Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под
 Скачать 7.28 Mb.
|
|
Настройка Защита График замен ключей (см. Рис. 3.2, с. 72). В ответ на видеомонитор ЛКУ будет выдан аналогичный представленному на Рис. 3.42 экран расписания (графика) автозамены ключевых документов, содержащий записи графика автозамены ключевых документов (изначально график пустой). В средней части экрана (Рис. 3.42) представлены строки, содержащие записи расписания замены КД, имеющих идентификаторы номеров серий: 1, 2, 3 и 4, на КД, соответственно, с реальными номерами серий: 1001, 1002, 1003 и 1004. Управление записями расписания выполняется с помощью функциональных клавиш, назначение которых приведено в нижней части экрана (Рис. 3.42). Рис. 3.42 Экран расписания автозамены ключевых документов F7 – добавить (Рис. 3.42). Нажатие клавиши Для создания и настройки записи надо заполнить поля бланка. Рис. 3.43 Бланк создания и настройки записей графика автозамены ключевых документов Номер серии (Рис. 3.43) − переместить курсор на строку бланка и нажать клавишу В поле запроса надо ввести значение номера серии КД, заменяемой в перспективе согласно этой строке расписания, после чего нажать клавишу Примечание. В поле запроса может быть введено значение реального номера серии КД, если планируется, например, использовать ключи этой серии до первой замены. Глава 3. Средства защиты при передаче данных через сети 127 Заменить на (Рис. 3.43) − переместить курсор на строку бланка и нажать клавишу В поле запроса надо ввести реальный номер серии КД, заменяющей в перспективе предыдущую согласно этой строке расписания, после чего нажать клавишу Дата (Рис. 3.43) − переместить курсор на строку бланка и нажать клавишу Следует ввести в поле запроса значение даты замены в перспективе согласно этой строке расписания номера серии КД в предложенном формате и нажать клавишу Время (Рис. 3.43) − переместить курсор на строку бланка и нажать клавишу Следует ввести в поле запроса значение времени замены в перспективе согласно этой строке расписания номера серии КД в предложенном формате и нажать клавишу Примечание. При заполнении бланка поля Дата иВремя могут остаться не заполненными (указаны пустые значения этих параметров). Это означает, что будут созданы статические записи расписания замены КД; при наличии в графике только статических записей автозамена КД изделием выполняться не будет (подробнее см. раздел 3.4.2 , с. 122). После ввода значения времени замены номера создание (и настройка) строки расписания заканчивается и курсор перемещается в бланк создания и настройки записей графика автозамены ключевых документов (Рис. 3.43). Далее следует проверить правильность параметров настроенной строки расписания и нажать клавишу F8 – удалить (Рис. 3.42). После нажатия клавиши Enter – изменить (Рис. 3.42). Установив курсор в списке ранее созданных записей на строку расписания, параметры которой необходимо откорректировать, нажать клавишу 3.5. Алгоритм работы маршрутизаторов изделия В состав каждого из маршрутизаторов изделия (БВМ или БНМ) включены обработчики всех средств защиты, поддерживаемых изделием. Максимальный уровень защиты информации Пользователя в аспектах обеспечения ее конфиденциальности, целостности и доступности достигается использованием всех возможных средств защиты: криптотуннелей (туннельных сетевых интерфейсов и/или статических туннелей), IP-фильтров и NAT-обработчиков. Для правильного конфигурирования средств защиты требуется понимание полного алгоритма работы маршрутизатора с учетом последовательности этапов обработки IP-датаграмм и обеспечения функционирования всех средств защиты. Обобщенное описание алгоритма работы маршрутизатора изделия приведено ниже. После получения каждой IP-датаграммы через один из Ethernet-интерфейсов любого из маршрутизаторов ее дальнейшая обработка выполняется по приведенным ниже правилам. Обработка осуществляется в виде последовательности этапов, выполняемых один за другим тем или иным средством, обеспечиваемым изделием. Замечание. Если в процессе обработки датаграммы тот или иной этап алгоритма оказывается не востребованным администратором при настройке изделия (например, не будет выполняться п. 3 приведенной ниже последовательности этапов обработки, если на соответствующем маршрутизаторе не включен NAT-обработчик), то выполняется переход к следующему этапу обработки. 