Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под

94
Глава 3. Средства защиты при передаче данных через сети
F7 – создать (Рис. 3.21). При нажатии клавиши на видеомонитор ЛКУ выводится бланк создания и настройки простого правила IP-фильтрации (Рис. 3.22), позволяющий сформировать одно правило. Правило будет размещено в списке описателей правил после той строки, на которой был установлен курсор.
Рис. 3.22 Бланк создания и настройки простого правила IP-фильтрации
Каждое правило IP-фильтрации является описателем одной операции проверки IP-датаграмм и включает параметры, назначение которых приведены ниже. Чтобы задать значение того или иного параметра, надо переместить курсор в соответствующее поле бланка и последовательно нажимать клавишу .
Режим (Рис. 3.22) – параметр задает вид действия, которое будет применено к фильтруемой IP-датаграмме в случае совпадения параметров IP-датаграммы со значениями соответствующих параметров правила IP- фильтрации.
Параметр Режим может принимать следующие значения:
-
Разрешить – IP-датаграмма, соответствующая правилу, будет допущена IP-фильтром к дальнейшей обработке;
-
Запретить – IP-датаграмма, соответствующая правилу, будет заблокирована IP-фильтром (при этом IP-датаграмма сбрасывается, а в адрес отправителя формируется соответствующее ICMP- сообщение);
-
Сбросить – IP-датаграмма, соответствующая правилу, будет сброшена без отправки каких-либо сообщений в адрес отправителя;
-
Сессия –проверяемая IP-датаграмма будет допущена к дальнейшей обработке с отслеживанием состояния соединения (подробнее см. раздел 3.2.1.8, с. 106).
Примечание. Фильтры, в правилах фильтрации которых параметр Режим имеет одно из первых трех значений (Разрешить, Запретить, Сбросить), будем называть
обычными; фильтры, в правилах фильтрации которых параметр Режим имеет значение
Сессия, – фильтрами сессий.
Протокол (Рис. 3.22) – параметр задает проверку значения поля Протокол в заголовке IP-датаграммы.
Параметр Протокол в правилах IP-фильтрации может принимать следующие значения:
- ANY
– параметр Протокол в заголовке проверяемой IP-датаграммы может иметь любое значение;
- ICMP
– параметр Протокол в заголовке проверяемой IP-датаграммы имеет значение 1 (ICMP);
- TCP
– параметр Протокол в заголовке проверяемой IP-датаграммы имеет значение 6 (TCP);
- UDP
– параметр Протокол в заголовке проверяемой IP-датаграммы имеет значение 17
(UDP –протокол может использоваться для передачи туннелированных датаграмм);
- TNL
–параметр Протокол в заголовке проверяемой IP-датаграммы имеет значение 4
(IP in IP – протокол может использоваться для передачи туннелированных датаграмм).
Фиксировать (Рис. 3.22) - параметр определяет, будет ли записана в протокол (файл LOG_TCP.EMA) IP- датаграмма, параметры которой совпали с параметрами соответствующего правила IP-фильтрации (с указанием, прошла IP-датаграмма на дальнейшую обработку или заблокирована/сброшена). Возможны следующие значения параметра:
- ДА – IP-датаграмма будет записана в журнал;
- НЕТ
– IP-датаграмма не будет записана в журнал.
TCP-флаги (Рис. 3.22) - параметр позволяет задать проверку поля Флаги TCP-пакета. Поле TCP-флаги в правилах IP-фильтрации может принимать следующие значения:
-
НЕТ - проверка поля Флаги TCP-пакета не производится;
-
SYN – в TCP-пакете установлен флаг SYN и сброшен флаг ACK;
-
ACK – в TCP-пакете установлен флаг ACK, остальные флаги могут быть любыми.
Поле TCP-флаги в правилах IP-фильтрации имеет смысл только для IP-пакетов протокола TCP.

Глава 3. Средства защиты при передаче данных через сети 95
Порты
*
(Рис. 3.22) – перевод курсора в поле бланка Порты и последовательное нажатие клавиши выводит на экран меню, позволяющее задать пару чисел, которые будут интерпретированы программой управления как значения одного из следующих трех параметров:
-
Порт отправителя и получателя;
-
Диапазон портов получателя;
-
Диапазон портов отправителя.
Выбрав требуемое значение, надо нажать клавишу − пара цифр появится в поле бланка, например:
Порты 1025 -> 23
Порты (получатель) 22 - 23
При этом.
