Работасистемыconntrackисостояниясоединений

В системе conntrack МЭ Netfilter соединением в общем случае счита-етсяпоследовательностьпакетовнекоторогопротоколасоднимиитемиже адресами источника и назначения и одними и теми же портами источ-ника и назначения, промежуток между которыми не превышает некоторогоустановленного значения (которое для некоторых протоколов можно ме-нять с помощью настроек ядра). Приведем пример просмотра настроек,имеющихотношение кconntrack:

# sysctl -a | grep conntracknet.netfilter.nf_conntrack_acct=0

net.netfilter.nf_conntrack_buckets=1048576

net.netfilter.nf_conntrack_checksum=1

net.netfilter.nf_conntrack_count=82263

net.netfilter.nf_conntrack_events=1

net.netfilter.nf_conntrack_expect_max=4096

net.netfilter.nf_conntrack_frag6_high_thresh=4194304

net.netfilter.nf_conntrack_frag6_low_thresh=3145728

net.netfilter.nf_conntrack_frag6_timeout=60

net.netfilter.nf_conntrack_generic_timeout=600

net.netfilter.nf_conntrack_helper=1

net.netfilter.nf_conntrack_icmp_timeout=30

net.netfilter.nf_conntrack_icmpv6_timeout=30

net.netfilter.nf_conntrack_log_invalid=0

net.netfilter.nf_conntrack_max=1048576

net.netfilter.nf_conntrack_sctp_timeout_closed=10

net.netfilter.nf_conntrack_sctp_timeout_cookie_echoed=3

net.netfilter.nf_conntrack_sctp_timeout_cookie_wait=3

net.netfilter.nf_conntrack_sctp_timeout_established=432000

net.netfilter.nf_conntrack_sctp_timeout_heartbeat_acked=210

net.netfilter.nf_conntrack_sctp_timeout_heartbeat_sent=30

net.netfilter.nf_conntrack_sctp_timeout_shutdown_ack_sent=3

net.netfilter.nf_conntrack_sctp_timeout_shutdown_recd=0

net.netfilter.nf_conntrack_sctp_timeout_shutdown_sent=0

net.netfilter.nf_conntrack_tcp_be_liberal=1

net.netfilter.nf_conntrack_tcp_loose=1

net.netfilter.nf_conntrack_tcp_max_retrans=3

net.netfilter.nf_conntrack_tcp_timeout_close=10

net.netfilter.nf_conntrack_tcp_timeout_close_wait=60

net.netfilter.nf_conntrack_tcp_timeout_established=1800

net.netfilter.nf_conntrack_tcp_timeout_fin_wait=120

net.netfilter.nf_conntrack_tcp_timeout_last_ack=30

net.netfilter.nf_conntrack_tcp_timeout_max_retrans=300

net.netfilter.nf_conntrack_tcp_timeout_syn_recv=60

net.netfilter.nf_conntrack_tcp_timeout_syn_sent=120

net.netfilter.nf_conntrack_tcp_timeout_time_wait=120

net.netfilter.nf_conntrack_tcp_timeout_unacknowledged=300

net.netfilter.nf_conntrack_timestamp=0

net.netfilter.nf_conntrack_udp_timeout=30

net.netfilter.nf_conntrack_udp_timeout_stream=180

net.netfilter.nf_conntrack_udplite_timeout=30

net.netfilter.nf_conntrack_udplite_timeout_stream=180

net.nf_conntrack_max=1048576

Видно, что помимо общих настроек (таких, как макси-мальноеколичествоотслеживаемыходновременносоединенийnet.nf_conntrack_max),присутствуетбольшоеколичествонастроек,связанныхсконкретнымипротоколами,вчастности,стаймаутами(net.netfilter.nf_conntrack_<протокол>_timeout_*).

Вспециальнуютаблицу(хеш-таблицу)вмодулеnf_conntrackдлякаждого отслеживаемого соединения добавляются в качестве ключей двакортежа:дляпрямогопоиска(proto,src_ip,src_port,dst_ip,dst_port) и для обратного поиска (proto, dst_ip, dst_port, src_ip,src_port).Поискпоэтимключамвтаблицевозвращаетструктуруnf_conn,описывающуюсоединение.

