Адресация в локальной сети
Независимо от технических возможностей, адреса внутренней сети не следует выбирать случайным образом. Специально для этих целей существуют зарезерезерированные адреса. Эти адреса не присвоены и никогда не будут присвоены какому-либо хосту, непосредственно соединенному с Интернет.
Зарезервированными являются следующие адреса:
От 10.0.0.0 до 10.255.255.255, маска 255.0.0.0 (класс A)
От 172.16.0.0 до 172.31.0.0, маска 255.255.0.0 (класс B)
От 192.168.0.0 до 192.168.255.255, маска 255.255.255.0 (класс C)
Алгоритм MD
Copyright © 1991-2, RSA Data Security, Inc. Created 1991. All rights reserved.
На копирование и использование данного программного средства предоставляется лицензия , при условии, что оно идентифицируется как "RSA Data Security, Inc. MD5 Message-Digest Algorithm" во всех материалах, содержащих упоминание или ссылки на сам продукт или его функциональные свойства
Лицензия предоставляется также на выполнение и использование производных работ, при условии, что эти работы идентифицированы как "derived from the RSA Data Security, Inc. MD5 Message-Digest Algorithm" во всех материалах, содержащих упоминание или ссылки на производную работу.
RSA Data Security, Inc. не делает никаких заявлений, касающихся либо годности для торговли, либо соответствия цели данного программного средства. Оно выпускается "как есть" без явных или подразумеваемых гарантий какого-либо вида.
Эти уведомления должны сохраняться в любых копиях любых частей данной документации и/или программного средства
Алгоритмы обмена ключами
Одной из серьезных проблем при образовании защищенного канала является определение ключей аутентификации и шифрования и выполнение периодических замен этих ключей.
Чтобы снизить риск взлома ключей злоумышленником и уменьшить нанесенный ущерб в случае взлома одного из них, важно проводить периодические замены ключей; предположим, что спустя шесть месяцев после установки ключей злоумышленнику удалось взломать ключи алгоритма шифрования (выбранная ситуация гипотетическая и ничего общего не имеет с реальной ). Если компания продолжает пользоваться теми же ключами,скажем, в течение года, то злоумышленник может расшифровать весь трафик компании за последние 6 месяцев. С другой стороны, если ключи менять ежедневно, тот же нарушитель, расшифровав после шестимесячной работы по взлому трафик первого дня, будет вынужден еще поработать шесть месяцев над расшифровкой трафика второго дня и т.д.
Межсетевой экран Aker предоставляет два способа обмена ключами: ручной обмен и с помощью SKIP:
Ручной обмен ключами
В этом случае все настройки ключевой информации производятся вручную. При этом если производится замена ключей, обе стороны, между которыми образован защищенный канал, должны быть одновременно переконфигурированы
Замена ключей с помощью SKIP
SKIP - это сокращение от Simple Key Management for IP. По существу, он является алгоритмом , позволяющим выполнять замену ключей в автоматическом режиме с черезвычайно высокой частотой, практически полностью исключающей их взлом. Функционирование SKIP оказывается сложной процедурой, и мы не будем вдаваться в ее детали. Сфокусируем внимание на описании самого процесса.
В основном SKIP работает с тремя различными уровнями ключей:
Общий секрет для всех взаимодействующих хостов
Мастер ключ, который вычисляется заново каждый час на основе секрета.
Случайный ключ, который можно вычислить заново в случае необходимости
Опишем сценарий в общих чертах: для установления связи генерируется случайный ключ и он используется для зашифрования и аутентификации посылаемых данных. Затем этот ключ шифруется на мастер ключе и отсылается вместе с зашифрованными данными. Когда принимающая сторона получает пакет, она расшифровывает ключ с помощью мастер ключа и использует его для расшифровки остального пакета.
Поскольку алгоритмы, используемые для аутентификации, шифрования пакета и ключа определяются отправителем и передаются как часть протокола, получателю нет нужды настраивать эти параметры в приемнике.
Основным преимуществом SKIP является возможность использовнияя одного и того же секрета годами, не боясь его взлома нарушителем (поскольку замена ключа производится с интервалом от нескольких секунд до максимального значения в один час, в зависимости от трафика между взаимодействующими сетями).
Настоятельно рекомендуется пользоваться этой опцией при конфигурировании защищенных каналов.
Аутентификация пользователей
Я правильно настроил агента аутентификации в моем Windows NT, тем не менее ни один пользователь не смог пройти аутентификацию. Каждый из них получил сообщение о неверном пароле. Что я должен делать?
Проверьте, имеют ли эти пользователи право Локальный вход в систему на хосте с запущенным агентом. Для получения таких прав необходимо выполнить следующие шаги:
Запустите Диспетчер пользователей. В нем выберите меню Политика и опцию Права пользователей.
Выберите опцию Локальный вход в систему и установите ее для всех необходимых пользователей и групп. Чтобы упростить задачу, можно использовать группу Все.
Я пользуюсь агентом аутентификации для Windows NT, и заметил, что тогда как многие пользователи аутентифицируются правильно, некоторые не могут этого сделать, всегда получая сообщения о неверном пароле. В чем может быть ошибка?
Проверьте, установлена ли у пользователей, у которых возникли проблемы с аутентификацией, опция Потребовать смену пароля при следующем входе в систему. Если она установлена, уберите ее, и тогда пользователи будут снова нормально проходить аутентификацию.
Для проверки запустите Диспетчер пользователей и нажмите дважды на имени необходимого пользователя. Эта опция указана на дисплее под полями описания пользователя.
Аутентификаторы межсетевого экрана Aker
Аутентификацию пользователя в межсетевом экране Aker поддерживают WWW и Telnet proxy, что означает, что их можно настроить так, чтобы установление соединений пользователям разрешалось бы только при условии, что пользователь идентифицирует себя для межсетевого экрана при помощи имени и пароля.
При такой процедуре аутентификации межсетевому экрану необходимо проверять правильность имен и паролей. Для одних программ требуется регистрация всех пользователей в базе данных межсетевого экрана, для других нужно, чтобы пользователи были зарегистрированными пользователями на хосте, на котором запускается межсетевой экран. Оба способа не позволяют использовать базу данных пользователей, как правило присутствующую в локальной сети.
В межсетевом экране Aker выбрано наиболее универсальное и простое решение: вместо регистрации пользователей непосредственно в межсетевом экране, их подлинность проверяется на серверах локальных сетей, либо под управлением Unix, либо Windows NT.
Для того что бы межсетевой экран знал, где находится информация, необходимая для аутентификации пользователей, и имел возможность обеспечить защищенную связь с этими хостами, была создана концепция аутентификаторов. Аутентификаторами являются хосты под управлением Unix или Windows NT, на которых запускается агент аутентификации. Эта программа распространяется в комплекте с межсетевым экраном Aker, и ее основное назначение - обеспечить взаимодействие между межсетевым экраном и удаленной базой данных.
Для использования межсетевым экраном Aker базы данных на удаленном сервере вы должны выполнить следующие действия:
Установить и настроить агента аутентификации на хосте, где находится пользовательская база данных (эта процедура будет описана в разделах Инсталляция агента аутентификации в Unix и Инсталляция агента аутентификации в Windows NT).
Зарегистрировать объект типа аутентификатор с адресом хоста, на котором установлен агент, и с правильным паролем доступа (информация о регистрации объектов изложена в главе 5 Регистрация объектов).
Указать межсетевому экрану, что он должен использовать аутентикатор, зарегистрированный на 2 этапе, для проведения аутентификации пользователя (эта процедура будет описана в главе 16 Настройка параметров аутентификации).
Авторские права по системам
Copyright © 1997, 1998 Aker Concultancy and Informatique LTD.
Продукт использует DES и 3DES алгоритмы, взятые из SSL библиотеки, составленной Eric Young (eay@mincon.oz.au). Copyright © 1995 Eric Young.
Продукт использует MD5 алгоритм, описанный в RFC 1321. Copyright © 1991-2 RSA Data Security, Inc
Продукт включает программное обеспечение, разработанное сотрудниками университетов California, Berkeley.
Продукт использует CMU SNMP библиотеку. Copyright 1997 Carnegie Mellon Univercity.
Что представляет фильтр с контролем состояния межсетевого экрана Aker?
Действия традиционного пакетного фильтра основаны исключительно на наборе правил, описанных администратором. Для каждого пакета, который может проходить через фильтр, администратор должен создать необходимое правило. В некоторых случаях это достаточно просто, однако иногда такая процедура невозможна, или по крайней мере невозможна без соблюдения необходимого уровня безопасности и гибкости.
Пакетный фильтр межсетевого экрана Aker называется фильтром с контролем состояния, так как он сохраняет информацию о состоянии по каждому проходящему через него соединению, и использует всю эту информацию совместно с набором правил при решении вопроса о том, пропустиь или отбросить конкретный пакет. Кроме того, в отличие от пакетного фильтра, который принимает решения, основаваясь только на данных в заголовке пакета, фильтр с контролем состояния проверяет данные всех уровней и использует их при принятии решений.
Рассмотрим подробнее, как фильтр с контролем состояния решает различные проблемы, которые возникают при использовании обычного пакетного фильтра.
Проблема с UDP протоколом:
Для того, чтобы использовать UDP сервис, клиент выбирает номер порта (который меняется каждый раз при использовании сервиса) и посылает пакет на порт сервера, соответствующий данному сервису (порт на сервере фиксирован). Получив запрос, сервер посылает в ответ один или более пакетов на порт клиента. Для образования соединения необходимо, чтобы межсетевой экран принимал пакеты запросов и ответов. Проблема заключается в том, что UDP протокол не является протоколом, ориентированным на соединение, т.е. если рассматривается отдельный изолированный пакет вне контекста, то невозможно узнать, является ли он запросом или ответом некоторого сервиса.
В обычных пакетных фильтрах администратор может либо блокировать весь UDP трафик, либо позволить пройти пакетам ко всем возможным портам, так как он не знает заранее, какой порт будет выбран клиентом для доступа к определенному сервису. Оба эти подхода обладают очевидными недостатками.
Межсетевой экран Aker способен динамически адаптироваться к трафику при решении вышеупомянутых проблем: каждый раз, когда UDP пакет соответствует какому-либо правилу, во внутреннюю таблицу состояний добавляется элемент. Это позволяет пропускать к клиенту обратные пакеты от сервера.
Этот элемент является активным в течение короткого промежутка времени, по истечении которого он удаляется (этот временной интервал устанавливается через окно параметров настройки, которое рассматривается в главе 4 Настройка параметров системы). В результате администратору не приходится за ботиться об ответных UDP пакетах; для разрешения доступа к сервисам необходим о только настроить правила для данного сервиса. Это легко сделать, так как все сервисы имеют фиксированные порты.
Проблема с FTP протоколом:
FTP является одним из самых популярных протоколов в Интернет, однако, он же является и одним из наиболее сложных протоколов для межсетевых экранов.Рассмотрим более подробно его функциональные свойства:
Для получения доступа к FTP сервису клиент открывает TCP соединение с 21 портом на сервере (порт клиента может быть различным). Такое соединение называется контрольным каналом. После этого при любой перекачке файла или просмотре каталога устанавливается новое соединение - образуется канал передачи данных. Последний можно установить двумя способами:
соединение может устанавливаться сервером ( 20 порт ) и клиентом (случайно выбранный порт). О номере порта клиент сообщает серверу через контрольный канал; такой способ называется активным FTP
клиент может открыть соединение между случайно выбранными портами ( у клиента и сервера); номер последнего передается клиенту через контрольный канал. Такой способ называется пассивным FTP.
В обоих указанных случаях администратор не знает, какие порты будут выбраны для установления канала передачи данных, и если он хочет использовать FTP протокол через традиционный пакетный фильтр, он будет вынужден разрешить доступ ко всем возможным портам, используемым клиентами и серверами.
Этот подход может привести к серьезным проблемам с безопасностью.
Межсетевой экран Aker умеет анализировать трафик по контрольному каналу, т.е. он может понять, какой тип соединения будет использоваться ( активный или пассивный) и какие порты будут использованы для установления канала передачи данных. Благодаря этому свойству, каждый раз, когда пакетный фильтр определяет, что будет иметь место передача данных, он добавляет элемент в таблицу состояний. Этот элемент активен только во время передачи и только при открытом контрольном канале. Таким образом, для настройки доступа по FTP протоколу необходимо лишь добавить правило, разрешающее доступ к 21 порту. Все остальное будет сделано автоматически.
Проблема с Real Audio протоколом:
Протокол Real Audio является наиболее распространенным протоколом для аудио и видео передач через Интернет в режиме реального времени.
Для передачи видео или аудио информации клиент устанавливает TCP соединение с сервером Real Audio. Чтобы улучшить качество аудио и видео передачи, наряду с этим соединением, сервер может открыть UDP соединение с клиентом, с произвольным портом, а клиент в свою очередь может открыть другое UDP соединение с сервером (также с произвольным портом).
Обычные пакетные фильтры не позволяют устанавливать UDP соединения от сервера к клиенту и наоборот, поскольку порты заранее неизвестны, что приводит к понижению качества аудио и видео данных.
Фильтр межсетевого экрана Aker контролирует весь трафик между сервером Real Audio и клиентом, проверяя какие UDP соединения открыты и к каким портам и добавляя эту информацию в таблицу состояний. Этот элемент активен только в период открытого контрольного FTP соединения, что обеспечивает высокий уровень безопасности.
Что представляет из себя SMTP proxy ?
SMTP proxy - это специализированная программа межсетевого экрана Aker, предназначенная для работы с электронной почтой (SMTP - это сокращение от Simple Mail Transrer Protocol, сервиса для передачи электронной почты через Интернет). Она позволяет осуществлять фильтрацию cообщений электронной почты по содержанию или полям заголовка. Помимо этого, она выступает в качестве барьера, защищающего SMTP сервер от некоторых видов атак.
SMTP proxy относится к категории прозрачных proxy [более подробно об этом описано в разделе 15 Работа с proxy серверами), и потому ни сервер, ни клиент не знают о их существовании.
Что представляет собой моя внешняя сеть?
Внешние сети состоят из тех хостов, которые не являются частью внутренней сети. Они могут находиться или не находиться под административной ответственностью вашей организиции.
Если организация подключена к Интернет, внешней сетью будет весь Интернет.
Что представляет собой моя внутренняя сеть?
Внутренняя сеть состоит из хостов, входящих в состав одной или более подсетей, защищенных межсетевым экраном Aker. Сюда включаются также внутренние сетевые устройства, такие как маршрутизаторы, коммутаторы, серверы, клиенты и т.д. В межсетевом экране Aker внутренняя сеть называется частной сетью (Private Network).
Что представляют собой объекты и для чего они нужны?
Объекты служат для отображения реальных параметров в межсетевом экране Aker. С их помощью становится возможным представление хостов, сетей, сервисов и т.д.
Основным преимуществом их использования является то, что после их описания в межсетевом экране с ними самими можно обращаться как с параметрами, что значительно облегчает работу по их настройке. Все модификации объектов будут автоматически распостраняться на все ссылки в них .
Например, можно определить хост, назвав его WWW Server с IP адресом 10.0.0.1. После этого больше нет необходимости помнить этот IP адрес. Везде где необходимо задействовать этот хост, к нему можно обращаться по имени. Если потом поменять его IP адрес, то необходимо будет лишь изменить описание самого объекта, и система автоматически использует новое определение во всех ссылках на него.
Что такое активные соединения ?
К активным соединениям относятся TCP соединения или UDP сессии, которые в данный момент проходят через межсетевой экран. Они проходят через межсетевой экран либо в соответствии с правилом фильтрации, описанным администратором, либо в соответствии с записью в таблице состояний, автоматически добавленной межсетевым экраном Aker.
По каждому такому соединению межсетевой экран хранит массу информации в своих таблицах . Некоторые из этих информационных фрагментов представляют особую ценность для администратора, их в любой момент можно просмотреть с помощью окна активных соединений. Эта информация содержит точное время установления соединений и период неактивности, т.е. период времени, в течение которого через это соединение не было обмена пакетами.
Что такое аутентификация ?
В аутентификации основными понятиями также являются ключ и математический алгоритм, основанный на хэш-функции. В отличие от криптографии, этот алгоритм используется не для шифрования данных, а для созданию электронной подписи. Подпись формируется таким образом, что вычислить ее, не зная алгоритм и ключ невозможно
Созданная таким образом электронная подпись передается вместе с данными в пункт назначения. Если данные в процессе передачи подверглись изменениям, это сразу же обнаружится: в хосте назначения будет вычислена электронная подпись от полученных данных и после сравнения с полученной подписью подмена будет обнаружена.
Операция по вычислению подписи выполняется очень быстро по сравнению с шифрованием. Тем не менее, она не может защитить данные от чтения. Поэтому ее следует применять, если важна надежность доставки, а не конфиденциальность. Для обеспечения обеих характеристик аутентификация используется совместно с криптографией.
