Нормативная документация
Методические рекомендации
Р 78.36.045-2014 Защита локальных вычислительных сетей пунктов централизованной охраны при использовании глобальной сети Интернет для передачи данных между объектовым и пультовым оборудованием СПИ


Содержание

1 Термины и сокращения

2 Введение

3 Угрозы при использовании глобальной сети Интернет в качестве среды передачи данных

3.1 Источники угроз в ЛВС ПЦО

3.2 Уязвимости протоколов сетевого взаимодействия

3.3 Общая характеристика уязвимостей прикладного программного обеспечения

3.4 Общая характеристика угроз безопасности ЛВС ПЦО, реализуемых с использованием протоколов межсетевого взаимодействия

3.5 Общая характеристика угроз программно-математических воздействий

4 Защита от угроз

4.1 Рекомендации производителей технических средств охраны по защите от угроз из сети Интернет

4.2 Защита от угроз при помощи межсетевых экранов

4.2.1 Понятие межсетевого экрана

4.2.2 Компоненты межсетевого экрана

4.2.3 Политика межсетевого экранирования

4.2.4 Применение технологии трансляции сетевых адресов

5 Выбор маршрутизатора

6 Типовые схемы защиты ЛВС ПЦО

6.1 Типовая схема для количества охраняемых объектов до 100

6.2 Типовая схема для количества охраняемых объектов от 100 до 1000

6.3 Типовая схема для количества охраняемых объектов более 1000

7 Пароль для маршрутизаторов

8 Заключение

Приложение А. Пример программирования межсетевого экрана на основе маршрутизатора Cisco

А.1 Пользовательский интерфейс маршрутизатора и режимы

А.1.1 Команды и процесс программирования маршрутизатора

А.1.2 Пользовательский режим

А.1.3 Привилегированный режим

А.1.4 Команда помощи help

А.1.5 Редактирование

А.2 Вывод информации о конфигурации маршрутизатора

А.2.1 Компоненты, участвующие в конфигурировании маршрутизатора

А.2.2 Режим работы маршрутизатора

А.2.3 Применение форм команды show для исследования состояния маршрутизатора

А.3 Запуск маршрутизатора и его начальное конфигурирование

А.3.1 Последовательность запуска

А.3.2 Команды запуска

А.3.3 Диалог конфигурирования системы

А.3.4 Начальная установка глобальных параметров

А.3.5 Начальная установка параметров интерфейсов

А.3.6 Сценарий начальной установки и его использование

А.4 Конфигурирование маршрутизаторов

А.4.1 Конфигурирование IP-адресов интерфейсов маршрутизатора

А.4.1.1 Процессы, используемые для конфигурирования IP-адресов, в том числе логические сетевые адреса и сетевые маски

А.4.1.2 Конфигурирование сервера имен

А.4.1.3 Команды вывода на экран

А.4.1.4 Верификация IP-адресов с использованием команд telnet, ping, trace

А.4.2 Конфигурирование маршрутизатора и протоколы маршрутизации RIP и IGRP

А.4.2.1 Режим начального конфигурирования маршрутизатора — режим начальной установки

А.4.2.2 Команды статической маршрутизации

А.4.3 Списки управления доступом (ACL)

А.4.3.1 Обзор списков управления доступом

А.4.3.2 Важность порядка директив при создании списков управления доступом

А.4.3.3 Использование списков управления доступом

А.4.3.4 Как работают списки управления доступом

А.4.3.5 Конфигурирование списков управления доступом

А.4.3.6 Группировка списков по интерфейсам

А.4.3.7 Назначение номера списку управления доступом

А.4.3.8 Использование битов шаблона маски

А.4.3.9 Использование шаблона any

А.4.3.10 Использование шаблона host

А.4.3.11 Стандартные списки управления доступом

А.4.3.12 Примеры стандартных списков управления доступом

А.4.3.13 Расширенные списки управления доступом

А.4.3.14 Использование именованных списков управления доступом

А.4.3.15 Использование списков управления доступом с протоколами

А.4.3.16 Размещение списков управления доступом

А.4.3.17 Использование списков управления доступом с брандмауэрами

А.4.3.18 Настройка архитектуры брандмауэров

А.4.3.19 Проверка правильности установки списков управления доступом

Приложение В. Пример настройки маршрутизатора Mikrotik

В.1 Подключение при помощи программы Winbox

В.2 Начальные настройки

В.3 Конфигурация интерфейсов

В.4 Настройка WAN интерфейса

В.5 Настройка локальной сети

В.6 Настройка NAT

Приложение С. Марки оборудования для защиты ЛВС ПЦО

Литература








Купите полушубок армейский бекешка.рф/armejskie-polushubki.






А.4.1.4 Верификация IP-адресов с использованием команд telnet, ping, trace

Проблемы адресации являются наиболее часто встречающимися в IP-сетях. Поэтому важно сначала проверить конфигурацию адресов и только потом продолжать конфигурирование.

Команда telnet.

telnet — это простая команда, которая используется для того, чтобы посмотреть, можно ли установить соединение с маршрутизатором. Если с маршрутизатором не удается установить Telnet-сеанс, но его можно «пропинговать» с помощью команды ping, то тогда понятно, что проблема заключается в функциональности маршрутизатора верхнего уровня. В этом случае, возможно, надо перезагрузить маршрутизатор и попытаться снова установить с ним сеанс.

Команда ping.

