
 Значение параметра Адрес отправителя правила отбора в туннель совпадает со значением поля
Source Address IP-датаграммы (проверка совпадения выполняется по числу старших бит, заданному в правиле отбора в туннель как число Значащих бит в адресе отправителя).
 Значение параметра Адрес получателя правила отбора в туннель совпадает со значением поля
Destination Address IP-датаграммы (проверка совпадения выполняется по числу старших бит, заданному в правиле отбора в туннель как число Значащих бит в адресе получателя).
 При ненулевом значении Начального номера порта правила отбора в туннель значения поля
Destination Port заголовков TCP- или UDP-датаграммы попадают в диапазон значений
Начальный номер порта - Конечный номер порта правила отбора в туннель.
Если зафиксировано совпадение и параметр Режим правила отбора в туннель имеет значение разрешить, датаграмма вместе с заданием на упаковку в туннель передается в шифратор.
2. Если не установлено соответствия IP-датаграммы критериям ее отбора в статические туннели, то программа управления БВМ начинает поиск подходящего туннельного интерфейса (TNL-интерфейса).
 Из заголовка датаграммы извлекается IP-адрес назначения и по маршрутной таблице БВМ
 изделия определяется имя интерфейса, которому IP-пакет передается на отправку.
 Если искомым оказывается TNL-интерфейс, то датаграмма вместе с заданием на упаковку в туннель передается в шифратор.
3. Шифратор зашифровывает IP-датаграмму (исходные заголовок и данные) как единый блок данных и передает ее на обработку БНМ.
4. БНМ формирует транспортную IP-датаграмму (добавляет транспортный IP-заголовок, UDP-заголовок (если требуется), заголовок туннеля) и выполняет ее отправку через свой маршрутизатор.
Если на БВМ изделия для IP-датаграммы не найдено соответствующего криптотуннеля (ни статического туннеля, ни TNL-интерфейса), то IP-датаграмма обрабатывается без упаковки в криптотуннель – она отправляется на маршрутизацию БВМ изделия как транзитная датаграмма.

78
Глава 3. Средства защиты при передаче данных через сети
Алгоритм приема IP-датаграмм из криптотуннеля. При поступлении из сети общего пользования на интерфейс БНМ изделия очередной датаграммы БНМ выполняет проверку, пришла IP-датаграмма по криптотуннелю или нет – проверяется значение поля Protocol транспортного заголовка IP-датаграммы. Если поле имеет значение 4 (IP in IP) или 17 (UDP или UDPnat), это значит, что IP-датаграмма потенциально может
туннелированной – нуждаться в обработке каким-либо из криптотуннелей.
Если поле Protocol имеет любое другое значение, то IP-датаграмма считается нетуннелированной и сразу отправляется на обычную маршрутизацию БНМ.
1. Поиск криптотуннеля, по которому пришла туннелированная IP-датаграмма, начинается с просмотра списка статических криптотуннелей. Просмотр их списка выполняется сверху вниз, начиная с первой строки. Датаграмма считается принадлежащей статическому криптотуннелю, если выполняются следующие условия.
 Значение поля Source Address транспортного IP-заголовка совпадает со значением параметра
Удаленный IP-адрес туннеля.
 Значение поля Destination Address Транспортного IP-заголовка совпадает со значением параметра Локальный IP-адрес туннеля.
 Значение поля Идентификатор туннеля (ID) в заголовке туннеля IP-датаграммы совпадает со значением параметра туннеля Идентификатор туннеля в его описателе.
 Только для UDP-датаграмм:
- значение поля UDP-заголовка Порт отправителя совпадает со значением параметра Порт
получателя туннеля;
- значение поля UDP-заголовка Порт получателя совпадает со значением параметра Порт
отправителя туннеля.
Если будет найден статический криптотуннель, которому принадлежит IP-датаграмма, то она вместе с заданием на извлечение из туннеля передается в шифратор.
2. Если в списке статических криптотуннелей не найдено туннеля, соответствующего параметрам
IP-датаграммы, начинается обработка списка TNL-интерфейсов. Обработка списка TNL-интерфейсов выполняется построчно сверху вниз, начиная с первой строки.
3. Датаграмма считается подлежащей обработке TNL-интерфейсов, если выполняются те же условия, что и при анализе соответствия параметров IP-датаграммы параметрам списка статических туннелей (см. выше).
Если будет найден TNL-интерфейс, которому принадлежит IP-датаграмма, то она вместе с заданием на извлечение из криптотуннеля передается в шифратор.
4. В шифраторе выполняется извлечение IP-датаграммы из туннеля.
 При извлечении из криптотуннеля: отбрасываются транспортный IP-заголовок, UDP-заголовок (если он имеется) и заголовок туннеля.
 Выполняется расшифрование данных и IP-заголовка исходной IP-датаграммы в соответствии со сформированным БНМ заданием.
5. Далее IP-датаграмма передается шифратором в БВМ на маршрутизацию и доставку через соответствующий интерфейс БВМ в ЛВС Пользователя адресату.
Если не найдено криптотуннеля (ни статического криптотуннеля, ни TNL-интерфейса), соответствующего параметрам туннелированной IP-датаграммы, то принятая БНМ
IP-датаграмма отправляется на дальнейшую обработку – маршрутизацию БНМ изделия – без
распаковки. В этом случае БНМ изделия используется в качестве обычного маршрутизатора –
транзитного узла доставки туннелированных датаграмм, адресованных другим узлам ЗСПД.
3.1.1.2.
Создание и настройка статических криптотуннелей
Внимание! Механизм статических криптотуннелей поддерживается новыми изделиями в целях обеспечения совместимости при встречной работе изделий нового и старого поколений. Кроме того, применение статических туннелей в ряде случаев может оказаться предпочтительным, т.к. статические криптотуннели позволяют более избирательно очертить круг отбираемых в криптотуннель IP-датаграмм.
Обработка трафика статическими туннелями осуществляется с момента запуска изделия до его останова.
Параметры настройки обоих окончаний криптотуннелей задаются администраторами соответствующих узлов и согласовываются для обоих концов туннеля с помощью любых доступных технологических средств коммуникации (телефон, e-mail, циркуляр Администрации ЗСПД и т. п.), т. е. без использования IP-сети и специальных алгоритмов.
Для создания статических туннелей (или редактирования описателей ранее созданных статических туннелей), а затем управления их работой следует выбрать цепочку альтернатива ГМ: Настройка  Защита  Туннели.

Глава 3. Средства защиты при передаче данных через сети 79
В ответ на видеомонитор ЛКУ будет выдано меню управления описателями статических криптотуннелей изделия, не содержащее описателей или содержащее список созданных ранее описателей статических криптотуннелей, аналогичное представленному на Рис. 3.5.
Рис. 3.5 Меню управления описателями статических криптотуннелей изделия
Описание каждого криптотуннеля в меню управления описателями (Рис. 3.5) занимает одну строку, в которую выводятся значения следующих параметров статического туннеля:
- в колонке ID – идентификатор криптотуннеля;
- в колонках Локальный адрес и Удаленный адрес – IP-адреса соответственно локального и удаленного концов туннеля;
- в колонке #N# – число правил отбора, сформированных при настройке параметра Правила отбора во время создания или редактирования описателя туннеля;
- в колонке Шифрование приведены криптопараметры в формате: число в скобках – номер ключевой зоны; затем – номер серии ключей; затем – локальный криптономер и (после стрелки вправо) удаленный криптономер;
- в колонке