Что такое файл системной статистики?
Файл статистики - это место, в котором межсетевой экран хранит всю информацию о полученных им пакетах. Он включает записи, генерируемые тремя главными модулями: пакетным фильтром, транслятором сетевых адресов, а также модулем шифрования и аутентификации. Характер хранящейся в журнале информации зависит от настроек межсетевого экрана, но главным образом в нем содержится информация о пропущенных и не пропущенных пакетах, ошибках в пакетах, а также информация о трансляции сетевых адресов.
Повидимому, самой ценной является информация об отброшенных и не пропущенных пакетах, так как именно на основании их анализа можно обнаружить попытки вторжения, использование несанкционированных сервисов, ошибки в конфигурациях и т.д.
Что такое фильтр системы сбора статистики?
Даже если система настроена таким образом, чтобы регистрировать всю поступающую информацию, нас обычно интересует только определенная часть этих данных (пусть, например, мы хотим проанализировать попытки использования сервиса POP3 конкретной машиной за несколько дней, причем как успешные, так и неудачные). Фильтр системы сбора статистики - это механизм, поддерживаемый межсетевым экраном Aker, который предназначен для просмотра определенного подмножества зарегистрированных данных и позволяет легко отыскать нужную информацию.
Фильтр разрешает только просматривать информацию, записанную в файле статистики. Если вы хотите получить более специфическую информацию, сначала надо настроить систему для ее регистрации, а затем использовать фильтр для ее просмотра.
Что такое фильтр событий ?
Чаще всего необходимо просмотреть выборку по определенному множеству событий, а не всю собираемую информацию(например, если Вы хотите просмотреть все вчерашние сообщения). Фильтр событий является одним из механизмов межсетевого экрана Aker, позволяющий описать и просмотреть только необходимое Вам подмножество информации. Фильтр разрешает только просматривать записанную в файле событий информацию. Для получения более специфической информации необходимо сначала настроить систему для ее сбора, а затем использовать фильтр для ее просмотра.
Что такое инструментальные средства графического интерфейса ?
Инструментальные средства - это набор утилит, представленных только в графическом интерфейсе межсетевого экрана Aker. Они используются для упрощения администрирования межсетевого экрана.
Что такое криптография?
Базовыми понятиями в криптографии являются ключ и математический алгоритм. Используя этот алгоритм и ключ, информация модифицируется. Способ, которым это делается, гарантирует возможность обратного преобразования данных к первоначальной форме только при условии, что известны алгоритм и ключ.
Если один из этих компонентов держится в секрете (как правило, ключ), то просмотреть данные постороннему человеку невозможно.
Что такое пакетный фильтр?
Пакетный фильтр является главным модулем системы, который принимает решения, разрешить или запретить конкретному пакету пройти через межсетевой экран. Это означает, что определенный сервис разрешен или запрещен.
Чтобы решать, какие действия следует выполнять для каждого полученного межсетевым экраном пакета, пакетный фильтр использует набор правил, которые описываются системным администратором. Для каждого пакета межсетевой экран просматривает весь набор правил в порядке их создания, проверяя, удовлетворяет ли пакет какому-либо из них. Если соответствующее правило существует, то в соответствии с ним будет выполняться заданное действие. Если данный пакет не удовлетворяет ни одному из правил, то будет выполняться действие по умолчанию.
Что такое параметры аутентификации ?
Параметры аутентификации указывают межсетевому экрану, с какими аутентификаторами ему следует связываться и в каком порядке при аутентификации пользователей. Помимо этого, они позволяют контролировать методику обращений к аутентификаторам, обеспечивая определенную степень гибкости процедуры аутентификации.
Что такое proxy сервера?
Proxy сервера - это специальные программы, которые запускаются на межсетевых экранах и используются в качестве связующего звена между внутренней сетью организации и внешними серверами. Механизм их действия прост: они ждут запроса из внутренней сети, передают этот запрос удаленному серверу во внешней сети и посылают ответ обратно внутреннему клиенту.
Чаще всего proxy сервера используются всеми клиентами одной подсети, и благодаря своему стратегическому положению обычно обеспечивают кэширующие функции для некоторых сервисов. Более того, так как proxy сервера работают на уровне конкретного протокола, для каждого сервиса необходимы различные proxy сервера.
Что такое реакция системы?
В межсетевом экране Aker существует механизм , который позволяет формировать автоматические ответы для некоторых ситуаций. Автоматические ответы настраиваются администратором из набора возможных действий, которые будут выполнены для заранее описанных ситуаций.
Что такое системные события ?
Событиями являются сообщения межсетевого экрана более высокого уровня, т.е. не связанные напрямую с пакетами (как в случае статистики). К событиям относятся сообщения, которые генерируются одним из трех главных модулей (пакетным фильтром, транслятором сетевых адресов или модулем шифрования/аутентификации) или каким-либо другим компонентом межсетевого экрана, таким, например, как proxy сервер или каким-нибудь процессом ( при выполнении специфических задач).
При этом генерируются сообщеня с различными уровнями важности, начиная от полезной для контроля функционирования системы информации (например,сообщения о рестарте машины или об установлении сеанса администрирования межсетевого экрана), до информации об ошибках в при выполнении или в настройках.
Что такое SYN атака?
SYN атака - это одна из наиболее распространенных атак типа "отказ в обслуживании". Такие атаки имеют своей целью помешать нормальной работе хоста или некоторого сервиса. В случае удачно проведенной SYN атаки можно сделать неработоспособным какой-либо сервис, основанный на TCP протоколе.
Чтобы разобраться в механизме этой атаки, нужно понять принцип работы процесса установления соединения для TCP протокола.
Процесс установления соединения TCP протокола проходит в 3 этапа:
Клиент посылает пакет серверу со специальным флагом, который называется SYN flag. Наличие такого флага показывает, что клиент хочет установить соединение.
Сервер в ответ посылает пакет, содержащий как флаг SYN , так и флаг ACK; это значит, что сервер принял запрос о соединении и ждет от клиента подтверждения для его установления.
Клиент после получения пакета с SYN и ACK флагами посылает в ответ пакет, содержащий только флаг ACK, который указывает серверу, что соединение успешно установлено.
Все полученные сервером запросы о соединениях хранятся в специальной очереди, имеющей заранее определенный размер, зависящий от операционной системы. Они хранятся там до тех пор, пока сервер не получит от клиента информацию об установленном соединении. Если сервер получает пакет с запросом о соединении и очередь заполнена, этот пакет отбрасывается.
SYN атака заключается в отправке определенному серверу большого количества пакетов с запросами о соединении. Эти пакеты посылаются с несуществующим адресом источника. Вымышленный адрес источника принадлежит несуществующему хосту ( в этой ситуации часто прибегают к зарезервированным адресам, подробно описанным в главе "Трансляция сетевых адресов"). Сервер после получения этих пакетов, посылает ответный пакет и ждет подтверждения от клиента. Поскольку адрес источника пакетов не существует, сервер никогда не получит подтверждения.
Дальше случится следующее: спустя некоторое время в данном сервере очередь для хранения запросов об установлении соединеия окончательно заполнится. Начиная с этого момента, все запросы на установление соединений будут отбрасываться, а сервис окажется бездействующим. Такое бездействие будет продолжаться в течение нескольких секунд, пока сервер, обнаружив, что подтверждение соединения не приходит слишком долго, не удалит эти ожидающие решения соединения из очереди. Однако, если атакующий настойчиво продолжает посылать подобные пакеты, сервис будет оставаться бездействующим столько времени, сколько захочет нарушитель.
Не все хосты чуствительны к SYN атакам. Современные реализации TCP протоколов обладают собственным механизмом защиты от таких атак.
Что такое Telnet proxy ?
Telnet proxy - это специальная программа межсетевого экрана Aker, предназначенная для работы с Telnet протоколом, который используется для эмуляции удаленнго терминала. Его основная функция состоит в том, чтобы обеспечить аутентификацию на уровне пользователя для Telnet соединений. Это позволяет обеспечить большую гибкость и высокий уровень безопасности.
Telnet proxy относятся к категории прозрачных proxy (смотрите главу 15 Работа с proxy серверами), и потому ни сервер, ни клиент не должны знать о его существовании.
Что такое трансляция сетевых адресов?
Любой сети, желающей подключиться к Интернет, необходим набор IP адресов, которые может выделить любая имеющая на это право организация. Существуют три класса IP адресов: класс А, внутри которого можно описать до 16777214 хостов, класс В, позволяющий описать до 65533 хостов и класс С с 254 хостами.
Бум, который переживает Интернет в последние годы, привел к тому, что сети класса А и В в настоящее время стали недоступны для организаций и отдельных пользователей. Поэтому Вам может быть выделена только сеть класса С, с 254 адресами. При большем числе хостов вам потребуются другие сети класса С, что усложняет работу администратора. Другой способ решения проблемы состоит в использовании трансляции сетевых адресов (NAT).
Трансляция сетевых адресов - это технология, которая позволяет использовать для внутренней сети любые адреса, возможно даже из класса А; при этом сохраняется одновременный и прозрачный доступ в Интернет для всех хостов.
Механизм функционирования такого процесса достаточно прост: каждый раз, когда хост с зарезервированным адресом пытается получить доступ в Интернет, межсетевой экран контролирует эту попытку и автоматически преобразует его адрес в разрешенный. Когда хост назначения отвечает и посылает данные на разрешенный адрес, межсетевой экран преобразует его обратно в зарезервированный адрес и передает данные внутреннему хосту. При этом ни клиент, ни сервер не знают о существовании этого преобразования.
Кроме уже упомянутых преимуществ, трансляция сетевых адресов позволяет все хосты внутренней сети сделать невидимыми для внешней сети, что увеличивает уровень безопасности.
Трансляция сетевых адресов не может быть использована для сервисов, которые передают информацию об IP-адресах или портах внутри протокола. Межсетевой экран Aker из сервисов такого вида поддерживает только сервисы FTP и Real Audio/Real Video.
Что такое WWW кэш сервер?
Кэш-сервер является программой, которая предназначена для ускорения доступа к страницам Интернет. Для этого кэш-сервер хранит у себя наиболее часто запрашиваемые страницы и каждый раз, когда он получает новый запрос, он проверяет, не хранится ли у него запрашиваемая страница. Если страница присутствует , она немедленно высылается без обмена с внешним сервером. Если нет, страница загружается обычным образом с сервера и сохраняется, что обеспечивает быстый доступ к ней при новых запросах.
Что такое WWW proxy в межсетевом экране Aker?
WWW proxy - это специализированная программа межсетевого экрана Aker, предназначенная для работы с протоколами, которые поддерживаются WWW (World Wide Web) серверами, такими как HTTP, HTTPS, FTP и Gopher.
Основная функция WWW proxy состоит в управлении доступом внутренних пользователей к Интернет; они, например, определяют каким пользователям можно позволить доступ и к каким страницам, кто может передавать файлы и т.д. Более того, они могу блокировать Active-XTM и JavaTM applets, которые могут иногда представлять опасность.
WWW proxy относится к непрозрачными proxy (смотрите главу 15 Работа с proxy серверами), поэтому использующие их клиенты должны уметь работать через proxy и быть соответственно настроенными. Это требование не ведет к появлению какитх-либо существенных проблем, поскольку практически все клиенты (броузеры) это поддерживают. Необходимые настройки клиентов выполняется просто и быстро.
Что такое защищенный канал и для чего он применяется?
Интернет - это глобальная сеть, насчитывающая тысячи компьютеров, разбросанных по всему миру. Когда два компьютера взаимодействуют между собой, весь трафик от источника до пункта назначения проходит через множество других устройств (маршрутизаторов, коммутаторов и т.д.). Эти сетевые устройства администрируют посторонние организации, и никто не может поручиться за их честность (в большинстве случаев невозможно узнать заранее, по какому пути пойдут пакеты к пункту назначения).
На любом из хостов, встречающихся на пути пакетов, можно просмотреть их содержимое и/или изменить что-либо в них. Все это создает серьезные проблемы, тем более существенные, чем выше уровень значимости или конфиденциальности передаваемых данных.
Для решения этоих проблем и применяются защищенные информационные каналы. Их можно представить себе как некий туннель. Информация помещается с одной стороны туннеля и прочесть ее можно только с другой стороны.
На самом деле, передаваемая информация модифицируется таким образом, чтобы их невозможно было изменить (аутентификация) или просмотреть (криптография) на пути их следования. При совместном применении этих двух механизмов обеспечивается как сокрытие информации, так и невозможность ее подмены на всем пути ее следования.
Cообщения о событиях межсетевого экрана
31 - Aker Firewall v3.01 - Инициализация завершена
Это информационное сообщение появляется каждый раз при перезапуске межсетевого экрана.
32 - Ошибка распределения памяти
Это сообщение означает, что какой-то модуль межсетевого экрана пытался запросить объем паяти память и не смог ее получить. Система FreeBSD вводит максимальный лимит на каждый тип памяти, которую можно получить, в зависимости от объема общей памяти. Если такой лимит достигнут, то невозможно получить больший объем памяти. Такое сообщение может встретиться в системах с малым объемом памяти RAM, использующих трансляцию адресов с большим числом одновременных соединений или большим числом активных соединений, проходящих через proxy сервера межсетевого экрана.
Решение: Увеличить объем памяти RAM.
33 - Таблица трансляции TCP заполнена
Таблица трансляции адресов TCP заполнена.
Решение: Увеличить максимальное число одновременных TCP соединений (вся необходимая информация содержится в главе 7 Настройка трансляции сетевых адресов).
34 - Таблица трансляции UDP заполнена
Таблица трансляции адресов UDP заполнена.
Решение: Увеличить максимальное число одновременных UDP соединений (вся необходимая информация содержится в главе 7 Настройка трансляции сетевых адресов).
35 - Неверный алгоритм аутентификации
Криптографический модуль обнаружил при выполнении аутентификации пакета неверный алгоритм аутентификации в ассоциации защиты (SA).
36 - Неверный алгоритм шифрования
Криптографический модуль обнаружил при выполнении шифрования пакета неверный алгоритм шифрования в ассоциации защиты (SA).
37 - Загружаемым модулем получены неверные данные
Это сообщение означает, что в модули межсетевого экрана, запущенные в ядре FreeBSD, были посланы неверные данные.
Решение: Постарайтесь проверить, какая программа создает это сообщение, многократно запуская и останавливая программу.
38 - Ошибка при чтении файла параметров
Это сообщение генерируется внешними модулями, которые пытаются прочитать файл параметров и обнаруживают, что он не существует или его нельзя прочитать.
Решение: Перезапустить межсетевой экран, чтобы программа инициализации заново создала файл параметров.
39 - Ошибка при загрузке профилей доступа
Это сообщение означает, что сервер аутентификации не смог загрузить в систему список зарегистрированных профилей доступа.
40 - Неверное имя профилей доступа
Это сообщение означает, что сервер аутентификации, когда он пытается найти профиль доступа пользователя, обнаруживает, что профиль не зарегистрирован в системе
41 - Ошибка при создании сокета соединения
Это сообщение означает, что некоторые внешние модули пытались создать сокет и получили сообщение об ошибке.
Решение: Проверить количество файлов, которые могут быть открыты процессом, а также их полное количество для всех процессов системы. Если необходимо, увеличьте эти значения.
42 - Ошибка при привязке к виртуальному IP
Это сообщение означает, что FTP proxy для преобразования адресов не смогли привязать виртуальный IP адрес к созданному гнезду. Так происходит, когда виртуальный IP адрес неверен.
Решение: Изменить значение поля Виртуальный IP в настройках трансляции сетевых адресов, связанного с IP адресом одного из сетевых интерфейсов межсетевого экрана (см. главу 7 Настройка трансляции сетевых адресов).
43 - Слишком много символов в строке
Это сообщение означает, что proxy межсетевого экрана Aker получил строку со слишком большим количеством символов и из-за этого закрыл соединение. Дополнительная информация в скобках указывает IP адрес хоста, который явился причиной проблемы.
Решение: Сервер или клиент сочли это сообщение несоответствующим стандартам RFCs. Единственное возможное решение этой проблемы - обратиться к администратору хоста, откуда пришло сообщение.
44 - Ошибка при загрузке контекста
Это сообщение означает, что один из прозрачных proxy не смог загрузить необходимый контекст.
45 - Обратное DNS преобразование не настроено
Это сообщение вырабатывается каким-либо proxy сервером, если они были настроены принимать соединения от хостов, если для них настроено обратное преобразование адресов в DNS и не смогли разрешить имя для IP адреса источника соединения.
Дополнительное сообщение указывает IP адрес источника соединения.
