Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под
 Скачать 7.28 Mb.
|
|
ФВ_in на Рис. 3.19, с. 92, ограничивающего доступ абонентов внутренней сети к открытым внешним ресурсам). Пример применения простых IP-фильтров Методику формирования IP-фильтров рассмотрим на примере стандартного включения изделия в состав ЗСПД по типовой схеме включения межсетевого экрана, приведенной ранее на Рис. 3.19, с. 92. На Рис. 3.23 приведена та же схема, уточненная конкретными значениями IP-адресов интерфейсов и рабочих станций внутренней сети. Проведем формирование всех возможных в данной схеме IP-фильтров ФН_in, ФВ_in, ФН_out, ФВ_out, исходя из следующих соображений обеспечения безопасности защищаемой (внутренней) сети. Наиболее опасными с точки зрения воздействия на защищаемую сеть являются протоколы UDP и ICMP. Лучше всего полностью блокировать прием и передачу IP-пакетов с данными этих протоколов через внешний интерфейс изделия. К сожалению, последствием такой блокировки будет отсутствие возможности выполнить процедуру PING через внешний интерфейс с целью проверки доступности узлов и маршрутизаторов во внешних сегментах ЗСПД (процедура PING использует ICMP- пакеты типа Echo-request и Echo-reply). Также последствием такой блокировки будет невозможность использования DNS-серверов во внешней сети для удовлетворения запросов станций внутренней сети на определение IP-адресов узлов по их доменным именам (DNS-служба использует протокол UDP с номером порта 53). Рис. 3.23 Пример включения изделия в состав ЗСПД по типовой схеме организации межсетевого экрана В качестве компромиссного разрешения указанных противоречий предлагается следующее. 1. Блокировать работу протокола ICMP для всех IP-адресов, кроме IP-адреса внешнего интерфейса изделия (EXT на Рис. 3.23). Это даст возможность выполнить процедуру PING с консоли БНМ изделия, а также обеспечит возможность проверки работоспособности внешнего интерфейса изделия устройствами внешней сети. 2. Блокировать работу протокола UDP для всех портов, за исключением номеров портов, указанных при настройке туннелей (см. раздел 3.1.1.2, с. 78) для входящих и исходящих UDP-датаграмм, а также порта 53 (DNS) для исходящих UDP-датаграмм и пользовательских портов (1025 – 65535) для входящих датаграмм Глава 3. Средства защиты при передаче данных через сети 99 для IP-адреса внешнего интерфейса маршрутизатора изделия (EXT на Рис. 3.23). Разрешить работу DNS- сервера маршрутизатора изделия в режиме DNS-кэша. Это обеспечит ретрансляцию DNS-запросов станций внутренней сети к внешним DNS-серверам и обратно через маршрутизатор изделия. Протокол TCP менее опасен для станций защищаемой сети, чем протоколы UDP и ICMP, но все-таки, чтобы устранить возможные проблемы, следует ограничить работу по протоколу TCP только необходимыми типами сервисов (номерами портов необходимых приложений). Для этого следует разрешить доступ в защищаемую сеть только для портов пользовательских приложений (с номерами из диапазона 1025 – 65535), а передачу во внешнюю сеть разрешить только для ограниченного перечня необходимых портов. Назначим интерфейсу во внешнюю сеть (EXT) в качестве входного IP-фильтр с именем ФН_in, а в качестве выходного – IP-фильтр с именем ФН_out. Назначим интерфейсу во внутреннюю сеть (INT) в качестве входного IP-фильтр с именем ФВ_in, в качестве выходного – IP-фильтр с именем ФВ_out. Внимание! В процессе IP-фильтрации поток информации считается входящим или исходящим всегда с точки зрения изделия, т. е. входной IP-фильтр обрабатывает всегда поток, входящий в изделие, а выходной IP-фильтр – поток, исходящий из изделия. Ниже приведены примеры организации на интерфейсах изделия IP-фильтров, реализующих описанный выше подход к повышению уровня обеспечения безопасного функционирования защищаемых изделием устройств во внутренней сети. Правила IP-фильтрации в фильтрах всех примерах реализуют разрешительную стратегию. ФильтрФН_in, контролирующий входящий в изделие поток IP-датаграмм из внешней сети. 0 1 2 3 4 5 Строка 0 – разрешает работу процедуры PING (протокол ICMP) между устройствами внешней сети и изделием (внешний интерфейс с адресом 195.213.35.8). Строка 1 – разрешает