Индивидуальные и групповые автопоилки: для животных. Схемы и конструкции...
Наброски и зарисовки растений, плодов, цветов: Освоить конструктивное построение структуры дерева через зарисовки отдельных деревьев, группы деревьев...
Топ:
Определение места расположения распределительного центра: Фирма реализует продукцию на рынках сбыта и имеет постоянных поставщиков в разных регионах. Увеличение объема продаж...
Генеалогическое древо Султанов Османской империи: Османские правители, вначале, будучи еще бейлербеями Анатолии, женились на дочерях византийских императоров...
Интересное:
Лечение прогрессирующих форм рака: Одним из наиболее важных достижений экспериментальной химиотерапии опухолей, начатой в 60-х и реализованной в 70-х годах, является...
Инженерная защита территорий, зданий и сооружений от опасных геологических процессов: Изучение оползневых явлений, оценка устойчивости склонов и проектирование противооползневых сооружений — актуальнейшие задачи, стоящие перед отечественными...
Влияние предпринимательской среды на эффективное функционирование предприятия: Предпринимательская среда – это совокупность внешних и внутренних факторов, оказывающих влияние на функционирование фирмы...
Дисциплины:
2022-10-10 | 25 |
5.00
из
|
Заказать работу |
|
|
В системе conntrack МЭ Netfilter соединением в общем случае счита-етсяпоследовательностьпакетовнекоторогопротоколасоднимиитемиже адресами источника и назначения и одними и теми же портами источ-ника и назначения, промежуток между которыми не превышает некоторогоустановленного значения (которое для некоторых протоколов можно ме-нять с помощью настроек ядра). Приведем пример просмотра настроек,имеющихотношение кconntrack:
# sysctl -a | grep conntracknet.netfilter.nf_conntrack_acct=0
net.netfilter.nf_conntrack_buckets=1048576
net.netfilter.nf_conntrack_checksum=1
net.netfilter.nf_conntrack_count=82263
net.netfilter.nf_conntrack_events=1
net.netfilter.nf_conntrack_expect_max=4096
net.netfilter.nf_conntrack_frag6_high_thresh=4194304
net.netfilter.nf_conntrack_frag6_low_thresh=3145728
net.netfilter.nf_conntrack_frag6_timeout=60
net.netfilter.nf_conntrack_generic_timeout=600
net.netfilter.nf_conntrack_helper=1
net.netfilter.nf_conntrack_icmp_timeout=30
net.netfilter.nf_conntrack_icmpv6_timeout=30
net.netfilter.nf_conntrack_log_invalid=0
net.netfilter.nf_conntrack_max=1048576
net.netfilter.nf_conntrack_sctp_timeout_closed=10
net.netfilter.nf_conntrack_sctp_timeout_cookie_echoed=3
net.netfilter.nf_conntrack_sctp_timeout_cookie_wait=3
net.netfilter.nf_conntrack_sctp_timeout_established=432000
net.netfilter.nf_conntrack_sctp_timeout_heartbeat_acked=210
net.netfilter.nf_conntrack_sctp_timeout_heartbeat_sent=30
net.netfilter.nf_conntrack_sctp_timeout_shutdown_ack_sent=3
net.netfilter.nf_conntrack_sctp_timeout_shutdown_recd=0
net.netfilter.nf_conntrack_sctp_timeout_shutdown_sent=0
net.netfilter.nf_conntrack_tcp_be_liberal=1
net.netfilter.nf_conntrack_tcp_loose=1
net.netfilter.nf_conntrack_tcp_max_retrans=3
net.netfilter.nf_conntrack_tcp_timeout_close=10
net.netfilter.nf_conntrack_tcp_timeout_close_wait=60
net.netfilter.nf_conntrack_tcp_timeout_established=1800
net.netfilter.nf_conntrack_tcp_timeout_fin_wait=120
net.netfilter.nf_conntrack_tcp_timeout_last_ack=30
net.netfilter.nf_conntrack_tcp_timeout_max_retrans=300
net.netfilter.nf_conntrack_tcp_timeout_syn_recv=60
net.netfilter.nf_conntrack_tcp_timeout_syn_sent=120
net.netfilter.nf_conntrack_tcp_timeout_time_wait=120
net.netfilter.nf_conntrack_tcp_timeout_unacknowledged=300
net.netfilter.nf_conntrack_timestamp=0
net.netfilter.nf_conntrack_udp_timeout=30
net.netfilter.nf_conntrack_udp_timeout_stream=180
net.netfilter.nf_conntrack_udplite_timeout=30
net.netfilter.nf_conntrack_udplite_timeout_stream=180
net.nf_conntrack_max=1048576
Видно, что помимо общих настроек (таких, как макси-мальноеколичествоотслеживаемыходновременносоединенийnet.nf_conntrack_max),присутствуетбольшоеколичествонастроек,связанныхсконкретнымипротоколами,вчастности,стаймаутами(net.netfilter.nf_conntrack_<протокол>_timeout_*).
