Прозрачные proxy сервера

Aker представляет новую концепцию межсетевого экрана, использующего прозрачные proxy сервера. Их можно использовать без какой-либо модификации клиентов и серверов, поскольку ни один из них не должен знать о существовании proxy сервера.

Механизм их действия достаточно прост: всякий раз, когда межсетевой экран решает, что соединение должно поддерживаться через прозрачные proxy, он переадресует это соединение соответствующему proxy. Установив соединение с клиентом, proxy открывает новое соединение с удаленным сервером и направляет запросы клиента этому серверу.

Огромное преимущество подобной организации работы заключается в возможности создать дополнительную защиту для конкретных сервисов, не проводя модификации клиентов и серверов и не нарушая гибкости. Кроме того, прозрачные proxy сервера можно использовать как для внутренних, так и для внешних запросов.

Работа с proxy серверами

Эта глава содержит все необходимые сведения о принципах работы proxy серверов в межсетевом экране Aker. Особенности каждого proxy сервера обсуждаются в следующих главах.

Работа WWW proxy межсетевого экрана Aker с кэш-сервером

Межсетевой экран Aker не обеспечивает кэширования запросов в своем WWW proxy, однако его можно настроить для работы с любым кэш-сервером, использующим стандартные механизмы. Кэш-сервер может быть запущен на том же хосте, на котором установлен межсетевой экран или на другом хосте.

Если кэш-сервер запущен на другом хосте (рекомендованный вариант), этот хост должен находиться в подсети, отличной от той, в которую входят клиенты, иначе трудно контролировать безопасность. Такая конфигурация приведена на следующем рисунке:

Для гарантии защиты при такой конфигурации необходимо настроить пакетный фильтр (см. главу Пакетный фильтр с контролем состояния ) таким образом, чтобы хост, на котором запущен кэш-сервер, был единственной машиной, имеющей доступ к WWW сервисам и клиенты не имели бы право напрямую к нему обращаться. После этого необходимо настроить все клиентские хосты для работы через WWW proxy межсетевого экрана, а также настроить сам межсетевой экран для работы с кэш-сервером.

Редактирование параметров WWW proxy

Для использования WWW proxy необходимо указать некоторые параметры, определяющие основные характеристики его работы. Эти определения производятся в окне настройки WWW proxy. Для получения доступа к этому окну надо выполнить следующие шаги:

Выбрать меню Proxy в главном окне

Выбрать опцию WWW

Окно настройки параметров WWW proxy

Кнопка OK закрывает окно настройки WWW proxy и сохраняет все изменения.

Кнопка Cancel закрывает окно настройки и отбрасывает все сделанные изменения.

Кнопка Help показывает окно помощи по данному разделу.

Значения параметров:

Cache

Enable cache: Эта опция определяет, будет ли proxy перенаправлять свои запросы кэш-серверу. Если эта опция установлена, все полученные запросы будут передаваться кэш-серверу, на определенный IP адрес и порт. Если нет, WWW proxy будет сам обрабатывать все запросы.

IP: Это поле определяет IP адрес кэш-сервера, которому будут передаваться все запросы, если установлена опция Enable cache.

Port: Это поле определяет порт кэш-сервера, которому будут передаваться все запросы, если установлена опция Enable cache.

Adjustments

Эти параметры регулируют действия WWW proxy для ситуаций, требующих особого внимания. Они состоят из следующих полей:

Read timeout: Этот параметр определяет максимальное время в секундах, в течение которого proxy ждут запроса клиента с момента установления нового соединения. Если этот интервал времени заканчивается, а запроса от клиента не поступает, соединение закрывается.

Response timeout: Этот параметр определяет максимальное время в секундах, в течение которого proxy ждет ответа на запрос, посланный на удаленный WWW сервер или в кэш-сервер, если установлена опция Enable cache . Если за это время от сервера не приходит ответ, соединение закрывается, а клиент получает сообщение об ошибке.

HTTPS timeout: Этот параметр определяет максимальное время в секундах, в течение которого proxy может ждать ответа сервера для HTTPS соединений,

Number of processes: Это поле определяет число процессов обработки в WWW proxy, которые остаются активными в ожидании соединений.
Так как каждый процесс обрабатывает одно соединение, это поле определяет также максимальное число запросов, которые могут обрабатываться одновременно.
Из-за требований производительности, процессы, связанные с WWW proxy, всегда находятся в активном состоянии, независимо от наличия или отсутствия запросов. Обычно значение этого поля находится в интервале от 5 до 50 в зависимости от количества клиентов, использующих proxy (следует отметить, что один хост обычно открывает до 4 соединений при получении доступа к единственной странице WWW). Значение 0 блокирует использование proxy.

WWW

Эти параметры определяют опции фильтрации proxy. Они состоят из следующих полей: Default WWW access profile: Определяет имя профиля доступа WWW, которое используется для контроля доступа всех пользователей (в случае, когда не производится аутентификация пользователей) или пользователей, которые не относятся к этому профилю (в случае, когда производится аутентификация пользователей). Authenticate HTTP: Это поле дает (или не дает) возможность производить аутентификацию пользователей в WWW proxy. Если эта опция установлена, каждый раз, когда пользователь хочет начать сеанс, у него запрашивается идентификатор и пароль, и сеанс начинается, только если пользователь будет аутентифицирован каким-либо аутентификатором.
Если эта опция установлена, нажмите кнопку Access Control, которая откроет окно, в котором можно установить соответствие пользователей или групп с конкретными профилями. Окно контроля доступа WWW

Это окно открывается при нажатии кнопки Access Control в окне настройки WWW proxy, при установленной опции Authenticate HTTP. Окно позволяет администратору установить соответствие между пользователями или группами, зарегистрированными в аутентификаторах, и профилями доступа WWW, зарегистрированными в межсетевом экране. Окно имеет следующий формат: Чтобы установить соответствие пользователя или группы с определенным профилем доступа, надо сделать следующее:

Выделить аутентификатор, с которого вы хотите получить список пользователей или групп, нажав левой клавишей мыши на его имени в верхнем списке окна (если необходимого аутентификатора нет в списке, нужно добавить его в список аутентификаторов.

Этот вопрос рассмотрен в главе Настройка параметров аутентификации)).

Выберите необходимого пользователя или группу с помощью соответствующих кнопок, расположенных в поле View.

Нажмите левой клавишой мыши на имени пользователя или группы, для которых устанавливается соответствие с профилем, в списке Group/Users, расположенном ниже списка аутентификаторов.

Нажмите левой клавишей мыши на имени профиля в списке WWW Access Profiles, который будет связан с выделенным пользователем/группой.

Нажмите кнопку Add. Соответствие между пользователем/группой и профилем будет показано в списке в нижней части окна.

Для удаления соответствия между пользователем/группой и профилем выполните следующее:

Выберите необходимое соответствие в списке в нижней части окна.

Нажмите клавишу удаления.

Для изменения позиции какого-либо соответствия внутри списка, проделайте действия:

Выделите перемещаемое соответствие.

Нажмите на одну из кнопок в форме стрелки справа от списка. Кнопка со стрелкой вверх переместит выделенное соответствие на одну позицию вверх, а кнопка со стрелкой вниз - на одну позицию вниз.

! Порядок следования соответствий в списке очень важен. Всякий раз при аутентификации пользователя межсетевой экран просматривает список с самого начала в поисках его имени или группы, которой он принадлежит. Как только имя будет обнаружено, будет использоваться соответствующий ему профиль.

Назад | Содержание | Вперед

Редактирование списка правил с использованием графического интерфейса

Для получения доступа к окну настройки правил фильтрации вам нужно:

Выбрать меню Редактирование в главном окне

Выбрать опцию Правила фильтрации

Окно правил фильтрации

Окно правил показывает все правила фильтрации, описанные в межсетевом экране Aker. Каждое правило будет показано на отдельной строке, состоящей из нескольких ячеек. При выделении одного из правил оно будет показано окрашенным в другой цвет.

Клавиша OK обновляет список правил и делает его сразу активным.

Клавиша Cancel отбрасывает все модификации и окно закрывается.

Клавиша Help показывает окно помощи с подсказками по данному разделу.

Если установлена опция Show all entities , будут высвечены все параметры фильтрации. В противном случае будут показаны только два первых.

Указание: если эта опция не установлена, а правило имеет больше двух объектов в полях источника, назначения или сервисах, то в каждом из полей, содержащем больше двух объектов, будет показана направленная вниз стрелка.

Полоска прокрутки с правой стороны используется для просмотра правил, которые не помещаются в окне.

Если выделить правило, для которого описаны комментарии, то они будут показаны в нижней части окна.

Чтобы выполнить любую операцию на конкретном правиле, достаточно нажать правой клавишей мыши по этому правилу. Появится следующее меню: (Это меню будет появляться каждый раз, когда вы нажимаете на правую клавишу мыши, даже если не выделено никаких правил. При этом будут доступны только опции Add и Paste).

Add: Эта опция позволяет включить в список другое правило. Если выделено какое-либо правило, новое правило вставляется перед выделенным правилом под его номером. В противном случае новое правило включается в конец списка.

Delete:Эта опция удаляет выделенное правило из списка.

Edit: Эта опция открывает окно редактирования для выделенного правила.

Copy: Эта опция копирует выделенное правило в буфер.

Cut: Эта опция удаляет выделенное правило из списка и копирует его в буфер.

Paste: Эта опция копирует правило из буфера в список.
Если правило выделено, то новое правило будет вставлено на перед выделенным правилом на его позицию. Если правило не выделено, то новое будет скопировано в конец списка.

Deselect: Эта опция отменяет выделение ранее выделенного правила и снова показывает меню. Это очень полезно, когда существует большое число правил и нужно включить или вставить правило в конец списка.

Указание: все эти опции, за исключением опции deselect, можно выполнять через инструментальное меню, расположенное в верхней части окна. В этом случае сначала выделите правило, нажав на нем левой клавишей мыши, а затем выберите нужную опцию.

При добавлении или редактировании правил будет показано окно свойств:

Окно свойств одного правила

Окно свойств используется для настройки всех параметров правила. Оно состоит из следующих полей:

Source Entities: Это поле определяет объекты, адреса которых будут сравниваются с адресом источника IP пакетов.

Destination Entities: Это поле определяет объекты, адреса которых будут сравниваются с адресом назначения IP пакетов.

Services: Это поле описывает сервисы, используемые в правиле.

Interface: Поле определяет разрешенный интерфейс для входящих пакетов. Значение any отменяет проверку по этому полю. Если интерфейс выбран, то будут приниматься пакеты, приходящие только от этого интерфейса. Для выделения интерфейса нужно только нажать на направленной вниз стрелке сбоку от поля. После этого система покажет список всех сетевых интерфейсов, опознанных межсетевым экраном.

Log: Это поле определяет, какое действие будет выполняться системой, когда пакет удовлетворяет данному правилу. Она состоит из нескольких опций, которые можно выделять независимо. Значения этих опций таковы:

Log: Если эта опция установлена, то все пакеты, удовлетворяющие данному правилу, будут регистрироваться в системном журнале.

Mail: Если эта опция установлена, то по электронной почте будет посылаться одно сообщение каждый раз, когда пакет удовлетворяет правилу (настройка адреса электронной почты рассматривается в главе Настройка реакции системы).

Trap: Если эта опция установлена, то для каждого пакета, удовлетворяющего данному правилу, будет посылаться SNMP прерывание (настройка параметров прерываний будет рассмотрена в главе Настройка реакции системы).

Program: Если эта опция установлена, то каждый раз, когда пакет удовлетворяет данному правилу, будет выполняться описанная администратором программа (настройка имени выполняемой программы будет рассмотрена в главе Настройка реакции системы).