прием UDP-пакетов для пользовательских портов (ответы DNS-серверов внешней сети) только для маршрутизатора. Строка 2 – сбрасывает TCP-пакеты, адресованные HTTP PROXY-серверу маршрутизатора (порт 8080). Это необходимо для устранения возможности транзитного использования PROXY-сервера маршрутизатора внешними абонентами Строка 3 – разрешает прием любых TCP-пакетов приложениями изделия. Строка 4 – разрешает не ограниченный адресами прием TCP-пакетов для пользовательских портов (ответы на запросы услуг внешних серверов из внутренней сети). Строка 5 – сбрасывает все IP-датаграммы, для которых нет разрешения на пропуск через интерфейс предыдущими правилами. ФильтрФН_out, контролирующий исходящий поток IP-датаграмм от изделия во внешнюю сеть. 0 1 2 3 Строка 0 - разрешает работу процедуры PING (протокол ICMP) между изделием и устройствами внешней сети. Строка 1 - разрешает отправку DNS-запросов (UDP порт 53) от изделия во внешнюю сеть. Строка 2 - разрешает отправку любых TCP-пакетов во внешнюю сеть. Строка 3 - сбрасывает все IP-датаграммы, для которых нет разрешения на пропуск через интерфейс предыдущими правилами. 100 Глава 3. Средства защиты при передаче данных через сети Фильтр ФВ_in, контролирующий поток входящих в изделие IP-датаграмм из внутренней сети. 0 1 2 3 4 5 6 7 Строка 0 – разрешает работу процедуры PING (протокол ICMP) между рабочими станциями внутренней сети и изделием. Строка 1 – разрешает пропуск DNS-запросов (UDP порт 53) от станций внутренней сети к изделию. Строка 2 – разрешает всем рабочим станциям внутренней сети работу с удаленными FTP-серверами (TCP-порты 20, 21). Строка 3 – разрешает всем рабочим станциям внутренней сети работу с удаленными HTTP (WEB)-серверами (TCP-порт 80). Строка 4 – разрешает почтовому серверу внутренней сети работу с удаленными SMTP-серверами (TCP- порт 25). Строка 5 – разрешает почтовому серверу внутренней сети работу с удаленными POP3-серверами (TCP- порт 110). Строка 6 – разрешает привилегированной рабочей станции внутренней сети полный доступ в удаленную сеть. Строка 7 – сбрасывает все IP-датаграммы, для которых нет разрешения на пропуск через интерфейс предыдущими правилами. ФильтрФВ_out, контролирующий исходящий поток IP-датаграмм через внутренний интерфейс изделия во внутреннюю сеть. 0 1 2 3 4 5 Строка 0 – разрешает работу процедуры PING (протокол ICMP) между рабочими станциями внутренней сети и изделием. Строка 1 – разрешает прохождение ответов от DNS-сервера изделия к станциям внутренней сети. Строка 2 – разрешает прохождение ответов от удаленных TCP-серверов к станциям внутренней сети. Строка 3 – разрешает доступ к почтовому серверу внутренней сети всем SMTP-серверам (TCP порт 25) удаленной сети. Строка 4 – разрешает доступ к привилегированной рабочей станции по любому протоколу Строка 5 – сбрасывает все датаграммы, для которых нет разрешения на прохождение предыдущими правилами. 3.2.1.6. Фильтры расширенного формата Большинство задач, решаемых изделием с использованием механизма IP-фильтрации, администратор изделия решает с применением простых IP-фильтров. Использование IP-фильтров расширенного формата позволяет решать более сложные и, как правило, реже встречающиеся задачи. Отметим, что создание IP-фильтров расширенного формата требует более высокой квалификации администратора изделия. Фильтр расширенного формата, кроме рассмотренных выше простых правил IP-фильтрации, может содержать правила IP-фильтрации расширенного формата, а также правила IP-фильтрации типа элемент расписания. В IP-фильтре расширенного формата несколько следующих подряд правил IP-фильтрации (простых или расширенного формата) образуют блок правил. Несколько следующих подряд правил IP-фильтрации типа элемент расписания образуют блок расписания (в частном случае любой из блоков может содержать Глава 3. Средства защиты при передаче данных через сети 101 единственное правило IP-фильтрации). Элементы каждого блока расписания задают диапазон времени действия блока правил IP-фильтрации, следующего за блоком расписания. В общем случае в состав IP-фильтра расширенного формата могут входить блоки правил IP-фильтрации, перемежающиеся блоками расписаний. Создание