Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под

80
Глава 3. Средства защиты при передаче данных через сети
Если предполагается использовать описание туннелей, имеющихся в архиве изделия, следует в папке
D:\DIONISWT.CFG (папка содержит архив всех конфигураторов изделия – см. раздел 4.1.8, с. 143) найти нужный конфигуратор и выбрать в нем файл tnl_tcp.ema – перевести курсор на имя файла и нажать клавишу . Перед тем как загрузить описание туннелей из файла, программа управления выдаст запрос:
добавить описатели туннелей к списку или заменить имеющийся список туннелей целиком на другой.
Примечание. Файл tnl_tcp.ema может находиться на съемном носителе, что позволяет перенести описание статических туннелей, сформированное на другом изделии.
F3 – не обрабатывать (Рис. 3.5). Нажатие клавиши помечает туннель, указанный курсором, как
не обрабатываемый (выключенный). На экране цвет соответствующей строки при этом изменяется на зеленый.
Повторное нажатие клавиши вернет туннель в рабочее состояние.
F2 – блокировать (Рис. 3.5). Нажатие клавиши блокирует туннель, указанный курсором. На экране цвет соответствующей строки при этом изменяется на красный. Через заблокированный туннель не будут передаваться датаграммы. Повторное нажатие клавиши туннель разблокирует.
F4 – заменить серию ключей (Рис. 3.5). Нажатие клавиши позволяет заменить серию ключей одновременно во всех описателях статических туннелей.
F6 – перенести (Рис. 3.5). Использование клавиши позволяет переместить строку описателя криптотуннеля в списке туннелей. Чтобы выполнить перемещение, следует установить курсор на строку, которую необходимо переместить, после чего нажать клавишу – при этом цвет строки изменится на
белый. Далее следует переместить курсор в списке криптотуннелей (Рис. 3.5) на ту строку списка, после которой должна быть размещена обозначенная белым цветом строка описателя, и повторно нажать клавишу
. В результате описатель криптотуннеля займет требуемое положение в списке.
Внимание! Порядок следования описателей статических криптотуннелей в списке имеет значение, так как при отправке IP-датаграммы в сеть проверяется по списку описателей туннелей совпадение параметров IP-датаграммы с правилами отбора в туннель, при этом список описателей статических криптотуннелей (см. Рис. 3.5) просматривается сверху вниз.
Ctrl+Enter – правила отбора (Рис. 3.5). При нажатии комбинации клавиш на видеомонитор
ЛКУ выводится полный список правил отбора всех статических криптотуннелей изделия, аналогичный представленному на Рис. 3.7. Список можно визуально проконтролировать на видеомониторе ЛКУ, а также можно задокументировать текущее состояние списка правил отбора – занести в журнал (файл LOG.EMA), для чего следует нажать клавишу <пробел>.
Рис. 3.7 Полный список правил отбора статических криптотуннелей
Создание и настройка статического криптотуннеля
Бланк создания и настройки статического криптотуннеля изделия представлен на Рис. 3.8. Пояснения, необходимые при работе с бланком, приведены ниже.
Рис. 3.8 Бланк создания и настройки статического криптотуннеля
Описание (Рис. 3.8) – параметр позволяет задать до 32-х символов произвольного текста. Его можно увидеть на экране, если изменить формат вывода списка туннелей (см. Рис. 3.5, с. 790), выдав команду Alt+F1 –
сменить формат вывода.

Глава 3. Средства защиты при передаче данных через сети 81
Идентификатор туннеля (Рис. 3.8) – параметр задает целое десятичное число в диапазоне от 0 до 32767 (до
5 цифр), идентифицирующее криптотуннель. Значение идентификатора должно совпадать на обоих концах туннеля – в списках статических криптотуннелей на обоих изделиях, между которыми организуется туннель.
Внимание! Значение идентификатора криптотуннеля в составе ЗСПД должно быть
уникальным среди узлов, входящих в одну и ту же ключевую зону.
Локальный IP-адрес (Рис. 3.8) – параметр задает IP-адрес локального конца криптотуннеля. Этот адрес будет подставлен в качестве адреса отправителя (Source Address) в IP-заголовок транспортной
IP-датаграммы при упаковке датаграммы в туннель (см. раздел 3.1, с. 73).
Удаленный IP-адрес (Рис. 3.8) – параметр задает IP-адрес удаленного конца туннеля. Этот адрес будет подставлен в качестве адреса назначения (Destination Address) в IP-заголовок транспортной
IP-датаграммы при упаковке датаграммы в туннель (см. раздел 3.1, с. 73).
Правила отбора (Рис. 3.8) –параметра обеспечивает вызов меню управления правилами отбора в статический туннель, аналогичного представленному на Рис. 3.9. Правила отбора регулируют выбор из потока всех входящих IP-датаграмм тех, которые должны быть направлены на дальнейшую обработку в конкретный криптотуннель, т.е. тех IP-датаграмм, параметры которых совпали с правилами отбора.
