Использование графического интерфейса пользователя
Для получения доступа к меню описания трансляции сетевых адресов необходимо выполнить следующие шаги:
Выбрать пункт Редактировать в главном меню.
Выбрать опцию Трансяция адреса
Окно трансляции сетевых адресов
Окно трансляции сетевых адресов состоит из нескольких полей, которые необходимо заполнить для правильной работы NAT в межсетевом экране Aker. Эти поля имеют вид:
Общие параметры трансляции:
Activate the address translation: Эта опция должна быть включена для активизации механизма трансляции адресов. Когда механизм трансляции не активен, конфигурация будет сохраняться, но ее нельзя будет изменить.
Private network IP: IP адрес внутренней сети.
Private netmask: Сетевая маска внутренней сети.
Virtual IP: Это реальный IP адрес, в который будут транслироваться адреса источника всех пакеты от хостов внутренней сети при их соединении в внешними серверами. Этот адрес должен быть одним из адресов сетевого интерфейса межсетевого экрана.
Maximum number of UDP and TCP connections: Это максимальное число одновременных соединений между внутренней и внешней сетями для UDP и TCP протоколов. Параметр может принимать значение от 0 до 55000 (значение 0 не следует использовать, так как оно деактивирует трансляцию для выделенного протокола; при этом генерируется сообщение об ошибке при каждом обращении клиента к сервису, основанному на этом протоколе).
Максимальный периоде времени, в течение которого соединение считается активным, даже при отсутствии трафика, можно настраивать с помощью системных параметров. Настройка этого параметра описана в главе Настройка системных параметров.
! Трансляция адресов много-в-один работает только для протоколов TCP, UDP и ICMP. Для сервисов, основанных на других протоколах, трансляция производиться не будет, если только хост источника не помещен в таблицу серверной трансляции.
Таблица серверной трансляции:
Таблица серверной трансляции используется для определения отображения один-в-один; серверам присваиваются реальные адреса и внешние хосты получают к ним доступ.
Чтобы получить доступ к окну настройки защищенных каналов, необходимо выполнить следующие действия:
Выбрать пункт Edit в главном меню
Выбрать опцию Secure Channels
Окно настройки защищенных каналов
Окно содержит параметры конфигурации всех защищенных каналов межсетевого экрана Aker. Каждый канал будет показан на дисплее на отдельной строке, состоящей из нескольких клеток. При выделении одного из каналов строка будет окрашена в другой цвет.
Клавиша OK обновляет параметры каналов и немедленно активизирует каналы.
Клавиша Cancel отбрасывает все сделанные модификации и окно закрывается.
Клавиша Help показывает окно помощи по этому разделу
Если установлена опция Show all entities, на строке будут показаны все составляющие в объекте источника и назначения данного канала, в противном случае будут показаны только первые два
Указание: Если эта опция не установлена и каналы имеют больше двух объектов в источнике или назначении, в каждом поле, содержащем больше двух объектов, будет показана направленная вниз стрелка.
Полоска прокрутки с правой стороны полезна для просмотра каналов, параметры которых не поместились в окне.
Если Вы выделите канал, у которого есть записи в поле комментариев, то последние будут показаны в нижней части окна.
Для выполнения любого действия с параметрами канала, необходимо нажать на нем правой клавишей мыши. Появится следующее меню (Это меню появляется всегда при нажатии на правую клавишу мыши, даже если канал не выделен. В этом случае будут доступны только опции Add и Paste).
Add: Эта опция позволяет включить в список новый канал. Если выделен какой-либо канал, новый канал будет вставлен в позицию выделенного канала. Если же канал не выделен, новый канал будет включаться в конец списка.
Delete: Эта опция удаляет выделенный канал из списка.
Edit: Эта опция открывает окно редактирования выделенного канала.
Copy: Эта опция копирует выделенный канал в буфер.
Cut: Эта опция удаляет выделенный канал из списка и копирует его в буфер.
Paste: Эта опция копирует канал из буфера в список. Если канал выделен, то новый канал будет помещен в позицию выделенного канала. В противном случае он будет помещен в конец списка.
Deselect: Эта опция отменяет выделение канала и снова показывает меню. Это очень полезно при наличии большого числа каналов, и служит для включения или вклейки канала в конец списка.
Рекомендация: Все опции, кроме опции "deselect", доступны через инструментальное меню, расположенное в верхней части окна. В этом случае сначала надо выделить канал, нажав на нем левой клавишей мыши, а затем выбрать необходимую опцию. При добавлении или редактировании каналов появится окно свойств, описание которого приведено ниже:
Для получения доступа к окну просмотра, надо выполнить следующие действия:
Выберите пункт Просмотр в главном окне
Выберите опцию Статистика
Окно фильтрации статистики
Каждый раз при выборе опции "Статистика", автоматически открывается окно фильтрации статистики. Это окно позволяет определить фильтр для просмотра статистики. Оно имеет следующий формат:
По умолчанию фильтр настроен таким образом, чтобы показывать все записи текущего дня. Для просмотра записей по другим дням можно настроить поля Initial Date и Final Date, если ввести в них необходимые даты (диапазон фильтрации будет включать записи от начальной до конечной даты, включительно).
Если нужно просмотреть записи, у которых адреса источника принадлежат определенной группе хостов, для их выделения можно воспользоваться полями Source IP и Source Mask. То же можно сделать и для выделения группы хостов с конкретными адресами назначения, используя поля Destination IP и Destination Mask.
Чтобы просмотреть конкретный сервис, надо ввести с клавиатуры его номер в поле Destination Port or Type of service. Тогда будут показаны только записи с данным сервисом. Важно не забыть выделить необходимый протокол для данного сервиса.
! Для TCP и UDP протоколов, чтобы указать сервис, необходимо в это поле ввести с клавиатуры номер порта, связанный с этим сервисом. В случае ICMP нужно ввести тип сервиса. Для любого другого протокола необходимо ввести его номер.
Кроме указанных полей существуют другие опции, которые можно комбинировать, чтобы еще больше ограничить объем выводимой на экран информации.
Действия:
Описывает действие, проделанное системой над пакетом. Возможны следующие опции:
Любой
Показывает все пакеты. Accepted
Показывает только пропущенные пакеты. Rejected
Показывает только блокированные пакеты Discarded
Показывает только отброшенные пакеты. Translated
Показывает только сообщения, связанные с трансляцией адресов пакетов.
Priority:
Различные типы сообщений имеют разные приоритеты.
Для доступа к окну просмотра событий нужно выполнить следующие действия: Выбрать меню Просмотр в главном окне
Выбрать опцию События
Окно фильтрации событий
При выборе опции События автоматически высвечивается окноФильтрация событий window is automatically displayed. Это окно позволяет выбрать используемый для просмотра фильтр. Оно имеет следующий формат:
По умолчанию фильтр настроен для показа сообщений текущего дня. Чтобы увидеть сообщения за другие дни, необходимо настроить поля Начальная дата и Конечная дата, описав с их помощью интересующий Вас диапазон (он будет содержать сообщения от начальной до конечной даты включительно).
Кроме этих полей, существуют и другие опции, которые можно применять в разных комбинациях, чтобы еще больше ограничить круг выводимой для просмотра информации:
Приоритет:
Различные типы сообщений имеют различные приоритеты. Высший приоритет присваивается наиболее важным из них. В приведенном ниже списке описываются все возможные приоритеты в порядке убывания их важности. (Если межсетевой экран настроен для посылки копии данных регистрации через syslog, то будут генерироваться сообщения с указанными ниже приоритетами.):
! При задании конкретного приоритета на экране будут показаны сообщения только с этим приоритетом.
AnyБудут показаны сообщения с любым приоритетом ErrorСообщения с таким приоритетом содержат информацию о какой-либо ошибке в конфигурации или действиях системы (например, отказ памяти). Сообщения с таким приоритетом достаточно редки и на них следует реагировать как можно быстрее. WarningСообщения с таким приоритетом свидетельствуют о возникновении серьезных нештатных ситуаций (например, во время установления сеанса удаленного администрирования возникла ошибка авторизации пользователя). NoticeЭтот приоритет включает сообщения, в которых содержится информация, важная для системного администратора, но при этом не выходящая за рамки нормального процесса функционирования (например, администратор начал сеанс удаленного администрирования).
Для получения доступа к окну активных соединений необходимо:
Выбрать меню Просмотр в главном окне
Выбрать подпункт Соединения
Выбрать опцию TCP соединения или UDP соединения
Окно активных соединений
В окне активных соединений можно просматривать все соединения, которые прошли через межсетевой экран в течение определенного времени. Окна для TCP и UDP протоколов идентичны за исключением поля Current State, которое существует только в окне TCP соединений.
Часто для упрощения понимания термин соединение используется для TCP и UDP протоколов; это не совсем правильно хотя бы из-за того, что UDP протокол не является ориентированным на соединение. Смысл термина "UDP соединение" заключается в том, что оно представляет UDP сессию, в которой имеет место двусторонний трафик. Любой сеанс можно рассматривать как набор запросов и ответов через межсетевой экран к определенному сервису, который обеспечивается одной стороной и доступ к которому пытается получить другая сторона. Окно соединений выглядит следующим образом
Окно состоит из списка с отдельным элементом для каждого активного соединения. В нижней части окна выводится сообщение о полном числе активных соединений в текущий момент времени.
Кнопка OK закрывает окно активных соединений.
Кнопка Refresh активизирует (или деактивизирует) автоматическое обновление выводимой на дисплей информации. Нажатие на эту кнопку деактивизирует процесс обновления. Интервал обновления можно задать в поле Automatic refresh.
Кнопка Help показывает окно помощи по данному разделу.
Кнопка Remove удаляет выделенное соединение. Чтобы это сделать, необходимо сначала выделить удаляемое соединение (кнопка Remove
недоступна, если соединение не выделено)
! При удалении TCP соединения межсетевой экран посылает пакеты с флагом reset всем хостам, участвующим в соединении, удаляет соединение, а затем удаляет соответствующий элемент из таблицы состояний. В случае UDP соединений межсетевой экран просто удаляет элементы из таблицы состояний.
Для доступа к окну параметров аутентификации необходимо выполнить следующие действия:
Выбрать меню Edit в главном окне
Выбрать опцию Authentication parameters
Окно параметров аутентификации
Кнопка OK закрывает окно параметров аутентификации и сохраняет все изменения.
Кнопка Cancel закрывает окно и отбрасывает все сделанные изменения.
Кнопка Help показывает окно помощи по данному разделу.
Значения параметров
Consult all authenticators: Этот параметр указывает, должен ли межсетевой экран пытаться проверять подлинность пользователя у следующего аутентификатора по списку, если предыдущий аутентификатор присылает сообщение о неверном пароле.
Если эта опция установлена, межсетевой экран опрашивает все аутентификаторы по списку, пока он не получит утвердительный ответ или пока не исчерпает весь список. Если нет, поиск закончится на первом же аутентификаторе, который пришлет подтверждение или сообщение о неверном пароле.