и настройка расширенных правил IP-фильтрации. Расширенное правило IP-фильтрации выполняет все функции простого правила IP-фильтрации и, кроме того, в него добавлена возможность анализа до четырех полей, расположенных в любом месте IP-датаграммы. Анализируемое поле может иметь длину в один или два байта. Чтобы создать и настроить описатель расширенного правила IP-фильтрации, следует выдать на видеомонитор ЛКУ (выбрав цепочку альтернатив ГМ: Настройка Защита Фильтры) список описателей созданных IP-фильтров (Рис. 3.20), перевести курсор на строку с нужным описателем IP-фильтра, нажать клавишу Команда Shift_F7 – создать расширенное правило (Рис. 3.21) служит для создания описателя расширенного правила IP-фильтрации. По этой команде на видеомонитор ЛКУ будет выдан бланк создания и настройки расширенного правила IP-фильтрации (Рис. 3.24), позволяющий сформировать описатель одного расширенного правила IP-фильтрации (он будет размещен в списке описателей правил фильтрации IP-фильтра после той строки, на которую был установлен курсор перед выдачей команды). Верхняя часть бланка создания и настройки расширенного правила IP-фильтрации и операции по настройке параметров этой части бланка аналогичны бланку для создания простого правила IP-фильтрации (Рис. 3.22, с. 94) и операциям по настройке его параметров. Нижняя часть бланка предоставляет возможность задействовать до четырех наборов значений параметров (четырех шаблонов), каждый из которых характеризует поле фильтруемой IP-датаграммы, выбираемое для анализа, а также возможность задействовать три операции логической взаимосвязи результатов анализа полей IP-датаграммы (параметр Взаимосвязь). Рис. 3.24 Бланк создания и настройки расширенного правила IP-фильтрации Каждый шаблон для анализа полей позволяет задать значения следующих параметров. Смещение (Рис. 3.24) – параметр указывает смещение анализируемого поля IP-датаграммы в десятичной системе счисления, измеряемое в байтах и отсчитываемое от начала заголовка IP- датаграммы или от начала поля данных IP-датаграммы (пропуская IP-заголовок). Чтобы задать значение параметра, надо установить курсор на требуемое поле и нажать клавишу Относительно (Рис. 3.24) – параметр указывает точку отсчета смещения для анализируемого поля. Может принимать одно из следующих значений: 0+ - смещение отсчитывается от начала заголовка IP-датаграммы; IP+ - смещение отсчитывается от начала поля данных IP-датаграммы. Выбор нужного значения параметра осуществляется установкой курсора на требуемое поле с последующим нажатием клавиши Значение (Рис. 3.24) – параметр указывает эталонное значение анализируемого поля в шестнадцатеричной системе счисления. Чтобы задать значение параметра, надо установить курсор на требуемое поле и нажать клавишу 102 Глава 3. Средства защиты при передаче данных через сети Операция (Рис. 3.24) – параметр задает операцию сравнения анализируемого поля с эталонным значением. Возможные значения операции: == (равно), != (не равно), > (больше), >= (больше или равно), < (меньше), <= (меньше или равно). Кроме того, параметр может принимать значение ??; оно означает, что сравнение не выполняется. Выбор нужного значения параметра осуществляется установкой курсора на требуемое поле с последующим нажатием клавиши Взаимосвязь – параметр предоставляет возможность указать значение максимум трех логических операций, выполняемых над результатами операций сравнения эталонных значений и содержимого полей, выбираемых из фильтруемой IP-датаграммы. Параметр может принимать одно из значений: AND (операция логического И) или OR (операция логического ИЛИ). Выбор нужного значения параметра осуществляется установкой курсора на требуемое поле с последующим нажатием клавиши Создание и настройка правил IP-фильтрации типа элемент расписания. Чтобы создать элемент расписания, следует вывести на видеомонитор ЛКУ (выбрав цепочку альтернатив ГМ: Настройка Защита Фильтры) список созданных ранее IP-фильтров (см. Рис. 3.20, с. 92), перевести курсор на строку с нужным описателем IP-фильтра, нажать клавишу Команда Alt_F7 – создать элемент расписания (Рис. 3.21) служит для создания правила IP-фильтрации типа элемент