К процедурам настройки сетевых интерфейсов и правил обработки сетевых пакетов нужно подходить крайне ответственно, так как ошибка может привести к утечке конфиденциальной информации или к несанкционированному доступу к защищаемому ресурсу.
В начале эксплуатации С-Терра Юнит все сетевые интерфейсы, в зависимости от того, к какому сегменту сети они будут подключены, необходимо поделить на три группы:
• первая группа - сетевые интерфейсы недоверенного (публичного) сегмента,
• вторая группа - сетевые интерфейсы доверенного сегмента,
• третья группа - неиспользуемые сетевые интерфейсы.
В LSP для указания сетевых интерфейсов используется структура NetworkInterface. К этой структуре привязываются правила обработки сетевых пакетов.
В LSP используются логические имена (aliases) сетевых интерфейсов из файла /etc/ifaliases.cf. В файле ifaliases.cf делается привязка логических имен сетевых интерфейсов к именам в операционной системе.
Обращаем внимание на интерфейс с логическим именем “default”. По умолчанию этот интерфейс имеет специальный смысл: под него попадают все сетевые интерфейсы, для которых не удалось подобрать другие структуры NetworkInterface в данной LSP. Возможны два варианта сетевых интерфейсов, соответствующих default:
1. Для данного интерфейса существует логическое имя в файле ifaliases.cf, но в LSP отсутствует структура NetworkInterface, прямо ссылающаяся на это логическое имя.
2. Интерфейс присутствует в операционной системе, но для него нет выделенного логического имени в файле ifaliases.cf.
Список сетевых интерфейсов С-Терра Юнит приведен в таблице ниже.
Таблица 4
Сетевой интерфейс |
Пояснение |
Сегмент |
|
Публичный |
Доверенный |
||
FastEthernet0/0 |
Проводной ethernet - WAN. Помечен красной полосой. |
+ |
|
FastEthernet0/1 |
Проводной ethernet - LAN. Помечен белой полосой. |
|
+ |
UsbEthernet0 |
Ethernet-over-USB. В том числе модемы мобильной связи, работающие в режиме CDC-Ethernet |
+ |
|
Dot11Radio0 |
WiFi клиент |
+ |
|
Bridge1 |
WiFi точка доступа |
|
+ |
default |
Интерфейсы, для которых в LSP нет отдельной структуры NetworkInterface. |
+ |
+ |
В корпоративной сети можно выделить несколько сегментов, требующих защиты с помощью С-Терра Юнит. Сегменты могут иметь разные уровни защищенности:
• Доступный сегмент с веб-сервером, почтовым сервером и т.п.
• Сегмент с защищаемой открытой локальной подсетью для доступа удаленных сотрудников в корпоративную сеть.
• Сегмент с защищаемой закрытой локальной подсетью.
Вариантов защиты открытой и закрытой локальной подсетей может быть несколько:
1. Единая защита всей локальной подсети.
2. Раздельная защита открытой и закрытой локальных подсетей.
Следует обратить внимание на следующие угрозы безопасности:
• Ошибочные сетевые настройки устройства С-Терра Юнит.
• Ошибочные или преднамеренно скомпрометированные настройки или неверная коммутация сторонних сетевых устройств, подключаемых к С-Терра Юнит.
• Ошибочная или преднамеренная посылка сетевого трафика, не предусмотренного условиями эксплуатации.
• Манипуляции с активностью сетевого интерфейса могут приводить к изменению таблицы маршрутизации, перечня локальных IP-адресов и прочих связанных параметров, использующихся при обработке трафика.
В составе ПО С-Терра Юнит присутствует средство ограниченного конфигурирования параметров ОС через графический интерфейс - веб-интерфейс. Если в соответствии с моделью угроз в информационной системе возможно наличие внутреннего нарушителя, имеющего доступ к С-Терра Юнит по сетевому интерфейсу со стороны защищаемого объекта, администратор должен запретить доступ к веб-интерфейсу после выполнения начальной настройки.
При создании LSP администратор должен написать правила обработки сетевых пакетов для всех возможных сетевых интерфейсов.
Внимание! |
Правила должны быть написаны даже для интерфейсов из третьей группы (неиспользуемых). Допускается не описывать такие интерфейсы явно, если описан интерфейс “default” (см. ниже) - в этом случае будут работать правила, написанные для интерфейса “default”. |
Обязательно должны быть написаны правила для интерфейса “default”, если существует возможность физического подключения к С-Терра Юнит сетевых устройств, не предусмотренных условиями эксплуатации.
Если использование интерфейса не предусмотрено условиями эксплуатации, соответствующий разъём следует опечатать.
При написании правил обработки сетевых пакетов администратор должен учитывать, что при управлении состоянием сетевых интерфейсов существует возможность попадания произвольных сетевых пакетов на произвольный сетевой интерфейс. В зависимости от состояния сетевого интерфейса, настроек операционной системы и политики безопасности данный пакет может быть пропущен, уничтожен, обработан модулем протоколов IPsec. Для обеспечения безопасности обрабатываемой информации администратору при написании правил обработки сетевых пакетов рекомендуется:
• При создании политики безопасности не полагаться на предположения о том, что определенный трафик может проходить только через определенный сетевой интерфейс.
• Если прохождение какого-то сетевого трафика через данный интерфейс недопустимо, то для данного трафика следует явно написать правило пакетной фильтрации “DROP”. В том числе для трафика, для которого на другом интерфейсе написано правило IPsec.
Общее описание по настройке С-Терра Юнит дано в документе «Настройка «С-Терра Юнит».