Файл: Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под.pdf

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 29.04.2024

Просмотров: 356

Скачиваний: 15

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
0 до 32767.
Примечание. Значение идентификатора криптотуннеля в составе ЗСПД должно быть
уникальным среди узлов, входящих в одну криптозону.
Параметр Идентификатор туннеля совместно с параметрами Локальный IP-адрес интерфейса и
Удаленный IP-адрес интерфейса (см. ниже Рис. 2.24) однозначно определяет криптотуннель (со всеми его другими криптографическими характеристиками), организованный между изделиями (в составе узлов ЗСПД) с указанными IP-адресами.
Локальный IP-адрес интерфейса (Рис. 2.22) – задает IP-адрес того сетевого интерфейса БНМ изделия
(поле Source Address в транспортном IP-заголовке – см. раздел 3.1, с. 73), который является локальным отправителем исходящего и получателем входящего туннелированного трафика для данного криптотуннеля.
При выборе поля Локальный IP-адрес интерфейса на видеомонитор ЛКУ будет выдан запрос (Рис.
2.23), аналогичный запросу, представленному на Рис. 2.5 (с. 26) при описании процедуры создания и настройки физического интерфейса типа Ethernet.
Рис. 2.23 Запрос на ввод локального IP-адреса TNL-интерфейса и маски подсети, к которой он подключается
Отвечая на этот запрос, администратору следует руководствоваться выданными ранее рекомендациями
(см. пояснения к Рис. 2.5, с. 26).
Удаленный IP-адрес интерфейса (Рис. 2.22) – задает IP-адрес того сетевого интерфейса БНМ (поле
Destination Address в транспортном IP-заголовке – см. раздел 3.1, с. 73), который является удаленным получателем исходящего и отправителем входящего туннелированного трафика для данного криптотуннеля.
Шифрование потока (Рис. 2.22) – при выборе этого поля бланка создания и настройки TNL-интерфейса на видеомонитор будет выдано меню настройки криптопараметров TNL-интерфейса, представленное на Рис. 2.24.
Рис. 2.24 Меню настройки криптопараметров TNL-интерфейса
Шифрование потока (Рис. 2.24) – возможными значениями параметра могут быть значения: Да или
Нет
, указывающие соответственно, будет ли зашифрован передаваемый изделием в сети общего пользования поток данных.
Применяя изделия для защиты информации Пользователя, содержащей сведения, составляющие государственную тайну, параметру Шифрование потока следует всегда присваивать значение Да.
Программа управления функционированием изделия является универсальной и предназначена для широкого класса устройств, включая устройства защиты информации, не содержащей сведений, составляющих государственную тайну. При использовании устройств, предназначенных для этих целей, параметр
Шифрование потока может иметь значение Нет.
Версия криптоалгоритма (Рис. 2.24) – параметр управления криптографической совместимостью.
Определяет вариант реализации версии криптографического алгоритма преобразования циркулирующего через настраиваемый TNL-интерфейс трафика IP-пакетов и может принимать одно из трех значений: vМПМ, v07Ф или v07М.
С помощью установки соответствующих значений параметра обеспечивается синхронизация на приемном и передающем концах криптотуннеля алгоритмов криптообработки циркулирующих по криптотуннелю зашифрованных IP-пакетов.
Выбор конкретного значения параметра выполняется с учетом того, с какими модификациями изделий на удаленных узлах ЗСПД предстоит осуществлять защищенный обмен по настраиваемому TNL- интерфейсу (критотуннелю):
- в случае обмена с изделием серии М-479Рх параметру следует присвоить значение vМПМ;

