Каскадная схема установки ФПСУ в локальной сети
|
|
Каскадная схема установки ФПСУ в локальной сети |
|
|
В документе «Описание применения» ПАК ФПСУ приведена каскадная схема установки двух ФПСУ в одной защищаемой области, при которой хосты оконечной области (защищенной двумя ФПСУ) будут обмениваться пакетами с хостами сетевых фрагментов, находящихся со стороны внешнего порта внешнего ФПСУ, через VPN-туннель, создаваемый в самой защищаемой области, а хосты защищаемой области - через внешний ФПСУ защищаемой области. В данном разделе будут рассмотрены особенности конфигурирования работы комплексов в условиях такой сетевой топологии. Итак, предположим, что сеть организации представляет из себя два территориально разделенных фрагмента, для защиты которых будут применены ФПСУ, причем в одной из подсетей существует особо ответственная IP-сеть, для которой необходимо обеспечить режим усиленной защиты. После установки комплексов сеть организации примет вид, отображенный на рисунке ниже. Используются следующие IP-адреса: •защищаемая область А - 192.168.1.0, маска 255.255.255.0 (24 бита); •защищаемая область В - 192.168.2.0, маска 255.255.255.0 (24 бита); •защищаемая область С - 192.168.3.0, маска 255.255.255.0 (24 бита); •внутренний порт маршрутизатора А -192.168.2.1; •внутренний порт маршрутизатора В -192.168.3.51. На работу сети наложены следующие ограничения: •хосты области А должны обмениваться пакетами только с хостами области С и не иметь доступа к другим абонентам; •управление пограничными маршрутизаторами (А и В) должно осуществляться из защищаемой области В; •хосты области В имеют доступ в мировую сеть Internet/Intranet и не имеют доступа к другим абонентам. С точки зрения конфигурирования ФПСУ А для работы в условиях такой топологии и удовлетворения наложенных требований принципиальным является следующее: •со стороны внутреннего порта ФПСУ (порта 1 со стороны области А) существует одна IP- подсеть, а со стороны порта 2 принадлежащих этой подсети хостов нет; маршрутизаторы и ФПСУ отсутствуют; •со стороны порта 2 существуют: IP-подсеть В, доступ к которой необходимо запретить; IP-подсеть С, доступ в которую будет производиться через ФПСУ В, а также мировая сеть, доступ в которую предоставлен не будет; существует также маршрутизатор А, находящийся с внешнего порта ФПСУ В (поскольку он может являться маршрутизатором по умолчанию для хостов области А и является пограничным маршрутизатором); •обмен между защищаемыми областями А и С должен производиться только внутри двух организованных ФПСУ VPN-туннелей с проведением двусторонней аутентификации и использованием дополнительных процедур сжатия и криптозащиты; •на ФПСУ А должны быть установлены, и указаны как используемые, ранее выработанные ЦВК криптографические ключи номер 1; •со стороны внешнего порта ФПСУ (порта 2) присутствует пограничный маршрутизатор А, управление которым из защищаемой области А не должно осуществляться.
С точки зрения конфигурирования ФПСУ В для работы в условиях такой топологии и удовлетворения наложенных требований принципиальным является следующее: •со стороны внутреннего порта (порта 1 со стороны области В) существуют две IP-подсети, доступ в область А должен быть запрещен абонентам В, к абонентам области В доступ будет производиться в режиме ретрансляции; маршрутизаторы отсутствуют; для организации туннеля через область В будет использован ФПСУ А; •со стороны порта 2 существуют IP-подсеть С, доступ к которой абонентам В должен быть запрещен, а также абоненты общедоступной сети передачи данных; доступ к общедоступной сети передачи данных производится через маршрутизатор А; ФПСУ С существует и доступен через маршрутизатор А; •на ФПСУ В должны быть установлены, и указаны как используемые, ранее выработанные ЦВК криптографические ключи номер 2; •со стороны внешнего порта ФПСУ (порта 2) существует пограничный маршрутизатор А, управление которым должно осуществляться только из защищаемой области В, причем каналы управления маршрутизаторами А и В за пределами их внешних портов должны быть защищены ФПСУ В. С точки зрения конфигурирования ФПСУ С для работы в условиях такой топологии и удовлетворения наложенных требований