Утилита conntrack из пакета conntrack-tools позволяет просматриватьтаблицу отслеживаемых соединений и события, связанные с созданием,изменением и удалением соединений. Для того, чтобы наблюдать за собы-тиями,можнозапуститьутилитуconntrackсключом -E:

#conntrack-E

[UPDATE]tcp 6 120 FIN_WAIT src=10.12.44.178dst=212.59.127.213 sport=60425 dport=443 src=212.59.127.213dst=84.130.161.69sport=443dport=60425[ASSURED]

[NEW]tcp  6 120 SYN_SENT src=10.12.44.178dst=212.59.127.213 sport=60426 dport=443 [UNREPLIED]src=212.59.127.213dst=84.130.161.69sport=443dport=60426

[UPDATE]tcp 6 30 LAST_ACK src=10.12.44.178 dst=212.59.127.213sport=60425dport=443src=212.59.127.213dst=84.130.161.69

sport=443dport=60425[ASSURED]

[DESTROY] udp17 src=84.130.163.139 dst=176.212.42.205sport=6881dport=6881[UNREPLIED]src=176.212.42.205

dst=84.130.163.139sport=6881dport=6881

<...>

conntrack v1.4.4 (conntrack-tools): 1689 flow events have beenshown.

Просмотреть таблицу отслеживаемых соединений можно с помощьюкомандыconntrack -L:

#conntrack-L

udp 17 8 src=94.230.164.36 dst=5.189.160.21 sport=51413dport=20221[UNREPLIED]src=5.189.160.21dst=94.230.164.36

sport=20221dport=51413mark=0secctx=nulluse=1

tcp 6 291 ESTABLISHED src=94.230.167.58 dst=183.84.5.205sport=43367dport=1885[UNREPLIED]src=183.84.5.205

dst=94.230.167.58 sport=1885 dport=43367 mark=0 secctx=nulluse=1

unknown50 597 src=94.230.167.85 dst=136.243.136.142[UNREPLIED]src=136.243.136.142dst=94.230.167.85mark=0

secctx=nulluse=1

<...>

Размертаблицызадаетсяпараметром

net.netfilter.nf_conntrack_buckets ивтехслучаях,когдатаблица переполняется, в системном логе можно обнаружить сообщениявида“ip_conntrack:tablefull,droppingpacket”.

Дополнительная информация о работе системы conntrack может бытьполученаизпсевдофайлов/proc/net/nf_conntrackи

/proc/net/nf_conntrack_expect.

Каждый пакет, проходящий по сетевому стеку, с точки зрения систе-мы отслеживания соединений может принадлежать соединению, находя-щемусяводном изследующихсостояний:

- NEW (новое). Поступает пакет, не относящийся ни к одному из су-ществующих соединений, и при этом не являющийся недопустимым в ка-честве первого пакета в соединении (например, пакет SYN может являтьсяпервым пакетом в TCP-соединении, а пакет RST не может), то создаетсяноваязаписьвтаблице conntrack;

- ESTABLISHED (установленное). Соединение переходит из состоя-нияNEWвсостояниеESTABLISHEDвтомслучае,еслизафиксирован

«ответ», то есть пакет, проходящий в обратном направлении. Для некото-рыхпротоколов,поддерживающихсвоепонятиесостояния,«ответом»можетбытьнелюбойпакет,атолькодопустимый(например,вслучаеTCP—пакет SYN,ACK);

- RELATED (связанное). Соединение считается связанным с суще-ствующим соединением, если оно появляется в результате взаимодействияпосуществующемусоединению.ПояснимнапримерепротоколаFTP.Управляющеесоединениепоэтомупротоколуустанавливаетсянапорт21.