Рис. 3.9 Меню управления правилами отбора в статический криптотуннель
F7 – создать (Рис. 3.9). Нажатие клавиши приводит к выводу на видеомонитор бланка создания и настройки правила отбора в статический криптотуннель, представленному на Рис. 3.10 (с. 82).
Пояснения к работе по настройке параметров этого бланка приведены ниже в данном разделе.
Примечание. Описатель созданного правила будет помещен в общий список правил отбора (Рис. 3.9) первой строкой, если список был пуст, или строкой, следующей за строкой того описателя, на которую был установлен курсор непосредственно перед нажатием клавиши . Это следует иметь в виду, так как порядок следования описателей в списке правил влияет на результаты отбора IP-датаграмм в туннель.
Enter – редактировать (Рис. 3.9). Нажатие клавиши приводит к выводу на видеомонитор
ЛКУ бланка создания и настройки правила отбора, аналогичного представленному на Рис. 3.10 (с. 82); бланк содержит параметры того правила, на котором в меню управления правилами отбора (Рис. 3.9) был установлен курсор. Операция предоставляет возможность откорректировать параметры правила.
F8 – удалить (Рис. 3.9). Нажатие клавиши приводит к удалению строки с описателем правила отбора, на которую был установлен курсор.
F6 – перенести (Рис. 3.9). Использование клавиши позволяет переместить строку описателя в списке правил отбора. Чтобы выполнить перемещение, следует установить курсор на строку описателя правил, которую необходимо переместить, и нажать клавишу –цвет строки изменится на белый.
Далее следует переместить курсор на ту строку списка описателей правил (Рис. 3.9), после которой должна быть размещена обозначенная белым цветом строка, и повторно нажать клавишу . В результате описатель правила отбора займет требуемое положение в списке.
Примечание. Между первым и вторым нажатиями клавиши разрешается использовать только клавиши для перемещения курсора; нажатие любой другой клавиши приводит к сбросу первоначальной отметки описателя правила отбора.
F3 – блокировать (Рис. 3.9). Нажатие клавиши приводит к блокированию правила отбора, на строку с описателем которого был установлен курсор (программа управления игнорирует заблокированное правило). Цвет соответствующей строки изменится на красный. Повторное нажатие клавиши блокировку правила снимает. Указанная возможность удобна при комплексной настройке взаимодействия изделия и приложений Пользователя в составе ЗСПД.
F2 – выгрузить в файл (Рис. 3.9). Нажатие клавиши приводит к выдаче запроса на ввод имени файла (см. Рис. 2.3, с. 24), в который будет записан список правил отбора. Имя файла можно ввести с клавиатуры или можно нажать клавишу и получить на видеомониторе ЛКУ окно менеджера файлов, позволяющего просмотреть и найти нужные папки и файлы на любом из доступных дисков.
Текст описаний правил отбора можно редактировать. Эта возможность позволяет оперативно заимствовать список правил отбора с другого аналогичного изделия.

82
Глава 3. Средства защиты при передаче данных через сети
F4 – загрузить из файла (Рис. 3.9). Нажатие клавиши приводит к выдаче запроса на ввод имени файла (см. Рис. 2.3, с. 24), из которого следует загрузить список правил отбора, сформированный ранее или заимствованный с аналогичного изделия.
На Рис. 3.10 представлен бланк создания и настройки правил отбора в статический криптотуннель.
Рис. 3.10 Бланк создания и настройки правила отбора в статический криптотуннель
Режим (Рис. 3.10). Параметр может принимать значение разрешить или запретить. В первом случае входящая IP-датаграмма, соответствующая остальным параметрам правила, будет считаться отобранной в данный криптотуннель, во втором случае IP-датаграмма в туннель отобрана не будет и ее обработка будет продолжена на общих основаниях согласно алгоритму работы маршрутизатора.
Протокол (Рис. 3.10). Параметру может быть присвоено одно из следующих значений:
ANY, ICMP, TCP, UDP, TNL.
Фиксировать (Рис. 3.10). Параметр может принимать значения да или нет, определяя, будет ли выполняться протоколирование последовательности обработки IP-датаграмм, проходящих через статический криптотуннель, в журналах изделия
Диапазон номеров портов (Рис. 3.10). Параметр имеет смысл только для протоколов TCP и
UDP
. Он задает проверку значения порта назначения в IP-заголовках TCP- или UDP-датаграмм, транспортируемых подлежащими проверке IP-датаграммами. Порт назначения TCP- или UDP- пакета считается удовлетворяющим данному правилу отбора, если его значение укладывается в диапазон, заданный параметром Диапазон номеров портов.
Если обе цифры параметра Диапазон номеров портов имеют одинаковое ненулевое значение, то данному правилу отбора удовлетворяют TCP- или UDP-пакеты с единственным значением поля порт назначения заголовка пакета.
Если обе цифры параметра Диапазон номеров портов являются нулями, то проверка поля порт назначения заголовка IP-датаграммы не производится, т.е. любое значение порта назначения датаграммы считается удовлетворяющим данному правилу отбора.
