Все данные, передающиеся в рамках каждой установленной сессии, можно отправить на обработку в AP-правила. Это происходит только в том случае, если к IP-правилу привязаны прикладные правила. Любое AP-правило не может функционировать само по себе; оно должно быть привязано к разрешающему IP-правилу, в котором с помощью дополнительных настроек указано: использовать конкретное AP-правило. За одним разрешающим IP-правилом может быть закреплено до 16 AP-правил.
Таким образом, при создании прикладных правил следует помнить:
1) Каждое AP-правило используется только с IP-правилом(-ами), c которым(-ыми) оно связано. Если AP-правило не привязано к IP-правилу, то выполняться оно (AP-правило) не будет (см. рис. 2.2).
Рис 2.2. Схема работы IP и AP правил в ССПТ-2
2) Если хотите использовать прикладные правила, создайте: IP-правило и AP-правило. Что добавляется первым (IP или AP) – не важно; создание «пары» можно начинать с любого.
3) В AP-правиле надо указывать соответствующий признак фильтрации либо с использованием элементов интерфейса, либо в явном виде типа «смещение – длина – значение».
4) Для того, чтобы связать (см.рис.2.3) оба правила необходимо указать в одном из параметров IP-правила номер(-а) AP-правила.
Рис. 2.3. Связка параметров IP и AP-правил.
Как работает созданная связка:
1. Все пакеты соединения проверяются на соответствие с заданным набором IP-правил, когда пакет попадает под условия конкретного разрешающего IP-правила с закреплённым за ним набором AP-правил, он безвозвратно передаётся на прикладной уровень для последующего анализа.
!Важно: После перехода на обработку AP-правилами, в таблицу IP-правил пакеты не возвращаются.
!Важно: именно для этого все IP-правила, связаные с АP-правилами, должны быть настроены на «Пропуск», иначе анализ не перейдёт на прикладной уровень.
2. Все пакеты, прошедшие по рассматриваемому IP-правилу, последовательно проверяются по группе созданных и закреплённых за ним AP-правил в соответствии с приоритетом (наиболее приоритетные имеют меньший порядковый номер). При первом совпадении выполняется соответствующее действие: «пропуск» (передача на выходные интерфейсы) или «удаление» (пакет отбрасывается), после этого рассмотрение данного пакета заканчивается.
!Важно: Крайне рекомендуется строить наборы AP-правил с уменьшением конкретики, т.е. определять более точные AP-правила под меньшими порядковыми номерами, чтобы исключить «досрочный уход» от рассмотрения на соответствие.
!Важно: Необходимо указывать «глобальное» AP-правило последним в таблице AP-правил. Иначе: если оно не будет указано, то пакет, не попадающий ни под одно из AP-правил (и разрешающих, и запрещающих), свободно пройдёт на выходные интерфейсы.
Рис. 2.4. Схема движения пакета в наборах правил фильтрации ССПТ-2.
3 Гибкая фильтрация трафика протоколов прикладного уровня средствами МЭ ССПТ-2
В этом разделе будут рассмотрены особенности фильтрации трафика на примере некоторых протоколов прикладного уровня стека TCP/IP. Для этого используются так называемые прикладные правила (AP). Для их использования перед началом работы необходимо убедиться в правильности настроек МЭ для работы с прикладными правилами, для этого необходимо проверить и при необходимости включить соответствующие режимы (см. табл. 3.1).
Таблица 3.1. Настройка конфигурации МЭ для работы с AP-правилами.
Режим
|
Web-интерфейс
|
Интерфейс командной строки
|
|
Имя строки раздела
|
Состояние режима
|
Команда проверки
|
Значение
|
Команда включения
|
Режим сессий
|
Управление сессиями
|
Включено
|
session show
|
1
|
session enable
|
Режим прикладных правил
|
Использование прикладных правил
|
Включено
|
session show
|
1
|
session ap enable
|
Режим создания сессий для IP-правил по умолчанию
|
Создание сессий для IP-правил по умолчанию
|
Включено
|
session show
|
1
|
session ip enable
|
Настройка экрана может производиться как с помощью интерфейса командной строки, так и WEB-интерфейса. Сами правила фильтрации будут приводиться в текстовом формате.
