!Важно: Крайне рекомендуется строить наборы AP-правил с уменьшением конкретики, т. е. определять более точные AP-правила под меньшими порядковыми номерами, чтобы исключить «досрочный уход» от рассмотрения на соответствие.
!Важно: Необходимо указывать «глобальное» AP-правило последним в таблице AP-правил. Иначе: если оно не будет указано, то пакет, не попадающий ни под одно из AP-правил (и разрешающих, и запрещающих), свободно пройдёт на выходные интерфейсы.
Рис. 2.4. Схема движения пакета в наборах правил фильтрации ССПТ-2.
3 Гибкая фильтрация трафика протоколов прикладного уровня средствами МЭ ССПТ-2
В этом разделе будут рассмотрены особенности фильтрации трафика на примере некоторых протоколов прикладного уровня стека TCP/IP. Для этого используются так называемые прикладные правила (AP). Для их использования перед началом работы необходимо убедиться в правильности настроек МЭ для работы с прикладными правилами, для этого необходимо проверить и при необходимости включить соответствующие режимы (см. табл. 3.1).
Таблица 3.1. Настройка конфигурации МЭ для работы с AP-правилами.
Режим | Web-интерфейс | Интерфейс командной строки | |||
Имя строки раздела | Состояние режима | Команда проверки | Значение | Команда включения | |
Режим сессий | Управление сессиями | Включено | session show | 1 | session enable |
Режим прикладных правил | Использование прикладных правил | Включено | session show | 1 | session ap enable |
Режим создания сессий для IP-правил по умолчанию | Создание сессий для IP-правил по умолчанию | Включено | session show | 1 | session ip enable |
Настройка экрана может производиться как с помощью интерфейса командной строки, так и WEB-интерфейса. Сами правила фильтрации будут приводиться в текстовом формате.
3.1 Фильтрация трафика протокола HTTP
Рассмотрим несколько наиболее общих типовых задач.
Сразу следует отметить, что практически всегда необходимо добавлять правило, разрешающее доступ к серверам и сервисам DNS (Domain Name Service). Это правило нужно для обеспечения корректной работы веб-браузера: только с помощью DNS возможно установление соответствия между символическими именами Интернет-ресурсов и IP-адресами. Если его не будет в создаваемом наборе, то доступ к WEB-сайту можно будет получить только по IP-адресу.
ip:1:accept:nolog:1:0:0:udp:any:any:any:53:any:any:any:any:any:any:active:for_dns_all:any:defses:deftout:noapr:noalarm
3.1.1 Обеспечение доступа к WEB-сайтам (пропуск трафика протокола HTTP)
Задача - обеспечить доступ к WEB-сайтам по протоколу HTTP, при этом доступ по другим протоколам прикладного уровня должен быть заблокирован.
Принцип фильтрации и алгоритм работы:
Фильтрация производится по совокупности признаков фильтрации:
· по номеру порта на транспортном уровне:
80/TCP - основной порт HTTP.
· по заголовку протокола HTTP, идентифицируемому МЭ на уровне прикладного протокола.
Замечание: По умолчанию, WEB-серверы открывают для ожидания соединения предопределённый порт 80 протокола TCP. В данном документе создаваемые правила содержат только этот идентификатор. Однако, не исключено использование альтернативных портов для работы с HTTP. В таком случае от администратора безопасности требуется дополнительное исследование трафика на выявление используемого идентификатора порта. В качестве альтернативных портов для HTTP наиболее часто используются 8080, 3128, 8088, 8000, 1900, 3132 и др.
Настройка МЭ.
1. Глобальные правила следует настроить в зависимости от используемой политики безопасности:
1.1. «всё что не разрешено – запрещено»:
mac:0:accept:nolog
arp:0:accept:nolog
ip:0:drop:nolog
ipx:0:drop:nolog
Данный подход является предпочтительным.
