Файл: Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под.pdf

Глава 2 Организация работы изделия с сетями передачи данных 67
4. Туннельный интерфейс TNL2 (см. разделы 2.4.2, с. 39 и 2.3.1, с. 25)
Тип – TNL.
Принадлежность маршрутизатору – общий.
Имя интерфейса – TNL2.
Идентификатор туннеля – 48.
Локальный IP-адрес – 10.1.1.2.
Удаленный IP-адрес – 10.1.1.1.
Таблица маршрутов. Адрес – 192.168.1.0.
Значащих бит – 24.
Адрес шлюза – 0.0.0.0.
Метрика маршрута –0.
Метка –0.
Шифрование потока. Шифрование потока – ДА.
Версия криптоалгоритма – vМПМ.
Номер серии ключей –1001.
Локальный криптономер –8.
Удаленный криптономер –4.
Номер ключевой зоны –0.
Максимальный размер IP-датаграмм (MTU) – 1500.
Дополнительные параметры. Описание – произвольный текст.
Формат заголовка – TNL.
Метка туннеля – 0.
Контроль состояния – Нет.
Скорость передачи – 0.
Скорость приема – 0.
Специальные настройки. Запретить обработку: – пакетов DHCP-протокола;
– пакетов RIP-протокола;
– Multicast-датаграмм;
– Cluster-пакетов.
2.9.2.
Настройка изделий для обмена Ethernet-кадрами на L2-уровне
На Рис. 2.55 представлена логическая схема организации связи между Изделиями № 1 и № 2, поясняющая особенности настройки изделий для обеспечения обмена Ethernet-кадрами на L2-уровне. Изделия смонтированы согласно монтажной схеме, представленной на Рис. 2.53.
Чтобы схема (Рис. 2.55) заработала, на каждом из Изделий № 1 и № 2 следует выполнить:
- общие настройки обоих маршрутизаторов;
- на каждом из изделий создать и настроить необходимые для обмена Ethernet-кадрами на L2-уровне следующие сетевые интерфейсы и криптотуннели:
- в составе Изделия № 1:
- принадлежащий БВМ физический сетевой интерфейс типа L2–Eth с именем L2_ETH1;
- принадлежащий БНМ физический сетевой интерфейс типа Ethernet с именем ExtETH1;
- общий туннельный интерфейс типа L2–TNL с именем L2_TNL1;
- в составе Изделия № 2:
- принадлежащий БВМ физический сетевой интерфейс типа L2–Eth с именем L2_ETH2;
- принадлежащий БНМ физический сетевой интерфейс типа Ethernet с именем ExtETH2;
- общий туннельный интерфейс типа L2–TNL с именем L2_TNL2.

68
Глава 2 Организация работы изделия с сетями передачи данных
10.1.1.0/24 192.168.1.0/24
1
2
2
4
L2-TNL-
интерфейс
Идентиф. криптотуннеля ID = 57
10.1.1.1 -> 10.1.1.2 1001 5 -> 7 0
1
N
Ключи:
Серия
1001
Номер
5
0 1
M
10.1.1.1 192.168.1.1 192.168.1.0/24
3
1
0 1
N
Ключи:
Серия
1001
Номер
7
0 1
M
Оборудование
Пользователя 1
Оборудование
Пользователя 2
Криптотуннель ID = 57
10.1.1.2 192.168.1.2
ExtETH1
L2_TNL1
L2_TNL2
L2_ETH1
L2_ETH2
п о р т ы Б Н М
п о р т ы Б Н М
п о р т ы Б В М
п о р т ы Б В М
ExtETH2
Изделие
№ 1
Изделие
№ 2
Рис. 2.55 Логическая схема организации связи между изделиями при обмене Ethernet-кадрами на L2-уровне
Ниже приведены значения основных параметров, которые следует присвоить при создании и настройке перечисленных элементов технологии обработки трафика Ethernet-кадров на L2-уровне.
Изделие № 1
1. Общие параметры маршрутизаторов
Параметры TCP/IP (см. раздел 4.1.2, с. 130)
Собственный IP-адрес: наружный – 10.1.1.1; внутренний – 192.168.1.1 .
Время жизни IP-датаграмм (TTL) – 32.
Максимальный размер TCP-пакета (MSS) – 512.