расписания. По этой команде на видеомонитор ЛКУ будет выдан бланк создания и настройки элемента расписания (см. Рис. 3.25), позволяющий сформировать строку описателя элемента расписания (она будет размещена в списке правил фильтрации IP-фильтра после той строки, на которую при выдаче команды был установлен курсор). Каждый элемент расписания содержит параметр Режим (верхняя строка бланка) и собственно Расписание (нижняя часть бланка). Режим (Рис. 3.25). Параметр может принимать одно из значений: ДА или НЕТ. Параметр определяет, как программой управления будут интерпретированы заданные в расписании интервалы времени: если параметру присвоено значение ДА, правила IP-фильтрации в указанные интервалы будут действовать (разрешающие интервалы), если значение НЕТ – правила IP-фильтрации будут заблокированы (запрещающие интервалы). Расписание (Рис. 3.25). В расписании можно указать: - дни недели (левая колонка бланка): знак + (плюс) справа от обозначения дня недели включает в расписание соответствующий день недели, знак - (минус) − день недели из расписания исключает; - диапазон дат (шаблон в двух верхних строчках правой колонки бланка): интервал дат задается в формате дд/мм/гггг (если диапазон дат не задан, то он считается бесконечным); - временные интервалы (две последние строчки правой колонки бланка): цифры в формате чч.мм позволяют задать два временных интервала. Рис. 3.25 Бланк создания и настройки элемента расписания Применение бланка создания и настройки элемента расписания с набором введенных в бланк параметров позволяет создать одну строку описателя элемента расписания в списке правил IP-фильтрации IP-фильтра. В зависимости от решаемых изделием задач следует создать и настроить необходимое число таких строк описателей элементов расписания. Одна строка описателя элемента расписания позволяет задать максимум два временных интервала в один или несколько дней недели в заданном диапазоне дат. Если необходимо задать больше двух временных интервалов или необходимо задать разные временные интервалы в разные дни недели или разные диапазоны дат, то следует сформировать подряд несколько строк расписания. Программа управления не позволит создать (или отредактировать) строку описателя элемента расписания, которая в совокупности с другими строками данного блока приведет к тому, что блок расписания не будет содержать ни одного разрешающего интервала. Глава 3. Средства защиты при передаче данных через сети 103 Работа программы управления с блоками расписаний Примечание. Напомним, что программа управления обрабатывает и интерпретирует список всех правил IP-фильтра (простых, расширенных, элементов расписания) всегда последовательно в направлении сверху вниз. При описании алгоритма работы блока расписания будем говорить о диапазоне времени действия блока правил IP-фильтрации.Этот диапазон времени может иметь значения: ВСЕГДА, НИКОГДА или принимать значение диапазона времени, объединяющего все временные интервалы, заданные правилами одного блока расписания. Перед началом применения IP-фильтра диапазон времени действия блока правил IP-фильтрацииимеет значение ВСЕГДА . Следовательно, если в IP-фильтре первым находится блок описателей правил (или единственный описатель правила) IP-фильтрации, то все содержащиеся в нем описатели правила IP-фильтрации будут действовать всегда: во все дни недели, в любое время. Перед началом работы с каждым блоком описателей элементов расписания диапазон времени действия блока правил IP-фильтрацииимеет значение НИКОГДА. Содержащиеся в блоке описатели элементов расписания задают один или несколько не нулевых интервалов времени (хотя бы один интервал должен быть задан обязательно). Диапазон времени получит значение, соответствующее заданному расписанию. Если в момент применения программой управления IP-фильтра дата, день недели или интервалы времени попадают в диапазон времени действия блока правил фильтрации, следующий за блоком описателей элементов расписания блок описателей правил IP-фильтрации будет применен программой управления, если не попадает – блок описателей правил IP-фильтрации программой управления пропускается. Пример описателей элементов расписания: |