Затем в ходе обмена между клиентом и сервером определяется порт, кото-рый будет использоваться сервером для другого соединения, по которомубудутпередаватьсяданные.Обработчик(helper)системыconntrackдляпротокола FTP извлекает номер порта данных из проходящего по управ-ляющему соединению пакета (тем самым условно поднимаясь по стекупротоколов до прикладного уровня) и в момент, когда соединение уста-навливается, считает его не просто новым соединением, но ассоциирован-нымсужеустановленнымранеесоединением.КромеFTP,системойconntrack поддерживаются обработчики для протоколов SIP, H.323, SCTP инекоторых других. Как RELATED будут отмечены также пакеты ICMP,которыевозвращаются вкачестве ответовнаTCP-и UDP-пакеты.

Таким образом, пакет может быть отмечен как NEW (устанавливаетновое соединение), ESTABLISHED (проходит по стеку в рамках установ-ленного соединения) или RELATED (проходит по стеку в рамках связан-ного с некоторым установленным соединения). Кроме этого, допустимыследующиеотметкипакетов:

- INVALID (недопустимый).ПакетможетбытьотмеченкакINVALID, если он не может быть отнесен ни к одному из существующихсоединений в состоянии ESTABLISHED или RELATED, и не может от-крыватьсоединение(тоестьбытьNEW).ТакжепакетотмечаетсякакIDVALID, если в отношении этого пакета не может быть принято решениео маршрутизации;

- UNTRACKED (неотслеживаемый). Как уже упоминалось ранее, внекоторых случаях может быть целесообразно исключить некоторые паке-ты из учета системой conntrack. Это делается с помощью действия CT иопции --no-track. При прохождении по сетевому стеку такие пакетыимеютотметкуUNTRACKED.

Соединениямогуттакженаходитьсявдвух«виртуальных»состояни-

ях:

 

- SNAT. Соединениепереходитвуказанноесостояние,еслиадресис-

точника был изменен с помощью действия SNAT. Система conntrack дляпакетов, следующих в обратном направлении в рамках такого соединения,выполняет замену адреса назначения на сохраненный ранее оригинальныйадресисточникаизпакетов,обработанныхдействием SNAT;

- DNAT. Соединение переходит в настоящее состояние, если адресисточника был изменен с помощью действия DNAT. Система conntrack дляпакетов, следующих в обратном направлении в рамках такого соединения,выполняет замену адреса назначения на сохраненный ранее оригинальныйадресисточникаизпакетов,обработанныхдействием DNAT.

Крометаблицыconntrack,системойотслеживаниясоединенийис-пользуются еще три таблицы. Таблица expect содержит записи об ожидае-мых связанныхсоединениях:

#conntrack-Lexpect

135 proto=17 src=188.120.242.37 dst=84.130.161.84 sport=0dport=5060 mask-src=255.255.255.255 mask-dst=255.255.255.255sport=0 dport=65535 master-src=10.12.160.5 master-dst=188.120.242.37 sport=5060 dport=5060 PERMANENT class=0 help-er=sip

107proto=17src=193.201.229.35dst=84.130.167.101sport=0

dport=5781 mask-src=255.255.255.255 mask-dst=255.255.255.255sport=0 dport=65535 master-src=94.230.167.101 master-dst=193.201.229.35sport=6812dport=5060class=1helper=sip

69 proto=17src=81.88.86.37 dst=84.130.166.231 sport=0dport=45063 mask-src=255.255.255.255 mask-dst=255.255.255.255sport=0 dport=65535 master-src=94.230.166.231 master-dst=81.88.86.37sport=45063dport=5060PERMANENT,INACTIVE

class=0helper=sip

<...>

conntrack v1.4.4 (conntrack-tools): 29 expectations have beenshown.

Таблица dying в течение непродолжительного времени хранит соеди-нения,которыебылипотаймаутуиливручнуюудаленыизтаблицыconntrack:

#conntrack-Ldying

tcp 6 0 TIME_WAIT src=10.12.42.25 dst=188.242.228.213sport=2898dport=21src=188.242.228.213dst=94.230.161.69

sport=21 dport=2898 [ASSURED] mark=0 secctx=null helper=ftpuse=1

tcp 6 0 TIME_WAIT src=10.12.42.25 dst=188.242.228.213sport=2906dport=21src=188.242.228.213dst=94.230.161.69

sport=21 dport=2906 [ASSURED] mark=0 secctx=null helper=ftpuse=1

conntrack v1.4.4 (conntrack-tools): 2 flow entries have beenshown.