46 - Конфликт между прямым и обратным DNS
Когда proxy межсетевого экрана настроены принимать соединения от хостов, если для них настроено обратное преобразование адресов в DNS, они используют следующую технику для повышения безопасности: сначала они пытаются разрешить имя для IP адреса источника соединения. Если proxy не может этого сделать, возникает описанное выше сообщение об ошибке и соединение не устанавливается. Если proxy все-таки разрешают имя, они по этому имени пытаются разрешить его адрес. Если они не могут выполнить эту операцию или если возвращенный IP адрес отличен от адреса источника, происходит разрыв соединения и вырабатывается данное сообщение.
47 - Неверная команда
Это сообщение означает, что один из proxy получил от клиента неверную команд и потому не передал ее серверу. Дополнительное сообщение показывает саму неверную команду и имаена хостов источника и назначения (только в случае прозрачных proxy) соединения.
48 - SMTP сообщение пропущено
Эта диагностика означает, что SMTP proxy принял сообщение и послал его серверу. Дополнительное сообщение указывает, какими были хосты источника и назначения соединения.
49 - SMTP сообщение блокировано
Это сообщение означает, что SMTP proxy отбросили полученное сообщение. Это происходит либо потому, что данное сообщение соответствует некоторому правилу фильтрации, согласно которому сообщение должно быть отброшено, либо потому, что его размер превышает максимально допустимый.
50 - URL пропущен
Это сообщение означает, что WWW proxy пропустил URL запрос пользователя. Дополнительное сообщение внутри скобок показывает пользователя, сделавшего запрос. На второй строке сообщения показан IP адрес, откуда был сделан запрос, на третьей строке показан URL запроса
Это сообщение генерируется только для URL HTTP протокола, если результатом является HTML код. Для FTP и Gopher протокола оно генерируется всегда, не зависимо от типа запроса.
51 - URL не пропущен
Это сообщение означает, что WWW proxy отклонил URL запрос пользователя. Дополнительное сообщение внутри скобок показывает пользователя, сделавшего запрос. На второй строке сообщения показан IP адрес, откуда был сделан запрос, на третьей строке показан URL запроса
52 - Ошибка при взаимодействии с сервером аутентификации
Это сообщение означает, что один proxy не смог установить связь с сервером аутентификации при попытке выполнения аутентификации пользователя. В связи с этим пользователю не разрешается продолжить работу, а само соединение не устанавливается.
Решение: Проверить, является ли активным процесс, обслуживающий сервер аутентификации на межсетевом экране. Для этого выполните команду: #ps -ax | grep fwauthd | grep -v grep. Если процесс не запущен, запустите его командой /etc/firewall/fwauthd.
53 - Ошибка при соединении с агентом аутентификации
Это сообщение означает, что сервер аутентификации не смог соединиться с агентом аутентификации, запущенным на некотором хосте. Дополнительное сообщение укажет имя агента аутентификации, с которым не смог соединиться сервер.
Решение: Проверить, правильнность IP адреса хоста, на котором предположительно запущен агент; проверить также, что агент действительно запущен на этом хосте. Более подробную инфомацию можно посмотреть в разделе 5 Регистрация объектов).
54 - Ошибка при взаимодействии с агентом аутентификации
Это сообщение означает, что сервер аутентификации соединился с агентом аутентификации, но не смог установить соединение. Дополнительное сообщение укажет имя агента аутентификации, из-за которого возникла проблема.
Решение: Проверить, соответствует ли пароль доступа в определении аутентификатора паролю в конфигурации агента аутентификации. За более подробной информацией обращайтесь к главе 5 Регистрация объектов
55 - Ошибка аутентификации proxy
Это сообщение означает, что пользователь ввел неверный пароль, когда пытался пройти аутентификацию при обращении к proxy серверу. Дополнительное сообщение укажет имя пользователя и хосты источника и назначения (только в случае прозрачных proxy) соединения.
56 - Пользователь не зарегистрирован для proxy
Это сообщение означает, что незарегистрированный пользователь пытался пытался пройти аутентификацию при обращении к proxy серверу. Дополнительное сообщение укажет хосты источника и назначения (только в случае прозрачных proxy) соединения.
57 - У пользователя нет полномочий на открытие Telnet сессии
Это сообщение означает, что пользователь прошел аутентификацию при обращении к telnet proxy, но не получил разрешения открыть соединение. Дополнительные сообщение укажут имя пользователя и хосты источника и назначения соединения.
58 - Telnet сессия открыта
Это сообщение означает, что пользователь прошел аутентификацию при обращении к telnet proxy, получил разрешения открыть соединение и открыл его. Дополнительные сообщения указывают имя пользователя и хосты источника и назначения соединения.
59 - Ошибка при отправке данных ядру МЭ
Это сообщение означает, что какой-то внешний модуль пытался послать информацию модулям межсетевого экрана, которые выполнялись в ядре, и получил сообщение об ошибке. Если существует дополнительное сообщение в скобках, то оно укажет, какая информация была послана.
Решение: Проверить, является ли ядро, запущенное на межсетевом экране ядром, собранном из объектных модулей межсетевого экрана Aker.
60 - Слишком большое число процессов в системе
Это сообщение означает, что какой-то внешний модуль межсетевого экрана при попытке создать дочерний процесс для обработки соединения обнаружил, что число процессов, запущенных в системе, близко к максимально допустимому. Из-за этого новый процесс не был создан, а соединение, которое олн должен был поддерживать, было разорвано.
Решение: Увеличить максимальное число процессов в системе. Это можно сделать с помощью изменения опции MAX_USERS в файле настройки ядра и компиляции нового ядра или использования команды sysctl (обратите внимание на то, что в случае использования команды sysctl изменения будут иметь силу только до перезагрузки, поэтому команда должна выполняться каждый раз при новом запуске межсетевого экрана).
61 - Запрос на открытие сеанса администрирования
Это сообщение генерируется удаленным модулем администрирования межсетевого экрана Aker каждый раз, когда он получает запрос на установление административного сеанса. В дополнительном сообщении указывается IP адрес хоста, запрашивающего соединение.
62 - Сеанс администрирования установлен
Это сообщение генерируется удаленным модулем администрирования межсетевого экрана Aker каждый раз при успешной аутентификации пользователя и устанавлении административного сеанса. В дополнительном сообщении указываются имя регистрации пользователя, установившего соединение, и его права.
Права пользователя представляются тремя различными сокращениями. Если пользователь имеет определенные права, будет показана соответствующее сокращение, во всех прочих случаях вместо этого будет показано значение -. Ниже представлены сокращениями и их значения:
CF - Может настраивать межсетевой экран
CL - Может настраиваить статистику
MU - Может управлять пользователями
63 - Сеанс администрирования закрыт
Это сообщение означает, что установленный сеанс администрирования закончен по команде пользователя..
64 - Администратор не зарегистрирован
Это сообщение означает, что незарегистрированный в системе пользователь пытается установить сеанс администрирования.
65 - Ошибка при подтверждении сеанса администрирования
Это сообщение означает, что зарегистрированный в системе пользователь пытался установить удаленный сеанс удаленного администрирования, но не смог ввести правильный пароль. Дополнительное сообщение указывает имя этого пользователя.
66 - Межсетевым экраном управляет другой пользователь
Это сообщение означает, что пользователь правильно аутентифицировался для установления удаленного сеанса администрирования, однако существует и другой пользователь с открытой к тому же хосту сессией, в связи с чем соединение запрещено. Дополнительное сообщение указывает, какому пользователю отказано в сеансе.
67 - Модификация параметров
Это сообщение означает, что во время сеанса администрирования была изменена конфигурация системы.
Дополнительное сообщение указывает имя измененного параметра.
68 - Модификация правил фильтрации
Это сообщение означает, что во время сеанса администрирования были сделны изменения в таблице правил фильтрации.
69 - Модификация трансляции адресов
Это сообщение означает, что во время сеанса администрирования были изменены правила тарнсляции сетевых адресов или серверная таблица трансляции. Дополнительное сообщение уточняет характер изменений.
70 - Модификация защищенных каналов
Это сообщение означает, что что что во время сеанса администрирования были изменены таблицы защищенных каналов.
71 - Модификация защиты от SYN атак
Это сообщение означает, что во время сеанса администрирования были изменены параметры защиты от SYN атак. Дополнительное сообщение уточняет характер изменений.
72 - Модификация SMTP контекстов
Это сообщение означает, что во время сеанса администрирования были изменены таблицы SMTP контекстов.
73 - Модификация SNMP параметров
Это сообщение означает, что во время сеанса администрирования были изменены параметры настройки SNMP агента.
74 - Aмодификация профилей доступа
Это сообщение означает, что во время сеанса администрирования были изменены профили доступа.
75 - Модификация списков контроля доступа
Это сообщение означает, что во время сеанса администрирования были изменены списки доступа.
76 - Модификация параметров аутентификации
Это сообщение означает, что во время сеанса администрирования были изменены глобальные параметры аутентификации.
77 - Модификация объектов
Это сообщение означает, что во время сеанса администрирования были изменены списки объектов системы.
78 - Модификация Telnet контекстов
Это сообщение означает, что во время сеанса администрирования были изменены таблицы контекстов Telnet.
79 - Модификация WWW параметров
Это сообщение означает, что во время сеанса администрирования были изменены параметры WWW.
80 - Удаление активного соединения
Это сообщение означает, что во время сеанса администрирования было удалено соединение.
Дополнительное сообщение указывает тип протокола соединения (TCP или UDP).
81 - Операции с файлом статистики
Это сообщение означает, что во время сеанса администрирования была проделана одна из операций (Уплотнить или Очистить) с файлом статистики системы. Дополнительное сообщение показывает, какая из этих операций была выполнена.
82 - Операции с файлом событий
Это сообщение означает, что во время сеанса администрирования была проделана одна из операций (Уплотнить или Очистить) с файлом событий системы. Дополнительное сообщение показывает, какая из этих операций была выполнена.
83 - Операции с файлом пользователей
Это сообщение означает, что во время сеанса администрирования была проделана одна из операций на файле пользователей. Возможны операции Добавить, Удалить и Изменить). Дополнительное сообщение указывает, какая из этих операций была выполнена и каким пользователем.
84 - Модификация даты/времени МЭ
Это сообщение показывает, что администратор, работавший через администрати вный интерфейс, изменил дату и/или время на межсетевом экране
85 - Административный сеанс закрыт из-за ошибки
Это сообщение означает, что сеанс администрирования был прерван из-за ошибки протокола связи.
Решение: Попытаться снова установить соединение.
86 - Административный сеанс закрыт по тайм-ауту
После установления удаленного сеанса администрирования удаленный хост начинает периодически посылать на межсетевой экран сообщение для подтверждения активности соединения. Эти сообщения посылаются, если даже пользователь не выполняет никаких операций.
Это сообщение означает, что сеанс удаленного администрирования был прерван из-за того, что сервер не получил сообщение от удаленного хоста в течение максимально допустимого времени. Наиболее вероятной причиной этого может быть сбой на хосте с запущенным графическим интерфейсом или сетевая неисправность.
87 - Ошибка в предыдущей операции
Это сообщение означает, что последняя операция, выполненная с удаленного хоста, не была успешно завершена.
Решение: Проверить, есть ли свободное пространство в файловой системе '/ ' межсетевого экрана. Это можно сделать с помощью команды $df -k. Если эта команда показывает, что используемое пространство на каталоге "/" равно 100%, в этом и заключается причина проблемы.
88 - Пользователь без права доступа
Это сообщение означает, что пользователь пытался выполнить несанкционированное действие.
89 - Неизвестная ошибка
Это сообщение означает, что сервер поддержки удаленного администрирования межсетевого экрана получил запрос от неизвестного сервиса.
Дата и время
Эта опция позволяет администратору проверять и модифицировать установленное на межсетвом экране время. Правильно установленные дата и время важны для работы правил фильтрации и временных таблиц профиля доступа WWW, обмена ключей через SKIP протокол и систему статистики и событий
Для доступа к окну установки даты и времени необходимо:
Выбрать меню Средства в главном окне
Выбрать опцию Дата и время
Окно установки даты и времени
Это окно состоит из двух полей, которые показывают дату и время на межсетевом экране. Для модификации этих параметров необходимо установить необхолимое значение в соответствующее поле. При модификации времени аналоговые часы в правом окне автоматически изменят свое значение
Кнопка Да закрывает окно и сохраняет изменения
Кнопка Отменить закрывает окно и отбрасывает изменения
Кнопка Помощь выводит окно подсказок по данному разделу
Дерево каталогов
/ - содержит модифицированное ядро операционной системы с межсетевым экраном Aker
/etc/firewall - содержит выполняемые программы и подкаталоги
/etc/firewall/conf - содержит конфигурационные файлы межсетевого экрана
/etc/firewall/manual - содержит руководство пользователя (если оно установлено)
/etc/firewall/root - не содержит файлов. Используется некоторыми процессами межсетевого экрана
/etc/firewall/run - содержит динамические файлы
/var/log - содержит файлы статистики и событий межсетевого экрана Aker
/var/spool/firewall - используется SMTP proxy для хранения сообщений
/usr/src/sys/objs - содержит объектные модули, необходимые для создания нового ядра системы
DES Library
Copyright © 1995 Eric Young (eay@mincom.oz.au)
All rights reserved.
Эта библиотека и ее приложения БЕСПЛАТНО РАСПРОСТРАНЯЕТСЯ ДЛЯ КОММЕРЧЕСКОГО И НЕКОММЕРЧЕСКОГО ИСПОЛЬЗОВАНИЯ до тех пор, пока соблюдаются следующие условия.
Авторское право остается принадлежащим Eric Young, и когда уведомления об Авторском праве присутствуют в тексте программы, они не должны из нее удаляться. Если этот код используется в каком-либо продукте, на Eric Young должны даваться ссылки как на автора используемых частей продукта. Такие ссылки могут быть сделаны в виде текстового сообщения при запуске программы или содержаться в документации (в режиме online или в текстовой форме), сопровождающей пакеты.
Дальнейшее распостранение и использование в исходной или двоичной формах, с модификацией или без нее, разрешено при выполнении следующих условий:
При дальнейшем распостранении исходных кодов должно сохраняться уведомление об авторском праве, этот список условий и приведенный ниже отказ от права
При дальнейшем распостранении двоичных кодов должно сохраняться уведомление об авторском праве, этот список условий и приведенный ниже отказ от права.
Все рекламные материалы, упоминающие характеристики или использование этого программного средства, должны воспроизводить следующее официальное заявление:
Этот продукт включает программное средство, разработанное Eric Young (eay@mincom.oz.au)
ЭТО ПРОГРАММНОЕ СРЕДСТВО ПРЕДОСТАВЛЕНО ЕГО РАЗРАБОТЧИКОМ ERIC YOUNG "КАК ЕСТЬ", ПРИ ЭТОМ НЕ ПРИЗНАЮТСЯ НИКАКИЕ ЯВНЫЕ ИЛИ ПОДРАЗУМЕВАЕМЫЕ ГАРАНТИИ, ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ ЭТИМ, ПОДРАЗУМЕВАЕМЫЕ ГАРАНТИИ ПРИГОДНОСТИ ДЛЯ ТОРГОВЛИ И СООТВЕТСТВИЯ ЦЕЛИ. НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ. АВТОР ИЛИ ЕГО СОТРУДНИКИ И СПОНСОРЫ НЕ ДОЛЖНЫ НЕСТИ ОТВЕТСТВЕННОСТИ ЗА ЛЮБЫЕ ПРЯМЫЕ, НЕПРЯМЫЕ, ПРЕДВИДИМЫЕ, ФАКТИЧЕСКИЕ, ПРИМЕРНЫЕ ИЛИ КОСВЕННЫЕ УБЫТКИ (ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ ЭТИМ, СНАБЖЕНИЕ ЗАМЕНАМИ ТОВАРОВ ИЛИ УСЛУГ; ПОТЕРИ ОТ ИСПОЛЬЗОВАНИЯ, ДАННЫХ ИЛИ ПРИБЫЛЕЙ; ИЛИ ПРЕРЫВАНИЕ ДЕЛОВЫХ ОТНОШЕНИЙ), ЧЕМ БЫ ОНИ НИ БЫЛИ ВЫЗВАНЫ И НА ЧЕМ БЫ ОБЯЗАТЕЛЬСТВА НИ ОСНОВЫВАЛИСЬ, НА КОНТРАКТАХ, НА СТРОГОЙ ОТВЕТСТВЕННОСТИ, ИЛИ НА ГРАЖДАНСКО-ПРАВОВОМ ДЕЛИКТЕ (ВКЛЮЧАЯ НЕБРЕЖНОСТЬ ИЛИ КАКОЕ-ЛИБО ИНОЕ ДЕЙСТВИЕ), ВОЗНИКАЮЩИЕ КАКИМ- ТО ОБРАЗОМ ВНЕ СФЕРЫ ИСПОЛЬЗОВАНИЯ ЭТОГО ПРОГРАММНОГО СРЕДСТВА, И ДАЖЕ ПРИ ЗАБЛАГОВРЕМЕННОМ УВЕДОМЛЕНИИ О ВОЗМОЖНОСТИ ТАКИХ УБЫТКОВ.
