Межсетевой экран Aker

Адресация в локальной сети

Независимо от технических возможностей, адреса внутренней сети не следует выбирать случайным образом. Специально для этих целей существуют зарезервированные адреса. Эти адреса не присвоены и никогда не будут присвоены какому-либо хосту, непосредственно соединенному с Интернет.
Зарезерезерированными являются следующие адреса:
От 10.0.0.0 до 10.255.255.255, маска 255.0.0.0 (класс A)
От 172.16.0.0 до 172.31.0.0, маска 255.255.0.0 (класс B)
От 192.168.0.0 до 192.168.255.255, маска 255.255.255.0 (класс C)


Copyright © 1991-2, RSA Data Security, Inc. Created 1991.
All rights reserved.

На копирование и использование данного программного средства предоставляется лицензия , при условии, что оно идентифицируется как "RSA Data Security, Inc. MD5 Message-Digest Algorithm" во всех материалах, содержащих упоминание или ссылки на сам продукт или его функциональные свойства

Лицензия предоставляется также на выполнение и использование производных работ, при условии, что эти работы идентифицированы как "derived from the RSA Data Security, Inc. MD5 Message-Digest Algorithm" во всех материалах, содержащих упоминание или ссылки на производную работу.

RSA Data Security, Inc. не делает никаких заявлений, касающихся либо годности для торговли, либо соответствия цели данного программного средства. Оно выпускается "как есть" без явных или подразумеваемых гарантий какого-либо вида.

Эти уведомления должны сохраняться в любых копиях любых частей данной документации и/или программного средства

Алгоритмы обмена ключами

Одной из серьезных проблем при образовании защищенного канала является определение ключей аутентификации и шифрования и выполнение периодических замен этих ключей.
Чтобы снизить риск взлома ключей злоумышленником и уменьшить нанесенный ущерб в случае взлома одного из них, важно проводить периодические замены ключей; предположим, что спустя шесть месяцев после установки ключей злоумышленнику удалось взломать ключи алгоритма шифрования (выбранная ситуация гипотетическая и ничего общего не имеет с реальной ). Если компания продолжает пользоваться теми же ключами, скажем, в течение года, то злоумышленник может расшифровать весь трафик компании за последние 6 месяцев. С другой стороны, если ключи менять ежедневно, тот же нарушитель, расшифровав после шестимесячной работы по взлому трафик первого дня, будет вынужден еще поработать шесть месяцев над расшифровкой трафика второго дня и т.д. Межсетевой экран Aker предоставляет два способа обмена ключами: ручной обмен и с помощью SKIP:

Ручной обмен ключами
В этом случае все настройки ключевой информации производятся вручную. При этом если производится замена ключей, обе стороны, между которыми образован защищенный канал, должны быть одновременно переконфигурированы

Замена ключей с помощью SKIP
SKIP - это сокращение от Simple Key Management for IP. По существу, он является алгоритмом , позволяющим выполнять замену ключей в автоматическом режиме с чрезвычайно высокой частотой, практически полностью исключающей их взлом. Функционирование SKIP оказывается сложной процедурой, и мы не будем вдаваться в ее детали. Сфокусируем внимание на описании самого процесса.
В основном SKIP работает с тремя различными уровнями ключей:

Общий секрет для всех взаимодействующих хостов

Мастер ключ, который вычисляется заново каждый час на основе секрета.

Случайный ключ, который можно вычислить заново в случае необходимости

Опишем сценарий в общих чертах: для установления связи генерируется случайный ключ и он используется для шифрования и аутентификации посылаемых данных. Затем этот ключ шифруется на мастер ключе и отсылается вместе с зашифрованными данными. Когда принимающая сторона получает пакет, она расшифровывает ключ с помощью мастер ключа и использует его для расшифровки остального пакета.
Поскольку алгоритмы, используемые для аутентификации, шифрования пакета и ключа определяются отправителем и передаются как часть протокола, получателю нет нужды настраивать эти параметры в приемнике.
Основным преимуществом SKIP является возможность использования одного и того же секрета годами, не боясь его взлома нарушителем (поскольку замена ключа производится с интервалом от нескольких секунд до максимального значения в один час, в зависимости от трафика между взаимодействующими сетями).
Настоятельно рекомендуется пользоваться этой опцией при конфигурировании защищенных каналов.

Аутентификация пользователей

Я правильно настроил агента аутентификации в моем Windows NT, тем не менее ни один пользователь не смог пройти аутентификацию. Каждый из них получил сообщение о неверном пароле. Что я должен делать?
Проверьте, имеют ли эти пользователи право Log on Locally на хосте с запущенным агентом. Для получения таких прав необходимо выполнить следующие шаги:

Запустите User Manager for Domains. В нем выберите меню Policies и опцию User Rights.

Выберите опцию Log on locally и установите ее для всех необходимых пользователей и групп. Чтобы упростить задачу, можно использовать группу Everyone.

Я пользуюсь агентом аутентификации для Windows NT, и заметил, что тогда как многие пользователи аутентифицируются правильно, некоторые не могут этого сделать, всегда получая сообщения о неверном пароле. В чем может быть ошибка?
Проверьте, установлена ли у пользователей, у которых возникли проблемы с аутентификацией, опция User must change password on next logon. Если она установлена, уберите ее, и тогда пользователи будут снова нормально проходить аутентификацию.
Для проверки запустите User manager for domains и нажмите дважды на имени необходимого пользователя. Эта опция указана на дисплее под полями описания пользователя.
Назад | Содержание | Вперед

Аутентификаторы межсетевого экрана Aker

Аутентификацию пользователя в межсетевом экране Aker поддерживают WWW и Telnet proxy, что означает, что их можно настроить так, чтобы установление соединений пользователям разрешалось бы только при условии, что пользователь идентифицирует себя для межсетевого экрана при помощи имени и пароля.
При такой процедуре аутентификации межсетевому экрану необходимо проверять правильность имен и паролей. Для одних программ требуется регистрация всех пользователей в базе данных межсетевого экрана, для других нужно, чтобы пользователи были зарегистрированными пользователями на хосте, на котором запускается межсетевой экран. Оба способа не позволяют использовать базу данных пользователей, как правило присутствующую в локальной сети.
В межсетевом экране Aker выбрано наиболее универсальное и простое решение: вместо регистрации пользователей непосредственно в межсетевом экране, их подлинность проверяется на серверах локальных сетей, либо под управлением Unix, либо Windows NT.
Для того что бы межсетевой экран знал, где находится информация, необходимая для аутентификации пользователей, и имел возможность обеспечить защищенную связь с этими хостами, была создана концепция аутентификаторов. Аутентификаторами являются хосты под управлением Unix или Windows NT, на которых запускается агент аутентификации. Эта программа распространяется в комплекте с межсетевым экраном Aker, и ее основное назначение - обеспечить взаимодействие между межсетевым экраном и удаленной базой данных.
Для использования межсетевым экраном Aker базы данных на удаленном сервере вы должны выполнить следующие действия:

Установить и настроить агента аутентификации на хосте, где находится пользовательская база данных (эта процедура будет описана в разделах Инсталляция агента аутентификации в Unix и Инсталляция агента аутентификации в Windows NT).

Зарегистрировать объект типа аутентификатор с адресом хоста, на котором установлен агент, и с правильным паролем доступа (информация о регистрации объектов изложена в главе Регистрация объектов ).

Указать межсетевому экрану, что он должен использовать аутентификатор, зарегистрированный на 2 этапе, для проведения аутентификации пользователя (эта процедура будет описана в главе Настройка параметров аутентификации).

Авторские права по системам

Copyright (c) 1997, 1998 Aker Concultancy and Informatique LTD.
Продукт использует DES и 3DES алгоритмы, взятые из SSL библиотеки, составленной Eric Young (eay@mincon.oz.au). Copyright (c) 1995 Eric Young.
Продукт использует MD5 алгоритм, описанный в RFC 1321. Copyright (c) 1991-2 RSA Data Security, Inc
Продукт включает программное обеспечение, разработанное сотрудниками университетов California, Berkeley.
Продукт использует CMU SNMP библиотеку. Copyright 1997 Carnegie Mellon Univercity.
Содержание | Вперед

Что представляет фильтр с контролем состояния межсетевого экрана Aker?

Действия традиционного пакетного фильтра основаны исключительно на наборе правил, описанных администратором. Для каждого пакета, который может проходить через фильтр, администратор должен создать необходимое правило. В некоторых случаях это достаточно просто, однако иногда такая процедура невозможна, или по крайней мере невозможна без соблюдения необходимого уровня безопасности и гибкости.
Пакетный фильтр межсетевого экрана Aker называется фильтром с контролем состояния, так как он сохраняет информацию о состоянии по каждому проходящему через него соединению, и использует всю эту информацию совместно с набором правил при решении вопроса о том, пропустить или отбросить конкретный пакет. Кроме того, в отличие от пакетного фильтра, который принимает решения, основываясь только на данных в заголовке пакета, фильтр с контролем состояния проверяет данные всех уровней и использует их при принятии решений.
Рассмотрим подробнее, как фильтр с контролем состояния решает различные проблемы, которые возникают при использовании обычного пакетного фильтра.
Проблема с UDP протоколом:
Для того, чтобы использовать UDP сервис, клиент выбирает номер порта (который меняется каждый раз при использовании сервиса) и посылает пакет на порт сервера, соответствующий данному сервису (порт на сервере фиксирован). Получив запрос, сервер посылает в ответ один или более пакетов на порт клиента. Для образования соединения необходимо, чтобы межсетевой экран принимал пакеты запросов и ответов. Проблема заключается в том, что UDP протокол не является протоколом, ориентированным на соединение, т.е. если рассматривается отдельный изолированный пакет вне контекста, то невозможно узнать, является ли он запросом или ответом некоторого сервиса.
В обычных пакетных фильтрах администратор может либо блокировать весь UDP трафик, либо позволить пройти пакетам ко всем возможным портам, так как он не знает заранее, какой порт будет выбран клиентом для доступа к определенному сервису. Оба эти подхода обладают очевидными недостатками.

Межсетевой экран Aker способен динамически адаптироваться к трафику при решении вышеупомянутых проблем: каждый раз, когда UDP пакет соответствует какому-либо правилу, во внутреннюю таблицу состояний добавляется элемент. Это позволяет пропускать к клиенту обратные пакеты от сервера.

Этот элемент является активным в течение короткого промежутка времени, по истечении которого он удаляется (этот временной интервал устанавливается через окно параметров настройки, которое рассматривается в главе Настройка параметров системы). В результате администратору не приходится заботиться об ответных UDP пакетах; для разрешения доступа к сервисам необходим о только настроить правила для данного сервиса. Это легко сделать, так как все сервисы имеют фиксированные порты.

Проблема с FTP протоколом:

FTP является одним из самых популярных протоколов в Интернет, однако, он же является и одним из наиболее сложных протоколов для межсетевых экранов. Рассмотрим более подробно его функциональные свойства:

Для получения доступа к FTP сервису клиент открывает TCP соединение с 21 портом на сервере (порт клиента может быть различным). Такое соединение называется контрольным каналом. После этого при любой перекачке файла или просмотре каталога устанавливается новое соединение - образуется канал передачи данных. Последний можно установить двумя способами:

соединение может устанавливаться сервером ( 20 порт ) и клиентом (случайно выбранный порт). О номере порта клиент сообщает серверу через контрольный канал; такой способ называется активным FTP

клиент может открыть соединение между случайно выбранными портами ( у клиента и сервера); номер последнего передается клиенту через контрольный канал. Такой способ называется пассивным FTP.

В обоих указанных случаях администратор не знает, какие порты будут выбраны для установления канала передачи данных, и если он хочет использовать FTP протокол через традиционный пакетный фильтр, он будет вынужден разрешить доступ ко всем возможным портам, используемым клиентами и серверами.


Этот подход может привести к серьезным проблемам с безопасностью.

Межсетевой экран Aker умеет анализировать трафик по контрольному каналу, т.е. он может понять, какой тип соединения будет использоваться ( активный или пассивный) и какие порты будут использованы для установления канала передачи данных. Благодаря этому свойству, каждый раз, когда пакетный фильтр определяет, что будет иметь место передача данных, он добавляет элемент в таблицу состояний. Этот элемент активен только во время передачи и только при открытом контрольном канале. Таким образом, для настройки доступа по FTP протоколу необходимо лишь добавить правило, разрешающее доступ к 21 порту. Все остальное будет сделано автоматически.

Проблема с Real Audio протоколом:

Протокол Real Audio является наиболее распространенным протоколом для аудио и видео передач через Интернет в режиме реального времени.

Для передачи видео или аудио информации клиент устанавливает TCP соединение с сервером Real Audio. Чтобы улучшить качество аудио и видео передачи, наряду с этим соединением, сервер может открыть UDP соединение с клиентом, с произвольным портом, а клиент в свою очередь может открыть другое UDP соединение с сервером (также с произвольным портом).

Обычные пакетные фильтры не позволяют устанавливать UDP соединения от сервера к клиенту и наоборот, поскольку порты заранее неизвестны, что приводит к понижению качества аудио и видео данных.

Фильтр межсетевого экрана Aker контролирует весь трафик между сервером Real Audio и клиентом, проверяя какие UDP соединения открыты и к каким портам и добавляя эту информацию в таблицу состояний. Этот элемент активен только в период открытого контрольного FTP соединения, что обеспечивает высокий уровень безопасности.

Что представляет из себя SMTP proxy ?

SMTP proxy - это специализированная программа межсетевого экрана Aker, предназначенная для работы с электронной почтой (SMTP - это сокращение от Simple Mail Transfer Protocol, сервиса для передачи электронной почты через Интернет). Она позволяет осуществлять фильтрацию cообщений электронной почты по содержанию или полям заголовка. Помимо этого, оно выступает в качестве барьера, защищающего SMTP сервер от некоторых видов атак.
SMTP proxy относится к категории прозрачных proxy [более подробно об этом описано в разделе Работа с proxy серверами ), и потому ни сервер, ни клиент не знают о их существовании.

Что представляет собой моя внешняя сеть?

Внешние сети состоят из тех хостов, которые не являются частью внутренней сети. Они могут находиться или не находиться под административной ответственностью вашей организации.
Если организация подключена к Интернет, внешней сетью будет весь Интернет.

Что представляет собой моя внутренняя сеть?

Внутренняя сеть состоит из хостов, входящих в состав одной или более подсетей, защищенных межсетевым экраном Aker. Сюда включаются также внутренние сетевые устройства, такие как маршрутизаторы, коммутаторы, серверы, клиенты и т.д. В межсетевом экране Aker внутренняя сеть называется частной сетью
(Private Network).

Что представляют собой объекты и для чего они нужны?

Объекты служат для отображения реальных параметров в межсетевом экране Aker. С их помощью становится возможным представление хостов, сетей, сервисов и т.д.
Основным преимуществом их использования является то, что после их описания в межсетевом экране с ними самими можно обращаться как с параметрами, что значительно облегчает работу по их настройке. Все модификации объектов будут автоматически распространяться на все ссылки в них .
Например, можно определить хост, назвав его WWW Server с IP адресом 10.0.0.1. После этого больше нет необходимости помнить этот IP адрес. Везде где необходимо задействовать этот хост, к нему можно обращаться по имени. Если потом поменять его IP адрес, то необходимо будет лишь изменить описание самого объекта, и система автоматически использует новое определение во всех ссылках на него.

Что такое активные соединения ?

К активным соединениям относятся TCP соединения или UDP сессии, которые в данный момент проходят через межсетевой экран. Они проходят через межсетевой экран либо в соответствии с правилом фильтрации, описанным администратором, либо в соответствии с записью в таблице состояний, автоматически добавленной межсетевым экраном Aker.
По каждому такому соединению межсетевой экран хранит массу информации в своих таблицах . Некоторые из этих информационных фрагментов представляют особую ценность для администратора, их в любой момент можно просмотреть с помощью окна активных соединений. Эта информация содержит точное время установления соединений и период неактивности, т.е. период времени, в течение которого через это соединение не было обмена пакетами.

Что такое аутентификация ?

В аутентификации основными понятиями также являются ключ и математический алгоритм, основанный на хэш-функции. В отличие от криптографии, этот алгоритм используется не для шифрования данных, а для созданию электронной подписи. Подпись формируется таким образом, что вычислить ее, не зная алгоритм и ключ невозможно
Созданная таким образом электронная подпись передается вместе с данными в пункт назначения. Если данные в процессе передачи подверглись изменениям, это сразу же обнаружится: в хосте назначения будет вычислена электронная подпись от полученных данных и после сравнения с полученной подписью подмена будет обнаружена.
Операция по вычислению подписи выполняется очень быстро по сравнению с шифрованием. Тем не менее, она не может защитить данные от чтения. Поэтому ее следует применять, если важна надежность доставки, а не конфиденциальность. Для обеспечения обеих характеристик аутентификация используется совместно с криптографией.

Что такое файл системной статистики?

Файл статистики - это место, в котором межсетевой экран хранит всю информацию о полученных им пакетах. Он включает записи, генерируемые тремя главными модулями: пакетным фильтром, транслятором сетевых адресов, а также модулем шифрования и аутентификации. Характер хранящейся в журнале информации зависит от настроек межсетевого экрана, но главным образом в нем содержится информация о пропущенных и не пропущенных пакетах, ошибках в пакетах, а также информация о трансляции сетевых адресов.
Повидимому, самой ценной является информация об отброшенных и не пропущенных пакетах, так как именно на основании их анализа можно обнаружить попытки вторжения, использование несанкционированных сервисов, ошибки в конфигурациях и т.д.

Что такое фильтр системы сбора статистики?

Даже если система настроена таким образом, чтобы регистрировать всю поступающую информацию, нас обычно интересует только определенная часть этих данных (пусть, например, мы хотим проанализировать попытки использования сервиса POP3 конкретной машиной за несколько дней, причем как успешные, так и неудачные). Фильтр системы сбора статистики - это механизм, поддерживаемый межсетевым экраном Aker, который предназначен для просмотра определенного подмножества зарегистрированных данных и позволяет легко отыскать нужную информацию.
Фильтр разрешает только просматривать информацию, записанной в файле статистики. Если вы хотите получить более специфическую информацию, сначала надо настроить систему для ее регистрации, а затем использовать фильтр для ее просмотра.

Что такое фильтр событий ?

Чаще всего необходимо просмотреть выборку по определенному множеству событий, а не всю собираемую информацию(например, если Вы хотите просмотреть все вчерашние сообщения). Фильтр событий является одним из механизмов межсетевого экрана Aker, позволяющий описать и просмотреть только необходимое Вам подмножество информации.
Фильтр разрешает только просматривать записанную в файле событий информацию. Для получения более специфической информации необходимо сначала настроить систему для ее сбора, а затем использовать фильтр для ее просмотра.

Что такое инструментальные средства графического интерфейса ?

Инструментальные средства - это набор утилит, представленных только в графическом интерфейсе межсетевого экрана Aker. Они используются для упрощения администрирования межсетевым экраном.

Что такое криптография?

Базовыми понятиями в криптографии являются ключ и математический алгоритм. Используя этот алгоритм и ключ, информация модифицируется. Способ, которым это делается, гарантирует возможность обратного преобразования данных к первоначальной форме только при условии, что известны алгоритм и ключ.
Если один из этих компонентов держится в секрете (как правило, ключ), то просмотреть данные постороннему человеку невозможно.

Что такое пакетный фильтр?

Пакетный фильтр является главным модулем системы, который принимает решения, разрешить или запретить конкретному пакету пройти через межсетевой экран. Это означает, что определенный сервис разрешен или запрещен.
Чтобы решать, какие действия следует выполнять для каждого полученного межсетевым экраном пакета, пакетный фильтр использует набор правил, которые описываются системным администратором. Для каждого пакета межсетевой экран просматривает весь набор правил в порядке их создания, проверяя, удовлетворяет ли пакет какому-либо из них. Если соответствующее правило существует, то в соответствии с ним будет выполняться заданное действие. Если данный пакет не удовлетворяет ни одному из правил, то будет выполняться действие по умолчанию.

Что такое параметры аутентификации?

Параметры аутентификации указывают межсетевому экрану, с какими аутентификаторами ему следует связываться и в каком порядке при аутентификации пользователей. Помимо этого, они позволяют контролировать методику обращений к аутентификаторам, обеспечивая определенную степень гибкости процедуры аутентификации.

Что такое proxy сервера?

Proxy сервера - это специальные программы, которые запускаются на межсетевых экранах и используются в качестве связующего звена между внутренней сетью организации и внешними серверами. Механизм их действия прост: они ждут запроса из внутренней сети, передают этот запрос удаленному серверу во внешней сети и посылают ответ обратно внутреннему клиенту.
Чаще всего proxy сервера используются всеми клиентами одной подсети, и благодаря своему стратегическому положению обычно обеспечивают кэширующие функции для некоторых сервисов. Более того, так как proxy сервера работают на уровне конкретного протокола, для каждого сервиса необходимы различные proxy сервера.

Что такое реакция системы?

В межсетевом экране Aker существует механизм , который позволяет формировать автоматические ответы для некоторых ситуаций. Автоматические ответы настраиваются администратором из набора возможных действий, которые будут выполнены для заранее описанных ситуаций.

Что такое системные события ?