! Эта опция используется только при ответах о неверном пароле. Если аутентификатор присылает ответ, что пользователь, подлинность которого надо проверить, не зарегистрирован в базе данных этого хоста, межсетевой экран продолжит поиск в следующем аутентификаторе по списку, независимо от значения этой опции.
User can specify domain: Этот параметр указывает, может ли пользователь при аутентификации сообщить межсетевому экрану, какой аутентификатор он хочет использовать.
Если эта опция установлена, пользователь может добавить к своему имени суффикс, образованный символом / и именем аутентификатора, тогда его запрос будет посылаться прямо данному аутентификатору. Если эта опция не установлена, аутентификация будет выполняться в порядке перечисления аутентификаторов в списке, заданном администратором.
! Использование этой опции не обязывает пользователя сообщать имя аутентификатора, опция только позволяет пользователю сделать это при желании. Если пользователь не задает имя аутентификатора, аутентификация будет продолжена нормальным путем.
Для иллюстрации доменной спецификации рассмотрим пример системы с двумя аутентификаторами, названными Unix и Windows_NT (окно с этими аутентификаторами показано на рисунке).
Для доступа к окну конфигурирования SMTP proxy выполните следующие действия:
Выберите меню Proxy в главном окне
Выберите раздел SMTP
Окно контекстов SMTP
Окно контекстов содержит все SMTP контексты, определенные в межсетевом экране. Оно состоит из списка, в котором каждый контекст показан на отдельной строке.
Кнопка OK закрывает окно контекстов
Кнопка Help показывает окно помощи по данному разделу.
Полоска прокрутки с правой стороны используется для просмотра контекстов, которые не поместились в окне.
Для выполнения любого действия с конкретным контекстом нажмите на нем правой клавишей мыши. Откроется следующее меню (Это меню будет появляться всегда, если нажать правую клавишу мыши, даже когда контекст не выделен. В этом случае будут доступны только опции Add и Paste.)
Add: Эта опция позволяет дополнить список новым контекстом. Если выделен какой-либо контекст, новый будет вставлен в позицию выделенного. Во всех других случаях новый контекст добавляется в конец списка.
Delete: Эта опция удаляет выделенный контекст из списка.
Edit: Эта опция открывает окно свойств для выделенного контекста.
Copy: Эта опция копирует выделенный контекст в буфер.
Cut: Эта опция удаляет выделенный контекст из списка и копирует его в буфер.
Paste: Эта опция копирует контекст из буфера в список. Если контекст выделен, новый копируется в позицию выделенного контекста; если нет, он копируется в конец списка.
Указание: Можно получить доступ ко всем этим опциям через инструментальное меню, находящееся в верхней части окна. В этом случае сначала выделите контекст, нажав на нем левой клавишей мыши, а затем выберите необходимую опцию. При добавлении или редактировании контекстов откроется упомянутое выше окно свойств:
Окно свойств для SMTP контекстов
Для доступа к окну настройки Telnet proxy выполните следующие действия:
Выберите меню Proxy в главном окне
Выберите опцию Telnet
Окно контекстов Telnet
Окно контекстов содержит все Telnet контексты, определенные в межсетевом экране. Оно состоит из списка, в котором каждый контекст показан на отдельной строке.
Кнопка OK закрывает окно контекстов.
Кнопка Help показывает окно помощи по данному разделу.
Полоса прокрутки справа используется для просмотра контекстов, которые не уместились в окне.
Для выполнения любого действия на конкретном контексте, нажмите правой клавишей мыши на контексте. Откроется следующее меню (Это меню появляется всегда при нажатии правой клавишей мыши, даже если нет выделенных контекстов. В этом случае будут доступны только опции Add и Paste.)
Add: Эта опция позволяет дополнить список новым контекстом. Если выделен какой-либо контекст, новый вставляется на место выделенного контекста. Во всех прочих случаях новый контекст добавляется в конец списка.
Delete: Эта опция удаляет выделенный контекст из списка.
Edit: Эта опция открывает окно свойств для выделенного контекста.
Copy: Эта опция копирует выделенный контекст в буфер.
Cut: Эта опция удаляет выделенный контекст из списка и копирует его буфер.
Paste: Эта опция копирует контекст из буфера в список. Если контекст выделен, новый будет помещен на место выделенного контекста, если нет, он будет помещен в конец списка.
Указание: Ко всем этим опциям можно получить доступ через инструментальное меню, расположенное в верхней части окна. В этом случае сначала выделите контекст, нажав на нем левой клавишей мыши, а затем выберите необходимую опцию. В случае добавления или редактирования контекстов будет открыто описанное ниже окно свойств:
Окно свойств контекстов Telnet
В окне свойств можно настроить все параметры конкретного контекста. Окно состоит из следующих полей:
Name: Имя, которое идентифицирует контекст. Это имя будет показано в списке контекстов и в окне редактирования сервисов при создании сервиса, пакеты которого перенаправляются Telnet proxy.
Чтобы добавить новое отображение в список, нужно выполнить следующие действия:
Нажмите на иконку, которая представляет добавление в инструментальном меню.
или: Нажмите в любом месте списка правую клавишу мыши и выделите опцию Add
во всплывающем меню.
Для редактирования элемента списка надо сделать следующее:
Нажать на левую клавишу мыши на редактируемом элементе, а затем на иконке, которая представляет редактирование в инструментальном меню.
или Нажмите в любом месте списка правую клавишу мыши и выделите опцию Edit
во всплывающем меню.
Для удаления отображения из списка необходимо выполнить следующее:
Выделить удаляемый элемент при помощи левой клавиши мыши, а затем нажать иконку, представляющую удаление в инструментальном меню.
или Выделить удаляемый элемент при помощи правой клавиши мыши и выберите опцию Удалить во всплывающем.
Для опций Добавить или Редактировать появится следующее окно:
Real IP: It is the IP address which is defined in the network interface of the internal host.
Virtual IP: Это реальный IP адрес, в который будут транслироваться адреса из внутренней сети. Этот адрес нельзя присваивать какому-либо внешнему хосту и он не может являться адресом сетевого интерфейса межсетевого экрана Aker. Важные замечания:
Список серверов не должен содержать повторяющиеся записи.
Реальные адреса должны принадлежать внутренней сети, определенной в полях IP адрес внутренней сети и сетевая маска внутренней сети.
Виртуальный адрес не может принадлежать внутренней сети
Когда хост, описанный в таблице серверной трансляции образует соединение с внешним хостом, его адрес источника будет преобразован в соответствующий виртуальный адрес, кроме протокола FTP. В случае протокола FTP преобразованный адрес будет виртуальным IP адресом глобальной трансляции, независимо от того, описан ли хост в таблице серверной трансляции или нет.
Чем выше приоритет сообщения. тем оно важнее. В приведенном ниже списке указаны все возможные приоритеты в порядке их снижения (если межсетевой экран настроен для отправки копии сообщения в syslog, сообщения будут генерироваться с теми же приоритетами, что приведены в списке).
! Когда задан некоторый приоритет, на экране будут появляться записи только с этим приоритетом. Записи с более высоким или более низким приоритетом не будут выводиться на экран.
Any
Показывает записи с любым приоритетом. Warning
Записи с этим приоритетом обычно свидетельствуют о том, что имела место какого-либо рода атака или же очень серьезная ситуация (например, ошибка в конфигурации защищенного канала). Этим записям всегда предшествует сообщение, содержащее больше информации о происшествии. Notice
Как правило, записи с этим приоритетом генерируются пакетами, которые были блокированы или отброшены системой, поскольку они соответствовали правилу, запрещающему доступ или не удовлетворяли ни одному из правил. Иногда им предшествуют более поясняющие суть события сообщения. Information
Записи с этим приоритетом добавляют полезную информацию, но не представляют особенной важности для администрирования межсетевого экрана. Они никогда не сопровождаются пояснительными сообщениями. Обычно записи с этим приоритетом генерируются пакетами, пропущенными межсетевым экраном. Debug
Записи с этим приоритетом не несут какой-либо реально полезной информации, кроме информации, полезной при настройке системы. С этим приоритетом генерируются записи модуля трансляции сетевых адресов
Module:
Эта опция позволяет просматривать записи, генерируемые одним из трех основных модулей системы: пакетным фильтром, транслятором сетевых адресов и криптографическим модулем . При выделении одного из этих модулей, будут показаны только генерируемые им записи.
Protocol:
Это поле описывает протокол для выводимых записей. Допустимы следующие опции:
Any
Показывает записи с любым протоколом. TCP
Показывает только записи, относящиеся к TCP пакетам.TCP/SYN
Показывает только записи, относящиеся к установлению TCP соединения ( с флагом SYN). UDP
Показывает только записи, относящиеся к UDP пакетам. ICMP
Показывает только записи, относящиеся к ICMP пакетам. Others
Показывает записи, которые генерируются протоколами, отличными от TCP, UDP и ICMP выше. Более точно определить протокол можно, определив значение в поле Destination Port или Type of Service. Кнопка OK накладывает выбранный фильтр и показывает окно статистики с выбранной информацией.
Кнопка Cancel отменяет действие фильтра и параметры в окне статистики возвращаются к прежним значениям. Кнопка Help выводит подсказку по данному разделу
InformationСообщения с этим приоритетом содержат полезную информацию, но не столь важную для администрирования межсетевого экрана, как предыдущие (например, закончился сеанс удаленного администрирования). DebugСообщения с этим приоритетом не содержат важной информации, кроме необходимой для аудита. Сюда относятся, например, сообщения, которые генерируются модулем удаленного администрирования при каждой сделанной модификации в конфигурации межсетевого экрана или при его рестарте.
Модуль:
Эта опция позволяет увидеть сообщения, которые генерируются каким-либо из трех главных модулей системы или любым внешним сервером. При выборе конкретного модуля будут показаны только относящиеся к нему сообщения. Кнопка OK накладывает описанный фильтр и открывает окно событий с выборкой соответствующей фильтру информации.
Кнопка Cancel отменяет операцию фильтрации и в полях окна событий появляется предыдущая информация. Кнопка Help выводит окно подсказки по данному разделу.
Окно событий
Окно событий открывается после наложения нового фильтра. Оно состоит из списка сообщений. Обычно каждая строка списка соответствует отдельному сообщению, но некоторые сообщения могут занимать две строки. Формат сообщений рассмотрен в следующем разделе.
Важные замечания:
Одновременно выводится 100 сообщений.
На экран можно вывести только первые 10.000 сообщений, соответствующих данному фильтру. Другие сообщения можно увидеть, записав их в файл или используя другой фильтр для вывода меньшего числа сообщений.
Слева от каждого сообщения показан цветной значок, обозначающий его приоритет. Цвета имеют следующие значения:
Синий
Debug
Зеленый
Information
Желтый
Notice
Красный
Warning
Черный Error
Если нажать левую клавишу мыши на сообщении, в нижней части окна появится строка с дополнительной информацией о нем.