Лицензию и условия распространения для любой общедоступной версии или производной от данного кода нельзя изменять, т.е. этот код нельзя просто копировать или размещать согласно другой лицензии по распространению [включая GNU Public License].
Динамические файлы
/etc/firewall/run/fwauthd.pid - PID (идентификатор процесса) сервера аутентификацииr
/etc/firewall/run/fwhttppd.pid - PID для HTTP proxy
/etc/firewall/run/fwsrvlog.pid - - PID сервера регистрации
Для чего нужна реакция системы?
Смысл реакции системы заключается в том чтобы обеспечить более тесное взаимодействие между межсетевым экраном и администратором. Ее использование, например, делает возможным выполнение программы, которая вызывает администратора, когда межсетевой экран обнаруживает начавшуюся атаку. Это позволяет администратору немедленно предпринять эффективные действия, даже если он в тот момент не наблюдает за работой межсетевого экрана.
Добавление и удаление объектов и сервисов
Каждое из полей объектов источника, назначения и сервисов состоит из двух списков. Левый список содержит все объекты системы, которые можно добавить в выделенное поле. Правый список содержит все объекты, которые уже добавлены в поле.
Чтобы добавить объект в одно из этих полей, нужно сделать следующее:
Выделить включаемый объект в левом списке.
Нажать на направленной вправо стрелке сбоку от требуемого списка (только что включенный объект будет помечен красной меткой V, указывающей на то, что он добавлен в поле).
P>Чтобы удалить объект из одного из этих полей, нужно выполнить следующее:
Выделить удаляемый объектв правом списке.
Нажать на значок X сбоку от требуемого списка (контрольная метка V будет удалена от объекта, чтобы показать, что он больше не принадлежит выделенному полю).
Движение пакетов в межсетевом экране Aker
В предыдущих главах этого руководства были разобраны по отдельности три главных модуля межсетевого экрана Aker со всеми деталями, относящимися к их настройке. Теперь будет показано, как пакеты проходят через эти модули и каким изменениям они могут подвергнуться в каждом из них.
По сути дела, существуют два различных потока: один для пакетов, которые генерируются во внутренней сети и имеют в качестве пункта назначения внешний хост (выходящий поток), и другой, для пакетов, которые генерируются во внешней сети и имеют в качестве пункта назначения хост внутренней сети (входящий поток).
Файлы статистики и событий
/var/log/eventos-301.fw - Файл регистрации событий
/var/log/log-301.fw - Файл регистрации статистики
Формат и значения полей сообщений о событиях
Ниже описан формат сообщений и приводится описание их полей. Полный список всех возможных сообщений и их значений содержится в Приложении А
Формат записи:
<Date> <Time> <Message> [(Complement)]
[<Additional Data>]
Описание полей:
Date: Дата генерации записи.
Time: Время генерации записи.
Message: Текстовое сообщения, описывающее событие
(Complement): Это поле вносит некоторую дополнительную информацию и может присутствовать или нет, что зависит от характера сообщения. Если оно присутствует, то указывается в скобках.
Additional data: Информация в этом поле связана с сообщениями от proxy серверов. Она всегда появляются в строке под соответствующим сообщением. Она содержит адрес источника соединения и, в случае прозрачного proxy сервера, адрес назначения.
Примеры:
02/26/1998 13:27:11 Aker Firewall v3.01 - Initialization complete 02/26/1998 13:30:32 Telnet session established (user) Source: 10.2.1.12 - Destination: 192.168.0.3 02/26/1998 12:48:23 Administrative session confirmation error (administrator) 02/26/1998 12:48:23 Administrative connection request (10.4.1.14)
Формат и значения полей записей в файле статистики
Ниже дано описание формата каждой записи, сопровождаемое описанием каждого поля. Формат записей одинаков как для графического интерфейса, так и для интерфейса командной строки.
Инсталляция агента аутентификации в Unix
Для установки агента аутентификации необходимо смонтировать диск с Aker Firewall 3.01 на хосте, в котором должен быть инсталлирован агент, или скопировать содержимое каталога с записанным там агентом из CD в какой-либо временный каталог на этом хосте (это можно сделать с помощью FTP или NFS, если в данном хосте нет CD-ROM дисковода.
После монтирования CD или копирования файла в любой каталог, необходимо перенести бинарные коды агента в выбранный каталог на хосте назначения. Для этой цели рекомендуется использовать каталог /usr/local/bin, но можно выбрать и любой другой. Для копирования агента запустите следующую команду:
#/installation_directory/agent/plataform/aginst
Где installation directory означает каталог, в котором содержатся файл дистрибутива, platform означает выбранную вами платформу. Например, для установки агента на платформе FreeBSD и с CD, смонтированным в каталог /cdrom, следует ввести с клавиатуры команду: #/cdrom/agent/FreeBSD/aginst
Символ # обозначает приглашение интерпретатора shell, если вы являетесь пользователем root. Не набирайте его как часть команды
Инсталляционная программа копирует выполняемый файл (fwagaut) в директорию /usr/local/bin, а конфигурационный файл (fwagaut.cfg) в директорию /etc. После окончания инсталляции необходимо записать в этот файл необходимые настройки, как написано в следующем разделе.
Если вы ответили "Yes" на вопрос инсталляционной программы о том, хотите ли вы автоматически стартовать агента аутентификации при каждой загрузке. в файле инициализации будет сделана соответствующая запись. Название этого инийиализационного файла зависит типа UNIX системы.
Инсталляция межсетевого экрана
Для инсталляции Aker сначала необходимо установить операционную систему FreeBSD. Ее инсталляция проста, тем не менее мы рекомендуем подыскать специалиста, умеющего обращаться с Unix. Основные процедуры по инсталляции FreeBSD описаны и поставляются в комплекте с межсетевым экраном Aker. При возникновении каких-либо проблем советуем Вам для получения дополнительной информации обращаться по упомянутым в предыдущем параграфе адресам.
После установки FreeBSD можно приступать к инсталляции межсетевого экрана Aker. Для этого необходимо смонтировать CD-ROM с дистрибутивом Aker или перенести содержимое из инсталляционного каталога CD в любой временный каталог в хосте, где Вы хотите установить продукт (его можно перенести по FTP или NFS с другого хоста, где имеется CD устройство).
После монтирования CD или копирования файлов в какой-либо каталог необходимо выполнить следующую команду:
#/installation_directory/aker/fwinst
где installation_directory - это каталог, в котором хранятся инсталляционные файлы; например, если CD был смонтирован в каталог /cdrom, то необходимо набрать команду:
#/cdrom/aker/fwinst
Cимвол # означает подсказку оболочки shell при выполнении команды привилегированным пользователем "root"; этот символ не должен вводиться с клавиатуры как часть команды.
Программа fwinst предназначена для инсталляции и настройки системы для работы на ней межсетевого экрана Aker.
Удаленный интерфейс для платформ Windows 95 и Windows NT нельзя установить с помощью этой программы. В следующем параграфе даны объяснения по установке удаленного интерфейса для этих платформ
Для дальнейшей инсталляции программы необходимо знание лицензионного ключа. Для того, чтобы продолжить инсталяцию, необходимо принять положения и условия, указанные в лицензии. Если Вы согласны с условиями, программа, выведет на экран следующий текст:
Aker Firewall v3.01 - Installation Program
This program installs Aker Firewall 3.01 and the command line interface.Before running this program, it is necessary to create a kernel configuration file called FIREWALL.
This file must be located in the /usr/src/sys/i386/conf directory.
Do you want to proceed with the firewall installation (Y/N) ?
Если файл конфигурации ядра FIREWALL уже создан, нажмите 'Y' и затем 'Enter' для продолжения инсталляциию. Если файл не создан, нажмите "N" и создайте его.
Существующий файл конфигурации ядра /usr/src/sys/i386/conf/GENERIC может быть использован для генерации нового файла конфигурации путем удаления или добавления необходимых компонент. Более подробно этот процесс описан в документации по FreeBSD.
Если Вы ответите ('Y'), будет продолжена инсталляция, за ходом которой вы можете наблюдать при помощи появляющихся сообщений.
Инсталляционная программа вносит изменения в файл /etc/rc. Если Вы что-либо изменили в нем, необходимо это проделать снова после инсталляции.
После копирорвания файлов программа запросит у Вас информацию для системно-зависимой конфигурации. В первую очередь это ключ инсталляции, без которого не будет работать ни один модуль межсетевого экрана.
После этого на экран будет выведена следующая надпись:
Aker Firewall v3.01 - Installation Program
System configuration completed. It's now necessary to activate the
installed copy by typing the activation key that came with the product.
The activation key, the company name and the IP address of the external
interface must be typed exactly as they appear in the document provided
by the Aker Consultancy and Informatics or its authorized dealer.
Press enter to continue
После этого программа выведет приглашениие ко вводу информации, которую Вы получили от Aker Consultancy and Informatics или их официального реселлера. Все поля необходимо заполнить точно в соответствии с полученными в документе.
Ключ необходимо вводить вмечте с символами '-', приведенными в оригинальном документе. В названии компании строчные и прописные буквы различаются.
Ниже приведен пример ввода
Aker Firewall version 3.01
Activation key configuration module
Company name: Aker Consultancy and Informatics
External interface IP address: 10.0.0.1
Activation key: 2DBDC612-FA4519AA-BBCD0FF1-129768D3
Если все введено верно, программа продолжит инсталляцию. В противном случае программа предложит вам повторить ввод.
Вводимый IP адрес должен быть присвоен интерфейсу, в противном случае инсталляция будет остановлена
Теперь инсталляционная программа приступит к поиску конфигурационных файлов версии 3.0 Aker. Если файлы будут найдены, появится следующее сообщение:
Aker Firewall v3.01 - Installation Program
Updating configuration files of the version 3.0 of Aker Firewall...
Updating messages...OK
Updating WWW access profiles...OK
Update complete. The version 3.0 configuration files were removed from the
system.
Press enter to continue
Обновление файлов производится автоматически и существующая конфигурация при этом сохраняется. После этого старые файлы будут удалены и вы увидите следующую надпись
Aker Firewall V3.01 - Installation Program
System activation completed. Now let's configure some Aker Firewall
parameters.
I can automatically create an administrator capable of managing remotely
the firewall. This administrator will have full administrative rights and
new users can be registered by him later.
If you don't create an administrator, you won't be able to manage the
firewall using the remote graphic user interface. The only way to manage
it will be through the command line interface.
Do you want to create the administrator (Y/N) ?
Для управления межсетевым экраном из GUI, необходимо зарегистрировать менаджера системы удаленного администрирования.
Вы должны ответить на вопрос о регистрации менеджера - "Y", кроме тех случаев, когда вы не хотите пользоваться графическим интерфейсом или проводите апгрейд уже существующей версии (в которой существовали зарегистрированные менеджеры).
В дальнейшем с использованием локального интерфейса можно регистрировать и других менеджеров. Более подробно это описано в главе 3-0 Управление пользователями межсетевого экрана.
Если Вы решите добавить нового администратора, будут выведены следующие сообщения ( пароль администратора не высвечивается):
Aker Firewall version 3.01
Remote users administration module
User creation
Enter the login : administrator
Enter the complete name : Aker Firewall administrator
Enter the password :
Confirm the password :
Create user ? (Y/N)
После регистрации программа инсталляции выведет на экран:
Aker Firewall v3.01 - Installation Program
I can automatically create a filtering rule to allow the firewall to be
managed immediately from another host.
If this rule is not created, it will only be possible to manage the
firewall, during its initial operation from the command line interface.
Do you want to create this rule (Y/N) ?
Если Вы хотите использовать GUI, необходимо добавить правило, разрешающее управление доступом с другого хоста, на котором используется удаленный интерфейс. После того, как это сделано, все конфигурирование межсетевого экрана можно осуществлять с этого хоста.
Если Вы не добавили это правило, управление будет возможно только с помощью интерфейса командной строки с самого межсетевого экрана.
Если инсталляция является обновлением версии, где уже были установлены правила, разрешающие дистанционное управление с одного или нескольких хостов, вы можете ответить нет на этот вопрос (если вы уже ответили "да" на обновление старых конфигурационных файлов).
Если вы ответите Yes ('Y'), программа инсталляциии запросит IP-адрес хоста, с которого можно будет соединяться с межсетевым экраном. Этот хост будет единственным, с которого это будет разрешено.
После этого программа инсталляции выведет сообщение об успешном окончании процесса установки , а также информацию, что она приступает к компиляции нового ядра в соответствии с файлом /usr/src/sys/i386/conf/FIREWALL.
Aker Firewall v3.01 - Installation Program
I will now compile a new kernel to install Aker Firewall on this
host. This compilation takes between 5 and 40 minutes, depending on
your configuration and the speed of this machine.
Press enter to continue
Если теперь вы нажмете "Enter", программа начнет компиляцию нового ядра. После завершения компиляции и инсталляции нового ядра программа попросит выполнить рестарт (перезапуск) машины для старта межсетевого экрана Aker. Когда вы вновь запустите компьютер, межсетевой экран автоматически начнет свою работу.
Инсталляция удаленного интерфейса на платформах Windows , или NT
Для того, чтобы установить удаленный интерфейс на платформах Windows 95 или NT, вы должны вставить CD в дисковод и выполнить следующие действия:
Выберите меню Пуск
Выберите опцию Выполнить
На вопрос, какую программу выполнять, введите с клавиатуры D:\win95\install. (Если к CD-ROM устройству доступ осуществляется не через D, а через другую букву, замените на эту букву эквивалент в предыдущей команде).
После этого Вы увидите экран с приглашением к инсталляции удаленного интерфейса. Для продолжения инсталляции выполните инструкции на экране.
Когда инсталляция закончится, будет создана группа Aker Firewall в меню Start . Выберите опцию Aker Firewall 3.01 в этой группе для запуска удаленного интерфейса.
Интеграция фильтра и мехнизма трансляции сетевых адресов
При настройке правил фильтрации для хостов, адреса которых преобразуютс# в соответствии с настройками NAT, могут возникнуть сомнения по поводу того, реальные или виртуальные адреса хостов следует использовать?
На этот вопрос можно легко ответить, если проанализировать движение пакетов:
При движении из внутренней области во внешнюю пакеты сначала проходят через фильтр, а затем только преобразуются их адреса (если нужно); это означает, что фильтр получает реальные адреса хостов.
При движении из внешней области во внутреннюю пакеты сначала проходят через транслятор сетевых адресов, который преобразует адреса назначения из виртуальных IP адресов в реальные. После этого пакеты передаются пакетному фильтру; это значит, что пакетный фильтр снова получает пакеты с реальными адресами.
В обоих случаях фильтр не подозревает о существовании виртуальных адресов; отсюда вытекает следующее утверждение:
Создавая правила фильтрации, не нужно обращать внимание на преобразование сетевых адресов. Правила должны описываться так, как если бы хосты источника и назначения прямо связывались между собой, не используя преобразования сетевых адресов.
Интеграция фильтра с трансляцией сетевых адресов и с криптографией
В предыдущем разделе мы показали, как настраивать правила фильтрации, если задействован механизм трансляции адресов. Вывод состоял в том, что вам надо работать только с реальными адресами, пренебрегая преобразованием адресов. Теперь возникает еще один вопрос: при настройке защищенных каналов для хостов, адреса которых преобразуются, должны использоваться их реальные или виртуальные адреса?
Чтобы ответить на этот вопрос, снова проанализируем движение пакета:
При движении из внутренней области во внешнюю пакеты сначала проходят через фильтр, затем подвергаются преобразованию адресов (при необходимости), и, наконец, попадают в криптографический модуль. Поэтому последний получает пакеты с виртуальными адресами.
При движении из внешней области во внутреннюю пакеты сначала расшифровываются (при необходимости). Затем они проходят через модуль трансляции адресов, который преобразует виртуальные адреса в реальные, и, наконец, попадают в пакетный фильтр. Криптографиический модуль получает пакеты перед преобразованием их адресов и, следовательно, имеет дело с виртуальными адресами.
В обоих случаях криптографический модуль получает пакеты, как будто они первоначально имели виртуальные адреса и для источника, и для назначения. Это приводит к следующему утверждению:
При создании защищенных каналов вы должны учитывать трансляцию сетевых адресов. Для адресов источника и назначения должны устанавливаться их виртуальные IP адреса.
Интеграця модулей межсетевого экрана
В этой главе показано, как взаимодействуют между собой три главных модуля межсетевого экрана Aker: пакетный фильтр, транслятор сетевых адресов и модуль криптографии и аутентификации. Показано также, как происходит движение пакетов от момента их получения межсетевым экраном до момента решения основного вопроса об их приеме или отказе в приеме.
