Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под
 Скачать 7.28 Mb.
|
|
Полный алгоритм NAT-обработки При прохождении IP-датаграмм через NAT-обработчик соответствующего маршрутизатора NAT-обработке подвергаются только те из них, которые соответствуют записям NAT-таблиц, статической или динамической. Примечание. Напомним, что статическая таблица присутствует постоянно в неизменном виде. Записи в динамическую таблицу заносятся по инициативе абонентов, работающих по внутренним интерфейсам NAT-обработчика; эти записи автоматически удаляются из таблицы по окончании сессии работы абонента. Если на интерфейс изделия приходит IP-датаграмма, то для нее ведется поиск соответствующей записи в статической и динамической NAT-таблицах. Если запись найдена (вне зависимости от того, в какой таблице), то делается NAT-преобразование и IP-датаграмма отправляется дальше. Если записи нет и IP-датаграмма пришла из внутреннего интерфейса NAT-обработчика, то образуется новая запись в динамической таблице, IP-датаграмма преобразуется и отправляется дальше. Если IP-датаграмма пришла не из внутреннего интерфейса NAT-обработчика, то она без всяких преобразований пропускается на дальнейшую обработку (на маршрутизацию). 3.3.5. Настройка NAT-обработчика Для того чтобы обеспечить выполнение рассмотренных выше операций, NAT/PAT-обработчик должен быть предварительно настроен. Настройку NAT-обработчика будем рассматривать на примере схемы, представленной на Рис. 3.32. Рис. 3.32 Пример схемы, поясняющей процесс настройки NAT/PAT-обработчика В процессе подготовки NAT/PAT-обработчика к функционированию следует выполнить следующие шаги по настройке изделия: 1. Указать предназначенный для обслуживания внутренней (в смысле NAT/PAT-обработки) IP-сети интерфейс как внутренний, а предназначенный для обслуживания внешней (в смысле NAT/PAT-обработки) IP-сети интерфейс указать как внешний. 2. Указать значение IP-адреса перегрузки. 3. Сформировать статическую NAT/PAT-таблицу. Чтобы выполнить первый шаг настройки (отметить внутренние и внешние интерфейсы для NAT/PAT-обработки), следует выбрать цепочку альтернативу ГМ: Настройка Интерфейсы. 118 Глава 3. Средства защиты при передаче данных через сети В ответ на видеомонитор ЛКУ будет выдан экран создания и настройки сетевых интерфейсов изделия, аналогичный представленному на Рис. 3.33. На этом экране внутренние (в смысле NAT/PAT-обработки) интерфейсы отмечены красным цветом, внешние – зеленым. Интерфейсы, для которых NAT/PAT-обработка отключена, – черным. Чтобы изменить статус NAT/PAT-обработки для интерфейса, следует перевести курсор на строку описания соответствующего интерфейса и нажать клавишу Рис. 3.33 Экран создания и настройки сетевых интерфейсов изделия Для выполнения второго и третьего шагов процесса настройки (соответственно задать IP-адрес перегрузки и создать статическую NAT/PAT-таблицу) следует выбрать цепочку альтернатив ГМ: Настройка Защита NAT/PAT-параметры. В ответ на видеомонитор ЛКУ будет выдан экран настройки NAT/PAT-обработчика соответствующего маршрутизатора изделия, аналогичный представленному на Рис. 3.34. Рис. 3.34 Экран настройки основных параметров NAT/PAT-обработчика маршрутизатора изделия Адрес “перегрузки” (Рис. 3.34). При нажатии клавиши Рис. 3.35 Меню выбора режима работы программы управления с параметром Адрес перегрузки Выбор того или иного режима работы с параметром Адрес перегрузки означает следующее: Не установлен – NAT/PAT-обработчик не будет работать с адресом перегрузки. Автоматический – в качестве адреса перегрузки будет использован локальный IP-адрес внешнего (в смысле NAT/PAT-обработки) интерфейса. Если внешних интерфейсов несколько, то NAT/PAT- обработчик будет подставлять в качестве адреса перегрузки локальный IP-адрес того интерфейса, по которому будет выполняться доставка конкретной IP-датаграммы во внешнюю сеть. Фиксированный – адресом перегрузки будет заданное этим полем