Alert: Если эта опция установлена, то каждый раз, когда пакет удовлетворяет данному правилу, межсетевой экран покажет окно предупреждений. Это окно появится на хосте, на котором открыт удаленный графический интерфейс и, если возможно, будет звучать предупреждающий сигнал. Если графический интерфейс пользователя не открыт, то не появится никаких сообщений, а эта опция не будет учитываться.

! Для протоколов, использующих TCP, определенные в правиле действия будут выполняться только при установленном соединении. В случае UDP протокола, действия будут выполняться для всех пакетов, посланных клиентом и удовлетворяющих данному правилу (но не ответные пакеты).

Action of the rule:Это поле определяет, какое действие будет выполнено для всех пакетов, удовлетворяющих данному правилу. Оно состоит из следующих опций:

Accept: Эта опция означает, что пакетам, удовлетворяющим правилу, разрешается пройти через межсетевой экран.

Reject: Эта опция означает, что пакеты, удовлетворяющие правилу, не пройдут через межсетевой экран, причем хосту источника будет посылаться ICMP destination unreachable сообщение (хост назначения недоступен). Эта опция не работает для некоторых типов ICMP сообщений.

Discard: Эта опция означает, что пакеты, удовлетворяющие данному правилу, не пройдут через межсетевой экран, при этом не будут посылаться какие-либо пакеты хосту источника.

Comment: Поле комментариев к правилу. Оно может быть полезным для хранения информации об использовании правила.

Timetable: Эта кнопка позволяет получить доступ к окну временной таблицы активного правила .Если нажать эту кнопку, появится следующее окно:

Эта таблица определяет часы и дни недели, в течение которых применимо правило. Строки представляют дни недели, а колонки - часы. Если правило в данный период времени должно действовать, квадратик в таблице следует заполнить. Для облегчения процесса настройки можно нажать левую клавишу мыши на квадрате и двигать курсор, сохраняя клавишу нажатой. При этом таблица будет модифицироваться в соответствии с перемещением мыши.

Регистрация объектов

В этой главе показано, что представляют собой объекты, для чего они используются и как их регистрировать в межсетевом экране Aker.

Регистрация объектов с использованием GUI

Для доступа к окну регистрации объектов нужно сделать следующее:

Выбрать меню Register в главном окне

Выбрать опцию Entities and Services

Окно определения объектов

Используя окно определения объектов можно зарегистрировать любой объект межсетевого экрана Aker, независимо от типа.

На правой стороне окна расположены пять иконок, представляющих пять возможных типов объектов. Под ними помещен список, из которого можно определить тип объекта для просмотра или создания.

Указание: Для выбора типа объекта вы можете или использовать иконку, или опцию в списке.

Клавиша OK закрывает окно.

Клавиша Help открывает окно помощи для данного окна.

Если отмечена опция Keep Ordered, список будет показан в алфавитном порядке.

Для создания нового объекта выполните следующие действия:

Выделите тип создаваемого объекта, выбрав соответствующую иконку или название

Правой клавишей мыши и выделите опцию Add во всплывающем меню или выберите иконку создания объекта в инструментальном меню в верхней части окна.

! Если выбрана опция All, то как иконка, так и опция меню создания объекта будут недоступны.

Для редактирования или удаления объекта вам необходимо:

Выделите редактируемый объект (если необходимо, выберите сначала соответствующий тип объекта).

Правой клавишей мыши выделите соответственно опцию Edit или Delete

во всплывающем меню или нажмите на иконке редактирования или удаления в инструментальном меню.

При использовании опций Edit или Add появится окно свойств объектов . Это окно будет различным для каждого из возможных типов объектов

Резервные копии межсетевого экрана

В межсетевом экране Aker Version 3.0 предусмотрена возможность создания резервных копий и полное удаленное восстановление его конфигурации. Этот вопрос обсуждался в главе Использование средств графического интерфейса . Рекомендуется проводить подобную процедуру, так как она очень проста в и дает возможность сохранить все настройки межсетевого экрана на удаленном хосте. Однако можно создавать резервные копии вручную, как это делается в версии 2.0 и предыдущих версиях.

В этом разделе показано, как сделать вручную резервную копию, а также как восстановиться с нее.

Руководство Администратора

Информация предоставлена "Релком-Альфа"

Введение

1 Инсталляция

1.1 Требования к аппаратному и программному обеспечению

1.2 Инсталляция межсетевого экрана

1.3 Инсталляция удаленного интерфейса на платформах Windows 95 или NT

2 Использование удаленного интерфейса

2.1 Запуск удаленного интерфейса

2.2 Завершение удаленного управления

2.3 Изменение паролей пользователей

2.4 Просмотр информации о сессии

2.5 Использование подсказки в режиме on-line

3 Управление пользователями межсетевого экрана

3.1 Использование графического интерфейса

3.2 Использование интерфейса командной строки

4 Настройка параметров системы

4.1 Использование графического интерфейса пользователей

4.2 Использование интерфейса командной строки

5 Регистрация объектов

5.1 Введение

5.2 Регистрация объектов с использованием GUI

5.3 Использование интерфейса командной строки

6 Пакетный фильтр с контролем состояния

6.1 Введение

6.2 Редактирование списка правил с использованием GUI

6.3 Использование интерфейса командной строки

7 Настройка трансляции сетевых адресов

7.1 Введение

7.2 Использование GUI

7.3 Использование интерфейса командной строки

8 Создание защищенных каналов

8.1 Введение

8.2 Использование GUI

8.3 Использование интерфейса командной строки

9 Интегрирование модулей межсетевого экрана

9.1 Движение пакетов в межсетевом экране Aker

9.2 Интегрирование фильтра с трансляцией сетевых адресов

9.3 Интегрирование фильтра с трансляцией сетевых адресов и шифрованием

10 Защита от SYN атак

10.1 Введение

10.2 Использование GUI

10.3 Использование интерфейса командной строки

11 Настройка реакции системы

11.1 Использование GUI

11.2 Использование интерфейса командной строки

12 Просмотр статистики системы

12.1 Использование GUI

12.2 Формат и значение полей в файлах статистики

12.3 Использование интерфейса командной строки

13 Просмотр системных сообщений

13.1 Использование GUI

13.2 Формат и значение полей в системных сообщениях

13.3 Использование интерфейса командной строки

14 Просмотр и удаление соединений

14.1 Использование GUI

14. 2 Использование интерфейса командной строки

15 Работа с proxy серверами

15.1 Планирование инсталляции

15.2 Инсталляция агента аунтентификации в Unix

15.3 Инсталляция агента аутентификации в Windows NT

16 Настройка параметров аутентификации

16.1 Использование GUI

17 Настройка SMTP proxy

17.1 Использование GUI

18 Настройка Telnet proxy

18.1 Использование GUI

19 Настройка WWW proxy

19.1 Введение

19.2 Создание файлов доступа

19.3 Редактирование параметров WWW proxy

20 Использование средств графического интерфейса

20.1 Резервное сохранение

20.2 Восстановление

20.3 Реверсивный DNS

20.4 Отчеты

21 Системные файлы и резервирование

Приложение A - Системные сообщения

Приложение B - Вопросы и ответы

Приложение C - Авторские права и ограничения

Синтаксис файла конфигурации для агента аутентификации

После копирования установленного агента в выбранный каталог необходимо создать файл конфигурации с адресами межсетевых экранов, которые могут использовать этот файл, и с паролями каждого из них. Файл имеет текстовый формат и может быть создан любым редактором.

! Файл конфигурации для агента аутентификации должен иметь права доступа, позволяющие читать или изменять его только пользователю root. Для этого можно использовать команду chmod со следующим синтаксисом: #chmod 600 имя_файла.

Формат файла следующий:

IP адрес межсетевого экрана Aker, использующего агента, один или более пробелов или символов табуляции, пароль доступа, который применяется межсетевым экраном для соединения.

Строки, начинающиеся с символа #, а также пустые строки игнорируются.

Пример файла конфигурации приведен ниже: # Configuration file for the Aker Firewall 3.0 authentication agent # # Syntax: Firewall IP address and access password (in each line) # # The password must not have spaces and must have up to 31 characters # # Lines beginning with the '#' character are considered comments # Blank lines are allowed 10.0.0.1 password_test 10.2.2.2 123password321

! По умолчанию используется файл конфигурации /etc/fwagaut.cfg, однако, можно использовать другие название и директорию, указав их агенту при старте. Более подробно это описано в следующем разделе.

Системные файлы

В этом разделе показано, какие системные файлы используются межсетевым экраном. Это очень важно для создания резервных копий и диагностики возможных проблем с работой межсетевого экрана.

Системные файлы и резервные копии

В этой главе показано, где находятся и для чего используются файлы, входящие в состав межсетевого экрана Aker версии 3.0.

SNMP агент

COPYRIGHT

Большие части кода в данном пакете распространялись Carnegie Mellon University. Все другие коды и изменения первоначального кода, выполненные Wes Hardaker в университете California, Davis, обеспечиваются авторским правом в соответствии со следующим содержанием авторского права:

Разрешение предоставляется на использование, копирование, модификацию и распространение данного программного средства и его документацию. Данный программный продукт распространяется бесплатно и его при его использовании не требует какой-либо оплаты. Он может быть включен в комплект компакт-дисков программного обеспечения, при условии, что автор уведомлен и осведомлен о его распространении.

Назад | Содержание

SNMP библиотека

Настоящим предоставляется разрешение на использование, копирование, модификацию и распространение этого программного средства и его документации для любых целей и без денежного вознаграждения, при условии, что вышеуказанное уведомление об авторском праве должно появляться во всех копиях и что как уведомление об авторском праве, так и уведомление о разрешении должно включаться в любую сопроводительную документацию, а также что имя CMU не будет использоваться в рекламе или пропаганде в отношении распространения программного средства без особого письменного предварительного разрешения.

Сохранение резервной копии

Эта опция позволяет сохранить полную конфигурацию межсетевого экрана в хосте, на котором запущен удаленный интерфейс. В случае аварии эта конфигурация может быть легко восстановлена.

Для создания резервной копии проделайте следующее:

Выберите меню Tools в главном окне

Выберите опцию Save backup

Окно сохранения резервных копий :

Это окно позволяет сделать описание сохраняемой резервной копии. Это описание представляет из себя текст, который может быть полезным при восстановлении с копии.

После того как Вы сделаете описание, нажмите кнопку Save, которая открывает окно, в котором можно указать название и путь к сохраняемому файла. Если сохранять копию не нужно, нажмите кнопку Close.

Сообщения, касающиеся статистики межсетевого экрана

Все приведенные ниже сообщения могут появляться в файле статистики межсетевого экрана. При каждом их появлении перед ними появляется запись, содержащая информацию о пакете, который послужил причиной этих сообщений. Слева указывается номер, соответствующий каждому сообщению.

01 - Possible fragmentation attack

Это сообщение означает, что пакетный фильтр получил TCP пакет с фрагментированным TCP заголовком, что, вероятно, является результатом попытки атаки путем фрагментации. Для получения дальнейшей информации обращайтесь к RFC 1858.

02 - Source routed IP packet

Это сообщение означает, что пакетный фильтр получил IP пакет с одним из следующих вариантов: Record Route, Loose Routing или Strict routing, а фильтр не был настроен для блокировки IP пакетов с такими опциями. Более подробная информация содержится в RFC 791.

03 - Land attack

"Land" атака заключается в посылке пакета с адресом источника, совпадающем с адресом назначения и портом источника, совпадающем с портом назначения. Атака может привести к аварийному сбою на атакуемом хосте.

04 - Connection is not present in the dynamic table

Это сообщение означает, что межсетевой экран получил TCP пакет, который не был запросом на соединение, и не принадлежал к открытому соединению. Это могло быть вызвано атакой или просто соединением, которое было неактивным дольше, чем длится тайм-аут TCP соединения.

05 - Packet was received from an invalid interface

Это сообщение означает, что пакетный фильтр получил IP пакет от интерфейса, отличного от указанного в правиле фильтрации, которому он соответствует. Это может быть вызвано IP спуфингом или неправильной настройкой правил фильтрации.