|
Вспециальнуютаблицу(хеш-таблицу)вмодулеnf_conntrackдлякаждого отслеживаемого соединения добавляются в качестве ключей двакортежа:дляпрямогопоиска(proto,src_ip,src_port,dst_ip,dst_port) и для обратного поиска (proto, dst_ip, dst_port, src_ip,src_port).Поискпоэтимключамвтаблицевозвращаетструктуруnf_conn,описывающуюсоединение.
Утилита conntrack из пакета conntrack-tools позволяет просматриватьтаблицу отслеживаемых соединений и события, связанные с созданием,изменением и удалением соединений. Для того, чтобы наблюдать за собы-тиями,можнозапуститьутилитуconntrackсключом -E:
#conntrack-E
[UPDATE]tcp 6 120 FIN_WAIT src=10.12.44.178dst=212.59.127.213 sport=60425 dport=443 src=212.59.127.213dst=84.130.161.69sport=443dport=60425[ASSURED]
[NEW]tcp 6 120 SYN_SENT src=10.12.44.178dst=212.59.127.213 sport=60426 dport=443 [UNREPLIED]src=212.59.127.213dst=84.130.161.69sport=443dport=60426
[UPDATE]tcp 6 30 LAST_ACK src=10.12.44.178 dst=212.59.127.213sport=60425dport=443src=212.59.127.213dst=84.130.161.69
sport=443dport=60425[ASSURED]
[DESTROY] udp17 src=84.130.163.139 dst=176.212.42.205sport=6881dport=6881[UNREPLIED]src=176.212.42.205
dst=84.130.163.139sport=6881dport=6881
<...>
conntrack v1.4.4 (conntrack-tools): 1689 flow events have beenshown.
Просмотреть таблицу отслеживаемых соединений можно с помощьюкомандыconntrack -L:
#conntrack-L
udp 17 8 src=94.230.164.36 dst=5.189.160.21 sport=51413dport=20221[UNREPLIED]src=5.189.160.21dst=94.230.164.36
sport=20221dport=51413mark=0secctx=nulluse=1
tcp 6 291 ESTABLISHED src=94.230.167.58 dst=183.84.5.205sport=43367dport=1885[UNREPLIED]src=183.84.5.205
dst=94.230.167.58 sport=1885 dport=43367 mark=0 secctx=nulluse=1
unknown50 597 src=94.230.167.85 dst=136.243.136.142[UNREPLIED]src=136.243.136.142dst=94.230.167.85mark=0
secctx=nulluse=1
<...>
Размертаблицызадаетсяпараметром
net.netfilter.nf_conntrack_buckets ивтехслучаях,когдатаблица переполняется, в системном логе можно обнаружить сообщениявида“ip_conntrack:tablefull,droppingpacket”.
Дополнительная информация о работе системы conntrack может бытьполученаизпсевдофайлов/proc/net/nf_conntrackи
/proc/net/nf_conntrack_expect.
Каждый пакет, проходящий по сетевому стеку, с точки зрения систе-мы отслеживания соединений может принадлежать соединению, находя-щемусяводном изследующихсостояний:
|
- NEW (новое). Поступает пакет, не относящийся ни к одному из су-ществующих соединений, и при этом не являющийся недопустимым в ка-честве первого пакета в соединении (например, пакет SYN может являтьсяпервым пакетом в TCP-соединении, а пакет RST не может), то создаетсяноваязаписьвтаблице conntrack;
- ESTABLISHED (установленное). Соединение переходит из состоя-нияNEWвсостояниеESTABLISHEDвтомслучае,еслизафиксирован
«ответ», то есть пакет, проходящий в обратном направлении. Для некото-рыхпротоколов,поддерживающихсвоепонятиесостояния,«ответом»можетбытьнелюбойпакет,атолькодопустимый(например,вслучаеTCP—пакет SYN,ACK);
- RELATED (связанное). Соединение считается связанным с суще-ствующим соединением, если оно появляется в результате взаимодействияпосуществующемусоединению.ПояснимнапримерепротоколаFTP.Управляющеесоединениепоэтомупротоколуустанавливаетсянапорт21.