принципиальным является следующее: •со стороны внутреннего порта (порта 1 со стороны области С) существует IP-подсеть С, а со стороны порта 2 принадлежащих этой подсети хостов нет; маршрутизаторы и ФПСУ отсутствуют; •со стороны порта 2 (внешнего) существуют: IP-подсеть В, доступ к которой необходимо запретить; IP-подсеть А, доступ в которую будет производиться через ФПСУ В, а также общедоступная сеть, доступ в которую предоставлен не будет; маршрутизатор В является пограничным; •обмен между защищаемыми областями А и С должен производиться только внутри организованных ФПСУ VPN-туннелей; •на ФПСУ С должны быть установлены и указаны как используемые ранее выработанные ключи номер 3; •со стороны внешнего порта ФПСУ С существует пограничный маршрутизатор В, управление которым должно осуществляться только из защищаемой области В, причем канал управления маршрутизатором за пределами его внешнего порта должен быть защищен ФПСУ В. Конфигурация ФПСУ должна содержать следующие установки: Для ФПСУ А: Установлены выработанные ЦВК ключи парно-выборочной связи номер 1. Ключи номер 1 в настройках ФПСУ А указаны как используемые. Порт 1: Номер 1, Адрес 192.168.1.50, Маска 255.255.255.0 (24 разряда), ФПСУ не определены, Маршрутизаторы не определены; Абоненты: Подсеть, 192.168.1.0; 255.255.255.0 (24 разряда); ретрансляция; режим партнера этого порта - выключен; режим партнера другого порта - включен только режим через ФПСУ; флаг "Работа разрешена" включен. Правила межсетевого экрана для этого абонента A_to_C
Порт 2: Номер 2, Адрес 192.168.1.50, Маска 255.255.255.0 (24 разряда); ФПСУ: 192.168.2.50, ключевые данные - 2.1; смена через 30 сек; сжатие и криптозащита - "желательно" или "обязательно"; Маршрутизаторы не определены; Абоненты: Подсеть, 192.168.3.0; 255.255.255.0 (24 разряда); через ФПСУ 192.168.2.50; режим партнера этого порта - включен только режим через ФПСУ; режим партнера другого порта - включены все режимы; флаг "Работа разрешена" включен.
Правила МЭ: 1 A_to_C Общие Действие : Accept Время работы : Любое Лог : Не вести лог Активно : Да Источник Сеть : 192.168.001.000 192.168.000.000/24 Назначение Сеть : 192.168.003.000 192.168.000.000/24 Служба : Любая 2 Block other traffic Общие Действие : Drop Время работы : Любое Лог : Не вести лог Активно : Да Источник : Любой Назначение : Любой Служба : Любая Для ФПСУ В: Установлены выработанные ЦВК ключи парно-выборочной связи номер 2. Ключи номер 2 в настройках ФПСУ B указаны как используемые. Создано и активировано разрешающее правило трафика, в которое включены подсети 192.168.1.0 и 192.168.3.0. Подсети 192.168.2.0 со стороны порта 1 разрешено управление маршрутизатором 192.168.2.1. Порт 1: Номер 1, Адрес 192.168.2.50, Маска 255.255.255.0 (24 разряда); ФПСУ: 192.168.1.50, ключевые данные - 1.1; смена через 30 сек; сжатие и криптозащита - "желательно" или "обязательно"; Маршрутизаторы не определены; Абоненты: Подсеть, 192.168.2.0; 255.255.255.0 (24 разряда); ретрансляция; режим партнера этого порта - выключен; режим партнера другого порта - включены все режимы; флаг "Работа разрешена" включен. Правила межсетевого экрана для этого абонента to routers Internet_B
Подсеть, 192.168.1.0; 255.255.255.0 (24 разряда); через ФПСУ 192.168.1.50; режим партнера этого порта - включен только режим через ФПСУ; режим партнера другого порта - включены все режимы; флаг "Работа разрешена" включен. Порт 2: Номер 2, Адрес 192.168.2.50, Маска 255.255.255.0 (24 разряда), ФПСУ: 192.168.3.50, ключевые данные - 3.1; смена через 30 сек; сжатие и криптозащита - "желательно" или "обязательно"; через маршрутизатор 192.168.2.1. Маршрутизаторы: 192.168.2.1, протоколы маршрутизации - все выключены; Абоненты: Подсеть, 192.168.3.0; 255.255.255.0 (24 разряда); через ФПСУ 192.168.3.50; режим партнера этого порта - включен только режим через ФПСУ; режим партнера другого порта - включены все режимы; флаг "Работа разрешена" включен. Любой хост; флаг "Работа разрешена" включен; через маршрутизатор 192.168.2.1; Хост, 192.168.3.51; через ФПСУ 192.168.2.50; режим партнера этого порта - включен только через ФПСУ; режим партнера другого порта - включены все режимы; флаг "Работа разрешена" включен.
