Файл: Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 29.04.2024
Просмотров: 228
Скачиваний: 10
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
92
Глава 3. Средства защиты при передаче данных через сети
ФВ_out – вспомогательный фильтр. С его помощью можно ввести дополнительные ограничения на доступ к ресурсам защищаемой сети со стороны внешней сети, а также со стороны прикладных протоколов изделия.
Рис. 3.19 Пример схемы применения IP-фильтров на сетевых интерфейсах изделия
3.2.1.2.
Управление IP-фильтрами изделия
Управление IP-фильтрами изделия, независимо от того, являются ли они системными, простыми IP-фильтрами или IP-фильтрами расширенного формата, выполняется по единой технологии, описанной в данном подразделе.
Для создания и настройки IP-фильтра следует выбрать цепочку альтернатив ГМ: Настройка Защита
Фильтры. В ответ будет выдан экран создания и настройки IP-фильтров, аналогичный представленному на Рис. 3.20.
Рис. 3.20 Экран создания и настройки IP-фильтров изделия
Средняя часть экрана содержит список имен ранее созданных IP-фильтров (изначально список пустой).
В верхней части экрана − стандартная информация о средствах навигации по списку.
Нижняя часть экрана содержит сведения о клавишах и их комбинациях, с помощью которых администратор изделия выполняет создание и настройку IP-фильтров.
Создание нового IP-фильтра выполняется в два этапа: сначала надо задать его имя, а потом сформировать список правил, его составляющих.
F7 – создать (Рис. 3.20). Нажатие клавиши
После ввода имени IP-фильтра на видеомонитор ЛКУ выводится экран редактора IP- фильтра (Рис. 3.21, с. 93), позволяющий сформировать список правил IP-фильтрации
(работа с редактором IP-фильтра описана ниже в разделе 3.2.1.3, с. 93).
Enter – редактировать (Рис. 3.20). Нажатие клавиши
F6 – переименовать (Рис. 3.20). Нажатие клавиши
Глава 3. Средства защиты при передаче данных через сети 93
В результате IP-фильтр, на имени которого в момент нажатия клавиши
F8 – удалить (Рис. 3.20). При нажатии клавиши
F5 – выгрузить в файл или Alt+F7 – загрузить из файла (Рис. 3.20). Эти две операции служат для облегчения труда администратора изделия. Первая позволяет выгрузить указанный курсором
IP-фильтр в файл, вторая позволяет создать новый IP-фильтр и загрузить в него содержимое IP-фильтра из файла. Имя файла и имя IP-фильтра для операции Alt+F7 – загрузить из файла запрашиваются дополнительно. Информация, переносимая из конфигуратора в файл, хранится в нем в бинарном виде.
F4 – распечатать в файл (Рис. 3.20). При нажатии клавиши
3.2.1.3.
Создание и редактирование простых IP-фильтров
Большинство задач, решаемых изделием с помощью IP-фильтрации, решаются применением простых фильтров.
Простые IP-фильтры включают только простые правила IP-фильтрации.
Создание и настройка простых правил IP-фильтрации. Перед тем как приступить к созданию правил
IP-фильтрации, надо выполнить первый шаг создания IP-фильтра − задать имя фильтра (согласно порядку, приведенному в разделе 3.2.1.2, с. 92). После этого в списке имен IP-фильтров на экране создания и настройки
IP-фильтров (Рис. 3.20, с. 92) появится заданное имя.
Примечание. Экран создания и настройки IP-фильтров (Рис. 3.20, с. 92) можно вызвать на видеомонитор ЛКУ в любой момент, выбрав цепочку альтернатив ГМ: Настройка
Защита Фильтры.