06 - Packet was received from an unknown interface

Это сообщение означает, что пакетный фильтр получил пакет, но не смог определить интерфейс его источника. Так как интерфейс не совпал с указанным в соответствующем правиле фильтрации, пакет был отброшен. По всей вероятности, такое сообщение никогда не появится.

07 - Possible FTP simulation attack

Это сообщение означает, что при проверке пакета в FTP-сеансе пакетный фильтр зафиксировал попытку открыть на клиенте соединение с портом ниже 1024 или соединение с адресом, отличным от ожидаемого. Возможно, это вызвано атакой или неисправной реализацией FTP. Более подробная информация содержится в RFC 959.

08 - Possible Real Audio simulation attack

Это сообщение означает, что пакетный фильтр при проверке пакетов протокола Real Audio зафиксировал попытку открыть соединение на клиенте с портом ниже 1024. Возможно, это вызвано атакой или неправильной конфигурацией в хосте с Real Audio.

09 - FTP control connection not open

Это сообщение указывает, что межсетевой экран получил пакет по каналу данных FTP протокола, а соответствующий контрольный канал не был открыт.

10 - Invalid TCP flags

Это сообщение означает, что межсетевой экран получил TCP пакет, флаги которого были неверными или противоречащими друг другу (например, SYN и FIN в одном пакете). Это может свидетельствовать об атаке или о дефекте в TCP/IP реализации.

11- Invalid TCP sequence number

Это сообщение показывает, что межсетевой экран получил TCP пакет, порядковый номер которого (sequence number) не соответствует ожидаемому значению. Это может свидетельствовать об атаке.

12 - Possible SYN Flood attack

Это сообщение генерируется межсетевым экраном, когда инициировано соединение к одному из адресов, защищенных от SYN атак, а соединение не было установлено в течение периода времени, описанного администратором. Если эти сообщения возникают редко, то их можно объяснить тем, что, возможно, слишком мал интервал времени, определенный при описании защиты от SYN атак (см. главу Защита от SYN атак). Если возникает большое число подобных сообщений, то, вероятно, что против межсетевого экрана была предпринята SYN атака.

13 - Packet without authentication information

Это сообщение означает, что данный пакет пришел без заголовка об аутентификации, а конфигурация соответствующего защищенного канала указывает, что он мог быть принят только при его наличии (см.

главу Создание защищенных каналов ). Причиной этого может быть неправильная конфигурация аутентификации в канале (возможно, настроена только на одной стороне) или попытка IP спуфинга. Более подробная информация содержится в RFCs 1825 и 1827.

14 - Packet has failed authentication

Это сообщение означает, что модуль аутентификации межсетевого экрана обнаружил ошибки в данном пакете. Это может быть вызвано неверной настройкой ключа аутентификации или некорректными изменениями в содержимом пакета при его передаче, или же IP спуфингом. Более подробная информация изложена в RFCs 1825 и 1827.

15 - Packet without encryption information

Это сообщение означает, что данный пакет пришел незашифрованным, а конфигурация соответствующего защищенного канала свидетельствует о том, что пакет должен был быть зашифрован (см. главу Создание защищенных каналов ). Причиной этого может быть неправильная конфигурация защищенных каналов (возможно, настроен только один конец канала) или IP спуфингом. Более подробная информация изложена в RFCs 1825 и 1827.

16 - The size of the packet to be decrypted is invalid

Это сообщение означает, что криптографический модуль установил, что размер дешифруемого пакета несовместим с соответствующим алгоритмом шифрования. Возможно, это вызвано неправильной конфигурацией защищенных каналов.

17 - Packet decryption has failed

Это сообщение означает, что после расшифровки пакета и выполнения тестов криптографический модуль обнаружил, что пакет неверен. Это может быть вызвано неправильной конфигурацией таблицы защищенных каналов или IP спуфингом.

18 - Invalid packet encapsulation type

Это сообщение означает, что криптографический модуль не распознал тип инкапсуляции, использованный в данном пакете. Причиной этого может оказаться сбой в расшифровке пакета (из-за неправильного ключа) или использование неподдерживаемого механизма инкапсуляции. (Межсетевой экран Aker работает исключительно с туннельным режимом инкапсуляции и не поддерживает никаких других режимов, например, транспортного режима.)

19 - Packet without SKIP information

Это сообщение означает, что данный пакет пришел без SKIP заголовка, а конфигурация соответствующего защищенного канала показывает, что он должен был иметь этот заголовок. Возможно, это вызвано неправильной конфигурацией таблицы защищенных каналов, где один из концов настроен для использования SKIP, а другой нет (смотрите главу Создание защищенных каналов ).

20 - SA for the packet doesn't contain SKIP information

Это сообщение означает, что криптографический модуль получил пакет с заголовком SKIP, а соответствующая security association (SA) не имеет информации о SKIP (см. главу Создание защищенных каналов ). Причиной этого может оказаться неправильная конфигурация таблицы защищенных каналов, когда один конец настроен для использования SKIP, а другой нет.

21 - Invalid SKIP protocol version

Это сообщение означает, что указанная в данном пакете версия протокола SKIP отлична от поддерживаемой версии. (Межсетевой экран Aker реализует версию 1 протокола SKIP.)

22 - Invalid SKIP protocol counter value

Протокол SKIP посылает счетчик в каждом пакете, показания которого ежечасно увеличиваются, чтобы избежать атаки путем проигрыша сообщения. Такое сообщение свидетельствует, что не верно значение счетчика, полученное в данном пакете. Это может быть вызвано двумя различными причинами: либо разница двух внутренних часов обоих взаимодействующих межсетевых экранов больше одного часа, либо налицо попытка атаки путем проигрыша.

23 - Invalid SPI for SKIP authentication

Это сообщение означает, что получен SKIP-пакет, а номер SPI, указанный в аутентификационном заголовке, неверен. (Протокол SKIP требует, чтобы номер SPI был 1.)

24 - The next protocol in the SKIP header is invalid

Недействителен соседний протокол в заголовке SKIP не поддерживается Aker. (Межсетевой экран Aker требует, чтобы аутентификационный заголовок сводился к SKIP-заголовку.)

25 - Invalid SKIP authentication algorithm

Это сообщение означает, что не поддерживается алгоритм аутентификации, указанный в заголовке SKIP. (Межсетевой экран Aker поддерживает только алгоритмы аутентификации MD5 и SHA-1.)

26 - Invalid SKIP encryption algorithm

Это сообщение означает, что не поддерживается алгоритм шифрования, указанный в заголовке SKIP. (Межсетевой экран Aker поддерживает только алгоритмы шифрования DES и Triple DES.)

27 - Invalid SKIP key encryption algorithm

Это сообщение означает, что не поддерживаются алгоритмы шифрования и разделителя ключа, указанные в заголовке SKIP. (Межсетевой экран Aker поддерживает только алгоритмы DES с MD5 в качестве разделителя ключа и Triple DES с тем же MD5 в качестве разделителя).

28 - Data compression algorithm not supported

Это сообщение означает, что не поддерживается алгоритм сжатия данных, указанный в заголовке SKIP. (Межсетевой экран Aker не поддерживает никаких алгоритмов сжатия данных, так как они все еще не стандартизованы.)

29 - Invalid source name space identificator

Для выбора соответствующей ассоциации защиты (SA) протокол SKIP разрешает использование других пространств имен, не являющихся IP адресами. Пространство имен можно указать для источника и/или назначения. Это сообщение означает, что пространство имен источника не поддерживается. (Межсетевой экран Aker поддерживает в качестве пространства имен только IP адреса.)

30 - Invalid destination name space identificator

Для выбора соответствующей ассоциации защиты (SA) протокол SKIP разрешает использование других пространств имен, не являющихся IP адресами. Пространство имен можно указать для источника и/или назначения. Это сообщение означает, что не поддерживается пространство имен назначения. (Межсетевой экран Aker поддерживает в качестве пространства имен только IP адреса.)

Сообщения модуля трансляции адресов

Формат записи:

Описание полей:

Date: Дата создания записи.
Time: Время создания записи.
(Repetition): Число последовательных повторов записи. Это поле указывается в скобках.
Protocol: Тип протокола пакета. Это может быть TCP или UDP.
Source IP: IP адрес источника пакета.
Source port: Номер порта источника пакета.
Translated IP: IP адрес, в который был транслирован адрес источника пакета
Translated port: Порт, в который был транслирован порт источника

Примеры:

01/01/1970 17:59:45 - (01) T TCP 10.0.0.1 1024 200.239.39.3 10001 01/01/1970 18:00:00 - (01) T UDP 10.0.0.2 1045 200.239.39.3 10001

Создание правил фильтрации для межсетевого экрана Aker

Создавать правила фильтрации для межсетевого экрана Aker просто. Все описания IP адресов, масок, протоколов и портов производятся при создании объектов (смотрите главу Регистрация объектов ). Это облегчает создание правил, так как при этом не приходится беспокоиться, какой порт использует определенный сервис или какие IP адреса используются в сети. Кроме того, все наиболее распространенные в Интернет сервисы описаны заранее, что позволяет избежать напрасной траты времени на поиск соответствующих значений.

По существу, для создания правила администратор должен указать объекты источника и назначения и сервисы; все эти данные будут составлять правило. Можно также указать сетевой интерфейс для входящих пакетов и описать временной период ( в часах и днях недели), в течение которого правило будет действовать. Если пакет послан в промежуток времени, когда данное правило не активно, это правило не будет учитываться, и поиск будет продолжен далее по списку правил

Принцип работы фильтра заключается в следующем: межсетевой экран будет проверять по порядку все описанные администратором правила, до тех пор, пока не будет найдено соответствующее правило. Затем будет выполнено соответствующее правилу действие - пропустить, отказать или отбросить( эти действия будут пояснены в следующем разделе). Если поиск достигает конца списка и пакет не удовлетворяет ни одному из правил, такой пакет будет отброшен. (Можно определить действие, выполняемое в этом случае. Этот вопрос будет обсуждаться в главе Настройка реакции системы.)

! Интерфейс источника пакета проверяется после проверки адресов источника и назначения, но до проверки других параметров фильтрации. Если пакет проходит через интерфейс, отличный от указанного в правиле, он отбрасывается, а поиск в списке правил прерывается, даже если пакет удовлетворяет другим критериям фильтрации.

Создание правил фильтрации в простом пакетном фильтре

Перед тем как рассказать, как настраивать пакетный фильтр межсетевого экрана Aker, полезно пояснить, как описывать правила в обычном пакетном фильтре.

Существуют несколько возможных параметров при фильтрации пакетов. Наиболее простой является адресная фильтрация; она состоит в сравнении адресов в пакете с адресами, прописанными в правилах. Если адреса совпадают, пакет пропускается. Это сравнение производится следующим образом:

Рассмотрим следующее правило: все хосты сети 10.1.x.x могут взаимодействовать с хостами сети 10.2.x.x. Запишем это правило, используя нотацию, приведенную в главе Регистрация объектов. Мы имеем: 10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0 ------- Источник ------ -----Назначение -----

Теперь применим правило к пакету, который отправлен от хоста 10.1.1.2 к хосту 10.3.7.7. Наложим маску к обоим адресам - адресу в правиле и адресу в пакете. Затем проверим, одинаковы ли адреса источника и назначения. В результате будем иметь:

Для адреса источника: 10.1.0.0 И 255.255.0.0 = 10.1.0.0 (для правила) 10.1.1.2 И 255.255.0.0 = 10.1.0.0 (для пакета)

После применения маски оба адреса совпадают. Проверим теперь адрес назначения: 10.2.0.0 И 255.255.0.0 = 10.2.0.0 (для правила) 10.3.7.7 И 255.255.0.0 = 10.3.0.0 (для пакета)

Так как адреса назначения пакета и правила после применения маски не совпадают, то это правило не должно применяться к данному пакету.
Эта операция выполняется по всему списку адресов и масок источника и назначения до достижения конца списка или до тех пор, пока пакет не будет удовлетворять одному из правил. Список правил имеет следующий формат: 10.1.1.2 & 255.255.255.255 -> 10.2.0.0 & 255.255.0.0 10.3.3.2 & 255.255.255.255 -> 10.1.2.1 & 255.255.255.255 10.1.1.0 & 255.0.0.0 -> 10.2.3.0 & 255.255.255.0 10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0

Кроме адресов источника и назначения, каждый IP пакет заключает в себе информацию об используемых протоколе и сервисе.
Ее можно использовать как дополнительный параметр фильтрации.