Правила МЭ: 1 to routers Общие Действие : Accept Время работы : Любое Лог : Не вести лог Активно : Да Источник Сеть : 192.168.002.000 192.168.000.000/24 Назначение Хост : 192.168.002.001 192.168.002.001/32 Хост : 192.168.003.051 192.168.003.051/32 Служба : Любая 2 Internet_B Общие Действие : Accept Время работы : Любое Лог : Не вести лог Активно : Да Источник Сеть : 192.168.002.000 192.168.000.000/24 Назначение : Любой Служба : Любая
3 Block other traffic Общие Действие : Drop Время работы : Любое Лог : Не вести лог Активно : Да Источник : Любой Назначение : Любой Служба : Любая Для ФПСУ С: Установлены выработанные ЦВК ключи парно-выборочной связи номер 3. Ключи номер 3 указаны как используемые. Создано и активировано разрешающее правило трафика, в которое включены подсети 192.168.1.0 и 192.168.3.0. Подсети 192.168.2.0 со стороны порта 2 разрешено управление маршрутизатором 192.168.3.1. Порт 1: Номер 1, Адрес 192.168.3.50, Маска 255.255.255.0 (24 разряда), ФПСУ не определены, Маршрутизаторы не определены; Абоненты: Подсеть, 192.168.3.0; 255.255.255.0 (24 разряда); ретрансляция; режим партнера этого порта - выключен; режим партнера другого порта - включен только режим через ФПСУ; флаг "Работа разрешена" включен. Правила межсетевого экрана для этого абонента C_to_A
Порт 2: Номер 2, Адрес 192.168.3.50, Маска 255.255.255.0 (24 разряда); ФПСУ: 192.168.2.50, ключевые данные - 2.1; смена через 30 сек; сжатие и криптозащита - "желательно" или "обязательно"; через маршрутизатор 192.168.3.51. Маршрутизаторы не определены; Абоненты: Подсеть, 192.168.1.0; 255.255.255.0 (24 разряда); через ФПСУ 192.168.2.50; режим партнера этого порта - включен только режим через ФПСУ; режим партнера другого порта - включены все режимы; флаг "Работа разрешена" включен. Подсеть, 192.168.2.0; 255.255.255.0 (24 разряда); через ФПСУ 192.168.2.50; режим партнера этого порта - включен только режим через ФПСУ; режим партнера другого порта - включены все режимы; флаг "Работа разрешена" включен.
Правила МЭ: 1 C_to_A Общие Действие : Accept Время работы : Любое Лог : Не вести лог Активно : Да Источник Сеть : 192.168.003.000 192.168.000.000/24 Назначение Сеть : 192.168.001.000 192.168.000.000/24 Служба : Любая 2 Block other traffic Общие Действие : Drop Время работы : Любое Лог : Не вести лог Активно : Да Источник : Любой Назначение : Любой Служба : Любая В конфигурациях ФПСУ приведены только необходимые для работоспособности схемы настройки, дополнительно для абонентов должен быть выключен флаг «Только Broadcast», флаг «Отвечать на Ping» устанавливается на усмотрение администратора. Необходимо также переконфигурировать пограничные маршрутизаторы с целью запрещения доступа к ним по протоколам сетевого управления с внешних портов. Поскольку конфигурирование нескольких совместно работающих ФПСУ для разветвленной сетевой топологии может вызвать затруднение у неопытного администратора, рекомендуется после заполнения конфигурационных таблиц произвести аналитическую проверку произведенных установок на предмет соответствия заданным требованиям (ограничениям). В соответствии с установленной конфигурацией через ФПСУ А: •абоненты области А не получат доступа к области В, маршрутизатору А и общедоступной сети передачи данных, поскольку все они не описаны со стороны порта 2; кроме того, доступу к ним препятствует также указанный в описателе для абонентов А режим работы с абонентом противоположного порта (только через ФПСУ); •отсутствие доступа абонентов области А к маршрутизатору А обеспечивается тем, что он не описан со стороны порта 2; •Доступ от абонентов области А к абонентам области С осуществляется через ФПСУ В, задан правилом трафика, разрешающим доступ в область С. В соответствии с установленной конфигурацией через ФПСУ В: •абоненты области В не имеют доступа к области А, поскольку в описателе А на порту 1 нет разрешения работы с абонентами данного порта; кроме того, доступу к А также препятствует то, что для области В не задано правило трафика, разрешающее доступ в область А; •абонентам области В разрешено управление маршрутизатором А и В, а также доступ в общедоступную сеть передачи данных правилами МЭ; •доступ к маршрутизатору В от абонентов области В обеспечивается тем, что он указан как абонент на порту 2 и будет осуществляться только через ФПСУ В; •к абонентам области С (исключая маршрутизатор В, описанный отдельно) абоненты области В доступа не получат, поскольку для области В не задано правило трафика, разрешающее доступ в область С. В соответствии с установленной конфигурацией через ФПСУ С: •отсутствие доступа абонентов области С к маршрутизаторам А и в область В обеспечивается тем, что маршрутизатор А не описан как абонент со стороны внешнего порта 2, область С не входит в правило трафика, разрешающее доступ в область В; •доступ абонентов области С к мировой сети невозможен - они не указаны на порту 2; кроме того, у абонентов С указан режим работы с абонентами противоположного порта только через ФПСУ; •доступ от абонентов области С к маршрутизатору В невозможен, поскольку, во-первых, управление маршрутизатором не разрешено, во-вторых, он не описан как абонент, в-третьих, у абонентов С указан режим работы с абонентами противоположного порта только через ФПСУ. |