3.1 Фильтрация трафика протокола HTTP
Рассмотрим несколько наиболее общих типовых задач.
Сразу следует отметить, что практически всегда необходимо добавлять правило, разрешающее доступ к серверам и сервисам DNS (Domain Name Service). Это правило нужно для обеспечения корректной работы веб-браузера: только с помощью DNS возможно установление соответствия между символическими именами Интернет-ресурсов и IP-адресами. Если его не будет в создаваемом наборе, то доступ к WEB-сайту можно будет получить только по IP-адресу.
ip:1:accept:nolog:1:0:0:udp:any:any:any:53:any:any:any:any:any:any:active:for_dns_all:any:defses:deftout:noapr:noalarm
3.1.1 Обеспечение доступа к WEB-сайтам (пропуск трафика протокола HTTP)
Задача - обеспечить доступ к WEB-сайтам по протоколу HTTP, при этом доступ по другим протоколам прикладного уровня должен быть заблокирован.
Принцип фильтрации и алгоритм работы:
Фильтрация производится по совокупности признаков фильтрации:
-
по номеру порта на транспортном уровне:
80/TCP - основной порт HTTP.
-
по заголовку протокола HTTP, идентифицируемому МЭ на уровне прикладного протокола.
Замечание: По умолчанию, WEB-серверы открывают для ожидания соединения предопределённый порт 80 протокола TCP. В данном документе создаваемые правила содержат только этот идентификатор. Однако, не исключено использование альтернативных портов для работы с HTTP. В таком случае от администратора безопасности требуется дополнительное исследование трафика на выявление используемого идентификатора порта. В качестве альтернативных портов для HTTP наиболее часто используются 8080, 3128, 8088, 8000, 1900, 3132 и др.
Настройка МЭ.
1. Глобальные правила следует настроить в зависимости от используемой политики безопасности:
1.1. «всё что не разрешено – запрещено»:
mac:0:accept:nolog
arp:0:accept:nolog
ip:0:drop:nolog
ipx:0:drop:nolog
Данный подход является предпочтительным.
1.2. «всё что не запрещено – разрешено»:
mac:0:accept:nolog
arp:0:accept:nolog
ip:0:accept:nolog
ipx:0:accept:nolog
2. Необходимо добавить два AP-правила:
2.1. Правило для пропуска HTTP-трафика.
ap:10:accept:nolog:http::any:any:active:http_all:noalarm
2.2. Правило для блокирования трафика любого другого прикладного протокола, кроме HTTP.
ap:65530:drop:nolog:any::any:any:active:drop_all:noalarm
3. Необходимо добавить IP-правило для пропуска TCP-пакетов. Это правило необходимо для организации фильтрации совместно с правилами прикладного уровня (этим обеспечивается создание сессии и привязка к прикладным правилам). Оно должно работать на пропуск пакетов на следующий уровень обработки (действие accept) и содержать номера созданных ранее прикладных правил (в данном примере это номера 10, 65530) в соответствующем поле. То есть необходимо «привязать» прикладные правила к IP правилу.
ip:10:accept:nolog:1:0:0:tcp:any:any:any:80:any:any:any:any:any:any:active:for_http_all:any:defses:deftout:10,65530:noalarm
Данное IP правило разрешает прохождение пакетов от любого IP адреса источника, с любого клиентского порта на любой IP получателя на 80 порт. Это показывает выделенный фрагмент правила «:any:any:any:80:» ,который представляет собой последовательность значений четырех параметров, первые три из которых по умолчанию заданы ключевым словом «any» («любой»), а четвёртый содержит значение идентификатора порта HTTP:
-
,
-
<идентификатор_порта_источника>,
-
,
-
<идентификатор_порта_приемника>.
