Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под

112
Глава 3. Средства защиты при передаче данных через сети
- для входящих IP-датаграмм NAT-обработчик заменяет IP-адрес получателя (поле Destination
Address IP-заголовка);
- для исходящих IP-датаграмм NAT/PAT-обработчик заменяет номер порта отправителя (поля Source
Address и поля Source Port IP-заголовка);
- для входящих IP-датаграмм NAT/PAT-обработчик заменяет номер порта получателя (поля Destination
Address и поля Destination Port IP-заголовка).
При решении своей основной задачи – подмены оригинального IP-адреса источника датаграммы – NAT- обработчик помогает решать и задачу оптимизации использования адресного пространства сети Internet, а также служит средством сокрытия структуры внутренних IP-сетей Пользователя и средством их защиты от несанкционированного доступа со стороны сетей общего пользования. Последнее обстоятельство позволяет отнести NAT-обработку к средствам защиты информации.
3.3.1.
Основы NAT-обработки
Введем несколько определений, необходимых для дальнейшего изложения. Воспользуемся схемой, представленной на Рис. 3.29 (схема иллюстрирует работу одного из блоков маршрутизации изделия).
Реальное адресное пространство – множество IP-адресов, доступных для распределения между участниками IP-сети. Любой реальный IP-адрес используется в сети Internet или будет использоваться в ближайшем будущем.
Фиктивное адресное пространство – множество IP-адресов, которые не могут быть использованы в качестве реальных IP-адресов. Рекомендацией RFC 1597 в качестве фиктивных определены следующие блоки
IP-адресов:
1 сеть класса A
16 сетей класса B
255 сетей класса C
10.0.0.0
172.16.0.0
192.168.0.0
- 10.255.255.255
- 172.31.255.255
- 192.168.255.255
Внутренняя сеть – защищаемая от внешнего воздействия IP-сеть Пользователя. Как правило, в случае применения NAT в качестве средства защиты информации внутренняя IP-сеть использует фиктивное адресное пространство.
Внутренний интерфейс – интерфейс (интерфейсы) маршрутизатора изделия, обслуживающий подключение к внутренней, с точки зрения NAT-обработки, IP-сети.
Внешняя сеть – совокупность внешних, с точки зрения NAT-обработки, внутренних IP-сетей Пользователя, каналов связи, маршрутизаторов и хостов. Внешняя сеть работает, как правило, в реальном пространстве
IP-адресов. Именно в ней находятся необходимые абонентам внутренней IP-сети информационные ресурсы, а также рабочие станции злоумышленников, пытающихся проникнуть в защищаемые внутренние IP-сети.
Внешний интерфейс – интерфейс (интерфейсы) маршрутизатора изделия, обслуживающий подключение к внешней, с точки зрения NAT-обработки, IP-сети.
Рис. 3.29 Принципы работы механизма NAT/PAT-обработки, обеспечиваемой маршрутизатором
NAT-обработчик в маршрутизаторе отделяет внутреннюю (с точки зрения NAT/PAT-обработки) IP-сеть от внешней IP-сети. Внутренняя IP-сеть, как правило, работает в фиктивном адресном IP-пространстве.

Глава 3. Средства защиты при передаче данных через сети 113
В процессе своей работыNAT/PAT-обработчик транслирует значения IP-адресов (и, возможно, и значения портов) в заголовках IP-пакетов, обрабатываемых сетевыми интерфейсами маршрутизатора; при этом
NAT-обработчик должен идентифицировать, какой интерфейс является внутренним, а какой – внешним.
В простейшем (базовом) варианте NAT-обработчик осуществляет трансляцию:
-
IP-адресов интерфейсов внутренней IP-сети (фиктивных IP-адресов) в IP-адреса интерфейсов внешней
IP-сети (реальные IP-адреса) – для исходящих IP-датаграмм;
-
IP-адресов интерфейсов внешней IP-сети (реальных IP-адресов) в IP-адреса интерфейсов внутренней
IP-сети (фиктивные IP-адреса) – для входящих IP-датаграмм.