Значения кнопок в окне событий
Кнопка OK закрывает окно событий.
Кнопка Refresh активизирует автоматическое обновление выводимой информации.
При первом нажатии эта функция активизируется, про следующем она отменяется. Интервал обновления можно настроить в поле Automatic refresh .
Кнопка Filter открывает окно фильтрации событий, описанное выше. Это позволяет организовать новый просмотр.
Кнопка Erase All позволяет удалить все содержимое файла событий. Если нажать эту кнопку, откроется следующее окно:
Нажмите Yes чтобы стереть все события или No для отказа от операции.
! При стирании содержимого файла событий восстановить его можно только с резервной копии.
Кнопка Compact уплотняет файл событий. При этом удаляются все события старше времени жизни статистики (см. главу Настройка параметров системы ), что позволяет реорганизовать файл событий и улучшить время доступа к нему. Этот процесс выполняется в фоновом режиме, поэтому во время его выполнения невозможно просматривать события.
Если нажать эту кнопку, откроется следующее окно:
Кнопка Save сохраняет всю выделенную информацию в ASCII файле. Файл состоит из различных строк с тем же содержанием, что показано в окне.
Эта опция очень полезна для отправки копии событий другому лицу или для сохранения копии некоторых важных данных в текстовом формате. Если нажать эту кнопку, появится следующее окно:
Для экспортирования сообщений о событиях, введите имя создаваемого файла и нажмите кнопку Save, для отмены операции нажмите кнопку Cancel.
! Если существует файл с таким же именем, он будет переписан.
Кнопка Next 100>>>> позволяет вывести 100 следующих сообщений. Если они отсутствуют, опция будет недоступна.
Кнопка <<Last 100 позволяет позволяет вывести 100 предыдущих сообщений. Если больше сообщений нет, опция будет недоступна.
Кнопка Help открывает окно помощи по окну просмотра событий.
Кнопка DNS позволяет включить или выключить разрешения имен хостов с помощью системы доменных имен (DNS) для адресов в списке соединений. Обратите внимание на следующее:
Если нажать кнопку DNS, прервется автоматическое обновление. Для его активизации нажмите кнопку Refresh.
После нажатия кнопки DNS показываемая на дисплее информация будет состоять только из имен хостов и портов источника и назначения. Заголовок в верхней части окна будет автоматически изменен, чтобы представлять новую информацию.
Процесс разрешения имен очень часто проходит довольно медленно, из-за чего он выполняется в фоновом режиме.
Часто из-за проблем с настройкой обратных зон ( соответствие IP адресов именам), разрешить некоторые IP адреса в имена невозможно. В этих случаях на экран будут выводиться адреса с указанием факта, что для них не описано обратное разрешение.
Поле Sort позволяет выбрать способ вывода на дисплей списка соединений. Оно содержит опции:
Source IP: Список соединений сортируется по IP адресам источника (этот порядок устанавливается по умолчанию).
Destination IP: Список соединений сортируется по IP адресам назначения
Service: Список соединений сортируется по порту назначения соединения, соответствующему данному сервису.
В такой системе, если пользователь с именем аdministrator хочет пройти аутентификацию на машине Windows_NT, он должен ввести следующий текст при запросе его регистрационного имени: administrator/Windows_NT. Если он не укажет суффикс, межсетевой экран будет пытаться аутентифицировать его на машине Unix, и если не существует пользователя с таким именем или опция Consult all authenticators
будет установлена, межсетевой экран будет пытаться аутентифицировать данного пользователя на хосте Windows_NT.
! Имя аутентификатора должно быть в списке опрашиваемых аутентификаторов.
Список аутентификаторов
В окне присутствуют два списка аутентификаторов: список слева показывает все объекты типа аутентификатор, определенные в системе. Список справа указывает, какие аутентификаторы будут использоваться для аутентификации пользователей и в каком порядке. Чтобы добавить аутентификатор в правый список, надо сделать следующее:
Выделить добавляемый аутентификатор в левом списке
Нажать кнопку, изображающую направленную вправо стрелку (только что добавленный аутентификатор будет помечен красным значком V
в левом списке, указывая на то, что он добавлен и будет представлен в правом списке).
Для удаления аутентификатора из списка необходимо:
Выделить удаляемый аутентификатор в правом списке.
Нажать кнопку X (удаленный аутентификатор больше не будет помечен значком V в левом списке).
Для изменения порядка следования аутентификаторов в списке, сделайте следующее:
Выделите перемещаемый аутентификатор в правом списке.
Нажмите одну из кнопок справа от списка: кнопка со стрелкой вверх переместит выделенный аутентификатор на одну позицию вверх в списке, а кнопка со стрелкой вниз переместит его на одну позицию вниз.
! Опрос аутентификаторов проводится в порядке их следования в правом списке, сверху вниз.
Назад | Содержание | Вперед
Не может быть двух контекстов с одинаковыми именами. Maximum number of simultaneous sessions: Это поле определяет максимальное число Telnet сессий для данного контекста. Если число открытых сессий достигает этого предела, пользователи, пытающиеся установить новые соединения, будут информированы о том, что достигнут предел и что им следует возобновить попытки позднее. Allowed only with a valid reverse DNS: Если эта опция установлена, будут приниматься соединения только от хостов, для которых описано обратное преобразование в системе доменных имен (DNS). Idle timeout: Этот параметр определяет максимальное время в секундах, в течение которого proxy остаются в активном состоянии при отсутствии передачи через них данных.
Это значение должно быть меньше или равно тому значению, которое задается в поле TCP Timeout в глобальных параметрах настройки (смотрите главу Настройка параметров системы ). Default permission: Это поле определяет, какое действие будет применено ко всем тем пользователям, кто не принадлежит к какой-либо из групп из разрешающего доступ списка. Значение accept позволяет установить Telnet соединение, а значение reject нет. Permissions list: В этом списке описывается пользователи или группы пользователей, которым разрешен доступ. Для выполнения действий с пользователем или группой в списке нажмите на соответствующем пользователе (или на группе) правой клавишей мыши. Появится следующее меню (Это меню появляется каждый раз, если нажать правую клавишу мыши, даже когда не выделен пользователь или группа. При этом доступны только опции Add и Paste)
Add: Эта опция позволяет добавить нового пользователя или группу в список. Если выделен какой-либо пользователь (или группа), новый будет вставлен на место выделенного. Во всех прочих случаях новый пользователь (или группа) будут добавлены в конец списка.
Edit: Эта опция позволяет модификацию полномочия на доступ для пользователя (или группы).
Delete: Эта опция удаляет выделенного пользователя (или группу) из списка.
Совет: Ко всем этим опциям можно получить доступ через инструментальную полоску, расположенную справа над списком. В этом случае сначала выделите пользователя (или группу), нажав на нем левой клавишей мыши, а затем нажмите необходимую опцию.
! Порядок расположения пользователей и групп в списке полномочий очень важен. При аутентификации пользователя межсетевой экран просматривает список с самого начала в поисках имени пользователя или группы, к которой он принадлежит. Как только оно будет найдено, начинает использоваться связанные с ним полномочия.
Для изменения позиции пользователя или группы в списке, сделайте следующее:
Выберите перемещаемого пользователя или группу.
Нажмите одну из кнопок в форме стрелки справа от списка. Кнопка со стрелкой вверх переместит выделенного пользователя или группу на одну позицию вверх, а кнопка со стрелкой вниз - на одну позицию вниз.
При добавлении пользователей или группы откроется следующее окно: Окно добавления пользователя или группы
Окно добавления определяет полномочия на доступ для пользователя или группы у конкретного аутентификатора. Для его определения необходимо сделать следующее:
Выбрать аутентификатор, с которого вы хотите получить список пользователей или групп, нажав левой клавишей мыши на его имени в верхнем списке окна (Если необходимого аутентификатора нет в списке, нужно добавить его в список аутентификаторов. Подробно этот вопрос рассмотрен в главе Настройка параметров аутентификации .)
Выбрать между списками пользователей и групп, нажав соответствующую кнопку, расположенную между двумя списками
Нажать левой клавишей мыши на имени добавляемого пользователя или группы в нижнем списке окна.
Определить права на доступ для пользователя или группы, выбрав между значениями accept (которое позволяет установить соединение) или reject
(которое запрещает установление соединения).
Нажать кнопку OK , которая закрывает окно и добавляет пользователя или группу в список.
Назад | Содержание | Вперед
Использование инструментальных средств графического интерфейса
В этой главе объясняется назначение инструментальных средств в графическом интерфейсе межсетевого экрана Aker.
Использование интерфейса командной строки
Кроме графического интерфейса для управления пользователями может быть использован локальный интерфейс командной строки, обладающий теми же возможностями, что и графический интерфейс. Единственной недоступной функцией является изменение полномочий пользователей. Этот интерфейс, реализованный при помощи команды fwadmin является интерактивным и не получает параметров из командной строки.
Путь к программе: /etc/firewall/fwadmin
При запуске программа выводит на экран: ---------------------------------------------------------------- Aker Firewall version 3.0 Remote users administration module Choose one of the following options: Add a new user Remove an existing user Modify an user's password List the registered users Compact the users file Exit fwadmin -----------------------------------------------------------------
Для выполнения одной из опций, нажмите выделенную жирным букву. Каждая из опций будет показана на экране в деталях:
Add a new user
Эта опция позволяет создать новых пользователей, которые смогут удаленно управлять межсетевым экраном Aker . Когда выделена эта опция, на экране появляется форма для ввода информации о пользователе. После заполнения полей на экране появится запрос для подтверждения создания пользователя. ---------------------------------------------------------------- Aker Firewall version 3.0 Remote users administration module User creation Enter the login : Administrator Configure Firewall ? (Y/N): Yes Configure the log ? (Y/N) : Yes Manage Users ? (Y/N) : No Enter the complete name : Aker Firewall administrator Enter the password : Confirm the password : Create user ? (Y/N) ----------------------------------------------------------------
Важные замечания:
В полях, где указан выбор (Y/N) вы должны нажать "Y" для утвердительного ответа и "N" - для отрицательного.
Пароль и подтверждение пароля не будут высвечены на экране.
