Санкт-петербургский государственный политехнический
Методика создания правил для фильтрации трафика приложений
жүктеу/скачать 454 Kb.
|
- Бұл бет үшін навигация:
- 3 Гибкая фильтрация трафика протоколов прикладного уровня средствами МЭ ССПТ-2
- 3.1 Фильтрация трафика протокола HTTP
- 3.1.1 Обеспечение доступа к WEB-сайтам (пропуск трафика протокола HTTP)
- 3.1.2 Обеспечение доступа к веб-сайтам из «белого списка»
- 3.1.3. Обеспечение блокировки WEB-сайтов из «чёрного списка»
2.2 Методика создания правил для фильтрации трафика приложенийВсе данные, передающиеся в рамках каждой установленной сессии, можно отправить на обработку в AP-правила. Это происходит только в том случае, если к IP-правилу привязаны прикладные правила. Любое AP-правило не может функционировать само по себе; оно должно быть привязано к разрешающему IP-правилу, в котором с помощью дополнительных настроек указано: использовать конкретное AP-правило. За одним разрешающим IP-правилом может быть закреплено до 16 AP-правил. Таким образом, при создании прикладных правил следует помнить: 1) Каждое AP-правило используется только с IP-правилом(-ами), c которым(-ыми) оно связано. Если AP-правило не привязано к IP-правилу, то выполняться оно (AP-правило) не будет (см. рис. 2.2). 
Рис 2.2. Схема работы IP и AP правил в ССПТ-2 2) Если хотите использовать прикладные правила, создайте: IP-правило и AP-правило. Что добавляется первым (IP или AP) – не важно; создание «пары» можно начинать с любого. 3) В AP-правиле надо указывать соответствующий признак фильтрации либо с использованием элементов интерфейса, либо в явном виде типа «смещение – длина – значение». 4) Для того, чтобы связать (см.рис.2.3) оба правила необходимо указать в одном из параметров IP-правила номер(-а) AP-правила.
Рис. 2.3. Связка параметров IP и AP-правил. Как работает созданная связка: 1. Все пакеты соединения проверяются на соответствие с заданным набором IP-правил, когда пакет попадает под условия конкретного разрешающего IP-правила с закреплённым за ним набором AP-правил, он безвозвратно передаётся на прикладной уровень для последующего анализа. !Важно: После перехода на обработку AP-правилами, в таблицу IP-правил пакеты не возвращаются. !Важно: именно для этого все IP-правила, связаные с АP-правилами, должны быть настроены на «Пропуск», иначе анализ не перейдёт на прикладной уровень. 2. Все пакеты, прошедшие по рассматриваемому IP-правилу, последовательно проверяются по группе созданных и закреплённых за ним AP-правил в соответствии с приоритетом (наиболее приоритетные имеют меньший порядковый номер). При первом совпадении выполняется соответствующее действие: «пропуск» (передача на выходные интерфейсы) или «удаление» (пакет отбрасывается), после этого рассмотрение данного пакета заканчивается. !Важно: Крайне рекомендуется строить наборы AP-правил с уменьшением конкретики, т.е. определять более точные AP-правила под меньшими порядковыми номерами, чтобы исключить «досрочный уход» от рассмотрения на соответствие. !Важно: Необходимо указывать «глобальное» AP-правило последним в таблице AP-правил. Иначе: если оно не будет указано, то пакет, не попадающий ни под одно из AP-правил (и разрешающих, и запрещающих), свободно пройдёт на выходные интерфейсы. 
Рис. 2.4. Схема движения пакета в наборах правил фильтрации ССПТ-2. 3 Гибкая фильтрация трафика протоколов прикладного уровня средствами МЭ ССПТ-2В этом разделе будут рассмотрены особенности фильтрации трафика на примере некоторых протоколов прикладного уровня стека TCP/IP. Для этого используются так называемые прикладные правила (AP). Для их использования перед началом работы необходимо убедиться в правильности настроек МЭ для работы с прикладными правилами, для этого необходимо проверить и при необходимости включить соответствующие режимы (см. табл. 3.1). Таблица 3.1. Настройка конфигурации МЭ для работы с AP-правилами.
Настройка экрана может производиться как с помощью интерфейса командной строки, так и WEB-интерфейса. Сами правила фильтрации будут приводиться в текстовом формате.
Рассмотрим несколько наиболее общих типовых задач. Сразу следует отметить, что практически всегда необходимо добавлять правило, разрешающее доступ к серверам и сервисам DNS (Domain Name Service). Это правило нужно для обеспечения корректной работы веб-браузера: только с помощью DNS возможно установление соответствия между символическими именами Интернет-ресурсов и IP-адресами. Если его не будет в создаваемом наборе, то доступ к WEB-сайту можно будет получить только по IP-адресу. ip:1:accept:nolog:1:0:0:udp:any:any:any:53:any:any:any:any:any:any:active:for_dns_all:any:defses:deftout:noapr:noalarm
Задача - обеспечить доступ к WEB-сайтам по протоколу HTTP, при этом доступ по другим протоколам прикладного уровня должен быть заблокирован. Принцип фильтрации и алгоритм работы: Фильтрация производится по совокупности признаков фильтрации:
80/TCP - основной порт HTTP.