1. Входной контроль датаграммы: проверяются формат, длина и контрольная сумма поступившей через Ethernet-интерфейс датаграммы. При отрицательном результате проверки датаграмма снимается с дальнейшей обработки. 128 Глава 3. Средства защиты при передаче данных через сети 2. Фильтрация поступившей датаграммы по набору правил входного фильтра того сетевого интерфейса, по которому пришла датаграмма. Если результат проверки окажется отрицательным, датаграмма снимается с дальнейшей обработки. 3. NAT-обработка входящей датаграммы. 4. Извлечение поступившей датаграммы из GRE-туннеля. 5. Извлечение поступившей датаграммы из криптотуннеля (с помощью БКО). 6. Из датаграммы извлекается IP-адрес назначения. Используя значение параметра Собственный IP-адрес маршрутизатора (см. раздел 4.1.2, с. 130), значения параметров Локальный IP-адрес для всех сетевых (физических и виртуальных) интерфейсов маршрутизатора, а также содержание маршрутных записей сетевых (физических и виртуальных) интерфейсов маршрутизатора, сформированных с помощью значений параметра Таблица маршрутизатора, маршрутизатор проверяет, не предназначена ли IP-датаграмма собственно маршрутизатору, выполняющему обработку датаграммы (точнее, одному из его прикладных сервисов или служб). 7. Если датаграмма адресована прикладному сервису, то она отправляется по назначению, и на этом обработка датаграммы маршрутизатором заканчивается. Если датаграмма является транзитной, то обработка продолжается. 8. Упаковка датаграммы в криптотуннель, если такая обработка предусмотрена правилами отбора (для статического криптотуннеля). 9. Маршрутизация. Маршрутизатор, пользуясь своей маршрутной таблицей, определяет, по какому интерфейсу должна быть отправлена эта датаграмма. Если для ее отправки пригодны несколько интерфейсов, то из них выбирается оптимальный – интерфейс с меньшим значением параметра Метрика. Если маршрутной таблицей маршрутизатора датаграмма направляется в TNL-интерфейс, то выполняется упаковка датаграммы в криптотуннель (с помощью БКО). Если маршрутизатор не найдет подходящего интерфейса, то датаграмма будет снята с доставки и уничтожена. Отправителю будет послано соответствующее ICMP-сообщение. 10. Фильтрация отправляемой датаграммы по набору правил выходного фильтра интерфейса, выбранного для отправки. Если результат проверки окажется отрицательным, датаграмма снимается с доставки. 11. NAT-обработка исходящей датаграммы. 12. Фрагментация датаграммы в соответствии с параметром MTU (максимально возможный размер датаграммы) выбранного интерфейса. 13. Отправка датаграммы. Датаграмма передается выбранному интерфейсу. Интерфейс преобразует датаграмму в поток данных (инкапсуляция датаграммы) в соответствии со своим типом (протоколом инкапсуляции) и выполняет отправку. 4. Настройка отдельных параметров В настоящем разделе рассмотрена настройка отдельных параметров конфигуратора изделия, влияющих на работу каждого из блоков маршрутизации изделия (БВМ или БНМ). Эти параметры не объединены общим смысловым значением, поэтому в настоящем руководстве их описание будет приведено в порядке, определяемом их следованием в двух меню: - в представленном на Рис. 4.1 меню настройки параметров маршрутизатора изделия, выдаваемом на видеомонитор ЛКУ в ответ на выбор цепочки альтернатив ГМ: Настройка Параметры; - в представленном на Рис. 4.24, с. 146 меню настройки различных дополнительных параметров маршрутизатора изделия, выдаваемом на видеомонитор ЛКУ в ответ на выбор цепочки альтернатив ГМ: Настройка Разное. 