1.2. «всё что не запрещено – разрешено»:
mac:0:accept:nolog
arp:0:accept:nolog
ip:0:accept:nolog
ipx:0:accept:nolog
2. Необходимо добавить два AP-правила:
2.1. Правило для пропуска HTTP-трафика.
ap:10:accept:nolog:http::any:any:active:http_all:noalarm
2.2. Правило для блокирования трафика любого другого прикладного протокола, кроме HTTP.
ap:65530:drop:nolog:any::any:any:active:drop_all:noalarm
3. Необходимо добавить IP-правило для пропуска TCP-пакетов. Это правило необходимо для организации фильтрации совместно с правилами прикладного уровня (этим обеспечивается создание сессии и привязка к прикладным правилам). Оно должно работать на пропуск пакетов на следующий уровень обработки (действие accept) и содержать номера созданных ранее прикладных правил (в данном примере это номера 10, 65530) в соответствующем поле. То есть необходимо «привязать» прикладные правила к IP правилу.
ip:10:accept:nolog:1:0:0:tcp:any:any:any:80:any:any:any:any:any:any:active:for_http_all:any:defses:deftout:10,65530:noalarm
Данное IP правило разрешает прохождение пакетов от любого IP адреса источника, с любого клиентского порта на любой IP получателя на 80 порт. Это показывает выделенный фрагмент правила «:any:any:any:80:» ,который представляет собой последовательность значений четырех параметров, первые три из которых по умолчанию заданы ключевым словом «any» («любой»), а четвёртый содержит значение идентификатора порта HTTP:
· <ip_источника>,
· <идентификатор_порта_источника>,
· <ip_приемника>,
· <идентификатор_порта_приемника>.
Каждый из этих параметров может быть задан значением, перечислением или диапазоном, это разрешающее правило более конкретным.
4. Работа по созданию набора правил фильтрации завершена.
Список правил для пропуска протокола HTTP представлен ниже в таблице 3.2.
Результат | Правило |
Передача TCP-пакетов на прикладной уровень | ip:10:accept:nolog:1:0:0:tcp:any:any:any:80:any:any:any:any:any:any:active:for_http_all:any:defses:deftout:10,65530:noalarm |
Пропуск http | ap:10:accept:nolog:http::any:any:active:http_all:noalarm |
Блокировка трафика других приложений | ap:65530:drop:nolog:any::any:any:active:drop_all:noalarm |
3.1.2 Обеспечение доступа к веб-сайтам из «белого списка»
Задача - обеспечить доступ к WEB-сайтам «белого списка», при этом доступ к WEB-сайтам, не включенным в список, будет блокирован.
Принцип фильтрации и алгоритм работы
Фильтрация производится по совокупности признаков фильтрации:
· по идентификаторам портов на транспортном уровне,
· по заголовку протокола http, идентифицируемому межсетевым экраном, на уровне прикладных данных,
· имени (или фрагменту имени) сайта, находящегося в белом списке на уровне прикладных данных
Настройка МЭ проводится аналогично 3.1.1.
1. В соответствии с политикой настраиваются глобальные правила, предпочтительным является подход
«всё что не разрешено – запрещено»
Отличие заключается в АР - правилах
2. Необходимо добавить несколько AP-правил:
2.1. Правила для организации доступа к WEB-сайтам «белого списка». Если число таких сайтов невелико – для каждого сайта создаётся отдельное AP-правило, в котором параметр host содержит соответствующее доменное имя.. Например, для «белого списка», включающего в себя сайты www. , www. ya. ru, vkontakte. ru, www. rambler. ru будет создан следующий набор:
ap:50:accept:nolog:http:host=www.google.com:any:from-client:active::noalarm
ap:51:accept:nolog:http:host=www.ya.ru:any:from-client:active:ya. ru:noalarm
ap:52:accept:nolog:http:host=vkontakte.ru:any:from-client:active:vkontakte. ru:noalarm
ap:53:accept:nolog:http:host=*.rambler.ru:any:from-client:active:rambler. ru:noalarm
Альтернативным вариантом написания при создании данных правил является перечисление имён сайтов через запятую в одном правиле. Такой подход наиболее эффективен, когда «белый список» содержит большое число имён. Следует учитывать, что общая длина перечисленных имён сайтов в каждом правиле не может превышать 250 символов:
ap:55:accept:nolog:http:host=www.google.ru,ya.ru,www.ya.ru,vkontakte.ru,bash.org.ru,*rambler.ru,hh.ru,notabenoid.com,stopgame.ru,youtube.ru,rutube.ru,maddyblog.ru,www.freeproxy.ru,mail.ru,caramba.tv,spasiboeva.ru,ibash.org.ru,nevid.ru,eztv.it,lostfilm.tv,rutracker.org:any:from-client:active:false:noalarm
Синтаксис написания имён сайтов подробно рассмотрен в руководстве администратора [1].
2.2. Правило для блокирования прочего трафика прикладных протоколов
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 |
