Нормативная документация
Методические рекомендации
Р 78.36.045-2014 Защита локальных вычислительных сетей пунктов централизованной охраны при использовании глобальной сети Интернет для передачи данных между объектовым и пультовым оборудованием СПИ


Содержание

1 Термины и сокращения

2 Введение

3 Угрозы при использовании глобальной сети Интернет в качестве среды передачи данных

3.1 Источники угроз в ЛВС ПЦО

3.2 Уязвимости протоколов сетевого взаимодействия

3.3 Общая характеристика уязвимостей прикладного программного обеспечения

3.4 Общая характеристика угроз безопасности ЛВС ПЦО, реализуемых с использованием протоколов межсетевого взаимодействия

3.5 Общая характеристика угроз программно-математических воздействий

4 Защита от угроз

4.1 Рекомендации производителей технических средств охраны по защите от угроз из сети Интернет

4.2 Защита от угроз при помощи межсетевых экранов

4.2.1 Понятие межсетевого экрана

4.2.2 Компоненты межсетевого экрана

4.2.3 Политика межсетевого экранирования

4.2.4 Применение технологии трансляции сетевых адресов

5 Выбор маршрутизатора

6 Типовые схемы защиты ЛВС ПЦО

6.1 Типовая схема для количества охраняемых объектов до 100

6.2 Типовая схема для количества охраняемых объектов от 100 до 1000

6.3 Типовая схема для количества охраняемых объектов более 1000

7 Пароль для маршрутизаторов

8 Заключение

Приложение А. Пример программирования межсетевого экрана на основе маршрутизатора Cisco

А.1 Пользовательский интерфейс маршрутизатора и режимы

А.1.1 Команды и процесс программирования маршрутизатора

А.1.2 Пользовательский режим

А.1.3 Привилегированный режим

А.1.4 Команда помощи help

А.1.5 Редактирование

А.2 Вывод информации о конфигурации маршрутизатора

А.2.1 Компоненты, участвующие в конфигурировании маршрутизатора

А.2.2 Режим работы маршрутизатора

А.2.3 Применение форм команды show для исследования состояния маршрутизатора

А.3 Запуск маршрутизатора и его начальное конфигурирование

А.3.1 Последовательность запуска

А.3.2 Команды запуска

А.3.3 Диалог конфигурирования системы

А.3.4 Начальная установка глобальных параметров

А.3.5 Начальная установка параметров интерфейсов

А.3.6 Сценарий начальной установки и его использование

А.4 Конфигурирование маршрутизаторов

А.4.1 Конфигурирование IP-адресов интерфейсов маршрутизатора

А.4.1.1 Процессы, используемые для конфигурирования IP-адресов, в том числе логические сетевые адреса и сетевые маски

А.4.1.2 Конфигурирование сервера имен

А.4.1.3 Команды вывода на экран

А.4.1.4 Верификация IP-адресов с использованием команд telnet, ping, trace

А.4.2 Конфигурирование маршрутизатора и протоколы маршрутизации RIP и IGRP

А.4.2.1 Режим начального конфигурирования маршрутизатора — режим начальной установки

А.4.2.2 Команды статической маршрутизации

А.4.3 Списки управления доступом (ACL)