С появлением NAT-обработчика у всех абонентов внутренней и внешней IP-сетей возникает по два IP-адреса: первый – IP-адрес абонента в своей IP-сети (внутренней или внешней); второй – IP-адрес абонента, видимый из другой IP-сети. Эти адреса могут совпадать, но могут быть и разными, поскольку NAT-обработчик изменяет
IP-адреса в проходящих через него IP-датаграммах. Определим эти IP-адреса абонентов следующим образом.
Внутренний локальный адрес (ILA – inside local address) – IP-адрес, присвоенный хосту или рабочей станции внутренней IP-сети Пользователя из фиктивного (не зарегистрированного) адресного
IP-пространства.
Внутренний глобальный адрес (IGA – inside global address) – реальный (зарегистрированный)
IP-адрес, по которому может быть доступна станция или хост внутренней IP-сети из внешней IP-сети.
Внешний глобальный адрес (OGA – outside global address) – реальный IP-адрес узла во внешней
IP-сети, под которым владелец узла регистрирует его в сети Internet. Адрес выделяется из IP-пространства глобально маршрутизируемых IP-адресов или сетевых IP-адресов.
Внешний локальный адрес (OLA – outside local address) – IP-адрес узла во внешней IP-сети; это
IP-адрес узла назначения IP-датаграммы, по которому хост может быть вызван со станций внутренней
IP-сети Пользователя; этот IP-адрес может совпадать с реальным IP-адресом узла, но может быть и фиктивным.
NAT-обработчик может использовать различные алгоритмы вычисления значений IP-адресов, подставляемых в поля заголовка IP-датаграммы вместо их исходных значений. Существует множество вариантов алгоритмов
NAT-обработки.
Изделие обеспечивает поддержку двух вариантов алгоритмов NAT-обработки:
-
NAT-обработка со статической таблицей;
-
NAT-обработка с перегрузкой адреса.
Подробнее алгоритмы NAT-обработки рассмотрены в последующих подразделах настоящего РНУ. Здесь отметим только следующее: программа управления изделием, реализуя алгоритмы NAT-обработки, не выполняет преобразований OLA  OGA и OGA  OLA (внешнего локального адреса во внешний
глобальный адрес и обратно). Это означает, что изделие обеспечивает доступ из внутренней (с точки зрения NAT/PAT-обработки) IP-сети только к узлам с реальными IP-адресами; NAT-обработчик при этом считает, что внешний локальный IP-адрес совпадает с внешним глобальным IP-адресом (OLA = OGA).
3.3.2. NAT-
обработка со статической таблицей IP-адресов
Для исходящих IP-датаграмм IP-адрес отправителя IP-датаграммыподвергается преобразованию: ILA  IGA
(внутренний локальный адрес преобразуется во внутренний глобальный адрес).
Для входящих IP-датаграмм IP-адрес получателя IP-датаграммы подвергается преобразованию IGA  ILA
(внутренний глобальный адрес преобразуется во внутренний локальный адрес). NAT-обработка со статической таблицей обеспечивает взаимно-однозначное преобразование адресов, т. е. каждому
внутреннему локальному адресу ставится в соответствие один внутренний глобальный адрес.
Алгоритм NAT-обработки со статической таблицей рассмотрим на примере схемы, представленной на Рис. 3.30
(схема иллюстрирует работу одного блока маршрутизации).
1. Рабочая станция с IP-адресом 192.168.1.2 должна установить соединение с хостом по IP-адресу
213.36.96.8
, для чего отправляет IP-датаграмму-запрос на установление соединения с ним.
2. При получении IP-датаграммы от рабочей станции соответствующий блок маршрутизации изделия извлекает из нее IP-адрес отправителя (192.168.1.2) и проверяет наличие в NAT-таблице записи с внутренним локальным IP-адресом, равным 192.168.1.2. Если такой записи нет, то IP-датаграмма снимается с доставки.