Интерфейс командной строки или графический пользовательский интерфейс
Межсетевой экран Aker обеспечивает два различных интерфейса для своей настройки: удаленный графический интерфейс (GUI) и локальный интерфейс командной строки.
Графический интерфейс
Графический пользовательский интерфейс называется удаленным, поскольку межсетевым экраном Aker можно управлять дистанционно, через Интернет, из любого места в мире. Администрирование осуществлется по защищенному каналу между рабочим местом администратора и межсетевым экраном с использованием строгой аутентификации и защиты трафика.
Графический интерфейс можно использовать на рабочих станциях под управлением Windows 95TM, Windows 98TM и Windows NTTM.
Интерфейс командной строки
Интерфейс командной строки полностью ориентирован на ввод команд на хосте, на котором инсталлирован межсетевой экран. Его основное назначение состоит в переводе в автоматический режим работы задач, выполняемых Aker (с помощью создания сценариев).
Почти все изменяемые с помощью графического интерфейса параметры можно настроить из командной строки. Единственным исключением из этого правила является настройка proxy серверов, которую нельзя выполнить с помощью командного интерфейса.
Поскольку через оба интерфейса работа ведется с одними и теми же переменными, их функциональные возможности, значения, одинаковы как для графического, так и для интерфейса командной строки. Поэтому в разделах, посвященных описанию интерфейса командной строки, материал представлен более кратко, чем в разделах, посвященных графическому интерфейсу.
Одновременное использование нескольких графических интерфейсов или интерфейса командной строки и удаленного интефейса на одном компьютере невозможно.
Исходные тексты FreeBSD
Copyright © 1982, 1986, 1993
The Regents of the University of California. All rights reserved.
Дальнейшее распостранение и использование в исходной или двоичной формах, с модификацией или без нее, разрешено при выполнении следующих условий:
При дальнейшем распостранении исходных кодов должно сохраняться уведомление об авторском праве, этот список условий и приведенный ниже отказ от права
При дальнейшем распостранении двоичных кодов должно сохраняться уведомление об авторском праве, этот список условий и приведенный ниже отказ от права.
Все рекламные материалы, упоминающие характеристики или использование этого программного средства, должны воспроизводить следующее официальное заявление:
Этот продукт включает программное средство, разработанное Университетом Калифорнии, Беркли, и его сотрудниками и спонсорами.
Ни имя университета, ни имена его сотрудников и спонсоров не могут использоваться подтверждения или для продвижения продуктов, производных от данного программного средства без предварительного особого письменного разрешения
ЭТО ПРОГРАММНОЕ СРЕДСТВО ПРЕДСТАВЛЕНО ЧЛЕНАМИ ПРАВЛЕНИЯ И СПОНСОРАМИ И СОТРУДНИКАМИ "КАК ЕСТЬ", И НЕ ПРИЗНАЮТСЯ НИКАКИЕ ЯВНЫЕ ИЛИ ПОДРАЗУМЕВАЕМЫЕ ГАРАНТИИ, ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ ЭТИМ, ПОДРАЗУМЕВАЕМЫЕ ГАРАНТИИ ПРИГОДНОСТИ ДЛЯ ТОРГОВЛИ И СООТВЕТСТВИЯ ЦЕЛИ. НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ ЧЛЕНЫ ПРАВЛЕНИЯ, СОТРУДНИКИ И СПОНСОРЫ НЕ ДОЛЖНЫ НЕСТИ ОТВЕТСТВЕННОСТЬ ЗА ПРЯМЫЕ, НЕПРЯМЫЕ, ПРЕДВИДИМЫЕ, ФАКТИЧЕСКИЕ, ПРИМЕРНЫЕ ИЛИ КОСВЕННЫЕ УБЫТКИ (ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ ЭТИМ, СНАБЖЕНИЕ ЗАМЕНАМИ ТОВАРОВ ИЛИ УСЛУГ; ПОТЕРИ ОТ ИСПОЛЬЗОВАНИЯ, ДАННЫХ ИЛИ ПРИБЫЛЕЙ; ИЛИ ПРЕРЫВАНИЕ ДЕЛОВЫХ ОТНОШЕНИЙ), ЧЕМ БЫ ОНИ НИ БЫЛИ ВЫЗВАНЫ И НА ЧЕМ БЫ НИ ОСНОВЫВАЛАСЬ ОТВЕТСТВЕННОСТЬ, БУДЬ ТО В КОНТРАКТЕ, СТРОГОМ ОБЯЗАТЕЛЬСТВЕ ИЛИ В ГРАЖДАНСКО-ПРАВОВОМ ДЕЛИКТЕ (ВКЛЮЧАЯ НЕБРЕЖНОСТЬ ИЛИ КАКОЕ-ЛИБО ИНОЕ ДЕЙСТВИЕ), ВОЗНИКАЮЩИЕ КАКИМ-НИБУДЬ ОБРАЗОМ ВНЕ СФЕРЫ ИСПОЛЬЗОВАНИЯ ДАННОГО ПРОГРАММНОГО СРЕДСТВА, И ДАЖЕ ПРИ ЗАБЛАГОВРЕМЕННОМ ПРЕДУПРЕЖДЕНИИ О ВОЗМОЖНОСТИ ТАКИХ УБЫТКОВ.
Использование графического интерфейса
Для доступа к окну управления пользователми через удаленный интерфейс необходимо:
Выбрать опцию Соединение в главном меню
Выбрать опцию Управление
Эта опция становится доступной только тогда, когда пользователь, открывающий сеанс в удаленном интерфейсе, авторизован для управления пользователями. Детально этот вопрос будет рассмотрен в следующем параграфе.
Экран управления пользователями:
Этот экран содержит список всех зарегистрированных пользователей. По каждому пользователю показываются учетное и полное имена. Полное число пользователей приводится в нижней части экрана
Кнопка Да закрывает окно управления пользователями и сохраняет все изменения
Кнопка Применить сохраняет все модификации и оставляет окно открыитым.
Кнопка Отменить закрывает окно и отбрасывает все сделанные изменения
Кнопка Помощь выводит экран помощи по данному разделу.
При выборе пользователя его параметры показываются в соответствующих полях.
Для изменени параметров пользователей выполните следующее:
Выделите пользователя, атрибуты которого вы хотите изменить, нажав левой клавишей мыши на его имени. Его атрибуты будут показаны в полях после списка пользователей.
Измените параметры и нажмите кнопку Применить или Да
Чтобы включить пользователя в список, сделайте следующее:
Нажмите правой клавишей мыши где-нибудь в зарезервированной области, чтобы показался список, и выберите пункт Добавить всплывающего меню или нажмите кнопку добавления пользователей в инструментальном меню.
Заполните поля параметров пользователя и нажмите кнопку Применить или Да.
Чтобы удалить пользователя из списка, проделайте следующие действия:
Выделите пользователя, которого хотите удалить, нажав на его имени левой клавишей мыши, затем нажмите на кнопку удаление в инструментальном меню
или
Нажмите на имени пользователя, которого хотите удалить, правой клавишей мыши, затем выделите опцию Удалить в всплывающем меню.
Значение атрибутов пользователя
Регистрационное имя
Это регистрационное имя пользователя межсетевого экрана.
Использование графического интерфейса пользователя
Для получения доступа к меню описания трансляции сетевых адресов необходимо выполнить следующие шаги:
Выбрать пункт Редактировать в главном меню.
Выбрать опцию Трансяция адресов
Окно трансляции сетевых адресов
Окно трансляции сетевых адресов состоит из нескольких полей, которые необходимо заполнить для правильной работы NAT в межсетевом экране Aker. Эти поля имеют вид:
Общие параметры трансляции:
Активизировать трансляцию адресов: Эта опция должна быть включена для активизации механизма трансляции адресов. Когда механизм трансляции не активен, конфигурация будет сохраняться, но ее нельзя будет изменить.
IP адрес приватной сети: IP адрес внутренней сети.
Сетевая маска приватной сети: Сетевая маска внутренней сети.
Виртуальный IP адрес: Это реальный IP адрес, в который будут транслироваться адреса источника всех пакеты от хостов внутренней сети при их соединении в внешними серверами. Этот адрес должен быть одним из адресов сетевого интерфейса межсетевого экрана.
Максимальное число TCP и UDP соединений: Это максимальное число одновременных соединений между внутренней и внешней сетями для UDP и TCP протоколов. Параметр может принимать значениеот 0 до 55000 (значение 0 не следует использовать, так как оно деактивирует трансляцию для выделенного протокола; при этом генерируется сообщение об ошибке при каждом обращении клиента к сервису, основанному на этом протоколе).
Максимальный периоде времени, в течение которого соединение считается активным, даже при отсутствии трафика, можно настраивать с помощью системных параметров. Настройка этого параметра описана в главе 4 Настройка системных параметров.
Трансляция адресов много-в-один работает только для протоколов TCP, UDP и ICMP. Для сервисов, основанных на других протоколах, трансляция производиться не будет, если только хост источника не помещен в таблицу серверной трансляции.
Таблица серверной трансляции:
Таблица серверноой трансляции используется для определения отображения один-в-один;серверам присваиваются реальные адреса и внешние хосты получают к ним доступ.
Чтобы получить доступ к окну настройки защищенных каналов, необходимо выполнить следующие действия:
Выбрать пункт Настройка в главном меню
Выбрать опцию Защищенные каналы
Окно настройки защищенных каналов
Окно содержит параметры конфигурации всех защищенных каналов межсетевого экрана Aker. Каждый канал будет показан на дисплее на отдельной строке, состоящей из нескольких клеток. При выделении одного из каналов строка будет окрашена в другой цвет.
Клавиша Да обновляет параметры каналов и немедленно активизирует каналы.
Клавиша Отменить отбрасывает все сделанные модификации и окно закрывается.
Клавиша Помощь показывает окно помощи по этому разделу
Если установлена опция Показать все объекты, на строке будут показаны все составляющие в объекте источника и назначения данного канала, в противном случае будут показаны только первые два
Указание: Если эта опция не установлена и каналы имеют больше двух объектов в источнике или назначении, в каждом поле, содержащем больше двух объектов, будет показана направленная вниз стрелка.
Полоска прокрутки с правой стороны полезна для просмотра каналов, параметры которых не поместились в окне.
Если Вы выделите канал, у которого есть записи в поле комментариев, то последние будут показаны в нижней части окна.
Для выполнения любого действия с параметрами канала, необходимо нажать на нем правой клавишей мыши. Появится следующее меню (Это меню появляется всегда при нажатии на правую клавишу мыши, даже если канал не выделен. В этом случае будут доступны только опции Добавить и Вставить).
Добавить: Эта опция позволяет включить в список новый канал. Если выделен какой-либо канал, новый канал будет вставлен в позицию выделенного канала. Если же канал не выделен, новый канал будет включаться в конец списка.
Удалить: Эта опция удаляет выделенный канал из списка.
Редактировать: Эта опция открывает окно редактирования выделенного канала.
Копировать: Эта опция копирует выделенный канал в буфер.
Вырезать: Эта опция удаляет выделенный канал из списка и копирует его в буфер.
Вставить: Эта опция копирует канал из буфера в список. Если канал выделен, то новый канал будет помещен в позицию выделенного канала. В противном случае он будет помещен в конец списка.
Отменить выделение: Эта опция отменяет выделение канала и снова показывает меню. Это очень полезно при наличии большого числа каналов, и служит для включения или вклейки канала в конец списка.
Рекомендация: Все опции, кроме опции "отменить выделение", доступны через инструментальное меню, расположенное в верхней части окна. В этом случае сначала надо выделить канал, нажав на нем левой клавишей мыши, а затем выбрать необходимую опцию.
При добавлении или редактировании каналов появится окно свойств, описание которого приведено ниже:
Для доступа к окну просмотра событий нужно выполнить следующие действия:
Выбрать меню Вид в главном окне
Выбрать опцию События
Окно фильтрации событий
При выборе опции События автоматически высвечивается окно Фильтрация событий . Это окно позволяет выбрать используемый для просмотра фильтр. Оно имеет следующий формат:
В верхней части окна расположены кнопки Сохранить и Удалить. Кнопка Сохранить позволяет сохранить поля фильтра в нужном порядке для дальнейшего использования и кнопка Удалить позволяет удалить сохраненные ранее фильтры.
Для сохранения фильтра статистики необходимо:
Заполнить необходимые поля. Ввести в поле Фильтры имя сохраняемого фильтра Нажать кнопку Сохранить.
Для использования сохраненного фильтра необходимо выбрать его имя в поле Фильтры и все поля будут автоматически заполнены сохраненными данными.
Для удаления фильтра необходимо:
Задать имя фильтра в поле Фильтры. Нажать кнопку Удалить.
По умолчанию фильтр настроен для показа сообщений текущего дня. Чтобы увидеть сообщения за другие дни, необходимо настроить поля Начальная дата и Конечная дата, описав с их помощью интересующий Вас диапазон (он будет содержать сообщения от начальной до конечной даты включительно).
Кроме этих полей, существуют и другие опции, которые можно применять в разных комбинациях, чтобы еще больше ограничить круг выводимой для просмотра информации:
Приоритет:
Различные типы сообщений имеют различные приоритеты. Высший приоритет присваивается ниболее важным из них. В приведенном ниже списке описываются все возможные приоритеты в порядке убывания их важности. (Если межсетевой экран настроен для посылки копии данных регистрации через syslog, то будут генерироваться сообщения с указанными ниже приоритетами.):
При задании конкретного приоритета на экране будут показаны сообщения только с этим приоритетом.
Любой
Будут показаны сообщения с любым приоритетом
Ошибка
Сообщения с таким приоритом содержат информацию о какой-либо ошибке в конфигурации или действиях системы (например, отказ памяти).
Для получения доступа к окну просмотра, надо выполнить следующие действия:
Выберите пункт Вид в главном окне
Выберите опцию Статистика
Окно фильтрации статистики
Каждый раз при выборе опции "Статистика", автоматически открывается окно фильтрации статистики. Это окно позволяет определить фильтр для просмотра статистики. Оно имеет следующий формат:
В верхней части окна расположены кнопки Сохранить и Удалить. Кнопка Сохранить позволяет сохранить поля фильтра в нужном порядке для дальнейшего использования и кнопка Удалить позволяет удалить сохраненные ранее фильтры.
Для сохранения фильтра статистики необходимо:
Заполнить необходимые поля. Ввести в поле Фильтры имя сохраняемого фильтра Нажать кнопку Сохранить.
Для использования сохраненного фильтра необходимо выбрать его имя в поле Фильтры и все поля будут автоматически заполнены сохраненными данными.
Для удаления фильтра необходимо:
Задать имя фильтра в поле Фильтры. Нажать кнопку Удалить.
По умолчанию фильтр настроен таким образом, чтобы показывать все записи текущего дня. Для просмотра записей по другим дням можно настроить поля Начальная дата и Конечная дата, если ввести в них необходимые даты (диапазон фильтрации будет включать записи от начальной до конечной даты, включительно).
Если нужно просмотреть записи, у которых адреса источника принадлежат определенной группе хостов, для их выделения можно воспользоваться полями IP источника/ Маска источника. То же можно сделать и для выделения группы хостов с конкретными адресами назначения, используя поля IP назначения и Маска назначения. Кнопки Фильтр по IP адресам и Фильтр по объектам позволяют выбрать способ фильтрации: если задана опция Фильтр по IP адресам, будут высвечены 4 поля - IP источника, Маска источника, IP назначения и Маска назначения. Эти поля можно использовать для определения групп источника или назначения. Если установлена опция Фильтр по объектам , будут высвечены 2 поля - Объекты источника и Объекты назначения.
Для получения доступа к окну активных соединений необходимо:
Выбрать меню Вид в главном окне
Выбрать подпункт Соединения
Выбрать опцию TCP соединения или UDP соединения
Окно активных соединений
В окне активных соединений можно просматривать все соединения, которые прошли через межсетевой экран в течение определенного времени. Окна для TCP и UDP протоколов идентичны за исключением поля Текущее состояние, которое существует только в окне TCP соединений.
Часто для упрощения понимания термин соединение используется для TCP и UDP протоколов; это не совсем правильно хотя бы из-за того, что UDP протокол не является ориентированным на соединение. Смысл термина "UDP соединение" заключается в том, что оно представляет UDP сессию, в которой имеет место двусторонний трафик. Любой сеанс можно рассматривать как набор запросов и ответов через межсетевой экран к определенному сервису, который обеспечивается одной стороной и доступ к которому пытается получить другая сторона.
Окно соединений выглядит следующим образом
Окно состоит из списка с отдельным элементом для каждого активного соединения. В нижней части окна выводится сообщение о полном числе активных соединений в текущий момент времени.
Кнопка Да закрывает окно активных соединений.
Кнопка Обновить активизирует (или деактивизирует) автоматическое обновление выводимой на дисплей информации. Нажатие на эту кнопку деактивизирует процесс обновления. Интервал обновления можно задать в поле Автоматическое обновление.