Remove an existing user Эта опция удаляет пользователя, который зарегистрирован в системе. Для удаления будет запрошено регистрационное имя пользователя. Если пользователь действительно зарегистрирован, будет запрошено подтверждение для продолжении процедуры. ---------------------------------------------------------------- Aker Firewall version 3.0 Remote administration user module Users removal Enter the login : Administrator Remove user ? (Y/N) ----------------------------------------------------------------
Для продолжения удаления нажмите "Y" Modify an user's password Эта опция позволяет изменить пароль уже зарегистрированного пользователя. Будет запрошено регистрационное имя пользователя, и, в случае, если пользователь существует, будет запрошен новый пароль и подтверждение этого нового пароля (как уже упоминалось, пароль и его подтверждение не будут высвечены на экране ). ---------------------------------------------------------------- Aker Firewall version 3.0 Remote users administration module User's password changing Enter the login : Administrator Enter the new password : Confirm the new password : Password changed successfully - Press Enter ----------------------------------------------------------------
List the registered users Эта опция показывает список имен и полномочий всех пользователей, которые могут удаленно управлять межсетевым экраном. Ниже приводится пример одного из возможных списков: ------------------------------------------------------------------ Aker Firewall version 3.0 Remote users administration module Users list Login Name Permissions ------------------------------------------------------------------- Administrator Aker Firewall Administrator CF CL MU User Aker Firewall User -- -- -- Auditor Aker Firewall Auditor -- CL -- Manager Aker Firewall Manager -- -- MU CF = Configure Firewall, CL = Configure log, MU = Manage Users End of list - Press Enter to continue ------------------------------------------------------------------
Поле полномочий состоит из 3 возможных значений: CF, CL and MU, что соответственно означает право на конфигурирование межсетевого экрана, настройку статистики и управление пользователями. Если данное право у пользователя есть, оно будет показано в виде описанных выше кодов, в противном случае будет указано не его отсутствие. Compact the users file Эта опция не представлена в графическом интерфейсе и применяется довольно редко. Она используется для уплотнения файла пользователей путем удаления более не используемых элементов данных. Ее следует применять, только когда большое число пользователей было удалено из системы. При задании этой опции файл будет уплотнен и, в конце появится сообщение, указывающее, что процедура закончена (уплотнение файла обычно проходит быстро и занимает несколько секунд). Exit fwadmin Эта опция завершает программу fwadmin и управление возвращается обратно shell Назад | Содержание | Вперед
Пример 1: (Просмотр таблицы защищенных каналов) Entry 01: -------- Source : NETWORK1 Destination : AKER Direction : Receive Keys: SKIP Secret : 5ab53faefc7c9845acbe223148065dabe3279819ab01c39654effacbef087022 Entry 02: -------- Source : AKER Destination : NETWORK1 Direction : Send Keys: SKIP Algorithms: 3DES MD5 DES Secret : 5ab53faefc7c9845acbe223148065dabe3279819ab01c39654effacbef087021 Entry 03: -------- Source : Internal Network Destination : External Network 1 Direction : Send Keys: Manual Algorithms: SHA DES SPI : 999 Authentication: 0c234da5677ab5 Encryption : 9a34ac7890ab67ef IV: 64 bits Entry 04: -------- Source : External Network 1 Destination : Internal Network Direction : Receive Keys: Manual Algorithms: SHA DES SPI : 999 Authentication: 0c234da5677ab5 Encryption : 9a3456ac90ab67ef IV: 64 bits
Пример 2: (Удаление третьего элемента) #/etc/firewall/fwcripto remove 3 Entry 3 removed
Пример 3: (Добавление элемента с ручным обменом ключей и шифрованием DES в конец таблицы) #/etc/firewall/ fwcripto add end NETWORK1 NETWORK2 send manual 7436 MD5 c234da5677ab5 DES 64 4234ad70cba32c6ef Entry added at position 3
Пример 4: (Добавление элемента с обменом ключей через SKIP в начало таблицы) #/etc/firewall/fwcripto add 1 NETWORK1 NETWORK2 send skip 3DES SHA DES 5ab53faefc7c9845acbe223148065dabe3279819ab01c39654effacbef087022 Entry added at position 1
Назад | Содержание | Вперед
Использование помощи в режиме он-лайн
Межсетевой экран Aker имеет систему помощи, работающую в режиме on-line. Все окна, кроме предназначенных для подтверждения, имеют кнопку Help. При активизации эта кнопка открывает специальное окно помощи.
Кроме такой специальной помощи в каждом окне можно перемещаться по структуре справочного документа, аналогично тому как Вы делаете в этом Руководстве. Для этого надо проделать следующие действия:
Выберите опцию Help в главном меню
Выберите пункт Help
В системе помощи существуют ссылки, как в этом Руководстве. При выборе на такую ссылку будет высвечено соответствующее окно.
Назад | Содержание | Вперед
Использование ручного механизма обмена ключами
Для использования ручного обмена ключами необходимо выделить опцию Manual
в поле Key Configuration. Это приведет к изменению окна, на котором появятся необходимые поля для настройки параметров:
Аутентификация
Для создания каналов, в которых используется только аутентификация, нужно выделить опцию None в поле Encryption. В этом случае появятся следующее окно:
Source Entities : Определяет объекты, адреса которых будут сравниваться с адресом источника IP пакетов, которые должны попадать в канал.
Destination Entities : Определяет объекты, адреса которых будут сравниваться с адресом назначения IP пакетов, которые должны попадать в канал.
Comment: Поле комментариев.
Direction of the channel: Определяет направление канала. Эта опция может принимать два значения: отправка (send) или (receive
прием. За деталями обращайтесь к разделу этой главы Введение.
SPI: (Security Parameter Index) Это уникальное число, используемое приемником, которое идентифицирует потоки. Оно должно превышать 255 и обязательно различаться для каждого канала, направленного к тому же приемнику.
Ключ аутентификации: Это ключ, используемый при аутентификации. Он должен быть записан в шестнадцатеричном формате. Максимальный размер ключа зависит от используемого алгоритма: 32 знака для MD5 и 40 знаков для SHA. Рекомендуется использовать максимально допустимое количество знаков.
Тип аутентификации: Это поле определяет, какой алгоритм аутентификации будет применяться. Возможны два алгоритма: MD5 или SHA. Аутентификация с шифрованием, использующим DES
Для создания каналов с шифрованием, использующим алгоритм DES, следует выделить опцию DES в поле Encryption. Вы увидите следующее окно:
Это окно полностью совпадает с окном для предыдущего элемента меню за исключением двух полей:
Size of the initialization vector: Это размер в битах вектора инициализации, который применяется в алгоритме DES. Этот вектор генерируется системой автоматически для каждого посылаемого пакета. Рекомендуется использование варианта с 64 битами.
Key: Это ключ, который будет применяться для шифрования пакетов. Он обязательно должен быть шестнадцатеричным числом с 16 знаками. Аутентификация с шифрованием, использующим Triple DES (3DES)
Для создания каналов с шифрованием , использующим алгоритм Triple DES, следует использовать опцию 3DES в поле Encryption. Вы увидите следующее окно:
В этом окне добавляются 4 новых поля по сравнению с окном только аутентификация:
Size of the initialization vector: то размер в битах вектора инициализации, который применяется в алгоритме 3DES. Этот вектор генерируется системой автоматически для каждого посылаемого пакета. Рекомендуется использование варианта с 64 битами.
Ключ 1: Это ключ, применяемый при первом преобразовании в алгоритме 3DES. Он обязательно должен быть шестнадцатеричным числом с 16 знаками.
Ключ 2: Это ключ, применяемый при втором преобразовании в алгоритме 3DES. Он обязательно должен быть шестнадцатеричным числом с 16 знаками.
Ключ 3: Это ключ, применяемый при третьем преобразовании в алгоритме 3DES. Он обязательно должен быть шестнадцатеричным числом с 16 знаками.
Использование SKIP для обмена ключей
Для использования SKIP для обмена ключами нужно выделить опцию SKIP
в поле Key Configuration. Окно изменится и в нем появятся необходимые поля.
В протоколе SKIP вся информация, связанная с алгоритмами аутентификации и шифрования, конфигурируется только в хосте, посылающем пакеты. В хосте, который принимает пакеты, необходимо лишь описать объекты источника и назначения и общий секрет.
В обоих случаях появится следующее окно (при настройках на хосте приемнике ненужные поля будут недоступны):
Источник: Определяет объекты, адреса которых будут сравниваться с адресом источника IP пакетов, которые должны попадать в канал.
Приемник : Определяет объекты, адреса которых будут сравниваться с адресом назначения источника IP пакетов, которые должны попадать в канал.
Комментарии:Поле комментариев.
Направление канала: Определяет направление канала. Эта опция может принимать два значения: отправка (send) или (receive)
прием. За деталями обращайтесь к разделу этой главы Введение.
Алгоритм шифрования ключа: Это алгоритм, применяемый для шифрования посылаемого в пакете ключа сеанса. Рекомендуется пользоваться 3DES.
Алгоритм шифрования пакетов: Это алгоритм, которым пользуются для шифрования данных. Возможные опции None ( при использовании только аутентификации), DES и 3DES. Рекомендуется использовать 3DES.
Алгоритм аутентификации: Определяет , какой алгоритм будет использоваться для аутентификации. Возможные значения: MD5 или SHA.
Общий секрет: Это секрет, который будет использоваться для генерации мастер ключей (за деталями обращайтесь к разделу этой главы Введение ).Секрет должен быть одинаков для обоих межсетевых экранов по обе стороны канала. Он обязательно должен быть шестнадцатеричным числом с 64 знаками. Кроме этих полей, существуют две кнопки, облегчающие настройку секрета в обоих межсетевых экранах, отвечающего за шифрование и дешифрование в защищенном потоке:
Загрузить секрет: Эта кнопка позволяет прочесть значение из ASCII файла в поле общего секрета. Этот файл должен состоять только из одной строки длиной 64 символа.
Сохранить секрет: Эта кнопка позволяет записать содержимое поля общего секрета в ASCII файл. Переписанный файл будет иметь только одну строку длиной 64 символа. При нажатии какой-либо из этих кнопок появляется окно, позволяющее выбрать имя файла, в котором следует сохранить или считать секрет.
Использование SMTP proxy
Чтобы использовать SMTP proxy , необходимо выполнить следующие шаги:
Создать контекст с описанием параметров соединения (подробные объяснения содержатся в следующем разделе).
Зарегистрировать сервис, пакеты которого будет перенаправляться SMTP proxy, используя созданный на шаге 1 контекст (смотрите главу Регистрация объектов ).
Добавить правило фильтрации, позволяющее использовать созданный на шаге 2 сервис применительно к необходимым Вам сетям или хостам (смотрите главу Фильтр с контролем состояния).
Использование Telnet proxy
Чтобы использовать Telnet proxy, необходимо выполнить следующие шаги:
Создать контекст ( как это сделать, объяснено в следующем разделе).
Зарегистрировать сервис, пакеты которого будет перенаправлены Telnet proxy, используя контекст, созданный на предыдущем шаге (см. главу Регистрация объектов ).
Добавить правило фильтрации для этого сервиса для необходимых сетей и хостов (см. главу Пакетный фильтр с контролем состояния).
Теперь, когда Telnet сессия удовлетворяет созданному правилу, межсетевой экран запрашивает идентификатор пользователя и пароль. Если идентификатор и пароль введены правильно и пользователю разрешен доступ, сессия будет установлен. В противном случае пользователю сообщается об ошибке и сессия заканчивается.
