Межсетевой экран Aker

         

Адресация в локальной сети


Независимо от технических возможностей, адреса внутренней сети не следует выбирать случайным образом. Специально для этих целей существуют зарезервированные адреса. Эти адреса не присвоены и никогда не будут присвоены какому-либо хосту, непосредственно соединенному с Интернет.

Зарезерезерированными являются следующие адреса:

От 10.0.0.0 до 10.255.255.255, маска 255.0.0.0 (класс A)
От 172.16.0.0 до 172.31.0.0, маска 255.255.0.0 (класс B)
От 192.168.0.0 до 192.168.255.255, маска 255.255.255.0 (класс C)




Copyright © 1991-2, RSA Data Security, Inc. Created 1991.
All rights reserved.

На копирование и использование данного программного средства предоставляется лицензия , при условии, что оно идентифицируется как "RSA Data Security, Inc. MD5 Message-Digest Algorithm" во всех материалах, содержащих упоминание или ссылки на сам продукт или его функциональные свойства

Лицензия предоставляется также на выполнение и использование производных работ, при условии, что эти работы идентифицированы как "derived from the RSA Data Security, Inc. MD5 Message-Digest Algorithm" во всех материалах, содержащих упоминание или ссылки на производную работу.

RSA Data Security, Inc. не делает никаких заявлений, касающихся либо годности для торговли, либо соответствия цели данного программного средства. Оно выпускается "как есть" без явных или подразумеваемых гарантий какого-либо вида.

Эти уведомления должны сохраняться в любых копиях любых частей данной документации и/или программного средства


Алгоритмы обмена ключами


Одной из серьезных проблем при образовании защищенного канала является определение ключей аутентификации и шифрования и выполнение периодических замен этих ключей.

Чтобы снизить риск взлома ключей злоумышленником и уменьшить нанесенный ущерб в случае взлома одного из них, важно проводить периодические замены ключей; предположим, что спустя шесть месяцев после установки ключей злоумышленнику удалось взломать ключи алгоритма шифрования (выбранная ситуация гипотетическая и ничего общего не имеет с реальной ). Если компания продолжает пользоваться теми же ключами, скажем, в течение года, то злоумышленник может расшифровать весь трафик компании за последние 6 месяцев. С другой стороны, если ключи менять ежедневно, тот же нарушитель, расшифровав после шестимесячной работы по взлому трафик первого дня, будет вынужден еще поработать шесть месяцев над расшифровкой трафика второго дня и т.д. Межсетевой экран Aker предоставляет два способа обмена ключами: ручной обмен и с помощью SKIP:

Ручной обмен ключами

В этом случае все настройки ключевой информации производятся вручную. При этом если производится замена ключей, обе стороны, между которыми образован защищенный канал, должны быть одновременно переконфигурированы

Замена ключей с помощью SKIP

SKIP - это сокращение от Simple Key Management for IP. По существу, он является алгоритмом , позволяющим выполнять замену ключей в автоматическом режиме с чрезвычайно высокой частотой, практически полностью исключающей их взлом. Функционирование SKIP оказывается сложной процедурой, и мы не будем вдаваться в ее детали. Сфокусируем внимание на описании самого процесса.

В основном SKIP работает с тремя различными уровнями ключей:

Общий секрет для всех взаимодействующих хостов

Мастер ключ, который вычисляется заново каждый час на основе секрета.

Случайный ключ, который можно вычислить заново в случае необходимости

Опишем сценарий в общих чертах: для установления связи генерируется случайный ключ и он используется для шифрования и аутентификации посылаемых данных. Затем этот ключ шифруется на мастер ключе и отсылается вместе с зашифрованными данными. Когда принимающая сторона получает пакет, она расшифровывает ключ с помощью мастер ключа и использует его для расшифровки остального пакета.

Поскольку алгоритмы, используемые для аутентификации, шифрования пакета и ключа определяются отправителем и передаются как часть протокола, получателю нет нужды настраивать эти параметры в приемнике.

Основным преимуществом SKIP является возможность использования одного и того же секрета годами, не боясь его взлома нарушителем (поскольку замена ключа производится с интервалом от нескольких секунд до максимального значения в один час, в зависимости от трафика между взаимодействующими сетями).

Настоятельно рекомендуется пользоваться этой опцией при конфигурировании защищенных каналов.



Аутентификация пользователей


Я правильно настроил агента аутентификации в моем Windows NT, тем не менее ни один пользователь не смог пройти аутентификацию. Каждый из них получил сообщение о неверном пароле. Что я должен делать?

Проверьте, имеют ли эти пользователи право Log on Locally на хосте с запущенным агентом. Для получения таких прав необходимо выполнить следующие шаги:

Запустите User Manager for Domains. В нем выберите меню Policies и опцию User Rights.

Выберите опцию Log on locally и установите ее для всех необходимых пользователей и групп. Чтобы упростить задачу, можно использовать группу Everyone.

Я пользуюсь агентом аутентификации для Windows NT, и заметил, что тогда как многие пользователи аутентифицируются правильно, некоторые не могут этого сделать, всегда получая сообщения о неверном пароле. В чем может быть ошибка?

Проверьте, установлена ли у пользователей, у которых возникли проблемы с аутентификацией, опция User must change password on next logon. Если она установлена, уберите ее, и тогда пользователи будут снова нормально проходить аутентификацию.

Для проверки запустите User manager for domains и нажмите дважды на имени необходимого пользователя. Эта опция указана на дисплее под полями описания пользователя.

Назад | Содержание | Вперед



Аутентификаторы межсетевого экрана Aker


Аутентификацию пользователя в межсетевом экране Aker поддерживают WWW и Telnet proxy, что означает, что их можно настроить так, чтобы установление соединений пользователям разрешалось бы только при условии, что пользователь идентифицирует себя для межсетевого экрана при помощи имени и пароля.

При такой процедуре аутентификации межсетевому экрану необходимо проверять правильность имен и паролей. Для одних программ требуется регистрация всех пользователей в базе данных межсетевого экрана, для других нужно, чтобы пользователи были зарегистрированными пользователями на хосте, на котором запускается межсетевой экран. Оба способа не позволяют использовать базу данных пользователей, как правило присутствующую в локальной сети.

В межсетевом экране Aker выбрано наиболее универсальное и простое решение: вместо регистрации пользователей непосредственно в межсетевом экране, их подлинность проверяется на серверах локальных сетей, либо под управлением Unix, либо Windows NT.

Для того что бы межсетевой экран знал, где находится информация, необходимая для аутентификации пользователей, и имел возможность обеспечить защищенную связь с этими хостами, была создана концепция аутентификаторов. Аутентификаторами являются хосты под управлением Unix или Windows NT, на которых запускается агент аутентификации. Эта программа распространяется в комплекте с межсетевым экраном Aker, и ее основное назначение - обеспечить взаимодействие между межсетевым экраном и удаленной базой данных.

Для использования межсетевым экраном Aker базы данных на удаленном сервере вы должны выполнить следующие действия:

Установить и настроить агента аутентификации на хосте, где находится пользовательская база данных (эта процедура будет описана в разделах Инсталляция агента аутентификации в Unix и Инсталляция агента аутентификации в Windows NT).

Зарегистрировать объект типа аутентификатор с адресом хоста, на котором установлен агент, и с правильным паролем доступа (информация о регистрации объектов изложена в главе Регистрация объектов ).

Указать межсетевому экрану, что он должен использовать аутентификатор, зарегистрированный на 2 этапе, для проведения аутентификации пользователя (эта процедура будет описана в главе Настройка параметров аутентификации).



Авторские права по системам


Copyright (c) 1997, 1998 Aker Concultancy and Informatique LTD.

Продукт использует DES и 3DES алгоритмы, взятые из SSL библиотеки, составленной Eric Young (eay@mincon.oz.au). Copyright (c) 1995 Eric Young.

Продукт использует MD5 алгоритм, описанный в RFC 1321. Copyright (c) 1991-2 RSA Data Security, Inc

Продукт включает программное обеспечение, разработанное сотрудниками университетов California, Berkeley.

Продукт использует CMU SNMP библиотеку. Copyright 1997 Carnegie Mellon Univercity.

Содержание | Вперед



Что представляет фильтр с контролем состояния межсетевого экрана Aker?


Действия традиционного пакетного фильтра основаны исключительно на наборе правил, описанных администратором. Для каждого пакета, который может проходить через фильтр, администратор должен создать необходимое правило. В некоторых случаях это достаточно просто, однако иногда такая процедура невозможна, или по крайней мере невозможна без соблюдения необходимого уровня безопасности и гибкости.

Пакетный фильтр межсетевого экрана Aker называется фильтром с контролем состояния, так как он сохраняет информацию о состоянии по каждому проходящему через него соединению, и использует всю эту информацию совместно с набором правил при решении вопроса о том, пропустить или отбросить конкретный пакет. Кроме того, в отличие от пакетного фильтра, который принимает решения, основываясь только на данных в заголовке пакета, фильтр с контролем состояния проверяет данные всех уровней и использует их при принятии решений.

Рассмотрим подробнее, как фильтр с контролем состояния решает различные проблемы, которые возникают при использовании обычного пакетного фильтра.