Событиями являются сообщения межсетевого экрана более высокого уровня, т.е. не связанные напрямую с пакетами (как в случае статистики). К событиям относятся сообщения, которые генерируются одним из трех главных модулей (пакетным фильтром, транслятором сетевых адресов или модулем шифрования/аутентификации) или каким-либо другим компонентом межсетевого экрана, таким, например, как proxy сервер или каким-нибудь процессом ( при выполнении специфических задач).
При этом генерируются сообщения с различными уровнями важности, начиная от полезной для контроля функционирования системы информации (например, сообщения о рестарте машины или об установлении сеанса администрирования межсетевого экрана), до информации об ошибках в при выполнении или в настройках.

Что такое SYN атака?

SYN атака - это одна из наиболее распространенных атак типа "отказ в обслуживании". Такие атаки имеют своей целью помешать нормальной работе хоста или некоторого сервиса. В случае удачно проведенной SYN атаки можно сделать неработоспособным какой-либо сервис, основанный на TCP протоколе.
Чтобы разобраться в механизме этой атаки, нужно понять принцип работы процесса установления соединения для TCP протокола.
Процесс установления соединения TCP протокола проходит в 3 этапа:

Клиент посылает пакет серверу со специальным флагом, который называется SYN flag. Наличие такого флага показывает, что клиент хочет установить соединение.

Сервер в ответ посылает пакет, содержащий как флаг SYN , так и флаг ACK; это значит, что сервер принял запрос о соединении и ждет от клиента подтверждения для его установления.

Клиент после получения пакета с SYN и ACK флагами посылает в ответ пакет, содержащий только флаг ACK, который указывает серверу, что соединение успешно установлено.

Все полученные сервером запросы о соединениях хранятся в специальной очереди, имеющей заранее определенный размер, зависящий от операционной системы. Они хранятся там до тех пор, пока сервер не получит от клиента информацию об установленном соединении. Если сервер получает пакет с запросом о соединении и очередь заполнена, этот пакет отбрасывается.
SYN атака заключается в отправке определенному серверу большого количества пакетов с запросами о соединении. Эти пакеты посылаются с несуществующим адресом источника. Вымышленный адрес источника принадлежит несуществующему хосту ( в этой ситуации часто прибегают к зарезервированным адресам, подробно описанным в главе "Трансляция сетевых адресов"). Сервер после получения этих пакетов, посылает ответный пакет и ждет подтверждения от клиента. Поскольку адрес источника пакетов не существует, сервер никогда не получит подтверждения.
Дальше случится следующее: спустя некоторое время в данном сервере очередь для хранения запросов об установлении соединения окончательно заполнится. Начиная с этого момента, все запросы на установление соединений будут отбрасываться, а сервис окажется бездействующим. Такое бездействие будет продолжаться в течение нескольких секунд, пока сервер, обнаружив, что подтверждение соединения не приходит слишком долго, не удалит эти ожидающие решения соединения из очереди. Однако, если атакующий настойчиво продолжает посылать подобные пакеты, сервис будет оставаться бездействующим столько времени, сколько захочет нарушитель.
! Не все хосты чувствительны к SYN атакам. Современные реализации TCP протоколов обладают собственным механизмом защиты от таких атак.

Что такое Telnet proxy ?

Telnet proxy - это специальная программа межсетевого экрана Aker, предназначенная для работы с Telnet протоколом, который используется для эмуляции удаленного терминала. Его основная функция состоит в том, чтобы обеспечить аутентификацию на уровне пользователя для Telnet соединений. Это позволяет обеспечить большую гибкость и высокий уровень безопасности.


Telnet proxy относятся к категории прозрачных proxy (смотрите главу Работа с proxy серверами ), и потому ни сервер, ни клиент не должны знать о его существовании.

Что такое трансляция сетевых адресов?

Любой сети, желающей подключиться к Интернет, необходим набор IP адресов, которые может выделить любая имеющая на это право организация. Существуют три класса IP адресов: класс А, внутри которого можно описать до 16777214 хостов, класс В, позволяющий описать до 65533 хостов и класс С с 254 хостами.
Бум, который переживает Интернет в последние годы, привел к тому, что сети класса А и В в настоящее время стали недоступны для организаций и отдельных пользователей. Поэтому Вам может быть выделена только сеть класса С, с 254 адресами. При большем числе хостов вам потребуются другие сети класса С, что усложняет работу администратора. Другой способ решения проблемы состоит в использовании трансляции сетевых адресов (NAT).
Трансляция сетевых адресов - это технология, которая позволяет использовать для внутренней сети любые адреса, возможно даже из класса А; при этом сохраняется одновременный и прозрачный доступ в Интернет для всех хостов.
Механизм функционирования такого процесса достаточно прост: каждый раз, когда хост с зарезервированным адресом пытается получить доступ в Интернет, межсетевой экран контролирует эту попытку и автоматически преобразует его адрес в разрешенный. Когда хост назначения отвечает и посылает данные на разрешенный адрес, межсетевой экран преобразует его обратно в зарезервированный адрес и передает данные внутреннему хосту. При этом ни клиент, ни сервер не знают о существовании этого преобразования.
Кроме уже упомянутых преимуществ, трансляция сетевых адресов позволяет все хосты внутренней сети сделать невидимыми для внешней сети, что увеличивает уровень безопасности.
! Трансляция сетевых адресов не может быть использована для сервисов, которые передают информацию об IP-адресах или портах внутри протокола. Межсетевой экран Aker из сервисов такого вида поддерживает только сервисы FTP и Real Audio/Real Video.

Что такое WWW кэш сервер?

Кэш-сервер является программой, которая предназначена для ускорения доступа к страницам Интернет. Для этого кэш-сервер хранит у себя наиболее часто запрашиваемые страницы и каждый раз, когда он получает новый запрос, он проверяет, не хранится ли у него запрашиваемая страница. Если страница присутствует , она немедленно высылается без обмена с внешним сервером. Если нет, страница загружается обычным образом с сервера и сохраняется, что обеспечивает быстрый доступ к ней при новых запросах.

Что такое WWW proxy в межсетевом экране Aker ?

WWW proxy - это специализированная программа межсетевого экрана Aker, предназначенная для работы с протоколами, которые поддерживаются WWW (World Wide Web) серверами, такими как HTTP, HTTPS, FTP и Gopher.
Основная функция WWW proxy состоит в управлении доступом внутренних пользователей к Интернет; они, например, определяют каким пользователям можно позволить доступ и к каким страницам, кто может передавать файлы и т.д. Более того, они могу блокировать Active-XTM и JavaTM
applets, которые могут иногда представлять опасность.
WWW proxy относится к непрозрачными proxy (смотрите главу Работа с proxy серверами ), поэтому использующие их клиенты должны уметь работать через proxy и быть соответственно настроенными. Это требование не ведет к появлению каких-либо существенных проблем, поскольку практически все клиенты (браузеры) это поддерживают. Необходимые настройки клиентов выполняется просто и быстро.

Что такое защищенный канал и для чего он применяется?

Интернет - это глобальная сеть, насчитывающая тысячи компьютеров, разбросанных по всему миру. Когда два компьютера взаимодействуют между собой, весь трафик от источника до пункта назначения проходит через множество других устройств (маршрутизаторов, коммутаторов и т.д.). Эти сетевые устройства администрируют посторонние организации, и никто не может поручиться за их честность (в большинстве случаев невозможно узнать заранее, по какому пути пойдут пакеты к пункту назначения).
На любом из хостов, встречающихся на пути пакетов, может просмотреть их содержимое и/или изменить что-либо в них. Все это создает серьезные проблемы, тем более существенные, чем выше уровень значимости или конфиденциальности передаваемых данных.
Для решения этих проблем и применяются защищенные информационные каналы. Их можно представить себе как некий тоннель. Информация помещается с одной стороны тоннеля и прочесть ее можно только с другой стороны.
На самом деле, передаваемая информация модифицируется таким образом, чтобы их невозможно было изменить (аутентификация) или просмотреть (криптография) на пути их следования. При совместном применении этих двух механизмов обеспечивается как сокрытие информации, так и невозможность ее подмены на всем пути ее следования.

Cообщения о событиях межсетевого экрана

31 - Aker Firewall v3.0 - Initialization complete
Это информационное сообщение появляется каждый раз при перезапуске межсетевого экрана. 32 - Memory allocation error
Это сообщение означает, что какой-то модуль межсетевого экрана пытался запросить объем памяти память и не смог ее получить. Система FreeBSD вводит максимальный лимит на каждый тип памяти, которую можно получить, в зависимости от объема общей памяти. Если такой лимит достигнут, то невозможно получить больший объем памяти. Такое сообщение может встретиться в системах с малым объемом памяти RAM, использующих трансляцию адресов с большим числом одновременных соединений или большим числом активных соединений, проходящих через proxy сервера межсетевого экрана. Решение: Увеличить объем памяти RAM. 33 - TCP translation table full
Таблица трансляции адресов TCP заполнена. Решение: Увеличить максимальное число одновременных TCP соединений (вся необходимая информация содержится в главе Настройка трансляции сетевых адресов). 34 - UDP translation table full
Таблица трансляции адресов UDP заполнена. Решение: Увеличить максимальное число одновременных UDP соединений (вся необходимая информация содержится в главе Настройка трансляции сетевых адресов). 35 - Invalid authentication algorithm
Криптографический модуль обнаружил при выполнении аутентификации пакета неверный алгоритм аутентификации в ассоциации защиты (SA). 36 - Invalid encryption algorithm
Криптографический модуль обнаружил при выполнении шифрования пакета неверный алгоритм шифрования в ассоциации защиты (SA). 37 - Invalid data received by the firewall load module
Это сообщение означает, что в модули межсетевого экрана, запущенные в ядре FreeBSD, были посланы неверные данные. Решение: Постарайтесь проверить, какая программа создает это сообщение, многократно запуская и останавливая программу. 38 - Error when reading parameters file
Это сообщение генерируется внешними модулями, которые пытаются прочитать файл параметров и обнаруживают, что он не существует или его нельзя прочитать. Решение: Перезапустить межсетевой экран, чтобы программа инициализации заново создала файл параметров. 39 - Error when loading access profiles

Это сообщение означает, что сервер аутентификации не смог загрузить в систему список зарегистрированных профилей доступа. 40 - Invalid access profile name

Это сообщение означает, что сервер аутентификации, когда он пытается найти профиль доступа пользователя, обнаруживает, что профиль не зарегистрирован в системе 41 - Error when creating the connection socket

Это сообщение означает, что некоторые внешние модули пытались создать сокет и получили сообщение об ошибке. Решение: Проверить количество файлов, которые могут быть открыты процессом, а также их полное количество для всех процессов системы. Если необходимо, увеличьте эти значения. 42 - Error when binding to the virtual IP

Это сообщение означает, что FTP proxy для преобразования адресов не смогли привязать виртуальный IP адрес к созданному гнезду. Так происходит, когда виртуальный IP адрес неверен. Решение: Изменить значение поля Virtual IP в настройках трансляции сетевых адресов, связанного с IP адресом одного из сетевых интерфейсов межсетевого экрана (см. главу Настройка трансляции сетевых адресов). 43 - Line with an excessive number of characters

Это сообщение означает, что proxy межсетевого экрана Aker получил строку со слишком большим количеством символов и из-за этого закрыл соединение. Дополнительная информация в скобках указывает IP адрес хоста, который явился причиной проблемы. Решение: Сервер или клиент сочли это сообщение несоответствующим стандартам RFCs. Единственное возможное решение этой проблемы - обратиться к администратору хоста, откуда пришло сообщение. 44 - Error when loading context

Это сообщение означает, что один из прозрачных proxy не смог загрузить необходимый контекст. 45 - Reverse DNS not configured

Это сообщение вырабатывается каким-либо proxy сервером, если они были настроены принимать соединения от хостов, если для них настроено обратное преобразование адресов в DNS и не смогли разрешить имя для IP адреса источника соединения. Дополнительное сообщение указывает IP адрес источника соединения. 46 - Conflicting direct and reverse DNS


Когда proxy межсетевого экрана настроены принимать соединения от хостов, если для них настроено обратное преобразование адресов в DNS, они используют следующую технику для повышения безопасности: сначала они пытаются разрешить имя для IP адреса источника соединения. Если proxy не может этого сделать, возникает описанное выше сообщение об ошибке и соединение не устанавливается. Если proxy все-таки разрешают имя, они по этому имени пытаются разрешить его адрес. Если они не могут выполнить эту операцию или если возвращенный IP адрес отличен от адреса источника, происходит разрыв соединения и вырабатывается данное сообщение. 47 - Invalid Command

Это сообщение означает, что один из proxy получил от клиента неверную команд и потому не передал ее серверу. Дополнительное сообщение показывает саму неверную команду и имена хостов источника и назначения (только в случае прозрачных proxy) соединения. 48 - SMTP message accepted

Эта диагностика означает, что SMTP proxy принял сообщение и послал его серверу. Дополнительное сообщение указывает, какими были хосты источника и назначения соединения. 49 - SMTP message refused

Это сообщение означает, что SMTP proxy отбросили полученное сообщение. Это происходит либо потому, что данное сообщение соответствует некоторому правилу фильтрации, согласно которому сообщение должно быть отброшено, либо потому, что его размер превышает максимально допустимый. 50 - Error when communicating with the authentication server

Это сообщение означает, что один proxy не смог установить связь с сервером аутентификации при попытке выполнения аутентификации пользователя. В связи с этим пользователю не разрешается продолжить работу, а само соединение не устанавливается. Решение: Проверить, является ли активным процесс, обслуживающий сервер аутентификации на межсетевом экране. Для этого выполните команду: #ps -ax | grep fwauthd | grep -v grep. Если процесс не запущен, запустите его командой /etc/firewall/fwauthd. 51 - Error when connecting to the authentication agent


Это сообщение означает, что сервер аутентификации не смог соединиться с агентом аутентификации, запущенным на некотором хосте. Дополнительное сообщение укажет имя агента аутентификации, с которым не смог соединиться сервер. Решение: Проверить, правильность IP адреса хоста, на котором предположительно запущен агент; проверить также, что агент действительно запущен на этом хосте. Более подробную информацию можно посмотреть в разделе Регистрация объектов). 52 - Error when communicating with the authentication agent

Это сообщение означает, что сервер аутентификации соединился с агентом аутентификации, но не смог установить соединение. Дополнительное сообщение укажет имя агента аутентификации, из-за которого возникла проблема. Решение: Проверить, соответствует ли пароль доступа в определении аутентификатора паролю в конфигурации агента аутентификации. За более подробной информацией обращайтесь к главе Регистрация объектов.

53 - Proxy authentication failure

Это сообщение означает, что пользователь ввел неверный пароль, когда пытался пройти аутентификацию при обращении к proxy серверу. Дополнительное сообщение укажет имя пользователя и хосты источника и назначения (только в случае прозрачных proxy) соединения. 54 - User unregistered for proxy

Это сообщение означает, что незарегистрированный пользователь пытался пытался пройти аутентификацию при обращении к proxy серверу. Дополнительное сообщение укажет хосты источника и назначения (только в случае прозрачных proxy) соединения. 55 - User lacks permission to open telnet sessions

Это сообщение означает, что пользователь прошел аутентификацию при обращении к telnet proxy, но не получил разрешения открыть соединение. Дополнительные сообщение укажут имя пользователя и хосты источника и назначения соединения. 56 - Telnet session established

Это сообщение означает, что пользователь прошел аутентификацию при обращении к telnet proxy, получил разрешения открыть соединение и открыл его. Дополнительные сообщения указывают имя пользователя и хосты источника и назначения соединения. 57 - Error when sending data to the firewall kernel


Это сообщение означает, что какой- то внешний модуль пытался послать информацию модулям межсетевого экрана, которые выполнялись в ядре, и получил сообщение об ошибке. Если существует дополнительное сообщение в скобках, то оно укажет, какая информация была послана. Решение: Проверить, является ли ядро, запущенное на межсетевом экране ядром, собранном из объектных модулей межсетевого экрана Aker. 58 - The number of processes in the system is too high

Это сообщение означает, что какой-то внешний модуль межсетевого экрана при попытке создать дочерний процесс для обработки соединения обнаружил, что число процессов, запущенных в системе, близко к максимально допустимому. Из-за этого новый процесс не был создан, а соединение, которое он должен был поддерживать, было разорвано. Решение: Увеличить максимальное число процессов в системе. Это можно сделать с помощью изменения опции MAX_USERS в файле настройки ядра и компиляции нового ядра или использования команды sysctl (обратите внимание на то, что в случае использования команды sysctl изменения будут иметь силу только до перезагрузки, поэтому команда должна выполняться каждый раз при новом запуске межсетевого экрана). 59 - Administrative session request

Это сообщение генерируется удаленным модулем администрирования межсетевого экрана Aker каждый раз, когда он получает запрос на установление административного сеанса. В дополнительном сообщении указывается IP адрес хоста, запрашивающего соединение. 60 - Administrative session established

Это сообщение генерируется удаленным модулем администрирования межсетевого экрана Aker каждый раз при успешной аутентификации пользователя и установлении административного сеанса. В дополнительном сообщении указываются имя регистрации пользователя, установившего соединение, и его права. Права пользователя представляются тремя различными сокращениями. Если пользователь имеет определенные права, будет показана соответствующее сокращение, во всех прочих случаях вместо этого будет показано значение -.


Ниже представлены сокращениями и их значения:

CF - Может настраивать межсетевой экран

CL - Может настраивать статистику

MU - Может управлять пользователями

61 - Administrative session closed

Это сообщение означает, что установленный сеанс администрирования закончен по команде пользователя.. 62 - Administrator not registered

Это сообщение означает, что незарегистрированный в системе пользователь пытается установить сеанс администрирования. 63 - Administrative session confirmation error

Это сообщение означает, что зарегистрированный в системе пользователь пытался установить удаленный сеанс удаленного администрирования, но не смог ввести правильный пароль. Дополнительное сообщение указывает имя этого пользователя. 64 - Firewall is being administrated by another user

Это сообщение означает, что пользователь правильно аутентифицировался для установления удаленного сеанса администрирования, однако существует и другой пользователь с открытой к тому же хосту сессией, в связи с чем соединение запрещено. Дополнительное сообщение указывает, какому пользователю отказано в сеансе. 65 - Parameter modification

Это сообщение означает, что во время сеанса администрирования была изменена конфигурация системы. Дополнительное сообщение указывает имя измененного параметра. 66 - Filtering rules modification

Это сообщение означает, что во время сеанса администрирования были сделаны изменения в таблице правил фильтрации. 67 - Address translation modification

Это сообщение означает, что во время сеанса администрирования были изменены правила трансляции сетевых адресов или серверная таблица трансляции. Дополнительное сообщение уточняет характер изменений. 68 - Secure channels modification

Это сообщение означает, что во время сеанса администрирования были изменены таблицы защищенных каналов. 69 - SYN Flood configuration modification

Это сообщение означает, что во время сеанса администрирования были изменены параметры защиты от SYN атак. Дополнительное сообщение уточняет характер изменений. 70 - SMTP contexts modification


Это сообщение означает, что во время сеанса администрирования были изменены таблицы SMTP контекстов. 71 - SNMP configuration modification

Это сообщение означает, что во время сеанса администрирования были изменены параметры настройки SNMP агента. 72 - Access profiles modification

Это сообщение означает, что во время сеанса администрирования были изменены профили доступа. 73 - Access control list modification

Это сообщение означает, что во время сеанса администрирования были изменены списки доступа. 74 - Authentication parameters modification

Это сообщение означает, что во время сеанса администрирования были изменены глобальные параметры аутентификации. 75 - Entities modification

Это сообщение означает, что во время сеанса администрирования были изменены списки объектов системы. 76 - Telnet contexts modification

Это сообщение означает, что во время сеанса администрирования были изменены таблицы контекстов Telnet. 77 - WWW parameters modification

Это сообщение означает, что во время сеанса администрирования были изменены параметры WWW. 78 - Active connection removal

Это сообщение означает, что во время сеанса администрирования было удалено соединение. Дополнительное сообщение указывает тип протокола соединения (TCP или UDP). 79 - Operation on the log file

Это сообщение означает, что во время сеанса администрирования была проделана одна из операций (Compact (уплотнение) или Clear

(очистка)) с файлом статистики системы. Дополнительное сообщение показывает, какая из этих операций была выполнена. 80 - Operation on the events file

Это сообщение означает, что во время сеанса администрирования была проделана одна из операций (Compact (уплотнение) или Clear

(очистка)) с файлом событий системы. Дополнительное сообщение показывает, какая из этих операций была выполнена. 81 - Operation on the users file

Это сообщение означает, что во время сеанса администрирования была проделана одна из операций на файле пользователей. Возможны операции Add

(добавление), Delete (удаление) и Change (изменение).


