Нормативная документация
Методические рекомендации
Р 78.36.045-2014 Защита локальных вычислительных сетей пунктов централизованной охраны при использовании глобальной сети Интернет для передачи данных между объектовым и пультовым оборудованием СПИ


Содержание

1 Термины и сокращения

2 Введение

3 Угрозы при использовании глобальной сети Интернет в качестве среды передачи данных

3.1 Источники угроз в ЛВС ПЦО

3.2 Уязвимости протоколов сетевого взаимодействия

3.3 Общая характеристика уязвимостей прикладного программного обеспечения

3.4 Общая характеристика угроз безопасности ЛВС ПЦО, реализуемых с использованием протоколов межсетевого взаимодействия

3.5 Общая характеристика угроз программно-математических воздействий

4 Защита от угроз

4.1 Рекомендации производителей технических средств охраны по защите от угроз из сети Интернет

4.2 Защита от угроз при помощи межсетевых экранов

4.2.1 Понятие межсетевого экрана

4.2.2 Компоненты межсетевого экрана

4.2.3 Политика межсетевого экранирования

4.2.4 Применение технологии трансляции сетевых адресов

5 Выбор маршрутизатора

6 Типовые схемы защиты ЛВС ПЦО

6.1 Типовая схема для количества охраняемых объектов до 100

6.2 Типовая схема для количества охраняемых объектов от 100 до 1000

6.3 Типовая схема для количества охраняемых объектов более 1000

7 Пароль для маршрутизаторов

8 Заключение

Приложение А. Пример программирования межсетевого экрана на основе маршрутизатора Cisco

А.1 Пользовательский интерфейс маршрутизатора и режимы

А.1.1 Команды и процесс программирования маршрутизатора

А.1.2 Пользовательский режим

А.1.3 Привилегированный режим

А.1.4 Команда помощи help

А.1.5 Редактирование

А.2 Вывод информации о конфигурации маршрутизатора

А.2.1 Компоненты, участвующие в конфигурировании маршрутизатора

А.2.2 Режим работы маршрутизатора

А.2.3 Применение форм команды show для исследования состояния маршрутизатора

А.3 Запуск маршрутизатора и его начальное конфигурирование

А.3.1 Последовательность запуска

А.3.2 Команды запуска

А.3.3 Диалог конфигурирования системы

А.3.4 Начальная установка глобальных параметров

А.3.5 Начальная установка параметров интерфейсов

А.3.6 Сценарий начальной установки и его использование

А.4 Конфигурирование маршрутизаторов

А.4.1 Конфигурирование IP-адресов интерфейсов маршрутизатора

А.4.1.1 Процессы, используемые для конфигурирования IP-адресов, в том числе логические сетевые адреса и сетевые маски

А.4.1.2 Конфигурирование сервера имен

А.4.1.3 Команды вывода на экран

А.4.1.4 Верификация IP-адресов с использованием команд telnet, ping, trace

А.4.2 Конфигурирование маршрутизатора и протоколы маршрутизации RIP и IGRP

А.4.2.1 Режим начального конфигурирования маршрутизатора — режим начальной установки

А.4.2.2 Команды статической маршрутизации

А.4.3 Списки управления доступом (ACL)

А.4.3.1 Обзор списков управления доступом

А.4.3.2 Важность порядка директив при создании списков управления доступом

А.4.3.3 Использование списков управления доступом

А.4.3.4 Как работают списки управления доступом

А.4.3.5 Конфигурирование списков управления доступом

А.4.3.6 Группировка списков по интерфейсам

А.4.3.7 Назначение номера списку управления доступом

А.4.3.8 Использование битов шаблона маски

А.4.3.9 Использование шаблона any

А.4.3.10 Использование шаблона host

А.4.3.11 Стандартные списки управления доступом

А.4.3.12 Примеры стандартных списков управления доступом

А.4.3.13 Расширенные списки управления доступом

А.4.3.14 Использование именованных списков управления доступом

А.4.3.15 Использование списков управления доступом с протоколами

А.4.3.16 Размещение списков управления доступом

А.4.3.17 Использование списков управления доступом с брандмауэрами

А.4.3.18 Настройка архитектуры брандмауэров

А.4.3.19 Проверка правильности установки списков управления доступом

Приложение В. Пример настройки маршрутизатора Mikrotik

В.1 Подключение при помощи программы Winbox

В.2 Начальные настройки

В.3 Конфигурация интерфейсов

В.4 Настройка WAN интерфейса

В.5 Настройка локальной сети

В.6 Настройка NAT

Приложение С. Марки оборудования для защиты ЛВС ПЦО

Литература















А.4.3.18 Настройка архитектуры брандмауэров

Брандмауэр представляет собой структуру, которая создается между частной сетью и внешним миром с целью защиты от несанкционированного вторжения. В большинстве случаев такое вторжение может происходить из внешних сетей. Обычно сетевой брандмауэр состоит из нескольких устройств, как показано на рис. А.14.