Затем в ходе обмена между клиентом и сервером определяется порт, кото-рый будет использоваться сервером для другого соединения, по которомубудутпередаватьсяданные.Обработчик(helper)системыconntrackдляпротокола FTP извлекает номер порта данных из проходящего по управ-ляющему соединению пакета (тем самым условно поднимаясь по стекупротоколов до прикладного уровня) и в момент, когда соединение уста-навливается, считает его не просто новым соединением, но ассоциирован-нымсужеустановленнымранеесоединением.КромеFTP,системойconntrack поддерживаются обработчики для протоколов SIP, H.323, SCTP инекоторых других. Как RELATED будут отмечены также пакеты ICMP,которыевозвращаются вкачестве ответовнаTCP-и UDP-пакеты.
Таким образом, пакет может быть отмечен как NEW (устанавливаетновое соединение), ESTABLISHED (проходит по стеку в рамках установ-ленного соединения) или RELATED (проходит по стеку в рамках связан-ного с некоторым установленным соединения). Кроме этого, допустимыследующиеотметкипакетов:
- INVALID (недопустимый).ПакетможетбытьотмеченкакINVALID, если он не может быть отнесен ни к одному из существующихсоединений в состоянии ESTABLISHED или RELATED, и не может от-крыватьсоединение(тоестьбытьNEW).ТакжепакетотмечаетсякакIDVALID, если в отношении этого пакета не может быть принято решениео маршрутизации;
- UNTRACKED (неотслеживаемый). Как уже упоминалось ранее, внекоторых случаях может быть целесообразно исключить некоторые паке-ты из учета системой conntrack. Это делается с помощью действия CT иопции --no-track. При прохождении по сетевому стеку такие пакетыимеютотметкуUNTRACKED.
|
Соединениямогуттакженаходитьсявдвух«виртуальных»состояни-
ях:
- SNAT. Соединениепереходитвуказанноесостояние,еслиадресис-
точника был изменен с помощью действия SNAT. Система conntrack дляпакетов, следующих в обратном направлении в рамках такого соединения,выполняет замену адреса назначения на сохраненный ранее оригинальныйадресисточникаизпакетов,обработанныхдействием SNAT;
- DNAT. Соединение переходит в настоящее состояние, если адресисточника был изменен с помощью действия DNAT. Система conntrack дляпакетов, следующих в обратном направлении в рамках такого соединения,выполняет замену адреса назначения на сохраненный ранее оригинальныйадресисточникаизпакетов,обработанныхдействием DNAT.
Крометаблицыconntrack,системойотслеживаниясоединенийис-пользуются еще три таблицы. Таблица expect содержит записи об ожидае-мых связанныхсоединениях:
#conntrack-Lexpect
135 proto=17 src=188.120.242.37 dst=84.130.161.84 sport=0dport=5060 mask-src=255.255.255.255 mask-dst=255.255.255.255sport=0 dport=65535 master-src=10.12.160.5 master-dst=188.120.242.37 sport=5060 dport=5060 PERMANENT class=0 help-er=sip
107proto=17src=193.201.229.35dst=84.130.167.101sport=0
dport=5781 mask-src=255.255.255.255 mask-dst=255.255.255.255sport=0 dport=65535 master-src=94.230.167.101 master-dst=193.201.229.35sport=6812dport=5060class=1helper=sip
69 proto=17src=81.88.86.37 dst=84.130.166.231 sport=0dport=45063 mask-src=255.255.255.255 mask-dst=255.255.255.255sport=0 dport=65535 master-src=94.230.166.231 master-dst=81.88.86.37sport=45063dport=5060PERMANENT,INACTIVE
class=0helper=sip
<...>
conntrack v1.4.4 (conntrack-tools): 29 expectations have beenshown.
