Нормативная документация
Методические рекомендации
Р 78.36.045-2014 Защита локальных вычислительных сетей пунктов централизованной охраны при использовании глобальной сети Интернет для передачи данных между объектовым и пультовым оборудованием СПИ


Содержание

1 Термины и сокращения

2 Введение

3 Угрозы при использовании глобальной сети Интернет в качестве среды передачи данных

3.1 Источники угроз в ЛВС ПЦО

3.2 Уязвимости протоколов сетевого взаимодействия

3.3 Общая характеристика уязвимостей прикладного программного обеспечения

3.4 Общая характеристика угроз безопасности ЛВС ПЦО, реализуемых с использованием протоколов межсетевого взаимодействия

3.5 Общая характеристика угроз программно-математических воздействий

4 Защита от угроз

4.1 Рекомендации производителей технических средств охраны по защите от угроз из сети Интернет

4.2 Защита от угроз при помощи межсетевых экранов

4.2.1 Понятие межсетевого экрана

4.2.2 Компоненты межсетевого экрана

4.2.3 Политика межсетевого экранирования

4.2.4 Применение технологии трансляции сетевых адресов

5 Выбор маршрутизатора

6 Типовые схемы защиты ЛВС ПЦО

6.1 Типовая схема для количества охраняемых объектов до 100

6.2 Типовая схема для количества охраняемых объектов от 100 до 1000

6.3 Типовая схема для количества охраняемых объектов более 1000

7 Пароль для маршрутизаторов

8 Заключение

Приложение А. Пример программирования межсетевого экрана на основе маршрутизатора Cisco

А.1 Пользовательский интерфейс маршрутизатора и режимы

А.1.1 Команды и процесс программирования маршрутизатора

А.1.2 Пользовательский режим

А.1.3 Привилегированный режим

А.1.4 Команда помощи help

А.1.5 Редактирование

А.2 Вывод информации о конфигурации маршрутизатора

А.2.1 Компоненты, участвующие в конфигурировании маршрутизатора

А.2.2 Режим работы маршрутизатора

А.2.3 Применение форм команды show для исследования состояния маршрутизатора

А.3 Запуск маршрутизатора и его начальное конфигурирование

А.3.1 Последовательность запуска

А.3.2 Команды запуска

А.3.3 Диалог конфигурирования системы

А.3.4 Начальная установка глобальных параметров

А.3.5 Начальная установка параметров интерфейсов

А.3.6 Сценарий начальной установки и его использование

А.4 Конфигурирование маршрутизаторов

А.4.1 Конфигурирование IP-адресов интерфейсов маршрутизатора

А.4.1.1 Процессы, используемые для конфигурирования IP-адресов, в том числе логические сетевые адреса и сетевые маски

А.4.1.2 Конфигурирование сервера имен

А.4.1.3 Команды вывода на экран

А.4.1.4 Верификация IP-адресов с использованием команд telnet, ping, trace

А.4.2 Конфигурирование маршрутизатора и протоколы маршрутизации RIP и IGRP

А.4.2.1 Режим начального конфигурирования маршрутизатора — режим начальной установки

А.4.2.2 Команды статической маршрутизации

А.4.3 Списки управления доступом (ACL)

А.4.3.1 Обзор списков управления доступом

А.4.3.2 Важность порядка директив при создании списков управления доступом

А.4.3.3 Использование списков управления доступом

А.4.3.4 Как работают списки управления доступом

А.4.3.5 Конфигурирование списков управления доступом

А.4.3.6 Группировка списков по интерфейсам

А.4.3.7 Назначение номера списку управления доступом

А.4.3.8 Использование битов шаблона маски

А.4.3.9 Использование шаблона any

А.4.3.10 Использование шаблона host

А.4.3.11 Стандартные списки управления доступом

А.4.3.12 Примеры стандартных списков управления доступом

А.4.3.13 Расширенные списки управления доступом

А.4.3.14 Использование именованных списков управления доступом

А.4.3.15 Использование списков управления доступом с протоколами

А.4.3.16 Размещение списков управления доступом

А.4.3.17 Использование списков управления доступом с брандмауэрами

А.4.3.18 Настройка архитектуры брандмауэров

А.4.3.19 Проверка правильности установки списков управления доступом

Приложение В. Пример настройки маршрутизатора Mikrotik

В.1 Подключение при помощи программы Winbox

В.2 Начальные настройки

В.3 Конфигурация интерфейсов

В.4 Настройка WAN интерфейса

В.5 Настройка локальной сети

В.6 Настройка NAT

Приложение С. Марки оборудования для защиты ЛВС ПЦО

Литература















В.6 Настройка NAT

Для работы с охранными приборами Приток необходимо создать проброс портов:

1. Открываем меню IP (рис. В.16);

2. Открываем Firewall;

3. Открываем вкладку NAT;

4. В появившемся окне нажимаем кнопку Add (красный плюс);

5. Цепочка — dstnat;

6. Протокол — udp – для работы приборов;

7. Порт для соединений от приборов — 40000 (или тот который используется);

8. Входящий интерфейс — ether1 – Интернет от провайдера;

9. Переходим на кладку Action;

10. Действие — netmap;

11. Адрес ПК с сервером подключений в локальной сети;

12. Порт на который делаем проброс;

13. Нажимаем кнопку ОК.



Рис. В.16. Проброс портов.