Таблица unconfirmed хранит записи, которые после прохождения посетевому стеку и достижению ловушки NF_IP_POST_ROUTING, добавля-ются в таблицу conntrack. Таблицы dying и unconfirmed используются в ос-новном разработчиками для отладки и не представляют интереса для си-стемных администраторов.

 

Критериисостояниясоединения

Рассмотримиспользованиекритерияconntrackвправилахiptables.Для того, чтобы выделить пакеты, относящиеся к соединению в заданныхсостояниях,используетсяопция--ctstate.Например,команды:

#iptables-FINPUT

#iptables-PINPUTDROP

#iptalbes-AINPUT-ptcp-mconntrack--ctstateESTAB-

LISHED,RELATED-jACCEPT

#iptables-AINPUT-ptcp--dport80-mconntrack--ctstateNEW

-jACCEPT

позволят принимать соединения от клиентов на порт 80 и пропускать паке-ты, относящиеся к установленным и связанным (например, ICMP-ответы судаленногохоста)соединениям,всеостальныепакетыбудутотброшены.

Обратите внимание, что приведенная выше комбинация правил — нетоже самое,что:

#iptables-FINPUT

#iptables-PINPUTDROP

#iptables-AINPUT-ptcp--dport80-jACCEPT

потому что во втором случае как минимум не будет обеспечена возмож-ность нормального обмена по протоколу ICMP. Именно поэтому в боль-шинстве практических случаев администраторы предпочитают в началоцепочки INPUTдобавить:

#iptables-AINPUT-picmp-jACCEPT

Уже упоминавшимся классическим примером, когда необходимо раз-решитьсвязанныесоединения,являетсянастройкаМЭнаFTP-сервере:

#iptables-FINPUT

#iptables-PINPUTDROP

# iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -jACCEPT

#iptables-AINPUT-ptcp--dport21-mconntrack--ctstateNEW

-jACCEPT

В таком случае упоминание RELATED важно для обеспечения нор-мальной работы пассивного режима передачи данных протокола FTP. Вуправляющем соединении от сервера клиенту будет передан номер портадля передачи данных, и при попытке клиента (ожидаемой) установить со-единение на этот новый порт будет создано связанное соединение и пакетыбудут пропущены. Убедиться в том, что обработчик для протокола FTP за-гружен,можноспомощьюкоманды:

# lsmod | grep ftpnf_conntrack_ftp                204800

nf_conntrack 131072 6 xt_conntrack, nf_conntrack_ipv4,nf_conntrack_pptp, nf_conntrack_netlink, nf_conntrack_proto_gre,nf_conntrack_ftp

Еслимодульненайден,егоможнозагрузитьспомощьюкоманды

#modprobenf_conntrack_ftp

Прочие опции текущего критерия (--ctstatus, --ctdir,

--ctorigsrc, --ctorigdst, --ctreplsrc, --ctrepldst, --ctexpireи другие) применяются редко. Например, с помощью опции --ctexpireможно выделить соединения, таймер которых находится в нужном диапа-зоне(время указывается всекундах).Команда:

#iptables-AINPUT-pudp-mconntrack--ctexpire30:100

-jREDIRECT--to-port8090

позволитперенаправитьнапорт8090«задержавшиеся»пакетывпотоке(в рамках соединения, которое будет удалено из таблицы conntrack через30-100 секунд). Применение этой опции имеет смысл в основном для от-ладки сетевых приложений. Для каждого протокола устанавливаются своитаймауты(см.раздел4.1).

 

НаборыIP-адресов

Когда необходимо добавить в цепочку МЭ большое количество одно-типных правил (с одинаковыми критериями), которые отличаются толькокритериями проверки на адреса источников/назначения или порты, имеетсмысл использовать модуль ядра ip_set и критерий -m setдля заменыгруппы правил на одно правило, использующее для проверки набор адре-сов(ipset).

Дляманипулированиянаборамиадресовпредназначенаутилитаipset.

