Как пользоваться интерфейсом Windows или NT
Интерфейс Windows прост в использовании благодаря тому, что большинство пользователей привыкли к этой среде. Однако, обратите внимание на следующее:
Левые и правые кнопки на корпусе мыши имеют различные функции в интерфейсе. Левая кнопка применяется для выделения опций в списках и для ввода с использование мыши. Правая кнопка показывает всплывающее меню для некоторых списков. Большинство этих опций доступны также из инструментального меню в верхней части окна.
Каким образом Aker обеспечивает удаленное управление?
Для поддержки удаленного управления на межсетевом экране запускается процесс, обеспечивающий установление соединения, проверку прав пользователей и выполнение задач пользователя. Когда пользователь начинает сеанс удаленного управления, графический интерфейс устанавливает соединение с модулем удаленного управления межсетевого экрана и поддерживает это соединение открытым, пока пользователь не завершит сеанс.
Все взаимодействие между удаленным интерфейсом и межсетевым экраном осуществляется по защищенному с помощью криптографии и аутентификации пользователей каналу. Для каждой сессии генерируются свои ключи. Кроме того, используются дополнительные меры безопасности для защиты от атак с проигрыванием параметров.
Необходимо сделать несколко важных замечаний по поводу удаленного управления:
Для того чтобы удаленный хост мог взаимодействовать с межсетевым экраном, необходимо добавить правило, разрешающее доступ по TCP протоколу к порту 1020 с хоста, с которого необходим доступ Подробная информация об этом содержится в главе 6 Пакетный фильтр с контролем состояния
Одновременно может использоваться только один удаленный интерфейс. Попытки открыть другую удаленную сессию будут отклонены с сообщением о том, что одна активная административная сессия уже открыта.
Пользователь, использующий удаленный интерфейс, должен быть зарегистрирован в системе. Инсталляционная программа может автоматически создать менеджера с полномочиями по регистрации других менеджеров. Если вы удалили описание такого менеджера или потеряли его пароль, необходимо использовать локальный интерфейс командной строки для создания нового менеджера. Более детальное описание можно найти в главе 3 Управление пользователями межсетевого экрана.
Конфигурационные файлы
/etc/firewall/chave.fw - ключ активизации межсетевого экрана
/etc/firewall/conf/acesso.tab - cписок управления доступом в систему
/etc/firewall/conf/acesso.telnet - список управление доступом для контекстов Telnet proxy
/etc/firewall/conf/acl_h.tab - профили доступа, зарегистрированные в системе
/etc/firewall/conf/auth.tab - глобальные параметры аутентификации
/etc/firewall/conf/conjuntos.tab - объекта типа набор, зарегистрированные в системе
/etc/firewall/conf/contextos.smtp - список контекстов SMTP proxy
/etc/firewall/conf/contextos.telnet - список контекстов Telnet proxy
/etc/firewall/conf/conv.tab - серверная таблица трансляции адресов
/etc/firewall/conf/conv_ex.tab - Объекты, для которых не будет выполняться трансляция адресов
/etc/firewall/conf/crypt.tab - таблица защищенных каналов
/etc/firewall/conf/entidades.crypt - объекты, используемые для работы защищенных каналов
/etc/firewall/conf/entidades.tab - объекты, зарегистрированные в системе
/etc/firewall/conf/entidades.filtro - объекты, используемые для работы пакетного фильтра
/etc/firewall/conf/filtros.smtp - список фильтров для SMTP контекстов
/etc/firewall/conf/parametros-301.fw - общие конфигурационные параметры системы
/etc/firewall/conf/parametros.http - конфигурационные параметры WWW proxy
/etc/firewall/conf/regras.filtro - правила пакетного фильтра
/etc/firewall/conf/sites.tab - адреса, используемые в профилях доступа
/etc/firewall/conf/syn.tab - таблица параметров защиты от SYN атак
/etc/firewall/conf/usuarios.tab - пользователи, авторизованные для удаленного администрирования
Копируемые файлы
Конфигурационные файлы, указанные в предыдущем разделе, являются наиболее важной частью системных файлов, подлежащих копированию. Такие копии следует выполнять каждый раз при проведении какой-либо модификации в настройках межсетевого экрана.
Другой важной частью файлов вляются файлы статистики и событий. В зависимости от требований безопасности можно делать копии этих файлов ежедневно или даже чаще. Другим способом повышения безопасности является настройка межсетевого экрана таким образом,чтобы статистика и события отсылались через syslogd на другте хосты во внутренней сети.
Для создания резервных копий можно использовать утилиту tar в FreeBSD. Пользователь root должен выполнить следующие команды:
tar cvfz /conf.tgz /etc/firewall/conf
(Сохраняет все настройки межсетевого экрана в файле /conf.tgz file)
tar cvfz /log.tgz /var/log/log-30.fw /var/log/eventos-30.fw
Сохраняет всю статистику и события в файле /log.tgz)
После их копирования необходимо перенести файлы /conf. tgz и /log. tgz на другие хосты, используя, например, FTP.
Настройка агента аутентификации для NT
После инсталляции агента необходимо продолжить его настройку. Она позволяет зарегистрировать все межсетевые экраны, которые будут использовать агент, а также определить сообщения, генерируемые агентом при работе. В отличие от агента аутентификации для Unix, эти настройки выполняются с помощью отдельной программы.
Для доступа к программе намтройки необходимо нажать меню Start, выбрать группу Aker Firewall, а затем внутри группы выделить опцию Configure authentication agent. После выполнения этих действий откроется следующее окно:
Это окно содержит все опции для настройки агента. В верхней части окна размещаются опции, позволяющие выбрать тип сообщений, генерируемых агентом, и куда они должны посылаться.
Поле Output определяет, куда будут посылаться сообщения: в Event Viewer системы Windows NT и/или в файл. В случае файла его имя нужно ввести в поле File. Под этими полями размещены несколько опций для описания сообщений. Для генерации определенного типа сообщения нужно, чтобы соответствующая опция была установлена.
Можно посылать сообщения в файл и в Event Viewer одновременно, для этого достаточно, чтобы были установлены обе опции и определено имя файлв для вывода.
Под списком типов сообщений помещен список адресов межсетевых экранов, имеющих право использовать агента для аутентификации, а также пароли доступа каждого из них.
Чтобы добавить новый сервер, нажмите кнопку Add. Откроется окно, в которое следует ввести IP адрес и пароль межсетевого экрана.
Для изменения пароля зарегистрированного межсетевого экрана, достаточно выделить его адрес и нажать кнопку Edit. Откроется окно с соответствующим полем.
Для удаления межсетевого экрана из списка выделите его адрес и нажмите кнопку Delete.
После проведения модификаций нажмите кнопку OK, которая закрывает окно и сохраняет опции .
При изменении в списка межсетевых экранов при запущенном агенте, необходимо остановить его и запустить снова. Это можно сделать через Control Panel.
Настройка параметров системы
В этой главе показано, как настраивать переменные, влияющие на работу всей системы. Эти переменные играют большую роль для безопасности системы, регистрации событий, и тайм-аутов в соединених.
Настройка трансляции сетевых адресов
В этой главе объясняется, как настраивать параметры трансляции сетевых адресов (NAT); использование NAT позволяет использовать во внутренней сети резервные адреса и тем самым расширить ее адресное пространство, обеспечить сокрытие структуры внутренней сети с прозрачным доступом к Интернет.
Настройка WWW proxy
В этой главе показано, что представляет собой и как настравивается WWW proxy.
О пользователях межсетевого экрана
Для удаленного управления межсетевым экраном Aker он должен уметь распознавать пользователей. Подтверждение прав пользователей осуществляется при помощи паролей и для этого каждый администратор должен предварительно зарегистрироваться и получить регистрационное имя и пароль.
Помимо этого, межсетевой экран Aker позволяет иметь много различных администраторов, каждый из которых отвечает за определенную задачу по управлению. Наряду с упрощением управления, это позволяет обеспечить более качественный контроль и более высокий уровень безопасности.
Объекты, для которых трансляция производиться не будет
Таблица объектов, для которых трансляция не будет производиться используется для задания хостов, сетей и наборов, приватные адреса которых не будут транслироваться. В этом случае, даже если хост описан в серверной таблице, его адрес источника не будет транслироваться при обращении к объектам, описанным в этой таблице
В этой таблице два списка: в левом представлены все описанные в системе объекты типа хост, сеть, набор. Справа представлены те обьекты, для которых трансляция производиться не будет.
Для добавления объекта к таблице исключений необходимо
Выделить добавляемый объект в левом списке Нажать на стрелку справа ( только что добавленный объект будет отмечен красным значком V в левом списке и появится в правом)
Для удаления объекта из таблицы исключений необходимо:
Выделить удаляемый объект в правом списке Нажать кнопку X (удаляемый объект больше не будет отмечен значком V в левом списке)
Обратное DNS преобразование
Обратное преобразование используется для разрешения имен хостов из их IP адресов. Окно разрешения DNS имен межсетевого экрана Aker используется для разрешения адресов, не требуя дополнительных программ.
Для получения доступа к окну разрешения выполните следующее:
Выберите меню Средства в главном окне
Выберите опцию Обратный DNS
Окно обратного разрешения DNS имен
Это окно состоит из полей, в которых необходимо задать IP адреса дл обратного разрешения и список с уже разрешенными IP адресами.
Кнопка Да закрывает окно
Кнопка Помощь вызывает окно помощи по данному разделу
Если установить опцию Показывать все IP, то в нижней части окна будут показаны все разрешенные адреса.
Для разрешения одного адреса, введите его в поле и нажмите кнопку Обратный DNS. Сразу после этого адрес будет показан в списке в нижней части окна. Через некоторое время будет показано имя, соответствующее этому адресу, или указание, что для этого адреса обратное преобразование в DNS не описано.
Определение объектов
Перед тем, как пояснить процедуру регистрации объектов в межсетевом экране Aker, необходимо сделать краткий обзор всех возможных типов объектов.
В межсетевом экране Aker существуют 5 различных типов объектов: хосты, сети, наборы, сервисы и аутентификаторы.
Объекты типа "хост" и "сеть" представляют соответственно отдельные хосты и сети. Объекты типа "набор" представляют совокупность любого числа хостов и сетей. Объекты типа "сервис" описывают сервисы, а объекты типа "аутентификатор" описывают специальный тип хоста, который может использоваться для аутентификации пользователей.
По определению, IP протокол требует, чтобы все хосты имели различные адреса. Обычно эти адреса представляются в виде разделенного точками набора из 4-х цифр, например, 172.16.17.3. И потому каждый хост, можно характеризовать, используя только его собственный адрес.
Для определения сети наряду с IP адресом необходимо знание маски. Маска применяется для того, чтобы определить, какие разряды IP адреса будут использованы для представления сети (разряды со значением 1), а какие - для представления хостов в сети (разряды со значением 0). Итак, чтобы представить сеть, в которую входят хосты с IP адресами от 192.168.0.1. до 192.168.0.254, необходимо пользоваться значением сети 192.168.0.0 и значением сетевой маски 255.255.255.0. Такая сетевая маска означает, что три первых байта используются для представления сети, а последний байт - для представления хоста.
Проверка принадлежности хоста некоторой сети требует выполнения логической операции AND между значением сетевой маски и этим адресом, логической операции AND между значением сетевой маски и адресом сети, и сравнением результата. Если они одинаковы, хост принадлежит сети, в противном случае - нет. Рассмотрим два примера:
Предположим, что нужно проверить, принадлежит ли хост 10.1.1.2 сети 10.1.0.0, сетевая маска 255.255.0.0. Имеем:
10.1.0.0 AND 255.255.0.0 = 10.1.0.0 (для сети) 10.1.1.2 AND 255.255.0.0 = 10.1.0.0 (для адреса)
Так как после применения сетевой маски оба результата оказались одинаковыми, хост 10.1.1.2 принадлежит сети 10.1.0.0.
А теперь допустим, что нам надо знать, принадлежит ли хост 172.16.17.4 сети 172.17.0.0, сетевая маска 255.255.0.0. Имеем:
172.17.0.0 AND 255.255.0.0 = 172.17.0.0 (для сети)
172.16.17.4 AND 255.255.0.0 = 172.16.0.0 (для адреса)
Поскольку результаты различны, хост 172.16.17.4 не принадлежит сети 172.17.0.0.
Если необходимо определить сеть, к которой принадлежит любой хост, используйте сеть с адресом 0.0.0.0 и сетевой маской 0.0.0.0 Это правило полезно при определении общедоступных сервисов, к которым имеют доступ все хосты Интернет.
При соединении хостов по IP протоколу это соединение характеризуется не только адресами источника и назначения, но и параметрами протокола более высокого уровня (транспортного). В случае TCP и UDP протоколов (которые чаще других применяются сверх IP протокола), соединение идентифицируется двумя числами: портом источника и портом назначения.
Порт назначения является фиксированным числом, обычно соответствующим конкретному сервису. Например, для Telnet используется порт 23 (TCP), для FTP - 21 порт (TCP), для SNMP - 161 порт (UDP).
Порт источника является числом, определяемым программой - клиентом. Таким образом, соединение при использовании TCP и UDP протоколов может идентифицироваться следующим образом:
10.0.0.1 1024 - 10.4.1.2 23 TCP
----------------------------------------------------------------------------
Адрес источника Порт источника Адрес назначения Порт назначения Протокол
Из-за того, что порт источника выбирается случайным образом, для межсетевого экрана его значение не важно. Поэтому при определении сервиса рассматривается только порт назначения.
Кроме TCP и UDP протоколов, существует и другой важный протокол, ICMP. Этот протокол используется самим IP протоколом для отправки контрольных сообщений, для информации об ошибках и для тестирования целостности сети.
Для ICMP протокола не используется концепция портов. В нем используется число от 0 до 255 для указания типа сервиса.
Кроме того, существуют и другие протоколы, отличные от TCP, UDP и ICMP, которые могут запускаться поверх IP протокола. Они используютс довольно редко, но тем не менее, в межсетевом экране Aker предусмотрена их поддержка, позволяющая администратору контролировать их прохождение через межсетевой экран.
Чтобы понять, как это делается, достаточно знать, что каждый протокол имеет свой уникальный номер 0 до 255, который идентифицирует его для IP протокола. Благодаря этому мы можем определить сервисы для других протоколов, используя номер протокола для идентификации сервиса.
Определение защищенных каналов
Для определения защищенного канала сначала надо выбрать две группы хостов, которые будут обмениваться информацией защищенным образом. Эти группы хостов будут обмениваться подписанными и при необходимости зашифрованными пакетами. На каждом конце канала нужно установить межсетевые экраны, которые будут осуществлять аутентификацию/верификацию и шифрование/дешифрование передаваемых данных.
Для определения групп хостов используется концепция объектов, рассмотренная в главе 5 Регистрация объектов. При определении канала можно пользоваться обектами типа "хост", "сеть" или "набор".
Кроме объектов, необходимо определить алгоритм аутентификации, и в случае необходимости, криптографический алгоритм. Ключи аутентификации и шифрования завершают перечень параметров, необходимых для описания канала.
Межсетевой экран Aker поддерживает несколько одновременно защищенных каналов между различными точками. На межсетевом экране содержится список, каждый элемент которого полностью определяет параметры защищенного канала. Этот элемент называется Security Association или SA.