Таблица dying в течение непродолжительного времени хранит соеди-нения,которыебылипотаймаутуиливручнуюудаленыизтаблицыconntrack:
#conntrack-Ldying
tcp 6 0 TIME_WAIT src=10.12.42.25 dst=188.242.228.213sport=2898dport=21src=188.242.228.213dst=94.230.161.69
sport=21 dport=2898 [ASSURED] mark=0 secctx=null helper=ftpuse=1
tcp 6 0 TIME_WAIT src=10.12.42.25 dst=188.242.228.213sport=2906dport=21src=188.242.228.213dst=94.230.161.69
sport=21 dport=2906 [ASSURED] mark=0 secctx=null helper=ftpuse=1
conntrack v1.4.4 (conntrack-tools): 2 flow entries have beenshown.
Таблица unconfirmed хранит записи, которые после прохождения посетевому стеку и достижению ловушки NF_IP_POST_ROUTING, добавля-ются в таблицу conntrack. Таблицы dying и unconfirmed используются в ос-новном разработчиками для отладки и не представляют интереса для си-стемных администраторов.
Критериисостояниясоединения
|
Рассмотримиспользованиекритерияconntrackвправилахiptables.Для того, чтобы выделить пакеты, относящиеся к соединению в заданныхсостояниях,используетсяопция--ctstate.Например,команды:
#iptables-FINPUT
#iptables-PINPUTDROP
#iptalbes-AINPUT-ptcp-mconntrack--ctstateESTAB-
LISHED,RELATED-jACCEPT
#iptables-AINPUT-ptcp--dport80-mconntrack--ctstateNEW
-jACCEPT
позволят принимать соединения от клиентов на порт 80 и пропускать паке-ты, относящиеся к установленным и связанным (например, ICMP-ответы судаленногохоста)соединениям,всеостальныепакетыбудутотброшены.
Обратите внимание, что приведенная выше комбинация правил — нетоже самое,что:
#iptables-FINPUT
#iptables-PINPUTDROP
#iptables-AINPUT-ptcp--dport80-jACCEPT
потому что во втором случае как минимум не будет обеспечена возмож-ность нормального обмена по протоколу ICMP. Именно поэтому в боль-шинстве практических случаев администраторы предпочитают в началоцепочки INPUTдобавить:
#iptables-AINPUT-picmp-jACCEPT
Уже упоминавшимся классическим примером, когда необходимо раз-решитьсвязанныесоединения,являетсянастройкаМЭнаFTP-сервере:
#iptables-FINPUT
#iptables-PINPUTDROP
# iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -jACCEPT
#iptables-AINPUT-ptcp--dport21-mconntrack--ctstateNEW
-jACCEPT
В таком случае упоминание RELATED важно для обеспечения нор-мальной работы пассивного режима передачи данных протокола FTP. Вуправляющем соединении от сервера клиенту будет передан номер портадля передачи данных, и при попытке клиента (ожидаемой) установить со-единение на этот новый порт будет создано связанное соединение и пакетыбудут пропущены. Убедиться в том, что обработчик для протокола FTP за-гружен,можноспомощьюкоманды:
# lsmod | grep ftpnf_conntrack_ftp 204800
nf_conntrack 131072 6 xt_conntrack, nf_conntrack_ipv4,nf_conntrack_pptp, nf_conntrack_netlink, nf_conntrack_proto_gre,nf_conntrack_ftp
Еслимодульненайден,егоможнозагрузитьспомощьюкоманды
#modprobenf_conntrack_ftp
Прочие опции текущего критерия (--ctstatus, --ctdir,
--ctorigsrc, --ctorigdst, --ctreplsrc, --ctrepldst, --ctexpireи другие) применяются редко. Например, с помощью опции --ctexpireможно выделить соединения, таймер которых находится в нужном диапа-зоне(время указывается всекундах).Команда:
#iptables-AINPUT-pudp-mconntrack--ctexpire30:100
-jREDIRECT--to-port8090
позволитперенаправитьнапорт8090«задержавшиеся»пакетывпотоке(в рамках соединения, которое будет удалено из таблицы conntrack через30-100 секунд). Применение этой опции имеет смысл в основном для от-ладки сетевых приложений. Для каждого протокола устанавливаются своитаймауты(см.раздел4.1).
НаборыIP-адресов
Когда необходимо добавить в цепочку МЭ большое количество одно-типных правил (с одинаковыми критериями), которые отличаются толькокритериями проверки на адреса источников/назначения или порты, имеетсмысл использовать модуль ядра ip_set и критерий -m setдля заменыгруппы правил на одно правило, использующее для проверки набор адре-сов(ipset).
|
Дляманипулированиянаборамиадресовпредназначенаутилитаipset.