А.4.3.1 Обзор списков управления доступом

А.4.3.2 Важность порядка директив при создании списков управления доступом

А.4.3.3 Использование списков управления доступом

А.4.3.4 Как работают списки управления доступом

А.4.3.5 Конфигурирование списков управления доступом

А.4.3.6 Группировка списков по интерфейсам

А.4.3.7 Назначение номера списку управления доступом

А.4.3.8 Использование битов шаблона маски

А.4.3.9 Использование шаблона any

А.4.3.10 Использование шаблона host

А.4.3.11 Стандартные списки управления доступом

А.4.3.12 Примеры стандартных списков управления доступом

А.4.3.13 Расширенные списки управления доступом

А.4.3.14 Использование именованных списков управления доступом

А.4.3.15 Использование списков управления доступом с протоколами

А.4.3.16 Размещение списков управления доступом

А.4.3.17 Использование списков управления доступом с брандмауэрами

А.4.3.18 Настройка архитектуры брандмауэров

А.4.3.19 Проверка правильности установки списков управления доступом

Приложение В. Пример настройки маршрутизатора Mikrotik

В.1 Подключение при помощи программы Winbox

В.2 Начальные настройки

В.3 Конфигурация интерфейсов

В.4 Настройка WAN интерфейса

В.5 Настройка локальной сети

В.6 Настройка NAT

Приложение С. Марки оборудования для защиты ЛВС ПЦО

Литература















4.2.2 Компоненты межсетевого экрана

В общем случае алгоритм функционирования МЭ сводится к выполнению двух групп функций, одна из которых ограничивает перемещение данных (фильтрация информационных потоков), а вторая, наоборот, ему способствует (посредничество в межсетевом взаимодействии). Следует отметить, что выполнение МЭ указанных групп функций может осуществляться на разных уровнях модели OSI. Принято считать, что чем выше уровень модели OSI, на котором МЭ обрабатывает пакеты, тем выше обеспечиваемый им уровень защиты.

Как отмечено выше, МЭ может обеспечивать защиту АС за счет фильтрации проходящих через него сетевых пакетов, то есть посредством анализа содержимого пакета по совокупности критериев на основе заданных правил и принятия решения о его дальнейшем распространении в (из) АС. Таким образом, МЭ реализует разграничение доступа субъектов из одной АС к объектам другой АС. Каждое правило запрещает или разрешает передачу информации определенного типа между субъектами и объектами. Как следствие, субъекты одной АС получают доступ только к разрешенным информационным объектам другой АС. Интерпретация набора правил выполняется последовательностью фильтров, которые разрешают или запрещают передачу данных (пакетов) на следующий фильтр. МЭ или один из его компонентов, функционирующий вышеописанным образом, называют пакетным фильтром.

Пакетный фильтр функционирует на сетевом уровне модели OSI (рис. 4.3). Значимой для функционирования пакетного фильтра информацией является:

- IP-адрес отправителя;

- IP-адрес получателя;

- тип протокола (TCP, UDP, ICMP);

- порт отправителя (для TCP, UDP);

- порт получателя (для TCP, UDP);

- тип сообщения (для ICMP);

- а иногда и другая информация (например, время суток, день недели и т.д.).



Рис. 4.3. Место пакетного фильтра в модели OSI

В англоязычной литературе рассмотренный компонент МЭ чаще всего обозначают термином «stateless packet filter» или просто «packet filter». Данные системы просты в использовании, дешевы, оказывают минимальное влияние на производительность АС. Основным недостатком является их уязвимость при атаке, называемой IP-спуфинг — фальсификации адресов отправителя сообщений. Кроме того, они сложны при конфигурировании: для их установки требуется знание сетевых, транспортных и прикладных протоколов.

Другой вариант алгоритма функционирования МЭ предполагает, что защита АС обеспечивается с помощью экранирующего агента, который проверяет допустимость полученного запроса субъекта к объекту, при положительном результате этой проверки устанавливает свое соединение с объектом, а затем обеспечивает пересылку информации между субъектом и объектом взаимодействия, осуществляя контроль и/или регистрацию. В то же время в случае «прозрачных» агентов субъекту кажется, что он непосредственно взаимодействует с объектом. Использование экранирующих агентов позволяет обеспечить дополнительную защитную функцию — сокрытие истинного субъекта взаимодействия.

Выделяют два вида экранирующих агентов в зависимости от того, на каком уровне модели OSI они выполняют свои функции (рис. 4.4): экранирующий транспорт и экранирующий шлюз.



