Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под

104
Глава 3. Средства защиты при передаче данных через сети
c. Результаты сравнения по всем заданным полям объединяются в одно логическое значение с помощью заданных значений взаимосвязи:
(B1opE1)V1_2(B2opE2)V2_3(B3opE3)V3_4(B4opE4)
, здесь Vn_m –значения параметра
Взаимосвязь для соответствующих пар результатов сравнения. d. Если полученное логическое значение равно 1, то фиксируется соответствие данных IP-датаграммы параметрам правила IP-фильтрации расширенного формата; если логическое значение равно 0, то IP-датаграмма данному правилу не соответствует.
3. Если зафиксировано совпадение и параметр Режим правила имеет значение разрешить, то результат проверки считается положительным, и IP-датаграмма передается на дальнейшую обработку.
4. Если зафиксировано совпадение, но параметр Режим правила имеет значение запретить, то результат проверки считается отрицательным, IP-датаграмма отбрасывается, а в адрес отправителя формируется
ICMP-сообщение типа: Destination Unreachable с кодом Host Unreachable.
5. Если зафиксировано совпадение, но параметр Режим правила имеет значение сбросить, результат проверки считается отрицательным, IP-датаграмма отбрасывается, никаких сообщений отправителю не посылается.
6. Если проверяемая IP-датаграмма не соответствует ни одному правилу IP-фильтрации, то результат проверки считается отрицательным, IP-датаграмма отбрасывается, а в адрес отправителя формируется соответствующее ICMP-сообщение.
Процесс создания IP-фильтра и внесения в него любых изменений находится под контролем программы управления.
1. Программа управления проверяет, чтобы диапазон времени действия блока правил фильтрации, задаваемый блоком расписания, содержал хотя бы один разрешающий интервал.
Программа управления не позволит создать блок расписания, в котором не выполнено это условие.
2. Программа управления проверяет каждый элемент фильтра (каждое правило): не противоречит ли он остальным элементам, пересекающимся с данным по диапазону времени действия. Программа управления не запретит создать правило, противоречащее другим правилам, но выдаст предупреждение.
3. Программа управления позволяет создать произвольное число IP-фильтров, каждый IP-фильтр может содержать произвольное число правил IP-фильтрации, но суммарное число всех строк описателей во всех
IP-фильтрах не может превышать значения 4000.
Процесс создания IP-фильтра и внесения в него изменений фиксируется на видеомониторе ЛКУ, а также в виде записи в системном журнале (файл LOG.EMA). Каждое действие персонала сопровождается выводом на видеомонитор ЛКУ и записью в файл журнала двух текстовых строк следующего формата:
Фильтр <имя_фильтра>. <выполненное действие> элемент <номер_строки_
фильтра>
[строка таблицы фильтра после внесения изменений]
Значение элемента записи <выполненное действие> – это одно из следующих значений: Удален,
Добавлен, Изменен, Заблокирован, Разблокирован.
Пример:
Фильтр ФИЛЬТР1. Изменен элемент 3
[разрешить 0.0.0.0 /00 192.169.1.0 /24 ANY 0-0]
Таким образом, все действия персонала по сопровождению IP-фильтров (создание, удаление, корректировка) протоколируются в журнале изделия и могут быть распечатаны и проанализированы позднее.
3.2.1.7.
Системные IP-фильтры
Системные IP-фильтры имеют фиксированные системные имена (см. раздел 3.2.1.1, с. 90). Формируются системные IP-фильтры так же, как и все остальные. Системные IP-фильтры могут включать простые правила IP- фильтрации, правила IP-фильтрации расширенного формата и элементы расписания.
Функции системных фильтров
1. Фильтры внутренних (служебных) интерфейсов. Внутренний (служебный) интерфейс в составе каждого из маршрутизаторов изделия (БНМ и БВМ) является логическим (фиктивным) и, не требуя действий администратора по его созданию и настройке, создается и активизируется программой управления при запуске изделия. Привязка IP-фильтров к внутреннему интерфейсу маршрутизатора обеспечивается путем использования зарезервированных системных имен при создании фильтров: int_in и int_out – во внутреннем блоке маршрутизации и ext_in и ext_out – в наружном блоке маршрутизации.

Глава 3. Средства защиты при передаче данных через сети 105
Правила IP-фильтрации потоков IP-датаграмм, исходящих через внутренние (служебные) интерфейсы маршрутизаторов от прикладных сервисов (служб) изделия, должны описываться соответственно в IP-фильтрах с системными именами int_out (в составе БВМ) и ext_out (в составе БНМ).
Входящие потоки внутренних интерфейсов для служб маршрутизаторов фильтруется с помощью
IP-фильтров с системными именами int_in и ext_in. Алгоритм работы этих IP-фильтров аналогичен алгоритму работы рассмотренных ранее IP-фильтров сетевых интерфейсов изделия.