Дополнительное сообщение указывает, какая из этих операций была выполнена и каким пользователем. 82 - Administrative session dropped by error

Это сообщение означает, что сеанс администрирования был прерван из-за ошибки протокола связи. Решение: Попытаться снова установить соединение. 83 - Administrative session dropped by timeout

После установления удаленного сеанса администрирования удаленный хост начинает периодически посылать на межсетевой экран сообщение для подтверждения активности соединения. Эти сообщения посылаются, если даже пользователь не выполняет никаких операций. Это сообщение означает, что сеанс удаленного администрирования был прерван из-за того, что сервер не получил сообщение от удаленного хоста в течение максимально допустимого времени. Наиболее вероятной причиной этого может быть сбой на хосте с запущенным графическим интерфейсом или сетевая неисправность. 84 - Error in the previous operation

Это сообщение означает, что последняя операция, выполненная с удаленного хоста, не была успешно завершена. Решение: Проверить, есть ли свободное пространство в файловой системе '/ ' межсетевого экрана. Это можно сделать с помощью команды $df -k. Если эта команда показывает, что используемое пространство на каталоге "/" равна 100%, в этом и заключается причина проблемы. 85 - User without access right

Это сообщение означает, что пользователь пытался выполнить несанкционированное действие. 86 - Unrecognized packet

Это сообщение означает, что сервер поддержки удаленного администрирования межсетевого экрана получил запрос от неизвестного сервиса. Назад | Содержание | Вперед

Дерево каталогов

/ - содержит модифицированное ядро операционной системы с межсетевым экраном Aker

/etc/firewall - содержит выполняемые программы и подкаталоги

/etc/firewall/conf - содержит конфигурационные файлы межсетевого экрана

/etc/firewall/manual - содержит руководство пользователя (если оно установлено)

/etc/firewall/root - не содержит файлов. Используется некоторыми процессами межсетевого экрана

/etc/firewall/run - содержит динамические файлы

/var/log - содержит файлы статистики и событий межсетевого экрана Aker

/var/spool/firewall - используется SMTP proxy для хранения сообщений

/usr/src/sys/objs - содержит объектные модули, необходимые для создания нового ядра системы

DES Library

Copyright © 1995 Eric Young

All rights reserved.
Эта библиотека и ее приложения БЕСПЛАТНО РАСПРОСТРАНЯЕТСЯ ДЛЯ КОММЕРЧЕСКОГО И НЕКОММЕРЧЕСКОГО ИСПОЛЬЗОВАНИЯ до тех пор, пока соблюдаются следующие условия.
Авторское право остается принадлежащим Eric Young, и когда уведомления об Авторском праве присутствуют в тексте программы, они не должны из нее удаляться. Если этот код используется в каком-либо продукте, на Eric Young должны даваться ссылки как на автора используемых частей продукта. Такие ссылки могут быть сделаны в виде текстового сообщения при запуске программы или содержаться в документации (в режиме online или в текстовой форме), сопровождающей пакеты.
Дальнейшее распространение и использование в исходной или двоичной формах, с модификацией или без нее, разрешено при выполнении следующих условий:

При дальнейшем распространении исходных кодов должно сохраняться уведомление об авторском праве, этот список условий и приведенный ниже отказ от права

При дальнейшем распространении двоичных кодов должно сохраняться уведомление об авторском праве, этот список условий и приведенный ниже отказ от права.

Все рекламные материалы, упоминающие характеристики или использование этого программного средства, должны воспроизводить следующее официальное заявление:

Этот продукт включает программное средство, разработанное Eric Young
Это программное средство предоставлено его разработчиком ERIC YOUNG "КАК ЕСТЬ", при этом не признаются никакие явные или подразумеваемые гарантии, включая, но не ограничиваясь этим, подразумеваемые гарантии пригодности для торговли и соответствия цели. Ни при каких обстоятельствах. Автор или его сотрудники и спонсоры не должны нести ответственности за любые прямые, непрямые, предвидимые, фактические, примерные или косвенные убытки (включая, но не ограничиваясь этим, снабжение заменами товаров или услуг; потери от использования, данных или прибылей; или прерывание деловых отношений), чем бы они ни были вызваны и на чем бы обязательства ни основывались, на контрактах, на строгой ответственности, или на гражданско-правовом деликте (включая небрежность или какое-либо иное действие), возникающие каким- то образом вне сферы использования этого программного средства, и даже при заблаговременном уведомлении о возможности таких убытков.
Лицензию и условия распространения для любой общедоступной версии или производной от данного кода нельзя изменять, т.е. этот код нельзя просто копировать или размещать согласно другой лицензии по распространению [включая GNU Public License].

Динамические файлы

/etc/firewall/run/fwauthd.pid - PID (идентификатор процесса) сервера аутентификацииr

/etc/firewall/run/fwhttppd.pid - PID для HTTP proxy

/etc/firewall/run/fwsrvlog.pid - - PID сервера регистрации

Для чего нужна реакция системы?

Смысл реакции системы заключается в том чтобы обеспечить более тесное взаимодействие между межсетевым экраном и администратором. Ее использование, например, делает возможным выполнение программы, которая вызывает администратора, когда межсетевой экран обнаруживает начавшуюся атаку. Это позволяет администратору немедленно предпринять эффективные действия, даже если он в тот момент не наблюдает за работой межсетевого экрана.

Добавление и удаление объектов и сервисов

Каждое из полей объектов источника, назначения и сервисов состоит из двух списков. Левый список содержит все объекты системы, которые можно добавить в выделенное поле. Правый список содержит все объекты, которые уже добавлены в поле.
Чтобы добавить объект в одно из этих полей, нужно сделать следующее:

Выделить включаемый объект в левом списке.

Нажать на направленной вправо стрелке сбоку от требуемого списка (только что включенный объект будет помечен красной меткой V, указывающей на то, что он добавлен в поле).

Чтобы удалить объект из одного из этих полей, нужно выполнить следующее:

Выделить удаляемый объектов правом списке.

Нажать на значок X сбоку от требуемого списка (контрольная метка V
будет удалена от объекта, чтобы показать, что он больше не принадлежит выделенному полю).

Движение пакетов в межсетевом экране Aker

В предыдущих главах этого руководства были разобраны по отдельности три главных модуля межсетевого экрана Aker со всеми деталями, относящимися к их настройке. Теперь будет показано, как пакеты проходят через эти модули и каким изменениям они могут подвергнуться в каждом из них.
По сути дела, существуют два различных потока: один для пакетов, которые генерируются во внутренней сети и имеют в качестве пункта назначения внешний хост (выходящий поток), и другой, для пакетов, которые генерируются во внешней сети и имеют в качестве пункта назначения хост внутренней сети (входящий поток).

Файлы статистики и событий

/var/log/eventos-30.fw - Файл регистрации событий

/var/log/log-30.fw - Файл регистрации статистики

Формат и значения полей сообщений о событиях

Ниже описан формат сообщений и приводится описание их полей. Полный список всех возможных сообщений и их значений содержится в Приложении А.
Формат записи:
[(Complement)]

[]
Описание полей:
Date: Дата генерации записи.
Time: Время генерации записи.
Message: Текстовое сообщения, описывающее событие
(Complement): Это поле вносит некоторую дополнительную информацию и может присутствовать или нет, что зависит от характера сообщения. Если оно присутствует, то указывается в скобках.
Additional data: Информация в этом поле связана с сообщениями от proxy серверов. Она всегда появляются в строке под соответствующим сообщением. Она содержит адрес источника соединения и, в случае прозрачного proxy сервера, адрес назначения.
Примеры:
02/26/1998 13:27:11 Aker Firewall v3.0 - Initialization complete 02/26/1998 13:30:32 Telnet session established (user) Source: 10.2.1.12 - Destination: 192.168.0.3 02/26/1998 12:48:23 Administrative session confirmation error (administrator) 02/26/1998 12:48:23 Administrative connection request (10.4.1.14)

Формат и значения полей записей в файле статистики

Ниже дано описание формата каждой записи, сопровождаемое описанием каждого поля. Формат записей одинаков как для графического интерфейса, так и для интерфейса командной строки.

Инсталляция агента аутентификации в Unix

Для установки агента аутентификации необходимо смонтировать диск с Aker Firewall 3.0 на хосте, в котором должен быть инсталлирован агент, или скопировать содержимое каталога с записанным там агентом из CD в какой-либо временный каталог на этом хосте (это можно сделать с помощью FTP или NFS, если в данном хосте нет CD-ROM дисковода ).
После монтирования CD или копирования файла в любой каталог, необходимо перенести бинарные коды агента в выбранный каталог на хосте назначения. Для этой цели рекомендуется использовать каталог /usr/local/bin, но можно выбрать и любой другой. Для копирования агента запустите следующую команду:
#cp /installation_directory/agent/plataform/fwagaut /directory
Где installation directory означает каталог, в котором содержатся файл дистрибутива, platform означает выбранную вами платформу, и directory - каталог назначения. Например, для установки агента в каталог /usr/local/bin, на платформе FreeBSD и с CD, смонтированным в каталог /cdrom, следует ввести с клавиатуры команду:
cp /cdrom/agent/FreeBSD/fwagaut/usr/local/bin.

Инсталляция межсетевого экрана AKER

В этой главе описывается последовательность действий, необходимых для инсталляции Aker.

Если Вы согласны с условиями, программа, выведет на экран следующий текст:

Aker Firewall v3.00 - Installation Program

This program installs 2 distinct components, that can be installed separately:

1 - Aker Firewall 3.0 and the command line interface

2 - On-line html documentation

In case you want to proceed, you will be asked which components should

be installed in this host.

Do you want to install any of the above components (Y/N) ?

Чтобы продолжить инсталляцию, введите с клавиатуры "Y", а затем "Enter". После этого на экране программа "попросит" подтвердить инсталляцию каждого компонента в отдельности. Если вы для данного компонента отвечаете "Y", то он будет установлен. После этого на экран будет выведена следующая надпись: Aker Firewall V3.00 - Installation Program

For each of the listed components, type 'Y' to install it or 'N' to skip

its installation:

Aker Firewall and the command line interface ? y

On-line html documentation ? y

The selected components will be installed. Do you want to proceed (Y/N) ?

Если вы ответите "Y" на последний вопрос, программа продолжит инсталляцию выбранных компонентов, за ходом которой Вы сможете следить при помощи легко понятных сообщений.

! Если вы выбрали для инсталляции межсетевой экран и интерфейс командной строки, то сначала надо создать конфигурационный файл ядра FreeBSD под названием FIREWALL, который должен размещаться в каталоге /usr/src/sys/i386/conf. Этот файл необходимо настроить для компьютера, на котором будет инсталлирован межсетевой экран, и он будет использован для компиляции нового ядра с модулями межсетевого экрана Аker.

! Если вы выбрали для инсталляции межсетевой экран, то необходимо упомянуть, что инсталляционная программа изменяет файл /etc/rc. Если в этом файле были какие-либо изменения, нужно снова внести их после инсталляции.

Если вы решили установить межсетевой экран Aker (а не только документацию в режиме on-line), то после окончания копирования файлов инсталляционная программа запросит у Вас информацию, необходимую для настройки системно-зависимых параметров.


В первую очередь ключ активации. Ни один из модулей не будет работать без него.

На экран будет выведен следующий текст:

Aker Firewall v3.00 - Installation Program

System configuration completed. It's now necessary to activate the

installed copy by typing the activation key that came with the

product.

The activation key, the company name and the IP address of the

external

interface must be typed exactly as they appear in the document provided

by the Aker Consultancy and Informatics or its authorized dealer.

Press enter to continue

После ввода с клавиатуры клавиши "Еnter" на экране появится приглашение ко вводу информации, содержащейся в документе, выданном Aker Consultancy and Inrormatique или их уполномоченным торговым представителем. Все значения должны быть введены точно так, как они указаны в документе.

! Ключ должен вводиться с клавиатуры с дефиса "-", как показано в оригинальном документе. В названии компании заглавные и строчные буквы считаются различными и должны вводиться точно в соответствии с документом.

Ниже приведен пример ввода этой информации:

Aker Firewall version 3.0

Activation key configuration module

Company name: Aker Consultancy and Informatics

External interface IP address: 10.0.0.1

Activation key: 2DBDC612-FA4519AA-BBCD0FF1-129768D3

Если ключ введен правильно, инсталляция будет продолжена. В случае ошибки программа предложит повторить ввод.

! Вводимый с клавиатуры IP-адрес должен быть предварительно присвоен сетевому интерфейсу, в противном случае инсталляция не будет продолжена.

Далее программа инсталляции будет осуществлять поиск конфигурационных файлов версии 2.0 межсетевого экрана Aker. Если какой-либо из этих файлов будет найден, на экране появится следующая надпись:

Aker Firewall v3.00 - Installation Program

The presence of configuration files of the version 2.0 of the Aker Firewall

was detected.

The version 3.0 of Aker Firewall uses a new format for the configuration

files, however, it's possible to convert the old files to the new format,


keeping all the existent configuration unchanged.

If the conversion is not performed, the Firewall will be installed with

the default factory configuration and no information from the version 2.0

will be used.

Do you want to update the version 2.0 configuration files (Y/N) ?

Если Вы не хотите провести совершенно новую инсталляцию без использования конфигурации из версии 2.0, Вы должны ответить "Y"

В случае положительного ответа программа шаг за шагом будет показывать процесс обновления файлов. В конце будет выведено сообщение об успешной трансляции и информация, что конфигурационные файлы перемещены в каталог /etc/firewall/aker2.0. Потом без всякого ущерба для функционирования версии 3.0 этот каталог можно будет удалить

По окончании обновления на экране появится следующее сообщение:

Aker Firewall V3.00 - Installation Program

System activation completed. Now let's configure some Aker Firewall

parameters.

I can automatically create an administrator capable of managing remotely

the firewall. This administrator will have full administrative rights and

new users can be registered by him later.

If you don't create an administrator, you won't be able to manage the

firewall using the remote graphic user interface. The only way to manage

it will be through the command line interface.

Do you want to create the administrator (Y/N) ?

Для управления межсетевым экраном из GUI, необходимо зарегистрировать менеджера системы удаленного администрирования.

Вы должны ответить на вопрос о регистрации менеджера - "Y", кроме тех случаев, когда вы не хотите пользоваться графическим интерфейсом или проводите апгрейд уже существующей версии (в которой существовали зарегистрированные менеджеры).

В дальнейшем с использованием локального интерфейса можно регистрировать и других менеджеров. Более подробно это описано в главе 3-0 Управление пользователями межсетевого экрана.

Если Вы решите добавить нового администратора, будут выведены следующие сообщения ( пароль администратора не высвечивается:


Aker Firewall version 3.0

Remote users administration module

User creation

Enter the login : administrator

Enter the complete name : Aker Firewall administrator

Enter the password :

Confirm the password :

Create user ? (Y/N)

После регистрации программа инсталляции выведет на экран:

Aker Firewall v3.00 - Installation Program

I can automatically create a filtering rule to allow the firewall to be

managed immediately from another host.

If this rule is not created, it will only be possible to manage the

firewall, during its initial operation from the command line interface.

Do you want to create this rule (Y/N) ?

Если Вы хотите использовать GUI, необходимо добавить правило, разрешающее управление доступом с другого хоста, на котором используется удаленный интерфейс. После того, как это сделано, все конфигурирование межсетевого экрана можно осуществлять с этого хоста.

Если Вы не добавили это правило, управление будет возможно только с помощью интерфейса командной строки с самого межсетевого экрана.

Если инсталляция является обновлением версии, где уже были установлены правила, разрешающие дистанционное управление с одного или нескольких хостов, вы можете ответить нет на этот вопрос (если вы уже ответили "да" на обновление старых конфигурационных файлов).

Если вы ответите Yes ('Y'), программа инсталляции запросит IP-адрес хоста, с которого можно будет соединяться с межсетевым экраном. Этот хост будет единственным, с которого это будет разрешено.

После этого программа инсталляции выведет сообщение об успешном окончании процесса установки , а также информацию, что она приступает к компиляции нового ядра в соответствии с файлом /usr/src/sys/i386/conf/FIREWALL.

Aker Firewall v3.00 - Installation Program

I will now compile a new kernel to install Aker Firewall on this

host. This compilation takes between 5 and 40 minutes, depending on

your configuration and the speed of this machine.

Press enter to continue

Если теперь вы нажмете "Enter", программа начнет компиляцию нового ядра. После завершения компиляции и инсталляции нового ядра программа попросит выполнить рестарт (перезапуск) машины для старта межсетевого экрана Aker. Когда вы вновь запустите компьютер, межсетевой экран автоматически начнет свою работу.

Инсталляция межсетевого экрана

Вы можете приобрести межсетевой экран Aker вместе с компьютером. При этом инсталляция на компьютер межсетевого экрана будет произведена бесплатно. Если вы решите купить только программный продукт, его необходимо инсталлировать на выбранном Вами хосте.
Для инсталляции Aker сначала необходимо установить операционную систему FreeBSD. Ее инсталляция проста, тем не менее мы рекомендуем подыскать специалиста, умеющего обращаться с Unix. Основные процедуры по инсталляции FreeBSD описаны и поставляются в комплекте с межсетевым экраном Aker. При возникновении каких-либо проблем советуем Вам для получения дополнительной информации обращаться по упомянутым в предыдущем параграфе адресам.
После установки FreeBSD можно приступать к инсталляции межсетевого экрана Aker. Для этого необходимо смонтировать CD-ROM с дистрибутивом Aker или перенести содержимое из инсталляционного каталога CD в любой временный каталог в хосте, где Вы хотите установить продукт (его можно перенести по FTP или NFS с другого хоста, где имеется CD устройство).
После монтирования CD или копирования файлов в какой-либо каталог необходимо выполнить следующую команду:
#/installation_directory/aker/fwinst
где installation_directory - это каталог, в котором хранятся инсталляционные файлы; например, если CD был смонтирован в каталог /cdrom,
то необходимо набрать команду:
#/cdrom/aker/fwinst
! Cимвол # означает подсказку оболочки shell при выполнении команды привилегированным пользователем "root"; этот символ не должен вводиться с клавиатуры как часть команды.
Программа fwinst предназначена для инсталляции и настройки системы для работы на ней межсетевого экрана Aker.
! Удаленный интерфейс для платформ Windows 95 и Windows NT нельзя установить с помощью этой программы. В следующем параграфе даны объяснения по установке удаленного интерфейса для этих платформ
Для дальнейшей инсталляции программы необходимо знание лицензионного ключа. Для того, чтобы продолжить инсталляцию, необходимо принять положения и условия, указанные в лицензии.

Инсталляция удаленного интерфейса на платформах Windows или NT

Для того, чтобы установить удаленный интерфейс на платформах Windows 95 или NT, вы должны вставить CD в дисковод и выполнить следующие действия:
Выберите меню Start
Выберите опцию Run
На вопрос, какую программу выполнять, введите с клавиатуры D:\win95\install. (Если к CD-ROM устройству доступ осуществляется не через D, а через другую букву, замените на эту букву эквивалент в предыдущей команде).
После этого Вы увидите экран с приглашением к инсталляции удаленного интерфейса. Для продолжения инсталляции выполните инструкции на экране. Когда инсталляция закончится, будет создана группа Aker Firewall в меню Start . Выберите опцию Aker Firewall 3.0 в этой группе для запуска удаленного интерфейса. Назад | Содержание | Вперед

Интеграция фильтра и механизма трансляции сетевых адресов

При настройке правил фильтрации для хостов, адреса которых преобразуются в соответствии с настройками NAT, могут возникнуть сомнения по поводу того, реальные или виртуальные адреса хостов следует использовать?
На этот вопрос можно легко ответить, если проанализировать движение пакетов:

При движении из внутренней области во внешнюю пакеты сначала проходят через фильтр, а затем только преобразуются их адреса (если нужно); это означает, что фильтр получает реальные адреса хостов.

При движении из внешней области во внутреннюю пакеты сначала проходят через транслятор сетевых адресов, который преобразует адреса назначения из виртуальных IP адресов в реальные. После этого пакеты передаются пакетному фильтру; это значит, что пакетный фильтр снова получает пакеты с реальными адресами.

В обоих случаях фильтр не подозревает о существовании виртуальных адресов; отсюда вытекает следующее утверждение:
! Создавая правила фильтрации, не нужно обращать внимание на преобразование сетевых адресов. Правила должны описываться так, как если бы хосты источника и назначения прямо связывались между собой, не используя преобразования сетевых адресов.

Интеграция фильтра с трансляцией сетевых адресов и с криптографией

В предыдущем разделе мы показали, как настраивать правила фильтрации, если задействован механизм трансляции адресов. Вывод состоял в том, что вам надо работать только с реальными адресами, пренебрегая преобразованием адресов. Теперь возникает еще один вопрос: при настройке защищенных каналов для хостов, адреса которых преобразуются, должны использоваться их реальные или виртуальные адреса?
Чтобы ответить на этот вопрос, снова проанализируем движение пакета:

При движении из внутренней области во внешнюю пакеты сначала проходят через фильтр, затем подвергаются преобразованию адресов (при необходимости), и, наконец, попадают в криптографический модуль. Поэтому последний получает пакеты с виртуальными адресами.

При движении из внешней области во внутреннюю пакеты сначала расшифровываются (при необходимости). Затем они проходят через модуль трансляции адресов, который преобразует виртуальные адреса в реальные, и, наконец, попадают в пакетный фильтр. Криптографический модуль получает пакеты перед преобразованием их адресов и, следовательно, имеет дело с виртуальными адресами.

В обоих случаях криптографический модуль получает пакеты, как будто они первоначально имели виртуальные адреса и для источника, и для назначения. Это приводит к следующему утверждению: ! При создании защищенных каналов вы должны учитывать трансляцию сетевых адресов. Для адресов источника и назначения должны устанавливаться их виртуальные IP адреса.
Назад | Содержание | Вперед

Интеграция модулей межсетевого экрана

В этой главе показано, как взаимодействуют между собой три главных модуля межсетевого экрана Aker: пакетный фильтр, транслятор сетевых адресов и модуль криптографии и аутентификации. Показано также, как происходит движение пакетов от момента их получения межсетевым экраном до момента решения основного вопроса об их приеме или отказе в приеме.