Планирование защищенных каналов должно проводиться очень тщательно. Использование криптографии отнимает много вычислительных ресурсов. Поэтому шифрование пакетов, если это не диктуется интересами безопасности, представляется напрасной тратой ресурсов. Более того, разные алгоритмы шифрования требуют различного объема обработки, и обеспечивают различные уровни безопасности. Каждый алгоритм следует выбирать в зависимости от необходимого уровня безопасности (выше было дано описание всех алгоритмов, поддерживаемых межсетевым экраном Aker).
Последнее замечание по поводу защищенных каналов касается их одностороннего характера, т.е. если вы хотите настроить защищенную связь между двумя сетями А и В, то должны настроить два разных канала: канал с источником в сети А и пунктом назначения в сети В и другой канал с источником в сети В и пунктом назначения в сети А. Пакеты, посланные из А в В будут использовать настройки первого канала, а пакеты, посланные из В в А - второго. Это свойство подробнее будет проиллюстрировано в приведенных ниже примерах:
Отчеты
Эта опция дает возможность администратору легко и быстро печатать отчеты по всем настройкам (или их части) межсетевого экрана. Такие отчеты очень полезны для анализа параметров и их документирования.
Для доступа к окну докладов сделайте следующее:
Выберите меню Средства в главном окне
Выберите опцию Отчеты
Окно отчетов
Окно состоит из нескольких опций, по каждой подсистеме межсетевого экрана; каждую опцию можно выделить независимо. Для создания отчета надо выполнить следующее:
Выбрать предназначенные для печати элементы
Нажать кнопку печати
Если надо отменить печать, нажмите кнопку Отменить.
Пакетный фильтр с контролем состояния
В этой главе рассказывается, как создавать правила, которые позволяют межсетевому экрану пропускать или запрещать соединения. Этот модуль является главным в системе; работа по его настройке наиболее трудоемка.
Поток изнутри наружу
Когда какой-либо пакет из внутренней сети достигает межсетевого экрана, он проходит через его модули в следующей последовательности: модуль сборки, пакетный фильтр, транслятор сетевых адресов и криптографический модуль.
Модуль сборки
Этот модуль отвечает за хранение всех фрагментов полученных IP пакетов до их сборки в полный пакет. Затем эти пакеты будут переданы в другие модули.
Пакетный фильтр
Основная функция пакетного фильтра состоит в том, чтобы проверить правильность пакета в соответствии с правилами, определенными администратором и таблице состояния и принять решение, можно ли пропустить пакет через межсетевой экран. Если решение будет положительным, пакет будет передан другим модулям; в противном случае пакет будет отброшен и поток оборвется.
Транслятор сетевых адресов
Транслятор сетевых адресов получает авторизованный пакет и проверяет по своим таблицам необходимость замены адреса источника. В случае положительного ответа он преобразует адрес, в случае же отрицательного - пакет не претерпевает никаких изменений.
После этого пакет будет передан криптографическому модулю.
Криптографический модуль
Этот модуль получает пакет с преобразованным адресом и решает в соответствии со своей конфигурацией, следует ли производить шифрование или аутентификацию пакета перед его отправкой в пункт назначения. При положительном решении будет проведена аутентификация пакета, он будет зашифрован и к нему будут добавлены некоторые специальные заголовки.
Наконец, пакет будет отправлен в сеть.
Поток снаружи внутрь
Когда пакет, приходящий из внешней сети во внутреннюю, достигает межсетевого экрана, он проходит через его модули в следующем порядке: модуль сборки, криптографический модуль, транслятор сетевых адресов и пакетный фильтр.
Модуль сборки
Этот модуль отвечает за хранение всех фрагментов полученных IP пакетов до их сборки в полный пакет. Затем эти пакеты будут переданы в другие модули.
Криптографический модуль
Этот модуль удаляет добавленные заголовки пакета и проверяет его аутентификационную подпись и расшифровывает его. Если в аутентификации или расшифровке были выявлены ошибки, пакет будет отброшен.
Другой функцией этого модуля является следующая процедура: он должен убедиться, что все пакеты, прибывающие от сети, связанной с межсетевым экраном защищенным каналом, приходят зашифрованными. В случае, когда пакет приходит от сети, с которой установлен защищенный канал с аутентификацией и шифрованием, и в нем не проведена аутентификация или шифрование, такой пакет будет оброшен.
Если все действия прошли успешно, пакет передается транслятору сетевых адресов.
Транслятор сетевых адресов
Транслятор сетевых адресов получает пакет и проверяет, не является ли адрес назначения этого пакета одним из виртуальных IP адресов. При положительном ответе этот адрес транслируется в реальный адрес.
Наконец, пакет попадает в пакетный фильтр.
Пакетный фильтр
Пакетный фильтр - это последний модуль на пути движения пакета с внешней стороны во внутреннюю. Основная функция этого модуля состоит в проверке правильности полученных пакетов в соответствии с правилами, определенными администратором и своей таблицей состояний, а также в решении вопроса, следует ли санкционировать пакеты в трафик, проходящий через межсетевой экран. Если пакету разрешается пройти, межсетевой экран отправляет его в хост назначения, в противном же случае он сбрасывается.
A -Системные сообщения
Сообщения, касающиеся статистики межсетевого экрана
Все приведенные ниже сообщения могут появляться в файле статистики межсетевого экрана. При каждом их появлении перед ними появляется запись, содержащая информацию о пакете, который послужил причиной этих сообщений. Слева указывается номер, соответствующий каждому сообщению.
01 - Возможная атака путем фрагментации
Это сообщение означает, что пакетный фильтр получил TCP пакет с фрагментированным TCP заголовком, что, вероятно, является результатом попытки атаки путем фрагментации. Для получения дальнейшей информации обращайтесь к RFC 1858.
02 - Source routed IP пакет
Это сообщение означает, что пакетный фильтр получил IP пакет с одним из следующих вариантов: Record Route, Loose Routing или Strict routing, а фильтр не был настроен для блокировки IP пакетов с такими опциями. Более подробная информация содержится в RFC 791.
03 - Land атака
"Land" атака заключается в посылке пакета с адресом источника, совпадающем с адресом назначения и портом источника, совпадающем с портом назначения. Атака может привести к аварийному сбою на атакуемом хосте.
04 - Соединение отсутствует в динамической таблице
Это сообщение означает, что межсетевой экран получил TCP пакет, который не был запросом на соединение, и не принадлежал к открытому соединению. Это могло быть вызвано атакой или просто соединением, которое было неактивным дольше, чем длится тайм-аут TCP соединения.
05 - Пакет получен с неверного интерфейса
Это сообщение означает, что пакетный фильтр получил IP пакет от интерфейса, отличного от указанного в правиле фильтрации, которому он соответствует. Это может быть вызвано IP спуфингом или неправильной настройкой правил фильтрации.
06 - Пакет получен с неизвестного интерфейса
Это сообщение означает, что пакетный фильтр получил пакет, но не смог определить интерфейс его источника. Так как интерфейс не совпал с указанным в соответствующем правиле фильтрации, пакет был отброшен. По всей вероятности, такое сообщение никогда не появится.
07 - Возможная атака подбором на FTP протокол
Это сообщение означает, что при проверке пакета в FTP-сеансе пакетный фильтр зафиксировал попытку открыть на клиенте соединение с портом ниже 1024 или соединение с адресом, отличным от ожидаемого. Возможно, это вызвано атакой или неисправной реализацией FTP. Более подробная информация содержится в RFC 959.
08 - Возможная атака подбором на Real Audio протокол
Это сообщение означает, что пакетный фильтр при проверке пакетов протокола Real Audio зафиксировал попытку открыть соединение на клиенте с портом ниже 1024. Возможно, это вызвано атакой или неправильной конфигурацией в хосте с Real Audio.
09 - Контрольный канал FTP не открыт
Это сообщение указывает, что межсетевой экран получил пакет по каналу данных FTP протокола, а соответствующий контрольный канал не был открыт.
10 - Неверные TCP флаги
Это сообщение означает, что межсетевой экран получил TCP пакет, флаги которого были неверными или противоречащими друг другу (например, SYN и FIN в одном пакете). Это может свидетельствовать об атаке или о дефекте в TCP/IP реализации.
11- Неверный TCP sequence number
Это сообщение показывает, что межсетевой экран получил TCP пакет, порядковый номер которого (sequence number) не соответствует ожидаемому значению. Это может свидетельствовать об атаке.
12 - Возможная SYN атака
Это сообщение генерируется межсетевым экраном, когда инициировано соединение к одному из адресов, защищенных от SYN атак, а соединение не было установлено в течение периода времени, описанного администратором. Если эти сообщения возникают редко, то их можно объснить тем, что, возможно, слишком мал интервал времени, определенный при описании защиты от SYN атак (см. главу 10 Защита от SYN атак). Если возникает большое число подобных сообщений, то, вероятно, что против межсетевого экрана была предпринята SYN атака.
13 - Пакет без аутентификационной информации
Это сообщение означает, что данный пакет пришел без заголовка об аутентификации, а конфигурация соответствующего защищенного канала указывает, что он мог быть принят только при его наличии (см.
главу 8 Создание защищенных каналов). Причиной этого может быть неправильная конфигурация аутентификации в канале (возможно, настроена только на одной стороне) или попытка IP спуфинга. Более подробная информация содержится в RFCs 1825 и 1827.
14 - Пакет не прошел аутентификацию
Это сообщение означает, что модуль аутентификации межсетевого экрана обнаружил ошибки в данном пакете. Это может быть вызвано неверной настройкой ключа аутентификации или некорректными изменениями в содержимом пакета при его передаче, или же IP спуфингом. Более подробная информация изложена в RFCs 1825 и 1827.
15 - Пакет без криптографической информации
Это сообщение означает, что данный пакет пришел незашифрованным, а конфигурация соответствующего защищенного канала свидетельствует о том, что пакет должен был быть зашифрован (см. главу 8 Создание защищенных каналов). Причиной этого может быть неправильная конфигурация защищенных каналов (возможно, настроен только один конец канала) или IP спуфингом. Более подробная информация изложена в RFCs 1825 и 1827.
16 - Размер расшифрованного пакета неверен
Это сообщение означает, что криптографический модуль установил, что размер дешифруемого пакета несовместим с соответствующим алгоритмом шифрования. Возможно, это вызвано неправильной конфигурацией защищенных каналов.
17 - Неудачная расшифровка пакета
Это сообщение означает, что после расшифровки пакета и выполнения тестов криптографическиймодуль обнаружил, что пакет неверен. Это может быть вызвано неправильной конфигурацией таблицы защищенных каналов или IP спуфингом.
18 - Неверный тип инкапсуляции пакета
Это сообщение означает, что криптографический модуль не распознал тип инкапсуляции, использованный в данном пакете. Причиной этого может оказаться сбой в расшифровке пакета (из-за неправильного ключа) или использование неподдерживаемого механизма инкапсуляции. (Межсетевой экран Aker работает исключительно с туннельным режимом инкапсуляции и не поддерживает никаких других режимов, например, транспортного режима.)
19 - Пакет без SKIP информации
Это сообщение означает, что данный пакет пришел без SKIP заголовка, а конфигурация соответствующего защищенного канала показывает, что он должен был иметь этот заголовок. Возможно, это вызвано неправильной конфигурацией таблицы защищенных каналов, где один из концов настроен для использования SKIP, а другой нет (смотрите главу 8 Создание защищенных каналов).
20 - SA пакета не содержит SKIP информацию
Это сообщение означает, что криптографический модуль получил пакет с заголовком SKIP, а соответствующая security association (SA) не имеет информации о SKIP (см. главу 8 Создание защищенных каналов). Причиной этого может оказаться неправильная конфигурация таблицы защищенных каналов, когда один конец настроен для использования SKIP, а другой нет.
21 -Неверная версия SKIP
Это сообщение означает, что указанная в данном пакете версия протокола SKIP отлична от поддерживаемой версии. (Межсетевой экран Aker реализует версию 1 протокола SKIP.)
22 - Неверное значение счетчика SKIP протокола
Протокол SKIP посылает счетчик в каждом пакете, показания которого ежечасно увеличиваются, чтобы избежать атаки путем проигрыша сообщения. Такое сообщение свидетельствует, что не верно значение счетчика, полученное в данном пакете. Это может быть вызвано двумя различными причинами: либо разница двух внутренних часов обоих взаимодействующих межсетевых экранов больше одного часа, либо налицо попытка атаки путем проигрыша.
23 - Неверный SPI для SKIP аутентификации
Это сообщение означает, что получен SKIP-пакет, а номер SPI, указанный в аутентификационном заголовке, неверен. (Протокол SKIP требует, чтобы номер SPI был 1.)
24 - Неверный следующий протокол в SKIP заголовке
Недействителен соседний протокол в заголовке SKIP не поддерживается Aker. (Межсетевой экран Aker требует, чтобы аутентификационный заголовок сводился к SKIP-заголовку.)
25 - Неверный алгоритм аутентификации SKIP
Это сообщение означает, что не поддерживается алгоритм аутентификации, указанный в заголовке SKIP. (Межсетевой экран Aker поддерживает только алгоритмы аутентификации MD5 и SHA-1.)
26 - Неверный алгоритм шифрования SKIP
Это сообщение означает, что не поддерживается алгоритм шифрования, указанный в заголовке SKIP. (Межсетевой экран Aker поддерживает только алгоритмы шифрования DES и Triple DES.)
27 - Неверный алгоритм обмена ключами SKIP
Это сообщение означает, что не поддерживаются алгоритмы шифрования и разделителя ключа, указанные в заголовке SKIP. (Межсетевой экран Aker поддерживает только алгоритмы DES с MD5 в качестве разделителя ключа и Triple DES с тем же MD5 в качестве разделителя).
28 - Алгоритм сжатия данных не поддерживается
Это сообщение означает, что не поддерживается алгоритм сжатия данных, указанный в заголовке SKIP. (Межсетевой экран Aker не поддерживает никаких алгоритмов сжатия данных, так как они все еще не стандартизованы.)
29 - Неверный идентификатор адресного пространства источника
Для выбора соответствующей ассоциации защиты (SA) протокол SKIP разрешает использование других пространств имен, не являющихся IP адресами. Пространство имен можно указать для источника и/или назначения. Это сообщение означает, что пространство имен источника не поддерживается. (Межсетевой экран Aker поддерживает в качестве пространства имен только IP адреса.)
30 - Неверный идентификатор адресного пространства назначения
Для выбора соответствующей ассоциации защиты (SA) протокол SKIP разрешает использование других пространств имен, не являющихся IP адресами. Пространство имен можно указать для источника и/или назначения. Это сообщение означает, что не поддерживается пространство имен назначения. (Межсетевой экран Aker поддерживает в качестве пространства имен только IP адреса.)
B - Вопросы и ответы
Статистика и события
Что произойдет, если закончится нет свободное дисковое пространства для хранения статистики или событий ?
При разработке межсетевого экрана Aker проблема безопасности рассматривалась как наиболее важная. Межсетевой экран, работающий без защищенной системы сбора статистики, обладает серьезной дырой в защите. По этой причине, после тщательного анализа возможных действий для решения проблемы недостатка дискового пространства остановились на следующем:
Обнаружив недостаток дискового пространства для хранения статистики и событий, межсетевой экран немедленно блокирует роутинг IP пакетов.Это ведет к тому, что все проходящие через межсетевой экран соединения автоматически разрываются, а новые соединения не открываются.
Межсетевой экран генерирует предупреждения о недостатке дискового пространства, посылая их в syslogd хоста, на котором запущен межсетевой экран, и, кроме того, он посылает аварийные сообщения удаленному графическому интерфейсу пользователя. Эти специальные аварийные сообщения не описаны в окне реакции системы.