2. Фильтр избирательной трассировки. Для реализации режима избирательной трассировки
IP-трафика, проходящего через интерфейсы изделия (см. раздел 4.1.3, с. 131) в составе каждого из маршрутизаторов изделия может быть создан IP-фильтр с системным именем trace. При наличии такого фильтра трассировка будет выполняться только для IP-датаграмм, разрешенных этим фильтром.
Замечания.
1. Системный фильтр trace самостоятельно не включает никаких режимов трассировки, он лишь ограничивает поток вывода трассировочной информации, заданной установленными режимами трассировки интерфейсов. Для включения режима трассировки конкретного интерфейса с использованием системного фильтра trace необходимо:
- сформировать IP-фильтр с системным именем trace;
- включить трассировку этого интерфейса.
2. Фильтр trace действует как ограничитель трассировки всех интерфейсов изделия.
3. Фильтр trace не может ограничить поток трассировочной информации маршрутизатора.
3. Фильтры
управления приоритетом. Фильтры с системными именами prt_0, prt_1,
prt_2,...prt_7 используются для изменения (классификации и маркирования) значения приоритета
(подполе IP Precedence поля Type of Service (ToS) в заголовке IP-датаграммы − подробнее см. раздел
Приложение Г
, с. 238 к настоящему РНУ) всех обрабатываемых интерфейсами изделия IP- датаграмм. Каждая из обрабатываемых IP-датаграмм анализируется на соответствие разрешающим правилам системных IP-фильтров: prt_0, prt_1, prt_2,...prt_7. Если соответствие фиксируется, то значение поля приоритета в IP-заголовке датаграммы (биты IPP поля ToS) принудительно изменяется на значение номера соответствующего IP-фильтра в бинарном представлении. Если IP-датаграмма не подпадает под условия ни одного из системных prt-фильтров, ее поле приоритета остается без изменения.
С помощь системных prt-фильтров можно промаркировать поток IP-датаграмм, реагируя на множество их параметров, включая:
- адреса отправителя и получателя IP-датаграммы;
- значение поля протокола в IP-заголовке;
- порты отправителя и получателя IP-датаграммы;
- длина IP-датаграммы.
4. Фильтр выполнения DNS-запросов из локального DNS-кэша. Фильтр с системнымименем
dnslocal используется DNS-сервером маршрутизатора изделия. Все DNS-запросы, для которых правилами dnslocal-фильтра задан режим разрешить, удовлетворяются только из локального
DNS-кэша маршрутизатора изделия (подробнее см. раздел 5.4.2, с. 160).
5. Фильтр разделения DNS-запросов на внутренние и внешние. Фильтр с системным именем
dns_int используется DNS-сервером маршрутизатора изделия и предназначен для разделения всех поступающих к DNS-серверу запросов на внутренние и внешние. Все DNS-запросы, для которых правилами фильтра dns_int задан режим разрешить, считаются внутренними. Для ответов на такие запросы используются только внутренние зоны DNS-сервера и локальный DNS-кэш. Все остальные DNS-запросы
(не подпавшие под разрешающие правила фильтра с именем dns_int и фильтра с именем dnslocal) считаются внешними. Для ответов на такие запросы используются только внешние зоны DNS-сервера и локальный DNS-кэш.
6. Фильтр разрешения пересылки зон DNS-сервера. Фильтр с системным именем dns_zone используется DNS-сервером маршрутизатора изделия и предназначен для указания внешних DNS-серверов, которым разрешена пересылка зон по TCP-протоколу. Операция пересылки зоны используется для организации вторичных DNS-серверов. С помощью этой операции вторичный DNS-сервер в любой момент может запросить полное копирование информации о любой DNS-зоне, хранящейся на первичном
DNS-сервере. Для устранения возможности несанкционированного доступа к информации DNS-зон все внешние DNS-серверы, которым дано право чтения информации зон, должны быть указаны в разрешающих правилах фильтра с именем dns_zone. Все запросы на пересылку информации зон DNS-сервера маршрутизатора изделия, не подпавшие под разрешающие правила фильтра dns_zone, будут отвергнуты.

106
Глава 3. Средства защиты при передаче данных через сети
7. Фильтр трафика удаленного управления. Для обеспечения удаленного управления изделием, исполненным в односегментной архитектуре технологии DioNIS®, с помощью изделий нового поколения следует на управляемом изделии выполнить соответствующие настройки фильтра с системным именем dcp
(dcp-фильтра) и инициировать работу его DCP-службы. Указанные настройки следует выполнить в соответствии с требованиями эксплуатационной документации на конкретное изделие защиты.
3.2.1.8.