При такой архитектуре маршрутизатор, подсоединенный к Internet (т.е. внешний), направляет весь входящий поток на шлюз уровня приложения. Маршрутизатор, подсоединенный к внутренней сети (т.е. внутренний), принимает пакеты только со шлюза приложения.



Рис. А.14. Типичный брандмауэр ограждает сеть от несанкционированного вторжения из Internet

В действительности шлюз контролирует предоставление сетевых услуг как во внутреннюю сеть, так и из нее. Например, некоторым пользователям может быть предоставлено право работы в Internet, или только некоторым приложениям разрешено устанавливать соединение между внутренним и внешним хостами.

Если единственным допустимым приложением является электронная почта, то на маршрутизаторе должно быть установлено соответствующее ограничение и через него должны проходить только такие пакеты. Это защищает шлюз приложения и предотвращает его переполнение, которое может привести к тому, что часть данных будет отброшена.

Ниже описывается ситуация, показанная на рис. А.14, где требуется с помощью списков управления доступом ограничить потоки данных на брандмауэр и с него.

Использование специально предназначенного для этого маршрутизатора в качестве брандмауэра является весьма желательным, потому что при этом маршрутизатор имеет четко выраженную цель и применяется в качестве внешнего шлюза, не загружая этой работой другие маршрутизаторы. При необходимости изоляции внутренней сети брандмауэр создает изолированную точку и потоки данных во внешней сети не затронут внутреннюю сеть.

В приведенной ниже конфигурации брандмауэра подсеть 24 сети класса В представляет собой подсеть брандмауэра, а подсеть 25 обеспечивает связь с глобальной сетью Internet через провайдера услуг:

interface ethernet0
ip address 172.10.24.1 255.255.255.0
interface serial 0
ip address 172.10.25.1 255.255.255.0
router igrp
network 172.10.0.0

Эта простая конфигурация не обеспечивает никакой защиты, и поток данных из внешней сети поступает во все сегменты внутренней сети. Для обеспечения безопасности на брандмауэре необходимо использовать списки управления доступом и группы доступа.

Список управления доступом определяет потоки, которым будет предоставлен доступ или отказано в нем, а группа доступа применяет условия списка к некоторому интерфейсу. Списки могут быть использованы для блокировки соединений, которые представляются потенциально опасными и для разрешения доступа всем другим соединениям или предоставлять доступ некоторым соединениям и блокировать его для всех других. При установке конфигурации брандмауэров последний метод является более надежным.

Наилучшим местом для создания списка является хост. Для этого используется какой-либо текстовый редактор. Можно создать файл, содержащий команды access-list, а затем загрузить его в маршрутизатор. Перед загрузкой списка доступа все предыдущие определения должны быть удалены с помощью команды no access-list 101.

После этого команда access-list может быть использована для разрешения доступа всем пакетам, возвращающимся по уже установленным соединениям. Если использовать ключевое слово established, то условие будет выполнено, когда в заголовке ТСР-сегмента будет установлен бит подтверждения (АСК) или бит сброса (RST):

access-list 101 permit tcp 0.0.0.0 255.255.255.255
0.0.0.0 255.255.255.255 established


После загрузки списка управления доступом на маршрутизатор и записи его в энергонезависимую оперативную память (nonvolatile random-access memory, NVRAM), этот список можно связать с соответствующим интерфейсом. В данном примере поток данных, поступающий из внешнего мира через последовательный интерфейс 0 фильтруется перед размещением его в подсети 24 (ethernet 0). Поэтому команда access-group, назначающая список входным фильтрующим соединениям, должна выглядеть следующим образом:

interface ethernet 0
ip access-group 101


Для управления выходным потоком из частной сети в Internet необходимо определить список управления доступом и применить его к пакетам, отсылаемым с последовательного порта 0 маршрутизатора. Для этого возвращающимся пакетам с хостов, использующих Telnet или FTP, должен быть разрешен доступ к подсети брандмауэра 172.10.24.0.

Если имеется несколько внутренних сетей, подсоединенных к брандмауэру, и он использует выходные фильтры, то поток данных между внутренними сетями будет ограничен в связи с использованием фильтров списков управления доступом. Если входные фильтры используются только на интерфейсе, связывающем маршрутизатор с внешним миром, то ограничений на связь между внутренними сетями не будет.




Далее >>>



|   Главная   |   Законы   |   ГОСТ   |   РД   |   Требования   |   Пособия   |   Рекомендации   |   Перечни   |

books on zlibrary