Единственный способ заставить работать межсетевой экран после обнаружения недостатка дискового пространства - это увеличить пространство, доступное для хранения статистики и событий, или стереть файл регистрации или событий (невозможно сжать эти файлы, так как для выполнения сжатия необходимо дисковое пространство). После этого надо заново перегрузить хост или ввести следующую команду, чтобы восстановить маршрутизацию.
sysctl -w net.inet.ip.forwarding=1
Я только что получил аварийное сообщение в графическом интерфейсе пользователя, гласящее: "Не хватает дискового пространства для хранения статистики" или "Не хватает дискового пространства для хранения событий". С этого момента я не могу установить никакого соединения с внешнй сетью. Как мне решить эту проблему?
См. предыдущий пункт.
C - Авторские права и отказы от права
В этом Приложении перечислены отказы от права на библиотеки и используемые в межсетевом экране Aker исходные коды третьей стороны. Эти отказы от права применяются только по отношению к явно упоминаемым частям межсетевого экрана Aker, а не к нему в целом. Здесь ниже приводится перечень этих явно упоминаемых частей в соответствии с требованиями разработчиков:
Д - Что нового в версии
В этом приложении перечислены отличия версии 3.01 от версии 3.0
Появилась таблица объектов, для которых трансляция адресов не проводится
В профиле доступа WWW появилась временная таблица
Появилась запись об пропущенных или отклоненных WWW proxy URL в окне статистики
Появилось окно модификации даты и времени в графическом интерфейсе
Модифицировано окно фильтрации статистики для того чтобы можно было фильтровать по объектам
Появилась опция для сохранения и восстановления фильтров статистики и события
Двойное нажатие на имени объекта почти во всех окнах вызывает окто свойств этого объекта.
Появилась программа инсталляции агента аутентификации для UNIX
Применения трансляции сетевых адресов в межсетевом экране
Предположим, что некоторая организация получает сеть класса С (обозначим ее А.В.С.0). Эта сеть позволяет описать 254 реальных хоста (адреса А.В.С.0 и А.В.С.255 резервируются для специальных целей и не быть использованы, остаются значения между А.В.С.1 и А.В.С.254). Предположим еще, что локальная сеть состоит из 1000 хостов, которые необходимо подключить к Интернет. Так как реальных адресов недостаточно, необходимо воспользоваться трансляцией сетевых адресов. Поэтому для использования во внутренней сети была выбрана зарезервированная сеть класса А 10.x.x.x c cетевой маской 255.0.0.0.
Межсетевой экран Aker устанавливается на границе между Интернет и внутренней сетью, имеющей адреса из зарезервированной сети. Aker будет выполнять преобразование зарезервированных адресов 10.x.x.x в реальные адреса А.В.С.x. В результате межсетевой экран должен иметь по крайней мере два адреса: реальный адрес, до которого можно добраться через Интернет, и зарезервированный, к которому возможен доступ только из внутренней сети. (Как правило на межсетевом экране устанавливают два или более адаптера, один для внешней сети, а один или более - для внутренней. Возможно, хотя крайне нежелательно установить на межсетевой экран всего один сетевой адаптером, с присвоением реального и зарезервированного адреса одному и тому же адаптеру.)
Предположим, что адрес А.В.С.2 выбран для реального (внешнего) сегмента, а адрес 10.0.0.2 для внутреннего сегмента. Реальный адрес будет использоваться межсетевым экраном для преобразования всех соединений из внутренней сети в Интернет. С внешней стороны все соединения будут выглядеть так, как будто они начинаются на межсетевом экране.
В межсетевом экране Aker такой адрес называется виртуальным адресом (он виртуальный, поскольку на самом деле соединения не инициируются межсетевым экраном). Этот адрес должен быть настроен на одном из сетевых интерфейсов межсетевого экрана. Если на сетевом интерфейсе описано более одного реального адреса, виртуальным адресом может быть любой из них.
При такой схеме все внутренние хосты могут получить доступ к ресурсам Интернет прозрачно, как если бы они имели действительные адреса. Однако при этом внешние хосты не могут образовывать соединения с внутренними (так как внутренние хосты не имеют реальных адресов). Для решения этой проблемы у межсетевого экрана Aker есть таблица статического преобразования, которая выполняет преобразования 1-1 и позволяет имитировать реальный адрес для любого из зарезервированных. Эта таблица называется таблицей серверной трансляции.
Вернемся опять к нашей гипотетической организации. Предположим, что в вашей сети существует WWW сервер с адресом 10.1.1.5. Предположим еще. что вам хотелось бы, чтобы этот сервер предоставлял информацию как для внутренней сети, так и для Интернет. В этом случае нужно так выбрать реальный адрес, чтобы он мог использоваться внешними клиентами для соединения с этим сервером. Положим, что выбранный адрес есть А.В.С.10. Тогда в таблицу статического преобразования должен прибавиться элемент для отображения адреса А.В.С.10 во внутренний адрес 10.1.1.5. С этого момента все обращения к адресу А.В.С.10 будут автоматически направляться по адресу 10.1.1.5
Реальный адрес, выбранный для выполнения преобразования 1-1, нельзя присвоить какому-нибудь хосту. В нашем примере возможны конфигурации, содержащие до 253 серверов во внутренней сети, к которым можно иметь доступ извне (один из 254 допустимых действующих адресов уже использован для преобразования трафика всех клиентов).
Межсетевой экран Aker использует технологию proxy-arp для взаимодействия внешних сетевых устройств (например, внешний маршрутизатор) с виртуальными серверами.
Примеры использования защищенных каналов
Главный пример настройки защищенного канала.
В этом примере рассматривается, как описать защищенный канал связи между двумя сетями, взаимодействующими через Интернет, используя два межсетевых экрана Aker. Канал обеспечивает защиту всего трафика между этими двумя сетями. В качестве алгоритма аутентификации выбран MD5, а в качестве алгоритма шифрования - DES.
При использовании шифрования обязательно должна использоваться аутентификация. Это вызвано тем, что без применения аутентификации к зашифрованым сообщениям могут быть проведены атаки с модификацией текста.
Конфигурация межсетевого экрана Aker сети 1
Объекты:
NETWORK1 - IP адрес: A1.B1.C1.0 - Cетевая маска 255.255.255.0
NETWORK2 - IP адрес: A2.B2.C2.0 - Cетевая маска 255.255.255.0
Защищенный канал 1:
Направление канала: отправка
Источник: NETWORK1
Назначение: NETWORK2
Алгоритм шифрования: DES
Алгоритм аутентификации: MD5
Ключ аутентификации: X1
Ключ шифрования: X2
Защищенный канал 2:
Направление канала: прием
Источник: NETWORK2
Назначение: NETWORK1
Алгоритм шифрования: DES
Алгоритм аутентификации: MD5
Ключ аутентификации: X3
Ключ шифрования: X4
Конфигурация межсетевого экрана Aker сети 2
Объекты:
NETWORK1 - IP адрес: A1.B1.C1.0 - Сетевая маска 255.255.255.0
NETWORK2 - IP адрес: A2.B2.C2.0 - Сетевая маска 255.255.255.0
Защищенный канал 1:
Направление канала: прием
Источник: NETWORK1
Назначение: NETWORK2
Алгоритм шифрования: DES
Алгоритм аутентификации: MD5
Ключ аутентификации: X3
Ключ шифрования: X4
Защищенный канал 2:
Направление канала: отправка
Источник: NETWORK2
Назначение: NETWORK1
Алгоритм шифрования: DES
Алгоритм аутентификации: MD5
Ключ аутентификации: X1
Ключ шифрования: X2
Обратите внимание на то, что правило 1 для межсетевого экрана Aker 1 в точности совпадает с правилом 1 для межсетевого экрана Aker 2, за исключением пункта, связанного с направлением. То же касается и правила 2.
Пример конфигурации защищенного канала для подсети
В этом примере определим защищенный канал только для группы хостов в каждой из двух сетей.
Кроме того, установим различные алгоритмы
Кроме того, установим различные алгоритмы для каналов между этими группами. Использование различных алгоритмов для двух направлений защищенного канала может оказаться полезным в том случае, когда ценность информации в одном направлении больше, чем в другом. В этом случае более защищенный алгоритм применяется в наиболее критическом направлении. Предположим еще, что сети 1 и 2 содержат два адреса класса В: А1.В1.0.0 и А2.В2.0.0, соответственно.
Конфигурация межсетевого экрана Aker сети 1
Объекты:
SUBNET1 - IP адрес: A1.B1.2.0 - Сетевая маска 255.255.255.0
SUBNET2 - IP адрес: A2.B2.5.0 - Сетевая маска 255.255.255.0
Защищенный канал 1: Направление канала: отправка
Источник: SUBNET1
Назначение: SUBNET2
Алгоритм шифрования: DES
Алгоритм аутентификации: MD5
Ключ аутентификации: X1
Ключ шифрования: X2
Защищенный канал 2: Направление канала: прием
Источник: SUBNET2
Назначение: SUBNET1
Алгоритм шифрования: 3DES
Алгоритм аутентификации: SHA
Ключ аутентификации: X3
Ключ шифрования: X4 Конфигурация межсетевого экрана Aker сети 2
Объекты:
SUBNET1 - IP адрес: A1.B1.C1.0 - Сетевая маска 255.255.255.0
SUBNET2 - IP адрес: A2.B2.C2.0 - Сетевая маска 255.255.255.0
Защищенный канал 1: Направление канала: отправка
Источник: SUBNET2
Назначение: SUBNET1
Алгоритм шифрования: 3DES
Алгоритм аутентификации: SHA
Ключ аутентификации: X3
Ключ шифрования: X4
Защищенный канал 2: Направление канала: прием
Источник: SUBNET1
Назначение: SUBNET2
Алгоритм шифрования: DES
Алгоритм аутентификации: MD5
Ключ аутентификации: X1
Ключ шифрования: X2
Заметьте, что в этом случае совпадение правил возникает в двух межсетевых экранах в другом порядке: правило 1 в межсетевом экране 1 совпадает с правилом 2 в межсетевом экране 2 (с измененными направлениями), а правило 2 в экране1 совпадает с правилом 1 в экране 2 (опять с измененными направлениями). Конечно, порядок описания правил для данных примеров не имеет значения (однако, это не всегда так):
Примеры настройки трансляции сетевых адресов
С Интернет существует выделенный канал
Оборудование: 1 роутер, 1 Aker Firewall, n клиентов, 2 сервера во внутренней сети
Реальный адрес: А.В.С.x ; сетевая маска 255.255.255.0
Зарезервированный адрес: 10.x.x.x ; сетевая маска 255.0.0.0
Адреса серверов: 10.1.1.1, 10.2.1.1
Адреса клиентов: 10.x.x.x
Адрес маршрутизатора: реальная сеть: А.В.С.1 , Интернет: x.x.x.x
Конфигурация межсетевого экрана Aker:
Адреса адаптера: внутренняя сеть: 10.0.0.2 ,
Виртуальный IP адрес A.B.C.2
Внутренняя сеть: 10.0.0.0
Маска внутренней сети: 255.0.0.0
Таблица серверной трансляции:
A.B.C.10 - 10.1.1.1
A.B.C.30 - 10.2.1.1
Взаимодействие отделов
В этом примере мы покажем, как обеспечить взаимодействие между собой отделов одной компании с использованиемтрансляции адресов между ними.
Оборудование: 1 роутер, 3 Aker Firewalls, n клиентов, 4 внутренних сетевых клиента
Реальные адреса: A.B.C.x, маска 255.255.255.0
Зарезервированные адреса: 10.x.x.x маска 255.255.0.0
Зарезервированные адреса:172.16.x.x, маска 255.240.0.0
Адреса подсети 1:
10.1.x.x
Адрес сервера: 10.1.1.1
Адрес клиента: 10.1.x.x
Адрес роутера: внутренняя сеть: A.B.C.1 , Интернет:x.x.x.x
Конфигурация межсетевого экрана Aker:
Внутренняя сеть: 10.1.0.1, Реальная сеть A.B.C.2
Виртуальный IP адрес: A.B.C.2
Внутренняя сеть: 10.0.0.0
Маска внутренней сети: 255.0.0.0
Адреса подсети 3:
Внешние: 10.2.x.x
Внутренние: 172.16.x.x
Адрес сервера: 172.16.1.1
Адреса клиента: 172.x.x.x
Конфигурация межсетевого экрана Aker:
Подсеть 2: 172.16.0.1, Подсеть 1:10.1.0.2
Виртуальный IP адрес: 10.1.0.2
Внутренняя сеть (2): 172.16.0.0
Маска внутренней сети: 255.240.0.0
Таблица трансляции серверов:
10.2.1.1 - 172.16.1.1
Адреса подсети 3:
Внешний: 10.3.x.x
Внутренний: 172.16.x.x
Адрес сервера: 172.16.1.1
Адреса клиента: 172.x.x.x
Конфигурация межсетевого экрана Aker:
Подсеть3: 172.16.0.1, Подсеть 1:10.1.0.3
Виртуальный IP адрес: 10.1.0.3
Внутренняя сеть (3): 172.16.0.0
Маска внутренней сети: 255.240.0.0
Таблица трансляции серверов:
10.3.1.1 - 172.16.1.1
При такой конфигурации необходимо описать в таблице маршрутизации маршруты к подсетям 10.1.х.х , 10.2.х.х и 10.3.х.х .
Принцип работы системы удаленного управления межсетевым экраном Aker
Межсетевой экран Aker можно удаленно конфигурировать и администрировать с любого хоста; для этого хост должен иметь доступ к межсетевому экрану, работать под управлением операционной системы, для которой реализован удаленный интерфейс и поддерживать стек протоколов TCP/IP. Более того, удаленное управление предоставляет возможность менеджеру с одной рабочей станции контролировать и настраивать несколько межсетевых экранов .
Удаленное управление позволяет сберечь ресурсы, поскольку хост с работающим межсетевым экраном теперь не нуждается в мониторе и других внешних устройствах.
Просмотр информации о сессии
В любой момент Вы можете просмотреть информацию об активном сеансе управления. Для этого существует окно, содержащее полезную информацию, например, такую как имя регистрации, полное имя и права пользователя, который управляет межсетевым экраном, номер версии и реализации межсетевого экрана. Показывается также время соединения и период его активизации. Чтобы открыть это окно, необходимо выполнить следующие действия:
Выберите опцию Соединение в главном окне
Выберите пункт Информация
Вы увидите следующее окошко
Proxy в межсетевом экране Aker
Межсетевой экран Aker поддерживает прозрачные proxy сервера для сервисов Telnet и SMTP и непрозрачные proxy сервера для сервисов, доступных через WWW броузер (FTP, Gopher, HTTP и HTTPS). Для использования непрозрачных proxy серверов необходим клиент, поддерживающий работу через proxy. К таким клиентам относятся Netscape Navigator(Tm) и Internet Explorer (Tm).
Прозрачные proxy можно использовать для контроля доступа снаружи к внутренним сетям и наоборот. Непрозрачные proxy могут использовать только хосты внутренней сети.
Причина выбора непрозрачных proxy для WWW сервисов связана с тем, что их можно использовать для особого вида аутентификации, называемой Proxy Authentication, которая работает только если броузеры настроены для работы через proxy. При такой аутентификации броузер сразу же в начале сеанса запрашивает пароль пользователя и использует его, пока не закроется броузер. Альтернативой этой форме аутентификации остается только доменная аутентификация (Domain Autentication), при которой при обращении к новому WWW адресу у пользователя будет запрашиваться новый пароль.