Например, сервисы в протоколе TCP всегда связаны с портом (за дальнейшей информацией обращайтесь к главе Регистрация объектов). В результате можно привести в соответствие список портов с адресами.

Воспользуемся для примера двумя хорошо знакомыми сервисами, POP3 и HTTP. POP3 использует порт 110, а HTTP - порт 80. Следовательно, мы можем добавить эти порты в описание правила. В результате получим: 10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0 TCP 80 110 ------- Источник ------ ----- Назначение -------- Протокол-- --Порты--

Это правило разрешает каждому пакету, следующему от сети 10.1.x.x к сети 10.2.x.x и использующему сервисы HTTP и POP3, проходить через межсетевой экран.

Сначала адреса из правила сравниваются с адресами пакета. Если после наложения маски оба адреса совпадают, протокол и порт назначения в пакете будут сравниваться с протоколом и списком портов, описанных в правиле. Если протокол совпадает, а порт в правиле одинаков с портом пакета, то такой пакет удовлетворяет правилу. В противном случае поиск будет продолжен в списке правил.

С учетом этой новой информации набор правил будет иметь следующий формат: 10.1.1.2 & 255.255.255.255 -> 10.2.0.0 & 255.255.0.0 UDP 53 10.3.3.2 & 255.255.255.255 -> 10.1.2.1 & 255.255.255.255 TCP 80 10.1.1.0 & 255.0.0.0 -> 10.2.3.0 & 255.255.255.0 TCP 21 20 113 10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0 ICMP 0 8

Кроме этих основных параметров фильтрации можно добавить еще несколько. Одним из них является сетевой интерфейс источника; используя имя сетевого интерфейса в качестве параметра фильтрации можно разрешить прохождение пакетов с определенными адресами только от заданного интерфейса

Цель такой процедуры состоит в блокировании атаки, известной как IP спуфинг, суть которой состоит в том, что во внутреннюю сеть посылается пакет с фальшивым адресом источника ( из внутренней сети).При использовании в качестве параметра имени сетевого интерфейса можно легко блокировать этот вид атаки. Например, если внутренняя сеть взаимодействует с межсетевым экраном через интерфейс de0, то необходимо лишь установить в правилах, что пакеты с адресом источника из внутренней сети следует принимать, только если они пришли от данного интерфейса; во всех других случаях они будут отбрасываться.

С учетом нового параметра взятое для примера правило будет иметь следующий формат:

10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0 <ep0> TCP 80 110 ------- Источник --------- Назначение ----- -Интерф- -Протокол- --Порты--

Это правило устанавливает, что будут приниматься TCP пакеты от хостов из сети 10.1.0.0 к хостам из сети 10.2.0.0, приходящие от интерфейса ep0 и относящиеся к HTTP сервису (порт 80) или POP3 (порт 110).

Создание профилей доступа

Настройку WWW proxy можно разбить на два этапа: сначала создаются универсальные профили доступа, а затем устанавливается соответствие между этими профилями и группами пользователей.

Профили доступа позволяют определить, какие Web страницы доступны для просмотра и какой вид доступа разрешен (например, можно создать профиль, не позволяющий передач файлов через FTP). Можно создавать любое необходимое количество профилей доступа, однако, для использования WWW proxy обязательно должен быть создан хоть один профиль.

Для доступа к окну профилей доступа необходимо:

Выбрать меню Register в главном окне

Выбрать опцию WWW access profiles

Окно профилей доступа WWW

Окно профилей содержит все WWW профили доступа, определенные в межсетевом экране. Оно состоит из списка, в котором каждый профиль показан на отдельной строке.

Кнопка OK закрывает окно профилей.

Кнопка Help показывает окно помощи по данному разделу.

Полоса прокрутки с правой стороны используется для просмотра профилей, не уместившихся в окне.

Для выполнения любого действия с конкретным профилем нажмите правой клавишей мыши на этом профиле. Откроется следующее меню (Это меню возникает всегда при нажатии правой клавиши мыши, даже если нет выделенных профилей. В этом случае доступны только опции Add и Paste.):

Add: Эта опция позволяет добавить новый профиль в список. Если выделен какой-либо профиль, новый вставляется на место выделенного. Во всех других случаях он добавляется в конец списка.

Delete: Эта опция удаляет выделенный профиль из списка

Edit: Эта опция открывает окно свойств для выделенного профиля.

Copy: Эта опция копирует выделенный профиль в буфер.

Cut: Эта опция удаляет выделенный профиль из списка и копирует его в буфер.

Paste: Эта опция копирует профиль из буфера в список. Если профиль выделен, новый будет помещен на место выделенного. Во всех прочих случаях он копируется в конец списка.

Указание: Можно получить доступ ко всем этим опциям через инструментальное меню в верхней части окна.
В этом случае сначала выделите профиль, нажав на нем левой клавишей мыши, а затем нажмите необходимую опцию.

! Для удаления профиля доступа он не должен использоваться ни одним из пользователей (более подробно об этом см. раздел

Редактирование параметров WWW proxy).

В случае добавления или редактирования профилей откроется упомянутое выше окно свойств:

Окно свойств для профилей доступа WWW

Это окно состоит из четырех папок: первая определяет общие опции профиля, а другие - опции фильтрации для каждого протокола, который поддерживается WWW (HTTP/HTTPS, FTP и Gopher).

! Протокол HTTPS для первоначального URL фильтруется по правилам HTTP протокола. Однако после установления соединения межсетевой экран не может фильтровать по содержимому пакетов, поскольку между клиентом и удаленным сервером данные передаются в зашифрованном виде.

Общие опции профиля:

В общих опциях профиля определяются следующие поля:

Name: Имя профиля доступа. Это имя будет фигурировать в списке профилей (показанном выше) и в окне настройки WWW proxy. Не может существовать двух профилей с одинаковыми именами.

URLs with IP address are allowed:Если эта опция задана, будет разрешен доступ к URLs с IP адресами вместо имен (например, http://127.0.0.1/index.shtmll). Если эта опция не установлена, доступ возможен только к URL, заданным с помощью имен.

! Если WWW proxy настроен для фильтрации URLs, то эту опцию задать, чтобы сделать невозможным для пользователей доступ к URLs через IP адреса. Иначе, даже если имена блокированы, пользователь сможет получить доступ к URL через его IP адрес. Можно добавить IP адреса в правила фильтрации профиля (если необходима фильтрация), однако, из-за постоянных изменений IP адресов и тому, что некоторые серверы имеют больше одного IP адреса, это становится чрезвычайно сложным делом.

Block: Это поле определяет специальную фильтрацию для WWW страниц, блокируя (или нет) те характеристики, которые считаются опасными для некоторых систем. Она в свою очередь состоит из трех опций, которые можно установить независимо: Javascript, Java и Active X.

Если какая- либо из этих опций установлена, соответствующие апплеты будут фильтроваться.

! Фильтрация JavaScript, Java и Active X ведет к тому, что фильтруемая страница выглядит, как-будто браузер не поддерживает эти языки. В некоторых случаях это может привести к потере функциональных качеств Web страниц.

Опции фильтрации WWW

Опции фильтрации WWW позволяют определить правила фильтрации URL для протоколов HTTP/HTTPS, FTP и Gopher. Для упрощения определения этих правил фильтрации созданы три папки с одинаковыми форматами, каждая папка предназначена для своего протокола.

Чтобы проиллюстрировать создание правил, выберем папку для протокола HTTP. Ее формат показан ниже:

Эта папка состоит из списка, в котором каждое правило показано в отдельной строке. Кроме этой строки, существует поле Default Action, в котором можно определить действие, выполняемое, в случае когда адрес, к которому клиент хочет получить доступ, не соответствует никакому правилу фильтрации: если установлена опция accept, доступ будет разрешен, если опция reject, межсетевой экран откажет в доступе.

Чтобы выполнить любое действие на конкретном правиле, нажмите правой клавишей мыши на этом правиле. Откроется следующее меню (это меню появляется всегда, если нажать правой клавишей мыши, даже если нет выделенных правил. В этом случае будут доступны только опции Add и Paste).

Add: Эта опция позволяет добавить новое правило в список. Если выделено какое-либо правило, новое вставляется на место выделенного правила. Во всех других случаях новое правило добавляется в конец списка.

Delete: Эта опция удаляет выделенное правило из списка.

Edit: Эта опция открывает окно редактирования для выделенного правила.

Copy: Эта опция копирует выделенное правило в буфер.

Cut: Эта опция удаляет выделенное правило из списка и копирует его в буфер.

Paste: Эта опция копирует правило из буфера в список. Если правило выделено, новое будет копироваться на место выделенного. Во всех других случаях оно копируется в конец списка.

Указание: Ко всем этим опциям можно получить доступ через инструментальное меню, расположенное над списком. В этом случае сначала выделите правило, нажав на нем левой клавишей мыши, а затем выберите необходимую опцию.

! Порядок следования правил в списке очень важен. Как только межсетевой экран получает запрос на доступ к некоторому адресу, он просматривает список с самого начала в поисках правила, которому удовлетворяет адрес. Обнаружив его, он начинает выполнять действие, соответствующее этому правилу.

В случае добавления или редактирования правил открывается упомянутое выше окно редактирования:

Окно редактирования для WWW правил

В этом окне можно настроить все параметры, связанные с правилом фильтрации для WWW proxy. Для определения правила нужно заполнить следующие поля::

Action: Определяет действие, которое выполняется для всех адресов, которые соответствуют правилу. Значение accept позволяет получить доступ к URL. Значение reject запрещает доступ.

Operation: Тип поиска, указанный пользователем, который выполняется с URL. Эта опция содержит следующие варианты выбора:

CONTAINS: Выражение может находиться в любой позиции.

DOESN'T CONTAIN: URL не содержит выражения.

IS: URL должен в точности соответствовать выражению.

IS NOT: URL должен отличаться от выражения.

STARTS WITH: URL должен начинаться с выражения.

DOESN'T START WITH: URL не должен начинаться с выражения.

ENDS WITH: URL должен заканчиваться выражением.

DOESN'T END WITH: URL не должен заканчиваться выражением.

Text: Подлежащее поиску выражение. Это поле содержит последовательный текст, который сравнивается с URL в соответствии с правилами, определенными в поле operation.

Создание / редактирование аутентификаторов

Для регистрации объекта типа "аутентификатор" необходимо заполнить следующие поля:

Имя:имя, которое будет использоваться межсетевым экраном для обращения к данному аутентификатору сети. Можно указывать это имя вручную или присваивать его автоматически. Опция Automatic Name позволяет выбирать между двумя режимами работы; автоматическим (если она установлена), и ручным.

! В именах объектов заглавные и строчные буквы различаются. Поэтому возможно существование большого числа объектов, имена которых составлены из одних и тех же букв, но различаются комбинациями их строчного и заглавного написания. Так объекты Aker, AKER и aker считаются различными.

Иконка: Это иконка, которая будет ассоциироваться с аутентификатором. Для ее модификации надо нажать на графическое изображение значка. Тогда межсетевой экран покажет список всех возможных значков, представляющих аутентификаторы. Для выделения одного из них нужно нажать на его изображение и кнопку OK. Если вы не хотите модифицировать значок, то после просмотра списка достаточно нажать кнопку Cancel.

