Файл: Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под.pdf

92
Глава 3. Средства защиты при передаче данных через сети
ФВ_out – вспомогательный фильтр. С его помощью можно ввести дополнительные ограничения на доступ к ресурсам защищаемой сети со стороны внешней сети, а также со стороны прикладных протоколов изделия.
Рис. 3.19 Пример схемы применения IP-фильтров на сетевых интерфейсах изделия
3.2.1.2.
Управление IP-фильтрами изделия
Управление IP-фильтрами изделия, независимо от того, являются ли они системными, простыми IP-фильтрами или IP-фильтрами расширенного формата, выполняется по единой технологии, описанной в данном подразделе.
Для создания и настройки IP-фильтра следует выбрать цепочку альтернатив ГМ: Настройка  Защита 
Фильтры. В ответ будет выдан экран создания и настройки IP-фильтров, аналогичный представленному на Рис. 3.20.
Рис. 3.20 Экран создания и настройки IP-фильтров изделия
Средняя часть экрана содержит список имен ранее созданных IP-фильтров (изначально список пустой).
В верхней части экрана − стандартная информация о средствах навигации по списку.
Нижняя часть экрана содержит сведения о клавишах и их комбинациях, с помощью которых администратор изделия выполняет создание и настройку IP-фильтров.
Создание нового IP-фильтра выполняется в два этапа: сначала надо задать его имя, а потом сформировать список правил, его составляющих.
F7 – создать (Рис. 3.20). Нажатие клавиши приводит к выводу на видеомонитор ЛКУ запроса, позволяющего ввести имя создаваемого IP-фильтра. Имя может быть произвольным, но обязательно уникальным (проверку уникальности выполняет программа управления).
После ввода имени IP-фильтра на видеомонитор ЛКУ выводится экран редактора IP- фильтра (Рис. 3.21, с. 93), позволяющий сформировать список правил IP-фильтрации
(работа с редактором IP-фильтра описана ниже в разделе 3.2.1.3, с. 93).
Enter – редактировать (Рис. 3.20). Нажатие клавиши вызывает редактор IP-фильтра (Рис. 3.21) и передает ему на обработку IP-фильтр, на имя которого в момент нажатия клавиши указывает курсор.
F6 – переименовать (Рис. 3.20). Нажатие клавиши приводит к выводу на видеомонитор ЛКУ запроса на ввод имени IP-фильтра, в ответ на который следует ввести новое имя и нажать клавишу .

Глава 3. Средства защиты при передаче данных через сети 93
В результате IP-фильтр, на имени которого в момент нажатия клавиши был установлен курсор, получит новое имя.
F8 – удалить (Рис. 3.20). При нажатии клавиши после дополнительного запроса и подтверждения будет удален тот IP-фильтр, на строку с именем которого был установлен курсор.
F5 – выгрузить в файл или Alt+F7 – загрузить из файла (Рис. 3.20). Эти две операции служат для облегчения труда администратора изделия. Первая позволяет выгрузить указанный курсором
IP-фильтр в файл, вторая позволяет создать новый IP-фильтр и загрузить в него содержимое IP-фильтра из файла. Имя файла и имя IP-фильтра для операции Alt+F7 – загрузить из файла запрашиваются дополнительно. Информация, переносимая из конфигуратора в файл, хранится в нем в бинарном виде.
F4 – распечатать в файл (Рис. 3.20). При нажатии клавиши содержимое IP-фильтра, на имя которого указывает курсор, преобразуется в текстовый формат и записывается в файл. Имя файла при этом запрашивается дополнительно.
3.2.1.3.
Создание и редактирование простых IP-фильтров
Большинство задач, решаемых изделием с помощью IP-фильтрации, решаются применением простых фильтров.
Простые IP-фильтры включают только простые правила IP-фильтрации.
Создание и настройка простых правил IP-фильтрации. Перед тем как приступить к созданию правил
IP-фильтрации, надо выполнить первый шаг создания IP-фильтра − задать имя фильтра (согласно порядку, приведенному в разделе 3.2.1.2, с. 92). После этого в списке имен IP-фильтров на экране создания и настройки
IP-фильтров (Рис. 3.20, с. 92) появится заданное имя.
Примечание. Экран создания и настройки IP-фильтров (Рис. 3.20, с. 92) можно вызвать на видеомонитор ЛКУ в любой момент, выбрав цепочку альтернатив ГМ: Настройка
 Защита  Фильтры.
