Нормативная документация
Методические рекомендации
Р 78.36.045-2014 Защита локальных вычислительных сетей пунктов централизованной охраны при использовании глобальной сети Интернет для передачи данных между объектовым и пультовым оборудованием СПИ


Содержание

1 Термины и сокращения

2 Введение

3 Угрозы при использовании глобальной сети Интернет в качестве среды передачи данных

3.1 Источники угроз в ЛВС ПЦО

3.2 Уязвимости протоколов сетевого взаимодействия

3.3 Общая характеристика уязвимостей прикладного программного обеспечения

3.4 Общая характеристика угроз безопасности ЛВС ПЦО, реализуемых с использованием протоколов межсетевого взаимодействия

3.5 Общая характеристика угроз программно-математических воздействий

4 Защита от угроз

4.1 Рекомендации производителей технических средств охраны по защите от угроз из сети Интернет

4.2 Защита от угроз при помощи межсетевых экранов

4.2.1 Понятие межсетевого экрана

4.2.2 Компоненты межсетевого экрана

4.2.3 Политика межсетевого экранирования

4.2.4 Применение технологии трансляции сетевых адресов

5 Выбор маршрутизатора

6 Типовые схемы защиты ЛВС ПЦО

6.1 Типовая схема для количества охраняемых объектов до 100

6.2 Типовая схема для количества охраняемых объектов от 100 до 1000

6.3 Типовая схема для количества охраняемых объектов более 1000

7 Пароль для маршрутизаторов

8 Заключение

Приложение А. Пример программирования межсетевого экрана на основе маршрутизатора Cisco

А.1 Пользовательский интерфейс маршрутизатора и режимы

А.1.1 Команды и процесс программирования маршрутизатора

А.1.2 Пользовательский режим

А.1.3 Привилегированный режим

А.1.4 Команда помощи help

А.1.5 Редактирование

А.2 Вывод информации о конфигурации маршрутизатора

А.2.1 Компоненты, участвующие в конфигурировании маршрутизатора

А.2.2 Режим работы маршрутизатора

А.2.3 Применение форм команды show для исследования состояния маршрутизатора

А.3 Запуск маршрутизатора и его начальное конфигурирование

А.3.1 Последовательность запуска

А.3.2 Команды запуска

А.3.3 Диалог конфигурирования системы

А.3.4 Начальная установка глобальных параметров

А.3.5 Начальная установка параметров интерфейсов

А.3.6 Сценарий начальной установки и его использование

А.4 Конфигурирование маршрутизаторов

А.4.1 Конфигурирование IP-адресов интерфейсов маршрутизатора

А.4.1.1 Процессы, используемые для конфигурирования IP-адресов, в том числе логические сетевые адреса и сетевые маски

А.4.1.2 Конфигурирование сервера имен

А.4.1.3 Команды вывода на экран

А.4.1.4 Верификация IP-адресов с использованием команд telnet, ping, trace

А.4.2 Конфигурирование маршрутизатора и протоколы маршрутизации RIP и IGRP

А.4.2.1 Режим начального конфигурирования маршрутизатора — режим начальной установки

А.4.2.2 Команды статической маршрутизации

А.4.3 Списки управления доступом (ACL)