Cеепомощьюможно:
- создатьиудалитьнабор;
- добавитьиудалитьэлементнабора;
- вывестисодержимоенабороввзаданномформате.
Послетогокакнаборысозданыизаполнены,ихможноиспользоватьвправилах, которыезадаются спомощьюкритерия-m setвiptables.
ЧтопредставляетсобойнаборыIP-адресов?Существуетнесколькотипов,которыеотличаютсяметодомпоискаитипомсохраняемыхданных.
Первыйметодпоиска— битовая карта (bitmap), онпредназначендля ускорения проверки вхождения элемента в набор, когда возможныезначенияэлементовпредставляютсобойсплошнойдиапазонзначений.Примером может быть IP-подсеть или диапазон портов. Каждому значе-ниюэлемента соответствуетодинбитбитовойкарты.
Второйметодпоиска— хеш-таблица (hash),он предназначендляускорения проверки вхождения элемента в набор, когда сплошным диапа-зономвозможныезначенияэлементовпредставитьнетвозможности,например, в случае составления набора из непоследовательных IP-адресовиликомбинацийIP-адресаиMAC-адреса.
Рассмотрим использование наборов адресов на конкретном примере, азатем кратко опишем существующие типы. Предположим, что перед ад-министратором локального хоста, работающего в качестве маршрутизато-ра и предоставляющего доступ в Интернет, стоит задача заблокировать об-ращенияхостовЛВСкнекоторымресурсамвИнтернете,заданнымIP-адресами и IP-подсетями. Пусть ЛВС подключена к интерфейсу eth0,имеющему адрес 192.168.1.1, а интерфейс eth1 имеет глобально маршрути-зируемыйадрес84.130.200.2.Списоксодержитбольшоеколичествозначе-
ний, поэтому создавать на каждый адрес по одному запрещающему прави-лу нецелесообразно.
Сначаланеобходимопонять,какойтипнаборовадресовнужноиспользовать. Поскольку адреса заданы не диапазоном и включают подсе-ти,следуетиспользоватьтипhash:net.Созданиенаборавыполняетсякомандой:
#ipsetcreatebanhash:net
После этого для всех адресов и подсетей из списка блокировки сле-дует выполнить команду вида # ipset add ban <адрес>. Например,есливспискеподлежащих блокировкеадресовестьсеть88.13.1.0/24,то:
#ipsetaddban88.13.1.0/24
Проверитьвхождениеадресавнаборвкоманднойстрокеможноспомощьюкомандыtest:
#ipsettestban88.13.1.42
88.13.1.42isinban
В результате набор адресов с именемban будет заполнен значениямииготовкиспользованию.ТеперьвцепочкеFORWARDтаблицыfilterможнодобавитьпроверку:
#iptables-AFORWARD-mset--match-setbandst-jDROP
Транзитныепакетылюбыхпротоколов,направленныенаадресаизнабораban,будутзаблокированы.
