Примеры настройки ФПСУ-IP
Previous 

Использование ФПСУ-IP для создания в одной области двух защищаемых областей

 Next

В документе "Описание применения" ПАК ФПСУ-IP приведена каскадная схема установки двух ФПСУ-IP в одной защищаемой области, при которой хосты оконечной области (защищенной двумя ФПСУ-IP) будут обмениваться пакетами с хостами сетевых фрагментов, находящихся со стороны внешнего порта внешнего ФПСУ-IP, через VPN-туннель, создаваемый в самой защищаемой области, а хосты защищаемой области - через внешний ФПСУ-IP защищаемой области. В данном разделе будут рассмотрены особенности конфигурирования работы комплексов в условиях такой сетевой топологии.

Итак, предположим, что сеть организации представляет из себя два территориально разделенных фрагмента, для защиты которых будут применены ФПСУ-IP, причем в одной из подсетей существует особо ответственная IP-сеть, для которой необходимо обеспечить режим усиленной защиты. После установки комплексов сеть организации примет вид, отображенный на рисунке ниже.

Используются следующие IP-адреса:

защищаемая область А - 11.12.1.0, маска 255.255.255.0 (24 бита);

защищаемая область В - 11.12.2.0, маска 255.255.255.0 (24 бита);

защищаемая область С - 11.12.3.0, маска 255.255.255.0 (24 бита);

внутренний порт маршрутизатора А -11.12.2.1;

внутренний порт маршрутизатора В -11.12.3.1.

На работу сети наложены следующие ограничения:

хосты области А должны обмениваться пакетами только с хостами области С и не иметь доступа к другим абонентам;

управление пограничными маршрутизаторами (А и В) должно осуществляться из защищаемой области В;

хосты области В имеют доступ в мировую сеть Internet/Intranet и не имеют доступа к другим абонентам.

С точки зрения конфигурирования ФПСУ-IP А для работы в условиях такой топологии и удовлетворения наложенных требований принципиальным является следующее:

со стороны внутреннего порта ФПСУ-IP (порта 1 со стороны области А) существует одна IP- подсеть, а со стороны порта 2 принадлежащих этой подсети хостов нет; маршрутизаторы и ФПСУ-IP отсутствуют;

со стороны порта 2 существуют: IP-подсеть В, доступ к которой необходимо запретить; IP-подсеть С, доступ в которую будет производиться через ФПСУ-IP В, а также мировая сеть, доступ в которую предоставлен не будет; существует также маршрутизатор А, находящийся с внешнего порта ФПСУ-IP В (поскольку он может являться маршрутизатором по умолчанию для хостов области А и является пограничным маршрутизатором);

обмен между защищаемыми областями А и С должен производиться только внутри двух организованных ФПСУ-IP VPN-туннелей с проведением двусторонней аутентификации и использованием дополнительных процедур сжатия и криптозащиты;

на ФПСУ-IP А должны быть установлены, и указаны как собственные, ранее выработанные ЦВК криптографические ключи номер 1;

со стороны внешнего порта ФПСУ-IP (порта 2) присутствует пограничный маршрутизатор А, управление которым из защищаемой области А не должно осуществляться.

Sample_CFG_Scheme7_30092020

С точки зрения конфигурирования ФПСУ-IP В для работы в условиях такой топологии и удовлетворения наложенных требований принципиальным является следующее:

со стороны внутреннего порта (порта 1 со стороны области В) существуют две IP-подсети, доступ в область А должен быть запрещен абонентам В, к абонентам области В доступ будет производиться в режиме ретрансляции; маршрутизаторы отсутствуют; для организации туннеля через область В будет использован ФПСУ-IP А;

со стороны порта 2 существуют IP-подсеть С, доступ к которой абонентам В должен быть запрещен, а также абоненты общедоступной сети передачи данных; доступ к общедоступной сети передачи данных производится через маршрутизатор А; ФПСУ-IP С существует и доступен через маршрутизатор А;

на ФПСУ-IP В должны быть установлены, и указаны как собственные, ранее выработанные ЦВК криптографические ключи номер 2;

со стороны внешнего порта ФПСУ-IP (порта 2) существует пограничный маршрутизатор А, управление которым должно осуществляться только из защищаемой области В, причем каналы управления маршрутизаторами В и С за пределами их внешних портов должны быть защищены ФПСУ-IP В и С.

С точки зрения конфигурирования ФПСУ-IP С для работы в условиях такой топологии и удовлетворения наложенных требований принципиальным является следующее:

со стороны внутреннего порта (порта 1 со стороны области С) существует IP-подсеть С, а со стороны порта 2 принадлежащих этой подсети хостов нет; маршрутизаторы и ФПСУ-IP отсутствуют;

со стороны порта 2 (внешнего) существуют: IP-подсеть В, доступ к которой необходимо запретить; IP-подсеть А, доступ в которую будет производиться через ФПСУ-IP В, а также общедоступная сеть, доступ в которую предоставлен не будет; маршрутизатор В является пограничным;

обмен между защищаемыми областями А и С должен производиться только внутри организованных ФПСУ-IP VPN-туннелей;

на ФПСУ-IP С должны быть установлены и указаны как собственные ранее выработанные ключи номер 3;

со стороны внешнего порта ФПСУ-IP существует пограничный маршрутизатор, управление которым должно осуществляться только из защищаемой области В, причем канал управления маршрутизатором за пределами его внешнего порта должен быть защищен ФПСУ-IP В и С.