Для выполнения второго шага создания IP-фильтра (создание правил IP-фильтрации) надо в списке имен IP- фильтров (Рис. 3.20) перевести курсор на заданное имя и нажать клавишу
На верхней рамке указаны: в центре – имя IP-фильтра (в нашем примере –
FLT2
); слева – номер строки в списке имен IP-фильтров на экране создания и настройки IP-фильтров (Рис. 3.20, с. 92), на которую был установлен курсор перед нажатием клавиши
Рис. 3.21 Экран создания и настройки правил IP-фильтрации (редактор IP-фильтра)
В средней части экрана в удобной для просмотра форме отображаются строки описателей правил
IP-фильтрации, содержащие значения параметров правил IP-фильтрации (изначально, если IP-фильтр только что создан, строки отсутствуют).
Строки описателей расширенных правил IP-фильтрации на экране (Рис. 3.21) выводятся желтым цветом; описатели правил IP-фильтрации типа элемент расписания – зеленым; описатели заблокированных правил IP- фильтрации – красным.
Примечание. В настоящем разделе рассматривается создание (редактирование) только простых фильтров. Фильтры расширенного формата, содержащие расширенные правила и элементы расписания, рассмотрены ниже в разделе 3.2.1.6, с. 100.
Восклицательным знаком в первой позиции строки описателя отмечены те правила, для которых задано
фиксирование в журнале IP-датаграмм, подпадающих под значения параметров этого правила (параметр правила
1 ... 16 17 18 19 20 21 22 23 ... 48
Фиксировать имеет значение ДА – см. бланк создания и настройки простого правила IP-фильтрации, представленный на Рис. 3.22).
Нижняя часть экрана создания и настройки правил IP-фильтрации (Рис. 3.21) содержит сведения о клавишах, с помощью которых администратор изделия выполняет создание и настройку описателей правил IP-фильтрации.
94
Глава 3. Средства защиты при передаче данных через сети
F7 – создать (Рис. 3.21). При нажатии клавиши
Рис. 3.22 Бланк создания и настройки простого правила IP-фильтрации
Каждое правило IP-фильтрации является описателем одной операции проверки IP-датаграмм и включает параметры, назначение которых приведены ниже. Чтобы задать значение того или иного параметра, надо переместить курсор в соответствующее поле бланка и последовательно нажимать клавишу
Режим (Рис. 3.22) – параметр задает вид действия, которое будет применено к фильтруемой IP-датаграмме в случае совпадения параметров IP-датаграммы со значениями соответствующих параметров правила IP- фильтрации.
Параметр Режим может принимать следующие значения:
-
Разрешить – IP-датаграмма, соответствующая правилу, будет допущена IP-фильтром к дальнейшей обработке;
-
Запретить – IP-датаграмма, соответствующая правилу, будет заблокирована IP-фильтром (при этом IP-датаграмма сбрасывается, а в адрес отправителя формируется соответствующее ICMP- сообщение);
-
Сбросить – IP-датаграмма, соответствующая правилу, будет сброшена без отправки каких-либо сообщений в адрес отправителя;
-
Сессия –проверяемая IP-датаграмма будет допущена к дальнейшей обработке с отслеживанием состояния соединения (подробнее см. раздел 3.2.1.8, с. 106).
Примечание. Фильтры, в правилах фильтрации которых параметр Режим имеет одно из первых трех значений (Разрешить, Запретить, Сбросить), будем называть
обычными; фильтры, в правилах фильтрации которых параметр Режим имеет значение
Сессия, – фильтрами сессий.
Протокол (Рис. 3.22) – параметр задает проверку значения поля Протокол в заголовке IP-датаграммы.
Параметр Протокол в правилах IP-фильтрации может принимать следующие значения:
- ANY
– параметр Протокол в заголовке проверяемой IP-датаграммы может иметь любое значение;
- ICMP
– параметр Протокол в заголовке проверяемой IP-датаграммы имеет значение 1 (ICMP);
- TCP
– параметр Протокол в заголовке проверяемой IP-датаграммы имеет значение 6 (TCP);
- UDP
– параметр Протокол в заголовке проверяемой IP-датаграммы имеет значение 17
(UDP –протокол может использоваться для передачи туннелированных датаграмм);
- TNL
–параметр Протокол в заголовке проверяемой IP-датаграммы имеет значение 4
(IP in IP – протокол может использоваться для передачи туннелированных датаграмм).