Cеепомощьюможно:

- создатьиудалитьнабор;

- добавитьиудалитьэлементнабора;

- вывестисодержимоенабороввзаданномформате.

Послетогокакнаборысозданыизаполнены,ихможноиспользоватьвправилах, которыезадаются спомощьюкритерия-m setвiptables.

ЧтопредставляетсобойнаборыIP-адресов?Существуетнесколькотипов,которыеотличаютсяметодомпоискаитипомсохраняемыхданных.

Первыйметодпоиска— битовая карта (bitmap), онпредназначендля ускорения проверки вхождения элемента в набор, когда возможныезначенияэлементовпредставляютсобойсплошнойдиапазонзначений.Примером может быть IP-подсеть или диапазон портов. Каждому значе-ниюэлемента соответствуетодинбитбитовойкарты.

Второйметодпоиска— хеш-таблица (hash),он предназначендляускорения проверки вхождения элемента в набор, когда сплошным диапа-зономвозможныезначенияэлементовпредставитьнетвозможности,например, в случае составления набора из непоследовательных IP-адресовиликомбинацийIP-адресаиMAC-адреса.

Рассмотрим использование наборов адресов на конкретном примере, азатем кратко опишем существующие типы. Предположим, что перед ад-министратором локального хоста, работающего в качестве маршрутизато-ра и предоставляющего доступ в Интернет, стоит задача заблокировать об-ращенияхостовЛВСкнекоторымресурсамвИнтернете,заданнымIP-адресами и IP-подсетями. Пусть ЛВС подключена к интерфейсу eth0,имеющему адрес 192.168.1.1, а интерфейс eth1 имеет глобально маршрути-зируемыйадрес84.130.200.2.Списоксодержитбольшоеколичествозначе-

ний, поэтому создавать на каждый адрес по одному запрещающему прави-лу нецелесообразно.

Сначаланеобходимопонять,какойтипнаборовадресовнужноиспользовать. Поскольку адреса заданы не диапазоном и включают подсе-ти,следуетиспользоватьтипhash:net.Созданиенаборавыполняетсякомандой:

#ipsetcreatebanhash:net

После этого для всех адресов и подсетей из списка блокировки сле-дует выполнить команду вида # ipset add ban <адрес>. Например,есливспискеподлежащих блокировкеадресовестьсеть88.13.1.0/24,то:

#ipsetaddban88.13.1.0/24

Проверитьвхождениеадресавнаборвкоманднойстрокеможноспомощьюкомандыtest:

#ipsettestban88.13.1.42

88.13.1.42isinban

В результате набор адресов с именемban будет заполнен значениямииготовкиспользованию.ТеперьвцепочкеFORWARDтаблицыfilterможнодобавитьпроверку:

#iptables-AFORWARD-mset--match-setbandst-jDROP

Транзитныепакетылюбыхпротоколов,направленныенаадресаизнабораban,будутзаблокированы.

Доступныследующиетипынаборовадресов:

- bitmap:ipпозволяетзадатьсплошнойдиапазонIP-адресов,вклю-чающийдо 65536элементов.Примердобавленияипроверки:

# ipset create foo bitmap:ip range 192.168.0.0/16#ipsetaddfoo192.168.1/24

# ipset test foo 192.168.1.1192.168.1.1isinsetfoo

- bitmap:ip,macпозволяетзадатьсплошнойдиапазонIP-адресов,причемкаждый элементможнодополнитьMAC-адресом:

# ipset create foo bitmap:ip,mac range 192.168.11.0/8#ipsetaddfoo192.168.11.1,12:34:56:78:9A:BC

# ipset test foo 192.168.11.1192.168.11.1isinsetfoo

- bitmap:portпозволяетзадать сплошной диапазонпортов:

# ipset create foo bitmap:port range 0-1024#ipsetaddfoo80

- hash:ip позволяет задать перечень IP-адресов, которые добавля-ются в качестве ключей в хеш-таблицу. Наряду с hash:net это один изнаиболее часто используемых типов наборов адресов. Пример использова-ниянастоящеготипа былприведенвыше;