4.1. Настройка Параметры Рис. 4.1 Меню настройки параметров маршрутизатора изделия Примечание. Цепочка альтернатив: Настройка Параметры Архив конфигураций доступна только при подключении блока ЛКУ к БНМ изделия. Далее в настоящем разделе приведены пояснения, необходимые для правильной настройки этих параметров. 4.1.1. Настройка Параметры Основные константы В ответ на выбор цепочки альтернатив ГМ: Настройка Параметры Основные константы на видеомонитор ЛКУ выдается меню настройки основных параметров TCP/IP-компонента маршрутизатора изделия, аналогичное представленному на Рис. 4.2. Рис. 4.2 Меню настройки основных параметров маршрутизатора изделия Количество TCB-блоков (Рис. 4.2). Параметр определяет количество обрабатываемых программой управления TCB-блоков. Каждый TCB-блок управляет одним TCP-соединением, устанавливаемым между сервисами изделия и абонентами. Заданное количество TCB-блоков устанавливает разрешенное количество одновременно существующих TCP-соединений. Умалчиваемое значение параметра устанавливается равным 8+4*N, где N – количество TCP-портов, имеющихся в конфигурации соответствующего маршрутизатора (в стандартной конфигурации четыре TCP-порта, количество TCB-блоков 8+4*4=24). Администратор может изменить это значение, исходя из условий эксплуатации изделия. Максимально разрешенное количество блоков – 450. Размер буфера каждого TCB-блока (Рис. 4.2). Параметр определяет объем буфера памяти (в килобайтах), резервируемого под TCB-блок для хранения данных. Значение должно быть не меньше удвоенного размера TCP-окна (см. ниже Параметры TCP/IP Размер TCP-окна (Window), с. 131). Лучше – больше, если позволяет память. Максимально возможное значение – 64 Кб. Количество Proxy-буферов (Рис. 4.2). Параметр не используется. 130 Глава 4. Настройка отдельных параметров Режим работы в кластере (Рис. 4.2). Параметр позволяет запустить изделие в режиме Master или в режиме Slave (о работе изделия в составе кластера см. раздел 7, с. 174). Параметр Режим работы в кластере (Рис. 4.2) может принимать значения: - MASTER - изделие будет запущено в режиме Master; - SLAVE – изделие будет запущено в режиме Slave; - нет – режим кластера не включен. Параметр Таймер (Рис. 4.2). Чтобы задать значение интервала таймера при работе изделия в составе кластера, надо переместить курсор на альтернативу таймер и нажать клавишу - для изделия в режиме Master параметр задает (в тиках; тик – около одной восемнадцатой секунды) периодичность, с которой изделие будет посылать технологический пакет-извещение, свидетельствующее о работоспособности изделия; - для изделия в режиме Slave параметр задает (в тиках) максимальное время ожидания изделием очередного пакета-извещения от изделия, работающего в режиме Master; если изделие, работающее в режиме Slave, в течение этого времени не получит пакет-извещение, то оно перейдет из режима работы Slave в режим работы Master. Значение параметра Таймер для изделия, работающего в режиме Slave, должно несколько превышать значение для изделия в режиме Master. Примечание. Конкретные значения параметра Таймер для изделий, работающих в режимах Master и Slave, зависят от условий применения кластера в составе ЗСПД. Рекомендуемые стартовые значения параметра Таймер: 10 – для изделия со статусом Master; 12 – для изделия со статусом Slave. Размер таблиц фильтров сессий (Рис. 4.2). Параметр определяет максимально возможное количество записей в фильтре сессий одного интерфейса (фильтры с отслеживанием состояния соединений – фильтры сессий – рассмотрены в разделе 3.2.1.8, с. 106). 