Глава 2 Организация работы изделия с сетями передачи данных 41
- в случае обмена с изделием М-479К параметру следует присвоить значение v07Ф;
- в случае обмена с изделием М-479Ж параметру следует присвоить значение v07М.
Примечание. Изделия М-479Р2 могут осуществлять защищенный обмен только с изделиями серии М-479Рх, т.е. для них параметр Версия криптоалгоритма всегда имеет значение vМПМ.
Номер серии ключей (Рис. 2.24) – целое десятичное число в диапазоне от 1 до 999999, равное номеру серии ключевого документа (далее – КД или ключ), используемой в криптографической сети в планируемый Администрацией ЗСПД период времени (подробнее см. раздел 3.4, с. 122, а также РЭ на конкретное изделие).
Локальный криптономер (Рис. 2.24) – целое десятичное число в диапазоне от 1 до 9999, соответствующее криптографическому номеру (криптономеру) настраиваемого изделия в криптографической сети.
Удаленный криптономер (Рис. 2.24) – целое десятичное число в диапазоне от 1 до 9999, соответствующее криптономеру в криптографической сети того изделия, с которым будет выполняться обмен информацией по настраиваемому криптотуннелю.
Номер ключевой зоны (Рис. 2.24) – целое десятичное число в диапазоне от 1 до 999 или 0.
Примечание. Каждый узел (изделие защиты) в криптографической сети должен иметь
уникальную идентификацию. В ЗСПД, обеспечивающей защищенный обмен в пределах
нескольких ключевых зон, уникальную идентификацию ключевого документа, используемого узлом для защищенного обмена, определяют три параметра создаваемого на требуемом направлении обмена криптографического туннеля: Номер ключевой зоны, Номер серии
ключей и Локальный криптономер.
Если уникальность идентификации узла в криптосети значениями настроенных параметров криптотуннелей или значениями параметров введенных КД обеспечена не будет, криптотуннели на направлениях обмена с соответствующими удаленными узлами криптографической сети открыты не будут.
Если в криптографической сети предусматривается обмен в пределах единственной ключевой зоны, то для обеспечения уникальности идентификации КД достаточно двух параметров
Номер серии ключей и Локальный криптономер. Поэтому в этом случае ввод реального значения параметра Номер ключевой зоны не обязателен и может быть сохранено его значение, предлагаемое по умолчанию, – значение 0 (Рис. 2.24).
Если в криптографической сети предусматривается обмен между узлами нескольких (двух и более) ключевых зон, при настройке криптотуннелей для обеспечения уникальности идентификации КД обязателен ввод отличных от нуля значений ключевых зон (значений параметра Номер ключевой зоны), в пределах которых может осуществляться защищенный обмен. В противном случае возможно совпадение пар значений параметров Номер серии
ключей и Локальный криптономер для ключей, принадлежащих разным ключевым зонам, и уникальность идентификации узла обеспечена при этом не будет.
При значении параметра Версия криптоалгоритма v07Ф или v07М значение параметра
Номер ключевой зоны можно оставить равным 0, так как данные версии алгоритма данный параметр не используют.
Дополнительные параметры (Рис. 2.22) – при выборе поля бланка на видеомонитор ЛКУ будет выдано представленное на Рис. 2.25 меню настройки дополнительных параметров TNL-интерфейса.
Рис. 2.25 Меню настройки дополнительных параметров TNL-интерфейса
Описание (Рис. 2.25) – произвольный комментарий администратора изделия (длиной до 32-х символов).
Формат заголовка (Рис. 2.25) – параметр определяет тип транспортного протокола для передачи туннелированных датаграмм.