Проблема с UDP протоколом:

Для того, чтобы использовать UDP сервис, клиент выбирает номер порта (который меняется каждый раз при использовании сервиса) и посылает пакет на порт сервера, соответствующий данному сервису (порт на сервере фиксирован). Получив запрос, сервер посылает в ответ один или более пакетов на порт клиента. Для образования соединения необходимо, чтобы межсетевой экран принимал пакеты запросов и ответов. Проблема заключается в том, что UDP протокол не является протоколом, ориентированным на соединение, т.е. если рассматривается отдельный изолированный пакет вне контекста, то невозможно узнать, является ли он запросом или ответом некоторого сервиса.

В обычных пакетных фильтрах администратор может либо блокировать весь UDP трафик, либо позволить пройти пакетам ко всем возможным портам, так как он не знает заранее, какой порт будет выбран клиентом для доступа к определенному сервису. Оба эти подхода обладают очевидными недостатками.


Межсетевой экран Aker способен динамически адаптироваться к трафику при решении вышеупомянутых проблем: каждый раз, когда UDP пакет соответствует какому-либо правилу, во внутреннюю таблицу состояний добавляется элемент. Это позволяет пропускать к клиенту обратные пакеты от сервера.

Этот элемент является активным в течение короткого промежутка времени, по истечении которого он удаляется (этот временной интервал устанавливается через окно параметров настройки, которое рассматривается в главе Настройка параметров системы). В результате администратору не приходится заботиться об ответных UDP пакетах; для разрешения доступа к сервисам необходим о только настроить правила для данного сервиса. Это легко сделать, так как все сервисы имеют фиксированные порты.

Проблема с FTP протоколом:

FTP является одним из самых популярных протоколов в Интернет, однако, он же является и одним из наиболее сложных протоколов для межсетевых экранов. Рассмотрим более подробно его функциональные свойства:

Для получения доступа к FTP сервису клиент открывает TCP соединение с 21 портом на сервере (порт клиента может быть различным). Такое соединение называется контрольным каналом. После этого при любой перекачке файла или просмотре каталога устанавливается новое соединение - образуется канал передачи данных. Последний можно установить двумя способами:

соединение может устанавливаться сервером ( 20 порт ) и клиентом (случайно выбранный порт). О номере порта клиент сообщает серверу через контрольный канал; такой способ называется активным FTP

клиент может открыть соединение между случайно выбранными портами ( у клиента и сервера); номер последнего передается клиенту через контрольный канал. Такой способ называется пассивным FTP.

В обоих указанных случаях администратор не знает, какие порты будут выбраны для установления канала передачи данных, и если он хочет использовать FTP протокол через традиционный пакетный фильтр, он будет вынужден разрешить доступ ко всем возможным портам, используемым клиентами и серверами.


Этот подход может привести к серьезным проблемам с безопасностью.

Межсетевой экран Aker умеет анализировать трафик по контрольному каналу, т.е. он может понять, какой тип соединения будет использоваться ( активный или пассивный) и какие порты будут использованы для установления канала передачи данных. Благодаря этому свойству, каждый раз, когда пакетный фильтр определяет, что будет иметь место передача данных, он добавляет элемент в таблицу состояний. Этот элемент активен только во время передачи и только при открытом контрольном канале. Таким образом, для настройки доступа по FTP протоколу необходимо лишь добавить правило, разрешающее доступ к 21 порту. Все остальное будет сделано автоматически.

Проблема с Real Audio протоколом:

Протокол Real Audio является наиболее распространенным протоколом для аудио и видео передач через Интернет в режиме реального времени.

Для передачи видео или аудио информации клиент устанавливает TCP соединение с сервером Real Audio. Чтобы улучшить качество аудио и видео передачи, наряду с этим соединением, сервер может открыть UDP соединение с клиентом, с произвольным портом, а клиент в свою очередь может открыть другое UDP соединение с сервером (также с произвольным портом).

Обычные пакетные фильтры не позволяют устанавливать UDP соединения от сервера к клиенту и наоборот, поскольку порты заранее неизвестны, что приводит к понижению качества аудио и видео данных.

Фильтр межсетевого экрана Aker контролирует весь трафик между сервером Real Audio и клиентом, проверяя какие UDP соединения открыты и к каким портам и добавляя эту информацию в таблицу состояний. Этот элемент активен только в период открытого контрольного FTP соединения, что обеспечивает высокий уровень безопасности.


Что представляет из себя SMTP proxy ?


SMTP proxy - это специализированная программа межсетевого экрана Aker, предназначенная для работы с электронной почтой (SMTP - это сокращение от Simple Mail Transfer Protocol, сервиса для передачи электронной почты через Интернет). Она позволяет осуществлять фильтрацию cообщений электронной почты по содержанию или полям заголовка. Помимо этого, оно выступает в качестве барьера, защищающего SMTP сервер от некоторых видов атак.

SMTP proxy относится к категории прозрачных proxy [более подробно об этом описано в разделе Работа с proxy серверами ), и потому ни сервер, ни клиент не знают о их существовании.



Что представляет собой моя внешняя сеть?


Внешние сети состоят из тех хостов, которые не являются частью внутренней сети. Они могут находиться или не находиться под административной ответственностью вашей организации.

Если организация подключена к Интернет, внешней сетью будет весь Интернет.



Что представляет собой моя внутренняя сеть?


Внутренняя сеть состоит из хостов, входящих в состав одной или более подсетей, защищенных межсетевым экраном Aker. Сюда включаются также внутренние сетевые устройства, такие как маршрутизаторы, коммутаторы, серверы, клиенты и т.д. В межсетевом экране Aker внутренняя сеть называется частной сетью

(Private Network).



Что представляют собой объекты и для чего они нужны?


Объекты служат для отображения реальных параметров в межсетевом экране Aker. С их помощью становится возможным представление хостов, сетей, сервисов и т.д.

Основным преимуществом их использования является то, что после их описания в межсетевом экране с ними самими можно обращаться как с параметрами, что значительно облегчает работу по их настройке. Все модификации объектов будут автоматически распространяться на все ссылки в них .

Например, можно определить хост, назвав его WWW Server с IP адресом 10.0.0.1. После этого больше нет необходимости помнить этот IP адрес. Везде где необходимо задействовать этот хост, к нему можно обращаться по имени. Если потом поменять его IP адрес, то необходимо будет лишь изменить описание самого объекта, и система автоматически использует новое определение во всех ссылках на него.



Что такое активные соединения ?


К активным соединениям относятся TCP соединения или UDP сессии, которые в данный момент проходят через межсетевой экран. Они проходят через межсетевой экран либо в соответствии с правилом фильтрации, описанным администратором, либо в соответствии с записью в таблице состояний, автоматически добавленной межсетевым экраном Aker.

По каждому такому соединению межсетевой экран хранит массу информации в своих таблицах . Некоторые из этих информационных фрагментов представляют особую ценность для администратора, их в любой момент можно просмотреть с помощью окна активных соединений. Эта информация содержит точное время установления соединений и период неактивности, т.е. период времени, в течение которого через это соединение не было обмена пакетами.



Что такое аутентификация ?


В аутентификации основными понятиями также являются ключ и математический алгоритм, основанный на хэш-функции. В отличие от криптографии, этот алгоритм используется не для шифрования данных, а для созданию электронной подписи. Подпись формируется таким образом, что вычислить ее, не зная алгоритм и ключ невозможно

Созданная таким образом электронная подпись передается вместе с данными в пункт назначения. Если данные в процессе передачи подверглись изменениям, это сразу же обнаружится: в хосте назначения будет вычислена электронная подпись от полученных данных и после сравнения с полученной подписью подмена будет обнаружена.

Операция по вычислению подписи выполняется очень быстро по сравнению с шифрованием. Тем не менее, она не может защитить данные от чтения. Поэтому ее следует применять, если важна надежность доставки, а не конфиденциальность. Для обеспечения обеих характеристик аутентификация используется совместно с криптографией.



Что такое файл системной статистики?


Файл статистики - это место, в котором межсетевой экран хранит всю информацию о полученных им пакетах. Он включает записи, генерируемые тремя главными модулями: пакетным фильтром, транслятором сетевых адресов, а также модулем шифрования и аутентификации. Характер хранящейся в журнале информации зависит от настроек межсетевого экрана, но главным образом в нем содержится информация о пропущенных и не пропущенных пакетах, ошибках в пакетах, а также информация о трансляции сетевых адресов.

Повидимому, самой ценной является информация об отброшенных и не пропущенных пакетах, так как именно на основании их анализа можно обнаружить попытки вторжения, использование несанкционированных сервисов, ошибки в конфигурациях и т.д.



Что такое фильтр системы сбора статистики?


Даже если система настроена таким образом, чтобы регистрировать всю поступающую информацию, нас обычно интересует только определенная часть этих данных (пусть, например, мы хотим проанализировать попытки использования сервиса POP3 конкретной машиной за несколько дней, причем как успешные, так и неудачные). Фильтр системы сбора статистики - это механизм, поддерживаемый межсетевым экраном Aker, который предназначен для просмотра определенного подмножества зарегистрированных данных и позволяет легко отыскать нужную информацию.

Фильтр разрешает только просматривать информацию, записанной в файле статистики. Если вы хотите получить более специфическую информацию, сначала надо настроить систему для ее регистрации, а затем использовать фильтр для ее просмотра.