Доступныследующиетипынаборовадресов:
- bitmap:ipпозволяетзадатьсплошнойдиапазонIP-адресов,вклю-чающийдо 65536элементов.Примердобавленияипроверки:
# ipset create foo bitmap:ip range 192.168.0.0/16#ipsetaddfoo192.168.1/24
# ipset test foo 192.168.1.1192.168.1.1isinsetfoo
- bitmap:ip,macпозволяетзадатьсплошнойдиапазонIP-адресов,причемкаждый элементможнодополнитьMAC-адресом:
# ipset create foo bitmap:ip,mac range 192.168.11.0/8#ipsetaddfoo192.168.11.1,12:34:56:78:9A:BC
# ipset test foo 192.168.11.1192.168.11.1isinsetfoo
- bitmap:portпозволяетзадать сплошной диапазонпортов:
# ipset create foo bitmap:port range 0-1024#ipsetaddfoo80
- hash:ip позволяет задать перечень IP-адресов, которые добавля-ются в качестве ключей в хеш-таблицу. Наряду с hash:net это один изнаиболее часто используемых типов наборов адресов. Пример использова-ниянастоящеготипа былприведенвыше;
- hash:net позволяет задать перечень IP-подсетей, которые добав-ляютсявкачествеключейвхеш-таблицу.ОтдельныеIP-адресатакжеможнохранитьвнабореэтого типа,еслизадаватьихсcidr-суффиксом:
#ipsetcreatefoohash:net
# ipset add foo 192.168.11.0/24#ipsetaddfoo172.16.0.0/16#ipsetaddfoo192.168.42.1/32
- hash:mac позволяет задать перечень MAC-адресов, которые до-бавляютсявкачестве ключейвхеш-таблицу:
#ipsetcreatefoohash:mac
#ipsetaddfoo11:22:33:44:55:66# ipset test foo 11:22:33:44:55:6611:22:33:44:55:66isinsetfoo
- hash:ip,port иhash:net,port позволяютхранитьIP-адресаили IP-подсети вместе с портами (можно указать даже диапазон портов).При проверке порты учитываются. Дополнительно можно указать прото-кол:
#ipsetcreatefoohash:ip,port
# ipset add foo 192.168.1.0/24,5060-5070#ipsetaddfoo192.168.1.1,tcp:8080
- hash:ip,port,ip,hash:ip,port,net иhash:net,port,netпозволяютхранитькортежи, состоящиеиз IP-адресаили IP-подсети, портаи IP-адресаили IP-подсети. Пример создания и добавления элементов внабор типа hash:ip,port,net:
#ipsetcreatefoohash:ip,port,net
# ipset add foo 192.168.11.1,80,10.0.0.0/24#ipsetaddfoo192.168.22.1,25,10.1.0.0/16
- hash:net,iface. С помощью такого типа наборов адресов можнозадать перечень кортежей, состоящих из IP-подсети и имени сетевого ин-терфейса:
#ipsetcreatefoohash:net,iface# ipset add foo 192.168.1.0/24,eth0#ipsetaddfoo12.1.0.0/16,eth1
# ipset test foo 192.168.1.0/24,eth0192.168.1.0/24,eth0isinsetfoo
- hash:ip,mark.Спомощьюуказанноготипанаборовадресовможно задать перечень кортежей, состоящих изIP-адреса и 32-битногозначенияотметкипакета.Этоттипнаборовчастоприменяетсяприработес системой ограничения скорости соединений (см. раздел 5). Пример со-зданияидобавленияэлементоввнабортипаhash:ip,port,net:
#ipsetcreatefoohash:ip,mark
# ipset add foo 192.168.1.1,0xdeadbeef#ipsetaddfoo192.168.11.0/24,777
Вопросыкразделу4
1. Чтосчитаетсясоединениемвсистемеconntrack?
2. Опишитепринципработысистемыотслеживаниясоединений.
3. ДлячегонеобходимоотслеживаниесоединенийМЭ?
4. Какую команду необходимо выполнить, чтобы просмотреть теку-щеесодержимое таблицы conntrack?
5. Какие таблицы доступны для просмотра и манипуляции в системеconntrack?
6. В каких случаях может понадобиться увеличить размер таблицыconntrack?
7. В каких состояниях с точки зрения системы отслеживания соеди-ненийможетнаходитьсяпакет,проходящийпосетевомустекухоста?
8. Длячегонужныобработчики(хелперы)системыconntrack?Чтоони собой представляют (как реализуются)? Что необходимо сде-латьдля подключения обработчика?
9. ДлячегонужнынаборыIP-адресов?
10. ЧемметодbitmapотличаетсяотметодаhashвтипахнаборахIP-адресов?
11. КакиетипынаборовIP-адресовнасамом деленехранят IP-адреса?
12. КакойтипнаборовIP-адресовимеетсмыслиспользовать,еслинужно хранитьпары < IP-подсеть, MAC-адрес >?
13. Чтосделаеткоманда“iptables-IINPUT-mconntrack
--ctstateINVALID-jDROP”?КакойсмыслвдобавленииэтойкомандывцепочкуINPUT?
14. Почемуправило“iptables-AINPUT-mconntrack
--ctstateESTABLISHED,RELATED”имеетсмыслразмещатькакможноближе к началуцепочки?
Раздел5.Требованиякмежсетевымэкранам
Нормативнаябаза
До сравнительно недавнего времени в нашей стране организация за-щиты информации (ЗИ) в части использования МЭ более 20 лет определя-ласьнормативнымидокументами 1992–1997гг.