Интерфейс командной строки или графический пользовательский интерфейс

Межсетевой экран Aker обеспечивает два различных интерфейса для своей настройки: удаленный графический интерфейс (GUI) и локальный интерфейс командной строки.
Графический интерфейс
Графический пользовательский интерфейс называется удаленным, поскольку межсетевым экраном Aker можно управлять дистанционно, через Интернет, из любого места в мире. Администрирование осуществляется по защищенному каналу между рабочим местом администратора и межсетевым экраном с использованием строгой аутентификации и защиты трафика.
Графический интерфейс можно использовать на рабочих станциях под управлением Windows 95TM и Windows NTTM.
Интерфейс командной строки
Интерфейс командной строки полностью ориентирован на ввод команд на хосте, на котором инсталлирован межсетевой экран. Его основное назначение состоит в переводе в автоматический режим работы задач, выполняемых Aker (с помощью создания сценариев).
Почти все изменяемые с помощью графического интерфейса параметры можно настроить из командной строки. Единственным исключением из этого правила является настройка proxy серверов, которую нельзя выполнить с помощью командного интерфейса.
Поскольку через оба интерфейса работа ведется с одними и теми же переменными, их функциональные возможности, значения, одинаковы как для графического, так и для интерфейса командной строки. Поэтому в разделах, посвященных описанию интерфейса командной строки, материал представлен более кратко, чем в разделах, посвященных графическому интерфейсу.
! Одновременное использование нескольких графических интерфейсов или интерфейса командной строки и удаленного интерфейса на одном компьютере невозможно.

Исходные тексты FreeBSD

Copyright © 1982, 1986, 1993
The Regents of the University of California. All rights reserved.
Дальнейшее распространение и использование в исходной или двоичной формах, с модификацией или без нее, разрешено при выполнении следующих условий:

При дальнейшем распространении исходных кодов должно сохраняться уведомление об авторском праве, этот список условий и приведенный ниже отказ от права

При дальнейшем распространении двоичных кодов должно сохраняться уведомление об авторском праве, этот список условий и приведенный ниже отказ от права.

Все рекламные материалы, упоминающие характеристики или использование этого программного средства, должны воспроизводить следующее официальное заявление:

Этот продукт включает программное средство, разработанное Университетом Калифорнии, Беркли, и его сотрудниками и спонсорами.

Ни имя университета, ни имена его сотрудников и спонсоров не могут использоваться подтверждения или для продвижения продуктов, производных от данного программного средства без предварительного особого письменного разрешения

Это программное средство представлено членами правления и спонсорами и сотрудниками "КАК ЕСТЬ", и не признаются никакие явные или подразумеваемые гарантии, включая, но не ограничиваясь этим, подразумеваемые гарантии пригодности для торговли и соответствия цели. Ни при каких обстоятельствах члены правления, сотрудники и спонсоры не должны нести ответственность за прямые, непрямые, предвидимые, фактические, примерные или косвенные убытки (включая, но не ограничиваясь этим, снабжение заменами товаров или услуг; потери от использования, данных или прибылей; или прерывание деловых отношений), чем бы они ни были вызваны и на чем бы ни основывалась ответственность, будь то в контракте, строгом обязательстве или в гражданско-правовом деликте (включая небрежность или какое-либо иное действие), возникающие каким-нибудь образом вне сферы использования данного программного средства, и даже при заблаговременном предупреждении о возможности таких убытков.

Использование графического интерфейса пользователя

Для получения доступа к меню описания трансляции сетевых адресов необходимо выполнить следующие шаги:

Выбрать пункт Редактировать в главном меню.

Выбрать опцию Трансяция адреса

Окно трансляции сетевых адресов
Окно трансляции сетевых адресов состоит из нескольких полей, которые необходимо заполнить для правильной работы NAT в межсетевом экране Aker. Эти поля имеют вид:
Общие параметры трансляции:
Activate the address translation: Эта опция должна быть включена для активизации механизма трансляции адресов. Когда механизм трансляции не активен, конфигурация будет сохраняться, но ее нельзя будет изменить.
Private network IP: IP адрес внутренней сети.
Private netmask: Сетевая маска внутренней сети.
Virtual IP: Это реальный IP адрес, в который будут транслироваться адреса источника всех пакеты от хостов внутренней сети при их соединении в внешними серверами. Этот адрес должен быть одним из адресов сетевого интерфейса межсетевого экрана.
Maximum number of UDP and TCP connections: Это максимальное число одновременных соединений между внутренней и внешней сетями для UDP и TCP протоколов. Параметр может принимать значение от 0 до 55000 (значение 0 не следует использовать, так как оно деактивирует трансляцию для выделенного протокола; при этом генерируется сообщение об ошибке при каждом обращении клиента к сервису, основанному на этом протоколе).
Максимальный периоде времени, в течение которого соединение считается активным, даже при отсутствии трафика, можно настраивать с помощью системных параметров. Настройка этого параметра описана в главе Настройка системных параметров.
! Трансляция адресов много-в-один работает только для протоколов TCP, UDP и ICMP. Для сервисов, основанных на других протоколах, трансляция производиться не будет, если только хост источника не помещен в таблицу серверной трансляции.
Таблица серверной трансляции:
Таблица серверной трансляции используется для определения отображения один-в-один; серверам присваиваются реальные адреса и внешние хосты получают к ним доступ.

Чтобы получить доступ к окну настройки защищенных каналов, необходимо выполнить следующие действия:

Выбрать пункт Edit в главном меню

Выбрать опцию Secure Channels

Окно настройки защищенных каналов
Окно содержит параметры конфигурации всех защищенных каналов межсетевого экрана Aker. Каждый канал будет показан на дисплее на отдельной строке, состоящей из нескольких клеток. При выделении одного из каналов строка будет окрашена в другой цвет.

Клавиша OK обновляет параметры каналов и немедленно активизирует каналы.

Клавиша Cancel отбрасывает все сделанные модификации и окно закрывается.

Клавиша Help показывает окно помощи по этому разделу

Если установлена опция Show all entities, на строке будут показаны все составляющие в объекте источника и назначения данного канала, в противном случае будут показаны только первые два

Указание: Если эта опция не установлена и каналы имеют больше двух объектов в источнике или назначении, в каждом поле, содержащем больше двух объектов, будет показана направленная вниз стрелка.

Полоска прокрутки с правой стороны полезна для просмотра каналов, параметры которых не поместились в окне.

Если Вы выделите канал, у которого есть записи в поле комментариев, то последние будут показаны в нижней части окна.

Для выполнения любого действия с параметрами канала, необходимо нажать на нем правой клавишей мыши. Появится следующее меню (Это меню появляется всегда при нажатии на правую клавишу мыши, даже если канал не выделен. В этом случае будут доступны только опции Add и Paste).

Add: Эта опция позволяет включить в список новый канал. Если выделен какой-либо канал, новый канал будет вставлен в позицию выделенного канала. Если же канал не выделен, новый канал будет включаться в конец списка.

Delete: Эта опция удаляет выделенный канал из списка.

Edit: Эта опция открывает окно редактирования выделенного канала.

Copy: Эта опция копирует выделенный канал в буфер.

Cut: Эта опция удаляет выделенный канал из списка и копирует его в буфер.

Paste: Эта опция копирует канал из буфера в список. Если канал выделен, то новый канал будет помещен в позицию выделенного канала. В противном случае он будет помещен в конец списка.

Deselect: Эта опция отменяет выделение канала и снова показывает меню. Это очень полезно при наличии большого числа каналов, и служит для включения или вклейки канала в конец списка.

Рекомендация: Все опции, кроме опции "deselect", доступны через инструментальное меню, расположенное в верхней части окна. В этом случае сначала надо выделить канал, нажав на нем левой клавишей мыши, а затем выбрать необходимую опцию. При добавлении или редактировании каналов появится окно свойств, описание которого приведено ниже:


Для получения доступа к окну просмотра, надо выполнить следующие действия:

Выберите пункт Просмотр в главном окне

Выберите опцию Статистика

Окно фильтрации статистики
Каждый раз при выборе опции "Статистика", автоматически открывается окно фильтрации статистики. Это окно позволяет определить фильтр для просмотра статистики. Оно имеет следующий формат:
По умолчанию фильтр настроен таким образом, чтобы показывать все записи текущего дня. Для просмотра записей по другим дням можно настроить поля Initial Date и Final Date, если ввести в них необходимые даты (диапазон фильтрации будет включать записи от начальной до конечной даты, включительно).
Если нужно просмотреть записи, у которых адреса источника принадлежат определенной группе хостов, для их выделения можно воспользоваться полями Source IP и Source Mask. То же можно сделать и для выделения группы хостов с конкретными адресами назначения, используя поля Destination IP и Destination Mask.
Чтобы просмотреть конкретный сервис, надо ввести с клавиатуры его номер в поле Destination Port or Type of service. Тогда будут показаны только записи с данным сервисом. Важно не забыть выделить необходимый протокол для данного сервиса.
! Для TCP и UDP протоколов, чтобы указать сервис, необходимо в это поле ввести с клавиатуры номер порта, связанный с этим сервисом. В случае ICMP нужно ввести тип сервиса. Для любого другого протокола необходимо ввести его номер.
Кроме указанных полей существуют другие опции, которые можно комбинировать, чтобы еще больше ограничить объем выводимой на экран информации.
Действия:
Описывает действие, проделанное системой над пакетом. Возможны следующие опции:
Любой
Показывает все пакеты. Accepted
Показывает только пропущенные пакеты. Rejected
Показывает только блокированные пакеты Discarded
Показывает только отброшенные пакеты. Translated
Показывает только сообщения, связанные с трансляцией адресов пакетов.
Priority:
Различные типы сообщений имеют разные приоритеты.


Для доступа к окну просмотра событий нужно выполнить следующие действия: Выбрать меню Просмотр в главном окне

Выбрать опцию События

Окно фильтрации событий
При выборе опции События автоматически высвечивается окноФильтрация событий window is automatically displayed. Это окно позволяет выбрать используемый для просмотра фильтр. Оно имеет следующий формат:
По умолчанию фильтр настроен для показа сообщений текущего дня. Чтобы увидеть сообщения за другие дни, необходимо настроить поля Начальная дата и Конечная дата, описав с их помощью интересующий Вас диапазон (он будет содержать сообщения от начальной до конечной даты включительно).
Кроме этих полей, существуют и другие опции, которые можно применять в разных комбинациях, чтобы еще больше ограничить круг выводимой для просмотра информации:
Приоритет:
Различные типы сообщений имеют различные приоритеты. Высший приоритет присваивается наиболее важным из них. В приведенном ниже списке описываются все возможные приоритеты в порядке убывания их важности. (Если межсетевой экран настроен для посылки копии данных регистрации через syslog, то будут генерироваться сообщения с указанными ниже приоритетами.):
! При задании конкретного приоритета на экране будут показаны сообщения только с этим приоритетом.
AnyБудут показаны сообщения с любым приоритетом ErrorСообщения с таким приоритетом содержат информацию о какой-либо ошибке в конфигурации или действиях системы (например, отказ памяти). Сообщения с таким приоритетом достаточно редки и на них следует реагировать как можно быстрее. WarningСообщения с таким приоритетом свидетельствуют о возникновении серьезных нештатных ситуаций (например, во время установления сеанса удаленного администрирования возникла ошибка авторизации пользователя). NoticeЭтот приоритет включает сообщения, в которых содержится информация, важная для системного администратора, но при этом не выходящая за рамки нормального процесса функционирования (например, администратор начал сеанс удаленного администрирования).


Для получения доступа к окну активных соединений необходимо:

Выбрать меню Просмотр в главном окне

Выбрать подпункт Соединения

Выбрать опцию TCP соединения или UDP соединения

Окно активных соединений
В окне активных соединений можно просматривать все соединения, которые прошли через межсетевой экран в течение определенного времени. Окна для TCP и UDP протоколов идентичны за исключением поля Current State, которое существует только в окне TCP соединений.
Часто для упрощения понимания термин соединение используется для TCP и UDP протоколов; это не совсем правильно хотя бы из-за того, что UDP протокол не является ориентированным на соединение. Смысл термина "UDP соединение" заключается в том, что оно представляет UDP сессию, в которой имеет место двусторонний трафик. Любой сеанс можно рассматривать как набор запросов и ответов через межсетевой экран к определенному сервису, который обеспечивается одной стороной и доступ к которому пытается получить другая сторона. Окно соединений выглядит следующим образом
Окно состоит из списка с отдельным элементом для каждого активного соединения. В нижней части окна выводится сообщение о полном числе активных соединений в текущий момент времени.

Кнопка OK закрывает окно активных соединений.

Кнопка Refresh активизирует (или деактивизирует) автоматическое обновление выводимой на дисплей информации. Нажатие на эту кнопку деактивизирует процесс обновления. Интервал обновления можно задать в поле Automatic refresh.

Кнопка Help показывает окно помощи по данному разделу.

Кнопка Remove удаляет выделенное соединение. Чтобы это сделать, необходимо сначала выделить удаляемое соединение (кнопка Remove
недоступна, если соединение не выделено)

! При удалении TCP соединения межсетевой экран посылает пакеты с флагом reset всем хостам, участвующим в соединении, удаляет соединение, а затем удаляет соответствующий элемент из таблицы состояний. В случае UDP соединений межсетевой экран просто удаляет элементы из таблицы состояний.


Для доступа к окну параметров аутентификации необходимо выполнить следующие действия:

Выбрать меню Edit в главном окне

Выбрать опцию Authentication parameters

Окно параметров аутентификации

Кнопка OK закрывает окно параметров аутентификации и сохраняет все изменения.

Кнопка Cancel закрывает окно и отбрасывает все сделанные изменения.

Кнопка Help показывает окно помощи по данному разделу.

Значения параметров
Consult all authenticators: Этот параметр указывает, должен ли межсетевой экран пытаться проверять подлинность пользователя у следующего аутентификатора по списку, если предыдущий аутентификатор присылает сообщение о неверном пароле. Если эта опция установлена, межсетевой экран опрашивает все аутентификаторы по списку, пока он не получит утвердительный ответ или пока не исчерпает весь список. Если нет, поиск закончится на первом же аутентификаторе, который пришлет подтверждение или сообщение о неверном пароле.
! Эта опция используется только при ответах о неверном пароле. Если аутентификатор присылает ответ, что пользователь, подлинность которого надо проверить, не зарегистрирован в базе данных этого хоста, межсетевой экран продолжит поиск в следующем аутентификаторе по списку, независимо от значения этой опции.
User can specify domain: Этот параметр указывает, может ли пользователь при аутентификации сообщить межсетевому экрану, какой аутентификатор он хочет использовать. Если эта опция установлена, пользователь может добавить к своему имени суффикс, образованный символом / и именем аутентификатора, тогда его запрос будет посылаться прямо данному аутентификатору. Если эта опция не установлена, аутентификация будет выполняться в порядке перечисления аутентификаторов в списке, заданном администратором.
! Использование этой опции не обязывает пользователя сообщать имя аутентификатора, опция только позволяет пользователю сделать это при желании. Если пользователь не задает имя аутентификатора, аутентификация будет продолжена нормальным путем.
Для иллюстрации доменной спецификации рассмотрим пример системы с двумя аутентификаторами, названными Unix и Windows_NT (окно с этими аутентификаторами показано на рисунке).


Для доступа к окну конфигурирования SMTP proxy выполните следующие действия:

Выберите меню Proxy в главном окне

Выберите раздел SMTP

Окно контекстов SMTP
Окно контекстов содержит все SMTP контексты, определенные в межсетевом экране. Оно состоит из списка, в котором каждый контекст показан на отдельной строке.

Кнопка OK закрывает окно контекстов

Кнопка Help показывает окно помощи по данному разделу.

Полоска прокрутки с правой стороны используется для просмотра контекстов, которые не поместились в окне.

Для выполнения любого действия с конкретным контекстом нажмите на нем правой клавишей мыши. Откроется следующее меню (Это меню будет появляться всегда, если нажать правую клавишу мыши, даже когда контекст не выделен. В этом случае будут доступны только опции Add и Paste.)

Add: Эта опция позволяет дополнить список новым контекстом. Если выделен какой-либо контекст, новый будет вставлен в позицию выделенного. Во всех других случаях новый контекст добавляется в конец списка.

Delete: Эта опция удаляет выделенный контекст из списка.

Edit: Эта опция открывает окно свойств для выделенного контекста.

Copy: Эта опция копирует выделенный контекст в буфер.

Cut: Эта опция удаляет выделенный контекст из списка и копирует его в буфер.

Paste: Эта опция копирует контекст из буфера в список. Если контекст выделен, новый копируется в позицию выделенного контекста; если нет, он копируется в конец списка.

Указание: Можно получить доступ ко всем этим опциям через инструментальное меню, находящееся в верхней части окна. В этом случае сначала выделите контекст, нажав на нем левой клавишей мыши, а затем выберите необходимую опцию. При добавлении или редактировании контекстов откроется упомянутое выше окно свойств:
Окно свойств для SMTP контекстов


Для доступа к окну настройки Telnet proxy выполните следующие действия:

Выберите меню Proxy в главном окне

Выберите опцию Telnet

Окно контекстов Telnet
Окно контекстов содержит все Telnet контексты, определенные в межсетевом экране. Оно состоит из списка, в котором каждый контекст показан на отдельной строке.

Кнопка OK закрывает окно контекстов.

Кнопка Help показывает окно помощи по данному разделу.

Полоса прокрутки справа используется для просмотра контекстов, которые не уместились в окне.

Для выполнения любого действия на конкретном контексте, нажмите правой клавишей мыши на контексте. Откроется следующее меню (Это меню появляется всегда при нажатии правой клавишей мыши, даже если нет выделенных контекстов. В этом случае будут доступны только опции Add и Paste.)

Add: Эта опция позволяет дополнить список новым контекстом. Если выделен какой-либо контекст, новый вставляется на место выделенного контекста. Во всех прочих случаях новый контекст добавляется в конец списка.

Delete: Эта опция удаляет выделенный контекст из списка.

Edit: Эта опция открывает окно свойств для выделенного контекста.

Copy: Эта опция копирует выделенный контекст в буфер.

Cut: Эта опция удаляет выделенный контекст из списка и копирует его буфер.

Paste: Эта опция копирует контекст из буфера в список. Если контекст выделен, новый будет помещен на место выделенного контекста, если нет, он будет помещен в конец списка.

Указание: Ко всем этим опциям можно получить доступ через инструментальное меню, расположенное в верхней части окна. В этом случае сначала выделите контекст, нажав на нем левой клавишей мыши, а затем выберите необходимую опцию. В случае добавления или редактирования контекстов будет открыто описанное ниже окно свойств: Окно свойств контекстов Telnet
В окне свойств можно настроить все параметры конкретного контекста. Окно состоит из следующих полей: Name: Имя, которое идентифицирует контекст. Это имя будет показано в списке контекстов и в окне редактирования сервисов при создании сервиса, пакеты которого перенаправляются Telnet proxy.


Чтобы добавить новое отображение в список, нужно выполнить следующие действия:

Нажмите на иконку, которая представляет добавление в инструментальном меню.

или:

Нажмите в любом месте списка правую клавишу мыши и выделите опцию Add

во всплывающем меню.

Для редактирования элемента списка надо сделать следующее:

Нажать на левую клавишу мыши на редактируемом элементе, а затем на иконке, которая представляет редактирование в инструментальном меню.

или

Нажмите в любом месте списка правую клавишу мыши и выделите опцию Edit

во всплывающем меню.

Для удаления отображения из списка необходимо выполнить следующее:

Выделить удаляемый элемент при помощи левой клавиши мыши, а затем нажать иконку, представляющую удаление в инструментальном меню.

или

Выделить удаляемый элемент при помощи правой клавиши мыши и выберите опцию Удалить во всплывающем.

Для опций Добавить или Редактировать появится следующее окно:

Real IP: It is the IP address which is defined in the network interface of the internal host.

Virtual IP: Это реальный IP адрес, в который будут транслироваться адреса из внутренней сети. Этот адрес нельзя присваивать какому-либо внешнему хосту и он не может являться адресом сетевого интерфейса межсетевого экрана Aker. Важные замечания:

Список серверов не должен содержать повторяющиеся записи.

Реальные адреса должны принадлежать внутренней сети, определенной в полях IP адрес внутренней сети и сетевая маска внутренней сети.

Виртуальный адрес не может принадлежать внутренней сети

Когда хост, описанный в таблице серверной трансляции образует соединение с внешним хостом, его адрес источника будет преобразован в соответствующий виртуальный адрес, кроме протокола FTP. В случае протокола FTP преобразованный адрес будет виртуальным IP адресом глобальной трансляции, независимо от того, описан ли хост в таблице серверной трансляции или нет.

Чем выше приоритет сообщения. тем оно важнее. В приведенном ниже списке указаны все возможные приоритеты в порядке их снижения (если межсетевой экран настроен для отправки копии сообщения в syslog, сообщения будут генерироваться с теми же приоритетами, что приведены в списке).

! Когда задан некоторый приоритет, на экране будут появляться записи только с этим приоритетом. Записи с более высоким или более низким приоритетом не будут выводиться на экран.