Размер TCP-окна (Window) – 8192.
2. Сетевой физический интерфейс ExtETH1 (см. раздел 2.3.1, с. 25)
Тип – Ethernet.
Принадлежность маршрутизатору – наружный.
Имя интерфейса – ExtETH1.
Локальный IP-адрес – 10.1.1.1/24.
Удаленный IP-адрес – 0.0.0.0.
Максимальный размер IP-датаграмм (MTU) – 1600.
Дополнительные параметры. Номер порта – 0.
Интерфейс – автоопределение.
Режим работы – автоопределение.
Специальные настройки. Запретить обработку: – пакетов DHCP-протокола;
– пакетов RIP-протокола;
– Multicast-датаграмм;
– Cluster-пакетов.
3. Сетевой физический интерфейс L2_ETH1 (см. раздел 2.3.2, с. 33)
Тип – L2–Eth.
Принадлежность маршрутизатору – внутренний.
Имя L2-интерфейса – L2_ETH1.
Имя L2-туннеля – L2_TNL1.

Глава 2 Организация работы изделия с сетями передачи данных 69
Дополнительные параметры. Номер порта – 1.
Интерфейс – автоопределение.
Режим работы – автоопределение.
4. Туннельный интерфейс L2_TNL1 (см. разделы 2.4.5, с. 49)
Тип – L2–TNL.
Принадлежность маршрутизатору – общий.
Имя интерфейса – L2_TNL1.
Идентификатор туннеля – 57.
Локальный IP-адрес – 10.1.1.1.
Удаленный IP-адрес – 10.1.1.2 (формат ввода: адрес/бит; маршрутная таблица при этом серая).
Шифрование потока. Шифрование потока – ДА.
Версия криптоалгоритма – vМПМ.
Номер серии ключей –1001.
Локальный криптономер –5.
Удаленный криптономер –7.
Номер ключевой зоны –0.
Дополнительные параметры. Описание – произвольный текст.
Формат заголовка – TNL.
Метка туннеля – 0.
Контроль состояния – Нет.
Скорость передачи – 0.
Скорость приема – 0.
Изделие № 2
1. Общие параметры маршрутизаторов
Параметры TCP/IP (см. раздел 4.1.2, с. 130)
Собственный IP-адрес: наружный – 10.1.1.2; внутренний – 192.168.1.2 .
Время жизни IP-датаграмм (TTL) – 32.
Максимальный размер TCP-пакета (MSS) – 512.
Размер TCP-окна (Window) – 8192.
2. Сетевой физический интерфейс ExtETH2 (см. раздел 2.3.1, с. 25)
Тип – Ethernet.
Принадлежность маршрутизатору – наружный.
Имя интерфейса – ExtETH2.
Локальный IP-адрес – 10.1.1.2/24.
Удаленный IP-адрес – 0.0.0.0.
Максимальный размер IP-датаграмм (MTU) – 1600.
Дополнительные параметры. Номер порта – 0.
Интерфейс – автоопределение.
Режим работы – автоопределение.
Специальные настройки. Запретить обработку: – пакетов DHCP-протокола;
– пакетов RIP-протокола;
– Multicast-датаграмм;
– Cluster-пакетов.
3. Сетевой физический интерфейс L2_ETH2 (см. раздел 2.3.2, с. 33)
Тип – L2–Eth.
Принадлежность маршрутизатору – внутренний.
Имя L2-интерфейса – L2_ETH2.

70
Глава 2 Организация работы изделия с сетями передачи данных
Имя L2-туннеля – L2_TNL2.
Дополнительные параметры. Номер порта – 1.
Интерфейс – автоопределение.
Режим работы – автоопределение.
4. Туннельный интерфейс L2_TNL2 (см. разделы 2.4.5, с. 49)
Тип – L2–TNL.
Принадлежность маршрутизатору – общий.
Имя интерфейса – L2_TNL2.
Идентификатор туннеля – 57.
Локальный IP-адрес – 10.1.1.2 (формат ввода: адрес/бит; маршрутная таблица при этом серая).
Удаленный IP-адрес – 10.1.1.1.
Шифрование потока. Шифрование потока – ДА.
Версия криптоалгоритма –

3.