- hash:net позволяет задать перечень IP-подсетей, которые добав-ляютсявкачествеключейвхеш-таблицу.ОтдельныеIP-адресатакжеможнохранитьвнабореэтого типа,еслизадаватьихсcidr-суффиксом:

#ipsetcreatefoohash:net

# ipset add foo 192.168.11.0/24#ipsetaddfoo172.16.0.0/16#ipsetaddfoo192.168.42.1/32

- hash:mac позволяет задать перечень MAC-адресов, которые до-бавляютсявкачестве ключейвхеш-таблицу:

#ipsetcreatefoohash:mac

#ipsetaddfoo11:22:33:44:55:66# ipset test foo 11:22:33:44:55:6611:22:33:44:55:66isinsetfoo

- hash:ip,port иhash:net,port позволяютхранитьIP-адресаили IP-подсети вместе с портами (можно указать даже диапазон портов).При проверке порты учитываются. Дополнительно можно указать прото-кол:

#ipsetcreatefoohash:ip,port

# ipset add foo 192.168.1.0/24,5060-5070#ipsetaddfoo192.168.1.1,tcp:8080

- hash:ip,port,ip,hash:ip,port,net иhash:net,port,netпозволяютхранитькортежи, состоящиеиз IP-адресаили IP-подсети, портаи IP-адресаили IP-подсети. Пример создания и добавления элементов внабор типа hash:ip,port,net:

#ipsetcreatefoohash:ip,port,net

# ipset add foo 192.168.11.1,80,10.0.0.0/24#ipsetaddfoo192.168.22.1,25,10.1.0.0/16

- hash:net,iface. С помощью такого типа наборов адресов можнозадать перечень кортежей, состоящих из IP-подсети и имени сетевого ин-терфейса:

#ipsetcreatefoohash:net,iface# ipset add foo 192.168.1.0/24,eth0#ipsetaddfoo12.1.0.0/16,eth1

# ipset test foo 192.168.1.0/24,eth0192.168.1.0/24,eth0isinsetfoo

- hash:ip,mark.Спомощьюуказанноготипанаборовадресовможно задать перечень кортежей, состоящих изIP-адреса и 32-битногозначенияотметкипакета.Этоттипнаборовчастоприменяетсяприработес системой ограничения скорости соединений (см. раздел 5). Пример со-зданияидобавленияэлементоввнабортипаhash:ip,port,net:

#ipsetcreatefoohash:ip,mark

# ipset add foo 192.168.1.1,0xdeadbeef#ipsetaddfoo192.168.11.0/24,777

Вопросыкразделу4

1. Чтосчитаетсясоединениемвсистемеconntrack?

2. Опишитепринципработысистемыотслеживаниясоединений.

3. ДлячегонеобходимоотслеживаниесоединенийМЭ?

4. Какую команду необходимо выполнить, чтобы просмотреть теку-щеесодержимое таблицы conntrack?

5. Какие таблицы доступны для просмотра и манипуляции в системеconntrack?

6. В каких случаях может понадобиться увеличить размер таблицыconntrack?

7. В каких состояниях с точки зрения системы отслеживания соеди-ненийможетнаходитьсяпакет,проходящийпосетевомустекухоста?

8. Длячегонужныобработчики(хелперы)системыconntrack?Чтоони собой представляют (как реализуются)? Что необходимо сде-латьдля подключения обработчика?

9. ДлячегонужнынаборыIP-адресов?

10. ЧемметодbitmapотличаетсяотметодаhashвтипахнаборахIP-адресов?

11. КакиетипынаборовIP-адресовнасамом деленехранят IP-адреса?

12. КакойтипнаборовIP-адресовимеетсмыслиспользовать,еслинужно хранитьпары < IP-подсеть, MAC-адрес >?

13. Чтосделаеткоманда“iptables-IINPUT-mconntrack

--ctstateINVALID-jDROP”?КакойсмыслвдобавленииэтойкомандывцепочкуINPUT?

14. Почемуправило“iptables-AINPUT-mconntrack

--ctstateESTABLISHED,RELATED”имеетсмыслразмещатькакможноближе к началуцепочки?