Каждый из этих параметров может быть задан значением, перечислением или диапазоном, это разрешающее правило более конкретным.
4. Работа по созданию набора правил фильтрации завершена.
Список правил для пропуска протокола HTTP представлен ниже в таблице 3.2.
Результат
|
Правило
|
Передача TCP-пакетов на прикладной уровень
|
ip:10:accept:nolog:1:0:0:tcp:any:any:any:80:any:any:any:any:any:any:active:for_http_all:any:defses:deftout:10,65530:noalarm
|
Пропуск http
|
ap:10:accept:nolog:http::any:any:active:http_all:noalarm
|
Блокировка трафика других приложений
|
ap:65530:drop:nolog:any::any:any:active:drop_all:noalarm
|
3.1.2 Обеспечение доступа к веб-сайтам из «белого списка»
Задача - обеспечить доступ к WEB-сайтам «белого списка», при этом доступ к WEB-сайтам, не включенным в список, будет блокирован.
Принцип фильтрации и алгоритм работы
Фильтрация производится по совокупности признаков фильтрации:
-
по идентификаторам портов на транспортном уровне,
-
по заголовку протокола http, идентифицируемому межсетевым экраном, на уровне прикладных данных,
-
имени (или фрагменту имени) сайта, находящегося в белом списке на уровне прикладных данных
Настройка МЭ проводится аналогично 3.1.1.
1. В соответствии с политикой настраиваются глобальные правила, предпочтительным является подход
«всё что не разрешено – запрещено»
Отличие заключается в АР -правилах
2. Необходимо добавить несколько AP-правил:
2.1. Правила для организации доступа к WEB-сайтам «белого списка». Если число таких сайтов невелико – для каждого сайта создаётся отдельное AP-правило, в котором параметр host содержит соответствующее доменное имя.. Например, для «белого списка», включающего в себя сайты www.google.com, www.ya.ru, vkontakte.ru, www.rambler.ru будет создан следующий набор:
ap:50:accept:nolog:http:host=www.google.com:any:from-client:active:google.com:noalarm
ap:51:accept:nolog:http:host=www.ya.ru:any:from-client:active:ya.ru:noalarm
ap:52:accept:nolog:http:host=vkontakte.ru:any:from-client:active:vkontakte.ru:noalarm
ap:53:accept:nolog:http:host=*.rambler.ru:any:from-client:active:rambler.ru:noalarm
Альтернативным вариантом написания при создании данных правил является перечисление имён сайтов через запятую в одном правиле. Такой подход наиболее эффективен, когда «белый список» содержит большое число имён. Следует учитывать, что общая длина перечисленных имён сайтов в каждом правиле не может превышать 250 символов:
ap:55:accept:nolog:http:host=www.google.ru,ya.ru,www.ya.ru,vkontakte.ru,bash.org.ru,*rambler.ru,hh.ru,notabenoid.com,stopgame.ru,youtube.ru,rutube.ru,maddyblog.ru,www.freeproxy.ru,mail.ru,caramba.tv,spasiboeva.ru,ibash.org.ru,nevid.ru,eztv.it,lostfilm.tv,rutracker.org:any:from-client:active:false:noalarm
Синтаксис написания имён сайтов подробно рассмотрен в руководстве администратора [1].
2.2. Правило для блокирования прочего трафика прикладных протоколов
ap:65530:drop:nolog:any::any:any:active:drop_all:noalarm
3. Необходимо добавить IP-правило для пропуска TCP-пакетов. Это правило необходимо для организации фильтрации совместно с правилами прикладного уровня (этим обеспечивается создание сессии и привязка к прикладным правилам). Оно должно работать на пропуск пакетов на следующий уровень обработки (действие accept) и содержать номера созданных ранее прикладных правил (в данном примере это номера 50, 51 , 52, 53, 65530) в соответствующем поле.
ip:10:accept:nolog:1:0:0:tcp:any:any:any:80:any:any:any:any:any:any:active:http_whitelist:any:defses:deftout:50-53,65530:noalarm
Все замечания по поводу IP адресов и номеров портов из п. 3.1.1. справедливы и в этом случае.