Замечание: По умолчанию, WEB-серверы открывают для ожидания соединения предопределённый порт 80 протокола TCP. В данном документе создаваемые правила содержат только этот идентификатор. Однако, не исключено использование альтернативных портов для работы с HTTP. В таком случае от администратора безопасности требуется дополнительное исследование трафика на выявление используемого идентификатора порта. В качестве альтернативных портов для HTTP наиболее часто используются 8080, 3128, 8088, 8000, 1900, 3132 и др. Настройка МЭ. 1. Глобальные правила следует настроить в зависимости от используемой политики безопасности: 1.1. «всё что не разрешено – запрещено»: mac:0:accept:nolog arp:0:accept:nolog ip:0:drop:nolog ipx:0:drop:nolog Данный подход является предпочтительным. 1.2. «всё что не запрещено – разрешено»: mac:0:accept:nolog arp:0:accept:nolog ip:0:accept:nolog ipx:0:accept:nolog 2. Необходимо добавить два AP-правила: 2.1. Правило для пропуска HTTP-трафика. ap:10:accept:nolog:http::any:any:active:http_all:noalarm 2.2. Правило для блокирования трафика любого другого прикладного протокола, кроме HTTP. ap:65530:drop:nolog:any::any:any:active:drop_all:noalarm 3. Необходимо добавить IP-правило для пропуска TCP-пакетов. Это правило необходимо для организации фильтрации совместно с правилами прикладного уровня (этим обеспечивается создание сессии и привязка к прикладным правилам). Оно должно работать на пропуск пакетов на следующий уровень обработки (действие accept) и содержать номера созданных ранее прикладных правил (в данном примере это номера 10, 65530) в соответствующем поле. То есть необходимо «привязать» прикладные правила к IP правилу. ip:10:accept:nolog:1:0:0:tcp:any:any:any:80:any:any:any:any:any:any:active:for_http_all:any:defses:deftout:10,65530:noalarm Данное IP правило разрешает прохождение пакетов от любого IP адреса источника, с любого клиентского порта на любой IP получателя на 80 порт. Это показывает выделенный фрагмент правила «:any:any:any:80:» ,который представляет собой последовательность значений четырех параметров, первые три из которых по умолчанию заданы ключевым словом «any» («любой»), а четвёртый содержит значение идентификатора порта HTTP:
Каждый из этих параметров может быть задан значением, перечислением или диапазоном, это разрешающее правило более конкретным. 4. Работа по созданию набора правил фильтрации завершена. Список правил для пропуска протокола HTTP представлен ниже в таблице 3.2.
Задача - обеспечить доступ к WEB-сайтам «белого списка», при этом доступ к WEB-сайтам, не включенным в список, будет блокирован. Принцип фильтрации и алгоритм работы Фильтрация производится по совокупности признаков фильтрации:
Настройка МЭ проводится аналогично 3.1.1. 1. В соответствии с политикой настраиваются глобальные правила, предпочтительным является подход «всё что не разрешено – запрещено» Отличие заключается в АР -правилах 2. Необходимо добавить несколько AP-правил: 2.1. Правила для организации доступа к WEB-сайтам «белого списка». Если число таких сайтов невелико – для каждого сайта создаётся отдельное AP-правило, в котором параметр host содержит соответствующее доменное имя.. Например, для «белого списка», включающего в себя сайты www.google.com, www.ya.ru, vkontakte.ru, www.rambler.ru будет создан следующий набор: ap:50:accept:nolog:http:host=www.google.com:any:from-client:active:google.com:noalarm ap:51:accept:nolog:http:host=www.ya.ru:any:from-client:active:ya.ru:noalarm ap:52:accept:nolog:http:host=vkontakte.ru:any:from-client:active:vkontakte.ru:noalarm ap:53:accept:nolog:http:host=*.rambler.ru:any:from-client:active:rambler.ru:noalarm Альтернативным вариантом написания при создании данных правил является перечисление имён сайтов через запятую в одном правиле. Такой подход наиболее эффективен, когда «белый список» содержит большое число имён. Следует учитывать, что общая длина перечисленных имён сайтов в каждом правиле не может превышать 250 символов: ap:55:accept:nolog:http:host=www.google.ru,ya.ru,www.ya.ru,vkontakte.ru,bash.org.ru,*rambler.ru,hh.ru,notabenoid.com,stopgame.ru,youtube.ru,rutube.ru,maddyblog.ru,www.freeproxy.ru,mail.ru,caramba.tv,spasiboeva.ru,ibash.org.ru,nevid.ru,eztv.it,lostfilm.tv,rutracker.org:any:from-client:active:false:noalarm Синтаксис написания имён сайтов подробно рассмотрен в руководстве администратора [1]. 2.2. Правило для блокирования прочего трафика прикладных протоколов ap:65530:drop:nolog:any::any:any:active:drop_all:noalarm 3. Необходимо добавить IP-правило для пропуска TCP-пакетов. Это правило необходимо для организации фильтрации совместно с правилами прикладного уровня (этим обеспечивается создание сессии и привязка к прикладным правилам). Оно должно работать на пропуск пакетов на следующий уровень обработки (действие accept) и содержать номера созданных ранее прикладных правил (в данном примере это номера 50, 51 , 52, 53, 65530) в соответствующем поле. ip:10:accept:nolog:1:0:0:tcp:any:any:any:80:any:any:any:any:any:any:active:http_whitelist:any:defses:deftout:50-53,65530:noalarm Все замечания по поводу IP адресов и номеров портов из п. 3.1.1. справедливы и в этом случае.