Раздел5.Требованиякмежсетевымэкранам

Нормативнаябаза

До сравнительно недавнего времени в нашей стране организация за-щиты информации (ЗИ) в части использования МЭ более 20 лет определя-ласьнормативнымидокументами 1992–1997гг.

С 2012 г. ФСТЭК России проводил большую работу по актуализации,развитию и совершенствованию нормативной и методической базы серти-фикации СЗИ. Были исследованы современные угрозы информационнойбезопасности, а также изучены мировой опыт стандартизации и норматив-ного регулирования в области разработки и сертификации СЗИ, в том чис-ле, МЭ. Учитывались реальный уровень технического исполнения МЭ ипрактика их применения. Итогом этой деятельности стал новый документФСТЭК России «Требования к межсетевым экранам», утвержденный При-казом № 9 от 9.02.2016 и зарегистрированный Минюстом РФ 25.03.2016(регистрационный № 41564). Новые «Требования к межсетевым экранам»вступили в силу 1.12.2016. «Требования к межсетевым экранам», преждевсего, адресованы разработчикам и производителям СЗИ, специалистам,занятым в сфере испытаний и сертификации СЗИ, а также заявителям насертификациюМЭ.

Требования для отдельного типа средств защиты информации оформ-леныввиде комплекта документов:

- «Требования к межсетевым экранам» (имеет пометку «для служеб-ного пользования» и определяет классы и типы для отдельного типа изде-лий);

- профили защиты (ПЗ), определяющие номенклатуру функциональ-ных требований безопасности и требования доверия к безопасности в зави-симости от типа и класса изделия. Профили защиты разработаны на базестандартовГОСТ РИСО/МЭК15408-2-2013 и15408-3-2013.

Полный текст «Требований к межсетевым экранам» открыто не пуб-ликуется (имеет гриф «Для служебного пользования»). Профили защитыдоступнына официальном сайтеФСТЭК России.

В «Требованиях к межсетевым экранам» устанавливаются требованиякфункциямбезопасностиМЭпо следующимнаправлениям:

- требованияксоставуфункцийбезопасностиМЭисред,вкоторыхэтисредствафункционируют;

- требованияксоставуфункциональныхвозможностейМЭ,обеспе-чивающихреализациюфункций безопасности;

- требованиякреализациифункциональныхвозможностейМЭ;

- требованиядовериякбезопасностиМЭ.

Функциональные требования безопасности для МЭ составлены на ос-нове требований ГОСТ Р ИСО/МЭК 15408-2-2013 «Информационная тех-нология. Методы и средства обеспечения безопасности. Критерии оценкибезопасностиинформационныхтехнологий.Часть2.Функциональныекомпоненты безопасности». Наиболее важная для пользователей МЭ ин-формация, содержащаяся в «Требованиях к межсетевым экранам», изло-жена в выпущенных ФСТЭК информационных сообщениях и методиче-ских документах.Новаятипизация МЭпредставлена втабл.5.1.

Таблица5.1.Типымежсетевыхэкрановсогласно

«Требованиямкмежсетевымэкранам»

 

ТипМЭ	Определение
Тип «А»(уровнясети)	МЭ,применяемыенафизическойгранице(периметре)ИСили междуфизическимиграницамисегментовИС.Могутиметьтоль-копрограммно-техническоеисполнение
Тип«Б» (уровня логическихграницсети)	МЭ,применяемые налогическойгранице (периметре) ИСилимежду логическими границами сегментов ИС. Могут иметь про-граммноеилипрограммно-техническоеисполнение
Тип «В»(уровняузла)	МЭ, применяемые на узле (хосте) ИС. Могут иметь только про-граммное исполнение и устанавливаются на мобильных или ста-ционарныхтехническихсредствахконкретного узлаИС
Тип «Г»(уровня веб-сервера)	МЭ,применяемыенасерверах,обслуживающихсайты,веб-службы и веб-приложения, или на физической границе сегментатакихсерверов).Могутиметьпрограммноеилипрограммно-техническоеисполнениеидолжныобеспечиватьконтрольифильтрациюинформационныхпотоковпопротоколупередачи гипертекста,проходящихквеб-серверуиотвеб-сервера
Тип «Д»(уровня промышленнойсети)	МЭ, применяемые в АСУТП. Могут иметь программное или про-граммно-техническоеисполнениеидолжныобеспечиватькон-троль и фильтрацию промышленных протоколов передачи дан-ных (Modbus,Profibus,CAN,HART,IndustrialEthernetи(или)иныепротоколы)