значение IP-адреса. Глава 3. Средства защиты при передаче данных через сети 119 Ограничение сессий (Рис. 3.34). Параметр позволяет ограничить количество NAT-сессий (записей в динамической NAT-таблице), которые могут быть установлены с одной рабочей станции. Умалчиваемое значение параметра – 0, при этом ограничений на количество NAT-сессий нет. Изменить значение порога ограничения можно с помощью клавиши Размер таблицы (Рис. 3.34). Параметр задает размер оперативной памяти в блоках (страницах), выделяемой под NAT-таблицу. Один блок содержит 2048 записей. Умалчиваемое значение параметра – 1. Если требуется больший размер, следует нажать клавишу Статическая NAT/PAT-таблицa (Рис. 3.34). Нижнее поле экрана настройки NAT/PAT-обработчика содержит строки с ранее созданными записями NAT/PAT-таблицы или это поле еще не заполнено. Для создания новой записи таблицы служат клавиши Добавить:F7-NAT (Рис. 3.34). При нажатии клавиши IP-адреса с указанием числа значащих в адресе бит (длины маски). Добавить:F5-PAT (Рис. 3.34). При нажатии клавиши IP-адреса с указанием числа бит и значений портов. На Рис. 3.36 представлены примеры меню настроек записей NAT/PAT статической NAT/PAT-таблицы. F7 - NAT F5 - PAT Рис. 3.36 Примеры меню настроек записей NAT или PAT статической NAT/PAT-таблицы Enter – изменить (Рис. 3.34). При нажатии клавиши F8 – удалить (Рис. 3.34). Нажатие клавиши NAT/PAT-таблицы, на строку описателя которой был установлен курсор. 3.3.6. Пример использования NAT-обработчика Рассмотрим, как с помощью NAT-обработки можно обеспечить обмен данными между одной локальной сетью (внутренней) и другой локальной сетью – внешней (см. схему на Рис. 3.32, с. 117). Пусть внутренняя локальная сеть организации объединяет три узла и несколько рабочих станций. Провайдером во внешней сети для организации выделена подсеть на восемь IP-адресов 195.166.164.96/29 (маска 255.255.255.248 – т.е. 29 значащих бит). В соответствии с правилами маршрутизации для нужд организации в этом случае могут быть использованы шесть IP-адресов: с IP-адреса 195.166.164.97 по IP-адрес 195.166.164.102 включительно. Из этих шести выделенных для организации работы сети IP-адресов: два используются на линии с провайдером: интерфейс lan_ext, локальный IP-адрес интерфейса – 195.166.164.97, IP-адрес шлюза провайдера – 195.166.164.102; один IP-адрес резервируется под адрес перегрузки – 195.166.164.98; три оставшихся IP-адреса из реального пространства IP-адресов (195.166.164.99 – 195.166.164.101 ) отданы трем узлам, находящимся в локальной сети. В результате к узлам можно прислать вызов из внешней сети. Рабочие станции используют IP-адрес перегрузки. Они не могут быть вызваны из внешней сети, они могут только вызывать сами и получить ответ на вызов. Все рабочие станции организации будут использовать внутренние (фиктивные) IP-адреса сети 192.168.1.0/24. Для реализации работы изделия согласно указанной схеме (см. Рис. 3.32, с. 117).необходимо выполнить следующие действия на соответствующем маршрутизаторе изделия. 1. Создать интерфейсы (выбором цепочки альтернатив ГМ: Настройка Интерфейсы F7 - создать). В полученном списке описателей интерфейсов (см. Рис. 3.33, с. 118 или Рис. 2.1, с. 22) отметить интерфейс lan_ext как «NAT-внешний» (зеленый цвет на экране), а интерфейс lan – как «NAT-внутренний» (красный цвет). 120 Глава 3. Средства защиты при передаче данных через сети 2. Заполнить таблицу NAT-параметров, выбрав цепочку альтернатив ГМ: Настройка Защита NAT/PAT- параметры (см. Рис. 3.34, с. 118). 