3. Если запись найдена, то NAT-обработчик соответствующего блока маршрутизации заменяет в IP-адресе отправителя IP-датаграммы внутренний локальный IP-адрес соответствующим внутренним глобальным

114
Глава 3. Средства защиты при передаче данных через сети
IP-адресом и отправляет модифицированную IP-датаграмму во внешнюю сеть. В примере локальному
IP-адресу 192.168.1.2 поставлен в соответствие внутренний глобальный IP-адрес 201.15.36.2.
4. Получив IP-датаграмму, хост посылает ответ на нее по IP-адресу 201.15.36.2.
5. При получении IP-датаграммы из внешней сети NAT-обработчик соответствующего блока маршрутизации извлекает из нее IP-адрес получателя (201.15.36.2) и проверяет наличие в NAT-таблице записи с внутренним глобальным IP-адресом, равным 201.15.36.2. Если такой записи нет, то IP-датаграмма снимается с доставки.
6. Если запись найдена, то NAT-обработчик соответствующего блока маршрутизации заменяет в IP-адресе получателя IP-датаграммы внутренний глобальный IP-адрес соответствующим внутренним локальным IP- адресом и отправляет модифицированную IP-датаграмму во внутреннюю сеть. В примере глобальному
IP-адресу 201.15.36.2 поставлен в соответствие внутренний локальный адрес 192.168.1.2.
7. Рабочая станция с IP-адресом 192.168.1.2 получает ответ на свой запрос и продолжает дальнейшую работу.
Шаги 2 – 6 описанной процедуры выполняются для каждой IP-датаграммы.
Рис. 3.30 Схема NAT-обработки со статической таблицей
При NAT-обработке со статической таблицей NAT-обработчик может дополнительно выполнять замену портов в заголовках IP-датаграмм (механизм PAT – Port Address Translator):
- для исходящих IP-датаграмм преобразуется порт отправителя IP-датаграммы (поле Source Port IP- заголовка);
- для входящих IP-датаграмм преобразуется порт получателя IP-датаграммы (поле Destination Port
IP-заголовка).
Для того чтобы выполнялась трансляция портов (PAT-обработка), надо в записях статической таблицы в дополнение к IP-адресам ввести номера портов.
Преобразование портов выполняется по следующим правилам.
1. При получении IP-датаграммы от рабочей станции NAT-обработчик соответствующего блока маршрутизации извлекает из нее IP-адрес и номер порта отправителя и проверяет наличие в NAT-таблице записи с таким же значением номера порта и с внутренним локальным IP-адресом, совпадающим с IP-адресом отправителя.
2. Если запись найдена, то NAT-обработчик соответствующего блока маршрутизации заменяет значение порта отправителя в IP-датаграмме соответствующим значением из статической таблицы (если требуется, преобразует и IP-адрес в соответствии с записью таблицы) и отправляет модифицированную IP-датаграмму во внешнюю сеть.
3. При получении IP-датаграммы из внешней сети NAT-обработчик соответствующего блока маршрутизации извлекает из нее IP-адрес и номер порта получателя и проверяет наличие в NAT-таблице записи с таким же значением номера порта и с внутренним глобальным IP-адресом, совпадающим с IP-адресом получателя.

Глава 3. Средства защиты при передаче данных через сети 115
4. Если запись найдена, то NAT-обработчик соответствующего блока маршрутизации заменяет значение порта получателя в IP-датаграмме соответствующим значением из статической таблицы (если требуется, преобразует и IP-адрес в соответствии с записью таблицы) и отправляет модифицированную IP-датаграмму во внутреннюю сеть.
Отметим основные свойства NAT-обработки со статической таблицей.
1) Выполняется замена IP-адресов и/или портов в заголовках IP-датаграмм с использованием статической таблицы соответствия внутренних локальных (внутренних) адресов/портов внутренним глобальным
(внешним) адресам/портам.
Замечание
.
Внутренними и внешними обозначены соответственно внутренние локальные и внутренние глобальные IP-адреса и порты в статической таблице экрана настройки NAT-обработчика (см. Рис. 3.34, с. 118).
