Каскадная схема установки ФПСУ-IP в локальной сети

В документе «Описание применения» ПАК ФПСУ-IP приведена каскадная схема установки двух ФПСУ-IP в одной защищаемой области, при которой хосты оконечной области (защищенной двумя ФПСУ-IP) будут обмениваться пакетами с хостами сетевых фрагментов, находящихся со стороны внешнего порта внешнего ФПСУ-IP, через VPN-туннель, создаваемый в самой защищаемой области, а хосты защищаемой области - через внешний ФПСУ-IP защищаемой области. В данном разделе будут рассмотрены особенности конфигурирования работы комплексов в условиях такой сетевой топологии.

Итак, предположим, что сеть организации представляет из себя два территориально разделенных фрагмента, для защиты которых будут применены ФПСУ-IP, причем в одной из подсетей существует особо ответственная IP-сеть, для которой необходимо обеспечить режим усиленной защиты. После установки комплексов сеть организации примет вид, отображенный на рисунке ниже.

Используются следующие IP-адреса:

•защищаемая область А - 192.168.1.0, маска 255.255.255.0 (24 бита);

•защищаемая область В - 192.168.2.0, маска 255.255.255.0 (24 бита);

•защищаемая область С - 192.168.3.0, маска 255.255.255.0 (24 бита);

•внутренний порт маршрутизатора А -192.168.2.1;

•внутренний порт маршрутизатора В -192.168.3.51.

На работу сети наложены следующие ограничения:

•хосты области А должны обмениваться пакетами только с хостами области С и не иметь доступа к другим абонентам;

•управление пограничными маршрутизаторами (А и В) должно осуществляться из защищаемой области В;

•хосты области В имеют доступ в мировую сеть Internet/Intranet и не имеют доступа к другим абонентам.

С точки зрения конфигурирования ФПСУ-IP А для работы в условиях такой топологии и удовлетворения наложенных требований принципиальным является следующее:

•со стороны внутреннего порта ФПСУ-IP (порта 1 со стороны области А) существует одна IP- подсеть, а со стороны порта 2 принадлежащих этой подсети хостов нет; маршрутизаторы и ФПСУ-IP отсутствуют;

•со стороны порта 2 существуют: IP-подсеть В, доступ к которой необходимо запретить; IP-подсеть С, доступ в которую будет производиться через ФПСУ-IP В, а также мировая сеть, доступ в которую предоставлен не будет; существует также маршрутизатор А, находящийся с внешнего порта ФПСУ-IP В (поскольку он может являться маршрутизатором по умолчанию для хостов области А и является пограничным маршрутизатором);

•обмен между защищаемыми областями А и С должен производиться только внутри двух организованных ФПСУ-IP VPN-туннелей с проведением двусторонней аутентификации и использованием дополнительных процедур сжатия и криптозащиты;

•на ФПСУ-IP А должны быть установлены, и указаны как используемые, ранее выработанные ЦВК криптографические ключи номер 1;

•со стороны внешнего порта ФПСУ-IP (порта 2) присутствует пограничный маршрутизатор А, управление которым из защищаемой области А не должно осуществляться.

С точки зрения конфигурирования ФПСУ-IP В для работы в условиях такой топологии и удовлетворения наложенных требований принципиальным является следующее:

•со стороны внутреннего порта (порта 1 со стороны области В) существуют две IP-подсети, доступ в область А должен быть запрещен абонентам В, к абонентам области В доступ будет производиться в режиме ретрансляции; маршрутизаторы отсутствуют; для организации туннеля через область В будет использован ФПСУ-IP А;

•со стороны порта 2 существуют IP-подсеть С, доступ к которой абонентам В должен быть запрещен, а также абоненты общедоступной сети передачи данных; доступ к общедоступной сети передачи данных производится через маршрутизатор А; ФПСУ-IP С существует и доступен через маршрутизатор А;

•на ФПСУ-IP В должны быть установлены, и указаны как используемые, ранее выработанные ЦВК криптографические ключи номер 2;

•со стороны внешнего порта ФПСУ-IP (порта 2) существует пограничный маршрутизатор А, управление которым должно осуществляться только из защищаемой области В, причем каналы управления маршрутизаторами А и В за пределами их внешних портов должны быть защищены ФПСУ-IP В.