Фиксировать (Рис. 3.22) - параметр определяет, будет ли записана в протокол (файл LOG_TCP.EMA) IP- датаграмма, параметры которой совпали с параметрами соответствующего правила IP-фильтрации (с указанием, прошла IP-датаграмма на дальнейшую обработку или заблокирована/сброшена). Возможны следующие значения параметра:
- ДА – IP-датаграмма будет записана в журнал;
- НЕТ
– IP-датаграмма не будет записана в журнал.
TCP-флаги (Рис. 3.22) - параметр позволяет задать проверку поля Флаги TCP-пакета. Поле TCP-флаги в правилах IP-фильтрации может принимать следующие значения:
-
НЕТ - проверка поля Флаги TCP-пакета не производится;
-
SYN – в TCP-пакете установлен флаг SYN и сброшен флаг ACK;
-
ACK – в TCP-пакете установлен флаг ACK, остальные флаги могут быть любыми.
Поле TCP-флаги в правилах IP-фильтрации имеет смысл только для IP-пакетов протокола TCP.
Глава 3. Средства защиты при передаче данных через сети 95
Порты
*
(Рис. 3.22) – перевод курсора в поле бланка Порты и последовательное нажатие клавиши
-
Порт отправителя и получателя;
-
Диапазон портов получателя;
-
Диапазон портов отправителя.
Выбрав требуемое значение, надо нажать клавишу
Порты 1025 -> 23
Порты (получатель) 22 - 23
При этом.
Значение параметра Порт отправителя и получателя позволяет указать необходимость проверки полей Порт отправителя и Порт получателя в заголовках TCP- или UDP- датаграмм, транспортируемых проверяемой IP-датаграммой. Параметры датаграммы считаются удовлетворяющими данному правилу IP-фильтрации, если соответствующие значения портов проверяемой датаграмм совпадают со значениями портов, заданными этим параметром правила.
Если одному или обоим значениям параметра присвоено нулевое значение, то проверка соответствующих полей фильтруемой IP-датаграммы не производится, т.е. любое значение портов проверяемой датаграммы считается удовлетворяющим данному правилу IP-фильтрации.
Значения Диапазон портов отправителя и Диапазон портов получателя позволяют указать необходимость проверки полей Порт отправления или Порт назначения в заголовках TCP- или UDP-датаграмм, транспортируемых проверяемой IP-датаграммой. Значение порта датаграммы считается удовлетворяющим данному правилу IP-фильтрации, если оно укладывается в диапазон, заданный соответствующим параметром правила.
Если параметр имеет нулевое значение, проверка соответствующего поля IP-датаграммы не производится, т.е. любое значение порта IP-датаграммы считается удовлетворяющим данному правилу IP-фильтрации.
Внимание! Простыми правилами IP-фильтрации можно задать только один диапазон значений портов. Если необходимо задать два диапазона, то можно воспользоваться
расширенными правилами IP-фильтрации, описанными в разделе 3.2.1.6 (с. 100).
Отправитель Адрес и Отправитель Зн. бит (Рис. 3.22) – параметры задают значения для проверки поля Адрес отправителя из заголовка фильтруемой IP-датаграммы. Проверка выполняется следующим образом: a) из заголовка IP-датаграммы извлекается значение поля Адрес отправителя; b) в извлеченном значении адреса оставляются без изменения старшие биты в количестве, указанном полем Отправитель Зн. бит, остальные – обнуляются; c) выполняется проверка совпадения полученного значения адреса со значением параметра правила
IP-фильтрации Отправитель Адрес.
Если поля Отправитель Адрес и Отправитель Зн. бит правила IP-фильтрации имеют нулевые значения, то никакой проверки IP-датаграммы не производится, т. е. любое значение адреса отправителя IP-датаграммы считается удовлетворяющим данному правилу IP-фильтрации.