Средства защиты при обмене данными через сети
Общие сведения о средствах защиты. Архитектура защищенных сетей передачи данных, как правило, представляет собой совокупность множества территориально удаленных локальных сетей (внутренних сегментов ЗСПД), в которых циркулирует информация Пользователя. Доступ к этой информации регламентирует Пользователь ЗСПД.
Для обеспечения информационного обмена между локальными сетями Пользователя внутренние сегменты
ЗСПД подключают к внешним сегментам ЗСПД – сетям общего пользования (сети операторов связи, сеть
Интернет и пр.). Через каналы связи сетей общего пользования осуществляется транспортировка информации
Пользователя между внутренними сегментами ЗСПД.
Создавая средства, обеспечивающие защиту информации при таком обмене, необходимо учитывать, что:
- информация Пользователя в сетях общего пользования может быть перехвачена;
- в сетях общего пользования могут находиться: источники нежелательного (паразитного) входящего трафика; источники, осуществляющие попытки несанкционированного доступа извне к информации во внутренних сегментах; источники трафика, представляющего собой атаку на внутренние сегменты ЗСПД, и пр.;
- во внутренних сетях Пользователя также могут находиться источники нежелательного исходящего трафика.
Рассматриваемые в настоящем Руководстве изделия обладают набором средств, обеспечивающих решение задачи защиты информации с учетом указанных выше аспектов. Краткие сведения об этих средствах приведены ниже.
С целью выполнения функций защиты передаваемой через сети общего пользования информации Пользователя изделие используется в качестве пограничного криптографического маршрутизатора – криптомаршрутизатора
(устройства L3-уровня) или пограничного средства организации криптографических мостов – криптомостов
(устройства L2-уровня), наведенных через внешние сегменты ЗСПД между ее внутренними сегментами, как представлено на схеме применения изделия в составе ЗСПД (см. Рис. 3.1).
Рис. 3.1 Схема применения изделия в составе ЗСПД
С помощью сетевых интерфейсов БВМ изделие подключается к защищаемым локальным сетям Пользователя, а с помощью сетевых интерфейсов БНМ – к сетям общего пользования. Таким образом, БВМ и БНМ изделия обеспечивают маршрутизацию IP-потоков данных или обработку потоков Ethernet-кадров в подключенных к изделию сетях внутреннего и внешнего сегментов ЗСПД соответственно, а БКО изделия выполняет специальные преобразования исходящих и входящих IP-потоков данных или потоков Ethernet-кадров.
Ниже приведены краткие сведения о функциональном наборе средств защиты, предоставляемых изделием
Администрации ЗСПД и администратору изделия.
1. Криптографические
туннели
(криптотуннели).
Поддерживаемые изделием механизмы криптографического туннелирования в общем случае предусматривают при передаче данных инкапсуляцию
(упаковку) отобранных в туннель исходных IP-датаграмм (L3-уровень) или исходных Ethernet-кадров
(L2-уровень) после их соответствующей криптообработки во вновь формируемую т.н. транспортную
IP-датаграмму, которая через сети общего пользования доставляется получателю, где из нее извлекается исходная IP-датаграмма или исходный Ethernet-кадр. Применяемый в изделии алгоритм криптообработки обеспечивает гарантированную стойкость, поэтому даже в случае перехвата передаваемых через сети общего пользования туннелированных транспортных IP-датаграмм не происходит утечки информации
Пользователя. Криптотуннели являются единственным каналом двунаправленного обмена информацией между БВМ и БНМ изделия.
Подробнее о работе криптотуннелей см. раздел 3.1, с. 73.
2. Фильтрация IP-датаграмм. Поддерживаемый изделием механизм фильтрации на сетевом уровне предусматривает наличие фильтров входящих и исходящих потоков IP-датаграмм на каждом из сетевых интерфейсов, физических или виртуальных, а также на внутреннем (служебном) интерфейсе обоих маршрутизаторов изделия – БВМ и БНМ. Анализ IP-датаграмм и принятие решения о дальнейшем

72
Глава 3. Средства защиты при передаче данных через сети
алгоритме их обработки принимается автоматически на основе правил фильтрации, формируемых администратором изделия при настройке. Механизм составления правил фильтрации обеспечивает необходимую глубину и гибкость, позволяющие изделию успешно отражать информационные атаки, бороться с нежелательными (паразитарными) входящим и исходящим трафиками, а также с попытками несанкционированного доступа извне к информации во внутренних сегментах ЗСПД – в ЛВС Пользователя.