Прозрачные proxy и контексты
Межсетевой экран Aker представляет новую разработку, связанную с прозрачными proxy - контексты. Для их понимания проанализируем сначала структуру сети, где они могут использоваться:
Предположим, что межсетевой экран Aker соединен с тремя различными сетями А, В и С, и пусть сети А и В принадлежат двум отделениям одной и той же компании, а сеть С представляет Интернет. Предположим, что для сетей А и В существует общий SMTP сервер, служащий для приема и отправки электронной почты. Схематически ситуация изображена на рисунке:
Теперь предположим, что необходимо настроить межсетевой экран для пререадресации всех SMTP соединений к SMTP proxy, чтобы обеспечить лучшую защиту и более строгий контроль всего трафика.
Важно иметь возможность отдельно описывать правила для соединений из сетей В и С к сети А. Когда сеть В посылает e-mail в А, она использует SMTP сервер как relay, между тем, для сети С это не разрешено. Желательно, кроме того, ограничить максимальный размер сообщений, приходящих из сети С, чтобы избежать атак типа "отказ в обслуживании", основанных на недостатке дискового пространства, но в то же время не ограничивать размер сообщений, приходящих от сети В.
Для реализации таких конфигураций были созданы контексты. Контексты - это набор настроек для прозрачных proxy, необходимых для реализации различных правил обмена.
В последнем примере можно было бы создать два контекста: один для использования в соединениях из В в А, а другой - из С в А.
Прозрачные proxy сервера
Aker представляет новую концепцию межсетевого экрана, использующего прозрачные proxy сервера. Их можно использовать без какой-либо модификации клиентов и серверов, поскольку ни один из них не должен знать о существовании proxy сервера.
Механизм их действия достаточно прост: всякий раз, когда межсетевой экран решает, что соединение должно поддерживаться через прозрачные proxy, он переадресует это соединение соответствующему proxy. Установив соединение с клиентом, proxy открывает новое соединение с удаленным сервером и направляет запросы клиента этому серверу.
Огромное преимущество подобной организации работы заключаетя в возможности создать дополнительную защиту для конкретных сервисов, не проводя модификации клиентов и серверов и не нарушая гибкости. Кроме того, прозрачные proxy сервера можно использовать как для внутренних, так и для внешних запросов.
Работа с proxy серверами
Эта глава содержит все необходимые сведения о принципах работы proxy серверов в межсетевом экране Aker. Особенности каждого proxy сервера обсуждаются в следующих главах.
Работа WWW proxy межсетевого экрана Aker с кэш-сервером
Межсетевой экран Aker не обеспечивает кэширования запросов в своем WWW proxy, однако его можно настроить для работы с любым кэш-сервером, использующим стандартные механизмы. Кэш-сервер может быть запущен на том же хосте, на котором установлен межсетевой экран или на другом хосте.
Если кэш-сервер запущен на другом хосте (рекомендованный вариант), этот хост должен находиться в подсети, отличной от той, в которую входят клиенты, иначе трудно контролировать безопасность. Такая конфигурация приведена на следующем рисунке:
Для гарантии защиты при такой конфигурации необходимо настроить пакетный фильтр (см. главу 6 Пакетный фильтр с контролем состояния) таким образом, чтобы хост, на котором запущен кэш-сервер, был единственной машиной, имеющей доступ к WWW сервисам и клиенты не имели бы право напрямую к нему обращаться. После этого необходимо настроить все клиентские хосты для работы через WWW proxy межсетевого экрана, а также настроить сам межсетевой экран для работы с кэш-сервером.
Редактирование параметров WWW proxy
Для использования WWW proxy необходимо указать некоторые параметры, определяющие основные характеристики его работы. Эти определения производятся в окне настройки WWW proxy. Для получения доступа к этому окну надо выполнить следующие шаги:
Выбрать меню Сервера в главном окне
Выбрать опцию WWW
Окно настройки параметров WWW proxy
Кнопка Да закрывает окно настройки WWW proxy и сохраняет все изменения.
Кнопка Отменить закрывает окно настройки и отбрасывает все сделанные изменения.
Кнопка Помощь показывает окно помощи по данному разделу.
Значения параметров:
Кэш
Разрешить кэш: Эта опция определяет, будет ли proxy перенаправлять свои запросы кэш-серверу. Если эта опция установлена, все полученные запросы будут передаваться кэш-серверу, на определенный IP адрес и порт. Если нет, WWW proxy будет сам обрабатывать все запросы.
IP: Это поле определяет IP адрес кэш-сервера, которому будут передаваться все запросы, если установлена опция Разрешить кэш.
Порт: Это поле определяет порт кэш-сервера, которому будут передаваться все запросы, если установлена опция Разрешить кэш.
Настройки
Эти параметры регулируют действия WWW proxy для ситуаций, требующих особого внимания. Они состоят из следующих полей:
Тайм-аут чтения: Этот параметр определяет максимальное время в секундах, в течение которого proxy ждут запроса клиента с момента установления нового соединения. Если этот интервал времени заканчивается, а запроса от клиента не поступает, соединение закрывается.
Тайм-аут ответа: Этот параметр определяет максимальное время в секундах, в течение которого proxy ждет ответа на запрос, посланный на удаленный WWW сервер или в кэш-сервер, если установслена опция Разрешить кэш . Если за это время от сервера не приходит ответ, соединение закрывается, а клиент получает сообщение об ошибке.
HTTPS тайм-аут: Этот параметр определяет максимальное время в секундах, в течение которого proxy может ждать ответа сервера для HTTPS соединений,
Число процессов: Это поле определяет число процессов обработки в WWW proxy, которые остаются активными в ожидании соединений.
Так как каждый процесс обрабатывает одно соединение, это поле определяет также максимальное число запросов, которые могут обрабатываться одновременно. Из-за требований производительности, процессы, связанные с WWW proxy, всегда находятся в активном состоянии, независимо от наличия или отсутствия запросов.
Обычно значение этого поля находится в интервале от 5 до 50 в зависимости от количества клиентов, использующих proxy (следует отметить, что один хост обычно открывает до 4 соединений при получении доступа к единственной странице WWW). Значение 0 блокирует использование proxy.
WWW
Эти параметры определяют опции фильтрации proxy. Они состоят из следующих полей:
WWW профиль по умолчанию: Определяет имя профиля доступа WWW, которое используется для контроля доступа всех пользователей (в случае, когда не производится аутентификация пользователей) или пользователей, которые не относятся к этому профилю (в случае, когда производится аутентификация пользователей).
Аутентификация HTTP: Это поле дает (или не дает) возможность производить аутентификацию пользователей в WWW proxy. Если эта опция установлена, каждый раз, когда пользователь хочет начать сеанс, у него запрашивается идентификтор и пароль, и сеанс начнается, только если пользователь будет аутентифицирован каким-либо аутентификатором.
Если эта опция установлена, нажмите кнопку Контроль доступа, которая откроет окно, в котором можно установить соответствие пользователей или групп с конкретными профилями.
Окно контроля доступа WWW
Это окно открывается при нажатии кнопки Контроль доступа в окне настройки WWW proxy, при установленной опции Аутентификация HTTP. Окно позволяет администратору установить соответствие между пользователями или группами, зарегистрированными в аутентификаторах, и профилями доступа WWW, зарегистрированными в межсетевом экране. Окно имеет следующий формат:
Чтобы установить соответствие пользователя или группы с определенным профилем доступа, надо сделать следующее:
Выделить аутентификатор, с которого вы хотите получить список пользователей или групп, нажав левой клавишей мыши на его имени в верхнем списке окна (если необходимого аутентификатора нет в списке, нужно добавить его в список аутентификаторов.
Этот вопрос рассмотрен в главе 16 Настройка параметров аутентификации).
Выберите необходимого пользователя или группу с помощью соответствующих кнопок, расположенных в поле Вид.
Нажмите левой клавишой мыши на имени пользователя или группы, для которых устанавливается соответствие с профилем, в списке Группы/Пользователи, расположенном ниже списка аутентификаторов.
Нажмите левой клавишей мыши на имени профиля в списке Профиль доступа WWW, который будет связан с выделенным пользователем/группой.
Нажмите кнопку Добавить. Соответствие между пользователем/группой и профилем будет показано в списке в нижней части окна.
Для удаления соответствия между пользователем/группой и профилем выполните следующее:
Выберите необходимое соответствие в списке в нижней части окна.
Нажмите клавишу удаления.
Для изменения позиции какого-либо соответствия внутри списка, проделайте действия:
Выделите перемещаемое соответствие.
Нажмите на одну из кнопок в форме стрелки справа от списка. Кнопка со стрелкой вверх переместит выделенное соответствие на одну позицию вверх, а кнопка со стрелкой вниз - на одну позицию вниз.
Порядок следования соответствий в списке очень важен. Всякий раз при аутентификации пользователя межсетевой экран просматривает список с самого начала в поисках его имени или группы, которой он принадлежит. Как только имя будет обнаружено, будет использоваться соответствующий ему профиль.
Редактирование списка правил с использованием GUI
Для получения доступа к окну настройки правил фильтрации вам нужно:
Выбрать меню Настройка в главном окне
Выбрать опцию Правила фильтрации
Окно правил фильтрации
Окно правил показывает все правила фильтрации, описанные в межсетевом экране Aker. Каждое правило будет показано на отдельной строке, состоящей из нескольких ячеек. При выделении одного из правил оно будет показано окрашенным в другой цвет.
Клавиша Да обновляет список правил и делает его сразу активным.
Клавиша Отменить отбрасывает все модификации и окно закрывается.
Клавиша Помощь показывает окно помощи с подсказками по данному разделу.
Если установлена опция Показать все объекты, будут высвечены все параметры фильтрации. В противном случае будут показаны только два первых.
Указание: если эта опция не установлена, а правило имеет больше двух объектов в полях источника, назначения или сервисах, то в каждом из полей, содержащем больше двух объектов, будет показана направленная вниз стрелка.
Полоска прокрутки с правой стороны используется для просмотра правил, которые не помещаются в окне.
Если выделить правило, для которого описаны комментарии, то они будут показаны в нижней части окна.
Чтобы выполнить любую операцию на конкретном правиле, достаточно нажать правой клавишей мыши по этому правилу. Появится следующее меню: (Это меню будет появляться каждый раз, когда вы нажимаете на правую клавишу мыши, даже если не выделено никаких правил. При этом будут доступны только опции Добавить и Вставить).
Добавить: Эта опция позволяет включить в список другое правило. Если выделено какое-либо правило, новое правило вставляется перед выделенным правилом под его номером. В противном случае новое правило включается в конец списка.
Удалить:Эта опция удаляет выделенное правило из списка.
Редактировать: Эта опция открывает окно редактирования для выделенного правила.
Копировать: Эта опция копирует выделенное правило в буфер.
Вырезать: Эта опция удаляет выделенное правило из списка и копирует его в буфер.
Вставить: Эта опция копирует правило из буфера в список. Если правило выделено, то новое правило будет вставлено на перед выделенным правилом на его позицию. Если правило не выделено, то новое будет скопировано в конец списка.
Отменить выделение: Эта опция отменяет выделение ранее выделенного правила и снова показывает меню. Это очень полезно, когда существует большое число правил и нужно включить или вставить правило в конец списка.
Указание: все эти опции, за исключением опции отменить выделение, можно выполнять через инструментальное меню, расположенное в верхней части окна. В этом случае сначала выделите правило, нажав на нем левой клавишей мыши, а затем выберите нужную опцию.
При добавлении или редактировании правил будет показано окно свойств:
Окно свойств одного правила
Окно свойств используется для настройки всех параметров правила. Оно состоит из следующих полей:
Объекты источника: Это поле определяет объекты, адреса которых будут сравниваются с адресом источника IP пакетов.
Объекты назначения: Это поле определяет объекты, адреса которых будут сравниваются с адресом назначения IP пакетов.
Сервисы: Это поле описывает сервисы, используемые в правиле.
Интерфейс: Поле определяет разрешенный интерфейс для входящих пакетов. Значение любой отменяет проверку по этому полю. Если интерфейс выбран, то будут приниматься пакеты, приходящие только от этого интерфейса. Для выделения интерфейса нужно только нажать на направленной вниз стрелке сбоку от поля. После этого система покажет список всех сетевых интерфейсов, опознанных межсетевым экраном.
Статистика: Это поле определяет, какое действие будет выполняться системой, когда пакет удовлетворяет данному правилу. Она состоит из нескольких опций, которые можно выделять независимо. Значения этих опций таковы:
Статистика: Если эта опция установлена, то все пакеты, удовлетворяющие данному правилу, будут регистрироваться в системном журнале.
Почта: Если эта опция установлена, то по электронной почте будет посылаться одно сообщение каждый раз, когда пакет удовлетворяет правилу (настройка адреса электронной почты рассматривается в главе 4 Настройка параметров системы).
Прерывание: Если эта опция установлена, то для каждого пакета, удовлетворяющего данному правилу, будет посылаться SNMP прерывание (настройка параметров прерываний будет рассмотрена в главе 4 Настройка параметров системы).
Программа: Если эта опция установлена, то каждый раз, когда пакет удовлетворяет данному правилу, будет выполняться описанная администратором программа (настройка имени выполняемой программы будет рассмотрена в главе 4 Настройка параметров системы).
Тревога: Если эта опция установлена, то каждый раз, когда пакет удовлетворяет данному правилу, межсетевой экран покажет окно предупреждений. Это окно появится на хосте, на котором открыт удаленный графический интерфейс и, если возможно, будет звучать предупреждающий сигнал. Если графический интерфейс пользователя не открыт, то не появится никаких сообщений, а эта опция не будет учитываться.
Для протоколов, использующих TCP, определенные в правиле действия будут выполняться только при установленном соединении. В случае UDP протокола, действия будут выполняться для всех пакетов, посланных клиентом и удовлетворяющих данному правилу (но не ответные пакеты).
Дйствие правила:Это поле определяет, какое действие будет выполнено для всех пакетов, удовлетворяющих данному правилу. Оно состоит из следующих опций:
Пропускать: Эта опция означает, что пакетам, удовлетворяющим правилу, разрешается пройти через межсетевой экран.
Не пропускать: Эта опция означает, что пакеты, удовлетворяющие правилу, не пройдут через межсетевой экран, причем хосту источника будет посылаться ICMP destination unreachable сообщение (хост назначения недоступен). Эта опция не работает для некоторых типов ICMP сообщений.
Отбрасывать: Эта опция означает, что пакеты, удовлетворяющие данному правилу, не пройдут через межсетевой экран, при этом не будут посылаться какие-либо пакеты хосту источника.
Комментарий: Поле комментариев к правилу. Оно может быть полезным для хранения информации об использовании правила.
Временная таблица: Эта кнопка позволяет получить доступ к окну временной таблицы активного правила . Если нажать эту кнопку, появится следующее окно:
Эта таблица определяет часы и дни недели, в течение которых применимо правило. Строки представляют дни недели, а колонки - часы. Если правило в данный период времени должно действовать, квадратик в таблице следует заполнить. Для облегченя процесса настройки можно нажать левую клавишу мыши на квадрате и двигать курсор, сохраняя клавишу нажатой. При этом таблица будет модифицироваться в соответствии с перемещением мыши.
Регистрация объектов
В этой главе показано, что представляют собой объекты, для чего они используются и как их регистрировать в межсетевом экране Aker.
Регистрация объектов с использованием GUI
Для доступа к окну регистрации объектов нужно сделать следующее:
Выбрать меню Регистрация в главном окне
Выбрать опцию Объекты и сервисы
Окно определения объектов
Используя окно определения объектов можно зарегистрировать любой объект межсетевого экрана Aker, независимо от типа.