Any

Показывает записи с любым приоритетом. Warning

Записи с этим приоритетом обычно свидетельствуют о том, что имела место какого-либо рода атака или же очень серьезная ситуация (например, ошибка в конфигурации защищенного канала). Этим записям всегда предшествует сообщение, содержащее больше информации о происшествии. Notice

Как правило, записи с этим приоритетом генерируются пакетами, которые были блокированы или отброшены системой, поскольку они соответствовали правилу, запрещающему доступ или не удовлетворяли ни одному из правил. Иногда им предшествуют более поясняющие суть события сообщения. Information

Записи с этим приоритетом добавляют полезную информацию, но не представляют особенной важности для администрирования межсетевого экрана. Они никогда не сопровождаются пояснительными сообщениями. Обычно записи с этим приоритетом генерируются пакетами, пропущенными межсетевым экраном. Debug

Записи с этим приоритетом не несут какой-либо реально полезной информации, кроме информации, полезной при настройке системы. С этим приоритетом генерируются записи модуля трансляции сетевых адресов

Module:

Эта опция позволяет просматривать записи, генерируемые одним из трех основных модулей системы: пакетным фильтром, транслятором сетевых адресов и криптографическим модулем . При выделении одного из этих модулей, будут показаны только генерируемые им записи.

Protocol:

Это поле описывает протокол для выводимых записей. Допустимы следующие опции:

Any

Показывает записи с любым протоколом. TCP

Показывает только записи, относящиеся к TCP пакетам.TCP/SYN

Показывает только записи, относящиеся к установлению TCP соединения ( с флагом SYN). UDP

Показывает только записи, относящиеся к UDP пакетам. ICMP

Показывает только записи, относящиеся к ICMP пакетам. Others

Показывает записи, которые генерируются протоколами, отличными от TCP, UDP и ICMP выше. Более точно определить протокол можно, определив значение в поле Destination Port или Type of Service. Кнопка OK накладывает выбранный фильтр и показывает окно статистики с выбранной информацией.
Кнопка Cancel отменяет действие фильтра и параметры в окне статистики возвращаются к прежним значениям. Кнопка Help выводит подсказку по данному разделу


InformationСообщения с этим приоритетом содержат полезную информацию, но не столь важную для администрирования межсетевого экрана, как предыдущие (например, закончился сеанс удаленного администрирования). DebugСообщения с этим приоритетом не содержат важной информации, кроме необходимой для аудита. Сюда относятся, например, сообщения, которые генерируются модулем удаленного администрирования при каждой сделанной модификации в конфигурации межсетевого экрана или при его рестарте.

Модуль:

Эта опция позволяет увидеть сообщения, которые генерируются каким-либо из трех главных модулей системы или любым внешним сервером. При выборе конкретного модуля будут показаны только относящиеся к нему сообщения. Кнопка OK накладывает описанный фильтр и открывает окно событий с выборкой соответствующей фильтру информации.
Кнопка Cancel отменяет операцию фильтрации и в полях окна событий появляется предыдущая информация. Кнопка Help выводит окно подсказки по данному разделу.

Окно событий

Окно событий открывается после наложения нового фильтра. Оно состоит из списка сообщений. Обычно каждая строка списка соответствует отдельному сообщению, но некоторые сообщения могут занимать две строки. Формат сообщений рассмотрен в следующем разделе.

Важные замечания:

Одновременно выводится 100 сообщений.

На экран можно вывести только первые 10.000 сообщений, соответствующих данному фильтру. Другие сообщения можно увидеть, записав их в файл или используя другой фильтр для вывода меньшего числа сообщений.

Слева от каждого сообщения показан цветной значок, обозначающий его приоритет. Цвета имеют следующие значения:

Синий

Debug
Зеленый

Information
Желтый

Notice
Красный

Warning
Черный Error

Если нажать левую клавишу мыши на сообщении, в нижней части окна появится строка с дополнительной информацией о нем.

Значения кнопок в окне событий

Кнопка OK закрывает окно событий.

Кнопка Refresh активизирует автоматическое обновление выводимой информации.


При первом нажатии эта функция активизируется, про следующем она отменяется. Интервал обновления можно настроить в поле Automatic refresh .

Кнопка Filter открывает окно фильтрации событий, описанное выше. Это позволяет организовать новый просмотр.

Кнопка Erase All позволяет удалить все содержимое файла событий. Если нажать эту кнопку, откроется следующее окно:

Нажмите Yes чтобы стереть все события или No для отказа от операции.

! При стирании содержимого файла событий восстановить его можно только с резервной копии.

Кнопка Compact уплотняет файл событий. При этом удаляются все события старше времени жизни статистики (см. главу Настройка параметров системы ), что позволяет реорганизовать файл событий и улучшить время доступа к нему. Этот процесс выполняется в фоновом режиме, поэтому во время его выполнения невозможно просматривать события.

Если нажать эту кнопку, откроется следующее окно:

Кнопка Save сохраняет всю выделенную информацию в ASCII файле. Файл состоит из различных строк с тем же содержанием, что показано в окне.

Эта опция очень полезна для отправки копии событий другому лицу или для сохранения копии некоторых важных данных в текстовом формате. Если нажать эту кнопку, появится следующее окно:

Для экспортирования сообщений о событиях, введите имя создаваемого файла и нажмите кнопку Save, для отмены операции нажмите кнопку Cancel.

! Если существует файл с таким же именем, он будет переписан.

Кнопка Next 100>>>> позволяет вывести 100 следующих сообщений. Если они отсутствуют, опция будет недоступна.

Кнопка <позволяет позволяет вывести 100 предыдущих сообщений. Если больше сообщений нет, опция будет недоступна.

Кнопка Help открывает окно помощи по окну просмотра событий.

Кнопка DNS позволяет включить или выключить разрешения имен хостов с помощью системы доменных имен (DNS) для адресов в списке соединений. Обратите внимание на следующее:

Если нажать кнопку DNS, прервется автоматическое обновление. Для его активизации нажмите кнопку Refresh.

После нажатия кнопки DNS показываемая на дисплее информация будет состоять только из имен хостов и портов источника и назначения. Заголовок в верхней части окна будет автоматически изменен, чтобы представлять новую информацию.

Процесс разрешения имен очень часто проходит довольно медленно, из-за чего он выполняется в фоновом режиме.

Часто из-за проблем с настройкой обратных зон ( соответствие IP адресов именам), разрешить некоторые IP адреса в имена невозможно. В этих случаях на экран будут выводиться адреса с указанием факта, что для них не описано обратное разрешение.

Поле Sort позволяет выбрать способ вывода на дисплей списка соединений. Оно содержит опции:

Source IP: Список соединений сортируется по IP адресам источника (этот порядок устанавливается по умолчанию).

Destination IP: Список соединений сортируется по IP адресам назначения

Service: Список соединений сортируется по порту назначения соединения, соответствующему данному сервису.

В такой системе, если пользователь с именем аdministrator хочет пройти аутентификацию на машине Windows_NT, он должен ввести следующий текст при запросе его регистрационного имени: administrator/Windows_NT. Если он не укажет суффикс, межсетевой экран будет пытаться аутентифицировать его на машине Unix, и если не существует пользователя с таким именем или опция Consult all authenticators

будет установлена, межсетевой экран будет пытаться аутентифицировать данного пользователя на хосте Windows_NT.

! Имя аутентификатора должно быть в списке опрашиваемых аутентификаторов.

Список аутентификаторов

В окне присутствуют два списка аутентификаторов: список слева показывает все объекты типа аутентификатор, определенные в системе. Список справа указывает, какие аутентификаторы будут использоваться для аутентификации пользователей и в каком порядке. Чтобы добавить аутентификатор в правый список, надо сделать следующее:

Выделить добавляемый аутентификатор в левом списке

Нажать кнопку, изображающую направленную вправо стрелку (только что добавленный аутентификатор будет помечен красным значком V

в левом списке, указывая на то, что он добавлен и будет представлен в правом списке).

Для удаления аутентификатора из списка необходимо:

Выделить удаляемый аутентификатор в правом списке.

Нажать кнопку X (удаленный аутентификатор больше не будет помечен значком V в левом списке).

Для изменения порядка следования аутентификаторов в списке, сделайте следующее:

Выделите перемещаемый аутентификатор в правом списке.

Нажмите одну из кнопок справа от списка: кнопка со стрелкой вверх переместит выделенный аутентификатор на одну позицию вверх в списке, а кнопка со стрелкой вниз переместит его на одну позицию вниз.

! Опрос аутентификаторов проводится в порядке их следования в правом списке, сверху вниз.

Назад | Содержание | Вперед


Не может быть двух контекстов с одинаковыми именами. Maximum number of simultaneous sessions: Это поле определяет максимальное число Telnet сессий для данного контекста. Если число открытых сессий достигает этого предела, пользователи, пытающиеся установить новые соединения, будут информированы о том, что достигнут предел и что им следует возобновить попытки позднее. Allowed only with a valid reverse DNS: Если эта опция установлена, будут приниматься соединения только от хостов, для которых описано обратное преобразование в системе доменных имен (DNS). Idle timeout: Этот параметр определяет максимальное время в секундах, в течение которого proxy остаются в активном состоянии при отсутствии передачи через них данных. Это значение должно быть меньше или равно тому значению, которое задается в поле TCP Timeout в глобальных параметрах настройки (смотрите главу Настройка параметров системы ). Default permission: Это поле определяет, какое действие будет применено ко всем тем пользователям, кто не принадлежит к какой-либо из групп из разрешающего доступ списка. Значение accept позволяет установить Telnet соединение, а значение reject нет. Permissions list: В этом списке описывается пользователи или группы пользователей, которым разрешен доступ. Для выполнения действий с пользователем или группой в списке нажмите на соответствующем пользователе (или на группе) правой клавишей мыши. Появится следующее меню (Это меню появляется каждый раз, если нажать правую клавишу мыши, даже когда не выделен пользователь или группа. При этом доступны только опции Add и Paste)

Add: Эта опция позволяет добавить нового пользователя или группу в список. Если выделен какой-либо пользователь (или группа), новый будет вставлен на место выделенного. Во всех прочих случаях новый пользователь (или группа) будут добавлены в конец списка.

Edit: Эта опция позволяет модификацию полномочия на доступ для пользователя (или группы).

Delete: Эта опция удаляет выделенного пользователя (или группу) из списка.

Совет: Ко всем этим опциям можно получить доступ через инструментальную полоску, расположенную справа над списком. В этом случае сначала выделите пользователя (или группу), нажав на нем левой клавишей мыши, а затем нажмите необходимую опцию.

! Порядок расположения пользователей и групп в списке полномочий очень важен. При аутентификации пользователя межсетевой экран просматривает список с самого начала в поисках имени пользователя или группы, к которой он принадлежит. Как только оно будет найдено, начинает использоваться связанные с ним полномочия.

Для изменения позиции пользователя или группы в списке, сделайте следующее:

Выберите перемещаемого пользователя или группу.

Нажмите одну из кнопок в форме стрелки справа от списка. Кнопка со стрелкой вверх переместит выделенного пользователя или группу на одну позицию вверх, а кнопка со стрелкой вниз - на одну позицию вниз.

При добавлении пользователей или группы откроется следующее окно: Окно добавления пользователя или группы

Окно добавления определяет полномочия на доступ для пользователя или группы у конкретного аутентификатора. Для его определения необходимо сделать следующее:

Выбрать аутентификатор, с которого вы хотите получить список пользователей или групп, нажав левой клавишей мыши на его имени в верхнем списке окна (Если необходимого аутентификатора нет в списке, нужно добавить его в список аутентификаторов. Подробно этот вопрос рассмотрен в главе Настройка параметров аутентификации .)

Выбрать между списками пользователей и групп, нажав соответствующую кнопку, расположенную между двумя списками

Нажать левой клавишей мыши на имени добавляемого пользователя или группы в нижнем списке окна.

Определить права на доступ для пользователя или группы, выбрав между значениями accept (которое позволяет установить соединение) или reject

(которое запрещает установление соединения).

Нажать кнопку OK , которая закрывает окно и добавляет пользователя или группу в список.

Назад | Содержание | Вперед

Использование графического интерфейса

Для доступа к окну управления пользователями через удаленный интерфейс необходимо:

Выбрать опцию Session в главном меню

Выбрать опцию Users Management

! Эта опция становится доступной только тогда, когда пользователь, открывающий сеанс в удаленном интерфейсе, авторизован для управления пользователями. Детально этот вопрос будет рассмотрен в следующем параграфе.
Экран управления пользователями:
Этот экран содержит список всех зарегистрированных пользователей. По каждому пользователю показываются учетное и полное имена. Полное число пользователей приводится в нижней части экрана

Кнопка OK закрывает окно управления пользователями и сохраняет все изменения

Кнопка Apply сохраняет все модификации и оставляет окно открытым.

Кнопка Cancel закрывает окно и отбрасывает все сделанные изменения

Кнопка Help выводит экран помощи по данному разделу.

При выборе пользователя его параметры показываются в соответствующих полях.

Для изменения параметров пользователей выполните следующее:

Выделите пользователя, атрибуты которого вы хотите изменить, нажав левой клавишей мыши на его имени. Его атрибуты будут показаны в полях после списка пользователей.

Измените параметры и нажмите кнопки Apply или OK

Чтобы включить пользователя в список, сделайте следующее:

Нажмите правой клавишей мыши где-нибудь в зарезервированной области, чтобы показался список, и выберите пункт Add всплывающего меню или нажмите кнопку добавления пользователей в инструментальном меню.

Заполните поля параметров пользователя и нажмите кнопку Apply или OK.

Чтобы удалить пользователя из списка, проделайте следующие действия:

Выделите пользователя, которого хотите удалить, нажав на его имени левой клавишей мыши, затем нажмите на кнопку удаление в инструментальном меню

или

Нажмите на имени пользователя, которого хотите удалить, правой клавишей мыши, затем выделите опцию Remove в всплывающем меню.

Значение атрибутов пользователя

Login
Это регистрационное имя пользователя межсетевого экрана.
Это имя должно быть уникальным. Регистрационное имя запрашивается менеджером межсетевого экрана, когда он устанавливает сеанс удаленного управления.

Регистрационное имя должно иметь длину от 1 до 14 символов без различия между заглавными и строчными буквами.

Name

В этом поле описывается полное имя пользователя. Этот параметр чисто информативный и не используется для каких-либо проверок.

Это поле должно быть строкой длиной от 0 до 40 символов.

Password/New Password

Это поле будет называться Password, если у добавляемого пользователя еще нет пароля и New Password, если пароль пользователя уже был определен ранее. При вводе пароля вместо символов на экране будут отображаться звездочки "*".

Это поле используется совместно с полем регистрационного имени для идентификации пользователя межсетевого экрана Aker.

Пароль должен иметь длину от 6 до 14 символов; заглавные и строчные буквы различаются.

! Исключительно важно, чтобы используемые пароли имели большую длину, близкую насколько возможно к пределу в 14 печатных символов. Кроме того, вы всегда должны использовать в паролях комбинации строчных и заглавных букв, чисел и других специальных печатных символов (специальными печатными символами являются символы, которые находятся на компьютерной клавиатуре и не являются ни числами, ни буквами: "$", "&", "]" и т.д.). Никогда не используйте в качестве паролей слов какого-либо языка или только числа.

Confirmation

Это поле служит для подтверждения введенного в предыдущем поле пароля.

Permissions

Это поле определяет права пользователя на межсетевом экране Aker. Поле состоит из трех опций, которые можно устанавливать независимо.

Наличие таких полномочий позволяет создать децентрализованное управление межсетевым экраном. Например, в компании с большим числом отделений и межсетевых экранов децентрализованное управление позволяет администратору отделения отвечать за конфигурацию межсетевого экрана, а администратор безопасности компании был бы единственной персоной, имеющей право стирать и менять статистику сообщений и событий межсетевых экранов.


Таким образом, хотя каждое отделение и имеет свое автономное управление, возможен централизованный контроль за изменениями всех конфигураций, а также временем их проведения.

! Если у пользователя нет никаких полномочий, он сможет только просматривать конфигурацию межсетевого экрана и уплотнять файлы статистики и событий.

Configure the Firewall

При наличии этого права пользователь будет иметь возможность управлять межсетевым экраном; это означает, что он сможет менять конфигурацию объектов, правила фильтрации, трансляцию сетевых адресов, криптографию, настройки proxy и параметры конфигурации, не связанные со статистикой.

Configure the Log

Если установлена эта опция, то пользователь будет иметь возможность менять параметры, связанные со статистикой (например, срок жизни файла статистики), конфигурацию (как сообщения, так и параметры) реакции системы, а также удалять файлы статистики и событий.

Manage Users

Наличие этого права дает доступ к меню управления пользователями, которое позволяет добавлять, редактировать и удалять других пользователей.

! Пользователь, обладающий такими правами, может создавать, редактировать или удалять пользователей только с тем же или более низким набором полномочий (например, если пользователь имеет полномочия по управлению пользователями и конфигурированию статистики, тогда он может создавать пользователей, которые или не будут обладать никакими правами, или обладать правом по настройке статистики, или правами по настройке статистики и управлением пользователями). Он не может создавать, редактировать или удалять пользователей, имеющих право конфигурации межсетевого экрана.

Использование инструментальных средств графического интерфейса

В этой главе объясняется назначение инструментальных средств в графическом интерфейсе межсетевого экрана Aker.

Использование интерфейса командной строки

Кроме графического интерфейса для управления пользователями может быть использован локальный интерфейс командной строки, обладающий теми же возможностями, что и графический интерфейс. Единственной недоступной функцией является изменение полномочий пользователей. Этот интерфейс, реализованный при помощи команды fwadmin является интерактивным и не получает параметров из командной строки.
Путь к программе: /etc/firewall/fwadmin При запуске программа выводит на экран: ---------------------------------------------------------------- Aker Firewall version 3.0 Remote users administration module Choose one of the following options: Add a new user Remove an existing user Modify an user's password List the registered users Compact the users file Exit fwadmin -----------------------------------------------------------------
Для выполнения одной из опций, нажмите выделенную жирным букву. Каждая из опций будет показана на экране в деталях:

Add a new user Эта опция позволяет создать новых пользователей, которые смогут удаленно управлять межсетевым экраном Aker . Когда выделена эта опция, на экране появляется форма для ввода информации о пользователе. После заполнения полей на экране появится запрос для подтверждения создания пользователя. ---------------------------------------------------------------- Aker Firewall version 3.0 Remote users administration module User creation Enter the login : Administrator Configure Firewall ? (Y/N): Yes Configure the log ? (Y/N) : Yes Manage Users ? (Y/N) : No Enter the complete name : Aker Firewall administrator Enter the password : Confirm the password : Create user ? (Y/N) ----------------------------------------------------------------
Важные замечания:

В полях, где указан выбор (Y/N) вы должны нажать "Y" для утвердительного ответа и "N" - для отрицательного.

Пароль и подтверждение пароля не будут высвечены на экране.

Remove an existing user Эта опция удаляет пользователя, который зарегистрирован в системе. Для удаления будет запрошено регистрационное имя пользователя. Если пользователь действительно зарегистрирован, будет запрошено подтверждение для продолжении процедуры. ---------------------------------------------------------------- Aker Firewall version 3.0 Remote administration user module Users removal Enter the login : Administrator Remove user ? (Y/N) ----------------------------------------------------------------

Для продолжения удаления нажмите "Y"

Modify an user's password Эта опция позволяет изменить пароль уже зарегистрированного пользователя. Будет запрошено регистрационное имя пользователя, и, в случае, если пользователь существует, будет запрошен новый пароль и подтверждение этого нового пароля (как уже упоминалось, пароль и его подтверждение не будут высвечены на экране ). ---------------------------------------------------------------- Aker Firewall version 3.0 Remote users administration module User's password changing Enter the login : Administrator Enter the new password : Confirm the new password : Password changed successfully - Press Enter ----------------------------------------------------------------

List the registered users Эта опция показывает список имен и полномочий всех пользователей, которые могут удаленно управлять межсетевым экраном. Ниже приводится пример одного из возможных списков: ------------------------------------------------------------------ Aker Firewall version 3.0 Remote users administration module Users list Login Name Permissions ------------------------------------------------------------------- Administrator Aker Firewall Administrator CF CL MU User Aker Firewall User -- -- -- Auditor Aker Firewall Auditor -- CL -- Manager Aker Firewall Manager -- -- MU CF = Configure Firewall, CL = Configure log, MU = Manage Users End of list - Press Enter to continue ------------------------------------------------------------------


Поле полномочий состоит из 3 возможных значений: CF, CL and MU, что соответственно означает право на конфигурирование межсетевого экрана, настройку статистики и управление пользователями. Если данное право у пользователя есть, оно будет показано в виде описанных выше кодов, в противном случае будет указано не его отсутствие.

Compact the users file Эта опция не представлена в графическом интерфейсе и применяется довольно редко. Она используется для уплотнения файла пользователей путем удаления более не используемых элементов данных. Ее следует применять, только когда большое число пользователей было удалено из системы. При задании этой опции файл будет уплотнен и, в конце появится сообщение, указывающее, что процедура закончена (уплотнение файла обычно проходит быстро и занимает несколько секунд).