4. Работа по созданию набора правил фильтрации завершена.
Список правил для обеспечения доступа к конкретным веб-сайтам представлен ниже в таблице 3.3.
3.3. Таблица «Белый список».
Результат
|
Правило
|
Пропуск TCP-пакетов на прикладной уровень
|
ip:10:accept:nolog:1:0:0:tcp:any:any:any:80:any:any:any:any:any:
any:active:for_http_whitelist:any:defses:deftout:50-53,65530:noalarm
|
Доступ к www.google.com
|
ap:50:accept:nolog:http:host=www.google.com:any:from-client:active:google.com:noalarm
|
Доступ к www.ya.ru
|
ap:51:accept:nolog:http:host=www.ya.ru:any:from-client:active:ya.ru:noalarm
|
Доступ к vkontakte.ru
|
ap:52:accept:nolog:http:host=vkontakte.ru:any:from-client:active:vkontakte.ru:noalarm
|
Доступ к www.rambler.ru
|
ap:53:accept:nolog:http:host=*.rambler.ru:any:from-client:active:rambler.ru:noalarm
|
Блокировка трафика других приложений
|
ap:65530:drop:nolog:any::any:any:active:drop_all:noalarm
|
Особенности
Написание доменных имён при создании правил зачастую связано с рядом сложностей, требующих отдельного рассмотрения в каждом конкретном случае.
Проблема 1: некоторые запросы, например, запрос по имени www.ya.ru и запрос по имени ya.ru, считаются двумя разными запросами.
Решение 1: необходимо для всех вариантов доменных имён этого сайта создать одно правило, используя специальные символы.
ap:50:accept:nolog:http:host=*ya.ru:any:from-client:active:ya.ru:noalarm
Проблема 2: некоторые сайты, например, www.rambler.ru, неразрывно связаны со своими поддоменами (news.rambler.ru, weather.rambler.ru и т.д.) и не загружаются, если не разрешить доступ к последним.
Решение 2: необходимо для всех вариантов доменных имён этого сайта создать одно правило, используя специальные символы.
ap:50:accept:nolog:http:host=*.rambler.ru:any:from-client:active:rambler.ru:noalarm
Проблема 3: существуют сайты, отдельные элементы которых догружаются со сторонних сайтов (например, картинки, флэш-анимация, музыка и т.д.), и если не разрешить доступ к последним, то первые будут некорректно отображаться.
Решение 3: администратор безопасности должен провести исследование трафика на выявление имён этих сторонних сайтов и внести их в «белый список» по необходимости.
3.1.3. Обеспечение блокировки WEB-сайтов из «чёрного списка»
Задача - блокировать доступ к WEB-сайтам «чёрного списка», сохранив при этом возможности обращаться к другим WEB-сайтам.
Принцип фильтрации и алгоритм работы:
Фильтрация производится по совокупности признаков фильтрации:
-
по идентификаторам портов на транспортном уровне,
-
по заголовку протокола HTTP, идентифицируемому межсетевым экраном, на уровне прикладных данных,
-
имени (или фрагменту имени) сайта, находящегося в «чёрном списке» на уровне прикладных данных.
Настройка МЭ проводится аналогично 3.1.1.
1. Настроить глобальные правила следующим образом в зависимости от политики безопасности.