IP: IP адрес создаваемого аутентификатора.

Пароль:это пароль, используемый для генерации аутентификатора и ключей шифрования, применяемых для соединения с агентом аутентификации. Этот пароль должен совпадать с паролем, определенном при настройке агента. Для получения более подробной информации смотрите главу Работа с proxy серверами.

Срок жизни кэша: при каждом успешном проведении аутентификации межсетевой экран сохраняет в памяти все данные, полученные от пользователя и агента аутентификации. Таким образом, при последующих аутентификациях межсетевой экран уже имеет все необходимые данные и не должен снова запрашивать информацию у агента. Это приводит к существенному повышению производительности.

Данный параметр позволяет установить время в секундах, в течение которого межсетевой экран хранит информацию об аутентификации в памяти. Для получения более подробной информации смотрите главу Работа с proxy серверами. Чтобы выполнить создание аутентификатора или его модификации, после заполнения всех полей необходимо нажать кнопку OK. Для отмены создания или модификации аутентификатора надо нажать кнопку Cancel.

Чтобы облегчить правильное создание множества аутентификаторов существует кнопка Create New (недоступная во время редактирования). Если нажать на эту кнопку, появится форма создания аутентификатора с заполненными полями. Этим способом можно быстро создавать большое число аутентификаторов

Создание/редактирование хостов

Для регистрации объектов типа "хост" необходимо заполнить следующие поля:

Имя: имя, которое будет использоваться межсетевым экраном для обращения к данному хосту. Можно указывать это имя вручную или присваивать его автоматически. Опция Automatic Name позволяет выбирать между двумя режимами работы; автоматическим (если она установлена), и ручным

Icon: это иконка, которая будет ассоциироваться с хостом . Для ее модификации надо нажать на графическое изображение значка. Тогда межсетевой экран покажет список всех возможных значков, представляющих хосты. Для выделения одного из них нужно нажать на его изображение и кнопку OK. Если вы не хотите модифицировать значок, то после просмотра списка достаточно нажать на кнопку Cancel.

IP: IP создаваемого хоста. Для создания или модификации хоста после заполнения всех полей необходимо щелкнуть на кнопке OK. Для отмены создания хоста или сделанных модификаций щелкните на кнопке Cancel.

Чтобы облегчить правильное создание множества хостов существует кнопка Create New (недоступная во время редактирования). Если нажать на эту кнопке, появится форма создания хоста с заполненными полями. Этим способом можно быстро создавать большое число хостов.

Создание / редактирование наборов

Для регистрации объекта типа "набор" необходимо заполнить следующие поля:

Имя: Имя создаваемого набора. Опция Automatic Name позволяет выбирать между двумя режимами работы ввода имени; автоматическим (если она установлена), и ручным

Icon: Это иконка, которая будет ассоциироваться с набором. Для ее модификации надо нажать на графическое изображение значка. Тогда межсетевой экран покажет список всех возможных значков, представляющих наборы. Для выделения одного из них нужно нажать на его изображение и кнопку OK. Если вы не хотите модифицировать значок, то после просмотра списка достаточно нажать кнопку Cancel. После заполнения имени и выбора иконки для набора, необходимо определить, какие хосты и сети будут в него входить:

В окне размещаются два списка: верхний список показывает все хосты и сети, определенные в системе. Нижний список показывает, какие из этих хостов и сетей уже принадлежат набору.

В правой стороне окна расположены два значка представляющие два типа объектов, которые можно добавить к набору - хосты и сети. Справа под значками помещается список, в котором можно выделить, следует ли показать на дисплее только хосты или только сети, или сразу оба объекта.

Указание: Для выбора типа объекта можно нажать или на имя типа в списке или на соответствующий значок. Чтобы добавить хост или сеть к набору, необходимо выполнить следующие действия:

Выберите добавляемый хост или сеть в верхнем списке окна (если необходимо, выбрав сначала соответствующий тип объекта).

Нажмите кнопку Add. (только что добавленный объект будет помечен красным значком V для указания, что он теперь принадлежит набору)

Чтобы удалить сеть или хост из набора, необходимо сделать следующее:

Выделить удаляемый хост или сеть из нижнего списка окна.

Нажать кнопку Remove. (удаляемый объект больше не будет помечен значком V)

Для выполнения процедуры создания набора или его модификации после заполнения всех полей необходимо нажать кнопку OK. Чтобы отменить создание набора или сделанные модификации, надо нажать кнопку Cancel.

Чтобы облегчить создание множества наборов существует кнопка Create New (недоступная во время редактирования). Если ее нажать, появится форма создания набора с заполненными полями. Этим способом можно быстро создавать большое число наборов.

Создание/редактирование описания сетей

Для регистрации объекта типа "сеть" необходимо заполнить следующие поля:

Имя: имя, которое будет использоваться межсетевым экраном для обращения к данной сети. Можно указывать это имя вручную или присваивать его автоматически. Опция Automatic Name позволяет выбирать между двумя режимами работы; автоматическим (если она установлена), и ручным.

Icon: Это иконка, которая будет ассоциироваться с сетью. Для ее модификации надо нажать на графическое изображение значка. Тогда межсетевой экран покажет список всех возможных значков, представляющих сети. Для выделения одного из них нужно нажать на его изображение и кнопку OK. Если вы не хотите модифицировать значок, то после просмотра списка достаточно нажать на кнопку Cancel.

IP: IP адрес создаваемой сети.

Netmask: Сетевая маска создаваемой сети. Для создания или модификации сети после заполнения всех полей необходимо нажать кнопку OK. Для отмены создания сети или сделанных модификаций нажмите кнопку Cancel.

Чтобы облегчить правильное создание множества сетей существует кнопка Create New (недоступная во время редактирования). Если нажать на эту кнопку, появится форма создания сети с заполненными полями. Этим способом можно быстро создавать большое число сетей

Создание / редактирование сервисов

Для регистрации объектов типа "сервис" необходимо заполнить следующие поля:

Имя: имя, которое будет использоваться межсетевым экраном для обращения к данному сервису. Можно указывать это имя вручную или присваивать его автоматически. Опция Automatic Name позволяет выбирать между двумя режимами работы; автоматическим (если она установлена), и ручным.

! В именах сервисов заглавные и строчные буквы различаются. Поэтому возможно существование большого числа сервисов, имена которых составлены из одних и тех же букв, но различаются комбинациями их строчного и заглавного написания. Так сервисы Aker, AKER и aker считаются различными.

Иконка: Это иконка, которая будет ассоциироваться с сервисом. Для ее модификации надо нажать графическое изображение значка. Тогда межсетевой экран покажет список всех возможных значков, представляющих сервисы. Для выделения одного из них нужно нажать на его изображение и кнопку OK. Если вы не хотите модифицировать значок, то после просмотра списка достаточно нажать кнопку Cancel.

Протокол: Используемый сервисом протокол

Сервис: это число, которое идентифицирует сервис. В случае TCP и UDP протоколов это число определяет порт назначения. В случае ICMP протокола - это тип сервиса, а в случае других протоколов - номер протокола. Чтобы облегчить создание сервиса, межсетевой экран имеет для каждого протокола список основных сервисов. Однако, возможно использование значений, не представленных в списке, если вы просто введете эти значения в поле.

Если вы хотите указать область значений вместо одного, достаточно нажать кнопку рядом с именами Service1 и Service2 и указать нижнее значение границы области в Service1, а верхнее - в Service2. Все значения между этими двумя, включая границы, будут рассматриваться как составляющие сервиса.

Proxy: это поле доступно только для TCP протокола и позволяет установить, будет ли соединение, удовлетворяющее данному сервису, автоматически перенаправлено одному из прозрачных proxy межсетевого экрана Aker или нет.
Значением по умолчанию является No Proxy, означающее, что соединение не будет перенаправлено никакому proxy. Другие опции представляют SMTP Proxy и Telnet Proxy, которые перенаправляют соединение соответственно SMTP и Telnet Proxy.

! Сервис Telnet привязан к порту 23, а SMTP - к порту 25. Можно установить, что бы соединения по любым другим портам перенаправлялись бы одному из упомянутых выше proxies; однако такие настройки не следует производить самостоятельно, пока вы не выясните все возможные последствия этого шага.

Если вы определили, что соединение должно быть перенаправлено proxy, то необходимо выбрать, какой контекст будет использован данным proxy для этого сервиса. Это делается с помощью поля Context Name. Это поле будет показывать на дисплее имена всех определенных контекстов для выбранного proxy и позволяет выделить одно из них. Для получения более подробной информации о прозрачных proxy-серверах смотрите главу Работа с proxy серверами . Чтобы завершения создания или модификации сервиса, необходимо после заполнения полей щелкнуть кнопку OK. Для отмены надо щелкнуть кнопку Cancel.

Чтобы облегчить правильное создание множества сервисов существует кнопка Create New (недоступная во время редактирования). Если нажать на эту кнопку, будет создана форма создания сервиса с заполненными полями. Этим способом можно быстро создавать большое число сервисов.

Создание защищенных каналов

В этой главе показано, как создавать защищенные коммуникационные каналы в Интернет. Эти каналы используются для подключения сетей через Интернет таким способом, чтобы информация, передаваемая через Интернет, была бы надежно защищена от чтения или модификации.

Список защищаемых объектов

Список защищаемых объектов определяет хосты, сети или наборы, которые будут защищены межсетевым экраном. В верхнем списке собраны все зарегистрированные в системе хосты, сети и наборы, а в нижнем списке - подлежащие защите объекты.

Для включения нового элемента в список для защиты, нужно сделать следующее:

Выделить включаемый объект в верхнем списке при помощи левой клавиши мыши.

Нажать расположенную слева снизу кнопку Добавить

Чтобы удалить объект из списка для защиты, следует выполнить следующие действия:

Выделить удаляемый объект в нижнем списке при помощи левой клавиши мыши.

Нажать кнопку Remove, расположенную справа над списком.

! Все серверы для любого TCP сервиса, которые доступны для внешних хостов, следует поместить в список защищаемых объектов. Однако, адрес межсетевого экрана не должен фигурировать в этом списке, так как операционная система FreeBCD нечувствительна к SYN атакам.

Статистика и события

Что произойдет, если закончится нет свободное дисковое пространства для хранения статистики или событий ?

При разработке межсетевого экрана Aker проблема безопасности рассматривалась как наиболее важная. Межсетевой экран, работающий без защищенной системы сбора статистики, обладает серьезной дырой в защите. По этой причине, после тщательного анализа возможных действий для решения проблемы недостатка дискового пространства остановились на следующем:

Обнаружив недостаток дискового пространства для хранения статистики и событий, межсетевой экран немедленно блокирует роутинг IP пакетов. Это ведет к тому, что все проходящие через межсетевой экран соединения автоматически разрываются, а новые соединения не открываются.

Межсетевой экран генерирует предупреждения о недостатке дискового пространства, посылая их в syslogd хоста, на котором запущен межсетевой экран, и, кроме того, он посылает аварийные сообщения удаленному графическому интерфейсу пользователя. Эти специальные аварийные сообщения не описаны в окне реакции системы.

Единственный способ заставить работать межсетевой экран после обнаружения недостатка дискового пространства - это увеличить пространство, доступное для хранения статистики и событий, или стереть файл регистрации или событий (невозможно сжать эти файлы, так как для выполнения сжатия необходимо дисковое пространство). После этого надо заново перегрузить хост или ввести следующую команду, чтобы восстановить маршрутизацию.

sysctl -w net.inet.ip.forwarding=1

Я только что получил аварийное сообщение в графическом интерфейсе пользователя, гласящее: "Не хватает дискового пространства для хранения статистики" или "Не хватает дискового пространства для хранения событий". С этого момента я не могу установить никакого соединения с внешний сетью. Как мне решить эту проблему?

См. предыдущий пункт.

