Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под
 Скачать 7.28 Mb.
|
|
Режим этого правила имеет значение Сессия, то в таблице сессий формируется разрешающая запись. Когда на интерфейс приходит входящая IP-датаграмма, прежде всего проверяется таблица сессий. Если IP- датаграмма принадлежит уже установленной сессии, то она передается на дальнейшую обработку, минуя фильтр входящих IP-датаграмм. Если в таблице сессий нет записи, обеспечивающей прохождение IP-датаграммы, то IP-датаграмма передается в обычный IP-фильтр входящих и проверяется там обычной линейной IP-фильтрацией. Если в IP-фильтре входящих находится подходящее разрешающее правило IP-фильтрации, то IP-датаграмма пропускается в маршрутизатор и, если поле Режим этого правила имеет значение Сессия, то в таблице сессий формируется соответствующая разрешающая запись. В дальнейшем фильтр сессий отслеживает, откуда пришла IP-датаграмма – оттуда же, откуда пришла датаграмма, создавшая запись в таблице сессий, или нет, и в зависимости от этого тот или другой адрес в записи считает адресом отправителя и адресом получателя; это же относится и к номерам портов отправителя и получателя. Рис. 3.26 Схема, иллюстрирующая алгоритм работы фильтра сессий Записи в таблице сессий создаются динамически по мере необходимости и имеют ограниченное время жизни: записи исчезают из таблицы автоматически по окончании сессии или по истечении времени. Это повышает уровень безопасности. Использование таблицы сессий особенно эффективно с точки зрения обеспечения безопасности при прохождении ответной IP-датаграммы от сервера к клиенту – нет необходимости открывать весь диапазон пользовательских портов. 108 Глава 3. Средства защиты при передаче данных через сети Каждый интерфейс имеет собственную таблицу сессий. Наличие рассмотренного механизма позволяет строить самые различные системы безопасности. Например, можно в IP-фильтре исходящих задать единственное правило – разрешить TCP-сессию всем внутренним абонентам, а в IP-фильтре входящих запретить все. Такие фильтры (содержащие по одному правилу) будут работать мгновенно. Фильтр входящих будет отсекать любые входящие IP-датаграммы, если для них нет записи в таблице сессий, а записи в таблицу сессий будут заноситься только тогда, когда будут исходящие запросы от внутренних абонентов. Таким образом, путем элементарного конфигурирования достигается очень серьезная защита: запрещено любое воздействие из внешней среды – заблокированы все внешние IP-датаграммы, кроме тех, которые идут в ответ в рамках сессий, установленных внутренними абонентами. Внимание! Для корректной работы фильтра сессий требуется, чтобы на интерфейсе были установлены два фильтра: IP-фильтр исходящих и IP-фильтр входящих IP-датаграмм. Это требование обусловлено особенностями реализации подсистемы IP-фильтрации в ПО изделия − в отсутствие фильтра исходящих или фильтра входящих IP-датаграмм соответствующий поток данных проходит через интерфейс без всяких проверок, т.е. этот поток не будет контролироваться таблицей сессий. Фильтры сессий можно применять только к TCP, UDP и ICMP-пакетам. Т.е. в тех правилах обычного IP- фильтра (исходящих или входящих IP-датаграмм), в которых параметр Режим имеет значение Сессия, параметр Протокол может иметь только одно из трех значений TCP, UDP или ICMP. В любом IP-фильтре (исходящих или входящих IP-датаграмм) может быть любое число правил IP-фильтрации, в которых параметр Режим имеет значение Сессия. Понятие сессии в полной мере применимо только к TCP-протоколу: TCP-сессия имеет три состояния: состояние установления соединения, состояние передачи данных и состояние завершения соединения. Для других протоколов реально сессия не существует, но в таблице сессий выполняется ее имитация для того, чтобы можно было использовать фильтры сессий. 