Получатель Адрес и Получатель Зн. бит (Рис. 3.22) – параметры задают значения для проверки поля
Адрес получателя из заголовка фильтруемой IP-датаграммы. Проверка происходит следующим образом: a) из заголовка IP-датаграммы извлекается значение поля Адрес получателя; b) в извлеченном значении адреса оставляются без изменения старшие биты в количестве, указанном полем Получатель Зн. бит, остальные – обнуляются; c) выполняется проверка совпадения полученного значения адреса со значением параметра правила
IP-фильтрации Получатель Адрес.
*
В настоящем разделе понятие «порт» подразумевает порт, указывающий соответствующее приложение
Пользователя – подробнее см. раздел
Приложение А
(с. 214).
96
Глава 3. Средства защиты при передаче данных через сети
Если параметры Получатель Адрес и Получатель Зн.бит правила IP-фильтрации имеют нулевые значения, то никакой проверки IP-датаграммы не производится, т. е. любое значение адреса получателя
IP-датаграммы считается удовлетворяющим данному правилу IP-фильтрации.
Enter – редактировать (Рис. 3.21). При нажатии клавиши
F6
– перенести (Рис. 3.21). После первого нажатия клавиши
Замечание
.
Между первым и вторым нажатием клавиши
F2
– проверить (Рис. 3.21). При нажатии клавиши
F3 - блокировать элемент (Рис. 3.21). При нажатии клавиши
Замечание. Данная возможность является вспомогательной и служит в основном для целей отладки IP-фильтра. Операция блокирования правила равнозначна его удалению из списка, но позволяет впоследствии восстановить функциональность правила.
Две команды редактора фильтра Shift_F7 – создать расширенное правило и Alt_F7 – создать
элемент расписания (Рис. 3.21) служат для создания и настройки элементов IP-фильтров расширенного формата. Порядок их применения рассмотрен ниже в разделе 3.2.1.6, с. 100.
3.2.1.4.
Алгоритм работы простого IP-фильтра
При настройке изделия может быть сформировано большое количество IP-фильтров (поименованных наборов правил IP-фильтрации) с любыми (кроме системных IP-фильтров) именами.
Но сами по себе IP-фильтры являются просто хранилищами наполняющих их правил IP-фильтрации и могут не принимать никакого участия в работе изделия. IP-фильтры включаются в работу только в двух случаях.
1) Имя IP-фильтра указывается в качестве значения параметров Фильтр входящих или Фильтр
исходящих хотя бы для одного из сетевых интерфейсов изделия.
В этом случае указанный IP-фильтр будет активизирован в момент запуска интерфейса, с которым IP- фильтр связан, и начнет фильтровать соответствующий поток IP-датаграмм (входящий или исходящий).
2) IP-фильтру присваивается одно из системных имен.
IP-фильтры с системными именами активизируются в момент запуска изделия и используются в соответствии с приписанным данному системному имени назначением (см. раздел 3.2.1.7, с. 104).
Принятая интерфейсом, связанным с простыми IP-фильтрами, входящая или исходящая IP-датаграмма обрабатывается в соответствии с приведенным ниже алгоритмом.
1. Полученная интерфейсом очередная
IP-датаграмма соотносится программой управления с соответствующим IP-фильтром интерфейса – IP-фильтром входящих или исходящих потоков данных.
Далее параметры IP-датаграммы последовательно сравниваются с параметрами каждого из правил IP- фильтрации соответствующего IP-фильтра, выбираемых из списка правил сверху вниз (см. Рис. 3.21), начиная с первого правила IP-фильтрации. Процесс проверки соответствия параметров IP-датаграммы параметрам очередного правила IP-фильтрации продолжается до первого совпадения.
Решение о соответствии параметров IP-датаграммы параметрам правила IP-фильтрации принимается программой управления в том случае, когда выполняются следующие условия. a. Значение параметра Протокол правила IP-фильтрации совпадает со значением поля Protocol IP- датаграммы (если параметр Протокол IP-фильтра имеет значение ANY, то условие считается выполненным при любом значении поля Protocol IP-датаграммы).