С точки зрения конфигурирования ФПСУ-IP С для работы в условиях такой топологии и удовлетворения наложенных требований принципиальным является следующее:

•со стороны внутреннего порта (порта 1 со стороны области С) существует IP-подсеть С, а со стороны порта 2 принадлежащих этой подсети хостов нет; маршрутизаторы и ФПСУ-IP отсутствуют;

•со стороны порта 2 (внешнего) существуют: IP-подсеть В, доступ к которой необходимо запретить; IP-подсеть А, доступ в которую будет производиться через ФПСУ-IP В, а также общедоступная сеть, доступ в которую предоставлен не будет; маршрутизатор В является пограничным;

•обмен между защищаемыми областями А и С должен производиться только внутри организованных ФПСУ-IP VPN-туннелей;

•на ФПСУ-IP С должны быть установлены и указаны как используемые ранее выработанные ключи номер 3;

•со стороны внешнего порта ФПСУ-IP С существует пограничный маршрутизатор В, управление которым должно осуществляться только из защищаемой области В, причем канал управления маршрутизатором за пределами его внешнего порта должен быть защищен ФПСУ-IP В.

Конфигурация ФПСУ-IP должна содержать следующие установки:

Для ФПСУ-IP А:

Установлены выработанные ЦВК ключи парно-выборочной связи номер 1. Ключи номер 1 в настройках ФПСУ-IP А указаны как используемые.

Порт 1:

Номер 1,

Адрес 192.168.1.50,

Маска 255.255.255.0 (24 разряда),

ФПСУ не определены,

Маршрутизаторы не определены;

Абоненты:

Подсеть, 192.168.1.0; 255.255.255.0 (24 разряда); ретрансляция;

режим партнера этого порта - выключен;

режим партнера другого порта - включен только режим через ФПСУ;

флаг "Работа разрешена" включен.

Правила межсетевого экрана для этого абонента

A_to_C

Порт 2:

Номер 2,

Адрес 192.168.1.50,

Маска 255.255.255.0 (24 разряда);

ФПСУ:

192.168.2.50, ключевые данные - 2.1; смена через 30 сек;

сжатие и криптозащита - "желательно" или "обязательно";

Маршрутизаторы не определены;

Абоненты:

Подсеть, 192.168.3.0; 255.255.255.0 (24 разряда);

через ФПСУ 192.168.2.50;

режим партнера этого порта - включен только режим через ФПСУ;

режим партнера другого порта - включены все режимы;

флаг "Работа разрешена" включен.

Правила МЭ:

1 A_to_C

Общие

Действие : Accept

Время работы : Любое

Лог : Не вести лог

Активно : Да

Источник

Сеть : 192.168.001.000 192.168.000.000/24

Назначение

Сеть : 192.168.003.000 192.168.000.000/24

Служба : Любая

2 Block other traffic

Общие

Действие : Drop

Время работы : Любое

Лог : Не вести лог

Активно : Да

Источник : Любой

Назначение : Любой

Служба : Любая

Для ФПСУ-IP В:

Установлены выработанные ЦВК ключи парно-выборочной связи номер 2. Ключи номер 2 в настройках ФПСУ-IP B указаны как используемые.

Создано и активировано разрешающее правило трафика, в которое включены подсети 192.168.1.0 и 192.168.3.0. Подсети 192.168.2.0 со стороны порта 1 разрешено управление маршрутизатором 192.168.2.1.

