Обработка IP-опций |
Защитные функции «ФПСУ-IP» накладывают некоторые ограничения на используемые абонентами стандарты стека протоколов TCP/IP. Это связано с тем, что некоторые IP‑опции (Source Route, Record Route, Timestamp) способствуют возможности раскрытия топологий защищаемых областей и предоставляют возможность обхода фильтрующих защитных комплексов (см. RFC 1812). «ФПСУ-IP» предоставляет администратору возможность указать метод обработки таких опций. С точки зрения возможных угроз такие опции могут быть разделены на две категории: 1.Опции (Record Route, Timestamp), требующие при передаче пакета вставить IP-адрес транзитной рабочей станции в заголовок пакета, что позволит злоумышленнику определить факт существования некоего сетевого узла (маршрутизатора) и логически увязать этот узел с группой адресов защищаемых абонентов. 2.Опции (Source Route), содержащие требования доставить пакет по фиксированному маршруту, возможно в обход средств защиты и фильтрации. Первую группу опций «ФПСУ-IP» игнорирует, то есть пакет, содержащий IP-опцию этой группы, будет передан (если он удовлетворил требованиям фильтрации) без выполнения требований опции, что не вызовет нарушений в работе сети. Способ обработки второй группы опций должен быть указан администратором при конфигурировании, поскольку невыполнение требований этих опций влияет на работу сети. Опция второй группы может быть выполнена, очищена (пакет проследует по маршруту, который предусмотрел для него администратор) или пакету может быть отказано в передаче (он будет сброшен без оповещения). Остальные IP-опции обрабатываются комплексом «ФПСУ-IP» в соответствии со стандартом IP-протокола. |