Кнопка Помощь показывает окно помощи по данному разделу.
Кнопка Удалить удаляет выделенное соединение. Чтобы это сделать, необходимо сначала выделить удаляемое соединение (кнопка Удалить недоступна, если соединение не выделено)
При удалении TCP соединения межсетевой экран посылает пакеты с флагом reset всем хостам, участвующим в соединении, удаляет соединение, а затем удаляет соответствующий элемент из таблицы состояний. В случае UDP соединений межсетевой экран просто удаляет элементы из таблицы состояний.
Для доступа к окну параметров аутентификации необходимо выполнить следующие действия:
Выбрать меню Настройка в главном окне
Выбрать опцию Параметры аутентификации
Окно параметров аутентификации
Кнопка Да закрывает окно параметров аутентификации и сохраняет все изменения.
Кнопка Отменить закрывает окно и отбрасывает все сделанные изменения.
Кнопка Помощь показывает окно помощи по данному разделу.
Значения параметров
Запрашивать все аутентификаторы: Этот параметр указывает, должен ли межсетевой экран пытаться проверять подлинность пользователя у следующего аутентификатора по списку, если предыдущий аутентификатор присылает сообщение о неверном пароле.
Если эта опция установлена, межсетевой экран опрашивает все аутентификаторы по списку, пока он не получит утвердительный ответ или пока не исчерпает весь список. Если нет, поиск закончится на первом же аутентификаторе, который пришлет подтверждение или сообщение о неверном пароле.
Эта опция используется только при ответах о неверном пароле. Если аутентификатор присылает ответ, что пользователь, подлинность которого надо проверить, не зарегистрирован в базе данных этого хоста, межсетевой экран продолжит поиск в следующем аутентификаторе по списку, независимо от значения этой опции.
Пользователь может задать домен: Этот параметр указывает, может ли пользователь при аутентификации сообщить межсетевому экрану, какой аутентификатор он хочет использовать.
Если эта опция установлена, пользователь может добавить к своему имени суффикс, образованный символом / и именем аутентификатора, тогда его запрос будет посылаться прямо данному аутентификатору. Если эта опция не установлена, аутентификация будет выполняться в порядке перечисления аутентификаторов в списке, заданном администратором.
Использование этой опции не обязывает пользователя сообщать имя аутентификатора, опция только позволяет пользователю сделать это при желании. Если пользователь не задает имя аутентификатора, аутентификация будет продолжена нормальным путем.
Для доступа к окну конфигурирования SMTP proxy выполните следующие действия:
Выберите меню Сервера в главном окне
Выберите раздел SMTP
Окно контекстов SMTP
Окно контекстов содержит все SMTP контексты, определенные в межсетевом экране. Оно состоит из списка, в котором каждый контекст показан на отдельной строке.
Кнопка Да закрывает окно контекстов
Кнопка Помощь показывает окно помощи по данному разделу.
Полоска прокрутки с правой стороны используется для просмотра контекстов, которые не поместились в окне.
Для выполнения любого действия с конкретным контекстом нажмите на нем правой клавишей мыши. Откроется следующее меню (Это меню будет появляться всегда, если нажать правую клавишу мыши, даже когда контекст не выделен. В этом случае будут доступны только опции Добавить и Вставить.)
Добавить: Эта опция позволяет дополнить список новым контекстом. Если выделен какой-либо контекст, новый будет вставлен в позицию выделенного. Во всех других случаях новый контекст добавляется в конец списка.
Удалить: Эта опция удаляет выделенный контекст из списка.
Редактировать: Эта опция открывает окно свойств для выделенного контекста.
Копировать: Эта опция копирует выделенный контекст в буфер.
Вырезать: Эта опция удаляет выделенный контекст из списка и копирует его в буфер.
Вставить: Эта опция копирует контекст из буфера в список. Если контекст выделен, новый копируется в позицию выделенного контекста; если нет, он копируется в конец списка.
Указание: Можно получить доступ ко всем этим опциям через инструментальное меню, находящуееся в верхней части окна. В этом случае сначала выделите контекст, нажав на нем левой клавишей мыши, а затем выберите необходимую опцию.
При добавлении или редактировании контекстов откроется упомянутое выше окно свойств:
Окно свойств для SMTP контекстов
Для доступа к окну настройки Telnet proxy выполните следующие действия:
Выберите меню Сервера в главном окне
Выберите опцию Telnet
Окно контекстов Telnet
Окно контекстов содержит все Telnet контексты, определенные в межсетевом экране. Оно состоит из списка, в котором каждый контекст показан на отдельной строке.
Кнопка Да закрывает окно контекстов.
Кнопка Помощь показывает окно помощи по данному разделу.
Полоса прокрутки справа используется для просмотра контекстов, которые не уместились в окне.
Для выполнения любого действия на конкретном контексте, нажмите правой клавишей мыши на контексте. Откроется следующее меню (Это меню появляется всегда при нажатии правой клавишей мыши, даже если нет выделенных контекстов. В этом случае будут доступны только опции Добавить и Удалить.)
Добавить: Эта опция позволяет дополнить список новым контекстом. Если выделен какой-либо контекст, новый вставляется на место выделенного контекста. Во всех прочих случаях новый контекст добавляется в конец списка.
Удалить: Эта опция удаляет выделенный контекст из списка.
Редактировать: Эта опция открывает окно свойств для выделенного контекста.
Копировать: Эта опция копирует выделенный контекст в буфер.
Вырезать: Эта опция удаляет выделенный контекст из списка и копирует его буфер.
Вставить: Эта опция копирует контекст из буфера в список. Если контекст выделен, новый будет помещен на место выделенного контекста, если нет, он будет помещен в конец спискаt.
Указание: Ко всем этим опциям можно получить доступ через инструментальное меню, расположенное в верхней части окна. В этом случае сначала выделите контекст, нажав на нем левой клавишей мыши, а затем выберите необходимую опцию.
В случае добавления или редактирования контекстов будет открыто описанное ниже окно свойств:
Окно свойств контекстов Telnet
В окне свойств можно настроить все параметры конкретного контекста. Окно состоит из следующих полей:
Имя: Имя, которое идентифицирует контекст. Это имя будет показано в списке контекстов и в окне редактирования сервисов при создании сервиса, пакеты которого перенаправляются Telnet proxy.
Чтобы добавить новое отображение в список, нужно выполнить следующие действия:
Нажмите на иконку, которая представляет добавление в инструментальном меню.
или: Нажмите в любом месте списка правую клавишу мыши и выделите опцию Добавить во всплывающем меню.
Для редактирования элемента списка надо сделать следующее:
Нажать на левую клавишу мыши на редактируемом элементе, а затем на иконке, которая представляет редактирование в инструментальном меню.
или Нажмите в любом месте списка правую клавишу мыши и выделите опцию Редактировать во всплывающем меню.
Для удаления отображения из списка необходимо выполнить следующее:
Выделить удаляемый элемент при помощи левой клавиши мыши, а затем нажать иконку, представляющую удаление в инструментальном меню.
или Выделить удаляемый элемент при помощи правой клавиши мыши и выберите опцию Удалить во всплывающем.
Для опций Добавить или Редактировать появится следующее окно:
Реальный IP: Это IP адрес сетевого интерфейса внутреннего хоста
Виртуальный IP: Это реальный IP адрес, в который будут транслироваться адреса из внутренней сети. Этот адрес нельзя присваивать какому-либо внешнему хосту и он не может являться адресом сетевого интерфейса межсетевого экрана Aker.
Важные замечания:
Список серверов не должен содержать повторяющиеся записи.
Реальные адреса должны принадлежать внутренней сети, определенной в полях IP адрес внутренней сети и сетевая маска внутренней сети.
Виртуальный адрес не может принадлежать внутренней сети
Когда хост, описанный в таблице серверной трансляции образует соединение с внешним хостом, его адрес источника будет преобразован в соответствующий виртуальный адрес, кроме протокола FTP. В случае протокола FTP преобразованный адрес будет виртуальным IP адресом глобальной трансляции, независимо от того, описан ли хост в таблице серверной трансляции или нет.
В этом случае возможно задать один объект в каждом из этих полей и они будут использоваться для определения групп источника или назначения.
Чтобы просмотреть конкретный сервис, надо ввести с клавиатуры его номер в поле Порт назначения или тип сервиса. Тогда будут показаны только записи с данным сервисом. Важно не забыть выделить необходимый протокол для данного сервиса.
Для TCP и UDP протоколов, чтобы указать сервис, необходимо в это поле ввести с клавиатуры номер порта, связанный с этим сервисом. В случае ICMP нужно ввести тип сервиса. Для любого другого протокола необходимо ввести его номер.
Кроме указанных полей существуют другие опции, которые можно комбинировать, чтобы еще больше ограничить объем выводимой на экран информации.
Действия:
Описывает действие системы над пакетом. Возможны следующие опции:
Любой
Показывает все пакеты.
Принятые
Показывает только пропущенные пакеты.
Не принятые
Показывает только блокированныете пакеты
Отброшенные
Показывает только отброшенные пакеты.
Транслированные
Показывает только сообщения, связанные с трансляцией адресов пакетов.
Приоритет:
Различные типы сообщений имеют разные приоритеты. Чем выше приоритет сообщения. тем оно важнее. В приведенном ниже списке указаны все возможные приоритеты в порядке их снижения (если межсетевой экран настроен для отправки копии сообщеня в syslog, сообщения будут генерироваться с теми же приоритетами, что приведены в списке).
Когда задан некоторый приоритет, на экране будут появляться записи только с этим приоритетом. Записи с более высоким или более низким приоритетом не будут выводиться на экран.
Любой
Показывает записи с любым приоритетом.
Предупреждение
Записи с этим приоритом обычно свидетельствуют о том, что имела место какого-либо рода атака или же очень серьезная ситуация (например, ощибка в конфигурации защищенного канала). Этим записям всегда предшествует сообщение, содержащее больше информации о происшествии.
Замечание
Как правило, записи с этим приоритом генерируются пакетами, которые были блокированы или отброшены системой, поскольку они соответствовали правилу, запрещающему доступ или не удовлетворяли ни одному из правил.
Иногда им предшествуют более поясняющие суть события сообщения.
Информация
Записи с этим приоритом добавляют полезную информацию, но не представляют особенной важности для администрирования межсетевого экрана. Они никогда не сопровождаются пояснительными сообщениями. Обычно записи с этим приоритом генерируются пакетами, пропущенными межсетевым экраном.
Отладка
Записи с этим приоритом не несут какой-либо реально полезной информации, кроме информации, полезной при настройке системы. С этим приоритетом генерируются записи модуля трансляции сетевых адресов
Модуль:
Эта опция позволяет просматривать записи, генерируемые одним из трех основных модулей системы: пакетным фильтром, транслятором сетевых адресов и криптографическим модулем . При выделении одного из этих модулей, будут показаны только генерируемые им записи.
Протокол:
Это поле описывает протокол для выводимых записей. Допустимы следующие опции:
Любой
Показывает записи с любым протоколом.
TCP
Показывает только записи, относящиеся к TCP пакетам.
TCP/SYN
Показывает только записи, относящиеся к установлению TCP соединения ( с флагом SYN).
UDP
Показывает только записи, относящиеся к UDP пакетам.
ICMP
Показывает только записи, относящиеся к ICMP пакетам.
Другие
Показывает записи, которые генерируются протоколами, отличными от TCP, UDP и ICMP выше. Более точно определить протокол можно, определив значение в поле Порт назначения или Тип сервиса.
Кнопка Да накладывает выбранный фильтр и показывает окно стстистики с выбранной информацией.
Кнопка Отменить отменяет действие фильтра и параметры в окне статистики возращаются к прежним значениям. Кнопка Помощь выводит подсказку по данному разделу
Окно статистики
Окно статистики появляется после наложения нового фильтра. Оно состоит из списка со множеством элементов. Каждый элемент имеет свой формат, зависящий от типа сообщения и от протокола. Кроме того, некоторым элементам предшествует специальное сообщение в текстовой форме с дополнительной информацией о записи (значения каждого типа записи рассматриваются в следующем разделе).
Важные замечания:
Одновременно выводится группа из 100 записей.
Можно вывести только первые 10 000 записей, которые соответствуют выбранному фильтру. Другие записи можно просмотреть, если перенести журнал регистрации в файл или использовать фильтр для генерации более поздних записей.
С левой стороны от каждого сообщения будет показан цветной значок, представляющий его приоритет. Цвета имеют следующие значения :
Синий Отладка
Зеленый Информация
Желтый Замечание
Красный Предупреждение
Если нажать левой клавишей мыши на сообщении, в нижней части окна появится строка с дополнительной информацией о записи.
Значение кнопок в окне статистики
Кнопка Да закрывает окно статистики
Кнопка обновить активизирует автоматическое обновление выведенной информации. После первого нажатия на эту кнопку активизируется автоматическое обновление. Для ее сброса снова нажмите на эту кнопку. Интервал обновления можно настроить в поле Автоматическое обновление.
Кнопка Фильтр открывает окно фильтрации статистики, описанное выше.
Кнопка Удалить все удаляет все содержимое файла статистики. Если нажать эту кнопку, появится следующее окно для подтвержденя:
Нажмите Да для удаления все статистики и Нет для отказа от операции.
При удалении содержимого файла статистики восстановить стертую информацию можно только с резервной копии.
Кнопка Уплотнить позволяет уплотненить файл регистрации. Из файла удаляются все элементы, которые старше срока жизни файла статистики (смотрите главу 4 Настрока параметров системые), что улучшает время доступа. Этот процесс выполняется сервером статистики в фоновом режиме, и во время его выполнения просматривать статистику нельзя.
Если нажать эту кнопку, откроется следующее окно:
Кнопка Сохранить сохраняет выбранную информацию с помощью текущего фильтра в файл в ASCII формате. Этот файл разбит на строки, соответствующие строкам на экране.
Рассматриваемая опция очень полезна для отсылки копии данных регистрации другому лицу или для сохранения копии некоторых важных данных в текстовом виде.Если нажать эту кнопку, откроется следующее окно:
Чтобы экспортировать содержимое файла статистики, введите имя создаваемого файла и нажмите кнопку Сохранить. Для отмены операции нажмите кнопку Отмена
Если уже существует файл с таким именем, он будет заменен.
Кнопка << Пред 100 показывает последующие 100 записей. Если не существует последующих записей, опция будет недоступна.
Кнопка След 100 >> показывает предыдующие 100 записей. Если не существует предыдующих записей, опция будет недоступна.
Кнопка Помощь показывает окно помощи по данному разделу.
Сообщения с таким приоритом достаточно редки и на них следует реагировать как можно быстрее.
Предупреждение
Сообщения с таким приоритом свидетельствуют о возникновении серьезных нештатных ситуаций (например, во время установления сеанса удаленного администрирования возникла ошибка авторизации пользователя).
Замечание
Этот приоритет включает сообщения, в которых содержится информация, важная для системного администратора, но при этом не выходящая за рамки номального процесса функционирования (например, администратор начал сеанс удаленного администрирования).
Информация
Сообщения с этим приоритетом содержат полезную информацию, но не столь важную для администрирования межсетевого экрана, как предыдущие (например, закончился сеанс удаленного администрирования).
Отладка
Сообщения с этим приоритом не содержат важной информации, кроме необходимой для аудита. Сюда относятся, например, сообщения, которые генерируются модулем удаленного администрирования при каждой сделанной модификации в конфигурации межсетевого экрана или при его рестарте.
Модуль:
Эта опция позволяет увидеть сообщения, которые генерируются каким-либо из трех главных модулей системы или любым внешним сервером. При выборе конкретного модуля будут показаны только относящиеся к нему сообщения.
Кнопка Да накладывает описанный фильтр и открывает окно событий с выборкой соответствующей фильтру информации.
Кнопка Отменить отменяет операцию фильтрации и в полях окна событий появляется предыдущая информация. Кнопка Помощь выводит окно подсказки по данному разделу.
Окно событий
Окно событий открывается после наложения нового фильтра. Оно состоит из списка сообщений. Обычно каждая строка списка соответствует отдельному сообщению, но некоторые сообщения могут занимать две строки. Формат сообщений рассмотрен в следующем разделе.
Важные замечания:
Одновременно выводится 100 сообщений.
На экран можно вывести только первые 10.000 сообщений, соответствующих данному фильтру. Другие сообщения можно увидеть, записав их в файл или используя другой фильтр для вывода меньшего числа сообщений.
Слева от каждого сообщения показан цветной значок, обозначающий его приоритет. Цвета имеют следующие значения::
Синий Отладка
Зеленый Информация
Желтый Замечание
Красный Предупреждение
Черный Ошибка
Если нажать левую клавишу мыши на сообщении, в нижней части окна появится строка с дополнительной информацией о нем.
Значения кнопок в окне событий
Кнопка Да закрывает окно событий.