Для выполнения второго шага создания IP-фильтра (создание правил IP-фильтрации) надо в списке имен IP- фильтров (Рис. 3.20) перевести курсор на заданное имя и нажать клавишу . После этого на видеомонитор ЛКУ будет выдан экран создания и настройки правил IP-фильтрации (редактор IP-фильтра), аналогичный представленному на Рис. 3.21.
На верхней рамке указаны: в центре – имя IP-фильтра (в нашем примере –
FLT2
); слева – номер строки в списке имен IP-фильтров на экране создания и настройки IP-фильтров (Рис. 3.20, с. 92), на которую был установлен курсор перед нажатием клавиши (отсчет строк с именами фильтров начинается с нуля).
Рис. 3.21 Экран создания и настройки правил IP-фильтрации (редактор IP-фильтра)
В средней части экрана в удобной для просмотра форме отображаются строки описателей правил
IP-фильтрации, содержащие значения параметров правил IP-фильтрации (изначально, если IP-фильтр только что создан, строки отсутствуют).
Строки описателей расширенных правил IP-фильтрации на экране (Рис. 3.21) выводятся желтым цветом; описатели правил IP-фильтрации типа элемент расписания – зеленым; описатели заблокированных правил IP- фильтрации – красным.
Примечание. В настоящем разделе рассматривается создание (редактирование) только простых фильтров. Фильтры расширенного формата, содержащие расширенные правила и элементы расписания, рассмотрены ниже в разделе 3.2.1.6, с. 100.
Восклицательным знаком в первой позиции строки описателя отмечены те правила, для которых задано
фиксирование в журнале IP-датаграмм, подпадающих под значения параметров этого правила (параметр правила

94
Глава 3. Средства защиты при передаче данных через сети
F7 – создать (Рис. 3.21). При нажатии клавиши на видеомонитор ЛКУ выводится бланк создания и настройки простого правила IP-фильтрации (Рис. 3.22), позволяющий сформировать одно правило. Правило будет размещено в списке описателей правил после той строки, на которой был установлен курсор.
Рис. 3.22 Бланк создания и настройки простого правила IP-фильтрации
Каждое правило IP-фильтрации является описателем одной операции проверки IP-датаграмм и включает параметры, назначение которых приведены ниже. Чтобы задать значение того или иного параметра, надо переместить курсор в соответствующее поле бланка и последовательно нажимать клавишу .
Режим (Рис. 3.22) – параметр задает вид действия, которое будет применено к фильтруемой IP-датаграмме в случае совпадения параметров IP-датаграммы со значениями соответствующих параметров правила IP- фильтрации.
Параметр Режим может принимать следующие значения:
-
Разрешить – IP-датаграмма, соответствующая правилу, будет допущена IP-фильтром к дальнейшей обработке;
-
Запретить – IP-датаграмма, соответствующая правилу, будет заблокирована IP-фильтром (при этом IP-датаграмма сбрасывается, а в адрес отправителя формируется соответствующее ICMP- сообщение);
-
Сбросить – IP-датаграмма, соответствующая правилу, будет сброшена без отправки каких-либо сообщений в адрес отправителя;
-
Сессия –проверяемая IP-датаграмма будет допущена к дальнейшей обработке с отслеживанием состояния соединения (подробнее см. раздел 3.2.1.8, с. 106).
Примечание. Фильтры, в правилах фильтрации которых параметр Режим имеет одно из первых трех значений (Разрешить, Запретить, Сбросить), будем называть
обычными; фильтры, в правилах фильтрации которых параметр Режим имеет значение
Сессия, – фильтрами сессий.
Протокол (Рис. 3.22) – параметр задает проверку значения поля Протокол в заголовке IP-датаграммы.
Параметр Протокол в правилах IP-фильтрации может принимать следующие значения:
- ANY
– параметр Протокол в заголовке проверяемой IP-датаграммы может иметь любое значение;
- ICMP
– параметр Протокол в заголовке проверяемой IP-датаграммы имеет значение 1 (ICMP);
- TCP
– параметр Протокол в заголовке проверяемой IP-датаграммы имеет значение 6 (TCP);
- UDP
– параметр Протокол в заголовке проверяемой IP-датаграммы имеет значение 17
(UDP –протокол может использоваться для передачи туннелированных датаграмм);
- TNL
–параметр Протокол в заголовке проверяемой IP-датаграммы имеет значение 4
(IP in IP – протокол может использоваться для передачи туннелированных датаграмм).