Значение параметра Порт отправителя и получателя позволяет указать необходимость проверки полей Порт отправителя и Порт получателя в заголовках TCP- или UDP- датаграмм, транспортируемых проверяемой IP-датаграммой. Параметры датаграммы считаются удовлетворяющими данному правилу IP-фильтрации, если соответствующие значения портов проверяемой датаграмм совпадают со значениями портов, заданными этим параметром правила.
Если одному или обоим значениям параметра присвоено нулевое значение, то проверка соответствующих полей фильтруемой IP-датаграммы не производится, т.е. любое значение портов проверяемой датаграммы считается удовлетворяющим данному правилу IP-фильтрации.
Значения Диапазон портов отправителя и Диапазон портов получателя позволяют указать необходимость проверки полей Порт отправления или Порт назначения в заголовках TCP- или UDP-датаграмм, транспортируемых проверяемой IP-датаграммой. Значение порта датаграммы считается удовлетворяющим данному правилу IP-фильтрации, если оно укладывается в диапазон, заданный соответствующим параметром правила.
Если параметр имеет нулевое значение, проверка соответствующего поля IP-датаграммы не производится, т.е. любое значение порта IP-датаграммы считается удовлетворяющим данному правилу IP-фильтрации.
Внимание! Простыми правилами IP-фильтрации можно задать только один диапазон значений портов. Если необходимо задать два диапазона, то можно воспользоваться
расширенными правилами IP-фильтрации, описанными в разделе 3.2.1.6 (с. 100).
Отправитель Адрес и Отправитель Зн. бит (Рис. 3.22) – параметры задают значения для проверки поля Адрес отправителя из заголовка фильтруемой IP-датаграммы. Проверка выполняется следующим образом: a) из заголовка IP-датаграммы извлекается значение поля Адрес отправителя; b) в извлеченном значении адреса оставляются без изменения старшие биты в количестве, указанном полем Отправитель Зн. бит, остальные – обнуляются; c) выполняется проверка совпадения полученного значения адреса со значением параметра правила
IP-фильтрации Отправитель Адрес.
Если поля Отправитель Адрес и Отправитель Зн. бит правила IP-фильтрации имеют нулевые значения, то никакой проверки IP-датаграммы не производится, т. е. любое значение адреса отправителя IP-датаграммы считается удовлетворяющим данному правилу IP-фильтрации.
Получатель Адрес и Получатель Зн. бит (Рис. 3.22) – параметры задают значения для проверки поля
Адрес получателя из заголовка фильтруемой IP-датаграммы. Проверка происходит следующим образом: a) из заголовка IP-датаграммы извлекается значение поля Адрес получателя; b) в извлеченном значении адреса оставляются без изменения старшие биты в количестве, указанном полем Получатель Зн. бит, остальные – обнуляются; c) выполняется проверка совпадения полученного значения адреса со значением параметра правила
IP-фильтрации Получатель Адрес.
*
В настоящем разделе понятие «порт» подразумевает порт, указывающий соответствующее приложение
Пользователя – подробнее см. раздел
Приложение А
(с. 214).

96
Глава 3. Средства защиты при передаче данных через сети
Если параметры Получатель Адрес и Получатель Зн.бит правила IP-фильтрации имеют нулевые значения, то никакой проверки IP-датаграммы не производится, т. е. любое значение адреса получателя
IP-датаграммы считается удовлетворяющим данному правилу IP-фильтрации.
Enter – редактировать (Рис. 3.21). При нажатии клавиши на видеомонитор ЛКУ выводится бланк создания и настройки правила IP-фильтрации с параметрами того правила, на описатель которого был установлен курсор (см. Рис. 3.22), позволяющий отредактировать параметры правила.
F6
– перенести (Рис. 3.21). После первого нажатия клавиши указанная курсором строка описателя правила IP-фильтрации выделяется белым цветом. Далее можно переместить курсор на любую строку описателей из списка правил и повторно нажать . Отмеченный ранее описатель правила будет перемещен непосредственно под строку, на которую был установлен курсор в момент повторного нажатия клавиши .
Замечание
.
Между первым и вторым нажатием клавиши можно пользоваться только клавишами перемещения курсора. Нажатие другой функциональной клавиши из списка операций внизу экрана сбросит отметку подлежащей переносу строки.