Порт 1:

Номер 1,

Адрес 192.168.2.50,

Маска 255.255.255.0 (24 разряда);

ФПСУ:

192.168.1.50, ключевые данные - 1.1; смена через 30 сек;

сжатие и криптозащита - "желательно" или "обязательно";

Маршрутизаторы не определены;

Абоненты:

Подсеть, 192.168.2.0; 255.255.255.0 (24 разряда); ретрансляция;

режим партнера этого порта - выключен;

режим партнера другого порта - включены все режимы;

флаг "Работа разрешена" включен.

Правила межсетевого экрана для этого абонента

to routers

Internet_B

Подсеть, 192.168.1.0; 255.255.255.0 (24 разряда);

через ФПСУ 192.168.1.50;

режим партнера этого порта - включен только режим через ФПСУ;

режим партнера другого порта - включены все режимы;

флаг "Работа разрешена" включен.

Порт 2:

Номер 2,

Адрес 192.168.2.50,

Маска 255.255.255.0 (24 разряда),

ФПСУ:

192.168.3.50, ключевые данные - 3.1; смена через 30 сек;

сжатие и криптозащита - "желательно" или "обязательно";

через маршрутизатор 192.168.2.1.

Маршрутизаторы:

192.168.2.1, протоколы маршрутизации - все выключены;

Абоненты:

Подсеть, 192.168.3.0; 255.255.255.0 (24 разряда);

через ФПСУ 192.168.3.50;

режим партнера этого порта - включен только режим через ФПСУ;

режим партнера другого порта - включены все режимы;

флаг "Работа разрешена" включен.

Любой хост;

флаг "Работа разрешена" включен;

через маршрутизатор 192.168.2.1;

Хост, 192.168.3.51; через ФПСУ 192.168.2.50;

режим партнера этого порта - включен только через ФПСУ;

режим партнера другого порта - включены все режимы;

флаг "Работа разрешена" включен.

Правила МЭ:

1 to routers

Общие

Действие : Accept

Время работы : Любое

Лог : Не вести лог

Активно : Да

Источник

Сеть : 192.168.002.000 192.168.000.000/24

Назначение

Хост : 192.168.002.001 192.168.002.001/32

Хост : 192.168.003.051 192.168.003.051/32

Служба : Любая

2 Internet_B

Общие

Действие : Accept

Время работы : Любое

Лог : Не вести лог

Активно : Да

Источник

Сеть : 192.168.002.000 192.168.000.000/24

Назначение : Любой

Служба : Любая

3 Block other traffic

Общие

Действие : Drop

Время работы : Любое

Лог : Не вести лог

Активно : Да

Источник : Любой

Назначение : Любой

Служба : Любая

Для ФПСУ-IP С:

Установлены выработанные ЦВК ключи парно-выборочной связи номер 3. Ключи номер 3 указаны как используемые.

Создано и активировано разрешающее правило трафика, в которое включены подсети 192.168.1.0 и 192.168.3.0. Подсети 192.168.2.0 со стороны порта 2 разрешено управление маршрутизатором 192.168.3.1.

Порт 1:

Номер 1,

Адрес 192.168.3.50,

Маска 255.255.255.0 (24 разряда),

ФПСУ не определены,

Маршрутизаторы не определены;

Абоненты:

Подсеть, 192.168.3.0; 255.255.255.0 (24 разряда); ретрансляция;

режим партнера этого порта - выключен;

режим партнера другого порта - включен только режим через ФПСУ;

флаг "Работа разрешена" включен.

Правила межсетевого экрана для этого абонента

C_to_A

Порт 2:

Номер 2,

Адрес 192.168.3.50,

Маска 255.255.255.0 (24 разряда);

ФПСУ:

192.168.2.50, ключевые данные - 2.1; смена через 30 сек;

сжатие и криптозащита - "желательно" или "обязательно";

через маршрутизатор 192.168.3.51.