Что такое фильтр событий ?


Чаще всего необходимо просмотреть выборку по определенному множеству событий, а не всю собираемую информацию(например, если Вы хотите просмотреть все вчерашние сообщения). Фильтр событий является одним из механизмов межсетевого экрана Aker, позволяющий описать и просмотреть только необходимое Вам подмножество информации.

Фильтр разрешает только просматривать записанную в файле событий информацию. Для получения более специфической информации необходимо сначала настроить систему для ее сбора, а затем использовать фильтр для ее просмотра.



Что такое инструментальные средства графического интерфейса ?


Инструментальные средства - это набор утилит, представленных только в графическом интерфейсе межсетевого экрана Aker. Они используются для упрощения администрирования межсетевым экраном.



Что такое криптография?


Базовыми понятиями в криптографии являются ключ и математический алгоритм. Используя этот алгоритм и ключ, информация модифицируется. Способ, которым это делается, гарантирует возможность обратного преобразования данных к первоначальной форме только при условии, что известны алгоритм и ключ.

Если один из этих компонентов держится в секрете (как правило, ключ), то просмотреть данные постороннему человеку невозможно.



Что такое пакетный фильтр?


Пакетный фильтр является главным модулем системы, который принимает решения, разрешить или запретить конкретному пакету пройти через межсетевой экран. Это означает, что определенный сервис разрешен или запрещен.

Чтобы решать, какие действия следует выполнять для каждого полученного межсетевым экраном пакета, пакетный фильтр использует набор правил, которые описываются системным администратором. Для каждого пакета межсетевой экран просматривает весь набор правил в порядке их создания, проверяя, удовлетворяет ли пакет какому-либо из них. Если соответствующее правило существует, то в соответствии с ним будет выполняться заданное действие. Если данный пакет не удовлетворяет ни одному из правил, то будет выполняться действие по умолчанию.



Что такое параметры аутентификации?


Параметры аутентификации указывают межсетевому экрану, с какими аутентификаторами ему следует связываться и в каком порядке при аутентификации пользователей. Помимо этого, они позволяют контролировать методику обращений к аутентификаторам, обеспечивая определенную степень гибкости процедуры аутентификации.



Что такое proxy сервера?


Proxy сервера - это специальные программы, которые запускаются на межсетевых экранах и используются в качестве связующего звена между внутренней сетью организации и внешними серверами. Механизм их действия прост: они ждут запроса из внутренней сети, передают этот запрос удаленному серверу во внешней сети и посылают ответ обратно внутреннему клиенту.

Чаще всего proxy сервера используются всеми клиентами одной подсети, и благодаря своему стратегическому положению обычно обеспечивают кэширующие функции для некоторых сервисов. Более того, так как proxy сервера работают на уровне конкретного протокола, для каждого сервиса необходимы различные proxy сервера.



Что такое реакция системы?


В межсетевом экране Aker существует механизм , который позволяет формировать автоматические ответы для некоторых ситуаций. Автоматические ответы настраиваются администратором из набора возможных действий, которые будут выполнены для заранее описанных ситуаций.



Что такое системные события ?


Событиями являются сообщения межсетевого экрана более высокого уровня, т.е. не связанные напрямую с пакетами (как в случае статистики). К событиям относятся сообщения, которые генерируются одним из трех главных модулей (пакетным фильтром, транслятором сетевых адресов или модулем шифрования/аутентификации) или каким-либо другим компонентом межсетевого экрана, таким, например, как proxy сервер или каким-нибудь процессом ( при выполнении специфических задач).

При этом генерируются сообщения с различными уровнями важности, начиная от полезной для контроля функционирования системы информации (например, сообщения о рестарте машины или об установлении сеанса администрирования межсетевого экрана), до информации об ошибках в при выполнении или в настройках.



Что такое SYN атака?


SYN атака - это одна из наиболее распространенных атак типа "отказ в обслуживании". Такие атаки имеют своей целью помешать нормальной работе хоста или некоторого сервиса. В случае удачно проведенной SYN атаки можно сделать неработоспособным какой-либо сервис, основанный на TCP протоколе.

Чтобы разобраться в механизме этой атаки, нужно понять принцип работы процесса установления соединения для TCP протокола.

Процесс установления соединения TCP протокола проходит в 3 этапа:

Клиент посылает пакет серверу со специальным флагом, который называется SYN flag. Наличие такого флага показывает, что клиент хочет установить соединение.

Сервер в ответ посылает пакет, содержащий как флаг SYN , так и флаг ACK; это значит, что сервер принял запрос о соединении и ждет от клиента подтверждения для его установления.

Клиент после получения пакета с SYN и ACK флагами посылает в ответ пакет, содержащий только флаг ACK, который указывает серверу, что соединение успешно установлено.

Все полученные сервером запросы о соединениях хранятся в специальной очереди, имеющей заранее определенный размер, зависящий от операционной системы. Они хранятся там до тех пор, пока сервер не получит от клиента информацию об установленном соединении. Если сервер получает пакет с запросом о соединении и очередь заполнена, этот пакет отбрасывается.

SYN атака заключается в отправке определенному серверу большого количества пакетов с запросами о соединении. Эти пакеты посылаются с несуществующим адресом источника. Вымышленный адрес источника принадлежит несуществующему хосту ( в этой ситуации часто прибегают к зарезервированным адресам, подробно описанным в главе "Трансляция сетевых адресов"). Сервер после получения этих пакетов, посылает ответный пакет и ждет подтверждения от клиента. Поскольку адрес источника пакетов не существует, сервер никогда не получит подтверждения.

Дальше случится следующее: спустя некоторое время в данном сервере очередь для хранения запросов об установлении соединения окончательно заполнится. Начиная с этого момента, все запросы на установление соединений будут отбрасываться, а сервис окажется бездействующим. Такое бездействие будет продолжаться в течение нескольких секунд, пока сервер, обнаружив, что подтверждение соединения не приходит слишком долго, не удалит эти ожидающие решения соединения из очереди. Однако, если атакующий настойчиво продолжает посылать подобные пакеты, сервис будет оставаться бездействующим столько времени, сколько захочет нарушитель.

! Не все хосты чувствительны к SYN атакам. Современные реализации TCP протоколов обладают собственным механизмом защиты от таких атак.



Что такое Telnet proxy ?


Telnet proxy - это специальная программа межсетевого экрана Aker, предназначенная для работы с Telnet протоколом, который используется для эмуляции удаленного терминала. Его основная функция состоит в том, чтобы обеспечить аутентификацию на уровне пользователя для Telnet соединений. Это позволяет обеспечить большую гибкость и высокий уровень безопасности.


Telnet proxy относятся к категории прозрачных proxy (смотрите главу Работа с proxy серверами ), и потому ни сервер, ни клиент не должны знать о его существовании.



Что такое трансляция сетевых адресов?


Любой сети, желающей подключиться к Интернет, необходим набор IP адресов, которые может выделить любая имеющая на это право организация. Существуют три класса IP адресов: класс А, внутри которого можно описать до 16777214 хостов, класс В, позволяющий описать до 65533 хостов и класс С с 254 хостами.

Бум, который переживает Интернет в последние годы, привел к тому, что сети класса А и В в настоящее время стали недоступны для организаций и отдельных пользователей. Поэтому Вам может быть выделена только сеть класса С, с 254 адресами. При большем числе хостов вам потребуются другие сети класса С, что усложняет работу администратора. Другой способ решения проблемы состоит в использовании трансляции сетевых адресов (NAT).

Трансляция сетевых адресов - это технология, которая позволяет использовать для внутренней сети любые адреса, возможно даже из класса А; при этом сохраняется одновременный и прозрачный доступ в Интернет для всех хостов.
Механизм функционирования такого процесса достаточно прост: каждый раз, когда хост с зарезервированным адресом пытается получить доступ в Интернет, межсетевой экран контролирует эту попытку и автоматически преобразует его адрес в разрешенный. Когда хост назначения отвечает и посылает данные на разрешенный адрес, межсетевой экран преобразует его обратно в зарезервированный адрес и передает данные внутреннему хосту. При этом ни клиент, ни сервер не знают о существовании этого преобразования.

Кроме уже упомянутых преимуществ, трансляция сетевых адресов позволяет все хосты внутренней сети сделать невидимыми для внешней сети, что увеличивает уровень безопасности.

! Трансляция сетевых адресов не может быть использована для сервисов, которые передают информацию об IP-адресах или портах внутри протокола. Межсетевой экран Aker из сервисов такого вида поддерживает только сервисы FTP и Real Audio/Real Video.



Что такое WWW кэш сервер?


Кэш-сервер является программой, которая предназначена для ускорения доступа к страницам Интернет. Для этого кэш-сервер хранит у себя наиболее часто запрашиваемые страницы и каждый раз, когда он получает новый запрос, он проверяет, не хранится ли у него запрашиваемая страница. Если страница присутствует , она немедленно высылается без обмена с внешним сервером. Если нет, страница загружается обычным образом с сервера и сохраняется, что обеспечивает быстрый доступ к ней при новых запросах.



Что такое WWW proxy в межсетевом экране Aker ?