Рис. 4.4. Место экранирующего агента в модели OSI:
(а) — экранирующий транспорт;
(б) — экранирующий шлюз


Экранирующий транспорт или шлюз сеансового уровня (в англоязычной литературе используется термин «circuit-level gateway») контролирует допустимость устанавливаемого соединения, участвует в формировании канала передачи данных и не позволяет проходить пакетам, не относящимся к разрешенным сеансам связи. Функционирование данного компонента связано лишь с сессиями протокола TCP. Так как шлюз сеансового уровня анализирует информацию, содержащуюся лишь в заголовках протокола TCP без какого-либо предположения об используемом прикладном протоколе, то существует уязвимость, заключающаяся в том, что в рамках разрешенного установленного соединения приложение может осуществлять передачу произвольных неконтролируемых данных.

Как правило, вышеописанный компонент используется лишь в сочетании с другими, а не отдельно.

Более надежную защиту обеспечивает экранирующий шлюз или шлюз прикладного уровня (в англоязычной литературе используется термин «application-level gateway» или «application proxy»), так как он проверяет содержимое каждого проходящего через шлюз пакета на прикладном уровне, где для анализа доступны служебные поля заголовка прикладного протокола и информация пользователя. Прикладной шлюз представляет собой программу-посредник (в англоязычной литературе используется термин «proxy server»), разработанную для конкретного сервиса сети Интернет. Следовательно, при внедрении сервисов, основанных на новых прикладных протоколах, появляется необходимость в разработке новых программ-посредников.

Дальнейшее развитие различных технологий межсетевого экранирования и их взаимопроникновение привело к появлению гибридных компонентов МЭ, сочетающих в себе достоинства всех трех ранее рассмотренных компонентов и лишенных некоторых их недостатков. Такие системы, чаще всего называемые МЭ экспертного уровня (в англоязычной литературе используются термины «stateful inspection firewall» или «deep packet inspection firewall»), функционируют на всех уровнях модели OSI: от сетевого до прикладного включительно (рис. 4.5). Они обладают высокими показателями по производительности функционирования (пакетный фильтр) и по обеспечиваемому уровню безопасности (шлюз прикладного уровня).



Рис. 4.5. Место МЭ экспертного уровня в модели OSI

Первые реализации таких компонентов, называемые пакетными фильтрами с динамической фильтрацией (dynamic packet filter), не функционировали на уровнях выше сеансового. Их отличие от простого пакетного фильтра состояло в том, что последний принимает решение о фильтрации трафика на основе анализа информации, содержащейся только в текущем пакете без какой-либо логической связи с предыдущими обработанными пакетами, в то время как при динамической фильтрации учитывается контекст установленных или устанавливаемых соединений.

Инспекционный модуль более поздних реализаций МЭ экспертного уровня имеет доступ ко всему содержимому пакета и может анализировать служебные поля заголовков протоколов всех уровней модели OSI (в том числе прикладного) и пользовательские данные. В дополнение к этому инспекционный модуль заносит в динамически создаваемую таблицу состояния связей всю информацию о сетевых соединениях, но, в отличие от шлюза сеансового уровня, создает записи виртуальных соединений как для протокола TCP, так и для протокола UDP. Инспекционный модуль МЭ экспертного уровня загружается в ядро операционной системы и располагается между канальным и сетевым уровнями модели OSI, что обеспечивает обработку всего входящего и исходящего трафика на всех сетевых интерфейсах системы. Особенность функционирования МЭ экспертного уровня состоит в том, что он не оказывает посреднических услуг сетевого взаимодействия на сеансовом и прикладном уровнях модели OSI. Вместо этого он использует специфические технологии распознавания допустимых соединений (в том числе с динамически назначаемыми номерами портов) и улучшенные алгоритмы обработки данных уровня приложения.




Далее >>>



|   Главная   |   Законы   |   ГОСТ   |   РД   |   Требования   |   Пособия   |   Рекомендации   |   Перечни   |

books on zlibrary