Кнопка Обновить активизирует автоматическое обновление выводимой информации. При первом нажатии эта функция активизируется, про следующем она отменяется. Интервал обновления можно настроить в поле Автоматическое обновление.
Кнопка Фильты открывает окно фильтрации событий, описанное выше. Это позволяет организовать новый просмотр.
Кнопка Удалить все позволяет удалить все содержимое файла событий. Если нажать эту кнопку, откроется следующее окно:
Нажмите Да чтобы стереть все события или Нет для отказа от операции.
При стирании содержимого файла событий воостановить его можно только с резервной копии.
Кнопка Уплотнить уплотняет файл событий. При этом удаляются все события старше времени жизни статистики (см. главу 4 Настройка параметров системы), что позволяет реорганизовать файл событий и улучшить времея доступа к нему. Этот процесс выполняется в фоновом режиме, поэтому во время его выполнения невозможно просматривать события.
Если нажать эту кнопку, откроется следующее окно:
Кнопка Сохранить сохраняет всю выделенную информацию в ASCII файле. Файл состоит из различных строк с тем же содержанием, что показано в окне.
Эта опция очень полезна для отправки копии событий другому лицу или для сохранения копии некоторых важных данных в текстовом формате. Если нажать эту кнопку, появится следующее окно:
Для экспортирования сообщений о событиях, введите имя создаваемого файла и нажмите кнопку Сохранить, для отмены операции нажмите кнопку Отменить.
Если существует файл с таким же именем, он будет переписан.
Кнопка >>След 100 позволяет вывести 100 следующих сообщений.Если они отсутствуют, опция будет недоступна.
Кнопка Пред 100<< позволяет позволяет вывести 100 предыдущих сообщений. Если больше сообщений нет, опция будет недоступна.
Кнопка Помощь открывает окно помощи по окну просмотра событий.
Кнопка DNS позволяет включить или выключить разрешения имен хостов с помощью системы доменных имен (DNS) для адресов в списке соединений. Обратите внимание на следующее:
Если нажать кнопку DNS, прервется автоматическое обновление. Для его активизации нажмите кнопку Обновить.
После нажатия кнопки DNS показываемая на дисплее информация будет состоять только из имен хостов и портов источника и назначения. Заголовок в верхней части окна будет автоматически изменен, чтобы представлять новую информацию.
Процесс разрешения имен очень часто проходит довольно медленно, из-за чего он выполняется в фоновом режиме.
Часто из-за проблем с настройкой обратных зон ( соответствие IP адресов именам), разрешить некоторые IP адреса в имена невозможно. В этих случаях на экран будут выводиться адреса с указанием факта, что для них не описано обратное разрешение.
Поле Сортировать позволяет выбрать способ вывода на дисплей списка соединений. Оно содержит опции:
IP источника: Список соединений сортируется по IP адресам источника (этот порядок устанавливается по умолчанию).
IP назначения: Список соединений сортируется по IP адресам назначения
Сервисы: Список соединений сортируется по порту назначения соединения, соответствующему данному сервису.
Для иллюстрации доменной спецификации рассмотрим пример системы с двумя аутентификаторами, названными Unix и Windows_NT (окно с этими аутентификаторами показано на рисунке). В такой системе, если пользователь с именем аdministrator хочет пройти аутентификацию на машине Windows_NT, он должен ввести следующий текст при запросе его регистрационного имени: administrator/Windows_NT. Если он не укажет суффикс, межсетевой экран будет пытаться аутентифицировать его на машине Unix, и если не существует пользователя с таким именем или опция Consult all authenticators будет установлена, межсетевой экран будет пытаться аутентифицировать данного пользователя на хосте Windows_NT.
Имя аутентификатора должно быть в списке опрашиваемых аутентификаторов.
Список аутентификаторов
В окне присутствуют два списка аутентификаторов: список слева показывает все объекты типа аутентификатор, определенные в системе. Список справа указывает, какие аутентификаторы будут использоваться для аутентификации пользователей и в каком порядке.
Чтобы добавить аутентикатор в правый список, надо сделать следующее:
Выделить добавляемый аутентификатор в левом списке
Нажать кнопку, изображающую направленную вправо стрелку (только что добавленный аутентификатор будет помечен красным значком V в левом списке, указывая на то, что он добавлен и будет представлен в правом списке).
Для удаления аутентикатора из списка необходимо:
Выделить удаляемый аутентификатор в правом списке.
Нажать кнопку X (удаленный аутентикатор больше не будет помечен значком V в левом списке).
Для изменения порядка следования аутентикаторов в списке, сделайте следующее:
Выделите перемещаемый аутентификатор в правом списке.
Нажмите одну из кнопок справа от списка: кнопка со стрелкой вверх переместит выделенный аутентификатор на одну позицию вверх в списке, а кнопка со стрелкой вниз переместит его на одну позицию вниз.
Опрос аутентификаторов проводится в порядке их следования в правом списке, сверху вниз.
Не может быть двух контекстов с одинаковыми именами. Макс. число одновременных соединений: Это поле определяет максимальное число Telnet сессий для данного контекста. Если число открытых сессий достигает этого предела, пользователи, пытающиеся установить новые соединения, будут информированы о том, что достигнут предел и что им следует возобновить попытки позднее. Разрешать только при правильном обратном DNS: Если эта опция установлена, будут приниматься соединения только от хостов, для которых описано обратное преобразование в системе доменных имен (DNS). Период неактивности: Этот параметр определяет максимальное время в секундах, в течение которого proxy остаются в активном состоянии при отсутствии передачи через них данных.
Это значение должно быть меньше или равно тому значению, которое задается в поле TCP тайм-аут в глобальных параметрах настройки (смотрите главу 4 Настройка параметров системы).
По умолчанию: Это поле определяет, какое действие будет применено ко всем тем пользователям, кто не принадлежит к какой-либо из групп из разрешающего доступ списка. Значение пропускать позволяет установить Telnet соединение, а значение не пропускать - нет. Список полномочий: В этом списке описывается пользователи или группы пользователей, которым разрешен доступ. Для выполнения действий с пользователем или группой в списке нажмите на соответствущем пользователе (или на группе) правой клавишей мыши. Появится следующее меню (Это меню появляется каждый раз, если нажать правую клавишу мыши, даже когда не выделен пользователь или группа. При этом доступны только опции Добавить и Удалить)
Добавить: Эта опция позволяет добавить нового пользователя или группу в список. Если выделен какой-либо пользователь (или группа), новый будет вставлен на место выделенного. Во всех прочих случаях новый пользователь (или группа) будут добавлены в конец списка.
Редактировать: Эта опция позволяет модификацию полномочия на доступ для пользователя (или группы).
Удалить: Эта опция удаляет выделенного пользователя (или группу) из списка.
Рекомендация: Ко всем этим опциям можно получить доступ через инструментальную полоску, расположенную справа над списком. В этом случае сначала выделите пользователя (или группу), нажав на нем левой клавишей мыши, а затем нажмите необходимую опцию.
Порядок расположения пользователей и групп в списке полномочий очень важен. При аутентификации пользователя межсетевой экран просматривает список с самого начала в поисках имени пользователя или группы, к которой он принадлежит. Как только оно будет найдено, начинает использоваться связанные с ним полномочия.
Для изменения позиции пользователя или группы в списке, сделайте следующее:
Выберите перемещаемого пользователя или группу.
Нажмите одну из кнопок в форме стрелки справа от списка. Кнопка со стрелкой вверх переместит выделенного пользователя или группу на одну позицию вверх, а кнопка со стрелкой вниз - на одну позицию вниз.
При добавлении пользователей или группы откроется следующее окно:
Окно добавления пользователя или группы
Окно добавления определяет полномочия на доступ для пользователя или группы у конкретного аутентификатора. Для его определения необходимо сделать следующее:
Выбрать аутентификатор, с которого вы хотите получить список пользователей или групп, нажав левой клавишей мыши на его имени в верхнем списке окна (Если необходимого аутентификатора нет в списке, нужно добавить его в список аутентификаторов. Подробно этот вопрос рассмотрен в главе 16 Настройка параметров аутентификации.)
Выбрать между списками пользователей и групп, нажав соответствующую кнопку, расположенную между двумя списками
Нажать левой клавишей мыши на имени добавляемого пользователя или группы в нижнем списке окна.
Определить права на доступ для пользователя или группы, выбрав между значениями пропускать (которое позволяет установить соединение) или не пропускать (которое запрещает установление соединения).
Нажать кнопку Да , которая закрывает окно и добавляет пользователя или группу в список.
Использование интерфейса командной строки
Кроме графического интерфейса для управления пользователями может быть использован локальный интерфейс командной строки, обладающий теми же возможностями, что и графический интерфейс. Единственной недоступной функцией является изменение полномочий пользователей. Этот интерфейс, реализованный при помощи команды fwadmin является интерактивным и не получает параметров из командной строки.
Путь к программе: /etc/firewall/fwadmin
При запуске программа выводит на экран:
----------------------------------------------------------------
Aker Firewall version 3.01
Remote users administration module
Choose one of the following options:
Add a new user
Remove an existing user
Modify an user's password
List the registered users
Compact the users file
Exit fwadmin
-----------------------------------------------------------------
Для выполнения одной из опций, нажмите выделенную жирным букву. Каждая из опций будет показана на экране в деталях:
Add a new user
Эта опция позволяет создать новых пользователей, которые смогут удаленно управлять межсетевым экраном Aker .
Интерфейс командной строки прост в использовании и обладает теми же возможностями, что и графический интерфейс .
Путь к программе: /etc/firewall/fwpar
Syntax:
fwpar [show | help] fwpar [tcp_timeout | udp_timeout] <seconds> fwpar [source_routed_ip | ftp_support | real_audio_support] <yes | no> fwpar [log_translation | log_syslog] <yes | no> fwpar log_lifetime <days> fwpar [read_community | write_community] [name]
Подсказки по команде:
fwpar - просмотр/изменение параметров настройки
show - вывести активную конфигурацию
help - вывести данное сообщение
tcp_timeout - установить тайм-аут для TCP соединений
udp_timeout - установить тайм-аут для UDP соединений
source_routed_ip - разрешить прием IP пакетов с опцией source routed
ftp_support - разрешить поддержку протокола FTP
real_audio_support - разрешить поддержку протокола Real Audio
log_translation - разрешить сбор статистики по трансляции адресов
log_syslog - отправлять сообщения статистики и событий в syslogd
log_lifetime - установить минимальный срок жизни статистики/событий
read_community - имя SNMP сообщества c правами на чтение
write_community - имя SNMP сообщества c правами на запись
Пример 1: (просмотр конфигурации)
#/etc/firewall/fwpar show Глобальные параметры: ------------------ tcp_timeout : 900 seconds udp_timeout : 180 seconds
Параметры безопасности: -------------------- source_routed_ip : no ftp_support : yes real_audio_support: yes
Параметры статистики: ----------------------------- log_translation : no log_syslog : no log_lifetime : 7 days
Параметры SNMP: ------------------------------ read_community : public write_community : local
Пример 2: (разрешить прохождение пакетов с source routed опцией)
#/etc/firewall/fwpar source_routed_ip yes
Пример 3: (определение имени SNMP сообщества с правами на чтение)
#/etc/firewall/fwpar read_community public
Example 4: (удаление имени SNMP сообщества с правами на чтение)
#/etc/firewall/fwpar read_community
Использование интерфейса командной строки для настройки правил фильтрации немного затруднительно, что связано с большим количеством параметров в командной строке.
Используя интерфейс командной строки невозможно настроить временную таблицу для правила. Все правила, добавленные через этот интерфес, считаются действующими без ограничений по времени. Невозможно также определить более одного объекта в поле источника или назначения.
Путь: /etc/firewall/fwregra
Синтаксис:
fwregra [help | show] fwregra remove <pos> fwregra add <pos> <source> <destination> <accept | reject | discard> <Interface> [log] [mail] [trap] [program] [alert] [<service> ...]
Program help:
Aker Firewall - Version 3.0
fwregra - настройка таблицы правил для пакетного фильтра
Usage: fwregra [help | show]
fwregra remove <pos>
fwregra add <pos> <source> <destination>
<accept | reject | discard> <Interface>
[log] [mail] [trap] [program] [alert] [<service> ...]
show = показывает все правила фильтрации
add = добавляет новое правило фильтрации
remove = удаляет существующее правило фильтации
help = показывает данное сообщение
Для добавления правила
accept - правило пропускает удовлетворяющие ему пакеты
reject - правило не пропускает удовлетворяющие ему пакеты и посылает ICMP destination unreachable сообщение источнику
discard - правило не пропускает пакеты (при этом никакие ICMP пакеты не отсылаются)
Интерфейс командной строки для трансляции сетевых адресов прост в использовании и обладает теми же возможностями, что и графический интерфейс. Путь к программе: /etc/firewall/fwconver
Синтаксис:
fwconver [activate | deactivate | show | help] fwconver add server <Real IP> <Virtual IP>
fwconver add entity <name>
fwconver remove server <position>
fwconver remove entity <name>
fwconver <max_con_tcp | max_con_udp> <number fwconver <private_net | netmask | virtual_ip> <address>
Program help:
Aker Firewall - Version 3.01
fwconver - настройка параметров трансляции сетевых адресов Использование: fwconver [activate | deactivate | show | help]
fwconver [activate | deactivate | show | help] fwconver add server <Real IP> <Virtual IP>
fwconver add entity <name>
fwconver remove server <position>
fwconver remove entity <name>
fwconver <max_con_tcp | max_con_udp> <number fwconver <private_net | netmask | virtual_ip> <address>
activate = активизирует трансляцию сетевых адресов deactivate = деактивизирует трансляцию сетевых адресов show = показывает активную конфигурацию add = добавляет новый элемент в таблицу серверной трансляции или в таблицу объектов, для которых трансляция производиться не будет remove = удаляет элемент из таблицы серверной трансляции или из таблицы объектов, для которых трансляция производиться не будет max_con_tcp = устанавливает максимальное число одновременных TCP соединений max_con_udp = устанавливает максимальное число одновременных UDP соединений private_net = устанавливает IP адрес частной сети netmask = устанавливает сетевую маску частной сети virtual_ip = устанавливает виртуальные адреса для трансляции help = показывает данное сообщение
Использование интерфейса командной строки для настройки правил криптографии/аутентификации затрудняется большим числом параметров, которые используются в интерфейсе командной строки.
Этот интерфейс обладает теми же возможностями, что и графический интерфейс, за исключением того, что он не позволяет описывать комментарии или указывать больше одного объекта для источника или назначения.
Путь к программе: /etc/firewall/fwcripto
Синтаксис:
fwcripto [show | help] fwcripto remove <pos> fwcripto add <pos> <source> <destination> [send | receive] manual <spi> [MD5 | SHA] <authentication key> NONE fwcripto add <pos> <source> <destination> [send | receive] manual <spi> [MD5 | SHA] <authentication key> DES <iv size> <encryption key> fwcripto add <pos> <source> <destination> [send | receive] manual <spi> [MD5 | SHA] <authentication key> 3DES <iv size> <key1> <key2> <key3> fwcripto add <pos> <source> <destination> send skip [DES | 3DES] [MD5 | SHA] [NONE | DES | 3DES] <secret> fwcripto add <pos> <source> <destination> receive skip <secret>
Program help:
Aker Firewall - Version 3.01 fwcripto - настройка параметров аутентификации/шифрования Usage: fwcripto [show | help] fwcripto remove <pos> fwcripto add <pos> <source> <destination> [send | receive] manual <spi> [MD5 | SHA] <authentication key> NONE fwcripto add <pos> <source> <destination> [send | receive] manual <spi> [MD5 | SHA] <authentication key> DES <iv size> <encryption key> fwcripto add <pos> <source> <destination> [send | receive] manual <spi> [MD5 | SHA] <authentication key> 3DES <iv size> <key1> <key2> <key3> fwcripto add <pos> <source> <destination> send skip [DES | 3DES] [MD5 | SHA] [NONE | DES | 3DES] <secret> fwcripto add <pos> <source> <destination> receive skip <secret>
Интерфейс командной строки для защиты от SYN Flood прост в использовании и обладает теми же возможностями, что и графический интерфейс.
Путь к программе:/etc/firewall/fwflood
Синтаксис:
fwflood [activate | deactivate | show | help] fwflood [add | remove] <name> fwflood timeout <value>
Program help:
Aker Firewall - Version 3.01 fwflood - Настраивает параметры защиты от SYN атак Использование: fwflood [activate | deactivate | show | help] fwflood [add | remove] <name> fwflood timeout <value>
active = активизирует защиту от SYN атак deactivate = деактивизирует защиту от SYN атак show = показывает активную конфигурацию add = добавляет новый объект для защиты remove = удаляет из списка защищаемых объект timeout = определяет значение тайм-аута для установления соединения help = показывает данное сообщение
Для команд добавления/удаления:
name = имя защищаемого или удаляемого объекта из списка
Для команды временной интервал:
value = максимальный тайм-аут в единицах 500ms
Пример 1: (Просмотр конфигурации)
#/etc/firewall/fwflood show Configuration parameters: --------------------------------- SYN Flood protection: activated Timeout : 6 (x 500 ms)
List of entities to be protected: --------------------------------- Aker (Network) Mail Server (Host) NT_01 (Host)
Интерфейс командной строки обладает теми же возможностями, что и графический интерфейс, и весьма несложен в применении.
