Каскадная схема установки ФПСУ в локальной сети |
В документе «Описание применения» ПАК ФПСУ-IP приведена каскадная схема установки двух ФПСУ-IP в одной защищаемой области, при которой хосты оконечной области (защищенной двумя ФПСУ-IP) будут обмениваться пакетами с хостами сетевых фрагментов, находящихся со стороны внешнего порта внешнего ФПСУ-IP, через VPN-туннель, создаваемый в самой защищаемой области, а хосты защищаемой области - через внешний ФПСУ-IP защищаемой области. В данном разделе будут рассмотрены особенности конфигурирования работы комплексов в условиях такой сетевой топологии. Итак, предположим, что сеть организации представляет из себя два территориально разделенных фрагмента, для защиты которых будут применены ФПСУ-IP, причем в одной из подсетей существует особо ответственная IP-сеть, для которой необходимо обеспечить режим усиленной защиты. После установки комплексов сеть организации примет вид, отображенный на рисунке ниже. Используются следующие IP-адреса: •защищаемая область А - 192.168.1.0, маска 255.255.255.0 (24 бита); •защищаемая область В - 192.168.2.0, маска 255.255.255.0 (24 бита); •защищаемая область С - 192.168.3.0, маска 255.255.255.0 (24 бита); •внутренний порт маршрутизатора А -192.168.2.1; •внутренний порт маршрутизатора В -192.168.3.51. На работу сети наложены следующие ограничения: •хосты области А должны обмениваться пакетами только с хостами области С и не иметь доступа к другим абонентам; •управление пограничными маршрутизаторами (А и В) должно осуществляться из защищаемой области В; •хосты области В имеют доступ в мировую сеть Internet/Intranet и не имеют доступа к другим абонентам. С точки зрения конфигурирования ФПСУ-IP А для работы в условиях такой топологии и удовлетворения наложенных требований принципиальным является следующее: •со стороны внутреннего порта ФПСУ-IP (порта 1 со стороны области А) существует одна IP- подсеть, а со стороны порта 2 принадлежащих этой подсети хостов нет; маршрутизаторы и ФПСУ-IP отсутствуют; •со стороны порта 2 существуют: IP-подсеть В, доступ к которой необходимо запретить; IP-подсеть С, доступ в которую будет производиться через ФПСУ-IP В, а также мировая сеть, доступ в которую предоставлен не будет; существует также маршрутизатор А, находящийся с внешнего порта ФПСУ-IP В (поскольку он может являться маршрутизатором по умолчанию для хостов области А и является пограничным маршрутизатором); •обмен между защищаемыми областями А и С должен производиться только внутри двух организованных ФПСУ-IP VPN-туннелей с проведением двусторонней аутентификации и использованием дополнительных процедур сжатия и криптозащиты; •на ФПСУ-IP А должны быть установлены, и указаны как используемые, ранее выработанные ЦВК криптографические ключи номер 1; •со стороны внешнего порта ФПСУ-IP (порта 2) присутствует пограничный маршрутизатор А, управление которым из защищаемой области А не должно осуществляться. С точки зрения конфигурирования ФПСУ-IP В для работы в условиях такой топологии и удовлетворения наложенных требований принципиальным является следующее: •со стороны внутреннего порта (порта 1 со стороны области В) существуют две IP-подсети, доступ в область А должен быть запрещен абонентам В, к абонентам области В доступ будет производиться в режиме ретрансляции; маршрутизаторы отсутствуют; для организации туннеля через область В будет использован ФПСУ-IP А; •со стороны порта 2 существуют IP-подсеть С, доступ к которой абонентам В должен быть запрещен, а также абоненты общедоступной сети передачи данных; доступ к общедоступной сети передачи данных производится через маршрутизатор А; ФПСУ-IP С существует и доступен через маршрутизатор А; •на ФПСУ-IP В должны быть установлены, и указаны как используемые, ранее выработанные ЦВК криптографические ключи номер 2; •со стороны внешнего порта ФПСУ-IP (порта 2) существует пограничный маршрутизатор А, управление которым должно осуществляться только из защищаемой области В, причем каналы управления маршрутизаторами А и В за пределами их внешних портов должны быть защищены ФПСУ-IP В. С точки зрения конфигурирования ФПСУ-IP С для работы в условиях такой топологии и удовлетворения наложенных требований принципиальным