Фиксировать (Рис. 3.22) - параметр определяет, будет ли записана в протокол (файл LOG_TCP.EMA) IP- датаграмма, параметры которой совпали с параметрами соответствующего правила IP-фильтрации (с указанием, прошла IP-датаграмма на дальнейшую обработку или заблокирована/сброшена). Возможны следующие значения параметра:
- ДА – IP-датаграмма будет записана в журнал;
- НЕТ
– IP-датаграмма не будет записана в журнал.
TCP-флаги (Рис. 3.22) - параметр позволяет задать проверку поля Флаги TCP-пакета. Поле TCP-флаги в правилах IP-фильтрации может принимать следующие значения:
-
НЕТ - проверка поля Флаги TCP-пакета не производится;
-
SYN – в TCP-пакете установлен флаг SYN и сброшен флаг ACK;
-
ACK – в TCP-пакете установлен флаг ACK, остальные флаги могут быть любыми.
Поле TCP-флаги в правилах IP-фильтрации имеет смысл только для IP-пакетов протокола TCP.

Глава 3. Средства защиты при передаче данных через сети 95
Порты
*
(Рис. 3.22) – перевод курсора в поле бланка Порты и последовательное нажатие клавиши выводит на экран меню, позволяющее задать пару чисел, которые будут интерпретированы программой управления как значения одного из следующих трех параметров:
-
Порт отправителя и получателя;
-
Диапазон портов получателя;
-
Диапазон портов отправителя.
Выбрав требуемое значение, надо нажать клавишу − пара цифр появится в поле бланка, например:
Порты 1025 -> 23
Порты (получатель) 22 - 23
При этом.
Значение параметра Порт отправителя и получателя позволяет указать необходимость проверки полей Порт отправителя и Порт получателя в заголовках TCP- или UDP- датаграмм, транспортируемых проверяемой IP-датаграммой. Параметры датаграммы считаются удовлетворяющими данному правилу IP-фильтрации, если соответствующие значения портов проверяемой датаграмм совпадают со значениями портов, заданными этим параметром правила.
Если одному или обоим значениям параметра присвоено нулевое значение, то проверка соответствующих полей фильтруемой IP-датаграммы не производится, т.е. любое значение портов проверяемой датаграммы считается удовлетворяющим данному правилу IP-фильтрации.
Значения Диапазон портов отправителя и Диапазон портов получателя позволяют указать необходимость проверки полей Порт отправления или Порт назначения в заголовках TCP- или UDP-датаграмм, транспортируемых проверяемой IP-датаграммой. Значение порта датаграммы считается удовлетворяющим данному правилу IP-фильтрации, если оно укладывается в диапазон, заданный соответствующим параметром правила.
Если параметр имеет нулевое значение, проверка соответствующего поля IP-датаграммы не производится, т.е. любое значение порта IP-датаграммы считается удовлетворяющим данному правилу IP-фильтрации.
Внимание! Простыми правилами IP-фильтрации можно задать только один диапазон значений портов. Если необходимо задать два диапазона, то можно воспользоваться
расширенными правилами IP-фильтрации, описанными в разделе 3.2.1.6 (с. 100).
Отправитель Адрес и Отправитель Зн. бит (Рис. 3.22) – параметры задают значения для проверки поля Адрес отправителя из заголовка фильтруемой IP-датаграммы. Проверка выполняется следующим образом: a) из заголовка IP-датаграммы извлекается значение поля Адрес отправителя; b) в извлеченном значении адреса оставляются без изменения старшие биты в количестве, указанном полем Отправитель Зн. бит, остальные – обнуляются; c) выполняется проверка совпадения полученного значения адреса со значением параметра правила
IP-фильтрации Отправитель Адрес.
Если поля Отправитель Адрес и Отправитель Зн. бит правила IP-фильтрации имеют нулевые значения, то никакой проверки IP-датаграммы не производится, т. е. любое значение адреса отправителя IP-датаграммы считается удовлетворяющим данному правилу IP-фильтрации.
Получатель Адрес и Получатель Зн. бит (Рис. 3.22) – параметры задают значения для проверки поля
Адрес получателя из заголовка фильтруемой IP-датаграммы. Проверка происходит следующим образом: a) из заголовка IP-датаграммы извлекается значение поля Адрес получателя; b) в извлеченном значении адреса оставляются без изменения старшие биты в количестве, указанном полем Получатель Зн. бит, остальные – обнуляются; c) выполняется проверка совпадения полученного значения адреса со значением параметра правила
IP-фильтрации Получатель Адрес.