На правой стороне окна расположены пять иконок, представляющих пять возможных типов объектов. Под ними помещен список, из которого можно определить тип объекта дл просмотра или создания.
Указание: Для выбора типа объекта вы можете или использовать иконку, или опцию в списке.
Клавиша Да закрывает окно.
Клавиша Помощь открывает окно помощи для данного окна.
Если отмечена опция Сортировать, список будет показан в алфавитном порядке.
Для создания нового объекта выполните следующие действия:
Выделите тип создаваемого объекта, выбрав соответствующую иконку или название
Правой клавишей мыши и выделите опцию Добавить во всплывающем меню или выберите иконку создания объекта в инструментальном меню в верхней части окна.
Если выбрана опция Все, то как иконка, так и опция меню создания объекта будут недоступны.
Для редактирования или удаления объекта вам необходимо:
Выделите редактируемый объект (если необходимо, выберите сначала соответствующий тип объекта).
Правой клавишей мышии выделите соответственно опцию Редактировать или Удалить во всплывающем меню или нажмите на иконке редактирования или удаления в инструментальном меню.
При использовании опций Редактировать или Удалить появится окно свойств объектов . Это окно будет различным для каждого из возможных типов объектов
Резервные копии межсетевого экрана
В межсетевом экране Aker Version 3.01 предусмотрена возможность создания резервных копий и полное удаленное восстановление его конфигурации. Этот вопрос обсуждался в главе 20 Использование средств графического интерфейса. Рекомендуется проводить подобную процедуру, так как она очень проста в и дает возможность сохранить все настройки межсетевого экрана на удаленном хосте. Однако можно создавать резервные копии вручную, как это делается в версии 2.0 и предыдущих версиях.
В этом разделе показано, как сделать вручную резервную копию, а также как восстановиться с нее.
Руководство Администратора
Введение
1-0 Инсталляция
1-1 Требования к аппаратному и программному обеспечению
1-2 Инсталляция межсетевого экрана
1-3 Инсталляция удаленного интерфейса на платформах Windows 95, 98 или NT
2-0 Использование удаленного интерфейса
2-1 Запуск удаленного интерфейса
2-2 Завершение удаленного управления
2-3 Изменение паролей пользователей
2-4 Просмотр информации о сессии
2-5 Использование подсказки в режиме он-лайн
3-0 Управление пользователями межсетевого экрана
3-1 Использование графического интерфейса
3-2 Использование интерфейса командной строки
4-0 Настройка параметров системы
4-1 Использование графического интерфейса пользователей
4-2 Использование интерфейса командной строки
5-0 Регистрация объектов
5-1 Введение
5-2 Регистраци объектов с использованием GUI
5-3 Использование интерфейса командной строки
6-0 Пакетный фильтр с контролем состояния
6-1 Введение
6-2 Редактирование списка правил с использованием GUI
6-3 Использование интерфейса командной строки
7-0 Настройка трансляции сетевых адресов
7-1 Введение
7-2 Использование GUI
7-3 Использование интерфейса командной строки
8-0 Создание защищенных каналов
8-1 Введение
8-2 Использование GUI
8-3 Использование интерфейса командной строки
9-0 Интегрирование модулей межсетевого экрана
9-1 Движение пакетов в межсетевом экране Aker
9-2 Интегрирование фильтра с трансляцией сетевых адресов
9-3 Интегрирование фильтра с трансляцией сетевых адресов и шифрованием
10-0 Защита от SYN атак
10-1 Введение
10-2 Использование GUI
10-3 Использование интерфейса командной строки
11-0 Настройка реакции системы
11-1 Использование GUI
11-2 Использование интерфейса командной строки
12-0 Просмотр статистики системы
12-1 Использование GUI
12-2 Формат и значение полей в файлах статистики
12-3 Использование интерфейса командной строки
13-0 Просмотр системных сообщений
13-1 Использование GUI
13-2 Формат и значение полей в системных сообщених
13-3 Использование интерфейса командной строки
14-0 Просмотр и удаление соединений
14-1 Использование GUI
14- 2 Использование интерфейса командной строки
15-0 Работа с proxy серверами
15-1 Введение
15-2 Инсталляция агента аутентификации в Unix
15-3 Инсталляция агента аутентификации в Windows NT
16-0 Настройка параметров аутентификации
16-1 Использование GUI
17-0 Настройка SMTP proxy
17-1 Использование GUI
18-0 Настройка Telnet proxy
18-1 Использование GUI
19-0 Настройка WWW proxy
19-1 Введение
19-2 Создание файлов доступа
19-3 Редактирование параметров WWW proxy
20-0 Использование средств графического интерфейса
20-1 Резервное сохранение
20-2 Восстановление
20-3 Реверсивный DNS
20-4 Дата и время
20-5 Отчеты
21-0 Системные файлы и резервирование
Приложение A - Системные сообщения
Приложение B - Вопросы и ответы
Приложение C - Авторские права и ограничения
Приложение Д - Что нового в версии 3.01
Синтаксис файла конфигурации для агента аутентификации
После копирования установленного агента в выбранный каталог необходимо создать файл конфигурации с адресами межсетевых экранов, которые могут использовать этот файл, и с паролями каждого из них. Файл имеет текстовый формат и может быть создан любым редактором.
Файл конфигурации для агента аутентификации должен иметь права доступа, позволяющие читать или изменять его только пользователю root. Для этого можно использовать команду chmod со следующим синтаксом: #chmod 600 имя_файла.
Формат файла следующий:
IP адрес межсетевого экрана Aker, использующего агента, один или более пробелов или символов табуляции, пароль доступа, который применяется межсетевым экраном для соединения.
Строки, начинающиеся с символа #, а также пустые строки игнорируются.
Пример файла конфигурации приведен ниже:
# Configuration file for the Aker Firewall 3.01 authentication agent
#
# Syntax: Firewall IP address and access password (in each line)
#
# The password must not have spaces and must have up to 31 characters
#
# Lines beginning with the '#' character are considered comments
# Blank lines are allowed
10.0.0.1 password_test
10.2.2.2 123password321
По умолчанию используется файл конфигурации /etc/fwagaut.cfg, однако, можно использовать другие название и директорию, указав их агенту при старте. Более подробно это описано в следующем разделе.
Системные файлы
В этом разделе показано, какие системные файлы используются межсетевым экраном. Это очень важно для создания резервных копий и диагностики возможных проблем с работой межсетевого экрана.
Системные файлы и резервные копии
В этой главе показано, где находятся и для чего используются файлы, входящие в состав межсетевого экрана Aker версии 3.01.
SNMP агент
Copyright © 1996,1997 Wes Hardaker and the University of California at Davis
COPYRIGHT
Большие части кода в данном пакете распространялись Carnegie Mellon University. Все другие коды и изменения первоначального кода, выполненные Wes Hardaker в университете California, Davis, обеспечиваются авторским правом в соответствии со следующим содержанием авторского права:
Разрешение предоставляется на использование, копирование, модификацию и распространение данного программного средства и его документацию. Данный программный продукт распространяется бесплатно и его при его использовании не требует какой-либо оплаты. Он может быть включен в комплект компакт-дисков программного обеспечения, при условии, что автор уведомлен и осведомлен о его распространении.
SNMP библиотека
Copyright © 1997 by Carnegie Mellon University
All Rights Reserved
Настоящим предоставляется разрешение на использование, копирование, модификацию и распространение этого программного средства и его документации для любых целей и без денежного вознаграждения, при условии, что вышеуказанное уведомление об авторском праве должно появляться во всех копиях и что как уведомление об авторском праве, так и уведомление о разрешении должно включаться в любую сопроводительную документацию, а также что имя CMU не будет использоваться в рекламе или пропаганде в отношении распространения программного средства без особого письменного предварительного разрешения.
Сохранение резервной копии
Эта опция позволяет сохранить полную конфигурацию межсетевого экрана в хосте, на котором запущен удаленный интерфейс. В случае аварии эта конфигурация может быть легко восстановлена.
Для создания резервной копии проделайте следующее:
Выберите меню Средства в главном окне
Выберите опцию Резервирование
Окно сохранения резервных копий :
Это окно позволяет сделать описание сохраняемой резервной копии. Это описание представляет из себя текст, который может быть полезным при восстановлени с копии.
После того как Вы сделаете описание, нажмите кнопку Сохранить, которая открывает окно, в котором можно указать название и путь к сохраняемому файла. Если сохранять копию не нужно, нажмите кнопку Закрыть.
Сообщения модуля трансляции адресов
Формат записи:
<Date> <Time> - <Repetition T> <Protocol> <Source IP> <Source port> <Translated IP> <Translated port>
Описание полей:
Date: Дата создания записи.
Time: Время создания записи.
(Repetition): Число последовательных повторов записи. Это поле указывается в скобках.
Protocol: Тип протокола пакета. Это может быть TCP или UDP.
Source IP: IP адрес источника пакета.
Source port: Номер порта источника пакета.
Translated IP: IP адрес, в который был транслирован адрес источника пакета
Translated port: Порт, в который был транслирован порт источника
Примеры:
01/01/1970 17:59:45 - (01) T TCP 10.0.0.1 1024 200.239.39.3 10001
01/01/1970 18:00:00 - (01) T UDP 10.0.0.2 1045 200.239.39.3 10001
Создание правил фильтрации для межсетевого экрана Aker
Создавать правила фильтрации для межсетевого экрана Aker просто. Все описания IP адресов, масок, протоколов и портов производятся при создании объектов (смотрите главу 5 Регистрация объектов). Это облегчает создание правил, так как при этом не приходится беспокоиться, какой порт использует определенный сервис или какие IP адреса используются в сети. Кроме того, все наиболее распостраненные в Интернет сервисы описаны заранее, что позволяет избежать напрасной траты времени на поиск соответствующих значений.
По существу, для создания правила администратор должен указать объекты источника и назначения и сервисы; все эти данные будут составлять правило. Можно также указать сетевой интерфейс для входящих пакетов и описать временной период ( в часах и днях недели), в течение которого правило будет действовать. Если пакет послан в промежуток времени, когда данное правило не активно, это правило не будет учитываться, и поиск будет продолжен далее по списку правил
Принцип работы фильтра заключается в следующем: межсетевой экран будет проверять по порядку все описанные администратором правила, до тех пор, пока не будет найдено соответствующее правило. Затем будет выполнено соответствующее правилу действие - пропустить, отказать или отбросить( эти действия будут пояснены в следующем разделе). Если поиск достигает конца списка и пакет не удовлетворяет ни одному из правил, такой пакет будет отброшен. (Можно определить действие, выполняемое в этом случае. Этот вопрос будет обсуждаться в главе 4 Настройка параметров системы.)
Интерфейс источника пакета проверяется после проверки адресов источника и назначения, но до проверки других параметров фильтрации. Если пакет проходит через интерфейс, отличный от указанного в правиле, он отбрасывается, а поиск в списке правил прерывается, даже если пакет удовлетворяет другим критериям фильтрации.
Создание правил фильтрации в простом пакетном фильтре
Перед тем как рассказать, как настраивать пакетный фильтр межсетевого экрана Aker, полезно пояснить, как описывать правила в обычном пакетном фильтре.
Существуют несколько возможных параметров при фильтрации пакетов. Наиболее простой является адресная фильтрация; она состоит в сравнении адресов в пакете с адресами, прописанными в правилах. Если адреса совпадают, пакет пропускается. Это сравнение производится следующим образом:
Рассмотрим следующее правило: все хосты сети 10.1.x.x могут взаимодействовать с хостами сети 10.2.x.x. Запишем это правило, используя нотацию, приведенную в главе 5 Регистрация объектов Мы имееем:
10.1.0.0 & 255.255.0.0 - 10.2.0.0 & 255.255.0.0 ------- Источник ------ -----Назначение -----
Теперь применим правило к пакету, который отправлен от хоста 10.1.1.2 к хосту 10.3.7.7. Наложим маску к обоим адресам - адресу в правиле и адресу в пакете. Затем проверим, одинаковы ли адреса источника и назначения. В результате будем иметь:
Для адреса источника:
10.1.0.0 И 255.255.0.0 = 10.1.0.0 (для правила) 10.1.1.2 И 255.255.0.0 = 10.1.0.0 (для пакета)
После применения маски оба адреса совпадают. Проверим теперь адрес назначения:
10.2.0.0 И 255.255.0.0 = 10.2.0.0 (для правила) 10.3.7.7 И 255.255.0.0 = 10.3.0.0 (для пакета)
Так как адреса назначения пакета и правила после применения маски не совпадают, то это правило не должно применяться к данному пакету.
Эта операция выполняется по всему списку адресов и масок источника и назначения до достижения конца списка или до тех пор, пока пакет не будет удовлетворять одному из правил. Список правил имеет следующий формат:
10.1.1.2 & 255.255.255.255 - 10.2.0.0 & 255.255.0.0 10.3.3.2 & 255.255.255.255 - 10.1.2.1 & 255.255.255.255 10.1.1.0 & 255.0.0.0 - 10.2.3.0 & 255.255.255.0 10.1.0.0 & 255.255.0.0 - 10.2.0.0 & 255.255.0.0
Кроме адресов источника и назначения, каждый IP пакет заключает в себе информацию об используемых протоколе и сервисе.
Ее можно использовать как дополнительный параметр фильтрации.
Например, сервисы в протоколе TCP всегда связаны с портом (за дальнейшей информацией обращайтесь к главе 5 Регистрация объектов). В результате можно привести в соответствие список портов с адресами.
Воспользуемся для примера двумя хорошо знакомыми сервисами, POP3 и HTTP. POP3 использует порт 110, а HTTP - порт 80. Следовательно, мы можем добавить эти порты в описание правила. В результате получим:
10.1.0.0 & 255.255.0.0 - 10.2.0.0 & 255.255.0.0 TCP 80 110 ------ Источник ------ ----- Назначение------ Протокол --Порты--
Это правило разрешает каждому пакету, следующему от сети 10.1.x.x к сети 10.2.x.x и использующему сервисы HTTP и POP3, проходить через межсетевой экран.
Сначала адреса из правила сравниваются с адресами пакета. Если после наложения маски оба адреса совпадают, протокол и порт назначения в пакете будут сравниваться с протоколом и списком портов, описанных в правиле. Если протокол совпадает, а порт в правиле одинаков с портом пакета, то такой пакет удовлетворяет правилу. В противном случае поиск будет продолжен в списке правил.
С учетом этой новой информации набор правил будет иметь следующий формат:
10.1.1.2 & 255.255.255.255 - 10.2.0.0 & 255.255.0.0 UDP 53 10.3.3.2 & 255.255.255.255 - 10.1.2.1 & 255.255.255.255 TCP 80 10.1.1.0 & 255.0.0.0 - 10.2.3.0 & 255.255.255.0 TCP 21 20 113 10.1.0.0 & 255.255.0.0 - 10.2.0.0 & 255.255.0.0 ICMP 0 8
Кроме этих основных параметров фильтрации можно добавить еще несколько. Одним из них является сетевой интерфейсисточника; используя имя сетевого интерфейса в качестве параметра фильтрации можно разрешить прохождение пакетов с определенными адресами только от заданного интерфейса
Цель такой процедуры состоит в блокировании атаки, известной как IP спуфинг, суть которой состоит в том, что во внутреннюю сеть посылается пакет с фальшивым адресом источника ( из внутренней сети).При использовании в качестве параметра имени сетевого интерфейса можно легко блокировать этот вид атаки. Например, если внутренняя сеть взаимодействует с межсетевым экраном через интерфейс de0, то необходимо лишь установить в правилах, что пакеты с адресом источника из внутренней сети следует принимать, только если они пришли от данного интерфейса; во всех других случаях они будут отбрасываться.