Примечание. Отметим, что механизм фильтрации IP-датаграмм работает на сетевом уровне –
L3-уровне модели OSI.
Подробнее о работе с фильтрами IP-датаграмм см. раздел 3.2.1, с. 90.
3. Трансляция сетевых адресов (NAT/PAT-обработка). Поддерживаемый изделием механизм
NAT/PAT-обработки предусматривает выполнение трансляции IP-адресов заголовков исходящих и входящих IP-датаграмм из одного множества IP-адресов в другое, определяемое при настройке изделия, поэтому использование механизма NAT-обработки обеспечивает полное сокрытие внутренней структуры
(внутреннего адресного пространства) защищаемых сетей, усложняя неосведомленным пользователям реализацию несанкционированного доступа извне к информации, размещенной во внутренних сегментах
ЗСПД. Кроме того, применение NAT-обработки позволяет назначать рабочим станциям защищаемых сетей
Пользователя IP-адреса из фиктивных (т.н. приватных) областей адресов (например, 192.168.х.х), помогая решать задачу оптимизации использования ограниченного адресного пространства сетей, организованных согласно системным требованиям internet/intranet-технологии.
Подробнее о работе с транслятором сетевых адресов см. раздел 3.3, с. 111.
4. Групповая замена ключевых документов. Известно, что стабильная и устойчивая работа ЗСПД нередко нарушается в периоды регламентной замены ключевых документов, когда обслуживающий персонал в сжатые сроки в масштабе всей ЗСПД вручную выполняет перевод работы изделий защиты с одной серии ключевых документов на другую. Изделием поддерживается механизм групповой замены
ключевых документов, который позволяет обслуживающему персоналу изделий выполнить заранее вручную подготовительные операции к переводу работы изделия защиты с одной серии КД на другую и после этого в сжатый промежуток времени, установленный заранее администрацией ЗСПД, автоматически перевести обмен данными между криптоузлами в масштабе всей ЗСПД с предыдущей серии КД на новую.
Подробнее о работе механизма групповой замены ключевых документов см. раздел 3.4, с. 122.
5. Фильтрация трафика с применением таблиц MAC-адресов. Изделием поддерживается механизм фильтрации на канальном уровне физическими интерфейсами изделия (Ethernet-интерфейсами и L2–Eth- интерфейсами) входящего трафика Ethernet-кадров. Критерием приема на дальнейшую обработку изделием поступившего на его физический интерфейс Ethernet-кадра является наличие MAC-адреса отправителя кадра в связанной с данным интерфейсом таблице, предварительно настроенной администратором изделия.
Принимаемые из сети Ethernet-кадры, MAC-адрес отправителя (источника генерации) которых отсутствует в соответствующей таблице MAC-адресов, изделием игнорируются, что повышает защитные свойства и устойчивость работы изделия на фоне сетевых атак.
Примечание. Отметим, что механизм фильтрации Ethernet-кадров с применением таблиц MAC- адресов работает на канальном уровне – L2-уровне модели OSI.
Подробнее о работе механизма фильтрации Ethernet-кадров с применением таблиц
MAC-адресов см. раздел 3.2.2, с. 109.
6. Регистрация событий. Механизм регистрации событий, поддерживаемый изделием, позволяет протоколировать сведения о проходящем через изделие трафике, включая факты попыток несанкционированного доступа и нарушения штатного режима работы изделия.
Анализ зарегистрированных событий позволяет обслуживающему персоналу принять дополнительные меры повышения эффективности работы средств защиты.
Подробнее о работе механизма регистрации событий см. раздел 8.2, с. 181.
Настройка и управление средствами защиты изделия осуществляется с помощью цепочки альтернатив ГМ:
Настройка  Защита, после выбора которой на экран видеомонитора ЛКУ выводится меню, представленное на Рис. 3.2. Описание средств защиты, доступ к которым организован через это меню, приведено ниже.
Рис. 3.2 Меню выбора средств защиты передаваемых по сетям данных

Глава 3. Средства защиты при передаче данных через сети 73
3.1.