2. Добавить несколько AP-правил:
2.1. Правила для блокировки доступа к веб-сайтам «чёрного списка». Для каждого сайта создаётся отдельное AP-правило, в котором параметр host содержит соответствующее доменное имя. Например, для «чёрного списка», включающего в себя сайты www.google.com, www.ya.ru, vkontakte.ru, www.rambler.ru будет создан следующий набор:
ap:50:drop:nolog:http:host=www.google.com:any:from-client:active:google.com:noalarm
ap:51:drop:nolog:http:host=www.ya.ru:any:from-client:active:ya.ru:noalarm
ap:52:drop:nolog:http:host=vkontakte.ru:any:from-client:active:vkontakte.ru:noalarm
ap:53:drop:nolog:http:host=*.rambler.ru:any:from-client:active:rambler.ru:noalarm
Альтернативным вариантом написания при создании данных правил является перечисление имён сайтов через запятую в одном правиле. Такой подход наиболее эффективен, когда «чёрный список» содержит большое число имён. Следует учитывать, что общая длина перечисленных имён сайтов в каждом правиле не может превышать 250 символов:
ap:55:drop:nolog:http:host=www.google.ru,ya.ru,www.ya.ru,vkontakte.ru,bash.org.ru,*rambler.ru,hh.ru,notabenoid.com,stopgame.ru,youtube.ru,rutube.ru,maddyblog.ru,www.freeproxy.ru,mail.ru,caramba.tv,spasiboeva.ru,ibash.org.ru,nevid.ru,eztv.it,lostfilm.tv,rutracker.org:any:from-client:active:false:noalarm
2.2. Правило для обеспечения доступа к сайтам, не входящим в «чёрный список»:
ap:65530:accept:nolog:http::any:any:active:accept_all_http:noalarm
2.3. Правило для блокирования прочего трафика прикладных протоколов:
ap:65531:drop:nolog:any:any:any:active:drop_all:noalarm
3. Добавить IP-правило для пропуска TCP-пакетов. Это правило необходимо для организации фильтрации совместно с правилами прикладного уровня (этим обеспечивается создание сессии и привязка к прикладным правилам). Оно должно работать на пропуск пакетов на следующий уровень обработки (действие accept) и содержать номера созданных ранее прикладных правил (в данном примере это номера 50, 51 , 52, 53, 65530, 65531) в соответствующем поле.
ip:10:accept:nolog:1:0:0:tcp:any:any:any:80:any:any:any:any:any:any:active:http_blacklist:any:defses:deftout:50-53,65530,65531:noalarm
Все замечания по поводу IP адресов и номеров портов из п. 3.1.1. справедливы и в этом случае.
4. Работа по созданию набора правил фильтрации завершена.
Список правил для блокировки конкретных WEB-сайтов представлен ниже в таблице 3.3.
Таблица 3.3. «Чёрный список».
Результат
|
Правило
|
Пропуск TCP-пакетов на прикладной уровень
|
ip:10:accept:nolog:1:0:0:tcp:any:any:any:80:any:any:any:any:any:any:active:for_http_blacklist:any:defses:deftout:50-53,65530,65531:noalarm
|
Блокировка доступа к www.google.com
|
ap:50:drop:nolog:http:host=www.google.com:any:from-client:active:google.com:noalarm
|
Блокировка доступа к www.ya.ru
|
ap:51:drop:nolog:http:host=www.ya.ru:any:from-client:active:ya.ru:noalarm
|
Блокировка доступа к vkontakte.ru
|
ap:52:drop:nolog:http:host=vkontakte.ru:any:from-client:active:vkontakte.ru:noalarm
|
Блокировка доступ к www.rambler.ru
|
ap:53:drop:nolog:http:host=*.rambler.ru:any:from-client:active:rambler.ru:noalarm
|
Доступ к сайтам, не входящим в «чёрный список»
|
ap:65530:accept:nolog:http::any:any:active:accept_all_http:noalarm
|
Блокировка трафика других приложений
|
ap:65531:drop:nolog:any:any:any:active:drop_all:noalarm
|
Особенности
Достарыңызбен бөлісу: |