Нормативная документация
Методические рекомендации
Р 78.36.045-2014 Защита локальных вычислительных сетей пунктов централизованной охраны при использовании глобальной сети Интернет для передачи данных между объектовым и пультовым оборудованием СПИ


Содержание

1 Термины и сокращения

2 Введение

3 Угрозы при использовании глобальной сети Интернет в качестве среды передачи данных

3.1 Источники угроз в ЛВС ПЦО

3.2 Уязвимости протоколов сетевого взаимодействия

3.3 Общая характеристика уязвимостей прикладного программного обеспечения

3.4 Общая характеристика угроз безопасности ЛВС ПЦО, реализуемых с использованием протоколов межсетевого взаимодействия

3.5 Общая характеристика угроз программно-математических воздействий

4 Защита от угроз

4.1 Рекомендации производителей технических средств охраны по защите от угроз из сети Интернет

4.2 Защита от угроз при помощи межсетевых экранов

4.2.1 Понятие межсетевого экрана

4.2.2 Компоненты межсетевого экрана

4.2.3 Политика межсетевого экранирования

4.2.4 Применение технологии трансляции сетевых адресов

5 Выбор маршрутизатора

6 Типовые схемы защиты ЛВС ПЦО

6.1 Типовая схема для количества охраняемых объектов до 100

6.2 Типовая схема для количества охраняемых объектов от 100 до 1000

6.3 Типовая схема для количества охраняемых объектов более 1000

7 Пароль для маршрутизаторов

8 Заключение

Приложение А. Пример программирования межсетевого экрана на основе маршрутизатора Cisco

А.1 Пользовательский интерфейс маршрутизатора и режимы

А.1.1 Команды и процесс программирования маршрутизатора

А.1.2 Пользовательский режим

А.1.3 Привилегированный режим

А.1.4 Команда помощи help

А.1.5 Редактирование

А.2 Вывод информации о конфигурации маршрутизатора

А.2.1 Компоненты, участвующие в конфигурировании маршрутизатора

А.2.2 Режим работы маршрутизатора

А.2.3 Применение форм команды show для исследования состояния маршрутизатора

А.3 Запуск маршрутизатора и его начальное конфигурирование

А.3.1 Последовательность запуска

А.3.2 Команды запуска

А.3.3 Диалог конфигурирования системы

А.3.4 Начальная установка глобальных параметров

А.3.5 Начальная установка параметров интерфейсов

А.3.6 Сценарий начальной установки и его использование

А.4 Конфигурирование маршрутизаторов

А.4.1 Конфигурирование IP-адресов интерфейсов маршрутизатора

А.4.1.1 Процессы, используемые для конфигурирования IP-адресов, в том числе логические сетевые адреса и сетевые маски

А.4.1.2 Конфигурирование сервера имен

А.4.1.3 Команды вывода на экран

А.4.1.4 Верификация IP-адресов с использованием команд telnet, ping, trace

А.4.2 Конфигурирование маршрутизатора и протоколы маршрутизации RIP и IGRP

А.4.2.1 Режим начального конфигурирования маршрутизатора — режим начальной установки

А.4.2.2 Команды статической маршрутизации

А.4.3 Списки управления доступом (ACL)

А.4.3.1 Обзор списков управления доступом

А.4.3.2 Важность порядка директив при создании списков управления доступом

А.4.3.3 Использование списков управления доступом

А.4.3.4 Как работают списки управления доступом

А.4.3.5 Конфигурирование списков управления доступом

А.4.3.6 Группировка списков по интерфейсам

А.4.3.7 Назначение номера списку управления доступом

А.4.3.8 Использование битов шаблона маски

А.4.3.9 Использование шаблона any

А.4.3.10 Использование шаблона host

А.4.3.11 Стандартные списки управления доступом

А.4.3.12 Примеры стандартных списков управления доступом

А.4.3.13 Расширенные списки управления доступом

А.4.3.14 Использование именованных списков управления доступом

А.4.3.15 Использование списков управления доступом с протоколами

А.4.3.16 Размещение списков управления доступом

А.4.3.17 Использование списков управления доступом с брандмауэрами

А.4.3.18 Настройка архитектуры брандмауэров

А.4.3.19 Проверка правильности установки списков управления доступом

Приложение В. Пример настройки маршрутизатора Mikrotik

В.1 Подключение при помощи программы Winbox

В.2 Начальные настройки

В.3 Конфигурация интерфейсов

В.4 Настройка WAN интерфейса

В.5 Настройка локальной сети

В.6 Настройка NAT

Приложение С. Марки оборудования для защиты ЛВС ПЦО

Литература















6.3 Типовая схема для количества охраняемых объектов более 1000



Рис. 6.5. Типовая схема включения для большого количества охраняемых объектов или особо важных объектов

Для увеличения надежности ПЦО с количеством охраняемых объектов более 1000 или особо важными объектами (рис.6.5) рекомендуется организовать основной и резервный каналы связи для подключения ПЦО к Интернету, а также аварийный канал связи ПЦО – УОО за счет использования дополнительного модема GSM/GPRS.