Для параметров Адрес: Отправитель и Адрес: Получатель (Рис. 3.10) можно задать значения параметру Зн. бит – длину маски подсети, целое десятичное число в диапазоне от 0 до 32. В этом случае в процессе отбора значения IP-адресов, заданные в бланке создания и настройки правил отбора, и значения IP-адресов датаграммы будут сравниваться только по заданному числу старших бит адресов.
Примечание. Количество сформированных правил отбора в каждый из статических криптотуннелей выводится в список описателей статических криптотуннелей изделия в колонке под заголовком #N# (см. Рис. 3.5, с. 79).
Заголовок (Рис. 3.8). При выборе альтернативы на видеомонитор ЛКУ будет выдан бланк настройки типа транспортного протокола для передачи туннелированных IP-датаграмм, представленный на Рис. 3.11.
Рис. 3.11 Бланк настройки типа транспортного протокола туннелированной IP-датаграммы
Формат заголовка (Рис. 3.11). Параметр может принимать одно из следующих значений:
TNL
– полю Protocol в IP-заголовках исходящих туннелированных IP-датаграмм будет присвоено значение, равное 4 (что означает, что сформированная туннелированная IP- датаграмма представляет собой инкапсуляцию IP in IP);
UDP – полю Protocol в IP-заголовках исходящих туннелированных IP-датаграмм будет присвоено значение 17. Политика отдельных провайдеров препятствует передаче

Глава 3. Средства защиты при передаче данных через сети 83
туннелированных данных (когда полю Protocol в IP-заголовках исходящих IP- датаграмм присвоено значение 4) через контролируемые ими сети передачи данных.
Присвоение значения UDP или UDPnat параметру Формат заголовка позволяет добиться передачи трафика через такие сети.
UDPnat – в этом случае полю Protocol в IP-заголовках исходящих туннелированных
IP-датаграмм будет присвоено значение17. Присвоение параметру Формат заголовка
(Рис. 3.11) значения UDPnat обеспечивает возможность передачи туннелированных данных в режиме клиент-сервер из-под NAT-обработчика.
Е
сли параметр Формат заголовка имеет значение UDP или UDPnat, то параметрам Порт
отправителя и Порт получателя IP-датаграмм можно присвоить значения, отличные от умалчиваемых (по умолчанию оба параметра имеют значение 500).
Шифрование потока (Рис. 3.8). Параметр для статических криптотуннелей всегда имеет значение ДА, что означает безусловное выполнение зашифрования информации, передаваемой по статическому криптотуннелю.
Номер ключевой зоны (Рис. 3.8) – целое десятичное число в диапазоне от 1 до 999 или 0 (число 7 в скобках под заголовком Шифрование на Рис. 3.5)
Номер серии ключей (Рис. 3.8) – целое десятичное число, равное номеру серии ключей, используемой в данной криптографической сети (число 1002 под заголовком Шифрование на Рис. 3.5).
Локальный криптономер (Рис. 3.8) – целое десятичное число (до 5 цифр), соответствующее криптографическому номеру данного изделия в криптографической сети (число 4 под заголовком
Шифрование на Рис. 3.5).
Удаленный криптономер (Рис. 3.8) – целое десятичное число (до 5 цифр), соответствующее криптографическому номеру в криптографической сети того удаленного изделия, с которым будет выполняться обмен информацией по данному криптотуннелю (число 10 под заголовком Шифрование на Рис. 3.5).
Примечание. При настройке значений параметров Номер ключевой зоны, Номер серии
ключей и Локальный криптономер следует руководствоваться комментариями, приведенными в разделе 2.4.2, с. 39 при описании настройки аналогичных параметров меню настройки криптопараметров TNL-интерфейса (Рис. 2.24, с. 40).
vХХХ (Рис. 3.8) – параметр управления криптографической совместимостью. Определяет вариант реализации в данном туннеле версии криптографического алгоритма обработки туннелируемых IP-пакетов; параметр необходим для настройки синхронной обработки IP-пакетов криптоалгоритмами одного и того же варианта реализации на приемном и передающем концах настраиваемого туннеля.
Параметр может принимать следующие значения:
vМПМ – версия криптографического алгоритма, реализованная в изделиях серии М-479Рх;
v07Ф – версия криптографического алгоритма, реализованная в изделиях М-479К;
v07М – версия криптографического алгоритма, реализованная в изделиях М-479Ж.
Внимание! При настройке криптотуннелей с применением изделия М-479Р2 параметру vХХХ может быть присвоено только значение vМПМ.
Контроль (Рис. 3.8) – по умолчанию параметр имеет значение Нет, при этом режим самоконтроля криптотуннеля не запускается. При выборе параметра на видеомонитор ЛКУ выдается представленное на Рис. 3.12 меню настройки механизма самоконтроля состояния криптотуннеля, осуществляемого с помощью специального контрольного пакета (KEEPALIVE).
Рис. 3.12 Меню настройки механизма самоконтроля состояния криптотуннеля (KEEPALIVE)