Нормативная документация
Методические рекомендации
Р 78.36.045-2014 Защита локальных вычислительных сетей пунктов централизованной охраны при использовании глобальной сети Интернет для передачи данных между объектовым и пультовым оборудованием СПИ


Содержание

1 Термины и сокращения

2 Введение

3 Угрозы при использовании глобальной сети Интернет в качестве среды передачи данных

3.1 Источники угроз в ЛВС ПЦО

3.2 Уязвимости протоколов сетевого взаимодействия

3.3 Общая характеристика уязвимостей прикладного программного обеспечения

3.4 Общая характеристика угроз безопасности ЛВС ПЦО, реализуемых с использованием протоколов межсетевого взаимодействия

3.5 Общая характеристика угроз программно-математических воздействий

4 Защита от угроз

4.1 Рекомендации производителей технических средств охраны по защите от угроз из сети Интернет

4.2 Защита от угроз при помощи межсетевых экранов

4.2.1 Понятие межсетевого экрана

4.2.2 Компоненты межсетевого экрана

4.2.3 Политика межсетевого экранирования

4.2.4 Применение технологии трансляции сетевых адресов

5 Выбор маршрутизатора

6 Типовые схемы защиты ЛВС ПЦО

6.1 Типовая схема для количества охраняемых объектов до 100

6.2 Типовая схема для количества охраняемых объектов от 100 до 1000

6.3 Типовая схема для количества охраняемых объектов более 1000

7 Пароль для маршрутизаторов

8 Заключение

Приложение А. Пример программирования межсетевого экрана на основе маршрутизатора Cisco

А.1 Пользовательский интерфейс маршрутизатора и режимы

А.1.1 Команды и процесс программирования маршрутизатора

А.1.2 Пользовательский режим

А.1.3 Привилегированный режим

А.1.4 Команда помощи help

А.1.5 Редактирование

А.2 Вывод информации о конфигурации маршрутизатора

А.2.1 Компоненты, участвующие в конфигурировании маршрутизатора

А.2.2 Режим работы маршрутизатора

А.2.3 Применение форм команды show для исследования состояния маршрутизатора

А.3 Запуск маршрутизатора и его начальное конфигурирование

А.3.1 Последовательность запуска

А.3.2 Команды запуска

А.3.3 Диалог конфигурирования системы

А.3.4 Начальная установка глобальных параметров

А.3.5 Начальная установка параметров интерфейсов

А.3.6 Сценарий начальной установки и его использование

А.4 Конфигурирование маршрутизаторов

А.4.1 Конфигурирование IP-адресов интерфейсов маршрутизатора

А.4.1.1 Процессы, используемые для конфигурирования IP-адресов, в том числе логические сетевые адреса и сетевые маски

А.4.1.2 Конфигурирование сервера имен

А.4.1.3 Команды вывода на экран

А.4.1.4 Верификация IP-адресов с использованием команд telnet, ping, trace

А.4.2 Конфигурирование маршрутизатора и протоколы маршрутизации RIP и IGRP

А.4.2.1 Режим начального конфигурирования маршрутизатора — режим начальной установки

А.4.2.2 Команды статической маршрутизации

А.4.3 Списки управления доступом (ACL)