Конфигурация ФПСУ-IP должна содержать следующие установки:

Для ФПСУ-IP А:

Установлены выработанные ЦВК ключи парно-выборочной связи номер 1.1 (ключи с номерами 1.2, 1.3, 1.4 - на усмотрение администратора). Ключи номер 1.1 указаны как собственные.

Порт 1:

Номер 1,

Адрес 11.12.1.50,

Маска 255.255.255.0 (24 разряда),

ФПСУ не определены,

Маршрутизаторы не определены;

Абоненты:

Подсеть, 11.12.1.0; 255.255.255.0 (24 разряда); ретрансляция;

режим партнера этого порта - выключен;

режим партнера другого порта - включен только режим через ФПСУ;

переключатель "Только Broadcast" выключен;

переключатель "Отвечать на Ping" - на усмотрение администратора;

переключатель "Работа разрешена" включен.

Порт 2:

Номер 2,

Адрес 11.12.3.50,

Маска 255.255.255.0 (24 разряда);

ФПСУ:

11.12.2.50, ключевые данные - 2.1; смена через 30 мин;

сжатие и криптозащита - "желательно" или "обязательно";

Маршрутизаторы:

11.12.2.1, протоколы маршрутизации - все выключены;

переключатель "Отвечать на Ping" - выключен;

Абоненты:

Подсеть, 11.12.3.0; 255.255.255.0 (24 разряда);

через ФПСУ 11.12.2.50;

режим партнера этого порта - включен только режим через ФПСУ;

режим партнера другого порта - включены все режимы;

переключатель "Только Broadcast" выключен;

переключатель "Отвечать на Ping" - на усмотрение администратора;

переключатель "Работа разрешена" включен.

Хост, 11.12.3.1, ретрансляция;

режим партнера этого порта - включен только режим через ФПСУ;

режим партнера другого порта - включены все режимы;

переключатель "Отвечать на Ping" - на усмотрение администратора;

переключатель "Работа разрешена" выключен.

Для ФПСУ-IP В:

Установлены выработанные ЦВК ключи парно-выборочной связи номер 2.1 (ключи с номерами 2.2, 2.3, 2.4 - на усмотрение администратора). Ключи номер 2.1 указаны как собственные.

Заведена группа доступа, в которую включены подсети 11.12.1.0 и 11.12.3.0, переключатель "Контроль взаимосвязей Активен" - включен. Подсети 11.12.2.0 со стороны порта 1 разрешено управление маршрутизатором 11.12.2.1.

Порт 1:

Номер 1,

Адрес 11.12.2.50,

Маска 255.255.255.0 (24 разряда);

ФПСУ:

11.12.1.50, ключевые данные - 1.1; смена через 30 мин;

сжатие и криптозащита - "желательно" или "обязательно";

Маршрутизаторы не определены;

Абоненты:

Подсеть, 11.12.2.0; 255.255.255.0 (24 разряда); ретрансляция;

режим партнера этого порта - выключен;

режим партнера другого порта - включены все режимы;

переключатель "Только Broadcast" выключен;

переключатель "Отвечать на Ping" - на усмотрение администратора;

переключатель "Работа разрешена" включен.

Подсеть, 11.12.1.0; 255.255.255.0 (24 разряда);

через ФПСУ 11.12.1.50;

режим партнера этого порта - включен только режим через ФПСУ;

режим партнера другого порта - включены все режимы;

переключатель "Только Broadcast" выключен;

переключатель "Отвечать на Ping" - на усмотрение администратора;

переключатель "Работа разрешена" включен.

Порт 2:

Номер 2,

Адрес 11.12.2.50,

Маска 255.255.255.0 (24 разряда),

ФПСУ:

11.12.3.50, ключевые данные - 3.1; смена через 30 мин;

сжатие и криптозащита - "желательно" или "обязательно";

через маршрутизатор 11.12.2.1.

Маршрутизаторы:

11.12.2.1, протоколы маршрутизации - все выключены;

переключатель "Отвечать на Ping" - на усмотрение администратора;

Абоненты:

Подсеть, 11.12.3.0; 255.255.255.0 (24 разряда);

через ФПСУ 11.12.3.50;

режим партнера этого порта - включен только режим через ФПСУ;

режим партнера другого порта - включены все режимы;

переключатель "Только Broadcast" выключен;

переключатель "Отвечать на Ping" - на усмотрение администратора;

переключатель "Работа разрешена" включен.

Хост, 11.12.3.1; через ФПСУ 11.12.3.50;

режим партнера этого порта - включен только через ФПСУ;

режим партнера другого порта - включены все режимы;

переключатель "Отвечать на Ping" - на усмотрение администратора;

переключатель "Работа разрешена" включен.