Exit fwadmin Эта опция завершает программу fwadmin и управление возвращается обратно shell Назад | Содержание | Вперед


Пример 1: (Просмотр таблицы защищенных каналов) Entry 01: -------- Source : NETWORK1 Destination : AKER Direction : Receive Keys: SKIP Secret : 5ab53faefc7c9845acbe223148065dabe3279819ab01c39654effacbef087022 Entry 02: -------- Source : AKER Destination : NETWORK1 Direction : Send Keys: SKIP Algorithms: 3DES MD5 DES Secret : 5ab53faefc7c9845acbe223148065dabe3279819ab01c39654effacbef087021 Entry 03: -------- Source : Internal Network Destination : External Network 1 Direction : Send Keys: Manual Algorithms: SHA DES SPI : 999 Authentication: 0c234da5677ab5 Encryption : 9a34ac7890ab67ef IV: 64 bits Entry 04: -------- Source : External Network 1 Destination : Internal Network Direction : Receive Keys: Manual Algorithms: SHA DES SPI : 999 Authentication: 0c234da5677ab5 Encryption : 9a3456ac90ab67ef IV: 64 bits

Пример 2: (Удаление третьего элемента) #/etc/firewall/fwcripto remove 3 Entry 3 removed

Пример 3: (Добавление элемента с ручным обменом ключей и шифрованием DES в конец таблицы) #/etc/firewall/ fwcripto add end NETWORK1 NETWORK2 send manual 7436 MD5 c234da5677ab5 DES 64 4234ad70cba32c6ef Entry added at position 3

Пример 4: (Добавление элемента с обменом ключей через SKIP в начало таблицы) #/etc/firewall/fwcripto add 1 NETWORK1 NETWORK2 send skip 3DES SHA DES 5ab53faefc7c9845acbe223148065dabe3279819ab01c39654effacbef087022 Entry added at position 1

Назад | Содержание | Вперед

Использование помощи в режиме он-лайн

Межсетевой экран Aker имеет систему помощи, работающую в режиме on-line. Все окна, кроме предназначенных для подтверждения, имеют кнопку Help. При активизации эта кнопка открывает специальное окно помощи.
Кроме такой специальной помощи в каждом окне можно перемещаться по структуре справочного документа, аналогично тому как Вы делаете в этом Руководстве. Для этого надо проделать следующие действия:
Выберите опцию Help в главном меню

Выберите пункт Help
В системе помощи существуют ссылки, как в этом Руководстве. При выборе на такую ссылку будет высвечено соответствующее окно. Назад | Содержание | Вперед

Использование ручного механизма обмена ключами

Для использования ручного обмена ключами необходимо выделить опцию Manual
в поле Key Configuration. Это приведет к изменению окна, на котором появятся необходимые поля для настройки параметров:
Аутентификация
Для создания каналов, в которых используется только аутентификация, нужно выделить опцию None в поле Encryption. В этом случае появятся следующее окно:
Source Entities : Определяет объекты, адреса которых будут сравниваться с адресом источника IP пакетов, которые должны попадать в канал.
Destination Entities : Определяет объекты, адреса которых будут сравниваться с адресом назначения IP пакетов, которые должны попадать в канал.
Comment: Поле комментариев.
Direction of the channel: Определяет направление канала. Эта опция может принимать два значения: отправка (send) или (receive
прием. За деталями обращайтесь к разделу этой главы Введение.
SPI: (Security Parameter Index) Это уникальное число, используемое приемником, которое идентифицирует потоки. Оно должно превышать 255 и обязательно различаться для каждого канала, направленного к тому же приемнику.
Ключ аутентификации: Это ключ, используемый при аутентификации. Он должен быть записан в шестнадцатеричном формате. Максимальный размер ключа зависит от используемого алгоритма: 32 знака для MD5 и 40 знаков для SHA. Рекомендуется использовать максимально допустимое количество знаков.
Тип аутентификации: Это поле определяет, какой алгоритм аутентификации будет применяться. Возможны два алгоритма: MD5 или SHA. Аутентификация с шифрованием, использующим DES
Для создания каналов с шифрованием, использующим алгоритм DES, следует выделить опцию DES в поле Encryption. Вы увидите следующее окно:
Это окно полностью совпадает с окном для предыдущего элемента меню за исключением двух полей:
Size of the initialization vector: Это размер в битах вектора инициализации, который применяется в алгоритме DES. Этот вектор генерируется системой автоматически для каждого посылаемого пакета. Рекомендуется использование варианта с 64 битами.

Key: Это ключ, который будет применяться для шифрования пакетов. Он обязательно должен быть шестнадцатеричным числом с 16 знаками. Аутентификация с шифрованием, использующим Triple DES (3DES)

Для создания каналов с шифрованием , использующим алгоритм Triple DES, следует использовать опцию 3DES в поле Encryption. Вы увидите следующее окно:

В этом окне добавляются 4 новых поля по сравнению с окном только аутентификация:

Size of the initialization vector: то размер в битах вектора инициализации, который применяется в алгоритме 3DES. Этот вектор генерируется системой автоматически для каждого посылаемого пакета. Рекомендуется использование варианта с 64 битами.

Ключ 1: Это ключ, применяемый при первом преобразовании в алгоритме 3DES. Он обязательно должен быть шестнадцатеричным числом с 16 знаками.

Ключ 2: Это ключ, применяемый при втором преобразовании в алгоритме 3DES. Он обязательно должен быть шестнадцатеричным числом с 16 знаками.

Ключ 3: Это ключ, применяемый при третьем преобразовании в алгоритме 3DES. Он обязательно должен быть шестнадцатеричным числом с 16 знаками.

Использование SKIP для обмена ключей

Для использования SKIP для обмена ключами нужно выделить опцию SKIP
в поле Key Configuration. Окно изменится и в нем появятся необходимые поля.
В протоколе SKIP вся информация, связанная с алгоритмами аутентификации и шифрования, конфигурируется только в хосте, посылающем пакеты. В хосте, который принимает пакеты, необходимо лишь описать объекты источника и назначения и общий секрет.
В обоих случаях появится следующее окно (при настройках на хосте приемнике ненужные поля будут недоступны):
Источник: Определяет объекты, адреса которых будут сравниваться с адресом источника IP пакетов, которые должны попадать в канал.
Приемник : Определяет объекты, адреса которых будут сравниваться с адресом назначения источника IP пакетов, которые должны попадать в канал.
Комментарии:Поле комментариев.
Направление канала: Определяет направление канала. Эта опция может принимать два значения: отправка (send) или (receive)
прием. За деталями обращайтесь к разделу этой главы Введение.
Алгоритм шифрования ключа: Это алгоритм, применяемый для шифрования посылаемого в пакете ключа сеанса. Рекомендуется пользоваться 3DES.
Алгоритм шифрования пакетов: Это алгоритм, которым пользуются для шифрования данных. Возможные опции None ( при использовании только аутентификации), DES и 3DES. Рекомендуется использовать 3DES.
Алгоритм аутентификации: Определяет , какой алгоритм будет использоваться для аутентификации. Возможные значения: MD5 или SHA.
Общий секрет: Это секрет, который будет использоваться для генерации мастер ключей (за деталями обращайтесь к разделу этой главы Введение ).Секрет должен быть одинаков для обоих межсетевых экранов по обе стороны канала. Он обязательно должен быть шестнадцатеричным числом с 64 знаками. Кроме этих полей, существуют две кнопки, облегчающие настройку секрета в обоих межсетевых экранах, отвечающего за шифрование и дешифрование в защищенном потоке:
Загрузить секрет: Эта кнопка позволяет прочесть значение из ASCII файла в поле общего секрета. Этот файл должен состоять только из одной строки длиной 64 символа.
Сохранить секрет: Эта кнопка позволяет записать содержимое поля общего секрета в ASCII файл. Переписанный файл будет иметь только одну строку длиной 64 символа. При нажатии какой-либо из этих кнопок появляется окно, позволяющее выбрать имя файла, в котором следует сохранить или считать секрет.

Использование SMTP proxy

Чтобы использовать SMTP proxy , необходимо выполнить следующие шаги:

Создать контекст с описанием параметров соединения (подробные объяснения содержатся в следующем разделе).

Зарегистрировать сервис, пакеты которого будет перенаправляться SMTP proxy, используя созданный на шаге 1 контекст (смотрите главу Регистрация объектов ).

Добавить правило фильтрации, позволяющее использовать созданный на шаге 2 сервис применительно к необходимым Вам сетям или хостам (смотрите главу Фильтр с контролем состояния).

Использование Telnet proxy

Чтобы использовать Telnet proxy, необходимо выполнить следующие шаги:

Создать контекст ( как это сделать, объяснено в следующем разделе).

Зарегистрировать сервис, пакеты которого будет перенаправлены Telnet proxy, используя контекст, созданный на предыдущем шаге (см. главу Регистрация объектов ).

Добавить правило фильтрации для этого сервиса для необходимых сетей и хостов (см. главу Пакетный фильтр с контролем состояния).

Теперь, когда Telnet сессия удовлетворяет созданному правилу, межсетевой экран запрашивает идентификатор пользователя и пароль. Если идентификатор и пароль введены правильно и пользователю разрешен доступ, сессия будет установлен. В противном случае пользователю сообщается об ошибке и сессия заканчивается.

Использование удаленного интерфейса

В этой главе рассказывается о работе удаленного графического интерфейса.

Использование WWW proxy

Для использования WWW proxy необходимо выполнить следующие действия:

Создать необходимые профили доступа (этот вопрос рассматривается в разделе Создание профилей доступа ).

Отредактировать параметры WWW proxy ( см. раздел Редактирование параметров WWW proxy ).

Создать правила фильтрации, разрешающие клиентам доступ к proxy (см. главу Пакетный фильтр с контролем состояния).

! WWW proxy межсетевого экрана Aker принимает соединения по 80 порту, используя TCP протокол. Если нужно, номер порта можно заменить при запуске proxy , добавив параметр -p port, где port - номер необходимого порта. Proxy запускается из файла /etc/rc; в нем вы можете изменить параметры, например вместо строки /etc/firewall/fwhttppd написать /etc/firewall/fwhttppd -p 8080.

Изменение паролей пользователей

Все пользователи межсетевого экрана Aker могут менять свои пароли по мере необходимости. Для этого сначала следует открыть сессию управления (как показано в параграфе Запуск удаленного интерфейса) и затем выполнить следующие действия:
Выбрать опцию Sessionв главном окне
Выбрать пункт Change Password
Появится следующее окно:
Вы должны ввести старый пароль в поле Old password, новый пароль в поле New password и в поле Confirm password (пароль будет высвечиваться в виде звездочек "*").
После заполнения полей нажмите кнопку OK для изменения пароля или кнопку Cancel в случае если Вы не хотите его менять.

Как межсетевой экран Aker обеспечивает защиту от SYN атак?

Межсетевой экран Aker имеет механизм, назначение которого - препятствовать проведению SYN атак. Принцип его действия заключается в следующем:

Когда защищаемому серверу посылается пакет с запросом на установление соединения (пакет с SYN-флагом, описанный в предыдущем разделе), межсетевой экран регистрирует его в таблице и позволяет пакету пройти. (Естественно, что пакет будет пропущен только в случае, если это разрешено правилами фильтрации, описанными администратором. За подробностями обращайтесь к главе Пакетный фильтр с контролем состояния).

После прихода ответа сервера о подтверждении запроса на соединение (пакет с SYN и ACK-флагами) межсетевой экран посылает пакет серверу с подтверждением соединения, а также посылает ответный пакет клиенту. С этого момента в межсетевом экране активизируется внутренний таймер, который отсчитывает период времени, в течение которого должен прибыть пакет с подтверждением от клиента.

Если запрос о соединении нормальный, то в течение установленного промежутка времени клиент пришлет ответный пакет с подтверждением соединения. Получив этот пакет, межсетевой экран будет считать запрос об установлении соединения нормальным и остановит таймер.

Если клиент не отвечает в течение максимально разрешенного промежутка времени, межсетевой экран пошлет специальный пакет серверу, что приведет к удалению информации о соединении.

Применение описанной процедуры для какого-либо сервера позволяет межсетевому экрану препятствовать заполнению очереди запросов на соединение, поскольку все соединения будут устанавливаться сразу после того, как ответные пакеты сервера достигнут межсетевого экрана и будут удалены из очереди; следовательно, SYN атака не сможет быть реализована.
! Важно подчеркнуть, что действие механизма защиты основано на контроле времени задержки ответа клиента. Если установленный тайм-аут слишком короткий, то могут получать отказы правильные соединения. Если тайм-аут слишком длинный, сервер в случае атаки будет хранить информацию о большом количестве установленных соединений, что может привести к еще более серьезным проблемам.

Как пользоваться интерфейсом Windows или NT

Интерфейс Windows прост в использовании благодаря тому, что большинство пользователей привыкли к этой среде. Однако, обратите внимание на следующее:
Левые и правые кнопки на корпусе мыши имеют различные функции в интерфейсе. Левая кнопка применяется для выделения опций в списках и для ввода с использование мыши. Правая кнопка показывает всплывающее меню для некоторых списков. Большинство этих опций доступны также из инструментального меню в верхней части окна.

Каким образом Aker обеспечивает удаленное управление?

Для поддержки удаленного управления на межсетевом экране запускается процесс, обеспечивающий установление соединения, проверку прав пользователей и выполнение задач пользователя. Когда пользователь начинает сеанс удаленного управления, графический интерфейс устанавливает соединение с модулем удаленного управления межсетевого экрана и поддерживает это соединение открытым, пока пользователь не завершит сеанс.
Все взаимодействие между удаленным интерфейсом и межсетевым экраном осуществляется по защищенному с помощью криптографии и аутентификации пользователей каналу. Для каждой сессии генерируются свои ключи. Кроме того, используются дополнительные меры безопасности для защиты от атак с проигрыванием параметров.
Необходимо сделать несколько важных замечаний по поводу удаленного управления:
Для того чтобы удаленный хост мог взаимодействовать с межсетевым экраном, необходимо добавить правило, разрешающее доступ по TCP протоколу к порту 1020 с хоста, с которого необходим доступ Подробная информация об этом содержится в главе Пакетный фильтр с контролем состояния
Одновременно может использоваться только один удаленный интерфейс. Попытки открыть другую удаленную сессию будут отклонены с сообщением о том, что одна активная административная сессия уже открыта.
Пользователь, использующий удаленный интерфейс, должен быть зарегистрирован в системе. Инсталляционная программа может автоматически создать менеджера с полномочиями по регистрации других менеджеров. Если вы удалили описание такого менеджера или потеряли его пароль, необходимо использовать локальный интерфейс командной строки для создания нового менеджера. Более детальное описание можно найти в главе Управление пользователями межсетевого экрана.

IP адрес:

Объекты:

NETWORK1 - IP адрес: A1.B1.C1.0 - Cетевая маска 255.255.255.0

NETWORK2 - IP адрес: A2.B2.C2.0 - Cетевая маска 255.255.255.0

Защищенный канал 1:

Направление канала: отправка

Источник: NETWORK1

Назначение: NETWORK2

Алгоритм шифрования: DES

Алгоритм аутентификации: MD5

Ключ аутентификации: X1

Ключ шифрования: X2

Защищенный канал 2:

Направление канала: прием

Источник: NETWORK2

Назначение: NETWORK1

Алгоритм шифрования: DES

Алгоритм аутентификации: MD5

Ключ аутентификации: X3

Ключ шифрования: X4


Объекты:

SUBNET1 - IP адрес: A1.B1.2.0 - Сетевая маска 255.255.255.0

SUBNET2 - IP адрес: A2.B2.5.0 - Сетевая маска 255.255.255.0

Защищенный канал 1:

Направление канала: отправка

Источник: SUBNET1

Назначение: SUBNET2

Алгоритм шифрования: DES

Алгоритм аутентификации: MD5

Ключ аутентификации: X1

Ключ шифрования: X2

Защищенный канал 2:

Направление канала: прием

Источник: SUBNET2

Назначение: SUBNET1

Алгоритм шифрования: 3DES

Алгоритм аутентификации: SHA

Ключ аутентификации: X3

Ключ шифрования: X4

Обратите внимание на то, что

Объекты:

NETWORK1 - IP адрес: A1.B1.C1.0 - Сетевая маска 255.255.255.0

NETWORK2 - IP адрес: A2.B2.C2.0 - Сетевая маска 255.255.255.0

Защищенный канал 1:

Направление канала: прием

Источник: NETWORK1

Назначение: NETWORK2

Алгоритм шифрования: DES

Алгоритм аутентификации: MD5

Ключ аутентификации: X3

Ключ шифрования: X4

Защищенный канал 2:

Направление канала: отправка

Источник: NETWORK2

Назначение: NETWORK1

Алгоритм шифрования: DES

Алгоритм аутентификации: MD5

Ключ аутентификации: X1

Ключ шифрования: X2

! Обратите внимание на то, что правило 1 для межсетевого экрана Aker 1 в точности совпадает с правилом 1 для межсетевого экрана Aker 2, за исключением пункта, связанного с направлением. То же касается и правила 2.

Пример конфигурации защищенного канала для подсети

В этом примере определим защищенный канал только для группы хостов в каждой из двух сетей. Кроме того, установим различные алгоритмы для каналов между этими группами.

Использование различных алгоритмов для двух направлений защищенного канала может оказаться полезным в том случае, когда ценность информации в одном направлении больше, чем в другом. В этом случае более защищенный алгоритм применяется в наиболее критическом направлении. Предположим еще, что сети 1 и 2 содержат два адреса класса В: А1.В1.0.0 и А2.В2.0.0, соответственно.


Объекты:

SUBNET1 - IP адрес: A1.B1.C1.0 - Сетевая маска 255.255.255.0

SUBNET2 - IP адрес: A2.B2.C2.0 - Сетевая маска 255.255.255.0

Защищенный канал 1:

Направление канала: отправка

Источник: SUBNET2

Назначение: SUBNET1

Алгоритм шифрования: 3DES

Алгоритм аутентификации: SHA

Ключ аутентификации: X3

Ключ шифрования: X4

Защищенный канал 2:

Направление канала: прием

Источник: SUBNET1

Назначение: SUBNET2

Алгоритм шифрования: DES

Алгоритм аутентификации: MD5

Ключ аутентификации: X1

Ключ шифрования: X2

! Заметьте, что в этом случае совпадение правил возникает в двух межсетевых экранах в другом порядке: правило 1 в межсетевом экране 1 совпадает с правилом 2 в межсетевом экране 2 (с измененными направлениями), а правило 2 в экране1 совпадает с правилом 1 в экране 2 (опять с измененными направлениями). Конечно, порядок описания правил для данных примеров не имеет значения (однако, это не всегда так):

Конфигурационные файлы

/etc/firewall/chave.fw - ключ активизации межсетевого экрана

/etc/firewall/conf/acesso.tab - cписок управления доступом в систему

/etc/firewall/conf/acesso.telnet - список управление доступом для контекстов Telnet proxy

/etc/firewall/conf/acl.tab - профили доступа, зарегистрированные в системе

/etc/firewall/conf/auth.tab - глобальные параметры аутентификации

/etc/firewall/conf/conjuntos.tab - объекта типа набор, зарегистрированные в системе

/etc/firewall/conf/contextos.smtp - список контекстов SMTP proxy

/etc/firewall/conf/contextos.telnet - список контекстов Telnet proxy

/etc/firewall/conf/conv.tab - серверная таблица трансляции адресов

/etc/firewall/conf/crypt.tab - таблица защищенных каналов

/etc/firewall/conf/entidades.crypt - объекты, используемые для работы защищенных каналов

/etc/firewall/conf/entidades.tab - объекты, зарегистрированные в системе

/etc/firewall/conf/entidades.filtro - объекты, используемые для работы пакетного фильтра

/etc/firewall/conf/filtros.smtp - список фильтров для SMTP контекстов

/etc/firewall/conf/parametros.fw - общие конфигурационные параметры системы

/etc/firewall/conf/parametros.http - конфигурационные параметры WWW proxy

/etc/firewall/conf/regras.filtro - правила пакетного фильтра

/etc/firewall/conf/sites.tab - адреса, используемые в профилях доступа

/etc/firewall/conf/syn.tab - таблица параметров защиты от SYN атак

/etc/firewall/conf/usuarios.tab - пользователи, авторизованные для удаленного администрирования

Копируемые файлы

Конфигурационные файлы, указанные в предыдущем разделе, являются наиболее важной частью системных файлов, подлежащих копированию. Такие копии следует выполнять каждый раз при проведении какой-либо модификации в настройках межсетевого экрана.

Другой важной частью файлов являются файлы статистики и событий. В зависимости от требований безопасности можно делать копии этих файлов ежедневно или даже чаще. Другим способом повышения безопасности является настройка межсетевого экрана таким образом, чтобы статистика и события отсылались через syslogd на другие хосты во внутренней сети.

Для создания резервных копий можно использовать утилиту tar
в FreeBSD. Пользователь root должен выполнить следующие команды:

tar cvfz /conf.tgz /etc/firewall/conf

(Сохраняет все настройки межсетевого экрана в файле /conf.tgz
file)

tar cvfz /log.tgz /var/log/log-30.fw /var/log/eventos-30.fw

Сохраняет всю статистику и события в файле /log.tgz)
После их копирования необходимо перенести файлы /conf. tgz и /log. tgz на другие хосты, используя, например, FTP.