Также разрешаем прохождение пакетов по порту в правилах файрвола:

1. Открываем меню IP (рис. В.17);

2. Открываем Firewall;

3. В появившемся окне нажимаем кнопку Add (красный плюс);

4. Цепочка forward – проходящее через роутер;

5. 6. 7. Протокол, порт и интерфейс внешний — куда приходит прибор;

8. На вкладке Action проверяем что значение — accept – разрешено;

9. Нажимаем ОК.



Рис. В.17. Правила файрвола.

При использовании нескольких провайдеров одновременно можно применять два простых варианта распределения трафика: 1 — основной провайдер работает — при аварии переключаемся на следующего, 2 — все провайдеры работают вместе с распределением нагрузки.

Рассмотрим эти варианты.

Для примера используем 5 порт роутера для подключения еще одного провайдера. Его настройку производим так же как и первого — в зависимости от типа.

1. Открываем меню Interfaces (рис. В.18);

2. Выбираем первый интерфейс ether5;

3. Нажимаем желтую кнопку Comment;

4. В появившемся окне вводим комментарий «WAN2»;

5. Нажимаем кнопку OK.



Рис. В.18. Подключение еще одного провайдера.

 

Задаем необходимые настройки, так же как и делали с первым WAN.

Для корректной работы с несколькими провайдерами нам необходимо промаркировать-пометить пакеты для использования данных меток в цепочках маршрутизации:

Создаем правила NAT для прохождения пакетов провайдеров — в данном случае для двух — для большего числа действуем аналогично:

1. Открываем вкладку IP – Fierwall (рис. В.19);

2. Вкладка NAT;

3. Создаем ДВА правила — для каждого интерфейса — Add (красный плюс);

4. Srcnat в каждом из правил;

5. Указываем интерфейс исходящего соединения для каждого свой;

6. На вкладке Action устанавливаем masquerade – для каждого соединения;

7. Нажимаем кнопку ОК для сохранения обоих правил.



Рис. В.19. Правила NAT для прохождения пакетов.

Теперь Интернет может работать через двух провайдеров.

Для определения маршрута соединения маркируем их в роутере.

Для каждого интерфейса описываем правило и присваиваем метку:

1. Открываем вкладку IP – Fierwall (рис. В.20);

2. Вкладка Mangle;

3. Добавляем Add (красный плюс) новое правило;

4. Направление\цепочка — Input;

5. Указываем необходимый интерфейс;

6. Переходим на вкладку Action;

7. Указываем действие - mark connection;

8. Указываем метку-имя данного соединения — уникальное для интерфейса;

9. Сохраняем, нажав кнопку ОК.

Создаем ДВА правила — для двух портов для входящего трафика.



Рис. В.20. Определение маршрута соединения.

И так же создаем ДВЕ цепочки, маркируя трафик соответственно нашим меткам:

1. Там же, где Ip-Firewall-Mangle, добавляем Add правило — цепочка output (рис. В.21);

2. Выбираем наши маркированные соединения — их два для разных портов;

3. На вкладке действия устанавливаем mark routing — маршрутизацию для соединения;

4. Присваиваем имя такой маршрутизации — маркируем как должны идти пакеты;

5. Подтверждаем, нажав кнопку ОК.

Снова у нас получится ДВА правила для каждого порта.

В итоге у нас получилось 4 правила — 2 для маркировки соединений и 2 для маркировки маршрутизации — для каждого провайдера.



Рис. В.21. Две цепочки.

Для первого варианта маршрутизации — с резервированием канала, нам необходимо добавить к существующей системе правило подмены маршрутов:

1. Открываем таблицу IP-Routes (рис. В.22);

2. Добавляем новый маршрут;

3. Указываем шлюз второго провайдера;

4. Метод проверки выбираем ping;

5. Указываем приоритет — Distance равным 2;

6. Указываем маркировку пакетов для второго провайдера;

7. Нажимаем кнопку ОК.



Рис. В.22. Правило подмены маршрутов.

В случае одновременной работы обоих провайдеров — необходимо удалить запись о шлюзе по умолчанию «add-default-route=no» и создать маршрутизацию сразу с двумя шлюзами:

1. Открываем таблицу IP-Routes (рис. В.23);

2. Добавляем новый маршрут;

3. Указываем ДВА адреса шлюза — от двух провайдеров;

4. Метод проверки выбираем ping;

5. Нажимаем кнопку ОК.

Аналогично можно маркировать непосредственно пакеты от охранного оборудования с разных портов.



Рис. В.23. Маршрутизация с двумя шлюзами.

Таким образом, можно подключать несколько провайдеров и распределять нагрузку между сетями.

Чтобы сбросить MikroTik к заводским настройкам выполните следующее:

1. Отключите питание роутера;

2. Нажмите и держите кнопку Reset;

3. Включите питание роутера;

4. Дождитесь пока замигает индикатор ACT и отпустите кнопку Reset.

После этого роутер перезагрузится, и вы сможете зайти в его настройки со стандартным именем пользователя admin без пароля.

На этом начальная настройка роутера завершена. Для более подробной и точной настройки под определенные параметры или потребности необходимо изучить документацию. Например:

Вики (база знаний) по Микротик (http://wiki.mikrotik.com/wiki/Заглавная_страница)

Документация от дистрибьютора (http://mikrotik.ru/files/instrukcii-po-nastrojke-mikrotik)

Перевод руководства на роутер (http://www.mikrotik.ru/ftpgetfile.php?id=13&module=files)




Далее >>>



|   Главная   |   Законы   |   ГОСТ   |   РД   |   Требования   |   Пособия   |   Рекомендации   |   Перечни   |

books on zlibrary