А.4.3.1 Обзор списков управления доступом

А.4.3.2 Важность порядка директив при создании списков управления доступом

А.4.3.3 Использование списков управления доступом

А.4.3.4 Как работают списки управления доступом

А.4.3.5 Конфигурирование списков управления доступом

А.4.3.6 Группировка списков по интерфейсам

А.4.3.7 Назначение номера списку управления доступом

А.4.3.8 Использование битов шаблона маски

А.4.3.9 Использование шаблона any

А.4.3.10 Использование шаблона host

А.4.3.11 Стандартные списки управления доступом

А.4.3.12 Примеры стандартных списков управления доступом

А.4.3.13 Расширенные списки управления доступом

А.4.3.14 Использование именованных списков управления доступом

А.4.3.15 Использование списков управления доступом с протоколами

А.4.3.16 Размещение списков управления доступом

А.4.3.17 Использование списков управления доступом с брандмауэрами

А.4.3.18 Настройка архитектуры брандмауэров

А.4.3.19 Проверка правильности установки списков управления доступом

Приложение В. Пример настройки маршрутизатора Mikrotik

В.1 Подключение при помощи программы Winbox

В.2 Начальные настройки

В.3 Конфигурация интерфейсов

В.4 Настройка WAN интерфейса

В.5 Настройка локальной сети

В.6 Настройка NAT

Приложение С. Марки оборудования для защиты ЛВС ПЦО

Литература















6 Типовые схемы защиты ЛВС ПЦО

6.1 Типовая схема для количества охраняемых объектов до 100




Рис. 6.1. Типовая схема включения для малого количества охраняемых объектов

Для защиты ЛВС ПЦО с количеством охраняемых объектов менее 100 рекомендуется использовать недорогой маршрутизатор Mikrotik RB/MRTG (рис.6.2). Этот маршрутизатор - оптимальное решение для построения мелких и средних гигабитных сетей. Мощный сетевой процессор Atheros AR7161 и пять портов Ethernet позволяют использовать RB/MRTG в качестве высокопроизводительного маршрутизатора, брандмауэра, а также эффективно управлять полосой пропускания. Устройство имеет гибкую функциональность, которой удобно пользоваться с помощью удобного графического интерфейса. Интерфейс имеет множество приятных особенностей: применение настроек без перезагрузки, встроенные средства диагностики сети, реалтайм отображение текущего состояния маршрутизатора (сетевых интерфейсов, правил маршрутизации и т.п.). Для сложных задач имеется встроенный скриптовый интерпретатор с развитыми сетевыми функциями. Благодаря использованию специализированного ПО (операционная система Linux) система имеет низкие аппаратные требования, что в совокупности с мощными сетевыми процессорами дает высокое быстродействие, малую потребляемую мощность.



Рис. 6.2. Маршрутизатор Mikrotik RB/MRTG

Основные характеристики Mikrotik RB/MRTG:

Тип устройства

Маршрутизатор

Технология доступа

Ethernet

Количество LAN портов

5

Тип LAN портов

10/100/1000Base-TX (1000 мбит/с)

Поддержка PoE

Есть, 10 - 28 В

Поддержка Auto-MDI/MDI-X

Есть

Консольный порт

Есть, RS-232

Операционная система

Mikrotik RouterOS Level 5

Основные возможности

Стек протоколов TCP/IP, Firewall и NAT, фильтрация пакетов по состоянию соединения, фильтрация соединений "точка-точка", фильтрация по MAC адресу отправителя, фильтрация по IP адресам (сети и списки сетей), по диапазону портов, по IP протоколу, по опциям (ICMPtype, TCPflags and MSS), по полям ToS (DSCP).

Маршрутизация

Статическая маршрутизация, маршрутизация equal cost multi-path, маршрутизация по правилам (policy based routing), протоколы маршрутизации RIPv1/v2,OSPFv2,BGPv4

Процессор

AR7161

Частота процессора

680 МГц

Объем оперативной памяти

256 МБ

Поддерживаемые операционные системы

MacOS, UNIX or Linux, Windows 98/NT/2000/XP/Vista/7/8

Жесткий диск

512 MB на чипе памяти NAND

Управление

 

Web-интерфейс

Есть

Поддержка Telnet

Есть

Поддержка SNMP

Есть

Межсетевой экран (Firewall)

Есть

NAT

Есть

DHCP-сервер

Есть

Рабочая температура

от -20 до +65° С

Влажность при эксплуатации

от 0 до 70% (без конденсации)

Источник питания

 

Напряжение

10 — 28 В

Ток

0.8 А

Потребляемая мощность

12 Вт

Размеры

115 x 90 мм

Вес

0.105 кг

Материал корпуса

Алюминий


В данной схеме (рис.6.1) организуется один основной канал связи для подключения ПЦО к Интернету. Кабель провайдера Интернета подключается в первый Ethernet порт (ether1) роутера. Кабель от коммутатора ЛВС ПЦО подключается во второй Ethernet порт (ether2) роутера. Компьютер для настройки роутера подключается в третий (ether3) или четвертый Ethernet порт (ether4) роутера.

В зависимости от того, каким способом осуществляется подключение к провайдеру, надо получить от него следующие данные:

1. PPPOE — надо знать пару: Логин и пароль

2. DHCP — ничего не надо, т.к. настройки роутер получит автоматически

3. DHCP + MAC — надо знать MAC адрес устройства который ранее выступал в роли роутера или MAC адрес на ПК Windows (это можно узнать командой Пуск > Выполнить > cmd; в черном окне набрать ipconfig /all)

4. StaticIP — надо знать статический IP адрес, маску подсети, шлюз, и 2 DNS

После настройки соединения можно проверить, что есть доступ к Интернету при помощи команды ping, например, ping ya.ru. Если соединение настроено правильно, будут отображены ответы на запрос ping.

Для обеспечения безопасности необходимо отключить все ненужные сервисы, например, telnet, ftp, www, www-ssl, ssh, api. Указать конкретный адрес компьютера, с которого будет запускаться программа конфигурирования, например, Winbox.

Необходимо из руководства по эксплуатации на СПИ определить, какой порт и протокол используются для соединений АРМ с приборами. Например, для СПИ «Приток-А» используются 40000 порт и протокол UDP. В соответствии с этими данными настроить проброс портов и прохождение пакетов по порту в правилах файрвола по порту ether1.

Пример настройки маршрутизатора Mikrotik приведен в приложении В.




Далее >>>



|   Главная   |   Законы   |   ГОСТ   |   РД   |   Требования   |   Пособия   |   Рекомендации   |   Перечни   |

books on zlibrary