Любой хост;

переключатель "Работа разрешена" включен;

через маршрутизатор 11.12.13.30;

Для ФПСУ-IP С:

Установлены выработанные ЦВК ключи парно-выборочной связи номер 3.1 (ключи с номерами 3.2, 3.3, 3.4 - на усмотрение администратора). Ключи номер 3.1 указаны как собственные.

Заведена группа доступа, в которую включены подсети 11.12.1.0 и 11.12.3.0, переключатель "Контроль взаимосвязей Активен" - включен; Подсети 11.12.2.0 со стороны порта 2 разрешено управление маршрутизатором 11.12.3.1.

Порт 1:

Номер 1,

Адрес 11.12.3.50,

Маска 255.255.255.0 (24 разряда),

ФПСУ не определены,

Маршрутизаторы не определены;

Абоненты:

Подсеть, 11.12.3.0; 255.255.255.0 (24 разряда); ретрансляция;

режим партнера этого порта - выключен;

режим партнера другого порта - включен только режим через ФПСУ;

переключатель "Только Broadcast" выключен;

переключатель "Отвечать на Ping" - на усмотрение администратора;

переключатель "Работа разрешена" включен.

Порт 2:

Номер 2,

Адрес 11.12.3.50,

Маска 255.255.255.0 (24 разряда);

ФПСУ:

11.12.2.50, ключевые данные - 2.1; смена через 30 мин;

сжатие и криптозащита - "желательно" или "обязательно";

через маршрутизатор 11.12.3.1.

Маршрутизаторы:

11.12.3.1, протоколы маршрутизации - все выключены;

переключатель "Отвечать на Ping" - выключен;

Абоненты:

Подсеть, 11.12.1.0; 255.255.255.0 (24 разряда);

через ФПСУ 11.12.2.50;

режим партнера этого порта - включен только режим через ФПСУ;

режим партнера другого порта - включены все режимы;

переключатель "Только Broadcast" выключен;

переключатель "Отвечать на Ping" - на усмотрение администратора;

переключатель "Работа разрешена" включен.

Подсеть, 11.12.2.0; 255.255.255.0 (24 разряда);

через ФПСУ 11.12.2.50;

режим партнера этого порта - включен только режим через ФПСУ;

режим партнера другого порта - включены все режимы;

переключатель "Только Broadcast" выключен;

переключатель "Отвечать на Ping" - на усмотрение администратора;

переключатель "Работа разрешена" включен.

Необходимо также переконфигурировать пограничные маршрутизаторы с целью запрещения доступа к ним по протоколам сетевого управления с внешних портов.

Поскольку конфигурирование нескольких совместно работающих ФПСУ-IP для разветвленной сетевой топологии может вызвать затруднение у неопытного администратора, рекомендуется после заполнения конфигурационных таблиц произвести аналитическую проверку произведенных установок на предмет соответствия заданным требованиям (ограничениям).

В соответствии с установленной конфигурацией через ФПСУ-IP А:

абоненты области А не получат доступа к области В, маршрутизатору А и общедоступной сети передачи данных, поскольку все они не описаны со стороны порта 2; кроме того, доступу к ним препятствует также указанный в описателе для абонентов А режим работы с абонентом противоположного порта (только через ФПСУ);

отсутствие доступа абонентов области А к маршрутизатору А обеспечивается тем, что он описан (специально для этой цели) со стороны порта 2 с выключенным признаком "Работа разрешена" (все остальные установки в описателе, соответствующем маршрутизатору А, не имеют значения);

Доступ от абонентов области А к абонентам области С осуществляется через ФПСУ-IP В.

В соответствии с установленной конфигурацией через ФПСУ-IP В:

абоненты области В не имеют доступа к области А, поскольку в описателе А на порту 1 нет разрешения работы с абонентами данного порта; кроме того, доступу к А также препятствует то, что область В не входит в группу доступа, в которую входят А и С, а переключатель "Контроль взаимосвязей Активен" включен;

абонентам области В разрешено управление маршрутизатором А и доступ в общедоступную сеть передачи данных;

к абонентам области С (исключая маршрутизатор В, описанный отдельно) абоненты области В доступа не получат, поскольку область В не входит в группу доступа, в которую входят А и С, а переключатель "Контроль взаимосвязей Активен" включен;

доступ к маршрутизатору В от абонентов области В обеспечивается тем, что он указан как абонент на порту 2 и будет осуществляться только через ФПСУ-IP С.

В соответствии с установленной конфигурацией через ФПСУ-IP С:

отсутствие доступа абонентов области С к маршрутизатору А и области В обеспечивается тем, что область В не входит в группу доступа, в которую входят А и С, а переключатель "Контроль взаимосвязей Активен" включен;

доступ абонентов области С к мировой сети невозможен - они не указаны на порту 2; кроме того, у абонентов С указан режим работы с абонентами противоположного порта только через ФПСУ-IP;

доступ от абонентов области С к маршрутизатору В невозможен, поскольку, во-первых, управление маршрутизатором не разрешено, во-вторых, он не описан как абонент, в-третьих, у абонентов С указан режим работы с абонентами противоположного порта только через ФПСУ-IP.