С 2012 г. ФСТЭК России проводил большую работу по актуализации,развитию и совершенствованию нормативной и методической базы серти-фикации СЗИ. Были исследованы современные угрозы информационнойбезопасности, а также изучены мировой опыт стандартизации и норматив-ного регулирования в области разработки и сертификации СЗИ, в том чис-ле, МЭ. Учитывались реальный уровень технического исполнения МЭ ипрактика их применения. Итогом этой деятельности стал новый документФСТЭК России «Требования к межсетевым экранам», утвержденный При-казом № 9 от 9.02.2016 и зарегистрированный Минюстом РФ 25.03.2016(регистрационный № 41564). Новые «Требования к межсетевым экранам»вступили в силу 1.12.2016. «Требования к межсетевым экранам», преждевсего, адресованы разработчикам и производителям СЗИ, специалистам,занятым в сфере испытаний и сертификации СЗИ, а также заявителям насертификациюМЭ.
Требования для отдельного типа средств защиты информации оформ-леныввиде комплекта документов:
- «Требования к межсетевым экранам» (имеет пометку «для служеб-ного пользования» и определяет классы и типы для отдельного типа изде-лий);
- профили защиты (ПЗ), определяющие номенклатуру функциональ-ных требований безопасности и требования доверия к безопасности в зави-симости от типа и класса изделия. Профили защиты разработаны на базестандартовГОСТ РИСО/МЭК15408-2-2013 и15408-3-2013.
Полный текст «Требований к межсетевым экранам» открыто не пуб-ликуется (имеет гриф «Для служебного пользования»). Профили защитыдоступнына официальном сайтеФСТЭК России.
В «Требованиях к межсетевым экранам» устанавливаются требованиякфункциямбезопасностиМЭпо следующимнаправлениям:
- требованияксоставуфункцийбезопасностиМЭисред,вкоторыхэтисредствафункционируют;
- требованияксоставуфункциональныхвозможностейМЭ,обеспе-чивающихреализациюфункций безопасности;
- требованиякреализациифункциональныхвозможностейМЭ;
- требованиядовериякбезопасностиМЭ.
Функциональные требования безопасности для МЭ составлены на ос-нове требований ГОСТ Р ИСО/МЭК 15408-2-2013 «Информационная тех-нология. Методы и средства обеспечения безопасности. Критерии оценкибезопасностиинформационныхтехнологий.Часть2.Функциональныекомпоненты безопасности». Наиболее важная для пользователей МЭ ин-формация, содержащаяся в «Требованиях к межсетевым экранам», изло-жена в выпущенных ФСТЭК информационных сообщениях и методиче-ских документах.Новаятипизация МЭпредставлена втабл.5.1.
Таблица5.1.Типымежсетевыхэкрановсогласно
«Требованиямкмежсетевымэкранам»
ТипМЭ | Определение |
Тип «А»(уровнясети) | МЭ,применяемыенафизическойгранице(периметре)ИСили междуфизическимиграницамисегментовИС.Могутиметьтоль-копрограммно-техническоеисполнение |
Тип«Б» (уровня логическихграницсети) | МЭ,применяемые налогическойгранице (периметре) ИСилимежду логическими границами сегментов ИС. Могут иметь про-граммноеилипрограммно-техническоеисполнение |
Тип «В»(уровняузла) | МЭ, применяемые на узле (хосте) ИС. Могут иметь только про-граммное исполнение и устанавливаются на мобильных или ста-ционарныхтехническихсредствахконкретного узлаИС |
Тип «Г»(уровня веб-сервера) | МЭ,применяемыенасерверах,обслуживающихсайты,веб-службы и веб-приложения, или на физической границе сегментатакихсерверов).Могутиметьпрограммноеилипрограммно-техническоеисполнениеидолжныобеспечиватьконтрольифильтрациюинформационныхпотоковпопротоколупередачи гипертекста,проходящихквеб-серверуиотвеб-сервера |
Тип «Д»(уровня промышленнойсети) | МЭ, применяемые в АСУТП. Могут иметь программное или про-граммно-техническоеисполнениеидолжныобеспечиватькон-троль и фильтрацию промышленных протоколов передачи дан-ных (Modbus,Profibus,CAN,HART,IndustrialEthernetи(или)иныепротоколы) |
Для МЭ выделяют 6 классов (самый низкий — 6-й, самый высокий —1-й). В информационном сообщении ФСТЭК России от 12.09.2016
№ 240/24/4278 «Об утверждении методических документов, содержащихпрофили защиты межсетевых экранов» представлена спецификация про-филей защиты для МЭ всех типов и классов защиты. Профили защитыимеютидентификаторы следующейструктуры:
ИТ. МЭ. < тип >< класс >. ПЗ,
где< тип >—этотипМЭ,< класс >—класс защитыМЭ(от1до 6).