2) Статическая таблица устанавливает взаимно-однозначное соответствие внутренних ивнешних
IP-адресов всех входящих в таблицу станций внутренней сети. NAT-обработка со статической таблицей
(без трансляции портов) никакой экономии адресного пространства IP-адресов не обеспечивает, так как
каждому фиктивному IP-адресу необходимо поставить в соответствие реальный IP-адрес. Наличие
PAT-обработки адресное пространство экономит. Кроме того, PAT-обработка обеспечивает маскировку стандартных сервисов, которые получают нестандартные номера портов.
3) Сформированная статическая таблица (в отличие от динамической, рассмотренной ниже) присутствует в соответствующих маршрутизаторах постоянно, следовательно, записи таблицы, устанавливающие правила преобразования внутренних адресов/портов во внешние и обратно, доступны NAT-обработчикам соответствующих маршрутизаторов постоянно. Это означает, что никаких защитных функций для указанных в таблице станций внутренней сети NAT-обработчик не выполняет, поскольку любая станция внешней сети может обратиться по реальному IP-адресу к станции внутренней сети и NAT-обработчик пропустит такое обращение.
4) Ко всем станциям, указанным в статической таблице, возможны обращения из внешней IP-сети, следовательно, эти станции можно использовать в качестве хостов для предоставления информационных услуг как абонентам внутренней IP-сети, так и абонентам внешней IP-сети. Причем, абоненты внутренней
IP-сети должны вызывать эти хосты по их внутренним IP-адресам, а абоненты внешней сети – по
внешним IP-адресам.
Учитывая рассмотренные свойства, можно сделать следующий вывод.
NAT-обработчик со статической таблицей нужно применять для расположенных во внутренней IP-сети информационных хостов, к которым необходим доступ из внешней IP-сети. NAT-обработчик не обеспечивает информационную безопасность этих хостов, поэтому для них обязательно надо предусмотреть использование других защитных функций изделия в первую очередь IP-фильтров (см. раздел 3.2, с. 89).
3.3.3. NAT-
обработка с перегрузкой IP-адреса
Адрес перегрузки является внутренним глобальным IP-адресом (IGA), в который преобразуется множество внутренних локальных IP-адресов (ILA). Операция перегрузки адреса обеспечивает преобразование множества внутренних локальных IP-адресов в один внутренний глобальный IP-адрес и обратно.
Для исходящих IP-датаграмм IP-адрес отправителя датаграммы подвергается преобразованию ILA  Адрес
перегрузки (внутренний локальный IP-адрес преобразуется в IP-адрес перегрузки). Для входящих
IP-датаграмм IP-адрес получателя датаграммы подвергается преобразованию Адрес перегрузки  ILA
(адрес перегрузки преобразуется во внутренний локальный IP-адрес).
Алгоритм перегрузки адреса NAT-обработчиком рассмотрим на примере схемы, представленной на Рис. 3.31.
1. Рабочая станция с адресом 192.168.1.2 должна установить соединение (например, по протоколу Telnet) с хостом по IP-адресу 213.36.96.8, для чего отправляет IP-датаграмму-запрос на установление соединения с ним.
2. При получении IP-датаграммы от рабочей станции NAT-обработчик соответствующего маршрутизатора извлекает из нее IP-адрес отправителя (192.168.1.2), IP-адрес получателя (213.36.96.8), протокол
(TCP), номер порта отправителя (1726) и номер порта получателя (23). Проверяется наличие в NAT-таблице записи, у которой протокол, внутренний локальный IP-адрес и номер порта, внешний глобальный IP-адрес и номер порта совпадают с данными IP-датаграммы. Если запись есть, то
NAT-обработчик соответствующего маршрутизатора заменяет в IP-адресе отправителя IP-датаграммы внутренний локальный IP-адрес адресом перегрузки (201.15.36.254) и отправляет модифицированную
IP-датаграмму во внешнюю сеть.