WWW proxy - это специализированная программа межсетевого экрана Aker, предназначенная для работы с протоколами, которые поддерживаются WWW (World Wide Web) серверами, такими как HTTP, HTTPS, FTP и Gopher.

Основная функция WWW proxy состоит в управлении доступом внутренних пользователей к Интернет; они, например, определяют каким пользователям можно позволить доступ и к каким страницам, кто может передавать файлы и т.д. Более того, они могу блокировать Active-XTM и JavaTM

applets, которые могут иногда представлять опасность.

WWW proxy относится к непрозрачными proxy (смотрите главу Работа с proxy серверами ), поэтому использующие их клиенты должны уметь работать через proxy и быть соответственно настроенными. Это требование не ведет к появлению каких-либо существенных проблем, поскольку практически все клиенты (браузеры) это поддерживают. Необходимые настройки клиентов выполняется просто и быстро.



Что такое защищенный канал и для чего он применяется?


Интернет - это глобальная сеть, насчитывающая тысячи компьютеров, разбросанных по всему миру. Когда два компьютера взаимодействуют между собой, весь трафик от источника до пункта назначения проходит через множество других устройств (маршрутизаторов, коммутаторов и т.д.). Эти сетевые устройства администрируют посторонние организации, и никто не может поручиться за их честность (в большинстве случаев невозможно узнать заранее, по какому пути пойдут пакеты к пункту назначения).

На любом из хостов, встречающихся на пути пакетов, может просмотреть их содержимое и/или изменить что-либо в них. Все это создает серьезные проблемы, тем более существенные, чем выше уровень значимости или конфиденциальности передаваемых данных.

Для решения этих проблем и применяются защищенные информационные каналы. Их можно представить себе как некий тоннель. Информация помещается с одной стороны тоннеля и прочесть ее можно только с другой стороны.

На самом деле, передаваемая информация модифицируется таким образом, чтобы их невозможно было изменить (аутентификация) или просмотреть (криптография) на пути их следования. При совместном применении этих двух механизмов обеспечивается как сокрытие информации, так и невозможность ее подмены на всем пути ее следования.



Cообщения о событиях межсетевого экрана


31 - Aker Firewall v3.0 - Initialization complete

Это информационное сообщение появляется каждый раз при перезапуске межсетевого экрана.

32 - Memory allocation error

Это сообщение означает, что какой-то модуль межсетевого экрана пытался запросить объем памяти память и не смог ее получить. Система FreeBSD вводит максимальный лимит на каждый тип памяти, которую можно получить, в зависимости от объема общей памяти. Если такой лимит достигнут, то невозможно получить больший объем памяти. Такое сообщение может встретиться в системах с малым объемом памяти RAM, использующих трансляцию адресов с большим числом одновременных соединений или большим числом активных соединений, проходящих через proxy сервера межсетевого экрана.

Решение: Увеличить объем памяти RAM.

33 - TCP translation table full

Таблица трансляции адресов TCP заполнена.

Решение: Увеличить максимальное число одновременных TCP соединений (вся необходимая информация содержится в главе Настройка трансляции сетевых адресов).

34 - UDP translation table full

Таблица трансляции адресов UDP заполнена.

Решение: Увеличить максимальное число одновременных UDP соединений (вся необходимая информация содержится в главе Настройка трансляции сетевых адресов).

35 - Invalid authentication algorithm

Криптографический модуль обнаружил при выполнении аутентификации пакета неверный алгоритм аутентификации в ассоциации защиты (SA).

36 - Invalid encryption algorithm

Криптографический модуль обнаружил при выполнении шифрования пакета неверный алгоритм шифрования в ассоциации защиты (SA).

37 - Invalid data received by the firewall load module

Это сообщение означает, что в модули межсетевого экрана, запущенные в ядре FreeBSD, были посланы неверные данные.

Решение: Постарайтесь проверить, какая программа создает это сообщение, многократно запуская и останавливая программу.

38 - Error when reading parameters file

Это сообщение генерируется внешними модулями, которые пытаются прочитать файл параметров и обнаруживают, что он не существует или его нельзя прочитать.

Решение: Перезапустить межсетевой экран, чтобы программа инициализации заново создала файл параметров.

39 - Error when loading access profiles


Это сообщение означает, что сервер аутентификации не смог загрузить в систему список зарегистрированных профилей доступа. 40 - Invalid access profile name

Это сообщение означает, что сервер аутентификации, когда он пытается найти профиль доступа пользователя, обнаруживает, что профиль не зарегистрирован в системе 41 - Error when creating the connection socket

Это сообщение означает, что некоторые внешние модули пытались создать сокет и получили сообщение об ошибке. Решение: Проверить количество файлов, которые могут быть открыты процессом, а также их полное количество для всех процессов системы. Если необходимо, увеличьте эти значения. 42 - Error when binding to the virtual IP

Это сообщение означает, что FTP proxy для преобразования адресов не смогли привязать виртуальный IP адрес к созданному гнезду. Так происходит, когда виртуальный IP адрес неверен. Решение: Изменить значение поля Virtual IP в настройках трансляции сетевых адресов, связанного с IP адресом одного из сетевых интерфейсов межсетевого экрана (см. главу Настройка трансляции сетевых адресов). 43 - Line with an excessive number of characters

Это сообщение означает, что proxy межсетевого экрана Aker получил строку со слишком большим количеством символов и из-за этого закрыл соединение. Дополнительная информация в скобках указывает IP адрес хоста, который явился причиной проблемы. Решение: Сервер или клиент сочли это сообщение несоответствующим стандартам RFCs. Единственное возможное решение этой проблемы - обратиться к администратору хоста, откуда пришло сообщение. 44 - Error when loading context

Это сообщение означает, что один из прозрачных proxy не смог загрузить необходимый контекст. 45 - Reverse DNS not configured

Это сообщение вырабатывается каким-либо proxy сервером, если они были настроены принимать соединения от хостов, если для них настроено обратное преобразование адресов в DNS и не смогли разрешить имя для IP адреса источника соединения. Дополнительное сообщение указывает IP адрес источника соединения. 46 - Conflicting direct and reverse DNS



Когда proxy межсетевого экрана настроены принимать соединения от хостов, если для них настроено обратное преобразование адресов в DNS, они используют следующую технику для повышения безопасности: сначала они пытаются разрешить имя для IP адреса источника соединения. Если proxy не может этого сделать, возникает описанное выше сообщение об ошибке и соединение не устанавливается. Если proxy все-таки разрешают имя, они по этому имени пытаются разрешить его адрес. Если они не могут выполнить эту операцию или если возвращенный IP адрес отличен от адреса источника, происходит разрыв соединения и вырабатывается данное сообщение. 47 - Invalid Command

Это сообщение означает, что один из proxy получил от клиента неверную команд и потому не передал ее серверу. Дополнительное сообщение показывает саму неверную команду и имена хостов источника и назначения (только в случае прозрачных proxy) соединения. 48 - SMTP message accepted

Эта диагностика означает, что SMTP proxy принял сообщение и послал его серверу. Дополнительное сообщение указывает, какими были хосты источника и назначения соединения. 49 - SMTP message refused

Это сообщение означает, что SMTP proxy отбросили полученное сообщение. Это происходит либо потому, что данное сообщение соответствует некоторому правилу фильтрации, согласно которому сообщение должно быть отброшено, либо потому, что его размер превышает максимально допустимый. 50 - Error when communicating with the authentication server

Это сообщение означает, что один proxy не смог установить связь с сервером аутентификации при попытке выполнения аутентификации пользователя. В связи с этим пользователю не разрешается продолжить работу, а само соединение не устанавливается. Решение: Проверить, является ли активным процесс, обслуживающий сервер аутентификации на межсетевом экране. Для этого выполните команду: #ps -ax | grep fwauthd | grep -v grep. Если процесс не запущен, запустите его командой /etc/firewall/fwauthd. 51 - Error when connecting to the authentication agent



Это сообщение означает, что сервер аутентификации не смог соединиться с агентом аутентификации, запущенным на некотором хосте. Дополнительное сообщение укажет имя агента аутентификации, с которым не смог соединиться сервер. Решение: Проверить, правильность IP адреса хоста, на котором предположительно запущен агент; проверить также, что агент действительно запущен на этом хосте. Более подробную информацию можно посмотреть в разделе Регистрация объектов). 52 - Error when communicating with the authentication agent

Это сообщение означает, что сервер аутентификации соединился с агентом аутентификации, но не смог установить соединение. Дополнительное сообщение укажет имя агента аутентификации, из-за которого возникла проблема. Решение: Проверить, соответствует ли пароль доступа в определении аутентификатора паролю в конфигурации агента аутентификации. За более подробной информацией обращайтесь к главе Регистрация объектов.