Маршрутизаторы не определены;

Абоненты:

Подсеть, 192.168.1.0; 255.255.255.0 (24 разряда);

через ФПСУ 192.168.2.50;

режим партнера этого порта - включен только режим через ФПСУ;

режим партнера другого порта - включены все режимы;

флаг "Работа разрешена" включен.

Подсеть, 192.168.2.0; 255.255.255.0 (24 разряда);

через ФПСУ 192.168.2.50;

режим партнера этого порта - включен только режим через ФПСУ;

режим партнера другого порта - включены все режимы;

флаг "Работа разрешена" включен.

Правила МЭ:

1 C_to_A

Общие

Действие : Accept

Время работы : Любое

Лог : Не вести лог

Активно : Да

Источник

Сеть : 192.168.003.000 192.168.000.000/24

Назначение

Сеть : 192.168.001.000 192.168.000.000/24

Служба : Любая

2 Block other traffic

Общие

Действие : Drop

Время работы : Любое

Лог : Не вести лог

Активно : Да

Источник : Любой

Назначение : Любой

Служба : Любая

В конфигурациях ФПСУ-IP приведены только необходимые для работоспособности схемы настройки, дополнительно для абонентов должен быть выключен флаг «Только Broadcast», флаг «Отвечать на Ping» устанавливается на усмотрение администратора.

Необходимо также переконфигурировать пограничные маршрутизаторы с целью запрещения доступа к ним по протоколам сетевого управления с внешних портов.

Поскольку конфигурирование нескольких совместно работающих ФПСУ-IP для разветвленной сетевой топологии может вызвать затруднение у неопытного администратора, рекомендуется после заполнения конфигурационных таблиц произвести аналитическую проверку произведенных установок на предмет соответствия заданным требованиям (ограничениям).

В соответствии с установленной конфигурацией через ФПСУ-IP А:

•абоненты области А не получат доступа к области В, маршрутизатору А и общедоступной сети передачи данных, поскольку все они не описаны со стороны порта 2; кроме того, доступу к ним препятствует также указанный в описателе для абонентов А режим работы с абонентом противоположного порта (только через ФПСУ);

•отсутствие доступа абонентов области А к маршрутизатору А обеспечивается тем, что он не описан со стороны порта 2;

•Доступ от абонентов области А к абонентам области С осуществляется через ФПСУ-IP В, задан правилом трафика, разрешающим доступ в область С.

В соответствии с установленной конфигурацией через ФПСУ-IP В:

•абоненты области В не имеют доступа к области А, поскольку в описателе А на порту 1 нет разрешения работы с абонентами данного порта; кроме того, доступу к А также препятствует то, что для области В не задано правило трафика, разрешающее доступ в область А;

•абонентам области В разрешено управление маршрутизатором А и В, а также доступ в общедоступную сеть передачи данных правилами МЭ;

•доступ к маршрутизатору В от абонентов области В обеспечивается тем, что он указан как абонент на порту 2 и будет осуществляться только через ФПСУ-IP В;

•к абонентам области С (исключая маршрутизатор В, описанный отдельно) абоненты области В доступа не получат, поскольку для области В не задано правило трафика, разрешающее доступ в область С.

В соответствии с установленной конфигурацией через ФПСУ-IP С:

•отсутствие доступа абонентов области С к маршрутизаторам А и в область В обеспечивается тем, что маршрутизатор А не описан как абонент со стороны внешнего порта 2, область С не входит в правило трафика, разрешающее доступ в область В;

•доступ абонентов области С к мировой сети невозможен - они не указаны на порту 2; кроме того, у абонентов С указан режим работы с абонентами противоположного порта только через ФПСУ-IP;

•доступ от абонентов области С к маршрутизатору В невозможен, поскольку, во-первых, управление маршрутизатором не разрешено, во-вторых, он не описан как абонент, в-третьих, у абонентов С указан режим работы с абонентами противоположного порта только через ФПСУ-IP.