Previous 

Использование ФПСУ-IP на медленных каналах. Спутник, spoofing

Next

Рассмотрим ситуацию, когда сеть организации представляет отдельные локальные IP-подсети, разделенные территориально и для передачи данных используется спутниковый канал связи. Защищенное взаимодействие каждой из локальных подсетей обеспечивается ФПСУ-IP, подключенного со стороны внутреннего порта пограничного маршрутизатора, предоставляющего доступ к сети Интернет с использованием технологий спутниковой связи (подробнее о настройках см. пункт «Дополнительные параметры и защита от flood-атак»).

Sample_CFG_Scheme10_23082022

Рассмотрим пример, когда абонент области А отправляет данные абоненту области В. При настройке спуфинга важно учитывать в каком направлении строится сессия TCP. Настройки спуфинга устанавливаются на принимающей стороне, ФПСУ-IP В. Необходимо задать правило МЭ для входящего трафика от абонентов области А с включением функции спуфинга, включить настройки спуфинга в параметрах доступа на ФПСУ-IP В. Спуфинг позволяет ФПСУ-IP В отправлять подтверждение о получении TCP пакета от абонента области А не дожидаясь подтверждения его получения. На ФПСУ-IP А достаточно задать правило МЭ для исходящего трафика. При обмене пакетами спуфинг на ФПСУ-IP А включается автоматически, с настройками спуфинга по умолчанию.

Используются следующие IP-адреса:

защищаемая область А - 192.168.0.0, маска 255.255.255.0 (24 бита);

защищаемая область В - 192.168.1.0, маска 255.255.255.0 (24 бита).

Конфигурация ФПСУ-IP должна содержать следующие установки:

Для ФПСУ-IP А:

Установлены выработанные ЦВК ключи парно-выборочной связи номер 1. Ключи номер 1 указаны как используемые.

Порт 1:

Номер 1,

Адрес 203.000.113.001,

Маска 255.255.255.000 (24 разряда),

ФПСУ

203.000.113.2, ключевые данные - 2.1; смена через 30 сек;

сжатие и криптозащита - "желательно" или "обязательно";

Маршрутизаторы:203.000.113.011,

протоколы маршрутизации выключены;

 

Абоненты:

Адрес 192.168.001.000; Маска 255.255.255.000;

Доступен через маршрутизатор 203.000.113.011

режим работы ретрансляция;

режим партнера этого порта — включен только в ретрансляции;

режим партнера другого порта - включен только в ретрансляции;

флаг "Работа разрешена" включен.

 

Порт 2:

Номер 2,

Адрес 192.168.000.254,

Маска 255.255.255.000 (24 разряда),

ФПСУ не определены,

Маршрутизаторы не определены;

Абоненты:

Подсеть; Адрес 192.168.000.000; Маска 255.255.255.000;

режим работы ретрансляция;

режим партнера этого порта — включен только в ретрансляции;

режим партнера другого порта - включен только в ретрансляции;

флаг "Работа разрешена" включен.

Правила межсетевого экрана для этого абонента

Change

 

Правила МЭ:

 

1 Change

     Общие

       Действие        : Accept

       Время работы    : Любое

       Лог             : Не вести лог

       Активно         : Да

     Источник

       Сеть            :   192.168.000.000 192.168.000.000/24

     Назначение

       Сеть            :   192.168.001.000 192.168.001.000/24

     Служба          : Любая

 

2 Block other traffic

     Общие

       Действие        : Drop

       Время работы    : Любое

       Лог             : Не вести лог

       Активно         : Да

     Источник        : Любой

     Назначение      : Любой

     Служба          : Любая

 

 

Для ФПСУ-IP В:

Установлены выработанные ЦВК ключи парно-выборочной связи номер 2. Ключи номер 2 указаны как используемые.

Порт 1:

Номер 1,

Адрес 203.000.113.002,

Маска 255.255.255.000 (24 разряда),

ФПСУ

203.000.113.1, ключевые данные - 1.1; смена через 30 сек;

сжатие и криптозащита - "желательно" или "обязательно";

Маршрутизаторы:203.000.113.012,

протоколы маршрутизации выключены;

 

Абоненты:

Адрес 192.168.000.000; Маска 255.255.255.000;

Доступен через маршрутизатор 203.000.113.012

режим работы ретрансляция;

режим партнера этого порта — включен только в ретрансляции;

режим партнера другого порта - включен только в ретрансляции;

флаг "Работа разрешена" включен.

 

 

Порт 2:

Номер 2,

Адрес 192.168.001.254,

Маска 255.255.255.000 (24 разряда),

ФПСУ не определены,

Маршрутизаторы не определены;

Абоненты:

Подсеть; Адрес 192.168.001.000; Маска 255.255.255.000;

режим работы ретрансляция;

режим партнера этого порта — включен только в ретрансляции;

режим партнера другого порта - включен только в ретрансляции;

флаг "Работа разрешена" включен.

Правила межсетевого экрана для этого абонента

Spoof

 

Правила МЭ:

1 Spoof

     Общие

       Действие        : Accept

       Время работы    : Любое

       Лог             : Не вести лог

       Spoof           : Да

       Активно         : Да

     Источник

       Сеть            :   192.168.000.000 192.168.000.000/24

     Назначение

       Сеть            :   192.168.001.000 192.168.001.000/24

     Служба          : TCP

 

2 Block other traffic

     Общие

       Действие        : Drop

       Время работы    : Любое

       Лог             : Не вести лог

       Активно         : Да

     Источник        : Любой

     Назначение      : Любой

     Служба          : Любая

 

Службы:

   1. TCP

     Общие

       Протокол        : TCP

       Порт источника  : Любой

       Порт назначения : Любой

 

меню Параметры доступа→Параметры→Spoofing:

Таймаут повторной пересылки задержанного пакета 250,

Шаг увеличения таймаута 125,

В конфигурациях ФПСУ-IP приведены только необходимые для работоспособности схемы настройки, дополнительно для абонентов должен быть выключен флаг «Только Broadcast», флаг «Отвечать на Ping» устанавливается на усмотрение администратора.

Достаточно настроить спуфинг на одном ФПСУ-IP, где используется спутниковая связь. Межсетевой экран ФПСУ-IP должен быть задействован. Созданное правило межсетевого экрана должно быть задействовано. Межсетевым экраном контролируется каждая сессия, поэтому достаточно описать правило трафика из защищенной области А в защищенную область В.