Для типов А, Б и В существуют требования к МЭ от 1 до 6 класса за-щиты, для типов Г и Д — только от 4 до 6. Установлено соответствие меж-ду классами защитыМЭиклассами защищенностиИС (табл.5.2).
Таблица5.2.Соответствиемеждуклассамизащиты МЭ
иклассамизащищенностиИС
Класс защитыМЭ |
КлассызащищенностиИС | ||
6 | ГИС 3 и 4 классовзащищенности | АСУТП3классазащищенности | ИСПДн 3 и 4 уровнейзащищенности |
5 | ГИС 2 классазащищенности | АСУТП2классазащищенности | ИСПДн 2 уровнязащищенности |
4 | ГИС 1 классазащищенности | АСУТП1классазащищенности | ИСПДн 1 уровнязащищенности ИСобщегопользованияIIкласса |
3 | ИСобработкиинформации,котораясодержитсведения,составляющиегосударственнуютайну | ||
2 | |||
1 |
Ниже приведены другие варианты представления соответствия клас-сов защиты МЭ и типов и классов защищенности ИС классификации МЭ(табл.5.3):
Таблица 5.3. Соответствие между классами защиты МЭиуровнямизащищенностиГИС,АСУТПиИСПДн
МЭ1 | МЭ2 | МЭ3 | МЭ4 | МЭ5 | МЭ6 | |
ИСПДн4УЗ | + | + | + | + | + | + |
ИСПДн3УЗ | + | + | + | + | + | + |
ИСПДн2УЗ | + | + | + | + | + | |
ИСПДн1УЗ | + | + | + | + | ||
ГИСК4 | + | + | + | + | + | + |
ГИСК3 | + | + | + | + | + | + |
ГИСК2 | + | + | + | + | + | |
ГИСК1 | + | + | + | + | ||
АСУТПК3 | + | + | + | + | + | + |
АСУТПК2 | + | + | + | + | + | |
АСУТПК1 | + | + | + | + | ||
ИСсгос.тайной | + | + | + |
Впоследнейтаблицелегкоувидеть,чтоМЭ4классаможетиспользо-ватьсядлявсехИС,кромесистем,работающихсгосударственнойтайной.
ОсновныетребованияФСТЭКкМЭможноохарактеризоватьследу-ющимобразом:
1) установкапятитиповМЭ;
2) учетактуальныхугрозбезопасностиинформации;
3) предъявлениедополнительныхтребованийдоверия;
4) установкатребованийксредефункционирования;
5) учетсовременныхтехнологиймежсетевогоэкранирования;
6) установкатребованийпосамозащитемежсетевыхэкранов»;
7) возможностьглубокогоанализапротоколовприфильтрации.
Угрозыбезопасности,которыедолженнейтрализоватьМЭ,можноподразделитьна:
1) внешние:
- несанкционированныйдоступкинформации,содержащейсявИС;
- отказвобслуживанииИС;
- вызовнарушенияфункционированияМЭ;
- несанкционированноеполучениесведенийосетииееузлах;
2) внутренние:
- несанкционированнаяпередачаинформацииизИС;
- отказвобслуживанииИС;
- вызовнарушенияфункционированияМЭ.
|
|
Семя – орган полового размножения и расселения растений: наружи у семян имеется плотный покров – кожура...
Папиллярные узоры пальцев рук - маркер спортивных способностей: дерматоглифические признаки формируются на 3-5 месяце беременности, не изменяются в течение жизни...
Механическое удерживание земляных масс: Механическое удерживание земляных масс на склоне обеспечивают контрфорсными сооружениями различных конструкций...
Своеобразие русской архитектуры: Основной материал – дерево – быстрота постройки, но недолговечность и необходимость деления...
© cyberpedia.su 2017-2024 - Не является автором материалов. Исключительное право сохранено за автором текста.
Если вы не хотите, чтобы данный материал был у нас на сайте, перейдите по ссылке: Нарушение авторских прав. Мы поможем в написании вашей работы!