53 - Proxy authentication failure

Это сообщение означает, что пользователь ввел неверный пароль, когда пытался пройти аутентификацию при обращении к proxy серверу. Дополнительное сообщение укажет имя пользователя и хосты источника и назначения (только в случае прозрачных proxy) соединения. 54 - User unregistered for proxy

Это сообщение означает, что незарегистрированный пользователь пытался пытался пройти аутентификацию при обращении к proxy серверу. Дополнительное сообщение укажет хосты источника и назначения (только в случае прозрачных proxy) соединения. 55 - User lacks permission to open telnet sessions

Это сообщение означает, что пользователь прошел аутентификацию при обращении к telnet proxy, но не получил разрешения открыть соединение. Дополнительные сообщение укажут имя пользователя и хосты источника и назначения соединения. 56 - Telnet session established

Это сообщение означает, что пользователь прошел аутентификацию при обращении к telnet proxy, получил разрешения открыть соединение и открыл его. Дополнительные сообщения указывают имя пользователя и хосты источника и назначения соединения. 57 - Error when sending data to the firewall kernel



Это сообщение означает, что какой- то внешний модуль пытался послать информацию модулям межсетевого экрана, которые выполнялись в ядре, и получил сообщение об ошибке. Если существует дополнительное сообщение в скобках, то оно укажет, какая информация была послана. Решение: Проверить, является ли ядро, запущенное на межсетевом экране ядром, собранном из объектных модулей межсетевого экрана Aker. 58 - The number of processes in the system is too high

Это сообщение означает, что какой-то внешний модуль межсетевого экрана при попытке создать дочерний процесс для обработки соединения обнаружил, что число процессов, запущенных в системе, близко к максимально допустимому. Из-за этого новый процесс не был создан, а соединение, которое он должен был поддерживать, было разорвано. Решение: Увеличить максимальное число процессов в системе. Это можно сделать с помощью изменения опции MAX_USERS в файле настройки ядра и компиляции нового ядра или использования команды sysctl (обратите внимание на то, что в случае использования команды sysctl изменения будут иметь силу только до перезагрузки, поэтому команда должна выполняться каждый раз при новом запуске межсетевого экрана). 59 - Administrative session request

Это сообщение генерируется удаленным модулем администрирования межсетевого экрана Aker каждый раз, когда он получает запрос на установление административного сеанса. В дополнительном сообщении указывается IP адрес хоста, запрашивающего соединение. 60 - Administrative session established

Это сообщение генерируется удаленным модулем администрирования межсетевого экрана Aker каждый раз при успешной аутентификации пользователя и установлении административного сеанса. В дополнительном сообщении указываются имя регистрации пользователя, установившего соединение, и его права. Права пользователя представляются тремя различными сокращениями. Если пользователь имеет определенные права, будет показана соответствующее сокращение, во всех прочих случаях вместо этого будет показано значение -.


Ниже представлены сокращениями и их значения:

CF - Может настраивать межсетевой экран

CL - Может настраивать статистику

MU - Может управлять пользователями

61 - Administrative session closed

Это сообщение означает, что установленный сеанс администрирования закончен по команде пользователя.. 62 - Administrator not registered

Это сообщение означает, что незарегистрированный в системе пользователь пытается установить сеанс администрирования. 63 - Administrative session confirmation error

Это сообщение означает, что зарегистрированный в системе пользователь пытался установить удаленный сеанс удаленного администрирования, но не смог ввести правильный пароль. Дополнительное сообщение указывает имя этого пользователя. 64 - Firewall is being administrated by another user

Это сообщение означает, что пользователь правильно аутентифицировался для установления удаленного сеанса администрирования, однако существует и другой пользователь с открытой к тому же хосту сессией, в связи с чем соединение запрещено. Дополнительное сообщение указывает, какому пользователю отказано в сеансе. 65 - Parameter modification

Это сообщение означает, что во время сеанса администрирования была изменена конфигурация системы. Дополнительное сообщение указывает имя измененного параметра. 66 - Filtering rules modification

Это сообщение означает, что во время сеанса администрирования были сделаны изменения в таблице правил фильтрации. 67 - Address translation modification

Это сообщение означает, что во время сеанса администрирования были изменены правила трансляции сетевых адресов или серверная таблица трансляции. Дополнительное сообщение уточняет характер изменений. 68 - Secure channels modification

Это сообщение означает, что во время сеанса администрирования были изменены таблицы защищенных каналов. 69 - SYN Flood configuration modification

Это сообщение означает, что во время сеанса администрирования были изменены параметры защиты от SYN атак. Дополнительное сообщение уточняет характер изменений. 70 - SMTP contexts modification



Это сообщение означает, что во время сеанса администрирования были изменены таблицы SMTP контекстов. 71 - SNMP configuration modification

Это сообщение означает, что во время сеанса администрирования были изменены параметры настройки SNMP агента. 72 - Access profiles modification

Это сообщение означает, что во время сеанса администрирования были изменены профили доступа. 73 - Access control list modification

Это сообщение означает, что во время сеанса администрирования были изменены списки доступа. 74 - Authentication parameters modification

Это сообщение означает, что во время сеанса администрирования были изменены глобальные параметры аутентификации. 75 - Entities modification

Это сообщение означает, что во время сеанса администрирования были изменены списки объектов системы. 76 - Telnet contexts modification

Это сообщение означает, что во время сеанса администрирования были изменены таблицы контекстов Telnet. 77 - WWW parameters modification

Это сообщение означает, что во время сеанса администрирования были изменены параметры WWW. 78 - Active connection removal

Это сообщение означает, что во время сеанса администрирования было удалено соединение. Дополнительное сообщение указывает тип протокола соединения (TCP или UDP). 79 - Operation on the log file

Это сообщение означает, что во время сеанса администрирования была проделана одна из операций (Compact (уплотнение) или Clear

(очистка)) с файлом статистики системы. Дополнительное сообщение показывает, какая из этих операций была выполнена. 80 - Operation on the events file

Это сообщение означает, что во время сеанса администрирования была проделана одна из операций (Compact (уплотнение) или Clear

(очистка)) с файлом событий системы. Дополнительное сообщение показывает, какая из этих операций была выполнена. 81 - Operation on the users file

Это сообщение означает, что во время сеанса администрирования была проделана одна из операций на файле пользователей. Возможны операции Add

(добавление), Delete (удаление) и Change (изменение).


Дополнительное сообщение указывает, какая из этих операций была выполнена и каким пользователем. 82 - Administrative session dropped by error

Это сообщение означает, что сеанс администрирования был прерван из-за ошибки протокола связи. Решение: Попытаться снова установить соединение. 83 - Administrative session dropped by timeout

После установления удаленного сеанса администрирования удаленный хост начинает периодически посылать на межсетевой экран сообщение для  подтверждения активности соединения. Эти сообщения посылаются, если даже пользователь не выполняет никаких операций. Это сообщение означает, что сеанс удаленного администрирования был прерван из-за того, что сервер не получил сообщение от удаленного хоста в течение максимально допустимого времени. Наиболее вероятной причиной этого может быть сбой на хосте с запущенным графическим интерфейсом или сетевая неисправность. 84 - Error in the previous operation

Это сообщение означает, что последняя операция, выполненная с удаленного хоста, не была успешно завершена. Решение: Проверить, есть ли свободное пространство в файловой системе '/ ' межсетевого экрана. Это можно сделать с помощью команды $df -k. Если эта команда показывает, что используемое пространство на каталоге "/" равна 100%, в этом и заключается причина проблемы. 85 - User without access right

Это сообщение означает, что пользователь пытался выполнить несанкционированное действие. 86 - Unrecognized packet

Это сообщение означает, что сервер поддержки удаленного администрирования межсетевого экрана получил запрос от неизвестного сервиса. Назад | Содержание | Вперед


Дерево каталогов


/ - содержит модифицированное ядро операционной системы с межсетевым экраном Aker

/etc/firewall - содержит выполняемые программы и подкаталоги

/etc/firewall/conf - содержит конфигурационные файлы межсетевого экрана

/etc/firewall/manual - содержит руководство пользователя (если оно установлено)

/etc/firewall/root - не содержит файлов. Используется некоторыми процессами межсетевого экрана

/etc/firewall/run - содержит динамические файлы

/var/log - содержит файлы статистики и событий межсетевого экрана Aker

/var/spool/firewall - используется SMTP proxy для хранения сообщений

/usr/src/sys/objs - содержит объектные модули, необходимые для создания нового ядра системы



DES Library


Copyright © 1995 Eric Young


All rights reserved.

Эта библиотека и ее приложения БЕСПЛАТНО РАСПРОСТРАНЯЕТСЯ ДЛЯ КОММЕРЧЕСКОГО И НЕКОММЕРЧЕСКОГО ИСПОЛЬЗОВАНИЯ до тех пор, пока соблюдаются следующие условия.

Авторское право остается принадлежащим Eric Young, и когда уведомления об Авторском праве присутствуют в тексте программы, они не должны из нее удаляться. Если этот код используется в каком-либо продукте, на Eric Young должны даваться ссылки как на автора используемых частей продукта. Такие ссылки могут быть сделаны в виде текстового сообщения при запуске программы или содержаться в документации (в режиме online или в текстовой форме), сопровождающей пакеты.

Дальнейшее распространение и использование в исходной или двоичной формах, с модификацией или без нее, разрешено при выполнении следующих условий:

При дальнейшем распространении исходных кодов должно сохраняться уведомление об авторском праве, этот список условий и приведенный ниже отказ от права

При дальнейшем распространении двоичных кодов должно сохраняться уведомление об авторском праве, этот список условий и приведенный ниже отказ от права.