3.2.1.9. Фиксация последовательности обработки IP-датаграмм Процесс последовательности обработки IP-датаграмм маршрутизатором может быть запротоколирован в системном журнале (в файле с именем LOG_TCP.EMA), если в правилах IP-фильтрации установлен режим фиксации IP-датаграмм. Режим фиксации IP-датаграмм устанавливается с помощью параметра IP-фильтра Фиксировать , которому следует присвоить значение ДА (см. выше – раздел 3.2.1.3, с. 93 и Рис. 3.22). Для всех IP-датаграмм, удовлетворяющих правилам таких IP-фильтров, будет выполняться запись в системный журнал соответствующего маршрутизатора. Формат заносимых в журнал записей рассмотрен в разделе Приложение Е (с. 248) при описании файла LOG_TCP.EMA. Оперативный просмотр файла LOG_TCP.EMA возможен с помощью цепочки альтернатив ГМ: Консоль Журналы (см. раздел 8.2, с. 181). Фиксация IP-датаграмм может быть затребована как в правилах IP-фильтрации, в которых параметр Режим имеет значение запретить или сбросить, так и в правилах, в которых параметр Режимимеет значение разрешить . В первом случае будут фиксироваться все нарушения правил IP-фильтрации. Во втором случае правилами IP-фильтрации можно задать режим отслеживания потоков данных, интересующих администрацию узла. Это позволяет, во-первых, вести статистику прохождения IP-датаграмм и, во-вторых, понимать, по какой причине (вследствие какого обстоятельства) IP-датаграмма не доставлена. Для оперативного отслеживания появления в журнале записей фиксации IP-датаграмм программа управления ведет счетчик числа выполненных процедур фиксации. Значение счетчика выводится в левом нижнем углу меню функций Диагностика (см. раздел 9, Рис. 9.1, с. 187). При запуске изделия счетчик фиксации IP-датаграмм обнуляется. При выполнении очередной процедуры фиксации IP-датаграммы значение счетчика увеличивается на единицу. Наблюдая за счетчиком, персонал изделия может отследить появление в потоке IP-датаграмм и в журнале ожидаемой информации. Фиксация IP-датаграмм требует значительных ресурсов изделия (времени процессора и дискового пространства) и существенно замедляет его работу, поэтому устанавливать режим фиксации IP-датаграмм следует только для тех правил IP-фильтрации, которые действительно представляют интерес. Примечание. Напомним, что правило по умолчанию в составе любого IP-фильтра (см. раздел 3.2.1.4, п. 4, с. 96) предполагает фиксацию в журнале всех IP-датаграмм, не подпавших под основные правила IP-фильтра. Часто в этом нет необходимости. В этом случае рекомендуется последним правилом IP-фильтра явно ставить правило следующего содержания: Сбросить 0.0.0.0 /00 0.0.0.0 /00 ANY 0-0 и в нем параметру Фиксировать присвоить значение НЕТ. Глава 3. Средства защиты при передаче данных через сети 109 3.2.1.10. Отладка IP-фильтров Создание IP-фильтров требует определенного навыка и достаточных знаний о структуре Ethernet-кадров, формате IP-пакетов и организации обработки IP-потоков. В процессе работы с IP-фильтрами неизбежно возникают ошибки, которые иногда бывает трудно диагностировать визуальным контролем содержательной части IP-фильтров (набора правил IP-фильтрации и их последовательности в IP-фильтре). В помощь администратору в изделии предусмотрена возможность трассировки потоков данных, проходящих через IP-фильтры (диагностика процесса работы IP-фильтров). Включается трассировка процесса обработки проходящих через фильтры IP-датаграмм с помощью цепочки альтернатив ГМ: Диагностика Интерфейсы Активные. При выборе указанной цепочки альтернатив на видеомонитор ЛКУ выводится список всех активных в настоящее время сетевых интерфейсов. Для каждого из сетевых интерфейсов изделия с помощью клавиши Если задана трассировка IP-фильтров активного интерфейса, то при поступлении IP-датаграммы на соответствующий IP-фильтр входящих или исходящих IP-потоков выполняется запись процесса обработки IP- датаграммы согласно правилам IP-фильтрации в системный журнал LOG.EMA. Для просмотра журнала LOG.EMA следует воспользоваться цепочкой альтернатив ГМ: Консоль Журналы (см. раздел 8.2, с. 181). 3.2.2. Фильтрация потоков Ethernet-кадров С целью повышения устойчивости функционирования изделия на фоне сетевых атак со стороны сетей передачи данных, к которым изделие подключается с помощью внутренних и внешних физических сетевых интерфейсов, изделием поддерживается механизм фильтрации потоков Ethernet-кадров, входящих в каждый из физических интерфейсов изделия. 