Глава 3. Средства защиты при передаче данных через сети 97
b. Значение параметра Отправитель Адрес правила IP-фильтрации совпадает со значением поля
Source Address IP-датаграммы (проверка совпадения выполняется по числу старших бит, заданному в описателе правила IP-фильтрации значением параметра Отправитель Зн. бит). c. Значение параметра Получатель Адрес правила IP-фильтрации совпадает со значением поля
Destination Address IP-датаграммы (проверка совпадения выполняется по числу старших бит, заданному в описателе правила IP-фильтрации значением параметра Получатель Зн. бит). d. При ненулевых значениях соответствующие пары чисел параметра Порт отправителя и
получателя правила IP-фильтрации попарно равны значениям соответствующих полей Порт отправителя и Порт получателя заголовка TCP- или UDP-датаграммы. e. При ненулевых значениях соответствующей пары чисел параметра Диапазон портов получателя правила IP-фильтрации значение поля Порт получателя (Destination Port) заголовка TCP- или
UDP-датаграммы попадает в диапазон значений правила. f.
При ненулевых значениях соответствующей пары чисел параметра Диапазон портов
отправителя правила IP-фильтрации значение поля Порт отправителя (Source Port) заголовка
TCP- или UDP-датаграммы попадает в диапазон значений правила.
2. Если зафиксировано совпадение и параметр Режим правила имеет значение разрешить, то результат проверки считается положительным и IP-датаграмма передается на дальнейшую обработку.
3. Если зафиксировано совпадение, но параметр Режим правила имеет значение запретить, то результат проверки считается отрицательным, датаграмма отбрасывается, а в адрес отправителя формируется
ICMP-сообщение типа:
Destination Unreachable с кодом Host Unreachable.
4. Если зафиксировано совпадение, но параметр Режим правила имеет значение сбросить, результат проверки считается отрицательным, IP-датаграмма отбрасывается, никаких сообщений отправителю не посылается.
Внимание! Если проверяемая IP-датаграмма не подошла ни под одно из заданных правил
IP-фильтрации, то вступает в действие правило по умолчанию, которое неявно присутствует в каждом IP-фильтре. Значения полей этого правила IP-фильтрации следующие:
Режим Отправитель Получатель Протокол Порты Фиксировать
запретить 0.0.0.0/00 0.0.0.0/00 ANY 0-0 ДА
По этому правилу IP-фильтрации выполняются следующие действия:
- результат проверки IP-датаграммы считается отрицательным;
-
IP-датаграмма отбрасывается;
- в адрес отправителя формируется соответствующее ICMP-сообщение;
- прохождение и результат проверки IP-датаграммы фиксируется в системном журнале изделия (см. раздел 3.2.1.9, с. 108).
Указанные действия по умолчанию можно легко изменить, если последним правилом
IP-фильтра явно указать правило нужного содержания.
Фильтры со специальными (системными) именами работают по аналогичному алгоритму. Только в случае положительного или отрицательного результата проверки выполняется не продолжение обработки или отбрасывание датаграммы, а действие, предусмотренное назначением IP-фильтра.
Из рассмотрения алгоритма работы IP-фильтров следует несколько выводов:
1. Пустой IP-фильтр – не наполненный описателями правил IP-фильтрации – блокирует весь трафик.
2. Правила IP-фильтрации, определяющие более широкий диапазон влияния, следует размещать после правил с более узким диапазоном. Например, если необходимо запретить обращение ко всем компьютерам сети, кроме одного, по какому-либо порту и/или протоколу, то сначала следует разместить правило, разрешающее обращение по конкретному адресу, а потом – правило, запрещающее обращение ко всему диапазону адресов. Переместить правило в списке можно при помощи действий, описанных в разделе 3.2.1.3, с. 93.
3. Если необходимо проанализировать какой-либо вид IP-трафика в сети, следует сформировать соответствующее разрешающее правило IP-фильтрации со значением ДА параметра Фиксировать (с учетом предыдущего замечания). Соответствующую зафиксированную информацию можно будет найти в файле LOG_TCP.EMA и проанализировать.