Настройка агента аутентификации для NT

После инсталляции агента необходимо продолжить его настройку. Она позволяет зарегистрировать все межсетевые экраны, которые будут использовать агент, а также определить сообщения, генерируемые агентом при работе. В отличие от агента аутентификации для Unix, эти настройки выполняются с помощью отдельной программы.
Для доступа к программе настройки необходимо нажать меню Start, выбрать группу Aker Firewall, а затем внутри группы выделить опцию Configure authentication agent. После выполнения этих действий откроется следующее окно:
Это окно содержит все опции для настройки агента. В верхней части окна размещаются опции, позволяющие выбрать тип сообщений, генерируемых агентом, и куда они должны посылаться.
Поле Output определяет, куда будут посылаться сообщения: в Event Viewer системы Windows NT и/или в файл. В случае файла его имя нужно ввести в поле File. Под этими полями размещены несколько опций для описания сообщений. Для генерации определенного типа сообщения нужно, чтобы соответствующая опция была установлена.
! Можно посылать сообщения в файл и в Event Viewer одновременно, для этого достаточно, чтобы были установлены обе опции и определено имя файлов для вывода.
Под списком типов сообщений помещен список адресов межсетевых экранов, имеющих право использовать агента для аутентификации, а также пароли доступа каждого из них.
Чтобы добавить новый сервер, нажмите кнопку Add. Откроется окно, в которое следует ввести IP адрес и пароль межсетевого экрана.
Для изменения пароля зарегистрированного межсетевого экрана, достаточно выделить его адрес и нажать кнопку Edit. Откроется окно с соответствующим полем.
Для удаления межсетевого экрана из списка выделите его адрес и нажмите кнопку Delete.
После проведения модификаций нажмите кнопку OK, которая закрывает окно и сохраняет опции .
! При изменении в списка межсетевых экранов при запущенном агенте, необходимо остановить его и запустить снова. Это можно сделать через Control Panel.

Настройка параметров аутентификации

В этой главе показано, что такое параметры аутентификации и как их настраивать. Эти параметры необходимы для межсетевого экрана при проведении аутентификации пользователей.

Настройка параметров системы

В этой главе показано, как настраивать переменные, влияющие на работу всей системы. Эти переменные играют большую роль для безопасности системы, регистрации событий, и тайм-аутов в соединениях.

Настройка реакции системы

В этой главе показано, как настроить автоматические действия системы для заранее определенных ситуаций.

Настройка SMTP proxy

В этой главе описаны основные особенности SMTP proxy и правила его настройки.

Настройка Telnet proxy

В этой главе показано, как настраивать Telnet proxy для аутентификации пользователей.

Настройка трансляции сетевых адресов

В этой главе объясняется, как настраивать параметры трансляции сетевых адресов (NAT); использование NAT позволяет использовать во внутренней сети резервные адреса и тем самым расширить ее адресное пространство, обеспечить сокрытие структуры внутренней сети с прозрачным доступом к Интернет.

Настройка WWW proxy

В этой главе показано, что представляет собой и как настраивается WWW proxy.

О пользователях межсетевого экрана

Для удаленного управления межсетевым экраном Aker он должен уметь распознавать пользователей. Подтверждение прав пользователей осуществляется при помощи паролей и для этого каждый администратор должен предварительно зарегистрироваться и получить регистрационное имя и пароль.
Помимо этого, межсетевой экран Aker позволяет иметь много различных администраторов, каждый из которых отвечает за определенную задачу по управлению. Наряду с упрощением управления, это позволяет обеспечить более качественный контроль и более высокий уровень безопасности.

Обратное DNS преобразование

Обратное преобразование используется для разрешения имен хостов из их IP адресов. Окно разрешения DNS имен межсетевого экрана Aker используется для разрешения адресов, не требуя дополнительных программ.
Для получения доступа к окну разрешения выполните следующее:

Выберите меню Tools в главном окне

Выберите опцию Reverse DNS

Окно обратного разрешения DNS имен
Это окно состоит из полей, в которых необходимо задать IP адреса для обратного разрешения и список с уже разрешенными IP адресами.

Кнопка OK закрывает окно

Кнопка Help вызывает окно помощи по данному разделу

Если установить опцию Show all resolved IPs, то в нижней части окна будут показаны все разрешенные адреса.

Для разрешения одного адреса, введите его в поле и нажмите кнопку Reverse DNS. Сразу после этого адрес будет показан в списке в нижней части окна. Через некоторое время будет показано имя, соответствующее этому адресу, или указание, что для этого адреса обратное преобразование в DNS не описано.

Окно статистики

Окно статистики появляется после наложения нового фильтра. Оно состоит из списка со множеством элементов. Каждый элемент имеет свой формат, зависящий от типа сообщения и от протокола. Кроме того, некоторым элементам предшествует специальное сообщение в текстовой форме с дополнительной информацией о записи (значения каждого типа записи рассматриваются в следующем разделе).
Важные замечания:

Одновременно выводится группа из 100 записей.

Можно вывести только первые 10 000 записей, которые соответствуют выбранному фильтру. Другие записи можно просмотреть, если перенести журнал регистрации в файл или использовать фильтр для генерации более поздних записей.

С левой стороны от каждого сообщения будет показан цветной значок, представляющий его приоритет. Цвета имеют следующие значения :

Синий Debug
Зеленый Information
Желтый Notice
Красный Warning

Если нажать левой клавишей мыши на сообщении, в нижней части окна появится строка с дополнительной информацией о записи.

Значение кнопок в окне статистики

Кнопка OK закрывает окно статистики

Кнопка Refresh активизирует автоматическое обновление выведенной информации. После первого нажатия на эту кнопку активизируется автоматическое обновление. Для ее сброса снова нажмите на эту кнопку. Интервал обновления можно настроить в поле Automatic refresh.

Кнопка Filter открывает окно фильтрации статистики, описанное выше.

Кнопка Erase All удаляет все содержимое файла статистики. Если нажать эту кнопку, появится следующее окно для подтверждения:

Нажмите Yes для удаления все статистики и No
для отказа от операции.
! При удалении содержимого файла статистики восстановить стертую информацию можно только с резервной копии.

Кнопка Compact позволяет уплотнить файл регистрации. Из файла удаляются все элементы, которые старше срока жизни файла статистики (смотрите главу Настройка параметров системы ), что улучшает время доступа. Этот процесс выполняется сервером статистики в фоновом режиме, и во время его выполнения просматривать статистику нельзя.

Если нажать эту кнопку, откроется следующее окно:

Кнопка Save сохраняет выбранную информацию с помощью текущего фильтра в файл в ASCII формате. Этот файл разбит на строки, соответствующие строкам на экране.

Рассматриваемая опция очень полезна для отсылки копии данных регистрации другому лицу или для сохранения копии некоторых важных данных в текстовом виде. Если нажать эту кнопку, откроется следующее окно:

Чтобы экспортировать содержимое файла статистики, введите имя создаваемого файла и нажмите кнопку Save. Для отмены операции нажмите кнопку Cancel.

! Если уже существует файл с таким именем, он будет заменен.

Кнопка Next 100 >> показывает последующие 100 записей. Если не существует последующих записей, опция будет недоступна.

Кнопка <показывает предыдущие 100 записей. Если не существует предыдущих записей, опция будет недоступна.

Кнопка Help показывает окно помощи по данному разделу.

Определение объектов

Перед тем, как пояснить процедуру регистрации объектов в межсетевом экране Aker, необходимо сделать краткий обзор всех возможных типов объектов.
В межсетевом экране Aker существуют 5 различных типов объектов: хосты, сети, наборы, сервисы и аутентификаторы.
Объекты типа "хост" и "сеть" представляют соответственно отдельные хосты и сети. Объекты типа "набор" представляют совокупность любого числа хостов и сетей. Объекты типа "сервис" описывают сервисы, а объекты типа "аутентификатор" описывают специальный тип хоста, который может использоваться для аутентификации пользователей.
По определению, IP протокол требует, чтобы все хосты имели различные адреса. Обычно эти адреса представляются в виде разделенного точками набора из 4-х цифр, например, 172.16.17.3. И потому каждый хост, можно характеризовать, используя только его собственный адрес.
Для определения сети наряду с IP адресом необходимо знание маски. Маска применяется для того, чтобы определить, какие разряды IP адреса будут использованы для представления сети (разряды со значением 1), а какие - для представления хостов в сети (разряды со значением 0). Итак, чтобы представить сеть, в которую входят хосты с IP адресами от 192.168.0.1. до 192.168.0.254, необходимо пользоваться значением сети 192.168.0.0 и значением сетевой маски 255.255.255.0. Такая сетевая маска означает, что три первых байта используются для представления сети, а последний байт - для представления хоста.
Проверка принадлежности хоста некоторой сети требует выполнения логической операции AND между значением сетевой маски и этим адресом, логической операции AND между значением сетевой маски и адресом сети, и сравнением результата. Если они одинаковы, хост принадлежит сети, в противном случае - нет. Рассмотрим два примера:
Предположим, что нужно проверить, принадлежит ли хост 10.1.1.2 сети 10.1.0.0, сетевая маска 255.255.0.0. Имеем:
10.1.0.0 AND 255.255.0.0 = 10.1.0.0 (для сети) 10.1.1.2 AND 255.255.0.0 = 10.1.0.0 (для адреса)

Так как после применения сетевой маски оба результата оказались одинаковыми, хост 10.1.1.2 принадлежит сети 10.1.0.0.

А теперь допустим, что нам надо знать, принадлежит ли хост 172.16.17.4 сети 172.17.0.0, сетевая маска 255.255.0.0. Имеем:

172.17.0.0 AND 255.255.0.0 = 172.17.0.0 (для сети) 172.16.17.4 AND 255.255.0.0 = 172.16.0.0 (для адреса)

Поскольку результаты различны, хост 172.16.17.4 не принадлежит сети 172.17.0.0.

! Если необходимо определить сеть, к которой принадлежит любой хост, используйте сеть с адресом 0.0.0.0 и сетевой маской 0.0.0.0. Это правило полезно при определении общедоступных сервисов, к которым имеют доступ все хосты Интернет.

При соединении хостов по IP протоколу это соединение характеризуется не только адресами источника и назначения, но и параметрами протокола более высокого уровня (транспортного). В случае TCP и UDP протоколов (которые чаще других применяются сверх IP протокола), соединение идентифицируется двумя числами: портом источника и портом назначения.

Порт назначения является фиксированным числом, обычно соответствующим конкретному сервису. Например, для Telnet используется порт 23 (TCP) , для FTP - 21 порт (TCP), для SNMP - 161 порт (UDP).

Порт источника является числом, определяемым программой - клиентом. Таким образом, соединение при использовании TCP и UDP протоколов может идентифицироваться следующим образом:

10.0.0.1 1024 -> 10.4.1.2 23 TCP Адрес Порт Адрес Порт Протокол источника источника назначения назначения

Из-за того, что порт источника выбирается случайным образом, для межсетевого экрана его значение не важно. Поэтому при определении сервиса рассматривается только порт назначения.

Кроме TCP и UDP протоколов, существует и другой важный протокол, ICMP. Этот протокол используется самим IP протоколом для отправки контрольных сообщений, для информации об ошибках и для тестирования целостности сети.

Для ICMP протокола не используется концепция портов. В нем используется число от 0 до 255 для указания типа сервиса.

Кроме того, существуют и другие протоколы, отличные от TCP, UDP и ICMP, которые могут запускаться поверх IP протокола. Они используются довольно редко, но тем не менее, в межсетевом экране Aker предусмотрена их поддержка , позволяющая администратору контролировать их прохождение через межсетевой экран.

Чтобы понять, как это делается, достаточно знать, что каждый протокол имеет свой уникальный номер 0 до 255, который идентифицирует его для IP протокола. Благодаря этому мы можем определить сервисы для других протоколов, используя номер протокола для идентификации сервиса.

Определение защищенных каналов

Для определения защищенного канала сначала надо выбрать две группы хостов, которые будут обмениваться информацией защищенным образом. Эти группы хостов будут обмениваться подписанными и при необходимости зашифрованными пакетами. На каждом конце канала нужно установить межсетевые экраны, которые будут осуществлять аутентификацию/верификацию и шифрование/дешифрование передаваемых данных.
Для определения групп хостов используется концепция объектов, рассмотренная в главе Регистрация объектов. При определении канала можно пользоваться объектами типа "хост", "сеть" или "набор".
Кроме объектов, необходимо определить алгоритм аутентификации, и в случае необходимости, криптографический алгоритм. Ключи аутентификации и шифрования завершают перечень параметров, необходимых для описания канала.
Межсетевой экран Aker поддерживает несколько одновременно защищенных каналов между различными точками. На межсетевом экране содержится список, каждый элемент которого полностью определяет параметры защищенного канала. Этот элемент называется Security Association или SA.
Планирование защищенных каналов должно проводиться очень тщательно. Использование криптографии отнимает много вычислительных ресурсов. Поэтому шифрование пакетов, если это не диктуется интересами безопасности, представляется напрасной тратой ресурсов. Более того, разные алгоритмы шифрования требуют различного объема обработки, и обеспечивают различные уровни безопасности. Каждый алгоритм следует выбирать в зависимости от необходимого уровня безопасности (выше было дано описание всех алгоритмов, поддерживаемых межсетевым экраном Aker).
Последнее замечание по поводу защищенных каналов касается их одностороннего характера, т.е. если вы хотите настроить защищенную связь между двумя сетями А и В, то должны настроить два разных канала: канал с источником в сети А и пунктом назначения в сети В и другой канал с источником в сети В и пунктом назначения в сети А. Пакеты, посланные из А в В будут использовать настройки первого канала, а пакеты, посланные из В в А - второго. Это свойство подробнее будет проиллюстрировано в приведенных ниже примерах:

Отчеты

Эта опция дает возможность администратору легко и быстро печатать отчеты по всем настройкам (или их части) межсетевого экрана. Такие отчеты очень полезны для анализа параметров и их документирования.
Для доступа к окну докладов сделайте следующее:

Выберите меню Tools в главном окне

Выберите опцию Reports

Окно отчетов
Окно состоит из нескольких опций, по каждой подсистеме межсетевого экрана; каждую опцию можно выделить независимо. Для создания отчета надо выполнить следующее:

Выбрать предназначенные для печати элементы

Нажать кнопку печати

Если надо отменить печать, нажмите кнопку Cancel. Назад | Содержание | Вперед

Пакетный фильтр

В этой главе рассказывается, как создавать правила, которые позволяют межсетевому экрану пропускать или запрещать соединения. Этот модуль является главным в системе; работа по его настройке наиболее трудоемка.

Параметры для отправки e-mail

E-mail адрес: Этот параметр описывает адрес пользователя электронной почты, которому посылается e-mail сообщение. Этот пользователь может быть непосредственным пользователем межсетевого экрана или не принадлежать к их числу (в последнем случае надо писать полный адрес, например, user@aker.com.br).
Если необходимо послать e-mail нескольким пользователям, можно создать список и имя списка внести в данное поле.
! Важно отметить, что если какое-либо из полей оказывается пустым, соответствующее действие не исполняется, даже когда если оно определено.

Параметры, связанные с отправкой SNMP прерываний

IP адрес SNMP сервера: Этот параметр определяет IP адрес SNMP менеджера, которому межсетевой экран должен посылать прерывания
SNMP сообщество: Этот параметр описывает имя SNMP сообщества, используемое в SMNP прерывании.
Посланные SNMP прерывания будут иметь основной тип 6 и специальные типы 1 - для регистрации, и 2 - для событий. В качестве номера предприятия используется 2549, который был назначен IANA компании Aker Consultancy and Informatics.
Файл /etc/firewall/mibs/AKER-MIB.TXT содержит информацию о структуре MIB Aker Consultancy and Informatics. Этот файл записан в нотации ASN.1.

Поток изнутри наружу

Когда какой-либо пакет из внутренней сети достигает межсетевого экрана, он проходит через его модули в следующей последовательности: модуль сборки, пакетный фильтр, транслятор сетевых адресов и криптографический модуль.

Модуль сборки

Этот модуль отвечает за хранение всех фрагментов полученных IP пакетов до их сборки в полный пакет. Затем эти пакеты будут переданы в другие модули.

Пакетный фильтр

Основная функция пакетного фильтра состоит в том, чтобы проверить правильность пакета в соответствии с правилами, определенными администратором и таблице состояния и принять решение, можно ли пропустить пакет через межсетевой экран. Если решение будет положительным, пакет будет передан другим модулям; в противном случае пакет будет отброшен и поток оборвется.

Транслятор сетевых адресов

Транслятор сетевых адресов получает авторизованный пакет и проверяет по своим таблицам необходимость замены адреса источника. В случае положительного ответа он преобразует адрес, в случае же отрицательного - пакет не претерпевает никаких изменений.
После этого пакет будет передан криптографическому модулю.

Криптографический модуль

Этот модуль получает пакет с преобразованным адресом и решает в соответствии со своей конфигурацией, следует ли производить шифрование или аутентификацию пакета перед его отправкой в пункт назначения. При положительном решении будет проведена аутентификация пакета, он будет зашифрован и к нему будут добавлены некоторые специальные заголовки.
Наконец, пакет будет отправлен в сеть.

Поток снаружи внутрь

Когда пакет, приходящий из внешней сети во внутреннюю, достигает межсетевого экрана, он проходит через его модули в следующем порядке: модуль сборки, криптографический модуль, транслятор сетевых адресов и пакетный фильтр.

Модуль сборки

Этот модуль отвечает за хранение всех фрагментов полученных IP пакетов до их сборки в полный пакет. Затем эти пакеты будут переданы в другие модули.

Криптографический модуль

Этот модуль удаляет добавленные заголовки пакета и проверяет его аутентификационную подпись и расшифровывает его. Если в аутентификации или расшифровке были выявлены ошибки, пакет будет отброшен.
Другой функцией этого модуля является следующая процедура: он должен убедиться, что все пакеты, прибывающие от сети, связанной с межсетевым экраном защищенным каналом, приходят зашифрованными. В случае, когда пакет приходит от сети, с которой установлен защищенный канал с аутентификацией и шифрованием, и в нем не проведена аутентификация или шифрование, такой пакет будет отброшен.
Если все действия прошли успешно, пакет передается транслятору сетевых адресов.

Транслятор сетевых адресов

Транслятор сетевых адресов получает пакет и проверяет, не является ли адрес назначения этого пакета одним из виртуальных IP адресов. При положительном ответе этот адрес транслируется в реальный адрес.
Наконец, пакет попадает в пакетный фильтр.

Пакетный фильтр

Пакетный фильтр - это последний модуль на пути движения пакета с внешней стороны во внутреннюю. Основная функция этого модуля состоит в проверке правильности полученных пакетов в соответствии с правилами, определенными администратором и своей таблицей состояний, а также в решении вопроса, следует ли санкционировать пакеты в трафик, проходящий через межсетевой экран. Если пакету разрешается пройти, межсетевой экран отправляет его в хост назначения, в противном же случае он сбрасывается.

C - Авторские права и отказы от права

В этом Приложении перечислены отказы от права на библиотеки и используемые в межсетевом экране Aker исходные коды третьей стороны. Эти отказы от права применяются только по отношению к явно упоминаемым частям межсетевого экрана Aker, а не к нему в целом. Здесь ниже приводится перечень этих явно упоминаемых частей в соответствии с требованиями разработчиков:

Применения трансляции сетевых адресов в межсетевом экране

Предположим, что некоторая организация получает сеть класса С (обозначим ее А.В.С.0). Эта сеть позволяет описать 254 реальных хоста (адреса А.В.С.0 и А.В.С.255 резервируются для специальных целей и не быть использованы, остаются значения между А.В.С.1 и А.В.С.254). Предположим еще, что локальная сеть состоит из 1000 хостов, которые необходимо подключить к Интернет. Так как реальных адресов недостаточно, необходимо воспользоваться трансляцией сетевых адресов. Поэтому для использования во внутренней сети была выбрана зарезервированная сеть класса А 10.x.x.x c cетевой маской 255.0.0.0.
Межсетевой экран Aker устанавливается на границе между Интернет и внутренней сетью, имеющей адреса из зарезервированной сети. Aker будет выполнять преобразование зарезервированных адресов 10.x.x.x в реальные адреса А.В.С.x. В результате межсетевой экран должен иметь по крайней мере два адреса: реальный адрес, до которого можно добраться через Интернет, и зарезервированный, к которому возможен доступ только из внутренней сети. (Как правило на межсетевом экране устанавливают два или более адаптера, один для внешней сети, а один или более - для внутренней. Возможно, хотя крайне нежелательно установить на межсетевой экран всего один сетевой адаптером, с присвоением реального и зарезервированного адреса одному и тому же адаптеру.)
Предположим, что адрес А.В.С.2 выбран для реального (внешнего) сегмента, а адрес 10.0.0.2 для внутреннего сегмента. Реальный адрес будет использоваться межсетевым экраном для преобразования всех соединений из внутренней сети в Интернет. С внешней стороны все соединения будут выглядеть так, как будто они начинаются на межсетевом экране.
! В межсетевом экране Aker такой адрес называется виртуальным адресом
(он виртуальный, поскольку на самом деле соединения не инициируются межсетевым экраном). Этот адрес должен быть настроен на одном из сетевых интерфейсов межсетевого экрана. Если на сетевом интерфейсе описано более одного реального адреса, виртуальным адресом может быть любой из них.

При такой схеме все внутренние хосты могут получить доступ к ресурсам Интернет прозрачно, как если бы они имели действительные адреса. Однако при этом внешние хосты не могут образовывать соединения с внутренними (так как внутренние хосты не имеют реальных адресов). Для решения этой проблемы у межсетевого экрана Aker есть таблица статического преобразования, которая выполняет преобразования 1-1 и позволяет имитировать реальный адрес для любого из зарезервированных. Эта таблица называется таблицей серверной трансляции.