3.2.2.1. Общие сведения о фильтрации потоков Ethernet-кадров (L2- уровень) Каждый Ethernet-кадр, принятый из сети физическим интерфейсом изделия (L2–Eth-интерфейсом или Ethernet- интерфейсом), может быть подвергнут путем настройки соответствующих параметров интерфейса анализу, автоматически выполняемому программой управления. Цель анализа − принять решение, продолжить дальнейшую обработку Ethernet-кадра изделием или немедленно прекратить ее. Примечание. Отметим, что фильтрация потоков Ethernet-кадров выполняется на L2-уровне – канальном уровне – модели OSI, что, помимо повышения устойчивости работы изделия в условиях сетевых атак, повышает и эффективность работы маршрутизаторов изделия, поскольку они не участвуют в процессе отбраковки нежелательных Ethernet-кадров. Анализ выполняется путем сравнения MAC-адреса того устройства в сети, которое является источником поступившего на физический интерфейс изделия входящего Ethernet-кадра, со списком значений MAC-адресов, подготовленным заранее администратором изделия при настройке соответствующего сетевого интерфейса. Для каждого из используемых физических сетевых интерфейсов изделия его администратором может быть подготовлен соответствующий список MAC-адресов доверенных устройств в сети, с которыми изделию предстоит обмениваться данными. Организационная сторона составления списков MAC-адресов настоящим РНУ не рассматривается. Фильтрация поступившего из сети Ethernet-кадра на соответствие MAC-адреса его отправителя списку доверенных MAC-адресов выполняется только для физических интерфейсов маршрутизаторов изделия – L2–Eth-интерфейсов (БВМ) и Ethernet-интерфейсов (БВМ и БНМ). 3.2.2.2. Создание и настройка таблиц фильтрации потоков Ethernet-кадров по MAC-адресам Организация процессов фильтрации на соответствие спискам MAC-адресов поступающих из сети на физические интерфейсы изделия входящих потоков Ethernet-кадров похожа на организацию процессов фильтрации входящих в интерфейс и исходящих из него IP-датаграмм (см. раздел 3.2.1.2, с. 92). Для организации процесса фильтрации Ethernet-кадров по MAC-адресам следует: - создать и настроить соответствующую таблицу, содержащую список MAC-адресов доверенных сетевых устройств; - связать созданную ранее таблицу, содержащую список MAC-адресов, с соответствующим физическим L2–Eth-интерфейсом или Ethernet-интерфейсом. С целью создания и настройки таблицы, содержащей список MAC-адресов, следует выбрать цепочку альтернатив ГМ: Настройка Защита Таблица MAC-адресов. В ответ на видеомонитор ЛКУ будет выдан аналогичный представленному на Рис. 3.27 экран создания и настройки таблиц MAC-адресов. Средняя часть экрана содержит список имен ранее созданных таблиц MAC-адресов (изначально список пустой). 110 Глава 3. Средства защиты при передаче данных через сети В нижней части экрана размещена справочная информация о клавишах и их комбинациях, с помощью которых администратор изделия может выполнить создание и настройку таблиц MAC-адресов. Рис. 3.27 Экран создания и настройки таблиц MAC-адресов Для создания новой таблицы MAC-адресов следует сначала, используя экран создания и настройки таблиц MAC-адресов (Рис. 3.27), создать структуру описателя новой таблицы, присвоив ей имя, а затем, используя бланк создания и настройки записей таблицы MAC-адресов (Рис. 3.28), наполнить таблицу соответствующим списком MAC-адресов доверенных сетевых устройств. F7 – создать (Рис. 3.27). Нажатие клавиши (проверку уникальности выполняет программа управления). После ввода имени таблицы MAC-адресов на видеомонитор ЛКУ выводится бланк создания и настройки записей таблицы MAC-адресов (Рис. 3.28), позволяющий сформировать собственно список MAC-адресов соответствующей таблицы. Enter – редактировать (Рис. 3.27). Нажатие клавиши Рис. 3.28 Бланк создания и настройки записей таблицы MAC-адресов Ниже приведены пояснения к операциям, которые можно выполнить с помощью этого бланка. F7 – создать (Рис. 3.28). Нажатие клавиши F2 – добавить из ARP (Рис. 3.28). Нажатие клавиши Замечание. Напомним, что работа каждого из маршрутизаторов изделия – БВМ или БНМ – организована со своей индивидуальной ARP-таблицей. Применение клавиши Отметим однако, что при нажатии клавиши MAC-адресам из ARP-таблицы БВМ будут внесены все MAC-адреса, с которыми маршрутизатор работает в текущий момент времени по всем его сетевым физическим интерфейсам. Поэтому для повышения эффективности работы настраиваемого сетевого интерфейса администратору следует удалить не относящиеся к его работе MAC-адреса