42
Глава 2 Организация работы изделия с сетями передачи данных
Параметр может принимать следующие значения:
TNL – в этом случае полю Protocol в IP-заголовках исходящих IP-пакетов TNL-интерфейса будет присвоено значение 4 (что означает инкапсуляцию IP in IP);
UDP – в этом случае полю Protocol в IP-заголовках исходящих IP-пакетов TNL-интерфейса будет присвоено значение 17. Использование UDP-протокола позволяет обходить политику отдельных провайдеров, препятствующую передаче туннелированных (инкапсулированных) данных (когда полю
Protocol в IP-заголовках исходящих IP-пакетов TNL-интерфейса присвоено значение 4) через контролируемые ими сети передачи данных.
UDPnat – в этом случае полю Protocol в IP-заголовках исходящих IP-пакетов TNL-интерфейса будет присвоено значение 17. Присвоение параметру Формат заголовка значения UDPnat обеспечивает возможность передачи туннелированных данных в режиме клиент-сервер из-под NAT-обработчика.
Если параметру Формат заголовка присваивается значение UDP или UDPnat, то появляется меню управления значением портов UDP-датаграмм TNL-интерфейса (Рис. 2.26), с помощью которого можно настроить номера портов передачи и приема UDP-датаграмм, отличные от умалчиваемых (по умолчанию оба параметра имеют значение 500).
Рис. 2.26 Меню управления значением портов
Метка туннеля (Рис. 2.25) – при выборе поля появляется запрос, в ответ на который может быть указано целое число в диапазоне от 0 до 255, обеспечивающее привязку настраиваемого туннеля к конкретной PING- пробе (подробнее о реализации PING-проб см. раздел 2.7, с. 58).
Контроль состояния (Рис. 2.25) – параметр позволяет установить контроль за состоянием криптотуннеля.
При выборе поля появляется представленное на Рис. 2.27 меню настройки параметров работы механизма контроля состояния криптотуннеля (KEEPALIVE). Чтобы запустить механизм контроля, следует задать
ненулевые значения параметров Интервал отправки запросов и Максимальное время ожидания
ответов (единица измерения значений обоих параметров – секунда); если параметрам (или одному параметру
Интервал отправки запросов
) задать нулевые значения, то параметр Контроль состояния получит значение Нет, при этом контроль не выполняется.
Рис. 2.27 Меню настройки параметров работы механизма контроля состояния криптотуннеля (KEEPALIVE)
Примечание. В списках интерфейсов БВМ, выводимых на видеомонитор ЛКУ в процессе оперативного контроля состояния интерфейсов (см. раздел 2.6, с. 52), имена TNL-интерфейсов, в которых установлен и в которых не установлен контроль за состоянием туннеля, отображаются разными цветами.
Выбор конкретных значений для настройки двух следующих параметров TNL-интерфейса – Скорость
передачи и Скорость приема – должен выполняться с учетом ранее выданных в разделе 2.3.1, с. 25 рекомендаций по выбору значений этих параметров при настройке Ethernet-интерфейса.
Скорость передачи (Рис. 2.25) –указание отличного от нуля значения параметра (единица измерения –
Кбит/сек
) позволяет искусственно ограничить заданным значением максимальную скорость передачи датаграмм в локальную сеть. При этом запускается механизм приоритизации передаваемого интерфейсом трафика (обработки каждого IP-пакета в потоке с учетом его приоритета).
При нулевом значении параметра скорость передачи не ограничивается, механизм приоритизации не запускается и очереди, соответствующие 8-ми поддерживаемым изделием уровням приоритетов, не обслуживаются.
Скорость приема (Рис. 2.25) –указание отличного от нуля значения параметра позволяет искусственно ограничить заданным значением (единица измерения – Кбит/сек) максимальную скорость приема IP- датаграмм трафика, поступающего в интерфейс из локальной сети.
При нулевом значении параметра скорость трафика, принимаемого интерфейсом из сети, не ограничивается, запуск механизма приоритизации входящего трафика не производится, входящие пакеты, принимаемые интерфейсом из сети, обрабатываются в порядке их поступления.