Все рекламные материалы, упоминающие характеристики или использование этого программного средства, должны воспроизводить следующее официальное заявление:

Этот продукт включает программное средство, разработанное Eric Young

Это программное средство предоставлено его разработчиком ERIC YOUNG "КАК ЕСТЬ", при этом не признаются никакие явные или подразумеваемые гарантии, включая, но не ограничиваясь этим, подразумеваемые гарантии пригодности для торговли и соответствия цели. Ни при каких обстоятельствах. Автор или его сотрудники и спонсоры не должны нести ответственности за любые прямые, непрямые, предвидимые, фактические, примерные или косвенные убытки (включая, но не ограничиваясь этим, снабжение заменами товаров или услуг; потери от использования, данных или прибылей; или прерывание деловых отношений), чем бы они ни были вызваны и на чем бы обязательства ни основывались, на контрактах, на строгой ответственности, или на гражданско-правовом деликте (включая небрежность или какое-либо иное действие), возникающие каким- то образом вне сферы использования этого программного средства, и даже при заблаговременном уведомлении о возможности таких убытков.

Лицензию и условия распространения для любой общедоступной версии или производной от данного кода нельзя изменять, т.е. этот код нельзя просто копировать или размещать согласно другой лицензии по распространению [включая GNU Public License].



Динамические файлы


/etc/firewall/run/fwauthd.pid - PID (идентификатор процесса) сервера аутентификацииr

/etc/firewall/run/fwhttppd.pid - PID для HTTP proxy

/etc/firewall/run/fwsrvlog.pid - - PID сервера регистрации



Для чего нужна реакция системы?


Смысл реакции системы заключается в том чтобы обеспечить более тесное взаимодействие между межсетевым экраном и администратором. Ее использование, например, делает возможным выполнение программы, которая вызывает администратора, когда межсетевой экран обнаруживает начавшуюся атаку. Это позволяет администратору немедленно предпринять эффективные действия, даже если он в тот момент не наблюдает за работой межсетевого экрана.



Добавление и удаление объектов и сервисов


Каждое из полей объектов источника, назначения и сервисов состоит из двух списков. Левый список содержит все объекты системы, которые можно добавить в выделенное поле. Правый список содержит все объекты, которые уже добавлены в поле.

Чтобы добавить объект в одно из этих полей, нужно сделать следующее:

Выделить включаемый объект в левом списке.

Нажать на направленной вправо стрелке сбоку от требуемого списка (только что включенный объект будет помечен красной меткой V, указывающей на то, что он добавлен в поле).

Чтобы удалить объект из одного из этих полей, нужно выполнить следующее:

Выделить удаляемый объектов правом списке.

Нажать на значок X сбоку от требуемого списка (контрольная метка V

будет удалена от объекта, чтобы показать, что он больше не принадлежит выделенному полю).



Движение пакетов в межсетевом экране Aker


В предыдущих главах этого руководства были разобраны по отдельности три главных модуля межсетевого экрана Aker со всеми деталями, относящимися к их настройке. Теперь будет показано, как пакеты проходят через эти модули и каким изменениям они могут подвергнуться в каждом из них.

По сути дела, существуют два различных потока: один для пакетов, которые генерируются во внутренней сети и имеют в качестве пункта назначения внешний хост (выходящий поток), и другой, для пакетов, которые генерируются во внешней сети и имеют в качестве пункта назначения хост внутренней сети (входящий поток).



Файлы статистики и событий


/var/log/eventos-30.fw - Файл регистрации событий

/var/log/log-30.fw - Файл регистрации статистики



Формат и значения полей сообщений о событиях


Ниже описан формат сообщений и приводится описание их полей. Полный список всех возможных сообщений и их значений содержится в Приложении А.

Формат записи:

<Date> <Time> <Message> [(Complement)]


[<Additional Data>]

Описание полей:

Date: Дата генерации записи.
Time: Время генерации записи.
Message: Текстовое сообщения, описывающее событие
(Complement): Это поле вносит некоторую дополнительную информацию и может присутствовать или нет, что зависит от характера сообщения. Если оно присутствует, то указывается в скобках.
Additional data: Информация в этом поле связана с сообщениями от proxy серверов. Она всегда появляются в строке под соответствующим сообщением. Она содержит адрес источника соединения и, в случае прозрачного proxy сервера, адрес назначения.

Примеры:

02/26/1998 13:27:11 Aker Firewall v3.0 - Initialization complete 02/26/1998 13:30:32 Telnet session established (user)                     Source: 10.2.1.12 - Destination: 192.168.0.3 02/26/1998 12:48:23 Administrative session confirmation error (administrator) 02/26/1998 12:48:23 Administrative connection request (10.4.1.14)



Формат и значения полей записей в файле статистики


Ниже дано описание формата каждой записи, сопровождаемое описанием каждого поля. Формат записей одинаков как для графического интерфейса, так и для интерфейса командной строки.



Инсталляция агента аутентификации в Unix


Для установки агента аутентификации необходимо смонтировать диск с Aker Firewall 3.0 на хосте, в котором должен быть инсталлирован агент, или скопировать содержимое каталога с записанным там агентом из CD в какой-либо временный каталог на этом хосте (это можно сделать с помощью FTP или NFS, если в данном хосте нет CD-ROM дисковода ).

После монтирования CD или копирования файла в любой каталог, необходимо перенести бинарные коды агента в выбранный каталог на хосте назначения. Для этой цели рекомендуется использовать каталог /usr/local/bin, но можно выбрать и любой другой. Для копирования агента запустите следующую команду:

#cp /installation_directory/agent/plataform/fwagaut /directory

Где installation directory означает каталог, в котором содержатся файл дистрибутива, platform означает выбранную вами платформу, и directory - каталог назначения. Например, для установки агента в каталог /usr/local/bin, на платформе FreeBSD и с CD, смонтированным в каталог /cdrom, следует ввести с клавиатуры команду:
cp /cdrom/agent/FreeBSD/fwagaut/usr/local/bin.



Инсталляция межсетевого экрана


Вы можете приобрести межсетевой экран Aker вместе с компьютером. При этом инсталляция на компьютер межсетевого экрана будет произведена бесплатно. Если вы решите купить только программный продукт, его необходимо инсталлировать на выбранном Вами хосте.

Для инсталляции Aker сначала необходимо установить операционную систему FreeBSD. Ее инсталляция проста, тем не менее мы рекомендуем подыскать специалиста, умеющего обращаться с Unix. Основные процедуры по инсталляции FreeBSD описаны и поставляются в комплекте с межсетевым экраном Aker. При возникновении каких-либо проблем советуем Вам для получения дополнительной информации обращаться по упомянутым в предыдущем параграфе адресам.

После установки FreeBSD можно приступать к инсталляции межсетевого экрана Aker. Для этого необходимо смонтировать CD-ROM с дистрибутивом Aker или перенести содержимое из инсталляционного каталога CD в любой временный каталог в хосте, где Вы хотите установить продукт (его можно перенести по FTP или NFS с другого хоста, где имеется CD устройство).

После монтирования CD или копирования файлов в какой-либо каталог необходимо выполнить следующую команду:

#/installation_directory/aker/fwinst

где installation_directory - это каталог, в котором хранятся инсталляционные файлы; например, если CD был смонтирован в каталог /cdrom,

то необходимо набрать команду:

#/cdrom/aker/fwinst

! Cимвол # означает подсказку оболочки shell при выполнении команды привилегированным пользователем "root"; этот символ не должен вводиться с клавиатуры как часть команды.

Программа fwinst предназначена для инсталляции и настройки системы для работы на ней межсетевого экрана Aker.

! Удаленный интерфейс для платформ Windows 95 и Windows NT нельзя установить с помощью этой программы. В следующем параграфе даны объяснения по установке удаленного интерфейса для этих платформ

Для дальнейшей инсталляции программы необходимо знание лицензионного ключа. Для того, чтобы продолжить инсталляцию, необходимо принять положения и условия, указанные в лицензии.

Инсталляция межсетевого экрана AKER


В этой главе описывается последовательность действий, необходимых для инсталляции Aker.


Если Вы согласны с условиями, программа, выведет на экран следующий текст:

Aker Firewall v3.00 - Installation Program

This program installs 2 distinct components, that can be installed separately:

1 - Aker Firewall 3.0 and the command line interface

2 - On-line html documentation

In case you want to proceed, you will be asked which components should

be installed in this host.

Do you want to install any of the above components (Y/N) ?

Чтобы продолжить инсталляцию, введите с клавиатуры "Y", а затем "Enter". После этого на экране программа "попросит" подтвердить инсталляцию каждого компонента в отдельности. Если вы для данного компонента отвечаете "Y", то он будет установлен. После этого на экран будет выведена следующая надпись:  Aker Firewall V3.00 - Installation Program

For each of the listed components, type 'Y' to install it or 'N' to skip

its installation:

Aker Firewall and the command line interface ? y

On-line html documentation ? y

The selected components will be installed. Do you want to proceed (Y/N) ?

Если вы ответите "Y" на последний вопрос, программа продолжит инсталляцию выбранных компонентов, за ходом которой Вы сможете следить при помощи легко понятных сообщений.

! Если вы выбрали для инсталляции межсетевой экран и интерфейс командной строки, то сначала надо создать конфигурационный файл ядра FreeBSD под названием FIREWALL, который должен размещаться в каталоге /usr/src/sys/i386/conf. Этот файл необходимо настроить для компьютера, на котором будет инсталлирован межсетевой экран, и он будет использован для компиляции нового ядра с модулями межсетевого экрана Аker.