3. Записать выполненные изменения параметров в БпО и перезапустить изделие. После выполнения указанных действий NAT-обработчик соответствующего маршрутизатора обеспечит следующий режим работы. Из внешней сети маршрутизатор будет доступен по IP-адресу 195.166.164.97. Из внутренней сети маршрутизатор будет доступен по IP-адресу 192.168.1.1. Хосты внутренней сети с IP-адресами 192.168.1.31, 192.168.1.32, 192.168.1.33 будут доступны из внешней сети (и сами смогут выходить во внешнюю сеть) под IP-адресами 195.166.164.99, 195.166.164.100, 195.166.164.101 соответственно. Остальные рабочие станции локальной сети 192.168.1.0/24 смогут выходить во внешнюю сеть, при этом для них NAT-обработчик соответствующего маршрутизатора будет подставлять в качестве адреса отправителя IP-адрес 195.166.164.98. Послать вызов на эти станции из внешней сети нельзя. Датаграммы из внешней сети, пришедшие на IP-адрес 195.166.164.97 и на порт 25 (SMTP), будут перенаправляться на сервер с IP-адресом 192.168.1.33 в соответствии с NAT/PAT-таблицей (см. Рис. 3.34, с. 118). Адрес 195.166.164.97 в нашем примере является адресом изделия, поэтому из всех IP-датаграмм, пришедших на этот IP-адрес, только IP-датаграммы, пришедшие на порт 25, будут для изделия транзитными и будут переданы на другой сервер, остальные будут обрабатываться самим изделием. Замечание. В рассмотренном примере (Рис. 3.32, с. 117) в качестве адреса перегрузки можно было использовать локальный IP-адрес внешнего интерфейса 195.166.164.97. Значение адреса перегрузки, отличного от локального адреса внешнего интерфейса, необходимо только для целей трассировки, чтобы можно было отделить поток датаграмм для станций внутренней сети от потока датаграмм к собственным сервисам соответствующего маршрутизатора изделия. 3.3.7. Оперативный контроль и управление состоянием NAT-обработчика В процессе работы обслуживающий персонал изделия может отслеживать текущее состояние NAT/PAT- обработчика любого из маршрутизаторов (БВМ или БНМ) и выполнять отдельные операции с целью анализа функционирования NAT/PAT-обработки. Для этих целей следует выбрать цепочку альтернатив ГМ: Диагностика NAT. Полученное в ответ меню выбора режима визуального контроля NAT/PAT-обработки (Рис. 3.37) содержит две альтернативы – Конфигурация и Рабочая таблица. Рис. 3.37 Меню выбора режима визуального контроля NAT/PAT-обработки Конфигурация (Рис. 3.37).Выбор альтернативыпозволяет просмотреть параметры настройки NAT/PAT-обработчика соответствующего маршрутизатора. Выбор альтернативы приводит к выводу на видеомонитор ЛКУ экрана настройки этого NAT-обработчика (см. Рис. 3.34, с. 118). Рабочая таблица (Рис. 3.37). Альтернативаслужит для просмотра текущего состояния динамической NAT/PAT-таблицы соответствующего маршрутизатора. Выбор альтернативы приводит к выводу на видеомонитор ЛКУ экрана текущего состояния динамической NAT/PAT-таблицы маршрутизатора, аналогичного представленному на Рис. 3.38. Средняя часть экрана текущего состояния динамической NAT/PAT-таблицы маршрутизатора представляет собой динамически изменяемую таблицу, заполненную текущими записями. Параметры записей, регистрируемых в NAT/PAT-таблице, заносятся в колонки таблицы, описание которых приведено ниже: T − время жизни записи в секундах. При создании записи в рабочей NAT-таблице поле T получает исходное значение, зависящее от протокола (услуги): 1800 - протокол TCP; 180 - протокол UDP; 60 - услуга DNS (UDP по порту 53). Исходное значение уменьшается на единицу каждую секунду. При достижении нуля запись из таблицы удаляется. Пока запись существует, при каждом ее использовании в поле T восстанавливается исходное значение. При завершении TCP-соединений (после получения пакетов FIN или RST) поле T получает значение 30. Глава 3. Средства защиты при передаче данных через сети 121 Прот − номер протокола: 0 – поле не используется; 1 – ICMP; 4 – TNL; 6 – TCP; 17 – UDP. Фл − флаги состояния записи: 00 – запись образуется в соответствии с алгоритмом перегрузки адреса; 80 – запись заменяет предыдущую для завершающегося TCP-соединения (получен пакет FIN или RST); Внутренний локальный − внутренний локальный адрес и номер порта. Внутренний глобальн. − внутренний глобальный адрес и номер порта. Внешний глобальный − внешний глобальный адрес и номер порта. Рис. 3.38 Экран текущего