А.4.3.1 Обзор списков управления доступом

А.4.3.2 Важность порядка директив при создании списков управления доступом

А.4.3.3 Использование списков управления доступом

А.4.3.4 Как работают списки управления доступом

А.4.3.5 Конфигурирование списков управления доступом

А.4.3.6 Группировка списков по интерфейсам

А.4.3.7 Назначение номера списку управления доступом

А.4.3.8 Использование битов шаблона маски

А.4.3.9 Использование шаблона any

А.4.3.10 Использование шаблона host

А.4.3.11 Стандартные списки управления доступом

А.4.3.12 Примеры стандартных списков управления доступом

А.4.3.13 Расширенные списки управления доступом

А.4.3.14 Использование именованных списков управления доступом

А.4.3.15 Использование списков управления доступом с протоколами

А.4.3.16 Размещение списков управления доступом

А.4.3.17 Использование списков управления доступом с брандмауэрами

А.4.3.18 Настройка архитектуры брандмауэров

А.4.3.19 Проверка правильности установки списков управления доступом

Приложение В. Пример настройки маршрутизатора Mikrotik

В.1 Подключение при помощи программы Winbox

В.2 Начальные настройки

В.3 Конфигурация интерфейсов

В.4 Настройка WAN интерфейса

В.5 Настройка локальной сети

В.6 Настройка NAT

Приложение С. Марки оборудования для защиты ЛВС ПЦО

Литература















А.4.3.8 Использование битов шаблона маски

Шаблон маски представляет собой 32-битовую величину, которая разделена на четыре октета, каждый из которых состоит из 8 бит. Бит 0 маски означает, что этот бит должен проверяться, а бит, равный 1, означает, что условие для него проверяться не будет (рис. А.7).



Рис. А.7. Тщательный подбор шаблона маски позволяет выбрать один или несколько IP-адресов для выполнения тестов на разрешение доступа или отказ в доступе

Примечание.

Маскирование списков управления доступом с помощью шаблона отличается от маскирования, используемого для IP-подсетей. Нулевой бит в маске списка указывает, что соответствующий бит в адресе будет проверяться, а единица означает, что значение бита не будет приниматься во внимание. Таким образом, битовый шаблон маски списка управления доступом часто выглядит как инвертированная маска подсети (например, шаблон маски списка выглядит как 0.0.255.255, а маска подсети - 255.255.0.0).


Шаблон маски применяется к IP-адресам, а значения битов шаблона указывают на способ обработки соответствующих битов IP-адреса.

Шаблон маски используется для указания одного или нескольких адресов, которые проверяются на соответствие условиям разрешения или блокирования доступа. Термин маскирование по шаблону (wildcard masking) применяется для обозначения процесса побитового сравнения.

Хотя шаблон маски списков управления доступом и маска подсети представляют собой 32-битовую величину, выполняемые ими функции значительно различаются. Нули и единицы в маске подсети определяют сеть, подсеть и номер хоста. Биты шаблона маски в IP-адресе определяют, будет ли проверяться соответствующий бит.

Как было сказано ранее, нули и единицы в шаблоне маски указывают списку управления доступом на необходимость проверять или не проверять соответствующие биты в IP-адресе. На рис. А.8 изображен процесс применения шаблона маски.

Предположим, что необходимо проверить IP-адрес для подсети, которому может быть разрешен или блокирован доступ. Предположим далее, что этот адрес относится к классу В (т.е. первые два октета представляют собой номер сети), а следующие 8 битов обозначают номер подсети (третий октет предназначен для номера подсети). Если требуется разрешить доступ всем пакетам с номерами подсети от 172.30.16.0 до 172.30.31.0, то следует использовать шаблон маски, которая показана на рис. А.4.31.

 



Рис. А.8. Адрес 172.30.16.0 с шаблоном маски 0.0.15.255 соответствует сериям с номерами от 172.30.16.0 до 172.30.31.0

Сначала с использованием нулевых битов шаблона маски проверяются первые два октета (172.30).

Поскольку индивидуальные адреса хостов не представляют интереса (идентификационный номер хоста не содержит в конце адреса 0.0), шаблон маски не учитывает последний октет, а использует единичные биты в шаблоне маски.

В третьем октете шаблон маски равен 15 (00001111), а IP-адрес равен 16 (00001000). Первые четыре нуля шаблона маски указывают маршрутизатору на необходимость проверки первых четырех битов IP-адреса (0001). Так как последние четыре бита не принимаются во внимание, все числа в интервале от 16 (00010000) до 31 (00011111) будут удовлетворять условию проверки, поскольку все они начинаются с 0001.

Последние (наименее важные) четыре бита в этом октете шаблона маски во внимание не принимаются — здесь могут находиться как нули, так и единицы, а соответствующие биты маски равны единице.

В приведенном примере адрес 172.30.16.0 с маской 0.0.15.255 соответствует подсетям с номерами от 172.30.16.0 до 172.30.31.0. Другие подсети не удовлетворяют условиям маски.




Далее >>>



|   Главная   |   Законы   |   ГОСТ   |   РД   |   Требования   |   Пособия   |   Рекомендации   |   Перечни   |

books on zlibrary