4.1.2. Настройка Параметры Параметры TCP/IP В ответ на выбор цепочки альтернатив ГМ: Настройка Параметры Параметры TCP/IP на видеомонитор ЛКУ выдается меню настройки TCP/IP-параметров маршрутизатора изделия, аналогичное представленному на Рис. 4.3. Рис. 4.3 Меню настройки TCP/IP-параметров маршрутизатора изделия Собственный IP-адрес (Рис. 4.3). Параметр задает значения собственных IP-адресов маршрутизаторов: наружн.: собственный IP-адрес наружного маршрутизатора (БНМ); внутр. : собственный IP-адрес внутреннего маршрутизатора (БВМ). Время жизни IP-датаграмм (TTL) (Рис. 4.3). Параметр TTL (Time To Live) определяет максимальное количество узлов сети (маршрутизаторов), которое может быть пройдено IP-датаграммами на пути от точки отправления до адресата. Значением может быть целое число в диапазоне от 0 до 255. Умалчиваемое значение параметра – 32. Начальное значение TTL устанавливается в точке отправки IP-датаграммы. Каждый узел, обрабатывающий данную датаграмму, уменьшает значение TTL на единицу. Если значение TTL станет равным нулю, то IP-датаграмма будет снята с доставки, а отправителю датаграммы будет отправлено ICMP-сообщение о снятии датаграммы с доставки (Time Exceeded). Указанным способом ограничивается количество узлов сети, которое IP-датаграмма может пройти на пути к цели, что служит защитой от возможных маршрутных циклов. Глава 4. Настройка отдельных параметров 131 Максимальный размер TCP-пакета (MSS) (Рис. 4.3). Параметр MSS (Maximum Segment Size) определяет максимальный размер данных, которые могут быть отправлены удаленным TCP-процессом в одном TCP- пакете. Значением параметра может быть целое число в диапазоне от 0 до 2**16. Умалчиваемое значение параметра – 512. Рекомендуется устанавливать значение MSS в диапазоне от 256 до 1460. Размер TCP-окна (Window) (Рис. 4.3). Параметр определяет размер данных (в байтах), которые могут быть отправлены по TCP-каналу без ожидания подтверждения. Значением может быть целое число в диапазоне от 0 до 2**16. Умалчиваемое значение параметра – 8192. Обычно размер TCP-окна устанавливается кратным MSS (2*MSS, 4*MSS или более). Не рекомендуется устанавливать значение размера TCP-окна больше 8192. Разрешена работа PROXY-ARP (Рис. 4.3). В рамках функционирования физических сетевых интерфейсов изделия, обеспечивающих соединение изделия с локальными сетями, реализована поддержка ARP-протокола. С помощью ARP-протокола обеспечивается автоматическое определение MAC-адреса доставки IP-датаграммы в среде локальной сети по IP-адресу назначения IP-датаграммы. Поддержка ARP-протокола включает два компонента: клиентский и серверный. Клиентская часть обработчика ARP-протокола работает в тех случаях, когда для исходящих IP-датаграмм изделия следует найти соответствующий MAC-адрес в локальной сети. Серверная часть ARP-протокола работает в тех случаях, когда в изделие поступает входящий ARP-запрос от других маршрутизаторов локальной сети. ARP-запрос содержит IP-адрес и имеет следующий смысл: «Уважаемое устройство, не Ваш ли это IP-адрес? Если Ваш, то сообщите соответствующий ему MAC-адрес Вашего интерфейса». Если изделие считает указанный в запросе IP-адрес своим, то оно посылает по обратному адресу ARP-запроса ответ, содержащий MAC-адрес того интерфейса, который принял ARP-запрос. Набор IP-адресов, которые изделие считает своими, зависит от значения параметра Разрешена работа PROXY-ARP (Рис. 4.3). Если параметру присвоено значение НЕТ, изделие считает IP-адрес в ARP-запросе своим в следующих случаях. 1. IP-адрес в ARP-запросе совпадает с собственным IP-адресом соответствующего маршрутизатора изделия. 2. IP-адрес в ARP-запросе совпадает с локальным IP-адресом того интерфейса маршрутизатора, по которому получен ARP-запрос. 3. IP-адрес в ARP-запросе совпадает с IP-адресом перегрузки или с одним из реальных IP-адресов статической NAT-таблицы изделия. 4. Если в статической NAT-таблице в качестве внутреннего и внешнего адресов задан один и тот же IP-адрес и IP-адрес в ARP-запросе, пришедшем на внешний интерфейс NAT, совпадает с этим IP-адресом. Если параметр |