 

Для МЭ выделяют 6 классов (самый низкий — 6-й, самый высокий —1-й). В информационном сообщении ФСТЭК России от 12.09.2016

№ 240/24/4278 «Об утверждении методических документов, содержащихпрофили защиты межсетевых экранов» представлена спецификация про-филей защиты для МЭ всех типов и классов защиты. Профили защитыимеютидентификаторы следующейструктуры:

ИТ. МЭ. < тип >< класс >. ПЗ,

где< тип >—этотипМЭ,< класс >—класс защитыМЭ(от1до 6).

Для типов А, Б и В существуют требования к МЭ от 1 до 6 класса за-щиты, для типов Г и Д — только от 4 до 6. Установлено соответствие меж-ду классами защитыМЭиклассами защищенностиИС (табл.5.2).

Таблица5.2.Соответствиемеждуклассамизащиты МЭ

иклассамизащищенностиИС

 

Класс защитыМЭ	КлассызащищенностиИС
6	ГИС 3 и 4 классовзащищенности	АСУТП3классазащищенности	ИСПДн 3 и 4 уровнейзащищенности
5	ГИС 2 классазащищенности	АСУТП2классазащищенности	ИСПДн 2 уровнязащищенности
4	ГИС 1 классазащищенности	АСУТП1классазащищенности	ИСПДн 1 уровнязащищенности ИСобщегопользованияIIкласса
3	ИСобработкиинформации,котораясодержитсведения,составляющиегосударственнуютайну
2
1

 

Ниже приведены другие варианты представления соответствия клас-сов защиты МЭ и типов и классов защищенности ИС классификации МЭ(табл.5.3):

Таблица 5.3. Соответствие между классами защиты МЭиуровнямизащищенностиГИС,АСУТПиИСПДн

 

	МЭ1	МЭ2	МЭ3	МЭ4	МЭ5	МЭ6
ИСПДн4УЗ	+	+	+	+	+	+
ИСПДн3УЗ	+	+	+	+	+	+
ИСПДн2УЗ	+	+	+	+	+
ИСПДн1УЗ	+	+	+	+
ГИСК4	+	+	+	+	+	+
ГИСК3	+	+	+	+	+	+
ГИСК2	+	+	+	+	+
ГИСК1	+	+	+	+
АСУТПК3	+	+	+	+	+	+
АСУТПК2	+	+	+	+	+
АСУТПК1	+	+	+	+
ИСсгос.тайной	+	+	+

 

Впоследнейтаблицелегкоувидеть,чтоМЭ4классаможетиспользо-ватьсядлявсехИС,кромесистем,работающихсгосударственнойтайной.

ОсновныетребованияФСТЭКкМЭможноохарактеризоватьследу-ющимобразом:

1) установкапятитиповМЭ;

2) учетактуальныхугрозбезопасностиинформации;

3) предъявлениедополнительныхтребованийдоверия;

4) установкатребованийксредефункционирования;

5) учетсовременныхтехнологиймежсетевогоэкранирования;

6) установкатребованийпосамозащитемежсетевыхэкранов»;

7) возможностьглубокогоанализапротоколовприфильтрации.

Угрозыбезопасности,которыедолженнейтрализоватьМЭ,можноподразделитьна:

1) внешние:

- несанкционированныйдоступкинформации,содержащейсявИС;

- отказвобслуживанииИС;

- вызовнарушенияфункционированияМЭ;

- несанкционированноеполучениесведенийосетииееузлах;

2) внутренние:

- несанкционированнаяпередачаинформацииизИС;

- отказвобслуживанииИС;

- вызовнарушенияфункционированияМЭ.