F2
– проверить (Рис. 3.21). При нажатии клавиши выполняется проверка того правила или той строки расписания (см. ниже раздел 3.2.1.6, с. 100), на которой установлен курсор. Для неправильно сформулированных условий (противоречащих одному или нескольким другим правилам IP-фильтра, пересекающимся с данным по диапазону времени действия)выводятся соответствующие сообщения.
F3 - блокировать элемент (Рис. 3.21). При нажатии клавиши без дополнительных запросов блокируется выполнение функции, представленной той строкой описателя в списке описателей правил IP- фильтрации, на которую установлен курсор. При этом на видеомониторе ЛКУ цвет соответствующей строки изменится на красный. Повторное нажатие клавиши блокировку снимает.
Замечание. Данная возможность является вспомогательной и служит в основном для целей отладки IP-фильтра. Операция блокирования правила равнозначна его удалению из списка, но позволяет впоследствии восстановить функциональность правила.
Две команды редактора фильтра Shift_F7 – создать расширенное правило и Alt_F7 – создать
элемент расписания (Рис. 3.21) служат для создания и настройки элементов IP-фильтров расширенного формата. Порядок их применения рассмотрен ниже в разделе 3.2.1.6, с. 100.
3.2.1.4.
Алгоритм работы простого IP-фильтра
При настройке изделия может быть сформировано большое количество IP-фильтров (поименованных наборов правил IP-фильтрации) с любыми (кроме системных IP-фильтров) именами.
Но сами по себе IP-фильтры являются просто хранилищами наполняющих их правил IP-фильтрации и могут не принимать никакого участия в работе изделия. IP-фильтры включаются в работу только в двух случаях.
1) Имя IP-фильтра указывается в качестве значения параметров Фильтр входящих или Фильтр
исходящих хотя бы для одного из сетевых интерфейсов изделия.
В этом случае указанный IP-фильтр будет активизирован в момент запуска интерфейса, с которым IP- фильтр связан, и начнет фильтровать соответствующий поток IP-датаграмм (входящий или исходящий).
2) IP-фильтру присваивается одно из системных имен.
IP-фильтры с системными именами активизируются в момент запуска изделия и используются в соответствии с приписанным данному системному имени назначением (см. раздел 3.2.1.7, с. 104).
Принятая интерфейсом, связанным с простыми IP-фильтрами, входящая или исходящая IP-датаграмма обрабатывается в соответствии с приведенным ниже алгоритмом.
1. Полученная интерфейсом очередная
IP-датаграмма соотносится программой управления с соответствующим IP-фильтром интерфейса – IP-фильтром входящих или исходящих потоков данных.
Далее параметры IP-датаграммы последовательно сравниваются с параметрами каждого из правил IP- фильтрации соответствующего IP-фильтра, выбираемых из списка правил сверху вниз (см. Рис. 3.21), начиная с первого правила IP-фильтрации. Процесс проверки соответствия параметров IP-датаграммы параметрам очередного правила IP-фильтрации продолжается до первого совпадения.
Решение о соответствии параметров IP-датаграммы параметрам правила IP-фильтрации принимается программой управления в том случае, когда выполняются следующие условия. a. Значение параметра Протокол правила IP-фильтрации совпадает со значением поля Protocol IP- датаграммы (если параметр Протокол IP-фильтра имеет значение ANY, то условие считается выполненным при любом значении поля Protocol IP-датаграммы).

Глава 3. Средства защиты при передаче данных через сети 97
b. Значение параметра Отправитель Адрес правила IP-фильтрации совпадает со значением поля
Source Address IP-датаграммы (проверка совпадения выполняется по числу старших бит, заданному в описателе правила IP-фильтрации значением параметра Отправитель Зн. бит). c. Значение параметра Получатель Адрес правила IP-фильтрации совпадает со значением поля
Destination Address IP-датаграммы (проверка совпадения выполняется по числу старших бит, заданному в описателе правила IP-фильтрации значением параметра Получатель Зн. бит). d. При ненулевых значениях соответствующие пары чисел параметра Порт отправителя и
получателя правила IP-фильтрации попарно равны значениям соответствующих полей Порт отправителя и Порт получателя заголовка TCP- или UDP-датаграммы. e. При ненулевых значениях соответствующей пары чисел параметра Диапазон портов получателя правила IP-фильтрации значение поля Порт получателя (Destination Port) заголовка TCP- или
UDP-датаграммы попадает в диапазон значений правила. f.