С учетом нового параметра взятое для примера правило будет иметь следующий формат:
10.1.0.0 & 255.255.0.0 - 10.2.0.0 & 255.255.0.0 <ep0 TCP 80 110 ------- Источник --------- Назначение ----- -Интерф- -Протокол- --Порты--
Это правило устанавливает, что будут приниматься TCP пакеты от хостов из сети 10.1.0.0 к хостам из сети 10.2.0.0, приходящие от интерфейса ep0 и относящиеся к HTTP сервису (порт 80) или POP3 (порт 110).
Создание профилей доступа
Настройку WWW proxy можно рабить на два этапа: сначала создаются универсальные профили доступа, а затем устанавливается соответствие между этими профилями и группами пользователей.
Профили доступа позволяют определить, какие Web страницы доступны для просмотра и какой вид доступа разрешен (например, можно создать профиль, не позволяющий передач файлов через FTP). Можно создавать любое необходимое количество профилей доступа, однако, для использования WWW proxy обязательно должен быть создан хоть один профиль.
Для доступа к окну профилей доступа необходимо:
Выбрать меню Регистрация в главном окне
Выбрать опцию Профиль доступа WWW
Окно профилей доступа WWW
Окно профилей содержит все WWW профили доступа, определенные в межсетевом экране. Оно состоит из списка, в котором каждый профиль показан на отдельной строке.
Кнопка Да закрывает окно профилей.
Кнопка Помощь показывает окно помощи по данному разделу.
Полоса прокрутки с правой стороны используется для просмотра профилей, не уместившихся в окне.
Для выполнения любого действия с конкретным профилем нажмите правой клавишей мыши на этом профиле. Откроется следующее меню (Это меню возникает всегда при нажатии правой клавиши мыши, даже если нет выделенных профилей. В этом случае доступны только опции Добавить и Вставить.):
Добавить: Эта опция позволяет добавить новый профиль в список. Если выделен какой-либо профиль, новый вставляется на место выделенного. Во всех других случаях он добавляется в конец списка.
Удалить: Эта опция удаляет выделенный профиль из списка
Редактировать: Эта опция открывает окно свойств для выделенного профиля.
Копировать: Эта опция копирует выделенный профиль в буфер.
Вырезать: Эта опция удаляет выделенный профиль из списка и копирует его в буфер.
Вставить: Эта опция копирует профиль из буфера в список. Если профиль выделен, новый будет помещен на место выделенного. Во всех прочих случаях он копируется в конец списка.
Указание: Можно получить доступ ко всем этим опциям через инструментальное меню в верхней части окна.
В этом случае сначала выделите профиль, нажав на нем левой клавишей мыши, а затем нажмите необходимую опцию.
Для удаления профиля доступа он не должен использоваться ни одним из пользователей (более подробно об этом см. раздел Редактирование параметров WWW proxy).
В случае добавления или редактирования профилей откроется упомянутое выше окно свойств: Окно свойств для профилей доступа WWW
Это окно состоит из четырех папок: первая определяет общие опции профиля, а другие - опции фильтрации для каждого протокола, который поддерживается WWW (HTTP/HTTPS, FTP и Gopher).
Протокол HTTPS для первоначального URL фильтруется по правилам HTTP протокола. Однако после установления соединения межсетевой экран не может фильтровать по содержимому пакетов, поскольку между клиентом и удаленным сервером данные передаютс в зашифрованном виде.
Общие опции профиля:
В общих опциях профиля определяются следующие поля:
Имя: Имя профиля доступа. Это имя будет фигурировать в списке профилей (показанном выше) и в окне настройки WWW proxy. Не может существовать двух профилей с одинаковыми именами. Разрешить URL с IP адресами:Если эта опция задана, будет разрешен доступ к URLs с IP адресами вместо имен (например, http://127.0.0.1/index.html). Если эта опция не установлена, доступ возможен только к URL, заданным с помощью имен.
Если WWW proxy настроен для фильтрации URLs, то эту опцию задать, чтобы сделать невозможным для пользователей доступ к URLs через IP адреса. Иначе, даже если имена блокированы, пользователь сможет получить доступ к URL через его IP адрес. Можно добавить IP адреса в правила фильтрации профиля (если необходима фильтрация), однако, из-за постоянных изменений IP адресов и тому, что некоторые серверы имеют больше одного IP адреса, это становится чрезвычайно сложным делом.
Блокировать: Это поле определяет специальную фильтрацию для WWW страниц, блокируя (или нет) те характеристики, которые считаются опасными для некоторых систем. Она в свою очередь состоит из трех опций, которые можно установить независимо: Javascript, Java и Active X.
Если какая- либо из этих опций установлена, соответствующие апплеты будут фильтроваться.
Фильтрация Javascript, Java и Active X ведет к тому, что фильтруемая страница выглядит, как будто броузер не поддерживает эти языки. В некоторых случаях это может привести к потере функциональных качеств Web страниц.
Опции фильтрации WWW
Опции фильтрации WWW позволяют определить правила фильтрации URL для протоколов HTTP/HTTPS, FTP и Gopher. Для упрощения определения этих правил фильтрации созданы три папки с одинаковыми форматами, каждая папка предназначена для своего протокола. Чтобы проиллюстрировать создание правил, выберем папку для протокола HTTP. Ее формат показан ниже:
Эта папка состоит из списка, в котором каждое правило показано в отдельной строке. Кроме этой строки, существует поле Действие по умолчанию, в котором можно определить действие, выполняемое, в случае когда адрес, к которому клиент хочет получить доступ, не соответствует никакому правилу фильтрации: если установлена опция разрешать, доступ будет разрешен, если опция не разрешать, межсетевой экран откажет в доступе. Чтобы выполнить любое действие на конкретном правиле, нажмите правой клавишей мыши на этом правиле. Откроется следующее меню (это меню появляется всегда, если нажать правой клавишей мыши, даже если нет выделенных правил. В этом случае будут доступны только опции Добавить и Вставить).
Добавить: Эта опция позволяет добавить новое правило в список. Если выделено какое-либо правило, новое вставляется на место выделенного правила. Во всех других случаях новое правило добавляется в конец списка.
Удалить: Эта опция удаляет выделенное правило из списка.
Редактировать: Эта опция открывает окно редактирования для выделенного правила.
Копировать: Эта опция копирует выделенное правило в буфер.
Вырезать: Эта опция удаляет выделенное правило из списка и копирует его в буфер.
Вставить: Эта опция копирует правило из буфера в список. Если правило выделено, новое будет копироваться на место выделенного.
Во всех других случаях оно копируется в конец списка.
Указание: Ко всем этим опциям можно получить доступ через инструментальнное меню, расположенное над списком. В этом случае сначала выделите правило, нажав на нем левой клавишей мыши, а затем выберите необходимую опцию. Порядок следования правил в списке очень важен. Как только межсетевой экран получает запрос на доступ к некоторому адресу, он просматривает список с самого начала в поисках правила, которому удовлетворяет адрес. Обнаружив его, он начинает выполнять действие, соответствующее этому правилу.
В случае добавления или редактирования правил открывается упомянутое выше окно редактирования: Окно редактирования для WWW правил
В этом окне можно настроить все параметры, связанные с правилом фильтрации для WWW proxy. Для определения правила нужно заполнить следующие поля::
Действие: Определяет действие, которое выполняется для всех адресов, которые соответствуют правилу. Значение пропускать позволяет получить доступ к URL. Значение не пропускать запрещает доступ. Операция: Тип поиска, указанный пользователем, который выполняется с URL. Эта опция содержит следующие варианты выбора:
Содержит: Выражение может находиться в любой позиции.
Не содержит: URL не содержит выражения.
Соответствует: URL должен в точности соответствовать выражению.
Не соответствует: URL должен отличаться от выражения.
Начинается с: URL должен начинаться с выражения.
Не начинается с: URL не должен начинаться с выражения.
Оканчивается: URL должен заканчиваться выражением.
Не оканчивается на: URL не должен заканчиваться выражением.
Текст: Подлежащее поиску выражение. Это поле содержит последовательный текст, который сравнивается с URL в соответствии с правилами, определенными в поле операция. Временная таблица
В этой таблице можно задать часы и дни недели, в течение которых дейтсвует правило. Строки описывают дни недели, колонки - часы. Если правило дожно действовать в определенный час, клетка должна быть заполнена, в противном случае она должна быть пустой.Для облегчения процсса редактирования вы можете, нажав левую кнопку мыши на клетке, вести мышь, не отпуская кнопку. Таблица будет модифицироваться в соответствии с движением мыши
Создание/редактирование хостов
Для регистрации объектов типа "хост" необходимо заполнить следующие поля:
Имя: имя, которое будет использоваться межсетевым экраном для обращаения к данному хосту. Можно указывать это имя вручную или присваивать его автоматически. Опция Сгенерировать имя позволяет выбирать между двумя режимами работы; автоматическим (если она установлена), и ручным
В именах объектов заглавные и строчные буквы различаются. Поэтому возможно существование большого числа объектов, имена которых составлены из одних и тех же букв, но различаются комбинациями их строчного и заглавного написания. Так объекты Aker, AKER и aker считаются различными.
Иконка: это иконка, которая будет ассоциироваться с хостом. Для ее модификации надо нажать на графическое изображение значка. Тогда межсетевой экран покажет список всех возможных значков, представляющих хосты. Для выделения одного из них нужно нажать на его изображение и кнопку Да. Если вы не хотите модифицировать значок, то после просмотра списка достаточно нажать на кнопку Отменить.
IP адрес: IP создаваемого хоста.
Для создания или модификации хоста после заполнения всех полей необходимо щелкнуть на кнопке Да. Для отмены создания хоста или сделанных модификаций щелкните на кнопке Отменить.
Чтобы облегчить правильное создание множества хостов существует кнопка Создать новый (недоступная во время редактирования). Если нажать на эту кнопке, появится форма создания хоста с заполненными полями. Этим способом можно быстро создавать большое число хостов.
Создание / редактирование наборов
Для регистрации объекта типа "набор" необходимо заполнить следующие поля:
Имя: Имя создаваемого набора. Опция Сгенерировать имя позволяет выбирать между двумя режимами работы ввода имени; автоматическим (если она установлена), и ручным
В именах объектов заглавные и строчные буквы различаются. Поэтому возможно существование большого числа объектов, имена которых составлены из одних и тех же букв, но различаются комбинациями их строчного и заглавного написания. Так объекты Aker, AKER и aker считаются различными.
Иконка: Это иконка, которая будет ассоциироваться с набором. Для ее модификации надо нажать на графическое изображение значка. Тогда межсетевой экран покажет список всех возможных значков, представляющих наборы. Для выделения одного из них нужно нажать на его изображение и кнопку Да. Если вы не хотите модифицировать значок, то после просмотра списка достаточно нажать кнопку Отменить.
После заполнения имени и выбора иконки для набора, необходимо определить, какие хосты и сети будут в него входить:
В окне размещаются два списка: верхний список показывает все хосты и сети, определенные в системе. Нижний список показывает, какие из этих хостов и сетей уже принадлежат набору.
В правой стороне окна расположены два значка представляющие два типа объектов, которые можно добавить к набору - хосты и сети. Справа под значками помещается список, в котором можно выделить, следует ли показать на дисплее только хосты или только сети, или сразу оба объекта.
Указание: Для выбора типа объекта можно нажать или на имя типа в списке или на соответствующий значок.
Чтобы добавить хост или сеть к набору, необходимо выполнить следующие действия:
Выберите добавляемый хост или сеть в верхнем списке окна (если необходимо, выбрав сначала соответствующий тип объекта).
Нажмите кнопку Добавить. (только что добавленный объект будет помечен красным значком V для указания, что он теперь принадлежит набору)
Чтобы удалить сеть или хост из набора, необходимо сделать следующее:
Выделить удаляемый хост или сеть из нижнего списка окна.
Нажать кнопку Удалить. (удаляемый объект больше не будет помечен значком V)
Для выполнения процедуры создания набора или его модификации после заполнения всех полей необходимо нажать кнопку Да. Чтобы отменить создание набора или сделанные модификации, надо нажать кнопку Отменить
Чтобы облегчить создание множества наборов существует кнопка Создать новый (недоступная во время редактирования). Если ее нажать, появится форма создания набора с заполненными полями. Этим способом можно быстро создавать большое число наборов.
Создание защищенных каналов
В этой главе показано, как создавать защищенные коммуникационные каналы в Интернет. Эти каналы используются для подключения сетей через Интернет таким способом, чтобы информация, передаваемая через Интернет, была бы надежно защищена от чтения или модификации.
Структура документа
Это руководство состоит из 21 главы и 4 приложений. В каждой главе описывается один из аспектов настройки продукта и общие вопросы по этому разделу.
Все главы начинаются с теоретического введения в рассматриваемый вопрос, за которым следует пояснение специфических аспектов настройки Aker. Кроме того, некоторые главы включают практические примеры ( гипотетические, но близкие к реальности ситуации) использования конфигурируемых сервисов, что позволяет облегчить понимание разнообразных конфигураций.
Чтобы составить общее представление о Руководстве, мы рекомендуем хотя бы раз внимательно прочитать его с начала до конца. А далее, по мере необходимости, им можно пользоваться как справочным руководством (для облегчения использования этого руководства все главы разбиты на отдельные темы-параграфы, указатель на которые дан в основном оглавлении. При такой структуре Руководства любую информацию можно найти быстро и легко).
Иногда в тексте встречается текст, выделенный красным цветом. Это означает, что этот текст очень важено понять перед тем, как продолжить чтение.
Типы аутентификации и алгоритмы шифрования
В настоящее время существуют различные алгоритмы аутентификации и шифрования. В этом разделе будут рассмотрены только те из них, которые поддерживаются межсетевым экраном Aker.
Одним из параметров оценки прочности алгоритма является размер ключа. Чем большее количество бит содержится в ключе, тем больше можно составить всевозможных комбинаций, и тем сильнее, теоретически, данный алгоритм должен противостоять атакам.
Алгоритмы аутентификации:
MD5
это сокращение от Message Digest 5. Этот алгоритм, создан и запатентован RSA Data Security, Inc., но при этом он может быть без ограничений использован для любых приложений. Он применяется для создания электронных подписей со 128 битами в сообщениях любого размера и считается достаточно быстрым и защищенным алгоритмом.
SHA
это сокращение от Secure Hash. Этот алгоритм позволяет генерировать электронные подписи длиной 160 бит для сообщений любого размера. Он считается более защищенным алгоритмом в сравнении с MD5, однако его производительность в среднем на 50% ниже в реализации, используемой в межсетевом экране Aker.
В межсетевом экране Aker используется версия SHA-1, незначительно скорректированная по сравнению с SHA. Тем не менее, в данном руководстве и в административном интерфейсе она всегда будет называться SHA.
Алгоритмы шифрования:
DES
DES - это сокращение от Data Encription Standard, он создан IBM в семидесятых годах и до недавнего времени был принят в качестве стандарта в правительстве США . В аппаратных реализациях этот алгоритм оказывается достаточно быстрым; правда, его скорость недостаточна при программной реализации. Его криптографические ключи имеют фиксированный размер в 56 бит, что считается недостаточным для сегодняшних стандартов. Поэтому для критических приложений предпочтение следует отдавать другим алгоритмам.