Криптографические туннели
Основным назначением изделия является защита информации Пользователя, передаваемой из одного защищаемого сегмента ЗСПД в другие защищаемые сегменты через сети общего пользования, в которых эта информация может быть перехвачена. Информация Пользователя передается через сети общего пользования в зашифрованном виде. Механизмом, реализующим функцию передачи информации Пользователя в зашифрованном виде по каналам связи между удаленными защищаемыми сегментами ЗСПД, является криптографический туннель – криптотуннель.
Изделия обеспечивают администратору возможность применения нескольких видов криптотуннелей.
Пусть имеются две локальные сети, обслуживающие территориально удаленные объекты одной организации, и ставится задача взаимного IP-доступа рабочих станций одной сети к информационным ресурсам другой через открытую IP-сеть общего пользования (например, сеть Internet).
Поставленная задача может быть решена путем установки в составе каждой защищаемой локальной сети изделий в качестве пограничных криптомаршрутизаторов или пограничных средств организации криптомостов
(криптографических шлюзов) и организации с помощью криптошлюзов виртуальных криптографически защищенных каналов связи между локальными сетями через сети общего пользования – криптографических туннелей (криптотуннелей).
Принципы организации криптографически защищенных соединений, поддерживаемых изделием, соответствуют общим принципам, предложенным технологией IPSec (RFC 2401 и сопутствующие документы), но реализация этой технологии в изделии имеет свои особенности.
Криптографический туннель между изделиями может быть реализован путем создания на каждом из пары изделий, образующих криптотуннель, описателя криптотуннеля, использующего механизмы:
- статического криптотуннеля;
- туннельного TNL-интерфейса;
- туннельного L2–TNL-интерфейса.
Шифратором изделия обеспечивается одновременное функционирование до 256 криптотуннелей, образованных с помощью любого из механизмов их поддержки (статических криптотуннелей,
TNL-интерфейсов или L2–TNL-интерфейсов).
Примечание. При организации работы криптотуннелей с помощью механизмов
TNL-интерфейсов или статических криптотуннелей обеспечивается защищенная передача трафика IP-датаграмм между изделиями на L3-уровне; при организации криптотуннелей с помощью механизма L2–TNL-интерфейсов обеспечивается защищенная передача трафика
Ethernet-кадров между изделиями на L2-уровне.
При криптообработке изделием IP-датаграмм на L3-уровне (использование изделия в качестве криптомаршрутизатора) применение криптотуннелей, реализованных путем создания TNL-интерфейсов, дает следующие преимущества по сравнению с применением статических криптотуннелей:
- упрощается и ускоряется процесс отбора датаграмм в туннель при их отправке (отбор выполняется по одному параметру – IP-адресу назначения – в процессе обычной маршрутизации IP-датаграммы);
-
TNL-интерфейсы, в отличие от статических криптотуннелей, обеспечивают поддержку механизма
приоритизации трафика (QoS-приоритизацию);
- упрощается процесс конфигурирования криптотуннеля – он выполняется как стандартное конфигурирование сетевого интерфейса, не требуется составления правил отбора в криптотуннель, как этого требует организация статического криптотуннеля.
Тем не менее, в ряде случаев применение механизма статических криптотуннелей может оказаться
предпочтительнее, т.к. статические криптотуннели позволяют при настройке более точно и избирательно очертить круг отбираемых в криптотуннель IP-датаграмм (хотя это и требует соответствующей квалификации администратора).
Примечание. При функционировании изделия в качестве криптомаршрутизатора (при криптообработке изделием IP-датаграмм на L3-уровне) обеспечивается нормальное функционирование криптотуннеля между изделиями и в том случае, когда на одном из изделий криптотуннель образован как статический, а на другом – как TNL-интерфейс (при условии совпадения в описателях этих криптотуннелей соответствующих криптопараметров).
В изделии реализована возможность конвертирования описателя статического туннеля в описатель
TNL-интерфейса (см. Рис. 2.1, с. 22, функция Alt+F7 – конв.туннели в интерфейсы).
Процедуры создания и настройки TNL-интерфейсов описаны в разделе 2.4.2, с. 39, создания и настройки
статических туннелей – в разделе 3.1.1.2, с. 78, создания и настройки L2–TNL-интерфейсов – в разделе 2.4.5, с. 49.