Структура документа

Это руководство состоит из 23 глав и 3 приложений. В каждой главе описывается один из аспектов настройки продукта и общие вопросы по этому разделу.

Все главы начинаются с теоретического введения в рассматриваемый вопрос, за которым следует пояснение специфических аспектов настройки Aker. Кроме того, некоторые главы включают практические примеры ( гипотетические, но близкие к реальности ситуации) использования конфигурируемых сервисов, что позволяет облегчить понимание разнообразных конфигураций.

Чтобы составить общее представление о Руководстве, мы рекомендуем хотя бы раз внимательно прочитать его с начала до конца. А далее, по мере необходимости, им можно пользоваться как справочным руководством (для облегчения использования этого руководства все главы разбиты на отдельные темы-параграфы, указатель на которые дан в основном оглавлении. При такой структуре Руководства любую информацию можно найти быстро и легко).
Иногда в тексте встречается символ, за которым следует текст, выделенный красным цветом. Это означает, что этот текст очень важно понять перед тем, как продолжить чтение.

Типы аутентификации и алгоритмы шифрования

В настоящее время существуют различные алгоритмы аутентификации и шифрования. В этом разделе будут рассмотрены только те из них, которые поддерживаются межсетевым экраном Aker.

Одним из параметров оценки прочности алгоритма является размер ключа. Чем большее количество бит содержится в ключе, тем больше можно составить всевозможных комбинаций, и тем сильнее, теоретически, данный алгоритм должен противостоять атакам.

Алгоритмы аутентификации:

MD5

это сокращение от Message Digest 5. Этот алгоритм, создан и запатентован RSA Data Security, Inc., но при этом он может быть без ограничений использован для любых приложений. Он применяется для создания электронных подписей со 128 битами в сообщениях любого размера и считается достаточно быстрым и защищенным алгоритмом.

SHA

это сокращение от Secure Hash. Этот алгоритм позволяет генерировать электронные подписи длиной 160 бит для сообщений любого размера. Он считается более защищенным алгоритмом в сравнении с MD5, однако его производительность в среднем на 50% ниже в реализации, используемой в межсетевом экране Aker.

В межсетевом экране Aker используется версия SHA-1, незначительно скорректированная по сравнению с SHA. Тем не менее, в данном руководстве и в административном интерфейсе она всегда будет называться SHA.

Алгоритмы шифрования:

DES

DES - это сокращение от Data Encryption Standard, он создан IBM в семидесятых годах и до недавнего времени был принят в качестве стандарта в правительстве США . В аппаратных реализациях этот алгоритм оказывается достаточно быстрым; правда, его скорость недостаточна при программной реализации. Его криптографические ключи имеют фиксированный размер в 56 бит, что считается недостаточным для сегодняшних стандартов. Поэтому для критических приложений предпочтение следует отдавать другим алгоритмам.

Triple DES или 3DES

Алгоритм Triple DES заключается в троекратном применении алгоритма DES с использованием трех различных ключей для одних и тех же данных. Это эквивалентно использованию алгоритма с ключом в 112 бит, что приводит к резкому повышению уровня безопасности по сравнению с DES. Его главным недостатком остается то, что он в два раза медленнее, чем DES (в реализации, используемой межсетевым экраном Aker).

Традиционные proxy сервера

Чтобы хост мог воспользоваться сервисами, поддерживаемыми proxy, он должен знать об их существовании, т.е. должен знать, что вместо соединения с удаленным сервером, ему следует связаться с proxy и послать ему свой запрос.

Многие клиенты умеют работать через proxy сервера (например, большинство существующих браузеров). Чтобы воспользоваться функциональными возможностями proxy, необходимо только настроить программу для работы с ними. Однако не все клиенты могут работать таким образом. В этих обстоятельствах единственное решение - заменить TCP/IP стек во всех хостах-клиентах, чтобы все соединения прозрачно пересылались на proxy.

Этот подход сопряжен с определенными трудностями, не говоря уже о сложности модификации всех хостов-клиентов; иногда просто не существует способа модификации поддержки TCP/IP , что не дает возможности клиентам этих платформ использовать proxy сервера.

Приведенная ниже схема иллюстрирует основной процесс работы традиционного proxy сервера:

Существуют два различных типа преобразования

Существуют два различных типа преобразования сетевых адресов: 1-1 и много - 1. Каждый из них обладает своими характерными особенностями. Для улучшения результатов обычно применяют их комбинацию.

1-1

Тип 1-1 - наиболее понятный, но обычно наименее полезный. Он заключается в создании пары адресов с отображением одного зарезервированного адреса в один реальный адрес. В результате различные хосты будут иметь различные адреса трансляции.

Очень существенное ограничение этого типа состоит в невозможности отображения большего количества хостов, чем количество реальных адресов, поскольку они всегда преобразуются по схеме один-в-один. С другой стороны, эта процедура позволяет иметь доступ извне к хостам с зарезервированными адресами.

Много - 1

Преобразование много-в-один, как свидетельствует его название, делает возможным нескольким хостам с зарезервированными адресами использовать один и тот же реальный адрес. Чтобы достичь этой цели, преобразование использует IP-адреса в комбинации с портами (в случае TCP и UDP протоколов) и в комбинации с порядковыми номерами (в случае ICMP). Это отображение производится динамически межсетевым экраном каждый раз, когда устанавливается соединение. Поскольку существует 65535 портов или различных порядковых номеров, то можно осуществить до 65535 одновременных активных соединений, использующих один и тот же адрес.

Единственным ограничением этой технологии является то, что она не позволяет иметь доступ к внутренним хостам снаружи. Все соединения должны инициироваться изнутри.

Трансляция сетевых адресов (NAT)

Я получаю сообщения о том, что заполнена таблица трансляции для TCP (или UDP) протокола; однако, при просмотре окна активных соединений видно, что число активных соединений в данный момент заметно меньше максимально допустимого значения, установленного в системе. В чем тут дело?

Дело в том, что транслятор сетевых адресов считает активными те соединения, которые еще не достигли тайм-аута (установленного в окне настройки параметров), независимо от того, были ли эти соединения закрыты или нет.

Предположим, что тайм-аут составляет 900 секунд (предустановленное значение). Тогда это означает, что все соединения, установленные в течение последних 15 минут, содержаться удерживаться в таблице трансляции. Некоторые протоколы, такие как HTTP, используют большое число небольших соединений для передачи данных, и в связи с этим они могут явиться причиной того, что таблица соединений транслятора адресов будет заполнена явно меньшим числом соединений, чем ожидалось.

Решение этой проблемы состоит в том, чтобы увеличивать максимальное число соединений до тех пор, пока не будет найдено значение, при котором не будут генерироваться данные сообщения.

Когда я пользуюсь транслятором сетевых адресов межсетевого экрана Aker с FTP, на дисплее появляются два соединения к одному и тому же хосту назначения, одно с моего хоста, а другое с межсетевого экрана. В чем дело?

Это нормальное поведение транслятора сетевых адресов в отношении FTP протокола. На дисплее соединения всегда появляются парами, что продемонстрировано ниже на примере (предположим, что межсетевой экран имеет IP адрес 200.239.39.1):

10.0.0.1 1078 aaa.bbb.ccc.ddd 21

200.239.39.1 1040 aaa.bbb.ccc.ddd 21

Два соединения появляются на дисплее потому, что FTP соединение клиента прозрачно перенаправляется FTP proxy, запущенному на межсетевом экране, и этот proxy устанавливает соединение в направлении необходимого сервера. Такое происходит только в отношении контрольного канала FTP. Канал передачи данных, так же как и соединения других протоколов, проходит через обычный транслятор сетевых адресов, запущенный внутри ядра.

Как только я добавляю хост в серверную таблицу трансляции, все инициированные таким хостом соединения имеют адрес источника св соответствии с таблицей, кроме FTP соединений, которые имеют в качестве адреса источника глобальный виртуальный адрес. Что я делаю неправильно?

Ничего. Все FTP соединения автоматически перенаправляются локальному proxy, и поэтому, в качестве виртуальный IP адрес является их адресом источника. Этот процесс происходит независимо от того, имеет ли хост свой IP адрес в серверной таблице трансляции или нет.

Требования к аппаратному и программному обеспечению

Межсетевой экран Aker 3.0 работает под управлением операционной системы FreeBSD, версий 2.2.1 или 2.2.5, на платформах Intel или совместимых с ней. Поскольку система FreeBSD является бесплатной, она поставляется вместе с дистрибутивом межсетевого экрана Aker. Таким образом, все необходимое для его инсталляции Aker находится на его дистрибутиве.

Список аппаратных средств, необходимых для стабильной работы межсетевого экрана Aker, приведен ниже (все компоненты аппаратного обеспечения должны поддерживаться ОС FreeBSD версий 2.2.1 или 2.2.5)

Компьютер 486 DX2-66 или совместимый с ним.

При использовании высокоскоростного канала или на быстром канале криптографии Вам необходим компьютер PentiumTM или совместимый с ним

16 Мбайт ОЗУ

Если Вы хотите использовать большое количество сервисов, Вам может понадобиться память объемом 48 или 64 Мбайт.

Дисковая память 500 Мбайт

Если вы хотите сохранить статистику (журналы) системы в течение длительного периода, вам может понадобиться большее дисковое пространство.

Монитор

Он необходим только во время инсталляции, но мы рекомендуем иметь его всегда.

Сетевой адаптер(ы)

Максимальное число сетевых адаптеров ограничивается только аппаратными возможностями компьютера

! Ответственность за представленный ниже список аппаратного обеспечения несет непосредственно FreeBSD. Aker Consultancy и Informatique не несет ответственности за правильность этого списка, включенного сюда только для информации. Перед приобретением сетевого адаптера проверьте, поддерживается ли он операционной системой.

Allied-Telesis AT1700 and RE2000 cards

SMC Elite 16 WD8013, WD8003E, WD8003EBT, WD8003W, WD8013W, WD8003S, WD8003SBT и клоны WD8013EBT. Также поддерживается SMC Elite Ultra.

DEC EtherWORKS III NICs (DE203, DE204, и DE205)

DEC EtherWORKS II NICs (DE200, DE201, DE202, и DE422)

DEC DC21040/DC21041/DC21140:

ASUS PCI-L101-TB

Accton ENI1203

Cogent EM960PCI

Compex CPXPCI/32C

D-Link DE-530

DEC DE435

Danpex EN-9400P3

JCIS Condor JC1260

Linksys EtherPCI

Mylex LNP101

SMC EtherPower 10/100 (Model 9332)

SMC EtherPower (Model 8432)

SMC EtherPower (2)

Zynx ZX342

DEC FDDI (DEFPA/DEFEA) NICs

Fujitsu FMV-181 и FMV-182

Fujitsu MB86960A/MB86965A

Intel EtherExpress

Intel EtherExpress Pro/100B 100Mbit.

Isolan AT 4141-0 (16 bit)

Isolink 4110 (8 bit)

Novell NE1000, NE2000, NE2100.

3Com 3C501 карты

3Com 3C503 Etherlink II

3Com 3c505 Etherlink/+

3Com 3C507 Etherlink 16/TP

3Com 3C509, 3C579, 3C589 (PCMCIA) Etherlink III

3Com 3C590, 3C595 Etherlink III

3Com PCMCIA Etherlink III (aka 3c589)(только A-C)

HP PC Lan Plus (27247B и 27252A)

Toshiba ethernet cards

PCMCIA ethernet карты от IBM и National Semiconductor тоже поддерживаются.

3 1/2 дюймовый дисковод

Необходим только во время инсталляции.

Перед приобретением любого устройства необходимо убедиться, что он поддерживается используемой в межсетевом экране версией FreeBSD.
Более полную информацию по поддерживаемым FreeBSD устройствам можно получить: http://www.freebsd.org, http://www2.ru.freebsd.org или их зеркалах.