Для защиты ЛВС ПЦО с количеством охраняемых объектов более 1000 или особо важных объектов рекомендуется использовать маршрутизатор высшего ценового диапазона типа Cisco 1921 (рис.6.6). Этот маршрутизатор включает аппаратное ускорение шифрования, опциональный брандмауэр, средства предотвращения вторжения и современные услуги безопасности. Кроме того, платформа поддерживает широкий спектр проводной и беспроводной связи: Serial, T1/E1, XDSL, Gigabit Ethernet, 3G и беспроводной. В базовой комплектации позволяет работать на скорости до 15 Мбит со всеми включенными сервисами и шифрованием (WAN порт).

Коммутатор Cisco 1921

Рис.6.6. Коммутатор Cisco 1921

Основные характеристики Cisco 1921:

Память RAM

Установлено 512 МБ

Флеш память

Установлено 256 МБ

Технология соединения

Проводная

Протокол передачи данных

Ethernet, Fast Ethernet, Gigabit Ethernet

Протокол сети

IPSec

Удаленное управление

RMON, SNMP.

Протоколы маршрутизации

BGP, GRE, OSPF, DVMRP, EIGRP, IS-IS, IGMPv3, PIM-SM, PIM-SSM, статическая IPv4 и IPv6 маршрутизация.

Особенности конфигурации

поддерживает: VPN, DMVPN, IPv6, MPLS, Syslog;
установлены: фаервол, функция фильтрации контента, DMVPN, WRED, CBWFQ.

Соответствие стандартам

IEEE 802.1ag, IEEE 802.1ah.

Слоты расширения

2 слота для EHWIC;
1 слот Double-Wide EHWIC.

Интерфейсы

2 порта Ethernet 10Base-T/100Base-TX/1000Base-T, разъем RJ-45;
1 консольный порт управления, разъем RJ-45;
1 консольный порт управления, коннектор Mini-USB тип B;
1 последовательный вспомогательный порт, разъем RJ-45;
1 порта USB тип A.

Алгоритм шифрования

SSL

Соответствие стандартам

UL 60950-1, CAN/CSA C22.2 No. 60950-1, EN 60950-1, AS/NZS 60950-1, IEC 60950-1, 47 CFR, Частьt 15, ICES-003 Класс A, EN55022 Класс А, CISPR22 Класс A, AS/NZS 3548 Класс A, VCCI V-3, CNS 13438, EN 300-386, EN 61000 (иммунитет), EN 55024, CISPR 24, EN50082-1.

Программное обеспечение

Cisco IP Base

Физические характеристики

 

Питание

Внутренний блок питания. 100-240 В; 47 - 63 Гц; PoE опционально.

Габариты

45 х 343 х 292 мм

Вес

5.44 кг (с источником питания, без модулей); 5.80 кг (с PoE, без модулей); 6.35 кг (типичный вес в полной конфигурации)

Формфактор

Внешний. Занимает 1 юнит.

Монтаж

В комплекте поставки есть монтажный набор на 19 дюймов.

Температура

Рабочая: от 0 до 40°С
Хранение: от 40 до 70°C

Влажность

От 5 до 85% (без конденсата)


В данной схеме (рис.6.5) организуется один основной, один резервный и один аварийный каналы связи для подключения ПЦО к Интернету. Основной канал – кабель первого провайдера. Резервный канал – кабель второго провайдера. Аварийный канал – модем, преобразующий интерфейс GSM/GPRS в Ethernet. Кабель первого провайдера Интернета подключается в первый Ethernet порт роутера. Кабель второго провайдера Интернета подключается во второй Ethernet порт роутера. Кабель от модема GSM/GPRS подключается в третий Ethernet порт роутера. Кабель от коммутатора ЛВС ПЦО подключается в четвертый Ethernet порт роутера. Компьютер для настройки роутера подключается в пятый Ethernet порт роутера.

В зависимости от того, каким способом осуществляется подключение к провайдерам, надо получить от них следующие данные:

1. PPPOE — надо знать пару: Логин и пароль

2. DHCP — ничего не надо, т.к. настройки роутер получит автоматически

3. DHCP + MAC — надо знать MAC адрес устройства который ранее выступал в роли роутера или MAC адрес на ПК Windows (это можно узнать командой Пуск > Выполнить > cmd; в черном окне набрать ipconfig /all)

4. StaticIP — надо знать статический IP адрес, маску подсети, шлюз, и 2 DNS

Подключение к модему GSM/GPRS осуществляется по технологии DHCP, настройки роутер получит автоматически.

Так как используется три провайдера одновременно, то рекомендуется применять такой вариант распределения трафика, когда обычно работает основной провайдер, при обрыве связи основного происходит переключение на резервный, а при обрыве связи резервного происходит переключение на аварийный.

После настройки соединения можно проверить, что есть доступ к Интернету при помощи команды ping, например, ping ya.ru. Если соединение настроено правильно, будут отображены ответы на запрос ping. Отключая на время кабели из первого, второго или третьего Ethernet портов роутера, проверить переключение с основного на резервный, аварийный и обратно.

Необходимо из руководства по эксплуатации на СПИ определить, какой порт и протокол используются для соединений АРМ с приборами. Например, для СПИ «Приток-А» используются 40000 порт и протокол UDP. В соответствии с этими данными настроить проброс портов и прохождение пакетов по порту в правилах файрвола по порту ether1, ether2 и ether3.

Пример настройки маршрутизатора Cisco приведен в приложении A.




Далее >>>



|   Главная   |   Законы   |   ГОСТ   |   РД   |   Требования   |   Пособия   |   Рекомендации   |   Перечни   |

books on zlibrary