Triple DES или 3DES
Алгоритм Triple DES заключается в троекратном применении алгоритма DES с использованием трех различных ключей для одних и тех же данных. Это эквивалентно использованию алгоритма с ключом в 112 бит, что приводит к резкому повышению уровня безопасности по сравнению с DES. Его главным недостатком остается то, что он в два раза медленнее, чем DES (в реализации, используемой межсетевым экраном Aker).
Традиционные proxy сервера
Чтобы хост мог воспользоваться сервисами, поддерживаемыми proxy, он должен знать об их существовании, т.е. должен знать, что вместо соединения с удаленным сервером, ему следует связаться с proxy и послать ему свой запрос.
Многие клиенты умеют работать через proxy сервера (например, большинство существующих броузеров). Чтобы воспользоваться функциональными возможностями proxy, необходимо только настроить программу для работы с ними. Однако не все клиенты могуть работать таким образом. В этих обстоятельствах единственное решение - заменить TCP/IP стек во всех хостах-клиентах, чтобы все соединения прозрачно пересылались на proxy.
Этот подход сопряжен с определенными трудностми, не говоря уже о сложности модификации всех хостов-клиентов; иногда просто не существует способа модификации поддержки TCP/IP , что не дает возможности клиентам этих платформ использовать proxy сервера.
Приведенная ниже схема иллюстрирует основной процесс работы традиционного proxy сервера:
Трансляция и много -
Существуют два различных типа преобразования сетевых адресов: 1-1 и много - 1. Каждый из них обладает своими характерными особенностями. Для улучшения результатов обычно применяют их комбинацию.
1-1
Тип 1-1 - наиболее понятный, но обычно наименее полезный. Он заключается в создании пары адресов с отображением одного зарезервированного адреса в один реальный адрес. В результате различные хосты будут иметь различные адреса трансляции.
Очень существенное ограничение этого типа состоит в невозможности отображения большего количества хостов, чем количество реальных адресов, поскольку они всегда преобразуются по схеме один-в-один. С другой стороны, эта процедура позволяет иметь доступ извне к хостам с зарезервированными адресами.
Много - 1
Преобразование много-в-один, как свидетельствует его название, делает возможным нескольким хостам с зарезервированными адресами использовать один и тот же реальный адрес. Чтобы достичь этой цели, преобразование использует IP-адреса в комбинации с портами (в случае TCP и UDP протоколов) и в комбинации с порядковыми номерами (в случае ICMP). Это отображение производится динамически межсетевым экраном каждый раз, когда устанавливается соединение. Поскольку существует 65535 портов или различных порядковых номеров, то можно осуществить до 65535 одновременных активных соединений, использующих один и тот же адрес.
Единственным ограничением этой технологии является то, что она не позволяет иметь доступ к внутренним хостам снаружи. Все соединения должны инициироваться изнутри.
Трансляция сетевых адресов (NAT)
Я получаю сообщения о том, что заполнена таблица трансляции для TCP (или UDP) протокола; однако, при просмотре окна активных соединений видно, что число активных соединений в данный момент заметно меньше максимально допустимого значения, установленного в системе. В чем тут дело?
Дело в том, что транслятор сетевых адресов считает активными те соединения, которые еще не достигли тайм-аута (устновленного в окне настройки параметров), независимо от того, были ли эти соединения закрыты или нет.
Предположим, что тайм-аут составляет 900 секунд (предустановленное значение). Тогда это означает, что все соединения, установленные в течение последних 15 минут, содержаться удерживаться в таблице трансляции. Некоторые протоколы, такие как HTTP, используют большое число небольших соединений для передачи данных, и в связи с этим они могут явиться причиной того, что таблица соединений транслятора адресов будет заполнена явно меньшим числом соединений, чем ожидалось.
Решение этой проблемы состоит в том, чтобы увеличивать максимальное число соединений до тех пор, пока не будет найдено значение, при котором не будут генерироваться данные сообщения.
Когда я пользуюсь транслятором сетевых адресов межсетевого экрана Aker с FTP, на дисплее появляются два соединения к одному и тому же хосту назначения, одно с моего хоста, а другое с межсетевого экрана. В чем дело?
Это нормальное поведение транслятора сетевых адресов в отношении FTP протокола. На дисплее соединения всегда появляются парами, что продемонстрировано ниже на примере (предположим, что межсетевой экран имеет IP адрес 200.239.39.1):
10.0.0.1 1078 aaa.bbb.ccc.ddd 21
200.239.39.1 1040 aaa.bbb.ccc.ddd 21
Два соединения появляются на дисплее потому, что FTP соединение клиента прозрачно перенаправляется FTP proxy, запущенному на межсетевом экране, и этот proxy устанавливает соединение в направлении необходимого сервера. Такое происходит только в отношении контрольного канала FTP. Канал передачи данных, так же как и соединения других протоколов, проходит через обычный транслятор сетевых адресов, запущенный внутри ядра.
Как только я добавляю хост в серверную таблицу трансляции, все инициированные таким хостом соединения имеют адрес источника св соответствии с таблицей, кроме FTP соединений, которые имеют в качестве адреса источника глобальный виртуальный адрес. Что я делаю неправильно?
Ничего. Все FTP соединения автоматически перенаправляются локальному proxy, и поэтому, в качестве виртуальный IP адрес является их адресом источника. Этот процесс происходит независимо от того, имеет ли хост свой IP адрес в серверной таблице трансляции или нет.
Требования к аппаратному и программному обеспечению
Межсетевой экран Aker 3.01 работает под управлением операционной системы FreeBSD, версий 2.2.5 или 2.2.6, на платформах Intel или совместимых с ней. Поскольку система FreeBSD является бесплатной, она поставляется вместе с дистрибутивом межсетевого экрана Aker. Таким образом, все необходимое для его инсталляциии Aker находится на его дистрибутиве.
Список аппаратных средств, необходимых для стабильной работы межсетевого экрана Aker, приведен ниже (все компоненты аппаратного обеспечения должны поддерживаться ОС FreeBSD версий 2.2.5 или 2.2.6)
Компьютер 486 DX2-66 или совместимый с ним.
При использовании высокоскоростного канала или на быстром канале криптографии Вам необходим компьютер PentiumTM или совместимый с ним
16 Мбайт ОЗУ
Если Вы хотите использовать большое количество сервисов, Вам может понадобиться память объемом 48 или 64 Мбайт.
Дисковая память 500 Мбайт
Если вы хотите сохранить статистику (журналы) системы в течение длительного периода, вам может понадобиться большее дисковое пространство.
Монитор
Он необходим только во время инсталлции, но мы рекомендуем иметь его всегда.
Сетевой адаптер(ы)
Максимальное число сетевых адаптеров ограничивается только аппаратными возможностями компьютера. Если требуется большое число сетевых интерфейсов, можно использовать адаптеры с несколькими портами. Ниже приведен список адаптеров, поддерживаемых версией FreeBSD 2.2.5:
Ответственность за представленный ниже список аппаратного обеспечения несет непосредственно FreeBSD. Aker Consultancy и Informatique не несет ответственности за правильность этого списка, включенного сюда только для информации. Перед приобретением сетевого адаптера проверьте, поддерживается ли он операционной системой.
Allied-Telesis AT1700 and RE2000 cards
SMC Elite 16 WD8013 Ethernet interface, and most other WD8003E, WD8003EBT, WD8003W, WD8013W,
WD8003S, WD8003SBT and WD8013EBT based clones. SMC Elite Ultra is also supported.
DEC EtherWORKS III NICs (DE203, DE204, and DE205)
DEC EtherWORKS II NICs (DE200, DE201, DE202, and DE422)
DEC DC21040/DC21041/DC21140 based NICs:
ASUS PCI-L101-TB
Accton ENI1203
Cogent EM960PCI
Compex CPXPCI/32C
D-Link DE-530
DEC DE435
Danpex EN-9400P3
JCIS Condor JC1260
Linksys EtherPCI
Mylex LNP101
SMC EtherPower 10/100 (Model 9332)
SMC EtherPower (Model 8432)
SMC EtherPower (2)
Zynx ZX342
DEC FDDI (DEFPA/DEFEA) NICs
Fujitsu FMV-181 and FMV-182
Fujitsu MB86960A/MB86965A
Intel EtherExpress
Intel EtherExpress Pro/100B 100Mbit.
Isolan AT 4141-0 (16 bit)
Isolink 4110 (8 bit)
Novell NE1000, NE2000, and NE2100 ethernet interface.
3Com 3C501 cards
3Com 3C503 Etherlink II
3Com 3c505 Etherlink/+
3Com 3C507 Etherlink 16/TP
3Com 3C509, 3C579, 3C589 (PCMCIA) Etherlink III
3Com 3C590, 3C595 Etherlink III
3Com PCMCIA Etherlink III (aka 3c589)(A-C only)
HP PC Lan Plus (27247B and 27252A)
Toshiba ethernet cards
PCMCIA ethernet cards from IBM and National Semiconductor are also supported.
3 1/2 inches drive
3 1/2 дюймовый дисковод
Необходим только во время инсталляции.
Перед приобретением любого устройства необходимо убедиться, что он поддерживается используемой в межсетевом экране версией FreeBSD.
Более полную информацию по поддерживаемым FreeBSD устройствам можно получить :
http://www.freebsd.org, http:/www2.ru.freebsd.org или их зеркалах
Aker Consultancy и Informatique и Релком-Альфа не будут нести ответственности за любую проблему c настройкой, эксплуатацией, совместимостью, связанными с операционной системой FreeBSD.
Удаление агента аутентификации для NT
Для упрощения процесса удаления агента аутентификации существует утилита, которая делает это автоматически. Для ее запуска нажмите меню Start, выделите группу Aker Firewall, и в этой группе опцию Remove authentication agent. Откроется следующее окно:
Для удаления агента нажмите кнопку Yes, для отмены удаления - кнопку No.
Удаленное администрирование
Я пользуюсь удаленным администрированием через Интернет. Существует ли риск того, что мой пароль будет перехвачен?
Нет. Пароль пользователя никогда не посылается через сеть в незашифрованном виде. Метод аутентификации основан на вызовах - ответах, по которым межсетевой экран может аутентифицировать пользователя без получения его пароля, а удаленный интерфейс способен аутентифицировать межсетевой экран.
Я потерял пароль единственного администратора, зарегистрированного в системе. Существует ли способ его восстановления?
Не существует доступного способа восстановления утерянного пароля. Тем не менее, можно использовать локальный модуль администрирования пользователями, чтобы создать другого администратора или заменить пароль существующего администратора на известный пароль. Локальный модуль может быть запущен командой /etc/firewall/fwadmin от имени пользователя root
Установка агента аутентификации в Windows NT
Установка агента аутентификации в Windows NT очень проста. Для этого нужно смонтировать CD диск Aker Firewall 3.01 на хосте назначения или скопировать содержимое каталога с инсталлированным агентом из CD в какой-либо временный каталог в этом хосте.
Затем надо нажать меню Start, выделить в нем оцию Run и ввести с клавиатуры в поле Open следующую команду: D:\agent\NT\install (если CD диск смонтирован на устройство, отличное от D, замените D соответствующей буквой).
Программа сначала откроет окно, в котором следует подтвердить необходимость инсталляции. Для этого на вопрос о продолжении инсталляции надо ответить Yes. В этом случае появится следующее окно:
Окно параметров инсталляции агента для Windows NT
В поле Simultaneous firewalls нужно ввести число межсетевых экранов, которые будут одновременно использовать аутентификатор (это число отлично от 1 только в случае, если число межсетевых экранов в сети, которые используют для аутентификации одного и того же агента, больше 1).
Опция Start agent automatically on boot позволяет автоматически запускать агента при каждом перезапуске хоста. Если эта опция установлена, агент должен запускаться вручную.
После заполнения всех значений необходимо нажать кнопку Next. Процедура инсталляции включает следующие действия: создание каталога с файлами агента и именем fwntaa, создание группы под названием Aker Firewall с опциями для настройки и удаления агента, и создание сервиса, называемого Aker Firewall Authentication agent. Этот сервис является обычным сервисом Windows NT, его можно остановить или запустить через Control Panal , опция сервисы.
Агент аутентификации слушает запросы на порту 1021/TCP. Во время работы агента не должно быть других приложений, использующих этот порт.
Важные замечания по работе агента для NT
Следует остановиться на двух важных моментах, связанных с правильным функционированием агента аутентификации для Windows NT:
Необходимо, чтобы все пользователи, которые будут аутентифицироваться, имели полномочие Log on Locally на сервере, на котором запущен агент. Для проверки выполните следующие шаги:
Запустите User Manager for Domain. В нем выберите меню Policies и выделите опцию User Rights.
Выберите опцию Log on locally и добавьте все группы или пользователей, которые будут проходить аутентификацию. Для упрощения процедуры можно использовать группу Everyone.
Опция User must change password at next logon не должна быть установлена, в противном случае пользователь не сможет пройти аутентификацию
Восстановление с резервной копии
Эта опция позволяет восстановить с резервной копии полной конфигурации межетевого экрана.
Для восстановления с резервной копии надо сделать следующее::
Выбрать меню Средства в главном окне
Выбрать опцию Восстановление
Окно восстановления с резервной копии:
Это окно позволяет выбрать имя файла, из которого восстанавливается конфигурация. После указания имени межсетевой экран читает все содержимое файла, проверяет правильность его содержимого и в случае отсутствя каких-либо ошибок открывается следующее окно (если в файле есть ошибки, будет показано сообщение об ошибке]:
В верхней части окна находится описание резервной копии, которое было сделано при ее сохранении. В середине окна приводятся краткая информация по восстанавливаемой конфигурации.
Кнопка Восстановить восстанавливает копию и немедленно обновляет конфигурацию межсетевого экрана.
Кнопка Закрыть закрывает окно без восстановления с резервной копии.
Кнопка Помощь открывает окно помощи по данному разделу
Восстановление в случае аварии
В случае потери данных необходимо сделать следующее:
В случае потери конфигурационных данных или файлов статистики и событий достаточно восстановить одну из упомянутых выше копий.
Важно убедиться, что ни один из процессов обработки межсетевого экрана Aker не запущен в момент восстановления файлов. Для этого перезапустите хост в однопользовательский режим ( это можно сделать, используя опцию -s команды boot при загрузке операционной системы boot:) или "убейте " все запущенные в межсетевом экране процессы (это можно сделать с помощью команды kill `ps -ax | grep fw | grep -v grep | cut -c 1-5`).
Для восстановления с резервной копии, сделанной с помощью команды tar, необходимо выполнить следующую последовательность команд (команды должны выполняться пользователем root):
cd /
tar xvfz /conf.tgz
(восстанавливает конфигурационные файлы)
tar xvfz /log.tgz
(восстанавливает файлы статистики и событий)
Если произошла потеря всей информации, сначала необходимо проверить, цела ли операционная система. В случае каких-либо сомнений инсталлируйте заново FreeBSD. После этого инсталлируйте межсетевой экран Aker, используя все процедуры, описанные в главе 1 Инсталляция . Когда все заработает, восстановите резервные копии конфигурационных файлов и файлов статистики и событий, как показано выше.