состояния динамической NAT/PAT-таблицы маршрутизатора Enter – параметры (Рис. 3.38). При установке курсора на интересующую строку записи в общей NAT/PAT-таблице и нажатии клавиши Рис. 3.39 Развернутый формат представления параметров записей NAT/PAT-таблицы F8 – сбросить (Рис. 3.38). При установке курсора на интересующую строку записи в общей NAT/PAT-таблице и нажатии клавиши Рис. 3.40 Сведения о текущих технических характеристиках при работе с NAT/PAT-таблицей 122 Глава 3. Средства защиты при передаче данных через сети F3 – окно счетчиков (Рис. 3.38). При нажатии клавиши (см. раздел 3.3.5, с. 117), текущее количество записей трансляции на каждой странице и прочие технические характеристики, полезные для анализа работы изделия как обслуживающему персоналу изделия, так и его разработчику. F6 – распечатать (Рис. 3.38). При нажатии клавиши 3.4. Групповая замена ключевых документов Поддержка функционирования ЗСПД (всех ее звеньев, включая изделия защиты) в высокой степени готовности зависит от успешного решения Администрацией ЗСПД ряда задач. Одной из этих задач является обеспечение синхронной в масштабе ЗСПД замены ключевых документов (КД), используемых работающими в сети криптотуннелями; замена выполняется периодически на всех изделиях защиты в регулируемые Администрацией ЗСПД сжатые сроки. 3.4.1. Общие сведения Для обеспечения защиты трафика, передаваемого через сети общего пользования, следует на этапе подготовки изделий криптозащиты к совместной работе в составе ЗСПД создать и настроить на каждом из этих изделий те виды криптотуннелей и то их количество, которые обеспечат необходимую функциональность ЗСПД в целом – необходимую топологию сети, связь субъектов обмена в ней, защищенный обмен между ее различными криптозонами, реализацию функций удаленного управления изделиями защиты, повышенную надежность их работы, резервирование защищенных трактов передачи данных и пр. Для обеспечения функционирования криптотуннелей необходимо на этапе подготовки конкретного изделия к работе выполнить загрузку в него ключевых документов, определенных Администрацией ЗСПД. Соответствующие ключевые документы должны быть загружены и во все удаленные изделия ЗСПД, с которыми локальному изделию предстоит обмениваться защищаемыми данными (по криптотуннелям). Это одно из основных требований, без выполнения которого нормальное функционирование ЗСПД невозможно. Срок действия, в течение которого изделия защиты в составе ЗСПД могут использовать ключевые документы одной серии (с одним и тем же значением криптопараметра номер серии ключей), ограничен. Для обеспечения функционирования ЗСПД после срока, в течение которого разрешено использовать КД одной серии, необходимо до окончания срока действия КД выполнить процедуру перехода всех изделий ЗСПД на работу с ключевыми документами другой серии– только в этом случае будет обеспечена информационно- криптографическая совместимость при обмене по криптотуннелям между изделиями защиты в сети. Замена КД на локальном и удаленном изделиях защиты должна быть выполнена одновременно (синхронно). В противном случае защищенный обмен по криптотуннелю, установленному между этими изделиями защиты, станет невозможным, и функционирование ЗСПД на данном направлении обмена нарушится. Для сохранения работоспособности ЗСПД в целом это требование должно быть соблюдено для всех существующих криптотуннелей (направлений защищенного обмена) сети. От степени синхронности выполнения требуемой процедуры перехода на работу с КД новой серии зависит период времени, в течение которого функционирование ЗСПД нарушается из-за отсутствия информационно-криптографической совместимости. Очевидно, что время перехода ЗСПД на работу с КД новой серии следует сокращать. С этой целью в изделиях защиты нового поколения реализован механизм автоматической замены ключевых документов в соответствии с графиком их замены, определяемым Администрацией ЗСПД. 3.4.2. |