! Aker Consultancy и Informatique и Релком-Альфа не будут нести ответственности за любую проблему c настройкой, эксплуатацией, совместимостью, связанными с операционной системой FreeBSD.

Удаление агента аутентификации для NT

Для упрощения процесса удаления агента аутентификации существует утилита, которая делает это автоматически. Для ее запуска нажмите меню Start, выделите группу Aker Firewall, и в этой группе опцию Remove authentication agent. Откроется следующее окно:

Для удаления агента нажмите кнопку Yes, для отмены удаления - кнопку No.

Удаленное администрирование

Я пользуюсь удаленным администрированием через Интернет. Существует ли риск того, что мой пароль будет перехвачен?

Нет. Пароль пользователя никогда не посылается через сеть в незашифрованном виде. Метод аутентификации основан на вызовах - ответах, по которым межсетевой экран может аутентифицировать пользователя без получения его пароля, а удаленный интерфейс способен аутентифицировать межсетевой экран.

Я потерял пароль единственного администратора, зарегистрированного в системе. Существует ли способ его восстановления?

Не существует доступного способа восстановления утерянного пароля. Тем не менее, можно использовать локальный модуль администрирования пользователями, чтобы создать другого администратора или заменить пароль существующего администратора на известный пароль. Локальный модуль может быть запущен командой /etc/firewall/fwadmin от имени пользователя root

Управление пользователями межсетевого экрана

В этой главе показывается, как создавать пользователей для удаленного управления межсетевым экраном Aker.

Установка агента аутентификации в Windows NT

Установка агента аутентификации в Windows NT очень проста. Для этого нужно смонтировать CD диск Aker Firewall 3.0 на хосте назначения или скопировать содержимое каталога с инсталлированным агентом из CD в какой-либо временный каталог в этом хосте.

Затем надо нажать меню Start, выделить в нем опцию Run

и ввести с клавиатуры в поле Open следующую команду: D:\agent\NT\install

(если CD диск смонтирован на устройство, отличное от D, замените D соответствующей буквой).

Программа сначала откроет окно, в котором следует подтвердить необходимость инсталляции. Для этого на вопрос о продолжении инсталляции надо ответить Yes. В этом случае появится следующее окно:

Окно параметров инсталляции агента для Windows NT

В поле Simultaneous firewalls нужно ввести число межсетевых экранов, которые будут одновременно использовать аутентификатор (это число отлично от 1 только в случае, если число межсетевых экранов в сети, которые используют для аутентификации одного и того же агента, больше 1).

Опция Start agent automatically on boot позволяет автоматически запускать агента при каждом перезапуске хоста. Если эта опция установлена, агент должен запускаться вручную.

После заполнения всех значений необходимо нажать кнопку Next. Процедура инсталляции включает следующие действия: создание каталога с файлами агента и именем fwntaa, создание группы под названием Aker Firewall с опциями для настройки и удаления агента, и создание сервиса, называемого Aker Firewall Authentication agent. Этот сервис является обычным сервисом Windows NT, его можно остановить или запустить через Control Panel , опция сервисы.

! Агент аутентификации слушает запросы на порту 1021/TCP. Во время работы агента не должно быть других приложений, использующих этот порт.

Важные замечания по работе агента для NT

Следует остановиться на двух важных моментах, связанных с правильным функционированием агента аутентификации для Windows NT:

-Необходимо, чтобы все пользователи, которые будут аутентифицироваться, имели полномочие Log on Locally на сервере, на котором запущен агент. Для проверки выполните следующие шаги:

Запустите User Manager for Domain. В нем выберите меню Policies

и выделите опцию User Rights.

Выберите опцию Log on locally и добавьте все группы или пользователей, которые будут проходить аутентификацию. Для упрощения процедуры можно использовать группу Everyone.

Опция User must change password at next logon не должна быть установлена, в противном случае пользователь не сможет пройти аутентификацию

Назад | Содержание | Вперед

Восстановление с резервной копии

Эта опция позволяет восстановить с резервной копии полной конфигурации межсетевого экрана.

Для восстановления с резервной копии надо сделать следующее::

Выбрать меню Tools в главном окне

Выбрать опцию Restore backup

Окно восстановления с резервной копии :

Это окно позволяет выбрать имя файла, из которого восстанавливается конфигурация. После указания имени межсетевой экран читает все содержимое файла, проверяет правильность его содержимого и в случае отсутствия каких-либо ошибок открывается следующее окно (если в файле есть ошибки, будет показано сообщение об ошибке]:

В верхней части окна находится описание резервной копии, которое было сделано при ее сохранении. В середине окна приводятся краткая информация по восстанавливаемой конфигурации.

Кнопка Restore восстанавливает копию и немедленно обновляет конфигурацию межсетевого экрана.

Кнопка Close закрывает окно без восстановления с резервной копии.

Кнопка Help открывает окно помощи по данному разделу

Восстановление в случае аварии

В случае потери данных необходимо сделать следующее:

В случае потери конфигурационных данных или файлов статистики и событий достаточно восстановить одну из упомянутых выше копий.

! Важно убедиться, что ни один из процессов обработки межсетевого экрана Aker не запущен в момент восстановления файлов. Для этого перезапустите хост в однопользовательский режим ( это можно сделать, используя опцию -s команды boot при загрузке операционной системы boot:) или "убейте " все запущенные в межсетевом экране процессы (это можно сделать с помощью команды kill `ps -ax | grep fw | grep -v grep | cut -c 1-5`).

Для восстановления с резервной копии, сделанной с помощью команды tar, необходимо выполнить следующую последовательность команд (команды должны выполняться пользователем root):

cd /

tar xvfz /conf.tgz

(восстанавливает конфигурационные файлы) tar xvfz /log.tgz

(восстанавливает файлы статистики и событий)

Если произошла потеря всей информации, сначала необходимо проверить, цела ли операционная система. В случае каких-либо сомнений инсталлируйте заново FreeBSD. После этого инсталлируйте межсетевой экран Aker, используя все процедуры, описанные в главе Инсталляция

. Когда все заработает, восстановите резервные копии конфигурационных файлов и файлов статистики и событий, как показано выше.

Назад | Содержание | Вперед

Этот документ предназначен для пользователей

Этот документ предназначен для пользователей межсетевого экрана Aker версии 3.0 и содержит описание правил его настройки.

Выполняемые программы

Программы, которые могут использоваться администраторами межсетевого экрана Aker

/etc/firewall/fwadmin - интерфейс командной строки для администрирования пользователей

/etc/firewall/fwacao - интерфейс командной строки для настройки реакции системы

/etc/firewall/fwchave - интерфейс командной строки для определения ключа активизации системы

/etc/firewall/fwconex - интерфейс командной строки для доступа к активным соединениям

/etc/firewall/fwconver - интерфейс командной строки для настройки трансляции адресов

/etc/firewall/fwcripto - интерфейс командной строки для настройки защищенных каналов

/etc/firewall/fwent - интерфейс командной строки для создания объектов

/etc/firewall/fwflood - интерфейс командной строки для настройки защиты от SYN атак

/etc/firewall/fwlog - интерфейс командной строки для доступа к файлам статистики и событий

/etc/firewall/fwpar - интерфейс командной строки для настройки общих параметров

/etc/firewall/fwregra - интерфейс командной строки для настройки пакетного фильтра

/etc/firewall/fwupgrade - Утилита для конвертирования конфигурационных файлов межсетевого экрана Aker версии 2.0 в формат версии 3.0

Программы, которые НЕ МОГУТ напрямую использоваться администратором

/kernel - модифицированное ядро операционной системы с межсетевым экраном Aker

/usr/sbin/syslogd - модифицированный syslog демон для межсетевого экрана Aker

/etc/firewall/fwauthd - сервер аутентификации пользователей

/etc/firewall/fwconfd - коммуникационный сервер для удаленных интерфейсов

/etc/firewall/fwdnsd - сервер разрешения имен для удаленных интерфейсов

/etc/firewall/fwinit - программа инициализации межсетевого экрана Aker

/etc/firewall/fwftppd - FTP proxy для трансляции адресов

/etc/firewall/fwhttppd - непрозрачный WWW proxy

/etc/firewall/fwresolv - клиент разрешения имен для удаленных интерфейсов

/etc/firewall/fwtrap - модуль для посылки SNMP прерываний

/etc/firewall/fwsmtppd - прозрачный SMTP proxy

/etc/firewall/fwsrvlog - сервер статистики и событий

/etc/firewall/fwsyncd - сервер, отвечающий за генерацию ключа и синхронизацию

/etc/firewall/fwtelnetd - прозрачный Telnet proxy

/etc/firewall/snmpd - SNMP агент

Записи пакетного фильтра или криптографического модуля

Любая запись может появляться с предшествующим ей специальным сообщением. Полный список всех возможных сообщений и их смысл приводится в Приложении А .

TCP протокол

Формат записей :

Описание полей:

A: Аутентифицированный пакет
E: Зашифрованный пакет
S: Пакет использует обмен ключей через SKIP протокол Action: Поле описывает действие системы в отношении пакета. Возможны следующие значения:

A:Пакет был пропущен межсетевым экраном.
D: Пакет был блокирован.
R: Пакет был отброшен. Source IP: IP адрес источника пакета.
Source port: Номер порта источника пакета.
Destination IP : IP адрес назначения пакета.
Destination port: Номер порта назначения пакета.
Flags: Флаги TCP протокола, присутствующие в пакете,. Это поле содержит один из шести независимых символов. Наличие символа показывает наличие соответствующего флага в пакете.

Символы имеют следующие значения:
S: SYN
F: FIN
A: ACK
P: PUSH
R: RST (Reset)
U: URG (Urgent Pointer) Interface: Сетевой интерфейс, из которого прибыл пакет.

Примеры:

01/01/1970 12:00:00 - (02) D TCP 10.0.0.1 1024 10.4.1.1 23 S de0 >>>>>>>>>>>>>>>>>>>>>> Source routed IP packet 01/01/1970 12:00:02 - (02) D TCP 10.0.0.1 1024 10.4.1.1 23 S de0

UDP протокол

Формат записи:

Описание полей:

Date: Дата создания записи.
Time:Время создания записи.

(Repetition): Число последовательных повторов записи. Это поле указывается в скобках.
(Status):Это поле указывается в скобках и состоит из одного из трех независимых символов, означающих:

A: Аутентифицированный пакет
E: Зашифрованный пакет
S: Пакет использует обмен ключей через SKIP протокол Action: Поле описывает действие системы в отношении пакета. Возможны следующие значения:

A: Пакет был пропущен межсетевым экраном.
D:Пакет был блокирован
R: Пакет был отброшен Source IP: IP адрес источника пакета.
Source port: Номер порта источника пакета.
Destination IP : IP адрес назначения пакета.
Destination port: Номер порта назначения пакета.
Interface: Сетевой интерфейс, из которого прибыл пакет.

Примеры:

01/01/1970 14:09:23 - (02) A UDP 10.5.1.1 1024 10.2.2.1 53 de1 >>>>>>>>>>>>>>>>>>>>>> Packet was received from an invalid interface 01/01/1970 14:10:02 - (02) D UDP 10.0.0.1 1024 10.4.1.1 23 de0

ICMP протокол

Формат записи:

<Date> <Time> - <(Repetition)> <Action> ICMP <(Status)>

<Source IP> <Destination IP> <Type of Service> <Interface>

Описание полей:

Date: Дата создания записи.
Time: Время создания записи.
(Repetition):Число последовательных повторов записи. Это поле указывается в скобках.
(Status): Это поле указывается в скобках и состоит из одного из трех независимых символов, означающих:

A: Аутентифицированный пакет.
E: Зашифрованный пакет.
S: Пакет использует обмен ключей через SKIP протокол. Action:Поле описывает действие системы в отношении пакета. Возможны следующие значения:

A: Пакет был пропущен межсетевым экраном.
D: Пакет был блокирован.
R:Пакет был отброшен. Source IP: IP адрес источника пакета.
Destination IP : Номер порта источника пакета.
Type of Service:Тип ICMP сервиса пакета.
Interface: Сетевой интерфейс, из которого прибыл пакет.