Замечание. NAT-обработчик маршрутизатора, выполняя в исходящей IP-датаграмме замену внутреннего локального IP-адреса отправителя IP-адресом перегрузки, для устранения неоднозначности при работе разных станций внутренней сети с одним IP-адресом во внешней

116
Глава 3. Средства защиты при передаче данных через сети
сети автоматически меняет и номер порта отправителя. Вместо номера порта отправителя подставляет порядковый номер – число, начиная с 10001 до 20000.
Наличие уникального номера порта решает проблемы с возможными конфликтами работы через NAT-обработчик с нескольких рабочих станций.
3. Если запись не найдена, то в рабочую NAT-таблицу помещается новая запись, у которой в столбец
«Внутренний глобальный адрес и номер порта» заносится IP-адрес перегрузки (201.15.36.254) и номер порта отправителя (1726).
4. NAT-обработчик соответствующего маршрутизатора заменяет в IP-датаграмме IP-адрес отправителя со значения 192.168.1.2 на значение 201.15.36.254 и отправляет модифицированную
IP-датаграмму во внешнюю сеть.
5. Получив IP-датаграмму, хост посылает ответ на нее по IP-адресу 201.15.36.254.
6. При получении IP-датаграммы из внешней сети NAT-обработчик соответствующего маршрутизатора извлекает из нее IP-адрес отправителя (213.36.96.8), IP-адрес получателя (201.15.36.254), протокол
(TCP) и номера портов отправителя (23) и получателя (1726). Проверяется наличие в NAT-таблице записи, у которой протокол, внешний глобальный IP-адрес с номером порта и внутренний глобальный IP-адрес с номером порта совпадают с данными IP-датаграммы. Если искомой записи нет, то IP-датаграмма без всяких преобразовании пропускается на дальнейшую обработку (на маршрутизацию).
7. Если запись найдена, то из нее извлекается внутренний локальный IP-адрес (192.168.1.2),
NAT-обработчик соответствующего маршрутизатора заменяет в IP-датаграмме IP-адрес получателя со значения 201.15.36.254 на значение 192.168.1.2 и отправляет модифицированную
IP-датаграмму во внутреннюю сеть.
8. Рабочая станция с IP-адресом 192.168.1.2 получает ответ на свой запрос и продолжает дальнейшую работу.
Шаги 2-6 описанной процедуры выполняются для каждой IP-датаграммы.
Рис. 3.31 Схема NAT-обработки с перегрузкой IP-адреса
Отметим основные свойства NAT-обработки с перегрузкой IP-адреса.
1. Выполняется динамическая замена IP-адресов отправителей (станций внутренней сети) на IP-адрес перегрузки и обратная замена IP-адреса перегрузки на IP-адреса получателей (станций внутренней сети).
Все станции внутренней сети работают с внешней сетью, используя единственный реальный IP-адрес –
IP-адрес перегрузки. В результате обеспечивается существенная экономия адресного IP-пространства сети Internet.
2. Реализуется защита доступа к станциям внутренней сети из внешней, поскольку записи в рабочей
NAT-таблице создаются только по запросам из внутренней сети и немедленно удаляются по окончании сеанса связи станции внутренней сети с хостом внешней сети.
Замечание. Для защиты от злоумышленников доступ из внешней сети по фиктивным адресам внутренней сети должен быть блокирован с помощью IP-фильтров (см. раздел 3.2, с. 89).

Глава 3. Средства защиты при передаче данных через сети 117
Учитывая рассмотренные свойства, можно сделать следующий вывод: NAT-обработчик с перегрузкой IP-адреса следует применять для защиты рабочих станций внутренней сети от внешнего воздействия.
Для информационных хостов, расположенных во внутренней сети и требующих доступа из внешней сети,
NAT-обработчик с перегрузкой IP-адреса не пригоден (он полностью блокирует доступ из внешней сети во внутреннюю). Для этих хостов необходимо использовать NAT-обработчик со статической таблицей.
3.3.4.