! Если вы выбрали для инсталляции межсетевой экран, то необходимо упомянуть, что инсталляционная программа изменяет файл /etc/rc. Если в этом файле были какие-либо изменения, нужно снова внести их после инсталляции.

Если вы решили установить межсетевой экран Aker (а не только документацию в режиме on-line), то после окончания копирования файлов инсталляционная программа запросит у Вас информацию, необходимую для настройки системно-зависимых параметров.


В первую очередь ключ активации. Ни один из модулей не будет работать без него.

На экран будет выведен следующий текст:

Aker Firewall v3.00 - Installation Program

System configuration completed. It's now necessary to activate the

installed copy by typing the activation key that came with the

product.

The activation key, the company name and the IP address of the

external

interface must be typed exactly as they appear in the document provided

by the Aker Consultancy and Informatics or its authorized dealer.

Press enter to continue

После ввода с клавиатуры клавиши "Еnter" на экране появится приглашение ко вводу информации, содержащейся в документе, выданном Aker Consultancy and Inrormatique или их уполномоченным торговым представителем. Все значения должны быть введены точно так, как они указаны в документе.

! Ключ должен вводиться с клавиатуры с дефиса "-", как показано в оригинальном документе. В названии компании заглавные и строчные буквы считаются различными и должны вводиться точно в соответствии с документом.

Ниже приведен пример ввода этой информации:

Aker Firewall version 3.0

Activation key configuration module

Company name: Aker Consultancy and Informatics

External interface IP address: 10.0.0.1

Activation key: 2DBDC612-FA4519AA-BBCD0FF1-129768D3

Если ключ введен правильно, инсталляция будет продолжена. В случае ошибки программа предложит повторить ввод.

! Вводимый с клавиатуры IP-адрес должен быть предварительно присвоен сетевому интерфейсу, в противном случае инсталляция не будет продолжена.

Далее программа инсталляции будет осуществлять поиск конфигурационных файлов версии 2.0 межсетевого экрана Aker. Если какой-либо из этих файлов будет найден, на экране появится следующая надпись:

Aker Firewall v3.00 - Installation Program

The presence of configuration files of the version 2.0 of the Aker Firewall

was detected.

The version 3.0 of Aker Firewall uses a new format for the configuration

files, however, it's possible to convert the old files to the new format,




keeping all the existent configuration unchanged.

If the conversion is not performed, the Firewall will be installed with

the default factory configuration and no information from the version 2.0

will be used.

Do you want to update the version 2.0 configuration files (Y/N) ?

Если Вы не хотите провести совершенно новую инсталляцию без использования конфигурации из версии 2.0, Вы должны ответить "Y"

В случае положительного ответа программа шаг за шагом будет показывать процесс обновления файлов. В конце будет выведено сообщение об успешной трансляции и информация, что конфигурационные файлы перемещены в каталог /etc/firewall/aker2.0. Потом без всякого ущерба для функционирования версии 3.0 этот каталог можно будет удалить

По окончании обновления на экране появится следующее сообщение:

Aker Firewall V3.00 - Installation Program

System activation completed. Now let's configure some Aker Firewall

parameters.

I can automatically create an administrator capable of managing remotely

the firewall. This administrator will have full administrative rights and

new users can be registered by him later.

If you don't create an administrator, you won't be able to manage the

firewall using the remote graphic user interface. The only way to manage

it will be through the command line interface.

Do you want to create the administrator (Y/N) ?

Для управления межсетевым экраном из GUI, необходимо зарегистрировать менеджера системы удаленного администрирования.

Вы должны ответить на вопрос о регистрации менеджера - "Y", кроме тех случаев, когда вы не хотите пользоваться графическим интерфейсом или проводите апгрейд уже существующей версии (в которой существовали зарегистрированные менеджеры).

В дальнейшем с использованием локального интерфейса можно регистрировать и других менеджеров. Более подробно это описано в главе 3-0 Управление пользователями межсетевого экрана.

Если Вы решите добавить нового администратора, будут выведены следующие сообщения  ( пароль администратора не высвечивается:



Aker Firewall version 3.0

Remote users administration module

User creation

Enter the login         : administrator

Enter the complete name : Aker Firewall administrator

Enter the password      :

Confirm the password    :

Create user ? (Y/N)

После регистрации программа инсталляции выведет на экран:

Aker Firewall v3.00 - Installation Program

I can automatically create a filtering rule to allow the firewall to be

managed immediately from another host.

If this rule is not created, it will only be possible to manage the

firewall, during its initial operation from the command line interface.

Do you want to create this rule (Y/N) ?

Если Вы хотите использовать GUI, необходимо добавить правило,  разрешающее управление доступом с другого хоста, на котором используется удаленный интерфейс. После того, как это сделано, все конфигурирование межсетевого экрана можно осуществлять с этого хоста.

Если Вы не добавили это правило, управление будет возможно только с помощью интерфейса командной строки с самого межсетевого экрана.

Если инсталляция является обновлением версии, где уже были установлены правила, разрешающие дистанционное управление с одного или нескольких хостов, вы можете ответить нет на этот вопрос (если вы уже ответили "да" на обновление старых конфигурационных файлов).

Если вы ответите Yes ('Y'), программа инсталляции запросит IP-адрес хоста, с которого можно будет соединяться с межсетевым экраном. Этот хост будет единственным, с которого это будет разрешено.

После этого программа инсталляции выведет сообщение об успешном окончании процесса установки , а также информацию, что она приступает к компиляции нового ядра в соответствии с файлом /usr/src/sys/i386/conf/FIREWALL.

Aker Firewall v3.00 - Installation Program

I will now compile a new kernel to install Aker Firewall on this

host. This compilation takes between 5 and 40 minutes, depending on

your configuration and the speed of this machine.

Press enter to continue

Если теперь вы нажмете "Enter", программа начнет компиляцию нового ядра. После завершения компиляции и инсталляции нового ядра программа попросит выполнить рестарт (перезапуск) машины для старта межсетевого экрана Aker. Когда вы вновь запустите компьютер, межсетевой экран автоматически начнет свою работу.


Инсталляция удаленного интерфейса на платформах Windows или NT


Для того, чтобы установить удаленный интерфейс на платформах Windows 95 или NT,  вы должны вставить CD в дисковод и выполнить следующие действия:

Выберите меню Start

Выберите опцию Run

На вопрос, какую программу выполнять, введите с клавиатуры D:\win95\install. (Если к  CD-ROM устройству доступ осуществляется не через D, а через другую букву, замените на эту  букву эквивалент в предыдущей команде).

После этого Вы увидите экран с приглашением к инсталляции удаленного интерфейса. Для продолжения инсталляции выполните инструкции на экране.

Когда инсталляция закончится, будет создана группа Aker Firewall в меню Start . Выберите опцию Aker Firewall 3.0 в этой группе для запуска удаленного интерфейса.

Назад | Содержание | Вперед



Интеграция фильтра и механизма трансляции сетевых адресов


При настройке правил фильтрации для хостов, адреса которых преобразуются в соответствии с настройками NAT, могут возникнуть сомнения по поводу того, реальные или виртуальные адреса хостов следует использовать?

На этот вопрос можно легко ответить, если проанализировать движение пакетов:

При движении из внутренней области во внешнюю пакеты сначала проходят через фильтр, а затем только преобразуются их адреса (если нужно); это означает, что фильтр получает реальные адреса хостов.

При движении из внешней области во внутреннюю пакеты сначала проходят через транслятор сетевых адресов, который преобразует адреса назначения из виртуальных IP адресов в реальные. После этого пакеты передаются пакетному фильтру; это значит, что пакетный фильтр снова получает пакеты с реальными адресами.

В обоих случаях фильтр не подозревает о существовании виртуальных адресов; отсюда вытекает следующее утверждение:

! Создавая правила фильтрации, не нужно обращать внимание на преобразование сетевых адресов. Правила должны описываться так, как если бы хосты источника и назначения прямо связывались между собой, не используя преобразования сетевых адресов.



Интеграция фильтра с трансляцией сетевых адресов и с криптографией


В предыдущем разделе мы показали, как настраивать правила фильтрации, если задействован механизм трансляции адресов. Вывод состоял в том, что вам надо работать только с реальными адресами, пренебрегая преобразованием адресов. Теперь возникает еще один вопрос: при настройке защищенных каналов для хостов, адреса которых преобразуются, должны использоваться их реальные или виртуальные адреса?

Чтобы ответить на этот вопрос, снова проанализируем движение пакета:

При движении из внутренней области во внешнюю пакеты сначала проходят через фильтр, затем подвергаются преобразованию адресов (при необходимости), и, наконец, попадают в   криптографический модуль. Поэтому последний получает пакеты с виртуальными адресами.

При движении из внешней области во внутреннюю пакеты сначала расшифровываются (при необходимости). Затем они проходят через модуль трансляции адресов, который преобразует виртуальные адреса в реальные, и, наконец, попадают в пакетный фильтр. Криптографический модуль получает пакеты перед преобразованием их адресов и, следовательно, имеет дело с виртуальными адресами.