*
В настоящем разделе понятие «порт» подразумевает порт, указывающий соответствующее приложение
Пользователя – подробнее см. раздел
Приложение А
(с. 214).

96
Глава 3. Средства защиты при передаче данных через сети
Если параметры Получатель Адрес и Получатель Зн.бит правила IP-фильтрации имеют нулевые значения, то никакой проверки IP-датаграммы не производится, т. е. любое значение адреса получателя
IP-датаграммы считается удовлетворяющим данному правилу IP-фильтрации.
Enter – редактировать (Рис. 3.21). При нажатии клавиши на видеомонитор ЛКУ выводится бланк создания и настройки правила IP-фильтрации с параметрами того правила, на описатель которого был установлен курсор (см. Рис. 3.22), позволяющий отредактировать параметры правила.
F6
– перенести (Рис. 3.21). После первого нажатия клавиши указанная курсором строка описателя правила IP-фильтрации выделяется белым цветом. Далее можно переместить курсор на любую строку описателей из списка правил и повторно нажать . Отмеченный ранее описатель правила будет перемещен непосредственно под строку, на которую был установлен курсор в момент повторного нажатия клавиши .
Замечание
.
Между первым и вторым нажатием клавиши можно пользоваться только клавишами перемещения курсора. Нажатие другой функциональной клавиши из списка операций внизу экрана сбросит отметку подлежащей переносу строки.
F2
– проверить (Рис. 3.21). При нажатии клавиши выполняется проверка того правила или той строки расписания (см. ниже раздел 3.2.1.6, с. 100), на которой установлен курсор. Для неправильно сформулированных условий (противоречащих одному или нескольким другим правилам IP-фильтра, пересекающимся с данным по диапазону времени действия)выводятся соответствующие сообщения.
F3 - блокировать элемент (Рис. 3.21). При нажатии клавиши без дополнительных запросов блокируется выполнение функции, представленной той строкой описателя в списке описателей правил IP- фильтрации, на которую установлен курсор. При этом на видеомониторе ЛКУ цвет соответствующей строки изменится на красный. Повторное нажатие клавиши блокировку снимает.
Замечание. Данная возможность является вспомогательной и служит в основном для целей отладки IP-фильтра. Операция блокирования правила равнозначна его удалению из списка, но позволяет впоследствии восстановить функциональность правила.
Две команды редактора фильтра Shift_F7 – создать расширенное правило и Alt_F7 – создать
элемент расписания (Рис. 3.21) служат для создания и настройки элементов IP-фильтров расширенного формата. Порядок их применения рассмотрен ниже в разделе 3.2.1.6, с. 100.
3.2.1.4.
Алгоритм работы простого IP-фильтра
При настройке изделия может быть сформировано большое количество IP-фильтров (поименованных наборов правил IP-фильтрации) с любыми (кроме системных IP-фильтров) именами.
Но сами по себе IP-фильтры являются просто хранилищами наполняющих их правил IP-фильтрации и могут не принимать никакого участия в работе изделия. IP-фильтры включаются в работу только в двух случаях.
1) Имя IP-фильтра указывается в качестве значения параметров Фильтр входящих или Фильтр
исходящих хотя бы для одного из сетевых интерфейсов изделия.
В этом случае указанный IP-фильтр будет активизирован в момент запуска интерфейса, с которым IP- фильтр связан, и начнет фильтровать соответствующий поток IP-датаграмм (входящий или исходящий).
2) IP-фильтру присваивается одно из системных имен.
IP-фильтры с системными именами активизируются в момент запуска изделия и используются в соответствии с приписанным данному системному имени назначением (см. раздел 3.2.1.7, с. 104).
Принятая интерфейсом, связанным с простыми IP-фильтрами, входящая или исходящая IP-датаграмма обрабатывается в соответствии с приведенным ниже алгоритмом.
1. Полученная интерфейсом очередная
IP-датаграмма соотносится программой управления с соответствующим IP-фильтром интерфейса – IP-фильтром входящих или исходящих потоков данных.
Далее параметры IP-датаграммы последовательно сравниваются с параметрами каждого из правил IP- фильтрации соответствующего IP-фильтра, выбираемых из списка правил сверху вниз (см. Рис. 3.21), начиная с первого правила IP-фильтрации. Процесс проверки соответствия параметров IP-датаграммы параметрам очередного правила IP-фильтрации продолжается до первого совпадения.