Выполняемые программы
Программы, которые могут использоваться администраторами межсетевого экрана Aker
/etc/firewall/fwadmin - интерфейс командной строки для администрирования пользователей
/etc/firewall/fwacao - интерфейс командной строки для настройки реакции системы
/etc/firewall/fwchave - интерфейс командной строки для определения ключа активизации системы
/etc/firewall/fwconex - интерфейс командной строки для доступа к активным соединениям
/etc/firewall/fwconver - интерфейс командной строки для настройки трансляции адресов
/etc/firewall/fwcripto - интерфейс командной строки для настройки защищенных каналов
/etc/firewall/fwent - интерфейс командной строки для создания объектов
/etc/firewall/fwflood - интерфейс командной строки для настройки защиты от SYN атак
/etc/firewall/fwlog - интерфейс командной строки для доступа к файлам статистики и событий
/etc/firewall/fwpar - интерфейс командной строки для настройки общих параметров
/etc/firewall/fwregra - интерфейс командной строки для настройки пакетного фильтра
/etc/firewall/fwupgrade - Утилита для конвертирования конфигурационных файлов межсетевого экрана Aker версии 3.0 в формат версии 3.01
Программы, которые НЕ МОГУТ напрямую использоваться администратором
/kernel - модифицированное ядро операционной системы с межсетевым экраном Aker
/usr/sbin/syslogd - модифицированный syslog демон для межсетевого экрана Aker
/etc/firewall/fwauthd - сервер аутентификации пользователей
/etc/firewall/fwconfd - коммуникационный сервер для удаленных интерфейсов
/etc/firewall/fwdnsd - сервер разрешения имен для удаленных интерфейсов
/etc/firewall/fwinit - программа инициализации межсетевого экрана Aker
/etc/firewall/fwftppd - FTP proxy для трансляции адресов
/etc/firewall/fwhttppd - непрозрачный WWW proxy
/etc/firewall/fwresolv - клиент разрешения имен для удаленных интерфейсов
/etc/firewall/fwtrap - модуль для посылки SNMP прерываний
/etc/firewall/fwsmtppd - прозрачный SMTP proxy
/etc/firewall/fwsrvlog - сервер статистики и событий
/etc/firewall/fwsyncd - сервер, отвечающий за генерацию ключа и синхронизацию
/etc/firewall/fwtelnetd - прозрачный Telnet proxy
/etc/firewall/snmpd - SNMP агент
Записи пакетного фильтра или криптографического модуля
Любая запись может появляться с предшествующим ей специальным сообщением. Полный список всех возможных сообщений и их смысл приводится в Приложении А.
TCP протокол
Формат записей :
<Date> <Time> - <(Repetition)> <Action TCP> <(Status)>
<Source IP> <Souce port> <Destination IP> <Destination port>
<Flags ><Interface>
Описание полей:
Date: Дата создания записи.
Time: Время создания записи.
(Repetition): Число последовательных повторов записи. Это поле указывается в скобках.
(Status): Это поле указывается в скобках и состоит из одного из трех независимых символов, означающих:
A: Аутентифицированный пакет
E: Зашифрованный пакет
S: Пакет использует обмен ключей через SKIP протокол
Action: Поле описывает действие системы в отношении пакета. Возможны следующие значения: A:Пакет был пропущен межсетевым экраном.
D: Пакет был блокирован.
R: Пакет был отброшен.
Source IP: IP адрес источника пакета.
Source port: Номер порта источника пакета.
Destination IP : IP адрес назначения пакета.
Destination port: Номер порта назначения пакета.
Flags: Флаги TCP протокола, присутствующие в пакете. Это поле содержит один из шести независимых символов. Наличие символа показывает наличие соответствующего флага в пакете. Символы имеют следующие значения: S: SYN
F: FIN
A: ACK
P: PUSH
R: RST (Reset)
U: URG (Urgent Pointer)
Interface: Сетевой интерфейс, из которого прибыл пакет.
Примеры:
01/01/1970 12:00:00 - (02) D TCP 10.0.0.1 1024 10.4.1.1 23 S de0 Source routed IP packet 01/01/1970 12:00:02 - (02) D TCP 10.0.0.1 1024 10.4.1.1 23 S de0
UDP протокол
Формат записи:
<Date> <Time> - <(Repetition)> <Action TCP> <(Status)>
<Source IP> <Souce port> <Destination IP> <Destination port>
<Interface>
Описание полей:
Date: Дата создания записи.
Time:Время создания записи.
(Repetition): Число последовательных повторов записи. Это поле указывается в скобках.
(Status):Это поле указывается в скобках и состоит из одного из трех независимых символов, означающих: A: Аутентифицированный пакет
E: Зашифрованный пакет
S: Пакет использует обмен ключей через SKIP протокол
Action: Поле описывает действие системы в отношении пакета. Возможны следующие значения: A: Пакет был пропущен межсетевым экраном.
D:Пакет был блокирован
R: Пакет был отброшен
Source IP: IP адрес источника пакета.
Source port: Номер порта источника пакета.
Destination IP : IP адрес назначения пакета.
Destination port: Номер порта назначения пакета.
Interface: Сетевой интерфейс, из которого прибыл пакет.
Примеры:
01/01/1970 14:09:23 - (02) A UDP 10.5.1.1 1024 10.2.2.1 53 de1
Packet was received from an invalid interface
01/01/1970 14:10:02 - (02) D UDP 10.0.0.1 1024 10.4.1.1 23 de0
ICMP протокол
Формат записи:
<Date> <Time> - <(Repetition)> <Action> ICMP <(Status)>
<Source IP> <Destination IP> <Type of Service> <Interface>
Описание полей:
Date: Дата создания записи.
Time: Время создания записи.
(Repetition):Число последовательных повторов записи. Это поле указывается в скобках.
(Status): Это поле указывается в скобках и состоит из одного из трех независимых символов, означающих: A: Аутентифицированный пакет.
E: Зашифрованный пакет.
S: Пакет использует обмен ключей через SKIP протокол.
Action:Поле описывает действие системы в отношении пакета. Возможны следующие значения: A: Пакет был пропущен межсетевым экраном.
D: Пакет был блокирован.
R:Пакет был отброшен.
Source IP: IP адрес источника пакета.
Destination IP : Номер порта источника пакета.
Type of Service:Тип ICMP сервиса пакета.
Interface: Сетевой интерфейс, из которого прибыл пакет.
Примеры:
01/01/1970 14:09:23 - (01) A ICMP 10.5.1.1 10.2.2.1 8 de0
01/01/1970 14:09:24 - (01) A ICMP 10.2.2.1 10.5.1.1 0 de1
Другие протоколы
Формат записи:
<Date> <Time> - <(Repetition)> <Action> <Protocol>
<(Status)> <Source IP> <Destination IP> <Interface>
Описание полей:
Date:Дата создания записи.
Time: Время создания записи.
(Repetition): Число последовательных повторов записи. Это поле указывается в скобках.
(Status): Это поле указывается в скобках и состоит из одного из трех независимых символов, означающих: A: Аутентифицированный пакет.
E: Зашифрованный пакет.
S: Пакет использует обмен ключей через SKIP протокол.
Action: Поле описывает действие системы в отношении пакета. Возможны следующие значения: A: Пакет был пропущен межсетевым экраном.
D: Пакет был блокирован.
R: Пакет был отброшен.
Protocol: Имя протокола пакета. (Если межсетевой экран не может найти имя протокола, вместо него будет указан его номер.)
Source IP: IP адрес источника пакета.
Destination IP : IP адрес назначения пакета.
Interface: Сетевой интерфейс, из которого прибыл пакет.
Примеры:
01/01/1970 17:19:43 - (01) A EGP 10.5.1.1 10.2.2.1 de1
01/01/1970 18:39:24 - (01) D 57 10.2.2.1 10.5.1.1 de0
Запуск агента аутентификации
При запуске агента аутентификации можно использовать следующие параметры:
fwagaut [-?] [-c FILE_NAME] [-s <0-7] [-q] Где: -? показывает данное сообщение -c указывает имя файла конфигурации -s указывает syslog facility сообщений аутентификатора 0 = local0, 1 = local1, ... -q не показывать никаких сообщений на запуске
Предположим, что агент установлен в каталог /usr/local/bin, а файл конфигурации создан с именем /usr/local/etc/fwagaut.cfg. В этом случае для запуска агента нужно набрать команду:
/usr/local/bin/fwagaut -c /usr/local/etc/fwagaut.cfg
Если используется файл конфигурации по умолчанию, не нужно использовать опцию -с, а сразу набрать команду:
/usr/local/bin/fwagaut
Агент аутентификации должен запускаться пользователем root.
Если в конфигурационном файле сделаны какие-либо модификации, необходимо заново инициализировать агента, если он запущен. Чтобы это сделать, выполните следующую команду:
#kill -1 pid
Гдe pid - номер процесса агента аутентификации. Для выяснения этого номера можно использовать команду
#ps -ax | grep fwagaut на BSD системах, или
#ps -ef | grep fwagaut на SystemV системах.
Агент аутентификации слушает запросы на порту 1021/TCP. Во время работы агента не должно быть других приложений, использующих этот порт.
Если желательно стартовать агента аутентификации при каждом перезапуске хоста, необходимую строку можно вставлять в любые файлы инициализации. Имена этих файлов зависят от типа Unix системы. За более подробной информацией обращайтесь к руководству по Unix.
Запуск удаленного интерфейса
Для запуска графического интерфейса вы должны выполнить следующие действия:
Выберите меню Пуск , в нем группу Aker Firewall , внутри нее нажмите кнопкуAker Firewall 3.01
Вы увидите следующее окно:
Показанное выше окно является главным окном межсетевого экрана Aker, из которого доступы все опции настройки. Оно состоит из 7 меню, которые описываются ниже:
Соединение
Меню Соединение содержит опции, касающиеся установления соединений и управления пользователями.
Регистрация
Это меню содержит опции, необходимые для регистрации объектов, используемых в других частях межсетевого экрана. Их описание будет приведено ниже.
Настройка
Меню Настройка содержит все конфигурационные параметры межсетевого экрана за исключением опций настройки proxy серверов и регистрации профилей объектов и доступа. Их описание будет приведено ниже.
Сервера
Меню Сервера позволяет изменять параметры прозрачных и непрозрачных proxy-серверов межсетевого экрана.
Вид
Меню Вид содержит опции, позволяющие администратору контролировать работу межсетевого экрана.
Средства
Это меню позволяет настраивать допонительные функции управления межсетевого экрана. Его опции будут рассмотрены ниже в главе 20 Использование средств графического интерфейса.
Помощь
Меню Помощь предназначено для доступа к описанию системы Aker и подсказок по работе с ним.
В самом начале все опции в меню недоступны за исключением опций Соединениеt и Выход в меню Соединение и опций Помощь и Об Aker в меню Помощь. Для доступа к основным опциям необходимо установить удаленную сессию с межсетевым экраном, администрированием которго Вы хотите заняться. Вы должны выполнить следующие действия:
Выберите меню Соединение в главном окне
Выберите опцию Соединение
Окно меню Соединение
После выбора опции Соединение появится следующее окно:
В поле Удаленное соединение необходимо ввести IP адрес или имя хоста, который необходимо администрировать, в поле Регистрационное имя - имя пользователя, в поле Пароль - пароль пользователя ( на экране пароль будет высвечиваться в виде звездочек "*").
После заполнения всех полей нажмите клавишу Да для установления соединения.
Если все в порядке, через несколько секунд будет установлено соединение, и менеджер сможет выполнить все необходимые операции. В этом случае появится окно, содержащее все данные о соединении. Если вам не удается установить соединение, на экране появится окно с указанием ошибки. В этом случае возможен целый ряд сообщений. Приведем список наиболее частых сообщений : Aker управляется через другой интерфейс Aker позволяет проводить только одну удаленную сессию одновременно. Если такое сообщение появилось, это означает, что с межсетевым экраном уже установлено удаленное соединение или на нем используется локальный модуль управления.
Ошибка разрешения имени
Это сообщение означает, что не удается разрешить имя запрашиваемого хоста в DNS. Убедитесь, что имя написано правильно и DNS на машине, откуда устанавливатся удаленное соединение, настроен.
Сетевая ошибка или соединение закрыто сервером
Эта общая ошибка может порождаться рядом причин. Наиболее общей причиной является неправильный ввод с клавиатуры имени пользователя или пароля. Если пользователь не зарегистрирован в системе или пароль неверен, сервер оборвет соединение. Убедитесь, что ваше имя и пароль введены правильно. В случае, если ошибка еще останется, проделайте следующие действия:
Убедитесь, что процесс, отвечающий за удаленное соединение, запущен на межсетевом экране (откройте окно с интерпретатором shell на межсетевом экране и наберите команду #ps -ax | grep fwconfd | grep -v grep. Если появится строка, содержащая слово fwconfd, необходимый процесс запущен, если нет - наберите команду #/etc/firewall/fwconfd от имени root и попытайтесь установить новое соединение.
Проверьте, зарегистрирован ли в системе пользователь, пытающийся установить соединение, и правилен ли его пароль (чтобы это сделать, воспользуйтесь локальным модулем управления. Загляните в главу 6 Пакетный фильтр с контролем состояния).
Проверьте правильность работы сети. Одним из способов сделать это является использование команды ping( не забудьте прописать на межсетевом экране правило, разрешающее использование ICMP ECHO-REQUEST и ECHO-REPLAY сервисов для тестируемого хоста.Чтобы узнать, как это делается, смотрите главу 6 Пакетный фильтр с контролем состояния). Если сеть все-таки не работает, значит в ней есть проблемы и их надо устранить перед тем как пытаться установить удаленное управление. Если сеть работает, переходите к следующему пункту.
Просмотрите, прописано ли правило, разрешающее доступ с хоста, с которого вы хотите установить соединение с межсетевым экраном (TCP, порт 1020). Если такого правила нет, создайте его (чтобы узнать, как это делается, смотрите главу 6 Пакетный фильтр с контролем состояния).
Защита от SYN атак
В этой главе показано, как настраивать в межсетевом экране Aker защиту от SYN атак.
Завершение удаленного управления
Существуют два пути завершения удаленного управления: закрытие сессии или окончание работы удаленного графического интерфейса.
Для завершения сессии необходимо проделать следующие шаги:
Выберите меню Соединение в главном окне
Выберите опцию Выход
Будет открыто следующее окно, содержащее запрос о подтверждении конца сеанса:
Нажмите Да для окончания сессии или Нет для ее сохранения.
Для окончания работы программы Вам необходимо:
Выберите меню Сессии в главном окне
Выберите опцию Выход
Если сессия установлена, программа запросит подтверждение на ее завершение. Вам необходимо нажать Да для закрытия сессии и выхода из программы или Нет для ее сохранения. Если активных сессий больше нет, программа завершит работу без последующего подтверждения.
Значения полей в окне активных соединений
Каждая строка списка активных соединений представляет одно соединение. Поля имеют следующие значения:
IP адрес источника: IP адрес хоста, который инициирует соединение.
Порт источника: Порт, используемый хостом источника для данного соединения.
IP адрес назначения: IP адрес хоста, с которым установлено соединение.
Порт назначения: Порт, с которым установлено соединение. Этот порт обычно соответствует определенному сервису.
Старт: Время образования соединения.
Занят: Период неактивности соединения ( в минутах и секундах).
Текущее состояние: Это поле выводится на дисплей только в случае TCP соединений. Оно представляет состояние соединения в момент вывода на экран. Поле может состоять из следующих значений:
SYN послан: Указывает, что пакет с запросом о соединении был послан (пакет с SYN-флагом), но сервер еще не ответил на него.
Обмен SYN : указывает, что был послан пакет с запросом о соединении и получен ответ сервера с подтверждением об установлении соединения.
Установлено: Указывает, что соединение установлено.
Слушает порт: Указывает, что сервер слушает данный порт (listen) в ожидании соединения от клиента. Подобное состояние возникает только для соединений передачи данных в FTP сессии.