Использование удаленного интерфейса
В этой главе рассказывается о работе удаленного графического интерфейса.
Использование WWW proxy
Для использования WWW proxy необходимо выполнить следующие действия:
Создать необходимые профили доступа (этот вопрос рассматривается в разделе Создание профилей доступа ).
Отредактировать параметры WWW proxy ( см. раздел Редактирование параметров WWW proxy ).
Создать правила фильтрации, разрешающие клиентам доступ к proxy (см. главу Пакетный фильтр с контролем состояния).
! WWW proxy межсетевого экрана Aker принимает соединения по 80 порту, используя TCP протокол. Если нужно, номер порта можно заменить при запуске proxy , добавив параметр -p port, где port - номер необходимого порта. Proxy запускается из файла /etc/rc; в нем вы можете изменить параметры, например вместо строки /etc/firewall/fwhttppd написать /etc/firewall/fwhttppd -p 8080.
Изменение паролей пользователей
Все пользователи межсетевого экрана Aker могут менять свои пароли по мере необходимости. Для этого сначала следует открыть сессию управления (как показано в параграфе Запуск удаленного интерфейса) и затем выполнить следующие действия:
Выбрать опцию Sessionв главном окне
Выбрать пункт Change Password
Появится следующее окно:
Вы должны ввести старый пароль в поле Old password, новый пароль в поле New password и в поле Confirm password (пароль будет высвечиваться в виде звездочек "*").
После заполнения полей нажмите кнопку OK для изменения пароля или кнопку Cancel в случае если Вы не хотите его менять.
Как межсетевой экран Aker обеспечивает защиту от SYN атак?
Межсетевой экран Aker имеет механизм, назначение которого - препятствовать проведению SYN атак. Принцип его действия заключается в следующем:
Когда защищаемому серверу посылается пакет с запросом на установление соединения (пакет с SYN-флагом, описанный в предыдущем разделе), межсетевой экран регистрирует его в таблице и позволяет пакету пройти. (Естественно, что пакет будет пропущен только в случае, если это разрешено правилами фильтрации, описанными администратором. За подробностями обращайтесь к главе Пакетный фильтр с контролем состояния).
После прихода ответа сервера о подтверждении запроса на соединение (пакет с SYN и ACK-флагами) межсетевой экран посылает пакет серверу с подтверждением соединения, а также посылает ответный пакет клиенту. С этого момента в межсетевом экране активизируется внутренний таймер, который отсчитывает период времени, в течение которого должен прибыть пакет с подтверждением от клиента.
Если запрос о соединении нормальный, то в течение установленного промежутка времени клиент пришлет ответный пакет с подтверждением соединения. Получив этот пакет, межсетевой экран будет считать запрос об установлении соединения нормальным и остановит таймер.
Если клиент не отвечает в течение максимально разрешенного промежутка времени, межсетевой экран пошлет специальный пакет серверу, что приведет к удалению информации о соединении.
Применение описанной процедуры для какого-либо сервера позволяет межсетевому экрану препятствовать заполнению очереди запросов на соединение, поскольку все соединения будут устанавливаться сразу после того, как ответные пакеты сервера достигнут межсетевого экрана и будут удалены из очереди; следовательно, SYN атака не сможет быть реализована.
! Важно подчеркнуть, что действие механизма защиты основано на контроле времени задержки ответа клиента. Если установленный тайм-аут слишком короткий, то могут получать отказы правильные соединения. Если тайм-аут слишком длинный, сервер в случае атаки будет хранить информацию о большом количестве установленных соединений, что может привести к еще более серьезным проблемам.
Как пользоваться интерфейсом Windows или NT
Интерфейс Windows прост в использовании благодаря тому, что большинство пользователей привыкли к этой среде. Однако, обратите внимание на следующее:
Левые и правые кнопки на корпусе мыши имеют различные функции в интерфейсе. Левая кнопка применяется для выделения опций в списках и для ввода с использование мыши. Правая кнопка показывает всплывающее меню для некоторых списков. Большинство этих опций доступны также из инструментального меню в верхней части окна.
Каким образом Aker обеспечивает удаленное управление?
Для поддержки удаленного управления на межсетевом экране запускается процесс, обеспечивающий установление соединения, проверку прав пользователей и выполнение задач пользователя. Когда пользователь начинает сеанс удаленного управления, графический интерфейс устанавливает соединение с модулем удаленного управления межсетевого экрана и поддерживает это соединение открытым, пока пользователь не завершит сеанс.
Все взаимодействие между удаленным интерфейсом и межсетевым экраном осуществляется по защищенному с помощью криптографии и аутентификации пользователей каналу. Для каждой сессии генерируются свои ключи. Кроме того, используются дополнительные меры безопасности для защиты от атак с проигрыванием параметров.
Необходимо сделать несколько важных замечаний по поводу удаленного управления:
Для того чтобы удаленный хост мог взаимодействовать с межсетевым экраном, необходимо добавить правило, разрешающее доступ по TCP протоколу к порту 1020 с хоста, с которого необходим доступ Подробная информация об этом содержится в главе Пакетный фильтр с контролем состояния
Одновременно может использоваться только один удаленный интерфейс. Попытки открыть другую удаленную сессию будут отклонены с сообщением о том, что одна активная административная сессия уже открыта.
Пользователь, использующий удаленный интерфейс, должен быть зарегистрирован в системе. Инсталляционная программа может автоматически создать менеджера с полномочиями по регистрации других менеджеров. Если вы удалили описание такого менеджера или потеряли его пароль, необходимо использовать локальный интерфейс командной строки для создания нового менеджера. Более детальное описание можно найти в главе Управление пользователями межсетевого экрана.
IP адрес:
Объекты:
NETWORK1 - IP адрес: A1.B1.C1.0 - Cетевая маска 255.255.255.0
NETWORK2 - IP адрес: A2.B2.C2.0 - Cетевая маска 255.255.255.0
Защищенный канал 1:
Направление канала: отправка
Источник: NETWORK1
Назначение: NETWORK2
Алгоритм шифрования: DES
Алгоритм аутентификации: MD5
Ключ аутентификации: X1
Ключ шифрования: X2
Защищенный канал 2:
Направление канала: прием
Источник: NETWORK2
Назначение: NETWORK1
Алгоритм шифрования: DES
Алгоритм аутентификации: MD5
Ключ аутентификации: X3
Ключ шифрования: X4
Объекты:
SUBNET1 - IP адрес: A1.B1.2.0 - Сетевая маска 255.255.255.0
SUBNET2 - IP адрес: A2.B2.5.0 - Сетевая маска 255.255.255.0
Защищенный канал 1:
Направление канала: отправка
Источник: SUBNET1
Назначение: SUBNET2
Алгоритм шифрования: DES
Алгоритм аутентификации: MD5
Ключ аутентификации: X1
Ключ шифрования: X2
Защищенный канал 2:
Направление канала: прием
Источник: SUBNET2
Назначение: SUBNET1
Алгоритм шифрования: 3DES
Алгоритм аутентификации: SHA
Ключ аутентификации: X3
Ключ шифрования: X4
Обратите внимание на то, что
Объекты:
NETWORK1 - IP адрес: A1.B1.C1.0 - Сетевая маска 255.255.255.0
NETWORK2 - IP адрес: A2.B2.C2.0 - Сетевая маска 255.255.255.0
Защищенный канал 1:
Направление канала: прием
Источник: NETWORK1
Назначение: NETWORK2
Алгоритм шифрования: DES
Алгоритм аутентификации: MD5
Ключ аутентификации: X3
Ключ шифрования: X4
Защищенный канал 2:
Направление канала: отправка
Источник: NETWORK2
Назначение: NETWORK1
Алгоритм шифрования: DES
Алгоритм аутентификации: MD5
Ключ аутентификации: X1
Ключ шифрования: X2
! Обратите внимание на то, что правило 1 для межсетевого экрана Aker 1 в точности совпадает с правилом 1 для межсетевого экрана Aker 2, за исключением пункта, связанного с направлением. То же касается и правила 2.
Пример конфигурации защищенного канала для подсети
В этом примере определим защищенный канал только для группы хостов в каждой из двух сетей. Кроме того, установим различные алгоритмы для каналов между этими группами.
Использование различных алгоритмов для двух направлений защищенного канала может оказаться полезным в том случае, когда ценность информации в одном направлении больше, чем в другом. В этом случае более защищенный алгоритм применяется в наиболее критическом направлении. Предположим еще, что сети 1 и 2 содержат два адреса класса В: А1.В1.0.0 и А2.В2.0.0, соответственно.
Объекты:
SUBNET1 - IP адрес: A1.B1.C1.0 - Сетевая маска 255.255.255.0
SUBNET2 - IP адрес: A2.B2.C2.0 - Сетевая маска 255.255.255.0
Защищенный канал 1:
Направление канала: отправка
Источник: SUBNET2
Назначение: SUBNET1
Алгоритм шифрования: 3DES
Алгоритм аутентификации: SHA
Ключ аутентификации: X3
Ключ шифрования: X4
Защищенный канал 2:
Направление канала: прием
Источник: SUBNET1
Назначение: SUBNET2
Алгоритм шифрования: DES
Алгоритм аутентификации: MD5
Ключ аутентификации: X1
Ключ шифрования: X2
! Заметьте, что в этом случае совпадение правил возникает в двух межсетевых экранах в другом порядке: правило 1 в межсетевом экране 1 совпадает с правилом 2 в межсетевом экране 2 (с измененными направлениями), а правило 2 в экране1 совпадает с правилом 1 в экране 2 (опять с измененными направлениями). Конечно, порядок описания правил для данных примеров не имеет значения (однако, это не всегда так):
Конфигурационные файлы
/etc/firewall/chave.fw - ключ активизации межсетевого экрана
/etc/firewall/conf/acesso.tab - cписок управления доступом в систему
/etc/firewall/conf/acesso.telnet - список управление доступом для контекстов Telnet proxy
/etc/firewall/conf/acl.tab - профили доступа, зарегистрированные в системе
/etc/firewall/conf/auth.tab - глобальные параметры аутентификации
/etc/firewall/conf/conjuntos.tab - объекта типа набор, зарегистрированные в системе
/etc/firewall/conf/contextos.smtp - список контекстов SMTP proxy
/etc/firewall/conf/contextos.telnet - список контекстов Telnet proxy
/etc/firewall/conf/conv.tab - серверная таблица трансляции адресов
/etc/firewall/conf/crypt.tab - таблица защищенных каналов
/etc/firewall/conf/entidades.crypt - объекты, используемые для работы защищенных каналов
/etc/firewall/conf/entidades.tab - объекты, зарегистрированные в системе
/etc/firewall/conf/entidades.filtro - объекты, используемые для работы пакетного фильтра
/etc/firewall/conf/filtros.smtp - список фильтров для SMTP контекстов
/etc/firewall/conf/parametros.fw - общие конфигурационные параметры системы
/etc/firewall/conf/parametros.http - конфигурационные параметры WWW proxy
/etc/firewall/conf/regras.filtro - правила пакетного фильтра
/etc/firewall/conf/sites.tab - адреса, используемые в профилях доступа
/etc/firewall/conf/syn.tab - таблица параметров защиты от SYN атак
/etc/firewall/conf/usuarios.tab - пользователи, авторизованные для удаленного администрирования
Копируемые файлы
Конфигурационные файлы, указанные в предыдущем разделе, являются наиболее важной частью системных файлов, подлежащих копированию. Такие копии следует выполнять каждый раз при проведении какой-либо модификации в настройках межсетевого экрана.