Решение о соответствии параметров IP-датаграммы параметрам правила IP-фильтрации принимается программой управления в том случае, когда выполняются следующие условия. a. Значение параметра Протокол правила IP-фильтрации совпадает со значением поля Protocol IP- датаграммы (если параметр Протокол IP-фильтра имеет значение ANY, то условие считается выполненным при любом значении поля Protocol IP-датаграммы).

Глава 3. Средства защиты при передаче данных через сети 97
b. Значение параметра Отправитель Адрес правила IP-фильтрации совпадает со значением поля
Source Address IP-датаграммы (проверка совпадения выполняется по числу старших бит, заданному в описателе правила IP-фильтрации значением параметра Отправитель Зн. бит). c. Значение параметра Получатель Адрес правила IP-фильтрации совпадает со значением поля
Destination Address IP-датаграммы (проверка совпадения выполняется по числу старших бит, заданному в описателе правила IP-фильтрации значением параметра Получатель Зн. бит). d. При ненулевых значениях соответствующие пары чисел параметра Порт отправителя и
получателя правила IP-фильтрации попарно равны значениям соответствующих полей Порт отправителя и Порт получателя заголовка TCP- или UDP-датаграммы. e. При ненулевых значениях соответствующей пары чисел параметра Диапазон портов получателя правила IP-фильтрации значение поля Порт получателя (Destination Port) заголовка TCP- или
UDP-датаграммы попадает в диапазон значений правила. f.
При ненулевых значениях соответствующей пары чисел параметра Диапазон портов
отправителя правила IP-фильтрации значение поля Порт отправителя (Source Port) заголовка
TCP- или UDP-датаграммы попадает в диапазон значений правила.
2. Если зафиксировано совпадение и параметр Режим правила имеет значение разрешить, то результат проверки считается положительным и IP-датаграмма передается на дальнейшую обработку.
3. Если зафиксировано совпадение, но параметр Режим правила имеет значение запретить, то результат проверки считается отрицательным, датаграмма отбрасывается, а в адрес отправителя формируется
ICMP-сообщение типа:
Destination Unreachable с кодом Host Unreachable.
4. Если зафиксировано совпадение, но параметр Режим правила имеет значение сбросить, результат проверки считается отрицательным, IP-датаграмма отбрасывается, никаких сообщений отправителю не посылается.
Внимание! Если проверяемая IP-датаграмма не подошла ни под одно из заданных правил
IP-фильтрации, то вступает в действие правило по умолчанию, которое неявно присутствует в каждом IP-фильтре. Значения полей этого правила IP-фильтрации следующие:
Режим Отправитель Получатель Протокол Порты Фиксировать
запретить 0.0.0.0/00 0.0.0.0/00 ANY 0-0 ДА
По этому правилу IP-фильтрации выполняются следующие действия:
- результат проверки IP-датаграммы считается отрицательным;
-
IP-датаграмма отбрасывается;
- в адрес отправителя формируется соответствующее ICMP-сообщение;
- прохождение и результат проверки IP-датаграммы фиксируется в системном журнале изделия (см. раздел 3.2.1.9, с. 108).
Указанные действия по умолчанию можно легко изменить, если последним правилом
IP-фильтра явно указать правило нужного содержания.
Фильтры со специальными (системными) именами работают по аналогичному алгоритму. Только в случае положительного или отрицательного результата проверки выполняется не продолжение обработки или отбрасывание датаграммы, а действие, предусмотренное назначением IP-фильтра.
Из рассмотрения алгоритма работы IP-фильтров следует несколько выводов:
1. Пустой IP-фильтр – не наполненный описателями правил IP-фильтрации – блокирует весь трафик.
2. Правила IP-фильтрации, определяющие более широкий диапазон влияния, следует размещать после правил с более узким диапазоном. Например, если необходимо запретить обращение ко всем компьютерам сети, кроме одного, по какому-либо порту и/или протоколу, то сначала следует разместить правило, разрешающее обращение по конкретному адресу, а потом – правило, запрещающее обращение ко всему диапазону адресов. Переместить правило в списке можно при помощи действий, описанных в разделе 3.2.1.3, с. 93.
3. Если необходимо проанализировать какой-либо вид IP-трафика в сети, следует сформировать соответствующее разрешающее правило IP-фильтрации со значением ДА параметра Фиксировать (с учетом предыдущего замечания). Соответствующую зафиксированную информацию можно будет найти в файле LOG_TCP.EMA и проанализировать.