Настройка уровней доступа в правилах трафика

ФПСУ-IP может предоставлять доступ клиентов PKI в защищенную сеть на основе установленного уровня доступа клиента. Данное решение предполагает интеграцию с Комплексом информационной безопасности САКУРА разработки компании «ИТ-Экспертиза».

Общая схема взаимодействия клента PKI с защищаемой сетью на основе организации VPN-подключения подключения к ФПСУ-IP и уровнями доступа комплекса САКУРА выглядит следующим образом:

Клиенты PKI получают уровень доступа от сервера САКУРА, который показывает соответсвие удаленного рабочего места политикам безопасности в зависимости от обнаруженного уровня нарушений (в интерфейсе продуктов САКУРА). На удаленном рабочем месте пользователя требуется наличие установленного программного агента комплекса САКУРА.  

Уровень доступа для каждого клиента PKI присылается на ФПСУ-IP сервером САКУРА по запросу ФПСУ-IP, и может находиться в границах от 0 (наименее доверенный уровень) до 100 (наиболее доверенный уровень). При первичном подключении клиенту PKI устанавливается уровень доступа, равный 2.

Предлагается следующая схема для организации доступа клиентов PKI на основе уровней доступа клиента:

1. Клиент PKI, считаясь установленным на удаленной рабочей станции из незащищенной сети, подключается к ФПСУ-IP и получает доступ только в демилитаризованную зону к серверу САКУРА;

2.  Сервер САКУРА проводит проверку политик безопасности и возвращает уровень доступа данного клиента ФПСУ-IP;

3. ФПСУ-IP предоставляет доступ данному клиента PKI к защищенной инфраструктуре на основе уровня доступа. Уровень доступа клиента задается на основе статуса уровня нарушений, выявленного сервером САКУРА в ходе проверки политик безопасности.

Взаимодействия ФПСУ-IP с сервером САКУРА осуществляется по протоколу RADIUS, для этого в настройках ФПСУ-IP требуется указать в качестве сервера авторизации RADIUS - сервер САКУРА.

Необходимо заранее описать сервер САКУРА как сервер авторизации в меню редактирования конфигурации «Сетевые сервисы → RADIUS серверы» или в меню «Клиенты → Клиенты вер.2» по кнопке «Редактор серверов».

В меню редактирования конфигурации «Клиенты → Клиенты вер.2» необходимо  в настройках RADIUS выбрать сервер САКУРА как сервер авторизации.

НА ФПСУ-IP уровень доступа клиентов PKI настраивается в правилах трафика межсетевого экрана.

Для взаимодействия клиентов PKI с защищаемым сервером требуется настроить следующие категории правил трафика межсетевого экрана:

•правило трафика для взаимодействия сервера САКУРА с ФПСУ-IP;

•правило трафика для первичного доступа клиентов PKI (уровень доступа определяется администратором системы) в определенную администратором ФПСУ демилитаризованную зону к серверу САКУРА;

•правило трафика для доступа клиентов PKI с заданным уровнем доступа (определяется администратором системы) к защищаемому серверу.

Ниже указывается пример настройки доступа клиентов PKI с уровнем доступа 100 к целевому серверу с IP-адресом 192.168.130.5, ФПСУ-IP взаимодействует с сервером САКУРА с IP-адресом 192.168.252.142, при этом клиентам с уровнем доступа 1 и выше разрешен доступ только к серверу САКУРА.

Межсетевой экран на ФПСУ должен быть задействован в конфигурации (активен).

Должны быть созданы и задействованы следующие правила межсетевого экрана:

1. Правило трафика для взаимодействия сервера САКУРА с ФПСУ-IP

Правило, разрешающее исходящие соединения с сервера САКУРА с IP-адресом 192.168.252.142 в адрес порта ФПСУ-IP, напрямую соединенного с  сервером САКУРА 192.168.252.001, согласно приведенной выше схеме примера (подробнее о создании правила трафика изложено в разделе «Правила трафика»). В правиле межсетевого экрана во вкладке «Общие» указывается действие Accept и флаг Активно для активации правила, во вкладке «Источник» IP адрес сервера САКУРА, во вкладке «Назначение» - IP адрес порта ФПСУ-IP.

2. Правило трафика для доступа клиентов PKI с первоначальным уровнем доступа в демилитаризованную зону с сервером САКУРА

Правило требуется, чтобы запросы на оценку уровня доступа от первично подключившихся клиентов PKI смогли попасть на сервер САКУРА.

Правило, разрешающее доступа клиентов PKI с уровнем доступа 1 или выше к серверу САКУРА с IP-адресом 192.168.252.142.

Для создания правила из меню конфигурации выберите пункт «Параметры доступа → Правила трафика». В открывшемся окне добавьте новое правило трафика, нажав кнопку «Добавить». Создайте следующее правило:

1. В окне «Добавить правило» на вкладке «Общие» задайте действие Accept, флаг Активно для активации правила и укажите комментарий к правилу. Остальные опции не используются.

2. Для добавления в список обрабатываемых правилом источников трафика данных на вкладке «Источник» выберите категорию «Клиент». Для Группы установите значение Все PKI клиенты (на ФПСУ-IP должны быть предвательно задействованы клиенты PKI, см. пункт «Настройка параметров клиентов PKI» ).

Уровень доступа выбирается на усмотрение администратора системы. Определим уровень доступа «>=1», этого будет достаточно, чтобы клиенты с уровнем доступа 1 и больше могли получить доступ к серверу САКУРА. Активируйте настройки, установив флаг «Активно», и сохраните настройки источников трафика.

3. На вкладке «Назначение» задайте IP-адрес сервера САКУРА, к которому будет разрешен доступ клиентов PKI. Сохраните правило.

В списке правил трафика отобразится созданное правило. Примените настройки.

Правило трафика для доступа клиентов PKI к защищаемому серверу

Правило требуется для разрешения взаимодействия клиентов PKI, получивших уровень доступа 100 от сервера САКУРЫ, с защищаемым сервером (например, файловым или сервером почты).

Разрешенное сетевое взаимодействие клиентов PKI, получивших от сервера САКУРЫ уровень доступа 100, с серверами защищаемой сети определяется правилом трафика с действием Accept, источником трафика которого указываются клиенты PKI с уровнем доступа равным 100, а получателем  - сервер/сервера защищаемой сети, в примере - один сервер 192.168.130.005.

После установки все трех правил, клиенты PKI смогут подключаться к ФПСУ-IP, получать от установленного в демилитаризованной зоне сервера САКУРА с адресом 192.168.252.142 личный уровень доступа, и взаимодействовать с сервером защищаемой сети 192.168.130.005, если сервер САКУРА выставит клиенту PKI уровень доступа равный 100.