В обоих случаях криптографический модуль получает пакеты, как будто они первоначально имели виртуальные адреса и для источника, и для назначения. Это приводит к следующему утверждению:

! При создании защищенных каналов вы должны учитывать трансляцию сетевых адресов. Для адресов источника и назначения должны устанавливаться их виртуальные IP адреса.

Назад | Содержание | Вперед



Интеграция модулей межсетевого экрана


В этой главе показано, как взаимодействуют между собой три главных модуля межсетевого экрана Aker: пакетный фильтр, транслятор сетевых адресов и   модуль криптографии и аутентификации. Показано также, как происходит движение пакетов от момента их получения межсетевым экраном до момента решения основного вопроса об их приеме или отказе в приеме.



Интерфейс командной строки или графический пользовательский интерфейс


Межсетевой экран Aker обеспечивает два различных интерфейса для своей настройки: удаленный графический интерфейс (GUI) и локальный интерфейс командной строки.

Графический интерфейс

Графический пользовательский интерфейс называется удаленным, поскольку межсетевым экраном Aker можно управлять дистанционно, через Интернет, из любого места в мире. Администрирование осуществляется по защищенному каналу между рабочим местом администратора и межсетевым экраном с использованием строгой аутентификации и защиты трафика.

Графический интерфейс можно использовать на рабочих станциях под управлением Windows 95TM и Windows NTTM.

Интерфейс командной строки

Интерфейс командной строки полностью ориентирован на ввод команд на хосте, на котором инсталлирован межсетевой экран. Его основное назначение состоит в переводе в автоматический режим работы задач, выполняемых Aker (с помощью создания сценариев).

Почти все изменяемые с помощью графического интерфейса параметры можно настроить из командной строки. Единственным исключением из этого правила является настройка proxy серверов, которую нельзя выполнить с помощью командного интерфейса.

Поскольку через оба интерфейса работа ведется с одними и теми же переменными, их функциональные возможности, значения, одинаковы как для графического, так и для интерфейса командной строки. Поэтому в разделах, посвященных описанию интерфейса командной строки, материал представлен более кратко, чем в разделах, посвященных графическому интерфейсу.

! Одновременное использование нескольких графических интерфейсов или интерфейса командной строки и удаленного интерфейса на одном компьютере невозможно.



Исходные тексты FreeBSD


Copyright © 1982, 1986, 1993
The Regents of the University of California. All rights reserved.

Дальнейшее распространение и использование в исходной или двоичной формах, с модификацией или без нее, разрешено при выполнении следующих условий:

При дальнейшем распространении исходных кодов должно сохраняться уведомление об авторском праве, этот список условий и приведенный ниже отказ от права

При дальнейшем распространении двоичных кодов должно сохраняться уведомление об авторском праве, этот список условий и приведенный ниже отказ от права.

Все рекламные материалы, упоминающие характеристики или использование этого программного средства, должны воспроизводить следующее официальное заявление:


Этот продукт включает программное средство, разработанное Университетом Калифорнии, Беркли, и его сотрудниками и спонсорами. Ни имя университета, ни имена его сотрудников и спонсоров не могут использоваться подтверждения или для продвижения продуктов, производных от данного программного средства без предварительного особого письменного разрешения

Это программное средство представлено членами правления и спонсорами и сотрудниками "КАК ЕСТЬ", и не признаются никакие явные или подразумеваемые гарантии, включая, но не ограничиваясь этим, подразумеваемые гарантии пригодности для торговли и соответствия цели. Ни при каких обстоятельствах члены правления, сотрудники и спонсоры не должны нести ответственность за прямые, непрямые, предвидимые, фактические, примерные или косвенные убытки (включая, но не ограничиваясь этим, снабжение заменами товаров или услуг; потери от использования, данных или прибылей; или прерывание деловых отношений), чем бы они ни были вызваны и на чем бы ни основывалась ответственность, будь то в контракте, строгом обязательстве или в гражданско-правовом деликте (включая небрежность или какое-либо иное действие), возникающие каким-нибудь образом вне сферы использования данного программного средства, и даже при заблаговременном предупреждении о возможности таких убытков.



Использование графического интерфейса


Для доступа к окну управления пользователями через удаленный интерфейс необходимо:

Выбрать опцию Session в главном меню

Выбрать опцию Users Management

! Эта опция становится доступной только тогда, когда пользователь, открывающий сеанс в удаленном интерфейсе, авторизован для управления пользователями. Детально этот вопрос будет рассмотрен в следующем параграфе.

Экран управления пользователями:

Этот экран содержит список всех зарегистрированных пользователей. По каждому пользователю показываются учетное и полное имена. Полное число пользователей приводится в нижней части экрана

Кнопка OK закрывает окно управления пользователями и сохраняет все изменения

Кнопка Apply сохраняет все модификации и оставляет окно открытым.

Кнопка Cancel закрывает окно и отбрасывает все сделанные изменения

Кнопка Help выводит экран помощи по данному разделу.

При выборе пользователя его параметры показываются в соответствующих полях.

Для изменения параметров пользователей выполните следующее:

Выделите пользователя, атрибуты которого вы хотите изменить, нажав левой клавишей мыши на его имени. Его атрибуты будут показаны в полях после списка пользователей.

Измените параметры и нажмите кнопки Apply или OK

Чтобы включить пользователя в список, сделайте следующее:

Нажмите правой клавишей мыши где-нибудь в зарезервированной области, чтобы показался список, и выберите пункт Add всплывающего меню или нажмите кнопку добавления пользователей в инструментальном меню.

Заполните поля параметров пользователя и нажмите кнопку Apply или OK.

Чтобы удалить пользователя из списка, проделайте следующие действия:

Выделите пользователя, которого хотите удалить, нажав на его имени левой клавишей мыши, затем нажмите на кнопку удаление в инструментальном меню


или Нажмите на имени пользователя, которого хотите удалить, правой клавишей мыши, затем выделите опцию Remove в всплывающем меню.

Значение атрибутов пользователя

Login

Это регистрационное имя пользователя межсетевого экрана.
Это имя должно быть уникальным. Регистрационное имя запрашивается менеджером межсетевого экрана, когда он устанавливает сеанс удаленного управления.

Регистрационное имя должно иметь длину от 1 до 14 символов без различия между заглавными и строчными буквами.

Name

В этом поле описывается полное имя пользователя. Этот параметр чисто информативный и не используется для каких-либо проверок.

Это поле должно быть строкой длиной от 0 до 40 символов.

Password/New Password

Это поле будет называться Password, если у добавляемого пользователя еще нет пароля и New Password, если пароль пользователя уже был определен ранее. При вводе пароля вместо  символов на экране будут отображаться звездочки "*".

Это поле используется совместно с полем регистрационного имени для идентификации пользователя межсетевого экрана Aker.

Пароль должен иметь длину от 6 до 14 символов; заглавные и строчные буквы различаются.

! Исключительно важно, чтобы используемые пароли имели большую длину, близкую насколько возможно к пределу в 14 печатных символов. Кроме того, вы всегда должны использовать в паролях комбинации строчных и заглавных букв, чисел и других специальных печатных символов (специальными печатными символами являются символы, которые находятся на компьютерной клавиатуре и не являются ни числами, ни буквами: "$", "&", "]" и т.д.). Никогда не используйте в качестве паролей слов какого-либо языка или только числа.

Confirmation

Это поле служит для подтверждения введенного в предыдущем поле пароля.

Permissions

Это поле определяет права пользователя на межсетевом экране Aker. Поле состоит из трех опций, которые можно устанавливать независимо.

Наличие таких полномочий позволяет создать децентрализованное управление межсетевым экраном. Например, в компании с большим числом отделений и межсетевых экранов децентрализованное управление позволяет администратору отделения отвечать за конфигурацию межсетевого экрана, а администратор безопасности компании был бы единственной персоной, имеющей право стирать и менять статистику сообщений и событий межсетевых экранов.


Таким образом, хотя каждое отделение и имеет свое автономное управление, возможен централизованный контроль за изменениями всех конфигураций, а также временем их проведения.

! Если у пользователя нет никаких полномочий, он сможет только просматривать конфигурацию межсетевого экрана и уплотнять файлы статистики и событий.

Configure the Firewall

При наличии этого права пользователь будет иметь возможность управлять межсетевым экраном; это означает, что он сможет менять конфигурацию объектов, правила фильтрации, трансляцию сетевых адресов, криптографию, настройки proxy и параметры конфигурации, не связанные со статистикой.

Configure the Log

Если установлена эта опция, то пользователь будет иметь возможность менять параметры, связанные со статистикой (например, срок жизни файла статистики), конфигурацию (как сообщения, так и параметры) реакции системы, а также удалять файлы статистики и событий.

Manage Users

Наличие этого права дает доступ к меню управления пользователями, которое позволяет добавлять, редактировать и удалять других пользователей.

! Пользователь, обладающий такими правами, может создавать, редактировать или удалять пользователей только с тем же или более низким набором полномочий (например, если пользователь имеет полномочия по управлению пользователями и конфигурированию статистики, тогда он может создавать пользователей, которые или не будут обладать никакими правами, или обладать правом по настройке статистики, или правами по настройке статистики и управлением пользователями). Он не может создавать, редактировать или удалять пользователей, имеющих право конфигурации межсетевого экрана.