Команда ping посылает ICMP эхо-пакеты и поддерживается как в пользовательском, так и в привилегированном режиме EXEC. В приведенном ниже примере время прохождения одного эхо-пакета превысило заданный предел ожидания, о чем говорит точка (.) в выводимой информации, а четыре были успешно приняты, что показано восклицательными знаками (!).

Router> ping 172.16.101.1
Type escape sequence to abort.
Sending 5 100-byte ICMP echoes to 172.16.10.1. timeout is 2 seconds:
. ! ! ! !
Success rate is 80 percent, round-trip min/avg/max = 6/6/6 ms Router>

В табл. А.9 приведены символы, обозначающие результат ping-тестирования, которые могут встретиться в информации, выводимой командой ping.

Таблица А.9. Команда ping для тестирования возможности установления связи в IP сетях

Символ Определение
!

Успешный прием эхо-ответа

.

Превышение временного предела ожидания ответной дейтаграммы

U

Ошибка недостижимости пункта назначения

С

Пакет столкнулся с перегрузкой в сети

I

Исполнение команды ping было прервано (например, в результате нажатия комбинации клавиш <Ctrl+Shift-6 X)

?

Неизвестный тип пакета

&

Пакет превысил значение параметра TTL


Расширенная команда ping.

Расширенная команда ping поддерживается только из привилегированного режима EXEC. Как показано в листинге 2, расширенный режим команды ping можно использовать для задания поддерживаемых опций заголовков, используемых в сети ЕИТКС и Internet. Для того чтобы войти в расширенный режим, необходимо в строке подсказки Extended commands («Расширенные команды») ввести букву «у».

Листинг 2. Расширенная команда ping, которая поддерживается только из привилегированного режима EXEC

Router# ping
Protocol [ip]:
Target IP address: 192.168.101.162
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2] :
Extended commands [n] : у
Source address:
Type of service [0]:
Set DF bit in IP header? [no]: yes
Data pattern [0xABCD] :
Loose, Strict, Record, Timestamp, Verbose [non]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5 100-byte ICMP echoes to 192.168.101.162. timeout is 2 seconds :
! ! ! ! !
Success rate is 100 percent (5/5), roundrobin min/avg/max = 24/26/28 ms
Router#

Команда trace.

При использовании команды trace (листинг 3) имена хост-машин выводятся в том случае, если имеет место динамическое преобразование адресов или они преобразуются с помощью записей в статической таблице хостмашин. Выводимые временные значения отражают время, необходимое для возврата каждого из трех зондирующих пакетов.

Листинг 3. Команда trace

Router# trace abc.def.jhk
Type escape sequence to abort.
Tracing the route to abc.def.jhk (26.0.0.73)
1. xyz.org1.org (172.16.1.6) 1000 msec 8 msec 4 msec
2. sdq.org2.org (172.16.16.2) 8 msec 4 msec 4 msec
3. ert.org3.org (192.42.110.225) 8 msec 4 msec 4 msec
4. dfg.zxc.org4.org (131.119.254.6) 8 msec 8 msec 8 msec
5. hgf.asd.org4.org (131.119.3.8) 12 msec 12 msec 8 msec
6. cde.opg.jhk (192.52.195.1) 216 msec 120 msec 132 msec
7. abc.def.jhk (26.0.0.73) 412 msec * 664 msec

Когда процесс трассировки достигает намеченного пункта назначения, на экран выводится символ звездочки (*). Обычно это происходит в результате приема пакета с сообщением о недостижимости порта и превышения временного предела ожидания ответа на зондирующий пакет. Другие ответы, которые могут быть получены по команде trace, приведены в табл. А.10.

Примечание.

Команда trace поддерживается межсетевым протоколом (IP), службой сетевого сервиса без установления соединения (Connectionless Network Service, CLNS), службой виртуальной интегрированной сети (Virtual Integrated Network Service, VINES) и протоколом AppleTalk.

Таблица А.10. Ответы команды trace

Ответ Определение
! Н

Зондирующий пакет был принят маршрутизатором, но не переадресован, что обычно бывает из-за наложенного списка доступа

Р

Протокол недостижим

N

Сеть недостижима

и

Порт недостижим

*

Превышение временного предела ожидания


Выводы.

1. В среде TCP/IP конечные станции обмениваются информацией с серверами или другими конечными станциями. Это происходит благодаря тому, что каждый узел, использующий группу протоколов TCP/IP, имеет уникальный 32-разрядный логический адрес, известный под названием IP-адрес.

2. Наличие у интерфейса IP-адреса с адресом подсети позволяет достичь трех целей:

– система имеет возможность обрабатывать прием и передачу пакетов;

– задается локальный адрес устройства;

– задается диапазон адресов, которые используют один кабель с устройством.

3. Широковещательные сообщения — это такие сообщения, которые должны быть услышаны всеми хост-машинами, находящимися в сети.

4. Команда ip address используется для присвоения данному интерфейсу логического сетевого адреса.

5. Команда ip hosts осуществляет статическую запись «имя-адрес» в конфигурационный файл маршрутизатора.

6. Команда ip name-server задает те хост-машины, которые могут предоставить сервис работы с именами.

7. Команда show hosts используется для вывода находящегося в кэше списка имен хост-машин и их адресов.

8. Для верификации конфигурации IP-адресов могут использоваться команды telnet, ping и trace.




Далее >>>



|   Главная   |   Законы   |   ГОСТ   |   РД   |   Требования   |   Пособия   |   Рекомендации   |   Перечни   |

books on zlibrary