Примеры настройки ФПСУ
Previous 

Использование ФПСУ на медленных каналах. Спутник, spoofing

 Next

Рассмотрим ситуацию, когда сеть организации представляет отдельные локальные IP-подсети, разделенные территориально и для передачи данных используется спутниковый канал связи. Защищенное взаимодействие каждой из локальных подсетей обеспечивается ФПСУ, подключенного со стороны внутреннего порта пограничного маршрутизатора, предоставляющего доступ к сети Интернет с использованием технологий спутниковой связи (подробнее о настройках см. пункт «Дополнительные параметры и защита от flood-атак»).

Рассмотрим пример, когда абонент области А отправляет данные абоненту области В. При настройке спуфинга важно учитывать в каком направлении строится сессия TCP. Настройки спуфинга устанавливаются на принимающей стороне, ФПСУ В. Необходимо задать правило МЭ для входящего трафика от абонентов области А с включением функции спуфинга, включить настройки спуфинга в параметрах доступа на ФПСУ В. Спуфинг позволяет ФПСУ В отправлять подтверждение о получении TCP пакета от абонента области А не дожидаясь подтверждения его получения. На ФПСУ А достаточно задать правило МЭ для исходящего трафика. При обмене пакетами спуфинг на ФПСУ А включается автоматически, с настройками спуфинга по умолчанию.

Используются следующие IP-адреса:

защищаемая область А - 192.168.0.0, маска 255.255.255.0 (24 бита);

защищаемая область В - 192.168.1.0, маска 255.255.255.0 (24 бита).

Конфигурация ФПСУ должна содержать следующие установки:

Для ФПСУ А:

Установлены выработанные ЦВК ключи парно-выборочной связи номер 1. Ключи номер 1 указаны как используемые.

Порт 1:

Номер 1,

Адрес 203.000.113.001,

Маска 255.255.255.000 (24 разряда),

ФПСУ

203.000.113.2, ключевые данные - 2.1; смена через 30 сек;

сжатие и криптозащита - "желательно" или "обязательно";

Маршрутизаторы:203.000.113.011,

протоколы маршрутизации выключены;

 

Абоненты:

Адрес 192.168.001.000; Маска 255.255.255.000;

Доступен через маршрутизатор 203.000.113.011

режим работы ретрансляция;

режим партнера этого порта — включен только в ретрансляции;

режим партнера другого порта - включен только в ретрансляции;

флаг "Работа разрешена" включен.

 

Порт 2:

Номер 2,

Адрес 192.168.000.254,

Маска 255.255.255.000 (24 разряда),

ФПСУ не определены,

Маршрутизаторы не определены;

Абоненты:

Подсеть; Адрес 192.168.000.000; Маска 255.255.255.000;

режим работы ретрансляция;

режим партнера этого порта — включен только в ретрансляции;

режим партнера другого порта - включен только в ретрансляции;

флаг "Работа разрешена" включен.

Правила межсетевого экрана для этого абонента

Change

 

Правила МЭ:

 

1 Change

     Общие

       Действие        : Accept

       Время работы    : Любое

       Лог             : Не вести лог

       Активно         : Да

     Источник

       Сеть            :   192.168.000.000 192.168.000.000/24

     Назначение

       Сеть            :   192.168.001.000 192.168.001.000/24

     Служба          : Любая

 

2 Block other traffic

     Общие

       Действие        : Drop

       Время работы    : Любое

       Лог             : Не вести лог

       Активно         : Да

     Источник        : Любой

     Назначение      : Любой

     Служба          : Любая

 

Для ФПСУ В:

Установлены выработанные ЦВК ключи парно-выборочной связи номер 2. Ключи номер 2 указаны как используемые.

Порт 1:

Номер 1,

Адрес 203.000.113.002,

Маска 255.255.255.000 (24 разряда),

ФПСУ

203.000.113.1, ключевые данные - 1.1; смена через 30 сек;

сжатие и криптозащита - "желательно" или "обязательно";

Маршрутизаторы:203.000.113.012,

протоколы маршрутизации выключены;

 

Абоненты:

Адрес 192.168.000.000; Маска 255.255.255.000;

Доступен через маршрутизатор 203.000.113.012

режим работы ретрансляция;

режим партнера этого порта — включен только в ретрансляции;

режим партнера другого порта - включен только в ретрансляции;

флаг "Работа разрешена" включен.

 

Порт 2:

Номер 2,

Адрес 192.168.001.254,

Маска 255.255.255.000 (24 разряда),

ФПСУ не определены,

Маршрутизаторы не определены;

Абоненты:

Подсеть; Адрес 192.168.001.000; Маска 255.255.255.000;

режим работы ретрансляция;

режим партнера этого порта — включен только в ретрансляции;

режим партнера другого порта - включен только в ретрансляции;

флаг "Работа разрешена" включен.

Правила межсетевого экрана для этого абонента

Spoof

 

Правила МЭ:

1 Spoof

     Общие

       Действие        : Accept

       Время работы    : Любое

       Лог             : Не вести лог

       Spoof           : Да

       Активно         : Да

     Источник

       Сеть            :   192.168.000.000 192.168.000.000/24

     Назначение

       Сеть            :   192.168.001.000 192.168.001.000/24

     Служба          : TCP

 

2 Block other traffic

     Общие

       Действие        : Drop

       Время работы    : Любое

       Лог             : Не вести лог

       Активно         : Да

     Источник        : Любой

     Назначение      : Любой

     Служба          : Любая

 

Службы:

   1. TCP

     Общие

       Протокол        : TCP

       Порт источника  : Любой

       Порт назначения : Любой

 

меню Параметры доступа→Параметры→Spoofing:

Таймаут повторной пересылки задержанного пакета 250,

Шаг увеличения таймаута 125,

В конфигурациях ФПСУ приведены только необходимые для работоспособности схемы настройки, дополнительно для абонентов должен быть выключен флаг «Только Broadcast», флаг «Отвечать на Ping» устанавливается на усмотрение администратора.

Достаточно настроить спуфинг на одном ФПСУ, где используется спутниковая связь. Межсетевой экран ФПСУ должен быть задействован. Созданное правило межсетевого экрана должно быть задействовано. Межсетевым экраном контролируется каждая сессия, поэтому достаточно описать правило трафика из защищенной области А в защищенную область В.