устройств, с которыми БВМ работает по соседним сетевым физическим интерфейсам. Глава 3. Средства защиты при передаче данных через сети 111 Enter – редактировать (Рис. 3.28). Нажатие клавиши ЛКУ запроса на ввод нового значения MAC-адреса. Введя в поле запроса (в соответствующем формате) новое значение MAC-адреса, следует нажать клавишу F8 – удалить (Рис. 3.28). При нажатии клавиши F6 – переименовать (Рис. 3.27). Для выполнения функции переименования таблицы MAC-адресов следует предварительно в списке имен таблиц MAC-адресов установить курсор на имя той таблицы, которую следует переименовать. Последующее нажатие клавиши F8 – удалить (Рис. 3.27). При нажатии клавиши F5 – выгрузить в файл и Alt+F7 – загрузить из файла (Рис. 3.27). Эти две операции служат для облегчения труда администратора изделия. Первая позволяет выгрузить указанный курсором описатель таблицы MAC-адресов в файл, вторая позволяет создать новую таблицу MAC-адресов и загрузить в нее содержимое таблицы из файла. Имя файла и имя таблицы запрашиваются дополнительно. Информация о таблицах MAC-адресов, переносимая в файл, хранится в нем в бинарном виде. F4 – распечатать в файл (Рис. 3.27). При нажатии клавиши - связать созданную ранее таблицу, содержащую список MAC-адресов, с соответствующим физическим L2–Eth-интерфейсом или Ethernet-интерфейсом. Выполнив первый этап организации процесса фильтрации входящих Ethernet-кадров на соответствие ограниченным спискам MAC-адресов – создание и наполнение соответствующей таблицы MAC-адресами доверенных сетевых устройств, следует выполнить второй этап – настройку конкретного сетевого интерфейса на использование при функционировании созданной таблицы MAC-адресов (см. раздел 2.3.1, Рис. 2.9, с. 29). 3.3. Трансляция сетевых адресов (NAT/PAT-обработка) Технология трансляции сетевых адресов (технология NAT) предполагает продвижение пакета во внешней (глобальной) сети на основании IP-адресов (или IP-адресов и портов), отличающихся от тех, которые используются для маршрутизации пакета во внутренней (корпоративной) сети. Одной из наиболее частых причин использования технологии NAT является дефицит реальных глобальных IP-адресов. В этом случае для адресации узлов во внутренних сетях используются специально зарезервированные с этой целью частные (приватные) IP-адреса (подробнее см. RFC 1597). Чтобы узлы с частными IP-адресами могли связываться между собой через внешние (глобальные) сети или с узлами глобальных сетей, следует применять технологию NAT. Использование технологии NAT также полезно, когда из соображений безопасности желательно скрыть IP-адреса узлов своей внутренней IP-сети, чтобы не дать возможности наблюдателю, находящемуся во внешней (глобальной) сети, составить представление о структуре и масштабах корпоративной IP-сети, а также о структуре и интенсивности исходящего и входящего трафиков отдельных узлов внутренней IP-сети. Механизм NAT-обработки встроен в полный алгоритм работы маршрутизаторов изделия (см. раздел 3.5, с. 127) и стереотипно реализуется любым из блоков маршрутизации изделия – БНМ или БВМ – при обработке трафиков IP-пакетов, циркулирующих через их сетевые интерфейсы. Тактика применения механизма NAT-обработки зависит от тех задач, которые администрация ЗСПД предполагает решать, планируя цели применения конкретного изделия. Примечание. Необходимо отметить, что фигурирующие в NAT-обработке понятия внутренних и внешних сетевых интерфейсов маршрутизатора, реализующего NAT-обработку, не следует смешивать с понятиями принадлежащих БВМ внутренних сетевых интерфейсов и принадлежащих БНМ внешних сетевых интерфейсов изделия. Содержание механизма трансляции сетевых адресов NAT (Network Address Translator) составляет автоматическая (после соответствующей настройки) подмена IP-адресов (NAT-обработка) или номеров портов (NAT/PAT-обработка) в заголовках IP-датаграмм, проходящих через NAT-обработчик соответствующего блока маршрутизации изделия. Алгоритм подмены IP-адресов (или IP-адресов и номеров портов) зависит от направления движения IP-датаграммы и от выбранного администратором для применения в ЗСПД варианта NAT- или NAT/PAT-обработки, обеспечиваемого изделием: - для исходящих IP-датаграмм NAT-обработчик заменяет IP-адрес отправителя (поле |