Другой важной частью файлов являются файлы статистики и событий. В зависимости от требований безопасности можно делать копии этих файлов ежедневно или даже чаще. Другим способом повышения безопасности является настройка межсетевого экрана таким образом, чтобы статистика и события отсылались через syslogd на другие хосты во внутренней сети.
Для создания резервных копий можно использовать утилиту tar
в FreeBSD. Пользователь root должен выполнить следующие команды:
tar cvfz /conf.tgz /etc/firewall/conf
(Сохраняет все настройки межсетевого экрана в файле /conf.tgz
file) tar cvfz /log.tgz /var/log/log-30.fw /var/log/eventos-30.fw
Сохраняет всю статистику и события в файле /log.tgz)
После их копирования необходимо перенести файлы /conf. tgz и /log. tgz на другие хосты, используя, например, FTP.
Настройка агента аутентификации для NT
После инсталляции агента необходимо продолжить его настройку. Она позволяет зарегистрировать все межсетевые экраны, которые будут использовать агент, а также определить сообщения, генерируемые агентом при работе. В отличие от агента аутентификации для Unix, эти настройки выполняются с помощью отдельной программы.
Для доступа к программе настройки необходимо нажать меню Start, выбрать группу Aker Firewall, а затем внутри группы выделить опцию Configure authentication agent. После выполнения этих действий откроется следующее окно:
Это окно содержит все опции для настройки агента. В верхней части окна размещаются опции, позволяющие выбрать тип сообщений, генерируемых агентом, и куда они должны посылаться.
Поле Output определяет, куда будут посылаться сообщения: в Event Viewer системы Windows NT и/или в файл. В случае файла его имя нужно ввести в поле File. Под этими полями размещены несколько опций для описания сообщений. Для генерации определенного типа сообщения нужно, чтобы соответствующая опция была установлена.
! Можно посылать сообщения в файл и в Event Viewer одновременно, для этого достаточно, чтобы были установлены обе опции и определено имя файлов для вывода.
Под списком типов сообщений помещен список адресов межсетевых экранов, имеющих право использовать агента для аутентификации, а также пароли доступа каждого из них.
Чтобы добавить новый сервер, нажмите кнопку Add. Откроется окно, в которое следует ввести IP адрес и пароль межсетевого экрана.
Для изменения пароля зарегистрированного межсетевого экрана, достаточно выделить его адрес и нажать кнопку Edit. Откроется окно с соответствующим полем.
Для удаления межсетевого экрана из списка выделите его адрес и нажмите кнопку Delete.
После проведения модификаций нажмите кнопку OK, которая закрывает окно и сохраняет опции .
! При изменении в списка межсетевых экранов при запущенном агенте, необходимо остановить его и запустить снова. Это можно сделать через Control Panel.
Настройка параметров аутентификации
В этой главе показано, что такое параметры аутентификации и как их настраивать. Эти параметры необходимы для межсетевого экрана при проведении аутентификации пользователей.
Настройка параметров системы
В этой главе показано, как настраивать переменные, влияющие на работу всей системы. Эти переменные играют большую роль для безопасности системы, регистрации событий, и тайм-аутов в соединениях.
Настройка реакции системы
В этой главе показано, как настроить автоматические действия системы для заранее определенных ситуаций.
Настройка SMTP proxy
В этой главе описаны основные особенности SMTP proxy и правила его настройки.
Настройка Telnet proxy
В этой главе показано, как настраивать Telnet proxy для аутентификации пользователей.
Настройка трансляции сетевых адресов
В этой главе объясняется, как настраивать параметры трансляции сетевых адресов (NAT); использование NAT позволяет использовать во внутренней сети резервные адреса и тем самым расширить ее адресное пространство, обеспечить сокрытие структуры внутренней сети с прозрачным доступом к Интернет.
Настройка WWW proxy
В этой главе показано, что представляет собой и как настраивается WWW proxy.
О пользователях межсетевого экрана
Для удаленного управления межсетевым экраном Aker он должен уметь распознавать пользователей. Подтверждение прав пользователей осуществляется при помощи паролей и для этого каждый администратор должен предварительно зарегистрироваться и получить регистрационное имя и пароль.
Помимо этого, межсетевой экран Aker позволяет иметь много различных администраторов, каждый из которых отвечает за определенную задачу по управлению. Наряду с упрощением управления, это позволяет обеспечить более качественный контроль и более высокий уровень безопасности.
Обратное DNS преобразование
Обратное преобразование используется для разрешения имен хостов из их IP адресов. Окно разрешения DNS имен межсетевого экрана Aker используется для разрешения адресов, не требуя дополнительных программ.
Для получения доступа к окну разрешения выполните следующее:
Выберите меню Tools в главном окне
Выберите опцию Reverse DNS
Окно обратного разрешения DNS имен
Это окно состоит из полей, в которых необходимо задать IP адреса для обратного разрешения и список с уже разрешенными IP адресами.
Кнопка OK закрывает окно
Кнопка Help вызывает окно помощи по данному разделу
Если установить опцию Show all resolved IPs, то в нижней части окна будут показаны все разрешенные адреса.
Для разрешения одного адреса, введите его в поле и нажмите кнопку Reverse DNS. Сразу после этого адрес будет показан в списке в нижней части окна. Через некоторое время будет показано имя, соответствующее этому адресу, или указание, что для этого адреса обратное преобразование в DNS не описано.
Окно статистики
Окно статистики появляется после наложения нового фильтра. Оно состоит из списка со множеством элементов. Каждый элемент имеет свой формат, зависящий от типа сообщения и от протокола. Кроме того, некоторым элементам предшествует специальное сообщение в текстовой форме с дополнительной информацией о записи (значения каждого типа записи рассматриваются в следующем разделе).
Важные замечания:
Одновременно выводится группа из 100 записей.
Можно вывести только первые 10 000 записей, которые соответствуют выбранному фильтру. Другие записи можно просмотреть, если перенести журнал регистрации в файл или использовать фильтр для генерации более поздних записей.
С левой стороны от каждого сообщения будет показан цветной значок, представляющий его приоритет. Цвета имеют следующие значения :
Синий Debug
Зеленый Information
Желтый Notice
Красный Warning
Если нажать левой клавишей мыши на сообщении, в нижней части окна появится строка с дополнительной информацией о записи.
Значение кнопок в окне статистики
Кнопка OK закрывает окно статистики
Кнопка Refresh активизирует автоматическое обновление выведенной информации. После первого нажатия на эту кнопку активизируется автоматическое обновление. Для ее сброса снова нажмите на эту кнопку. Интервал обновления можно настроить в поле Automatic refresh.
Кнопка Filter открывает окно фильтрации статистики, описанное выше.
Кнопка Erase All удаляет все содержимое файла статистики. Если нажать эту кнопку, появится следующее окно для подтверждения:
Нажмите Yes для удаления все статистики и No
для отказа от операции.
! При удалении содержимого файла статистики восстановить стертую информацию можно только с резервной копии.
Кнопка Compact позволяет уплотнить файл регистрации. Из файла удаляются все элементы, которые старше срока жизни файла статистики (смотрите главу Настройка параметров системы ), что улучшает время доступа. Этот процесс выполняется сервером статистики в фоновом режиме, и во время его выполнения просматривать статистику нельзя.
Если нажать эту кнопку, откроется следующее окно:
Кнопка Save сохраняет выбранную информацию с помощью текущего фильтра в файл в ASCII формате. Этот файл разбит на строки, соответствующие строкам на экране.
Рассматриваемая опция очень полезна для отсылки копии данных регистрации другому лицу или для сохранения копии некоторых важных данных в текстовом виде. Если нажать эту кнопку, откроется следующее окно:
Чтобы экспортировать содержимое файла статистики, введите имя создаваемого файла и нажмите кнопку Save. Для отмены операции нажмите кнопку Cancel.
! Если уже существует файл с таким именем, он будет заменен.
Кнопка Next 100 >> показывает последующие 100 записей. Если не существует последующих записей, опция будет недоступна.
Кнопка <<Last 100 показывает предыдущие 100 записей. Если не существует предыдущих записей, опция будет недоступна.
Кнопка Help показывает окно помощи по данному разделу.
Определение объектов
Перед тем, как пояснить процедуру регистрации объектов в межсетевом экране Aker, необходимо сделать краткий обзор всех возможных типов объектов.
В межсетевом экране Aker существуют 5 различных типов объектов: хосты, сети, наборы, сервисы и аутентификаторы.
Объекты типа "хост" и "сеть" представляют соответственно отдельные хосты и сети. Объекты типа "набор" представляют совокупность любого числа хостов и сетей. Объекты типа "сервис" описывают сервисы, а объекты типа "аутентификатор" описывают специальный тип хоста, который может использоваться для аутентификации пользователей.
По определению, IP протокол требует, чтобы все хосты имели различные адреса. Обычно эти адреса представляются в виде разделенного точками набора из 4-х цифр, например, 172.16.17.3. И потому каждый хост, можно характеризовать, используя только его собственный адрес.
Для определения сети наряду с IP адресом необходимо знание маски. Маска применяется для того, чтобы определить, какие разряды IP адреса будут использованы для представления сети (разряды со значением 1), а какие - для представления хостов в сети (разряды со значением 0). Итак, чтобы представить сеть, в которую входят хосты с IP адресами от 192.168.0.1. до 192.168.0.254, необходимо пользоваться значением сети 192.168.0.0 и значением сетевой маски 255.255.255.0. Такая сетевая маска означает, что три первых байта используются для представления сети, а последний байт - для представления хоста.
Проверка принадлежности хоста некоторой сети требует выполнения логической операции AND между значением сетевой маски и этим адресом, логической операции AND между значением сетевой маски и адресом сети, и сравнением результата. Если они одинаковы, хост принадлежит сети, в противном случае - нет. Рассмотрим два примера:
Предположим, что нужно проверить, принадлежит ли хост 10.1.1.2 сети 10.1.0.0, сетевая маска 255.255.0.0. Имеем:
10.1.0.0 AND 255.255.0.0 = 10.1.0.0 (для сети) 10.1.1.2 AND 255.255.0.0 = 10.1.0.0 (для адреса)
Так как после применения сетевой маски оба результата оказались одинаковыми, хост 10.1.1.2 принадлежит сети 10.1.0.0.
