Подсистема фильтрации пакетов и правила фильтрации

Подсистема фильтрации пакетов «ФПСУ-IP» выполняет:

•предварительную проверку корректности формата пакета и соответствия стандартам, соответствующего IP-протокола;

•фильтрацию пакетов по установленным администратором правилам;

•идентификацию и аутентификацию других «ФПСУ-IP» при обмене пакетами через туннель между двумя «ФПСУ-IP» с целью защиты межсетевых потоков информации абонентов от НСД (от навязывания сторонней информации, искажения передаваемой информации, подмены IP-адресов и т.д.);

•идентификацию и аутентификацию зарегистрированных на «ФПСУ-IP» «ФПСУ-IP/Клиентов»;

•идентификацию и аутентификацию зарегистрированных на «ФПСУ-IP» администраторов УА ФПСУ-IP;

•сокрытие субъектов и объектов передачи и используемых ими прикладных сервисов;

•коммутацию пакетов, прошедших процедуру фильтрации.

Механизм управления доступом, осуществляемый «ФПСУ-IP», базируется на анализе поступающих на один из его интерфейсов пакетов с целью определения их соответствия правилам и данным, установленным администратором при настройке. Пакеты, удовлетворившие всем требуемым для данного соединения правилам межсетевого экрана, отправляются на сетевой интерфейс для дальнейшей передачи, в противном случае они сбрасываются. При этом (в зависимости от указания администратора) может посылать или не посылать ICMP-сообщение на IP-пакет о недоступности запрашиваемого абонента.

Основными обязательными критериями фильтрации для каждого соединения являются аутентификационные данные «ФПСУ-IP/Клиентов» (если отправителем и/или получателем является «ФПСУ-IP/Клиент»), и IP-адреса отправителя и получателя (для обычных абонентов). Соединение конкретной пары абонентов/»ФПСУ-IP/Клиентов» может быть осуществлено только при условии, что администратор указал данную пару в конфигурации «ФПСУ-IP». Помимо разрешающих правил, могут быть созданы запрещающие правила доступа для взаимодействующих пар абонентов или «ФПСУ-IP/Клиентов».

Комплекс «ФПСУ-IP» поддерживает традиционную классификацию IP-адресов (А, В и С) с расширениями RFC 950 (процедура разбиения на подсети) и RFC 1519 (группирование диапазона адресов в пару IP-адрес/IP-маска подсети). Адрес может быть задан явно, как адрес хоста (рабочей станции), а может принадлежать группе адресов, которую администратор «прописывает» через групповой адрес (пару адрес/маска подсети). В группу адресов могут быть объединены 2n -2 хостов, где 2≤n≤24.

Комплекс поддерживает также такое расширение стандарта протокола IP, как широковещательные передачи в подсети, если при конфигурировании администратор это разрешил.

Фильтрация может осуществляться также по ряду дополнительных критериев:

•разрешённым времени и дате соединения;

•состоянию соединения;

•транспортным и прикладным протоколам соединения;

•разрешенным и запрещенным командам прикладных протоколов;

•мобильному коду, передаваемому в http-соединении;

•разрешённым для соединений TCP или UDP портам абонентов;

•инициатору соединения;

•фрагментированным пакетам;

•прочим опциям заголовков IP, TCP, UDP, ICMP и других протоколов.

Для осуществления такой фильтрации администратор создаёт правила доступа межсетевого экрана, определяемые совокупностью специфических параметров доступа, и назначает эти правила группам отдельных абонентов, «ФПСУ-IP/Клиентов» или подсетям, выступающими отправителями или получателями данных.

Таким образом, абоненты могут быть логически разделены, например, по функциональному признаку, и для каждой группы могут быть установлены свои ограничения. Это позволяет быстро и без путаницы установить необходимую конфигурацию, а также эффективно осуществлять фильтрацию по необходимой для каждой группы совокупности критериев.

При использовании правил доступа каждая разрешенное сетевое взаимодействие должно быть явно описана, то есть требуется указать, между какими описателями могут осуществляться соединения. Данные, не подпадающие под разрешительное правило доступа, не будут переданы получателю.

Правилам доступа администратор устанавливает приоритет, и, в случае конфликта указаний в нескольких правил доступа, будет выполнено правило с наивысшим приоритетом.

Один из главных принципов построения комплекса «ФПСУ-IP» заключается в том, что его применение не требует изменения топологии сети и/или настроек сетевого взаимодействия рабочих станций. Для этого в комплексе реализован стандартный механизм ARP-proxy со специфичной ARP-фильтрацией, гарантирующей получение ARP-ответа станции, запрашивающей проход через «ФПСУ-IP» к удалённому ресурсу. Механизм фильтрации реализован с учётом различия пакетов IP и ARP.

Конкретный механизм работы подсистемы фильтрации изложен далее, в подразделе «Механизм работы подсистемы фильтрации пакетов».

При прикреплении абонентов или «ФПСУ-IP/Клиентов» к интерфейсам «ФПСУ-IP» администратор должен указать для каждого описателя (индивидуального или группового) необходимый режим работы.

Режим работы определяет, будет ли абонент подключён к интерфейсу «ФПСУ-IP» непосредственно (режим «Ретрансляция»), или через туннель к другому «ФПСУ-IP» (режим «Через ФПСУ»). В случае «Через ФПСУ» при передаче пакетов будут задействованы механизмы идентификации и аутентификации (данные механизмы будут подробно описаны ниже, в подразделе «Механизмы идентификации и аутентификации»), а также могут осуществляться сжатие и криптографическая защита передаваемых данных.

Если несколько «ФПСУ-IP» устанавливаются последовательно и работают в «каскадном» режиме, полный механизм фильтрации при передаче пакетов через них задействуется только на ближайших к отправителю и получателю пакетов «ФПСУ-IP», а на транзитных «ФПСУ-IP» будут произведены только двусторонняя аутентификация «ФПСУ-IP» и фильтрация по разрешённым адресам абонентов.

Поддержка «ФПСУ-IP» стандарта IP-протокола в отношении IP-опций имеет некоторые ограничения, которые будут отдельно рассмотрены в подразделе «Обработка IP-опций».

«ФПСУ-IP» не отвечает на IP-запросы абонентов или служб сетевого управления и мониторинга, посланные по его собственным адресам, за исключением следующих случаев:

•при специальном разрешении администратора, «ФПСУ-IP» будет отвечать на ICMP‑запросы (Ping), направленные от известных ему (указанных в конфигурации) IP‑адресов абонентов и маршрутизаторов, причём только на те запросы, которые поступили на адреса его портов в одном IP пакете (т.е. не были фрагментированы в процессе доставки);

•«ФПСУ-IP» принимает IP-пакеты, посланные в адрес одного из его портов другим «ФПСУ-IP», если последний описан в его конфигурации со стороны данного порта, и только после успешного завершения процесса двусторонней аутентификации взаимодействующих «ФПСУ-IP»;

•«ФПСУ-IP» принимает IP-пакеты, отправленные в его адрес от УА ФПСУ-IP, если этот УА ФПСУ-IP зарегистрирован на данном «ФПСУ-IP», и процедура взаимной аутентификации между ними завершилась успешно;

•«ФПСУ-IP» принимает IP-пакеты, посланные в адрес одного из его портов пользователем комплекса «ФПСУ-IP/Клиент», если этот «ФПСУ-IP/Клиент» описан на «ФПСУ-IP», и успешно прошёл взаимные процедуры идентификации и аутентификации.