является следующее: •со стороны внутреннего порта (порта 1 со стороны области С) существует IP-подсеть С, а со стороны порта 2 принадлежащих этой подсети хостов нет; маршрутизаторы и ФПСУ-IP отсутствуют; •со стороны порта 2 (внешнего) существуют: IP-подсеть В, доступ к которой необходимо запретить; IP-подсеть А, доступ в которую будет производиться через ФПСУ-IP В, а также общедоступная сеть, доступ в которую предоставлен не будет; маршрутизатор В является пограничным; •обмен между защищаемыми областями А и С должен производиться только внутри организованных ФПСУ-IP VPN-туннелей; •на ФПСУ-IP С должны быть установлены и указаны как используемые ранее выработанные ключи номер 3; •со стороны внешнего порта ФПСУ-IP С существует пограничный маршрутизатор В, управление которым должно осуществляться только из защищаемой области В, причем канал управления маршрутизатором за пределами его внешнего порта должен быть защищен ФПСУ-IP В. Конфигурация ФПСУ-IP должна содержать следующие установки: Для ФПСУ-IP А: Установлены выработанные ЦВК ключи парно-выборочной связи номер 1. Ключи номер 1 в настройках ФПСУ-IP А указаны как используемые. Порт 1: Номер 1, Адрес 192.168.1.50, Маска 255.255.255.0 (24 разряда), ФПСУ не определены, Маршрутизаторы не определены; Абоненты: Подсеть, 192.168.1.0; 255.255.255.0 (24 разряда); ретрансляция; режим партнера этого порта - выключен; режим партнера другого порта - включен только режим через ФПСУ; флаг "Работа разрешена" включен. Правила межсетевого экрана для этого абонента A_to_C
Порт 2: Номер 2, Адрес 192.168.1.50, Маска 255.255.255.0 (24 разряда); ФПСУ: 192.168.2.50, ключевые данные - 2.1; смена через 30 сек; сжатие и криптозащита - "желательно" или "обязательно"; Маршрутизаторы не определены; Абоненты: Подсеть, 192.168.3.0; 255.255.255.0 (24 разряда); через ФПСУ 192.168.2.50; режим партнера этого порта - включен только режим через ФПСУ; режим партнера другого порта - включены все режимы; флаг "Работа разрешена" включен.
Правила МЭ: 1 A_to_C Общие Действие : Accept Время работы : Любое Лог : Не вести лог Активно : Да Источник Сеть : 192.168.001.000 192.168.000.000/24 Назначение Сеть : 192.168.003.000 192.168.000.000/24 Служба : Любая 2 Block other traffic Общие Действие : Drop Время работы : Любое Лог : Не вести лог Активно : Да Источник : Любой Назначение : Любой Служба : Любая Для ФПСУ-IP В: Установлены выработанные ЦВК ключи парно-выборочной связи номер 2. Ключи номер 2 в настройках ФПСУ-IP B указаны как используемые. Создано и активировано разрешающее правило трафика, в которое включены подсети 192.168.1.0 и 192.168.3.0. Подсети 192.168.2.0 со стороны порта 1 разрешено управление маршрутизатором 192.168.2.1. Порт 1: Номер 1, Адрес 192.168.2.50, Маска 255.255.255.0 (24 разряда); ФПСУ: 192.168.1.50, ключевые данные - 1.1; смена через 30 сек; сжатие и криптозащита - "желательно" или "обязательно"; Маршрутизаторы не определены; Абоненты: Подсеть, 192.168.2.0; 255.255.255.0 (24 разряда); ретрансляция; режим партнера этого порта - выключен; режим партнера другого порта - включены все режимы; флаг "Работа разрешена" включен. Правила межсетевого экрана для этого абонента to routers Internet_B
Подсеть, 192.168.1.0; 255.255.255.0 (24 разряда); через ФПСУ 192.168.1.50; режим партнера этого порта - включен только режим через ФПСУ; режим партнера другого порта - включены все режимы; флаг "Работа разрешена" включен. Порт 2: Номер 2, Адрес 192.168.2.50, Маска 255.255.255.0 (24 разряда), ФПСУ: 192.168.3.50, ключевые данные - 3.1; смена через 30 сек; сжатие и криптозащита - "желательно" или "обязательно"; через маршрутизатор 192.168.2.1. Маршрутизаторы: 192.168.2.1, протоколы маршрутизации - все выключены; Абоненты: Подсеть, 192.168.3.0; 255.255.255.0 (24 разряда); через ФПСУ 192.168.3.50; режим партнера этого порта - включен только режим через ФПСУ; режим партнера другого порта - включены все режимы; флаг "Работа разрешена" включен. Любой хост; флаг "Работа разрешена" включен; через маршрутизатор 192.168.2.1; Хост, 192.168.3.51; через ФПСУ 192.168.2.50; режим партнера этого порта - включен только через ФПСУ; режим партнера другого порта - включены все режимы; флаг "Работа разрешена" включен.