При ненулевых значениях соответствующей пары чисел параметра Диапазон портов
отправителя правила IP-фильтрации значение поля Порт отправителя (Source Port) заголовка
TCP- или UDP-датаграммы попадает в диапазон значений правила.
2. Если зафиксировано совпадение и параметр Режим правила имеет значение разрешить, то результат проверки считается положительным и IP-датаграмма передается на дальнейшую обработку.
3. Если зафиксировано совпадение, но параметр Режим правила имеет значение запретить, то результат проверки считается отрицательным, датаграмма отбрасывается, а в адрес отправителя формируется
ICMP-сообщение типа:
Destination Unreachable с кодом Host Unreachable.
4. Если зафиксировано совпадение, но параметр Режим правила имеет значение сбросить, результат проверки считается отрицательным, IP-датаграмма отбрасывается, никаких сообщений отправителю не посылается.
Внимание! Если проверяемая IP-датаграмма не подошла ни под одно из заданных правил
IP-фильтрации, то вступает в действие правило по умолчанию, которое неявно присутствует в каждом IP-фильтре. Значения полей этого правила IP-фильтрации следующие:
Режим Отправитель Получатель Протокол Порты Фиксировать
запретить 0.0.0.0/00 0.0.0.0/00 ANY 0-0 ДА
По этому правилу IP-фильтрации выполняются следующие действия:
- результат проверки IP-датаграммы считается отрицательным;
-
IP-датаграмма отбрасывается;
- в адрес отправителя формируется соответствующее ICMP-сообщение;
- прохождение и результат проверки IP-датаграммы фиксируется в системном журнале изделия (см. раздел 3.2.1.9, с. 108).
Указанные действия по умолчанию можно легко изменить, если последним правилом
IP-фильтра явно указать правило нужного содержания.
Фильтры со специальными (системными) именами работают по аналогичному алгоритму. Только в случае положительного или отрицательного результата проверки выполняется не продолжение обработки или отбрасывание датаграммы, а действие, предусмотренное назначением IP-фильтра.
Из рассмотрения алгоритма работы IP-фильтров следует несколько выводов:
1. Пустой IP-фильтр – не наполненный описателями правил IP-фильтрации – блокирует весь трафик.
2. Правила IP-фильтрации, определяющие более широкий диапазон влияния, следует размещать после правил с более узким диапазоном. Например, если необходимо запретить обращение ко всем компьютерам сети, кроме одного, по какому-либо порту и/или протоколу, то сначала следует разместить правило, разрешающее обращение по конкретному адресу, а потом – правило, запрещающее обращение ко всему диапазону адресов. Переместить правило в списке можно при помощи действий, описанных в разделе 3.2.1.3, с. 93.
3. Если необходимо проанализировать какой-либо вид IP-трафика в сети, следует сформировать соответствующее разрешающее правило IP-фильтрации со значением ДА параметра Фиксировать (с учетом предыдущего замечания). Соответствующую зафиксированную информацию можно будет найти в файле LOG_TCP.EMA и проанализировать.

98
Глава 3. Средства защиты при передаче данных через сети
3.2.1.5.
Стратегии формирования IP-фильтров (на примере простых IP-фильтров)
Возможны две стратегии формирования содержательной части IP-фильтров: запрещающая и разрешающая.
Согласно запрещающей стратегии сначала в списке описателей IP-фильтра правилами IP-фильтрации выдается
запрет на пропуск через интерфейс некоторых отбираемых этими правилами IP-датаграмм, а затем для всех остальных IP-датаграмм последним в списке описателей правилом IP-фильтрации выдается разрешение на их пропуск через интерфейс. Другими словами, в «запрещающих» IP-фильтрах необходимо явно описать все требуемые запреты; все, что явно не запрещено, будет разрешено.
Согласно разрешающей стратегии правилами IP-фильтра задается разрешение на пропуск через интерфейс некоторых IP-датаграмм, а для всех остальных IP-датаграмм последним в списке описателей правилом
IP-фильтрации выдается запрет на их пропуск через интерфейс. Другими словами, в «разрешающих» фильтрах необходимо явно описать все требуемые разрешения; все, что явно не разрешено, будет запрещено.
Безусловно, с точки зрения страховки от возможных ошибок, при формировании IP-фильтров лучше придерживаться разрешающей стратегии. Однако запрещающая стратегия может оказаться более удобной, особенно при формировании IP-фильтров разграничения доступа (например, при настройке IP-фильтра