Путь к программе: /etc/firewall/fwacao
Синтаксис:
fwacao help fwacao show fwacao assign <number [log] [mail] [trap] [program] [alert] fwacao <program | user | community> [name] fwacao ip [IP address] fwacao email [address]
Program help:
Aker Firewall - Version 3.0 fwacao - интерфейс командной строки для настройки реакции системы Usage: fwacao help fwacao show fwacao assign <number [log] [mail] [trap] [program] [alert] fwacao <program | user | community> [name] fwacao ip [IP address] fwacao e-mail [address]
help = показывает данное сообщение show = показывает список сообщений и реакций системы assign = назначает реакцию на конкретное сообщение program = определяет имя выполняемой программы user = определяет имя пользователя для запуска программы community = определяет имя SNMP сообщества для генерируемого прерывания ip = определяет IP адрес SNMP сервера, которому будет отправлено прерывания e-mail = определяет имя пользователя, которому будет отправлен e-mail
Для команды assign: number =номер сообщения, для которого описывается реакция (номер каждого сообщения приводится в левой колонке если просматривать список опцией show) log = регистрировать каждое генерируемое сообщение mail = послать e-mail для каждого генерируемого сообщения trap = послать SNMP прерывание для каждого генерируемого сообщения program = выполнить программу для каждого генерируемого сообщения alert = открыть окно предупреждений для каждого генерируемого сообщения
Интерфейса командной строки обеспечивает те же возможности по просмотру статистики, что и графический интерфейса, однако в нем можно использовать меньшее количество опций фильтрации. Кроме того, через интерфейс командной строки невозможно просмотреть дополнительную информацию, которая появляется при выделении записи файла статистики в графическом интерфейсе.
Путь к программе: /etc/firewall/fwlog
Syntax:
fwlog help fwlog [compact | clear] [log | events] fwlog show [log | events] <begin_date><end_date> [priority]
Program help:
Aker Firewall - Version 3.01 fwlog - интерфейс командной строки для просмотра статистики и событий Использование: fwlog help fwlog [compact | clear] [log | events] fwlog show [log | events] <begin_date> <end_date> [priority]
show = показывает содержимое файла статистики или событий clear = очищает файлы статистики им событий от записей compact = уплотняет файл статистики или событий help = показывает данное сообщение
Для команд compact / clear / show : log = действие выполняется с файлом статистики events = действие выполняется с файлом событий
Для команды show: begin_date = дата, начиная с которой будут показаны записи end_date = дата, по которую будут показаны записи (даты должны иметь формат mm/dd/yyyy) priority = необязательный аргумент.
Интерфейс командной строки для просмотра событий обладает теми же возможностями, что и графический интерфейс. Доступны все его функции за исключением опции фильтрации для модуля; кроме того, интерфейс командной строки не показывает дополнительную информацию, которую выводит на дисплей графический интерфейс при выделении сообщения о событии.
Интерфейс командной строки для просмотра событий - это та же программа, что используется для просмотра статистики. Она рассмотрена в предыдущей главе. Путь к программе: /etc/firewall/fwlog
Синтаксис:
fwlog help fwlog [compact | clear] [log | events] fwlog show [log | events] <begin_date> <end_date> [priority]
Program help:
Aker Firewall - Version 3.01 fwlog - интерфейс командной строки для просмотра статистики и событий Использование: fwlog help fwlog [compact | clear] [log | events] fwlog show [log | events] <begin_date> <end_date> [priority]
show = показывает содержимое файла статистики или событий clear = очищает файлы статистики им событий от записей compact = уплотняет файл статистики или событий help = показывает данное сообщение
Для команд compact / clear / show : log = действие выполняется с файлом статистики events = действие выполняется с файлом событий
Для команды show: begin_date = дата, начиная с которой будут показаны записи end_date = дата, по которую будут показаны записи (даты должны иметь формат mm/dd/yyyy) priority = необязательный аргумент.
Интерфейс командной строки, позволяющий осуществить доступ к списку активных соединений, предоставляет те же возможности, что и графический интерфейс. Одна и та же программа используется для TCP и UDP соединений.
Путь к программе: /etc/firewall/fwconex
Синтаксис:
fwconex help fwconex show [TCP | UDP] fwconex remove [TCP | UDP] Source_IP Source_Port Dest_IP Dest_Port
Program help:
Aker Firewall - Version 3.01 fwconex - Просмотр и удаление активных TCP и UDP соединений Usage: fwconex help fwconex show [TCP | UDP] fwconex remove [TCP | UDP] Source_IP Source_Port Dest_IP Dest_port
help = показывает данное сообщение show = показывает список активных соединений remove = удаляет активное соединение
Пример 1: (просмотр активных TCP соединений)
#fwconex show TCP
Source IP/port Destination IP/port Start Idle Current State ------------------------------------------------------------------------------- 10.4.1.196 1067 - 10.4.1.11 23 15:35:19 00:00 Established 10.4.1.212 1078 - 10.5.2.1 25 15:36:20 00:10 Established
Пример 2: (просмотр активных UDP соединений)
#fwconex show UDP
Source IP/port Destination IP/port Start Idle ------------------------------------------------------------------------------- 10.4.1.18 1023 - 10.4.1.11 111 15:41:48 00:02 10.4.1.23 1078 - 10.4.1.11 53 15:45:47 00:09
Пример 3: (Удаление TCP соединения и просмотр списка соединений)
#fwconex remove tcp 10.4.1.196 1067 10.4.1.11 23
#fwconex show TCP
Source IP/port Destination IP/port Start Idle Current State ------------------------------------------------------------------------------- 10.4.1.212 1078 - 10.5.2.1 25 15:36:20 00:10 Established
Использование помощи в режиме он-лайн
Межсетевой экран Aker имеет систему помощи, работающую в режиме on-line. Все окна, кроме предназначенных для подтверждения, имеют кнопку Помощь. При активизации эта кнопка открывает специальное окно помощи.
Кроме такой специальной помощи в каждом окне можно перемещаться по структуре справочного документа, аналогично тому как Вы делаете в этом Руководстве. Для этого надо проделать следующие действия:
Выберите опцию Помощь в главном меню
Выберите пункт Помощь
В системе помощи существуют ссылки, как в этом Руководстве. При выборе на такую ссылку будет высвечено соответствующее окно.
Использование ручного механизма обмена ключами
Для использования ручного обмена ключами необходимо выделить опцию Ручной в поле Обмен ключами. Это приведет к изменению окна, на котором появятся необходимые поля для настройки параметров:
Аутентификация
Для создания каналов, в которых используется только аутентификация, нужно выделить опцию Нет в поле Шифрование. В этом случае появятся следующее окно:
Объекты источника : Определяет объекты, адреса которых будут сравниваться с адресом источника IP пакетов, которые должны попадать в канал.
Объекты назначения : Определяет объекты, адреса которых будут сравниваться с адресом назначения IP пакетов, которые должны попадать в канал.
Комментарий: Поле комментариев.
Направление канала: Определяет направление канала. Эта опция может принимать два значения: отправить или принять. За деталями обращайтесь к разделу этой главы Введение.
SPI: (Security Parameter Index) Это уникальное число, используемое приемником, которое идентифицирует потоки. Оно должно превышать 255 и обязательно различаться для каждого канала, направленного к тому же приемнику.
Ключ аутентификации: Это ключ, используемый при аутентификации. Он должен быть записан в шестнадцатиричном формате. Максимальный размер ключа зависит от используемого алгоритма: 32 знака для MD5 и 40 знаков для SHA. Рекомендуется исппользвать максимально допустимымое количество знаков.
Аутентификация: Это поле определяет, какой алгоритм аутентификации будет применяться. Возможны два алгоритма: MD5 или SHA.
Аутентификация с шифрованием, использующим DES
Для создания каналов с шифрованием, использующим алгоритм DES, следует выделить опцию DES в поле Шифрование. Вы увидите следующее окно:
Это окно полностью совпадает с окном для предыдущего элемента меню за исключением двух полей:
Длина вектора инициализации: Это размер в битах вектора инициализации, который применяется в алгоритме DES. Этот вектор генерируется системой автоматически для каждого посылаемого пакета. Рекомендуется использование варианта с 64 битами.
Ключ: Это ключ, который будет применяться для шифрования пакетов.
Он обязательно должен быть шестнадцатиричным числом с 16 знаками.
Аутентификация с шифрованием, использующим Triple DES (3DES)
Для создания каналов с шифрованием , использующим алгоритм Triple DES, следует использовать опцию 3DES в поле Шифрование. Вы увидите следующее окно:
В этом окне добавляются 4 новых поля по сравнению с окном только аутентификация:
Длина вектора инициализации: то размер в битах вектора инициализации, который применяется в алгоритме 3DES. Этот вектор генерируется системой автоматически для каждого посылаемого пакета. Рекомендуется использование варианта с 64 битами.
Ключ 1: Это ключ, применяемый при первом преобразовании в алгоритме 3DES. Он обязательно должен быть шестнадцатиричным числом с 16 знаками.
Ключ 2: Это ключ, применяемый при втором преобразовании в алгоритме 3DES. Он обязательно должен быть шестнадцатиричным числом с 16 знаками.
Ключ 3: Это ключ, применяемый при третьем преобразовании в алгоритме 3DES. Он обязательно должен быть шестнадцатиричным числом с 16 знаками.
Использование SKIP для обмена ключей
Для использования SKIP для обмена ключами нужно выделить опцию SKIP в поле Обмен ключами. Окно изменится и в нем появятся необходимые поля.
В протоколе SKIP вся информация, связанная с алгоритмами аутентификации и шифрования, конфигурируется только в хосте, посылающем пакеты. В хосте, который принимает пакеты, необходимо лишь описать объекты источника и назначения и общий секрет.
В обоих случаях появится следующее окно (при настройках на хосте приемнике ненужные поля будут недоступны):
Объекты источника: Определяет объекты, адреса которых будут сравниваться с адресом источника IP пакетов, которые должны попадать в канал.
Объекты назначения: Определяет объекты, адреса которых будут сравниваться с адресом назначения источника IP пакетов, которые должны попадать в канал.
Комментарии:Поле комментариев.
Направление канала: Определяет направление канала. Эта опция может принимать два значения: послать или принять. За деталями обращайтесь к разделу этой главы Введение.
Шифрование ключа: Это алгоритм, применяемый для шифрования посылаемого в пакете ключа сеанса. Рекомендуется пользоваться 3DES.
Шифрование пакетов: Это алгоритм, которым пользуются для шифрования данных. Возможные опции Нет ( при использовании только аутентификации), DES и 3DES. Рекомендуется использовать 3DES.
Алгоритм аутентификации: Определяет , какой алгоритм будет использоваться для аутентификации. Возможные значения: MD5 или SHA.
Общий секрет: Это секрет, который будет использоваться для генерации мастер ключей (за деталями обращайтесь к разделу этой главы Введение).Секрет должен быть одинаков для обоих межсетевых экранов по обе стороны канала. Он обязательно должен быть шестнадцатиричным числом с 64 знаками.
Кроме этих полей, существуют две кнопки, облегчающие настройку секрета в обоих межсетевых экранах, отвечающего за шифрование и дешифрование в защищенном потоке:
Загрузить секрет: Эта кнопка позволяет прочесть значение из ASCII файла в поле общего секрета. Этот файл должен состоять только из одной строки длиной 64 символа.
Сохранить секрет: Эта кнопка позволяет записать содержимое поля общего секрета в ASCII файл. Переписанный файл будет иметь только одну строку длиной 64 символа.
При нажатии какой-либо из этих кнопок появляется окно, позволяющее выбрать имя файла, в котором следует сохранить или считать секрет.
Использование SMTP proxy
Чтобы использовать SMTP proxy , необходимо выполнить следующие шаги:
Создать контекст с описанием параметров соединения (подробные объяснения содержатся в следующем разделе).
Зарегистрировать сервис, пакеты которого будет перенаправляться SMTP proxy, используя созданный на шаге 1 контекст (смотрите главу 5 Регистрация объектов).
Добавить правило фильтрации, позволяющее использовать созданный на шаге 2 сервис применительно к необходимым Вам сетям или хостам (смотрите главу 6 Фильтр с контролем состояния).
Использование Telnet proxy
Чтобы использовать Telnet proxy, необходимо выполнить следующие шаги:
Создать контекст ( как это сделать, объяснено в следующем разделе).
Зарегистрировать сервис, пакеты которого будет перенаправлены Telnet proxy, используя контекст, созданный на предыдущем шаге (см. главу 5 Регистрация объектов).
Добавить правило фильтрации для этого сервиса для необходимых сетей и хостов (см. главу 6 Пакетный фильтр с контролем состояния).
Теперь, когда Telnet сессия удовлетворяет созданному правилу, межсетевой экран запрашивает идентификатор пользователя и пароль. Если идентификатор и пароль введены правильно и пользователю разрешенен доступ, сессия будет установлен. В противном случае пользователю сообщается об ошибке и сессия заканчивается.
Использование WWW proxy
Для использования WWW proxy необходимо выполнить следующие действия:
Создать необходимые профили доступа (этот вопрос рассматривается в разделе Создание профилей доступа).
Отредактировать параметры WWW proxy ( см. раздел Редактирование параметров WWW proxy).
Создать правила фильтрации, разрешающие клиентам доступ к proxy (см. главу6 Пакетный фильтр с контролем состояния).
WWW proxy межсетевого экрана Aker принимает соединения по 80 порту, используя TCP протокол. Если нужно, номер порта можно заменить при запуске proxy , добавив параметр -p port, где port - номер необходимого порта. Proxy запускается из файла /etc/rc; в нем вы можете изменить параметры, например вместо строки /etc/firewall/fwhttppd написать /etc/firewall/fwhttppd -p 8080.
Изменение паролей пользователей
Все пользователи межсетевого экрана Aker могут менять свои пароли по мере необходимости. Для этого сначала следует открыть сессию управления (как показано в параграфе 2-1 Запуск удаленного интерфейса) и затем выполнить следующие действия:
Выбрать опцию Соединение в главном окне
Выбрать пункт Изменить пароль
Появится следующее окно
Вы должны ввести старый пароль в поле Старый пароль, новый пароль в поле Новый пароль и в поле Подтверждение паролья (пароль будет высвечиваться в виде звездочек "*").
После заполнения полей нажмите кнопку Да для изменения пароля или кнопку Отменить в случае если Вы не хотите его менять.
Как межсетевой экран Aker обеспечивает защиту от SYN атак?
Межсетевой экран Aker имеет механизм, назначение которого - препятствовать проведению SYN атак. Принцип его действия заключается в следующем:
Когда защищаемому серверу посылается пакет с запросом на установление соединения (пакет с SYN-флагом, описанный в предыдущем разделе), межсетевой экран регистрирует его в таблице и позволяет пакету пройти. (Естественно, что пакет будет пропущен только в случае, если это разрешено правилами фильтрации, описанными администратором. За подробностями обращайтесь к главе 6 Пакетный фильтр с контролем состояния).
После прихода ответа сервера о подтверждении запроса на соединение (пакет с SYN и ACK-флагами) межсетевой экран посылает пакет серверу с подтверждением соединения, а также посылает ответный пакет клиенту. С этого момента в межсетевом экране активизируется внутренний таймер, который отсчитывает период времени, в течение которого должен прибыть пакет с подтверждением от клиента.
Если запрос о соединении нормальный, то в течение установленного промежутка времени клиент пришлет ответный пакет с подтверждением соединения. Получив этот пакет, межсетевой экран будет считать запрос об установлении соединения нормальным и остановит таймер.
Если клиент не отвечает в течение максимально разрешенного промежутка времени, межсетевой экран пошлет специальный пакет серверу, что приведет к к удалению информации о соединении.
Применение описанной процедуры для какого-либо сервера позволяет межсетевому экрану препятствовать заполнению очереди запросов на соединение, поскольку все соединения будут устанавливаться сразу после того, как ответные пакеты сервера достигнут межсетевого экрана и будут удалены из очереди; следовательно, SYN атака не свожет быть реализована.
Важно подчеркнуть, что действие механизма защиты основано на контроле времени задержки ответа клиента. Если установленный тайм-аут слишком короткий, то могут получать отказы правильные соединения. Если тайм-аут слишком длинный, сервер в случае атаки будет хранить информацию о большом количестве установленных соединений, что может привести к еще более серьезным проблемам.