Правила МЭ: 1 to routers Общие Действие : Accept Время работы : Любое Лог : Не вести лог Активно : Да Источник Сеть : 192.168.002.000 192.168.000.000/24 Назначение Хост : 192.168.002.001 192.168.002.001/32 Хост : 192.168.003.051 192.168.003.051/32 Служба : Любая 2 Internet_B Общие Действие : Accept Время работы : Любое Лог : Не вести лог Активно : Да Источник Сеть : 192.168.002.000 192.168.000.000/24 Назначение : Любой Служба : Любая
3 Block other traffic Общие Действие : Drop Время работы : Любое Лог : Не вести лог Активно : Да Источник : Любой Назначение : Любой Служба : Любая Для ФПСУ-IP С: Установлены выработанные ЦВК ключи парно-выборочной связи номер 3. Ключи номер 3 указаны как используемые. Создано и активировано разрешающее правило трафика, в которое включены подсети 192.168.1.0 и 192.168.3.0. Подсети 192.168.2.0 со стороны порта 2 разрешено управление маршрутизатором 192.168.3.1. Порт 1: Номер 1, Адрес 192.168.3.50, Маска 255.255.255.0 (24 разряда), ФПСУ не определены, Маршрутизаторы не определены; Абоненты: Подсеть, 192.168.3.0; 255.255.255.0 (24 разряда); ретрансляция; режим партнера этого порта - выключен; режим партнера другого порта - включен только режим через ФПСУ; флаг "Работа разрешена" включен. Правила межсетевого экрана для этого абонента C_to_A
Порт 2: Номер 2, Адрес 192.168.3.50, Маска 255.255.255.0 (24 разряда); ФПСУ: 192.168.2.50, ключевые данные - 2.1; смена через 30 сек; сжатие и криптозащита - "желательно" или "обязательно"; через маршрутизатор 192.168.3.51. Маршрутизаторы не определены; Абоненты: Подсеть, 192.168.1.0; 255.255.255.0 (24 разряда); через ФПСУ 192.168.2.50; режим партнера этого порта - включен только режим через ФПСУ; режим партнера другого порта - включены все режимы; флаг "Работа разрешена" включен. Подсеть, 192.168.2.0; 255.255.255.0 (24 разряда); через ФПСУ 192.168.2.50; режим партнера этого порта - включен только режим через ФПСУ; режим партнера другого порта - включены все режимы; флаг "Работа разрешена" включен.
Правила МЭ: 1 C_to_A Общие Действие : Accept Время работы : Любое Лог : Не вести лог Активно : Да Источник Сеть : 192.168.003.000 192.168.000.000/24 Назначение Сеть : 192.168.001.000 192.168.000.000/24 Служба : Любая 2 Block other traffic Общие Действие : Drop Время работы : Любое Лог : Не вести лог Активно : Да Источник : Любой Назначение : Любой Служба : Любая В конфигурациях ФПСУ-IP приведены только необходимые для работоспособности схемы настройки, дополнительно для абонентов должен быть выключен флаг «Только Broadcast», флаг «Отвечать на Ping» устанавливается на усмотрение администратора. Необходимо также переконфигурировать пограничные маршрутизаторы с целью запрещения доступа к ним по протоколам сетевого управления с внешних портов. Поскольку конфигурирование нескольких совместно работающих ФПСУ-IP для разветвленной сетевой топологии может вызвать затруднение у неопытного администратора, рекомендуется после заполнения конфигурационных таблиц произвести аналитическую проверку произведенных установок на предмет соответствия заданным требованиям (ограничениям). В соответствии с установленной конфигурацией через ФПСУ-IP А: •абоненты области А не получат доступа к области В, маршрутизатору А и общедоступной сети передачи данных, поскольку все они не описаны со стороны порта 2; кроме того, доступу к ним препятствует также указанный в описателе для абонентов А режим работы с абонентом противоположного порта (только через ФПСУ); •отсутствие доступа абонентов области А к маршрутизатору А обеспечивается тем, что он не описан со стороны порта 2; •Доступ от абонентов области А к абонентам области С осуществляется через ФПСУ-IP В, задан правилом трафика, разрешающим доступ в область С. В соответствии с установленной конфигурацией через ФПСУ-IP В: •абоненты области В не имеют доступа к области А, поскольку в описателе А на порту 1 нет разрешения работы с абонентами данного порта; кроме того, доступу к А также препятствует то, что для области В не задано правило трафика, разрешающее доступ в область А; •абонентам области В разрешено управление маршрутизатором А и В, а также доступ в общедоступную сеть передачи данных правилами МЭ; •доступ к маршрутизатору В от абонентов области В обеспечивается тем, что он указан как абонент на порту 2 и будет осуществляться только через ФПСУ-IP В; •к абонентам области С (исключая маршрутизатор В, описанный отдельно) абоненты области В доступа не получат, поскольку для области В не задано правило трафика, разрешающее доступ в область С. В соответствии с установленной конфигурацией через ФПСУ-IP С: •отсутствие доступа абонентов области С к маршрутизаторам А и в область В обеспечивается тем, что маршрутизатор А не описан как абонент со стороны внешнего порта 2, область С не входит в правило трафика, разрешающее доступ в область В; •доступ абонентов области С к мировой сети невозможен - они не указаны на порту 2; кроме того, у абонентов С указан режим работы с абонентами противоположного порта только через ФПСУ-IP; •доступ от абонентов области С к маршрутизатору В невозможен, поскольку, во-первых, управление маршрутизатором не разрешено, во-вторых, он не описан как абонент, в-третьих, у абонентов С указан режим работы с абонентами противоположного порта только через ФПСУ-IP. |