Фильтры с отслеживанием состояния соединения
Модель информационного взаимодействия при использовании internet/intrаnet-технологии часто организована в архитектуре клиент-сервер. Прикладная работа клиентов строится на понятии сессии
*
. Инициируется сессия всегда клиентом, сервер отвечает на предложение клиента об установлении соединения. Разрыв соединения могут выполнить как клиент, так и сервер.
В соответствии с правилами IP-адресации (см.
Приложение
А
, с. 214) для идентификации в сетях передачи данных приложений клиента и сервера следует указывать их полный адрес, состоящий из IP-адреса вычислительной системы и номера порта, идентифицирующего компонент прикладного программного обеспечения на этой вычислительной системе.
Номер порта здесь – это двухбайтовое целое число в диапазоне от 0 до 65535. Для нумерации портов сервера
(служб) используется диапазон 0-1024, при этом номера портов сервера постоянно закреплены за приложением сервера конкретного типа. Например: порт 23 – служба Telnet, порт 25 – служба SNTP и т.д.
Для нумерации портов клиентов выделен пользовательский диапазон 1025-65535. Конкретное значение используемого порта выбирается программным обеспечением автоматически по некоему алгоритму. Поэтому несколько последовательных соединений одного клиента с одним и тем же сервером могут иметь один и тот же порт сервера и разные порты клиента.
Как было сказано выше, IP-фильтры обеспечивают контроль проходящих через интерфейсы изделия потоков информации: отфильтровывают нежелательные IP-датаграммы и пропускают на дальнейшую обработку
IP-датаграммы, прошедшие барьер IP-фильтрации.
Если организовывать контроль сессий клиент-сервер с помощью обычных IP-фильтров (фильтров, во всех правилах которых параметр Режим имеет одно из значений Разрешить, Запретить или Сбросить), то необходимо:
- открыть IP-адреса и порты требуемых серверов;
- открыть все пользовательские порты в направлении сервер  клиент.
В результате возникает возможность прохождения трафика, не порожденного «правильной» сессией, что создает уязвимость системы защиты.
Кроме того, процесс проверки проходящего IP-потока (анализ правил IP-фильтрации) занимает время, особенно при большом количестве правил IP-фильтрации, что влияет на быстродействие работы изделия в целом.
Для решения обеих проблем (увеличения уровня безопасности и ускорения обработки IP-датаграмм) реализован особый класс фильтров – фильтры с отслеживанием состояния соединений – фильтры сессий. Такой фильтр отслеживает состояние текущих соединений и автоматически открывает (а затем закрывает) доступ для разрешенных IP-датаграмм.
Фильтр сессий представляет собой динамически сопровождаемую таблицу сессий. Записи в таблицу добавляются в момент начала сессии, инициируемой пользователем, если выполнены следующие условия:
- в изделии создан обычный IP-фильтр (фильтр входящих или фильтр исходящих IP-датаграмм) и в нем существует правило, в котором параметр Режим имеет значение Сессия;
- параметры IP-датаграммы совпадают с параметрами правила IP-фильтрации.
Когда приходит первая IP-датаграмма, удовлетворяющая этому правилу, она передается на дальнейшую обработку и одновременно формируется разрешающая запись в таблице (фильтре) сессий.
Все последующие IP-датаграммы, относящиеся к этой сессии, будут пропускаться без повторной IP-фильтрации в обычном IP-фильтре.
*
Сессия – это периодический интерактивный сеанс обмена информацией (сообщениями) между двумя коммуникационными устройствами (или между клиентом и сервером). Сессия устанавливается в определенный момент времени и разрывается спустя какое-то время. Сессия может включать обмен несколькими сообщениями в каждом направлении. Жизненный цикл сессии включает следующие фазы (состояния):
установление соединения, передача данных, завершение соединения.

Глава 3. Средства защиты при передаче данных через сети 107
Работу фильтра сессий можно проиллюстрировать с помощью схемы, представленной на Рис. 3.26. На рисунке представлен интерфейс маршрутизатора изделия с двумя IP-фильтрами: фильтром входящих и фильтром исходящих IP-датаграмм.
Когда на интерфейс приходит исходящая IP-датаграмма, прежде всего проверяется таблица сессий. Если в таблице есть запись, обеспечивающая прохождение IP-датаграммы (IP-датаграмма принадлежит уже установленной сессии), то IP-датаграмма сразу же пропускается дальше. Если записи в таблице сессий нет, датаграмма идет в IP-фильтр исходящих IP-датаграмм интерфейса.
Изначально таблица сессий пуста, т.е. вначале ни на одну IP-датаграмму в таблице записей нет. Поступившая на интерфейс исходящая IP-датаграмма передается на проверку ее соответствия правилам IP-фильтра исходящих
IP-датаграмм и обрабатывается там стандартным для IP-фильтрации образом. Если при этом в IP-фильтре исходящих находится подходящее разрешающее правило IP-фильтрации, то датаграмма пропускается дальше и, если поле