Глава 2 Организация работы изделия с сетями передачи данных 43
2.4.3. GRE-
интерфейсы
Поддерживаемые изделием GRE-интерфейсы используются как инструмент построения виртуальных частных сетей (VPN), обеспечивающий передачу IP-датаграмм, принадлежащих различным протоколам обмена, упакованных в GRE-туннель, создаваемый между территориально удаленными локальными сетями.
Упаковка сетевых пакетов в GRE-туннель осуществляется согласно GRE-протоколу (Generic Routing
Encapsulation – протоколу универсальной инкапсуляции маршрутов) в соответствии с RFC 2784, RFC 890.
Это протокол туннелирования сетевых пакетов, используемый, например, при необходимости передачи пакетов одной сети через другую сеть.
Общие сведения. GRE-туннель представляет собой логическое соединение точка-точка, его можно считать разновидностью VPN-туннеля без шифрования. GRE-туннель предоставляет, в частности, возможность передачи сетевых пакетов, формируемых протоколами маршрутизации, генерирующими широковещательный трафик.
Для поддержания обмена с использованием GRE-туннеля, проброшенного через IP-сети общего пользования, в составе каждой локальной сети в качестве пограничных маршрутизаторов устанавливаются изделия, на которых создаются виртуальные GRE-интерфейсы, обеспечивающие необходимые преобразования сетевых пакетов – упаковку в GRE-туннель исходящих пакетов и извлечение из GRE-туннеля входящих пакетов, адресованных устройствам в составе локальной сети.
Примечание. В настоящее время подавляющее большинство локальных сетей осуществляют межсетевой обмен на основе использования протоколов стека TCP/IP, трафик обмена между такими сетями представляет собой поток IP-датаграмм. Поэтому в дальнейшем мы будем говорить именно о них, не забывая при этом, что существуют сети, использующие другие
(отличные от стека протоколов TCP/IP)сетевые протоколы, трафик обмена в таких сетях осуществляется с помощью сетевых пакетов соответствующего формата.
Все исходящие IP-датаграммы, которыми обмениваются соединенные GRE-туннелем изделия, снабжаются заголовком туннеля (GRE-заголовком) и новым транспортным IP-заголовком. Сформированные в результате
транспортные IP-датаграммы отправляются в транспортную IP-сеть по GRE-туннелю, соединяющему пару пограничных изделий. На противоположной (приемной) стороне GRE-туннеля дополнительные заголовки отбрасываются, в результате чего полностью восстанавливаются исходные IP-датаграммы. В качестве транспортного протокола для передачи датаграмм используется протокол GRE (значение номера протокола в IP-заголовке – 47), поэтому фильтры брандмауэров у провайдеров сетей общего пользования на маршрутах, используемых GRE-туннелем, должны быть прозрачны для транспортных IP-датаграмм с соответствующим номером протокола в заголовке.
Формат упаковки датаграмм в GRE-туннель:
Транспортный IP-заголовок
Заголовок туннеля (GRE - заголовок)
Туннелируемые данные
Транспортный IP-заголовок (длина 20 байт).IP-заголовок транспортной IP-датаграммы, передаваемой по
GRE-туннелю, имеет стандартный для заголовка IP-датаграммы набор полей и имеет следующий формат (Рис.
2.28):
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
Version IHL
Type of Service Total Length
Identification
Flags
Fragment Offset
Time to Live
Protocol
Header Checksum
Source Address
Destination Address
Рис. 2.28 Формат IP-заголовка транспортной IP-датаграммы, передаваемой по GRE-туннелю
Version
4;
IHL
5;
Type of Service
– зависит от настройки GRE-интерфейса (Доп.параметрыПоле TOS – см. Рис. 2.31, с. 45);
Total Length
– общая длина: длина туннелируемых данных + длина транспортного
IP-заголовка (20 байт) + заголовок туннеля;
Identification
– идентификатор пакетов, используемый для распознавания пакетов, образовавшихся при фрагментации;


44
Глава 2 Организация работы изделия с сетями передачи данных
Flags
– зависит от настройки GRE-интерфейса (Доп.параметрыФлаг DF – см. Рис. 2.31, с. 45);
Fragment Offset
0;
Time to Live
– заданное значение TTL транспортной IP-датаграммы;
Protocol
47 ;
Header Checksum
– рассчитывается;
Source Address
– локальный IP-адрес туннеля;
Destination Address – удаленный IP-адрес туннеля.
Заголовок туннеля (GRE - заголовок) (длина от 4 до 16 байт) (Рис. 2.29):
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
C K S
Reserved0
Ver
Protocol Type
Checksum (optional)
Reserved1 (optional)
Key (optional)
Sequence Number (optional)
Рис. 2.29 Заголовок GRE-туннеля (GRE - заголовок)
C
– флаг использования поля Checksum (0 – если значение параметра Контрольная
сумма
в бланке настройки дополнительных параметров (Рис. 2.31, с. 45) имеет значениенет, и 1 – если –да);
K
– флаг использования поля Key;
S
– флаг использования поля Sequence Number (0 – если значение параметра
Нумерация пакетов
в бланке настройки дополнительных параметров (Рис.
2.31, с. 45) имеет значениенет, и 1 – если –да);
Reserved0
– поле не используется, должно быть значение 0;
Ver
– версия протокола GRE (0);
Protocol Type
– тип протокола (совпадает с полем Type заголовка Ethernet_II кадра);
Checksum
– контрольная сумма (поле заполняется если поле
1   ...   6   7   8   9   10   11   12   13   ...   48