Примеры:

01/01/1970 14:09:23 - (01) A ICMP 10.5.1.1 10.2.2.1 8 de0 01/01/1970 14:09:24 - (01) A ICMP 10.2.2.1 10.5.1.1 0 de1

Другие протоколы

Формат записи:

<Date> <Time> - <(Repetition)> <Action> <Protocol>

<(Status)> <Source IP> <Destination IP> <Interface>

Описание полей:

Date:Дата создания записи.
Time: Время создания записи.
(Repetition): Число последовательных повторов записи. Это поле указывается в скобках.
(Status): Это поле указывается в скобках и состоит из одного из трех независимых символов, означающих:

A: Аутентифицированный пакет.
E: Зашифрованный пакет.
S: Пакет использует обмен ключей через SKIP протокол. Action: Поле описывает действие системы в отношении пакета. Возможны следующие значения:

A: Пакет был пропущен межсетевым экраном.
D: Пакет был блокирован.
R: Пакет был отброшен. Protocol: Имя протокола пакета. (Если межсетевой экран не может найти имя протокола, вместо него будет указан его номер.)
Source IP: IP адрес источника пакета.
Destination IP : IP адрес назначения пакета.
Interface: Сетевой интерфейс, из которого прибыл пакет.

Примеры: 01/01/1970 17:19:43 - (01) A EGP 10.5.1.1 10.2.2.1 de1 01/01/1970 18:39:24 - (01) D 57 10.2.2.1 10.5.1.1 de0

Запуск удаленного интерфейса

Для запуска графического интерфейса вы должны выполнить следующие действия:

Выберите меню Start , в нем группу Aker Firewall , внутри нее нажмите кнопку Aker Firewall 3.0

Вы увидите следующее окно:

Показанное выше окно является главным окном межсетевого экрана Aker, из которого доступы все опции настройки. Оно состоит из 7 меню, которые описываются ниже:

Session

Меню Session содержит опции, касающиеся установления соединений и управления пользователями.

Это меню содержит опции, необходимые для регистрации объектов, используемых в других частях межсетевого экрана. Их описание будет приведено ниже.

Edit

Меню Edit содержит все конфигурационные параметры межсетевого экрана за исключением опций настройки proxy серверов и регистрации профилей объектов и доступа. Их описание будет приведено ниже.

Proxies

Меню Proxies позволяет изменять параметры прозрачных и непрозрачных proxy-серверов межсетевого экрана.

View

Меню View содержит опции, позволяющие администратору контролировать работу межсетевого экрана.

Tools

Это меню позволяет настраивать дополнительные функции управления межсетевого экрана. Его опции будут рассмотрены ниже в главе Использование средств графического интерфейса.

Help

Меню Help предназначено для доступа к описанию системы Aker и подсказок по работе с ним. В самом начале все опции в меню недоступны за исключением опций Connect и Exit в меню Session и опций Help и About

в меню Help. Для доступа к основным опциям необходимо установить удаленную сессию с межсетевым экраном, администрированием которого Вы хотите заняться. Вы должны выполнить следующие действия:

Выберите меню Session в главном окне выберите опцию Connect

Окно меню Connection

После выбора опции Connection появится следующее окно:

В поле Remote Connection необходимо ввести IP адрес или имя хоста, который необходимо администрировать, в поле Login - имя пользователя, в поле Password - пароль пользователя ( на экране пароль будет высвечиваться в виде звездочек "*").

После заполнения всех полей нажмите клавишу OK для установления соединения. Если все в порядке, через несколько секунд будет установлено соединение, и менеджер сможет выполнить все необходимые операции. В этом случае появится окно, содержащее все данные о соединении.

Если вам не удается установить соединение, на экране появится окно с указанием ошибки. В этом случае возможен целый ряд сообщений. Приведем список наиболее частых сообщений :

Aker is being administrated by another interface

Aker позволяет проводить только одну удаленную сессию одновременно. Если такое сообщение появилось, это означает, что с межсетевым экраном уже установлено удаленное соединение или на нем используется локальный модуль управления.

Name resolution error

Это сообщение означает, что не удается разрешить имя запрашиваемого хоста в DNS. Убедитесь, что имя написано правильно и DNS на машине, откуда устанавливается удаленное соединение, настроен.

Network error or connection closed by the server

Эта общая ошибка может порождаться рядом причин. Наиболее общей причиной является неправильный ввод с клавиатуры имени пользователя или пароля. Если пользователь не зарегистрирован в системе или пароль неверен, сервер оборвет соединение. Убедитесь, что ваше имя и пароль введены правильно. В случае, если ошибка еще останется, проделайте следующие действия:

Убедитесь, что процесс, отвечающий за удаленное соединение, запущен на межсетевом экране (откройте окно с интерпретатором shell на межсетевом экране и наберите команду #ps -ax | grep fwconfd | grep -v grep. Если появится строка, содержащая слово fwconfd, необходимый процесс запущен, если нет - наберите команду #/etc/firewall/fwconfd от имени root и попытайтесь установить новое соединение.

Проверьте, зарегистрирован ли в системе пользователь, пытающийся установить соединение, и правилен ли его пароль (чтобы это сделать, воспользуйтесь локальным модулем управления. Загляните в главу Управление пользователями межсетевого экрана).

Проверьте правильность работы сети.Одним из способов сделать это является использование команды ping ( не забудьте прописать на межсетевом экране правило, разрешающее использование ICMP ECHO-REQUEST и ECHO-REPLAY сервисов для тестируемого хоста. Чтобы узнать, как это делается, смотрите главу Пакетный фильтр с контролем состояния). Если сеть все-таки не работает, значит в ней есть проблемы и их надо устранить перед тем как пытаться установить удаленное управление. Если сеть работает, переходите к следующему пункту.

Просмотрите, прописано ли правило, разрешающее доступ с хоста, с которого вы хотите установить соединение с межсетевым экраном (TCP, порт 1020). Если такого правила нет, создайте его (чтобы узнать, как это делается, смотрите главу Пакетный фильтр с контролем состояния ).

Запусrк агента аутентификации

При запуске агента аутентификации можно использовать следующие параметры:

fwagaut [-?] [-c FILE_NAME] [-s <0-7>] [-q]

где:
-? показывает данное сообщение
-c указывает имя файла конфигурации
-s указывает syslog facility сообщений аутентификатора
0 = local0, 1 = local1, ...
-q не показывать никаких сообщений на запуске

Предположим, что агент установлен в каталог /usr/local/bin, а файл конфигурации создан с именем /usr/local/etc/fwagaut.cfg. В этом случае для запуска агента нужно набрать команду:

/usr/local/bin/fwagaut -c /usr/local/etc/fwagaut.cfg

Если используется файл конфигурации по умолчанию, не нужно использовать опцию -с, а сразу набрать команду:

/usr/local/bin/fwagaut

! Агент аутентификации должен запускаться пользователем root.

Если в конфигурационном файле сделаны какие-либо модификации, необходимо заново инициализировать агента, если он запущен. Чтобы это сделать, выполните следующую команду:

#kill -1 pid

Гдe pid - номер процесса агента аутентификации. Для выяснения этого номера можно использовать команду

#ps -ax | grep fwagaut на BSD системах, или #ps -ef | grep fwagaut на SystemV системах.

Если желательно стартовать агента аутентификации при каждом перезапуске хоста, необходимую строку можно вставлять в любые файлы инициализации. Имена этих файлов зависят от типа Unix системы. За более подробной информацией обращайтесь к руководству по Unix.

Защита от SYN атак

В этой главе показано, как настраивать в межсетевом экране Aker защиту от SYN атак.

Завершение удаленного управления

Существуют два пути завершения удаленного управления: закрытие сессии или окончание работы удаленного графического интерфейса.

Для завершения сессии необходимо проделать следующие шаги:

Выберите меню Session в главном окне

Выберите опцию Exit

Будет открыто следующее окно, содержащее запрос о подтверждении конца сеанса:

Нажмите Yes для окончания сессии или No для ее сохранения.

Для окончания работы программы Вам необходимо:

Выберите меню Session в главном окне

Выберите опцию Exit

Если сессия установлена, программа запросит подтверждение на ее завершение. Вам необходимо нажать Yes для закрытия сессии и выхода из программы или No для ее сохранения. Если активных сессий больше нет, программа завершит работу без последующего подтверждения.

Значения кнопок

Кнопка OK закрывает окно и сохраняет все сделанные изменения.

Кнопка Cancel закрывает окно и отбрасывает все сделанные изменения.

Кнопка >> показывает последующие сообщения, которые не уместились в окне. (Если сообщений больше нет, кнопка недоступна)

Кнопка << показывает предыдущие сообщения, которые не уместились в окне. (Если сообщений больше нет, кнопка недоступна.)

Кнопка Help открывает окно помощи для данного раздела.

Кнопки Parameters и Messages служат переключателями между указанным выше окном сообщений и окном настройки параметров.

Окно настройки параметров

Чтобы система приступила к выполнению действий, необходимо настроить некоторые параметры (например, если межсетевой экран посылает e-mail, необходимо определить e-mail адрес). Эти параметры можно модифицировать через окно настройки параметров реакции системы.

Соответствующее окно откроется, если нажать кнопку Parameters

в окне сообщений. Оно имеет следующий формат

Значения параметров:

Параметры для выполнения программы

External Program: Этот параметр определяет имя выполняемой системой программы, когда производится действие с опцией Program. Следует ввести с клавиатуры полное имя маршрута программы. Необходимо учесть , что программа и все каталоги по ходу маршрута должны иметь право на выполнение для пользователя, от имени которого выполняется программа (настройка пользователя проводится в следующей опции).

Программа получает из командной строки следующие параметры (в указанном порядке):

Имя выполняемой программы (стандартный параметр для операционной системы Unix).

Тип сообщения (1 - для статистики или 2 - для события).

Приоритет (7 - debug, 6 - information, 5 - notice, 4 - warning or 3 - error).

Номер сообщения, являющегося причиной выполнения программы, или 0, когда надо указать, что инициатором запуска программы оказывается правило).

ASCII-цепочка с полным текстом сообщения (эта цепочка может иметь символы LF ( конец строки)).

! В операционных системах Unix символ слеш "/" используется для описания маршрута программы. Это может смутить тех, кто пользуется средой DOS/Windows, где используется обратный слеш "\".

Пользователь: Этот параметр определяет, от имени кого будет выполняться программа. Программа будет обладать привилегиями этого пользователя.

! Этот пользователь должен быть зарегистрирован в FreeBSD. Необходимо не путать его с администраторами Aker.

Значения полей в окне активных соединений

Каждая строка списка активных соединений представляет одно соединение. Поля имеют следующие значения:

Source IP: IP адрес хоста, который инициирует соединение.

Source port: Порт, используемый хостом источника для данного соединения.

Destination: IP адрес хоста, с которым установлено соединение.

Destination port: Порт, с которым установлено соединение. Этот порт обычно соответствует определенному сервису.

Start: Время образования соединения.

Idle: Период неактивности соединения ( в минутах и секундах).

Current State: Это поле выводится на дисплей только в случае TCP соединений. Оно представляет состояние соединения в момент вывода на экран. Поле может состоять из следующих значений:

SYN Sent: SYN Sent: Указывает, что пакет с запросом о соединении был послан (пакет с SYN-флагом), но сервер еще не ответил на него.

SYN Exchanged: указывает, что был послан пакет с запросом о соединении и получен ответ сервера с подтверждением об установлении соединения.

Established: Указывает, что соединение установлено.

Listening at port: Указывает, что сервер слушает данный порт (listen) в ожидании соединения от клиента. Подобное состояние возникает только для соединений передачи данных в FTP сессии.