А теперь допустим, что нам надо знать, принадлежит ли хост 172.16.17.4 сети 172.17.0.0, сетевая маска 255.255.0.0. Имеем:
172.17.0.0 AND 255.255.0.0 = 172.17.0.0 (для сети) 172.16.17.4 AND 255.255.0.0 = 172.16.0.0 (для адреса)
Поскольку результаты различны, хост 172.16.17.4 не принадлежит сети 172.17.0.0.
! Если необходимо определить сеть, к которой принадлежит любой хост, используйте сеть с адресом 0.0.0.0 и сетевой маской 0.0.0.0. Это правило полезно при определении общедоступных сервисов, к которым имеют доступ все хосты Интернет.
При соединении хостов по IP протоколу это соединение характеризуется не только адресами источника и назначения, но и параметрами протокола более высокого уровня (транспортного). В случае TCP и UDP протоколов (которые чаще других применяются сверх IP протокола), соединение идентифицируется двумя числами: портом источника и портом назначения.
Порт назначения является фиксированным числом, обычно соответствующим конкретному сервису. Например, для Telnet используется порт 23 (TCP) , для FTP - 21 порт (TCP), для SNMP - 161 порт (UDP).
Порт источника является числом, определяемым программой - клиентом. Таким образом, соединение при использовании TCP и UDP протоколов может идентифицироваться следующим образом:
10.0.0.1 1024 -> 10.4.1.2 23 TCP Адрес Порт Адрес Порт Протокол источника источника назначения назначения
Из-за того, что порт источника выбирается случайным образом, для межсетевого экрана его значение не важно. Поэтому при определении сервиса рассматривается только порт назначения.
Кроме TCP и UDP протоколов, существует и другой важный протокол, ICMP. Этот протокол используется самим IP протоколом для отправки контрольных сообщений, для информации об ошибках и для тестирования целостности сети.
Для ICMP протокола не используется концепция портов. В нем используется число от 0 до 255 для указания типа сервиса.
Кроме того, существуют и другие протоколы, отличные от TCP, UDP и ICMP, которые могут запускаться поверх IP протокола. Они используются довольно редко, но тем не менее, в межсетевом экране Aker предусмотрена их поддержка , позволяющая администратору контролировать их прохождение через межсетевой экран.
Чтобы понять, как это делается, достаточно знать, что каждый протокол имеет свой уникальный номер 0 до 255, который идентифицирует его для IP протокола. Благодаря этому мы можем определить сервисы для других протоколов, используя номер протокола для идентификации сервиса.
Определение защищенных каналов
Для определения защищенного канала сначала надо выбрать две группы хостов, которые будут обмениваться информацией защищенным образом. Эти группы хостов будут обмениваться подписанными и при необходимости зашифрованными пакетами. На каждом конце канала нужно установить межсетевые экраны, которые будут осуществлять аутентификацию/верификацию и шифрование/дешифрование передаваемых данных.
Для определения групп хостов используется концепция объектов, рассмотренная в главе Регистрация объектов. При определении канала можно пользоваться объектами типа "хост", "сеть" или "набор".
Кроме объектов, необходимо определить алгоритм аутентификации, и в случае необходимости, криптографический алгоритм. Ключи аутентификации и шифрования завершают перечень параметров, необходимых для описания канала.
Межсетевой экран Aker поддерживает несколько одновременно защищенных каналов между различными точками. На межсетевом экране содержится список, каждый элемент которого полностью определяет параметры защищенного канала. Этот элемент называется Security Association или SA.
Планирование защищенных каналов должно проводиться очень тщательно. Использование криптографии отнимает много вычислительных ресурсов. Поэтому шифрование пакетов, если это не диктуется интересами безопасности, представляется напрасной тратой ресурсов. Более того, разные алгоритмы шифрования требуют различного объема обработки, и обеспечивают различные уровни безопасности. Каждый алгоритм следует выбирать в зависимости от необходимого уровня безопасности (выше было дано описание всех алгоритмов, поддерживаемых межсетевым экраном Aker).
Последнее замечание по поводу защищенных каналов касается их одностороннего характера, т.е. если вы хотите настроить защищенную связь между двумя сетями А и В, то должны настроить два разных канала: канал с источником в сети А и пунктом назначения в сети В и другой канал с источником в сети В и пунктом назначения в сети А. Пакеты, посланные из А в В будут использовать настройки первого канала, а пакеты, посланные из В в А - второго. Это свойство подробнее будет проиллюстрировано в приведенных ниже примерах:
Отчеты
Эта опция дает возможность администратору легко и быстро печатать отчеты по всем настройкам (или их части) межсетевого экрана. Такие отчеты очень полезны для анализа параметров и их документирования.
Для доступа к окну докладов сделайте следующее:
Выберите меню Tools в главном окне
Выберите опцию Reports
Окно отчетов
Окно состоит из нескольких опций, по каждой подсистеме межсетевого экрана; каждую опцию можно выделить независимо. Для создания отчета надо выполнить следующее:
Выбрать предназначенные для печати элементы
Нажать кнопку печати
Если надо отменить печать, нажмите кнопку Cancel.
Назад | Содержание | Вперед
Пакетный фильтр
В этой главе рассказывается, как создавать правила, которые позволяют межсетевому экрану пропускать или запрещать соединения. Этот модуль является главным в системе; работа по его настройке наиболее трудоемка.
Параметры для отправки e-mail
E-mail адрес: Этот параметр описывает адрес пользователя электронной почты, которому посылается e-mail сообщение. Этот пользователь может быть непосредственным пользователем межсетевого экрана или не принадлежать к их числу (в последнем случае надо писать полный адрес, например, user@aker.com.br).
Если необходимо послать e-mail нескольким пользователям, можно создать список и имя списка внести в данное поле.
! Важно отметить, что если какое-либо из полей оказывается пустым, соответствующее действие не исполняется, даже когда если оно определено.
Параметры, связанные с отправкой SNMP прерываний
IP адрес SNMP сервера: Этот параметр определяет IP адрес SNMP менеджера, которому межсетевой экран должен посылать прерывания
SNMP сообщество: Этот параметр описывает имя SNMP сообщества, используемое в SMNP прерывании.
Посланные SNMP прерывания будут иметь основной тип 6 и специальные типы 1 - для регистрации, и 2 - для событий. В качестве номера предприятия используется 2549, который был назначен IANA компании Aker Consultancy and Informatics.
Файл /etc/firewall/mibs/AKER-MIB.TXT содержит информацию о структуре MIB Aker Consultancy and Informatics. Этот файл записан в нотации ASN.1.
Поток изнутри наружу
Когда какой-либо пакет из внутренней сети достигает межсетевого экрана, он проходит через его модули в следующей последовательности: модуль сборки, пакетный фильтр, транслятор сетевых адресов и криптографический модуль.
Модуль сборки
Этот модуль отвечает за хранение всех фрагментов полученных IP пакетов до их сборки в полный пакет. Затем эти пакеты будут переданы в другие модули.
Пакетный фильтр
Основная функция пакетного фильтра состоит в том, чтобы проверить правильность пакета в соответствии с правилами, определенными администратором и таблице состояния и принять решение, можно ли пропустить пакет через межсетевой экран. Если решение будет положительным, пакет будет передан другим модулям; в противном случае пакет будет отброшен и поток оборвется.
Транслятор сетевых адресов
Транслятор сетевых адресов получает авторизованный пакет и проверяет по своим таблицам необходимость замены адреса источника. В случае положительного ответа он преобразует адрес, в случае же отрицательного - пакет не претерпевает никаких изменений.
После этого пакет будет передан криптографическому модулю.
Криптографический модуль
Этот модуль получает пакет с преобразованным адресом и решает в соответствии со своей конфигурацией, следует ли производить шифрование или аутентификацию пакета перед его отправкой в пункт назначения. При положительном решении будет проведена аутентификация пакета, он будет зашифрован и к нему будут добавлены некоторые специальные заголовки.
Наконец, пакет будет отправлен в сеть.
Поток снаружи внутрь
Когда пакет, приходящий из внешней сети во внутреннюю, достигает межсетевого экрана, он проходит через его модули в следующем порядке: модуль сборки, криптографический модуль, транслятор сетевых адресов и пакетный фильтр.
Модуль сборки
Этот модуль отвечает за хранение всех фрагментов полученных IP пакетов до их сборки в полный пакет. Затем эти пакеты будут переданы в другие модули.
Криптографический модуль
Этот модуль удаляет добавленные заголовки пакета и проверяет его аутентификационную подпись и расшифровывает его. Если в аутентификации или расшифровке были выявлены ошибки, пакет будет отброшен.
Другой функцией этого модуля является следующая процедура: он должен убедиться, что все пакеты, прибывающие от сети, связанной с межсетевым экраном защищенным каналом, приходят зашифрованными. В случае, когда пакет приходит от сети, с которой установлен защищенный канал с аутентификацией и шифрованием, и в нем не проведена аутентификация или шифрование, такой пакет будет отброшен.
Если все действия прошли успешно, пакет передается транслятору сетевых адресов.
Транслятор сетевых адресов
Транслятор сетевых адресов получает пакет и проверяет, не является ли адрес назначения этого пакета одним из виртуальных IP адресов. При положительном ответе этот адрес транслируется в реальный адрес.
Наконец, пакет попадает в пакетный фильтр.
Пакетный фильтр
Пакетный фильтр - это последний модуль на пути движения пакета с внешней стороны во внутреннюю. Основная функция этого модуля состоит в проверке правильности полученных пакетов в соответствии с правилами, определенными администратором и своей таблицей состояний, а также в решении вопроса, следует ли санкционировать пакеты в трафик, проходящий через межсетевой экран. Если пакету разрешается пройти, межсетевой экран отправляет его в хост назначения, в противном же случае он сбрасывается.
C - Авторские права и отказы от права
В этом Приложении перечислены отказы от права на библиотеки и используемые в межсетевом экране Aker исходные коды третьей стороны. Эти отказы от права применяются только по отношению к явно упоминаемым частям межсетевого экрана Aker, а не к нему в целом. Здесь ниже приводится перечень этих явно упоминаемых частей в соответствии с требованиями разработчиков:
Применения трансляции сетевых адресов в межсетевом экране
Предположим, что некоторая организация получает сеть класса С (обозначим ее А.В.С.0). Эта сеть позволяет описать 254 реальных хоста (адреса А.В.С.0 и А.В.С.255 резервируются для специальных целей и не быть использованы, остаются значения между А.В.С.1 и А.В.С.254). Предположим еще, что локальная сеть состоит из 1000 хостов, которые необходимо подключить к Интернет. Так как реальных адресов недостаточно, необходимо воспользоваться трансляцией сетевых адресов. Поэтому для использования во внутренней сети была выбрана зарезервированная сеть класса А 10.x.x.x c cетевой маской 255.0.0.0.