Список правил для обеспечения доступа к конкретным веб-сайтам представлен ниже в таблице 3.3. 3.3. Таблица «Белый список».
Особенности Написание доменных имён при создании правил зачастую связано с рядом сложностей, требующих отдельного рассмотрения в каждом конкретном случае. Проблема 1: некоторые запросы, например, запрос по имени www.ya.ru и запрос по имени ya.ru, считаются двумя разными запросами. Решение 1: необходимо для всех вариантов доменных имён этого сайта создать одно правило, используя специальные символы. ap:50:accept:nolog:http:host=*ya.ru:any:from-client:active:ya.ru:noalarm Проблема 2: некоторые сайты, например, www.rambler.ru, неразрывно связаны со своими поддоменами (news.rambler.ru, weather.rambler.ru и т.д.) и не загружаются, если не разрешить доступ к последним. Решение 2: необходимо для всех вариантов доменных имён этого сайта создать одно правило, используя специальные символы. ap:50:accept:nolog:http:host=*.rambler.ru:any:from-client:active:rambler.ru:noalarm Проблема 3: существуют сайты, отдельные элементы которых догружаются со сторонних сайтов (например, картинки, флэш-анимация, музыка и т.д.), и если не разрешить доступ к последним, то первые будут некорректно отображаться. Решение 3: администратор безопасности должен провести исследование трафика на выявление имён этих сторонних сайтов и внести их в «белый список» по необходимости.
Задача - блокировать доступ к WEB-сайтам «чёрного списка», сохранив при этом возможности обращаться к другим WEB-сайтам. Принцип фильтрации и алгоритм работы: Фильтрация производится по совокупности признаков фильтрации:
Настройка МЭ проводится аналогично 3.1.1. 1. Настроить глобальные правила следующим образом в зависимости от политики безопасности. 2. Добавить несколько AP-правил: 2.1. Правила для блокировки доступа к веб-сайтам «чёрного списка». Для каждого сайта создаётся отдельное AP-правило, в котором параметр host содержит соответствующее доменное имя. Например, для «чёрного списка», включающего в себя сайты www.google.com, www.ya.ru, vkontakte.ru, www.rambler.ru будет создан следующий набор: ap:50:drop:nolog:http:host=www.google.com:any:from-client:active:google.com:noalarm ap:51:drop:nolog:http:host=www.ya.ru:any:from-client:active:ya.ru:noalarm ap:52:drop:nolog:http:host=vkontakte.ru:any:from-client:active:vkontakte.ru:noalarm ap:53:drop:nolog:http:host=*.rambler.ru:any:from-client:active:rambler.ru:noalarm Альтернативным вариантом написания при создании данных правил является перечисление имён сайтов через запятую в одном правиле. Такой подход наиболее эффективен, когда «чёрный список» содержит большое число имён. Следует учитывать, что общая длина перечисленных имён сайтов в каждом правиле не может превышать 250 символов: ap:55:drop:nolog:http:host=www.google.ru,ya.ru,www.ya.ru,vkontakte.ru,bash.org.ru,*rambler.ru,hh.ru,notabenoid.com,stopgame.ru,youtube.ru,rutube.ru,maddyblog.ru,www.freeproxy.ru,mail.ru,caramba.tv,spasiboeva.ru,ibash.org.ru,nevid.ru,eztv.it,lostfilm.tv,rutracker.org:any:from-client:active:false:noalarm
ap:65530:accept:nolog:http::any:any:active:accept_all_http:noalarm 2.3. Правило для блокирования прочего трафика прикладных протоколов: ap:65531:drop:nolog:any:any:any:active:drop_all:noalarm 3. Добавить IP-правило для пропуска TCP-пакетов. Это правило необходимо для организации фильтрации совместно с правилами прикладного уровня (этим обеспечивается создание сессии и привязка к прикладным правилам). Оно должно работать на пропуск пакетов на следующий уровень обработки (действие accept) и содержать номера созданных ранее прикладных правил (в данном примере это номера 50, 51 , 52, 53, 65530, 65531) в соответствующем поле. ip:10:accept:nolog:1:0:0:tcp:any:any:any:80:any:any:any:any:any:any:active:http_blacklist:any:defses:deftout:50-53,65530,65531:noalarm Все замечания по поводу IP адресов и номеров портов из п. 3.1.1. справедливы и в этом случае.
Список правил для блокировки конкретных WEB-сайтов представлен ниже в таблице 3.3. Таблица 3.3. «Чёрный список».
Особенности
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