Межсетевой экран Aker устанавливается на границе между Интернет и внутренней сетью, имеющей адреса из зарезервированной сети. Aker будет выполнять преобразование зарезервированных адресов 10.x.x.x в реальные адреса А.В.С.x. В результате межсетевой экран должен иметь по крайней мере два адреса: реальный адрес, до которого можно добраться через Интернет, и зарезервированный, к которому возможен доступ только из внутренней сети. (Как правило на межсетевом экране устанавливают два или более адаптера, один для внешней сети, а один или более - для внутренней. Возможно, хотя крайне нежелательно установить на межсетевой экран всего один сетевой адаптером, с присвоением реального и зарезервированного адреса одному и тому же адаптеру.)
Предположим, что адрес А.В.С.2 выбран для реального (внешнего) сегмента, а адрес 10.0.0.2 для внутреннего сегмента. Реальный адрес будет использоваться межсетевым экраном для преобразования всех соединений из внутренней сети в Интернет. С внешней стороны все соединения будут выглядеть так, как будто они начинаются на межсетевом экране.
! В межсетевом экране Aker такой адрес называется виртуальным адресом
(он виртуальный, поскольку на самом деле соединения не инициируются межсетевым экраном). Этот адрес должен быть настроен на одном из сетевых интерфейсов межсетевого экрана. Если на сетевом интерфейсе описано более одного реального адреса, виртуальным адресом может быть любой из них.
При такой схеме все внутренние хосты могут получить доступ к ресурсам Интернет прозрачно, как если бы они имели действительные адреса. Однако при этом внешние хосты не могут образовывать соединения с внутренними (так как внутренние хосты не имеют реальных адресов). Для решения этой проблемы у межсетевого экрана Aker есть таблица статического преобразования, которая выполняет преобразования 1-1 и позволяет имитировать реальный адрес для любого из зарезервированных. Эта таблица называется таблицей серверной трансляции.
Вернемся опять к нашей гипотетической организации. Предположим, что в вашей сети существует WWW сервер с адресом 10.1.1.5. Предположим еще. что вам хотелось бы, чтобы этот сервер предоставлял информацию как для внутренней сети, так и для Интернет. В этом случае нужно так выбрать реальный адрес, чтобы он мог использоваться внешними клиентами для соединения с этим сервером. Положим, что выбранный адрес есть А.В.С.10. Тогда в таблицу статического преобразования должен прибавиться элемент для отображения адреса А.В.С.10 во внутренний адрес 10.1.1.5. С этого момента все обращения к адресу А.В.С.10 будут автоматически направляться по адресу 10.1.1.5
! Реальный адрес, выбранный для выполнения преобразования 1-1, нельзя присвоить какому-нибудь хосту. В нашем примере возможны конфигурации, содержащие до 253 серверов во внутренней сети, к которым можно иметь доступ извне (один из 254 допустимых действующих адресов уже использован для преобразования трафика всех клиентов) .
! Межсетевой экран Aker использует технологию proxy-arp для взаимодействия внешних сетевых устройств (например, внешний маршрутизатор) с виртуальными серверами.
Примеры использования защищенных каналов
Главный пример настройки защищенного канала.
В этом примере рассматривается, как описать защищенный канал связи между двумя сетями, взаимодействующими через Интернет, используя два межсетевых экрана Aker. Канал обеспечивает защиту всего трафика между этими двумя сетями. В качестве алгоритма аутентификации выбран MD5, а в качестве алгоритма шифрования - DES.
! При использовании шифрования обязательно должна использоваться аутентификация. Это вызвано тем, что без применения аутентификации к зашифрованным сообщениям могут быть проведены атаки с модификацией текста.
Примеры настройки трансляции сетевых адресов
С Интернет существует выделенный канал
Оборудование: 1 роутер, 1 Aker Firewall, n клиентов, 2 сервера во внутренней сети
Реальный адрес: А.В.С.x ; сетевая маска 255.255.255.0
Зарезервированный адрес: 10.x.x.x ; сетевая маска 255.0.0.0
Адреса серверов: 10.1.1.1, 10.2.1.1
Адреса клиентов: 10.x.x.x
Адрес маршрутизатора: реальная сеть: А.В.С.1 , Интернет: x.x.x.x
Конфигурация межсетевого экрана Aker:
Адреса адаптера: внутренняя сеть: 10.0.0.2 ,
Виртуальный IP адрес A.B.C.2
Внутренняя сеть: 10.0.0.0
Маска внутренней сети: 255.0.0.0
Таблица серверной трансляции:
A.B.C.10 - 10.1.1.1
A.B.C.30 - 10.2.1.1
Взаимодействие отделов
В этом примере мы покажем, как обеспечить взаимодействие между собой отделов одной компании с использованием трансляции адресов между ними.
Оборудование: 1 роутер, 3 Aker Firewalls, n клиентов, 4 внутренних сетевых клиента
Реальные адреса: A.B.C.x, маска 255.255.255.0
Зарезервированные адреса: 10.x.x.x маска 255.255.0.0
Зарезервированные адреса:172.16.x.x, маска 255.240.0.0
Адреса подсети 1:
10.1.x.x
Адрес сервера: 10.1.1.1
Адрес клиента: 10.1.x.x
Адрес роутера: внутренняя сеть: A.B.C.1 , Интернет:x.x.x.x
Конфигурация межсетевого экрана Aker:
Внутренняя сеть: 10.1.0.1, Реальная сеть A.B.C.2
Виртуальный IP адрес: A.B.C.2
Внутренняя сеть: 10.0.0.0
Маска внутренней сети: 255.0.0.0
Адреса подсети 2:
Внешние: 10.2.x.x
Внутренние: 172.16.x.x
Адрес сервера: 172.16.1.1
Адреса клиента: 172.x.x.x
Конфигурация межсетевого экрана Aker:
Подсеть 2: 172.16.0.1, Подсеть 1:10.1.0.2
Виртуальный IP адрес: 10.1.0.2
Внутренняя сеть (2): 172.16.0.0
Маска внутренней сети: 255.240.0.0
Таблица трансляции серверов:
10.2.1.1 - 172.16.1.1
Адреса подсети 3:
Внешний: 10.3.x.x
Внутренний: 172.16.x.x
Адрес сервера: 172.16.1.1
Адреса клиента: 172.x.x.x
Конфигурация межсетевого экрана Aker:
Подсеть3: 172.16.0.1, Подсеть 1:10.1.0.3
Виртуальный IP адрес: 10.1.0.3
Внутренняя сеть (3): 172.16.0.0
Маска внутренней сети: 255.240.0.0
Таблица трансляции серверов:
10.3.1.1 - 172.16.1.1
! При такой конфигурации необходимо описать в таблице маршрутизации маршруты к подсетям 10.1.х.х , 10.2.х.х и 10.3.х.х .
Рисунок: Пример 2
Принцип работы системы удаленного управления межсетевым экраном Aker
Межсетевой экран Aker можно удаленно конфигурировать и администрировать с любого хоста; для этого хост должен иметь доступ к межсетевому экрану, работать под управлением операционной системы, для которой реализован удаленный интерфейс и поддерживать стек протоколов TCP/IP. Более того, удаленное управление предоставляет возможность менеджеру с одной рабочей станции контролировать и настраивать несколько межсетевых экранов .
Удаленное управление позволяет сберечь ресурсы, поскольку хост с работающим межсетевым экраном теперь не нуждается в мониторе и других внешних устройствах.
Просмотр и удаление соединений
В этой главе показано, как просматривать и удалять TCP соединения и UDP сессии в реальном времени.
Просмотр информации о сессии
В любой момент Вы можете просмотреть информацию об активном сеансе управления. Для этого существует окно, содержащее полезную информацию, например, такую как имя регистрации, полное имя и права пользователя, который управляет межсетевым экраном, номер версии и реализации межсетевого экрана. Показывается также время соединения и период его активизации. Чтобы открыть это окно, необходимо выполнить следующие действия:
Выберите опцию Session в главном окне
Выберите пункт Information about the Session
Просмотр системных событий
В этой главе показано, как просматривать системные события - полезный источник информации о работе межсетевого экрана, полезный для обнаружения возможных атак и ошибок в настройках.
Просмотр статистики системы
В этой главе показано, как просматривать файл регистрации системы, который является очень полезным средством для обнаружения атак и контроля работы межсетевого экрана.
Proxy в межсетевом экране Aker
Межсетевой экран Aker поддерживает прозрачные proxy сервера для сервисов Telnet и SMTP и непрозрачные proxy сервера для сервисов, доступных через WWW браузер (FTP, Gopher, HTTP и HTTPS). Для использования непрозрачных proxy серверов необходим клиент, поддерживающий работу через proxy. К таким клиентам относятся Netscape Navigator(Tm) и Internet Explorer (Tm).
Прозрачные proxy можно использовать для контроля доступа снаружи к внутренним сетям и наоборот. Непрозрачные proxy могут использовать только хосты внутренней сети.
! Причина выбора непрозрачных proxy для WWW сервисов связана с тем, что их можно использовать для особого вида аутентификации, называемой Proxy Authentication, которая работает только если браузеры настроены для работы через proxy. При такой аутентификации браузер сразу же в начале сеанса запрашивает пароль пользователя и использует его, пока не закроется браузер. Альтернативой этой форме аутентификации остается только доменная аутентификация
(Domain Autentification), при которой при обращении к новому WWW адресу у пользователя будет запрашиваться новый пароль.
Прозрачные proxy и контексты
Межсетевой экран Aker представляет новую разработку, связанную с прозрачными proxy - контексты. Для их понимания проанализируем сначала структуру сети, где они могут использоваться:
Предположим, что межсетевой экран Aker соединен с тремя различными сетями А, В и С, и пусть сети А и В принадлежат двум отделениям одной и той же компании, а сеть С представляет Интернет. Предположим, что для сетей А и В существует общий SMTP сервер, служащий для приема и отправки электронной почты. Схематически ситуация изображена на рисунке:
Теперь предположим, что необходимо настроить межсетевой экран для переадресации всех SMTP соединений к SMTP proxy, чтобы обеспечить лучшую защиту и более строгий контроль всего трафика.
Важно иметь возможность отдельно описывать правила для соединений из сетей В и С к сети А. Когда сеть В посылает e-mail в А, она использует SMTP сервер как relay, между тем, для сети С это не разрешено. Желательно, кроме того, ограничить максимальный размер сообщений, приходящих из сети С, чтобы избежать атак типа "отказ в обслуживании", основанных на недостатке дискового пространства, но в то же время не ограничивать размер сообщений, приходящих от сети В.
Для реализации таких конфигураций были созданы контексты. Контексты - это набор настроек для прозрачных proxy, необходимых для реализации различных правил обмена.
В последнем примере можно было бы создать два контекста: один для использования в соединениях из В в А, а другой - из С в А.