Вернемся опять к нашей гипотетической организации. Предположим, что в вашей сети существует WWW сервер с адресом 10.1.1.5. Предположим еще. что вам хотелось бы, чтобы этот сервер предоставлял информацию как для внутренней сети, так и для Интернет. В этом случае нужно так выбрать реальный адрес, чтобы он мог использоваться внешними клиентами для соединения с этим сервером. Положим, что выбранный адрес есть А.В.С.10. Тогда в таблицу статического преобразования должен прибавиться элемент для отображения адреса А.В.С.10 во внутренний адрес 10.1.1.5. С этого момента все обращения к адресу А.В.С.10 будут автоматически направляться по адресу 10.1.1.5

! Реальный адрес, выбранный для выполнения преобразования 1-1, нельзя присвоить какому-нибудь хосту. В нашем примере возможны конфигурации, содержащие до 253 серверов во внутренней сети, к которым можно иметь доступ извне (один из 254 допустимых действующих адресов уже использован для преобразования трафика всех клиентов) .

! Межсетевой экран Aker использует технологию proxy-arp для взаимодействия внешних сетевых устройств (например, внешний маршрутизатор) с виртуальными серверами.

Примеры использования защищенных каналов

Главный пример настройки защищенного канала.
В этом примере рассматривается, как описать защищенный канал связи между двумя сетями, взаимодействующими через Интернет, используя два межсетевых экрана Aker. Канал обеспечивает защиту всего трафика между этими двумя сетями. В качестве алгоритма аутентификации выбран MD5, а в качестве алгоритма шифрования - DES.
! При использовании шифрования обязательно должна использоваться аутентификация. Это вызвано тем, что без применения аутентификации к зашифрованным сообщениям могут быть проведены атаки с модификацией текста.

Примеры настройки трансляции сетевых адресов

С Интернет существует выделенный канал
Оборудование: 1 роутер, 1 Aker Firewall, n клиентов, 2 сервера во внутренней сети
Реальный адрес: А.В.С.x ; сетевая маска 255.255.255.0
Зарезервированный адрес: 10.x.x.x ; сетевая маска 255.0.0.0
Адреса серверов: 10.1.1.1, 10.2.1.1
Адреса клиентов: 10.x.x.x
Адрес маршрутизатора: реальная сеть: А.В.С.1 , Интернет: x.x.x.x
Конфигурация межсетевого экрана Aker:
Адреса адаптера: внутренняя сеть: 10.0.0.2 ,
Виртуальный IP адрес A.B.C.2
Внутренняя сеть: 10.0.0.0
Маска внутренней сети: 255.0.0.0
Таблица серверной трансляции:
A.B.C.10 - 10.1.1.1
A.B.C.30 - 10.2.1.1
Взаимодействие отделов
В этом примере мы покажем, как обеспечить взаимодействие между собой отделов одной компании с использованием трансляции адресов между ними.
Оборудование: 1 роутер, 3 Aker Firewalls, n клиентов, 4 внутренних сетевых клиента
Реальные адреса: A.B.C.x, маска 255.255.255.0
Зарезервированные адреса: 10.x.x.x маска 255.255.0.0
Зарезервированные адреса:172.16.x.x, маска 255.240.0.0
Адреса подсети 1:
10.1.x.x
Адрес сервера: 10.1.1.1
Адрес клиента: 10.1.x.x
Адрес роутера: внутренняя сеть: A.B.C.1 , Интернет:x.x.x.x
Конфигурация межсетевого экрана Aker:
Внутренняя сеть: 10.1.0.1, Реальная сеть A.B.C.2
Виртуальный IP адрес: A.B.C.2
Внутренняя сеть: 10.0.0.0
Маска внутренней сети: 255.0.0.0
Адреса подсети 2:
Внешние: 10.2.x.x
Внутренние: 172.16.x.x
Адрес сервера: 172.16.1.1
Адреса клиента: 172.x.x.x
Конфигурация межсетевого экрана Aker:
Подсеть 2: 172.16.0.1, Подсеть 1:10.1.0.2
Виртуальный IP адрес: 10.1.0.2
Внутренняя сеть (2): 172.16.0.0
Маска внутренней сети: 255.240.0.0
Таблица трансляции серверов:
10.2.1.1 - 172.16.1.1
Адреса подсети 3:
Внешний: 10.3.x.x
Внутренний: 172.16.x.x
Адрес сервера: 172.16.1.1
Адреса клиента: 172.x.x.x
Конфигурация межсетевого экрана Aker:
Подсеть3: 172.16.0.1, Подсеть 1:10.1.0.3
Виртуальный IP адрес: 10.1.0.3
Внутренняя сеть (3): 172.16.0.0
Маска внутренней сети: 255.240.0.0
Таблица трансляции серверов:
10.3.1.1 - 172.16.1.1
! При такой конфигурации необходимо описать в таблице маршрутизации маршруты к подсетям 10.1.х.х , 10.2.х.х и 10.3.х.х .
Рисунок: Пример 2

Принцип работы системы удаленного управления межсетевым экраном Aker

Межсетевой экран Aker можно удаленно конфигурировать и администрировать с любого хоста; для этого хост должен иметь доступ к межсетевому экрану, работать под управлением операционной системы, для которой реализован удаленный интерфейс и поддерживать стек протоколов TCP/IP. Более того, удаленное управление предоставляет возможность менеджеру с одной рабочей станции контролировать и настраивать несколько межсетевых экранов .
Удаленное управление позволяет сберечь ресурсы, поскольку хост с работающим межсетевым экраном теперь не нуждается в мониторе и других внешних устройствах.

Просмотр и удаление соединений

В этой главе показано, как просматривать и удалять TCP соединения и UDP сессии в реальном времени.

Просмотр информации о сессии

В любой момент Вы можете просмотреть информацию об активном сеансе управления. Для этого существует окно, содержащее полезную информацию, например, такую как имя регистрации, полное имя и права пользователя, который управляет межсетевым экраном, номер версии и реализации межсетевого экрана. Показывается также время соединения и период его активизации. Чтобы открыть это окно, необходимо выполнить следующие действия:
Выберите опцию Session в главном окне
Выберите пункт Information about the Session

Просмотр системных событий

В этой главе показано, как просматривать системные события - полезный источник информации о работе межсетевого экрана, полезный для обнаружения возможных атак и ошибок в настройках.

Просмотр статистики системы

В этой главе показано, как просматривать файл регистрации системы, который является очень полезным средством для обнаружения атак и контроля работы межсетевого экрана.

Proxy в межсетевом экране Aker

Межсетевой экран Aker поддерживает прозрачные proxy сервера для сервисов Telnet и SMTP и непрозрачные proxy сервера для сервисов, доступных через WWW браузер (FTP, Gopher, HTTP и HTTPS). Для использования непрозрачных proxy серверов необходим клиент, поддерживающий работу через proxy. К таким клиентам относятся Netscape Navigator(Tm) и Internet Explorer (Tm).
Прозрачные proxy можно использовать для контроля доступа снаружи к внутренним сетям и наоборот. Непрозрачные proxy могут использовать только хосты внутренней сети.
! Причина выбора непрозрачных proxy для WWW сервисов связана с тем, что их можно использовать для особого вида аутентификации, называемой Proxy Authentication, которая работает только если браузеры настроены для работы через proxy. При такой аутентификации браузер сразу же в начале сеанса запрашивает пароль пользователя и использует его, пока не закроется браузер. Альтернативой этой форме аутентификации остается только доменная аутентификация
(Domain Autentification), при которой при обращении к новому WWW адресу у пользователя будет запрашиваться новый пароль.

Прозрачные proxy и контексты

Межсетевой экран Aker представляет новую разработку, связанную с прозрачными proxy - контексты. Для их понимания проанализируем сначала структуру сети, где они могут использоваться:
Предположим, что межсетевой экран Aker соединен с тремя различными сетями А, В и С, и пусть сети А и В принадлежат двум отделениям одной и той же компании, а сеть С представляет Интернет. Предположим, что для сетей А и В существует общий SMTP сервер, служащий для приема и отправки электронной почты. Схематически ситуация изображена на рисунке:
Теперь предположим, что необходимо настроить межсетевой экран для переадресации всех SMTP соединений к SMTP proxy, чтобы обеспечить лучшую защиту и более строгий контроль всего трафика.
Важно иметь возможность отдельно описывать правила для соединений из сетей В и С к сети А. Когда сеть В посылает e-mail в А, она использует SMTP сервер как relay, между тем, для сети С это не разрешено. Желательно, кроме того, ограничить максимальный размер сообщений, приходящих из сети С, чтобы избежать атак типа "отказ в обслуживании", основанных на недостатке дискового пространства, но в то же время не ограничивать размер сообщений, приходящих от сети В.
Для реализации таких конфигураций были созданы контексты. Контексты - это набор настроек для прозрачных proxy, необходимых для реализации различных правил обмена.
В последнем примере можно было бы создать два контекста: один для использования в соединениях из В в А, а другой - из С в А.

Прозрачные proxy сервера

Aker представляет новую концепцию межсетевого экрана, использующего прозрачные proxy сервера. Их можно использовать без какой-либо модификации клиентов и серверов, поскольку ни один из них не должен знать о существовании proxy сервера.
Механизм их действия достаточно прост: всякий раз, когда межсетевой экран решает, что соединение должно поддерживаться через прозрачные proxy, он переадресует это соединение соответствующему proxy. Установив соединение с клиентом, proxy открывает новое соединение с удаленным сервером и направляет запросы клиента этому серверу.
Огромное преимущество подобной организации работы заключается в возможности создать дополнительную защиту для конкретных сервисов, не проводя модификации клиентов и серверов и не нарушая гибкости. Кроме того, прозрачные proxy сервера можно использовать как для внутренних, так и для внешних запросов.

Работа с proxy серверами

Эта глава содержит все необходимые сведения о принципах работы proxy серверов в межсетевом экране Aker. Особенности каждого proxy сервера обсуждаются в следующих главах.

Работа WWW proxy межсетевого экрана Aker с кэш-сервером

Межсетевой экран Aker не обеспечивает кэширования запросов в своем WWW proxy, однако его можно настроить для работы с любым кэш-сервером, использующим стандартные механизмы. Кэш-сервер может быть запущен на том же хосте, на котором установлен межсетевой экран или на другом хосте.
Если кэш-сервер запущен на другом хосте (рекомендованный вариант), этот хост должен находиться в подсети, отличной от той, в которую входят клиенты, иначе трудно контролировать безопасность. Такая конфигурация приведена на следующем рисунке:
Для гарантии защиты при такой конфигурации необходимо настроить пакетный фильтр (см. главу Пакетный фильтр с контролем состояния ) таким образом, чтобы хост, на котором запущен кэш-сервер, был единственной машиной, имеющей доступ к WWW сервисам и клиенты не имели бы право напрямую к нему обращаться. После этого необходимо настроить все клиентские хосты для работы через WWW proxy межсетевого экрана, а также настроить сам межсетевой экран для работы с кэш-сервером.

Редактирование параметров WWW proxy

Для использования WWW proxy необходимо указать некоторые параметры, определяющие основные характеристики его работы. Эти определения производятся в окне настройки WWW proxy. Для получения доступа к этому окну надо выполнить следующие шаги:

Выбрать меню Proxy в главном окне

Выбрать опцию WWW

Окно настройки параметров WWW proxy

Кнопка OK закрывает окно настройки WWW proxy и сохраняет все изменения.

Кнопка Cancel закрывает окно настройки и отбрасывает все сделанные изменения.

Кнопка Help показывает окно помощи по данному разделу.

Значения параметров:

Cache

Enable cache: Эта опция определяет, будет ли proxy перенаправлять свои запросы кэш-серверу. Если эта опция установлена, все полученные запросы будут передаваться кэш-серверу, на определенный IP адрес и порт. Если нет, WWW proxy будет сам обрабатывать все запросы. IP: Это поле определяет IP адрес кэш-сервера, которому будут передаваться все запросы, если установлена опция Enable cache. Port: Это поле определяет порт кэш-сервера, которому будут передаваться все запросы, если установлена опция Enable cache.

Adjustments

Эти параметры регулируют действия WWW proxy для ситуаций, требующих особого внимания. Они состоят из следующих полей: Read timeout: Этот параметр определяет максимальное время в секундах, в течение которого proxy ждут запроса клиента с момента установления нового соединения. Если этот интервал времени заканчивается, а запроса от клиента не поступает, соединение закрывается. Response timeout: Этот параметр определяет максимальное время в секундах, в течение которого proxy ждет ответа на запрос, посланный на удаленный WWW сервер или в кэш-сервер, если установлена опция Enable cache . Если за это время от сервера не приходит ответ, соединение закрывается, а клиент получает сообщение об ошибке. HTTPS timeout: Этот параметр определяет максимальное время в секундах, в течение которого proxy может ждать ответа сервера для HTTPS соединений, Number of processes: Это поле определяет число процессов обработки в WWW proxy, которые остаются активными в ожидании соединений.
Так как каждый процесс обрабатывает одно соединение, это поле определяет также максимальное число запросов, которые могут обрабатываться одновременно.
Из-за требований производительности, процессы, связанные с WWW proxy, всегда находятся в активном состоянии, независимо от наличия или отсутствия запросов. Обычно значение этого поля находится в интервале от 5 до 50 в зависимости от количества клиентов, использующих proxy (следует отметить, что один хост обычно открывает до 4 соединений при получении доступа к единственной странице WWW). Значение 0 блокирует использование proxy.

WWW

Эти параметры определяют опции фильтрации proxy. Они состоят из следующих полей: Default WWW access profile: Определяет имя профиля доступа WWW, которое используется для контроля доступа всех пользователей (в случае, когда не производится аутентификация пользователей) или пользователей, которые не относятся к этому профилю (в случае, когда производится аутентификация пользователей). Authenticate HTTP: Это поле дает (или не дает) возможность производить аутентификацию пользователей в WWW proxy. Если эта опция установлена, каждый раз, когда пользователь хочет начать сеанс, у него запрашивается идентификатор и пароль, и сеанс начинается, только если пользователь будет аутентифицирован каким-либо аутентификатором.
Если эта опция установлена, нажмите кнопку Access Control, которая откроет окно, в котором можно установить соответствие пользователей или групп с конкретными профилями. Окно контроля доступа WWW

Это окно открывается при нажатии кнопки Access Control в окне настройки WWW proxy, при установленной опции Authenticate HTTP. Окно позволяет администратору установить соответствие между пользователями или группами, зарегистрированными в аутентификаторах, и профилями доступа WWW, зарегистрированными в межсетевом экране. Окно имеет следующий формат: Чтобы установить соответствие пользователя или группы с определенным профилем доступа, надо сделать следующее:

Выделить аутентификатор, с которого вы хотите получить список пользователей или групп, нажав левой клавишей мыши на его имени в верхнем списке окна (если необходимого аутентификатора нет в списке, нужно добавить его в список аутентификаторов.


Этот вопрос рассмотрен в главе Настройка параметров аутентификации)).

Выберите необходимого пользователя или группу с помощью соответствующих кнопок, расположенных в поле View.

Нажмите левой клавишой мыши на имени пользователя или группы, для которых устанавливается соответствие с профилем, в списке Group/Users, расположенном ниже списка аутентификаторов.

Нажмите левой клавишей мыши на имени профиля в списке WWW Access Profiles, который будет связан с выделенным пользователем/группой.

Нажмите кнопку Add. Соответствие между пользователем/группой и профилем будет показано в списке в нижней части окна.

Для удаления соответствия между пользователем/группой и профилем выполните следующее:

Выберите необходимое соответствие в списке в нижней части окна.

Нажмите клавишу удаления.

Для изменения позиции какого-либо соответствия внутри списка, проделайте действия:

Выделите перемещаемое соответствие.

Нажмите на одну из кнопок в форме стрелки справа от списка. Кнопка со стрелкой вверх переместит выделенное соответствие на одну позицию вверх, а кнопка со стрелкой вниз - на одну позицию вниз.

! Порядок следования соответствий в списке очень важен. Всякий раз при аутентификации пользователя межсетевой экран просматривает список с самого начала в поисках его имени или группы, которой он принадлежит. Как только имя будет обнаружено, будет использоваться соответствующий ему профиль.

Назад | Содержание | Вперед

Редактирование списка правил с использованием графического интерфейса

Для получения доступа к окну настройки правил фильтрации вам нужно:

Выбрать меню Редактирование в главном окне

Выбрать опцию Правила фильтрации

Окно правил фильтрации
Окно правил показывает все правила фильтрации, описанные в межсетевом экране Aker. Каждое правило будет показано на отдельной строке, состоящей из нескольких ячеек. При выделении одного из правил оно будет показано окрашенным в другой цвет.

Клавиша OK обновляет список правил и делает его сразу активным.

Клавиша Cancel отбрасывает все модификации и окно закрывается.

Клавиша Help показывает окно помощи с подсказками по данному разделу.

Если установлена опция Show all entities , будут высвечены все параметры фильтрации. В противном случае будут показаны только два первых.

Указание: если эта опция не установлена, а правило имеет больше двух объектов в полях источника, назначения или сервисах, то в каждом из полей, содержащем больше двух объектов, будет показана направленная вниз стрелка.

Полоска прокрутки с правой стороны используется для просмотра правил, которые не помещаются в окне.

Если выделить правило, для которого описаны комментарии, то они будут показаны в нижней части окна.

Чтобы выполнить любую операцию на конкретном правиле, достаточно нажать правой клавишей мыши по этому правилу. Появится следующее меню: (Это меню будет появляться каждый раз, когда вы нажимаете на правую клавишу мыши, даже если не выделено никаких правил. При этом будут доступны только опции Add и Paste).

Add: Эта опция позволяет включить в список другое правило. Если выделено какое-либо правило, новое правило вставляется перед выделенным правилом под его номером. В противном случае новое правило включается в конец списка.

Delete:Эта опция удаляет выделенное правило из списка.

Edit: Эта опция открывает окно редактирования для выделенного правила.

Copy: Эта опция копирует выделенное правило в буфер.

Cut: Эта опция удаляет выделенное правило из списка и копирует его в буфер.

Paste: Эта опция копирует правило из буфера в список.
Если правило выделено, то новое правило будет вставлено на перед выделенным правилом на его позицию. Если правило не выделено, то новое будет скопировано в конец списка.

Deselect: Эта опция отменяет выделение ранее выделенного правила и снова показывает меню. Это очень полезно, когда существует большое число правил и нужно включить или вставить правило в конец списка.

Указание: все эти опции, за исключением опции deselect, можно выполнять через инструментальное меню, расположенное в верхней части окна. В этом случае сначала выделите правило, нажав на нем левой клавишей мыши, а затем выберите нужную опцию.

При добавлении или редактировании правил будет показано окно свойств:

Окно свойств одного правила

Окно свойств используется для настройки всех параметров правила. Оно состоит из следующих полей:

Source Entities: Это поле определяет объекты, адреса которых будут сравниваются с адресом источника IP пакетов.

Destination Entities: Это поле определяет объекты, адреса которых будут сравниваются с адресом назначения IP пакетов.

Services: Это поле описывает сервисы, используемые в правиле.

Interface: Поле определяет разрешенный интерфейс для входящих пакетов. Значение any отменяет проверку по этому полю. Если интерфейс выбран, то будут приниматься пакеты, приходящие только от этого интерфейса. Для выделения интерфейса нужно только нажать на направленной вниз стрелке сбоку от поля. После этого система покажет список всех сетевых интерфейсов, опознанных межсетевым экраном.

Log: Это поле определяет, какое действие будет выполняться системой, когда пакет удовлетворяет данному правилу. Она состоит из нескольких опций, которые можно выделять независимо. Значения этих опций таковы:


Log: Если эта опция установлена, то все пакеты, удовлетворяющие данному правилу, будут регистрироваться в системном журнале.

Mail: Если эта опция установлена, то по электронной почте будет посылаться одно сообщение каждый раз, когда пакет удовлетворяет правилу (настройка адреса электронной почты рассматривается в главе Настройка реакции системы).


Trap: Если эта опция установлена, то для каждого пакета, удовлетворяющего данному правилу, будет посылаться SNMP прерывание (настройка параметров прерываний будет рассмотрена в главе Настройка реакции системы).

Program: Если эта опция установлена, то каждый раз, когда пакет удовлетворяет данному правилу, будет выполняться описанная администратором программа (настройка имени выполняемой программы будет рассмотрена в главе Настройка реакции системы).

Alert: Если эта опция установлена, то каждый раз, когда пакет удовлетворяет данному правилу, межсетевой экран покажет окно предупреждений. Это окно появится на хосте, на котором открыт удаленный графический интерфейс и, если возможно, будет звучать предупреждающий сигнал. Если графический интерфейс пользователя не открыт, то не появится никаких сообщений, а эта опция не будет учитываться.

! Для протоколов, использующих TCP, определенные в правиле действия будут выполняться только при установленном соединении. В случае UDP протокола, действия будут выполняться для всех пакетов, посланных клиентом и удовлетворяющих данному правилу (но не ответные пакеты).

Action of the rule:Это поле определяет, какое действие будет выполнено для всех пакетов, удовлетворяющих данному правилу. Оно состоит из следующих опций:


Accept: Эта опция означает, что пакетам, удовлетворяющим правилу, разрешается пройти через межсетевой экран.

Reject: Эта опция означает, что пакеты, удовлетворяющие правилу, не пройдут через межсетевой экран, причем хосту источника будет посылаться ICMP destination unreachable сообщение (хост назначения недоступен). Эта опция не работает для некоторых типов ICMP сообщений.

Discard: Эта опция означает, что пакеты, удовлетворяющие данному правилу, не пройдут через межсетевой экран, при этом не будут посылаться какие-либо пакеты хосту источника.

Comment: Поле комментариев к правилу. Оно может быть полезным для хранения информации об использовании правила.

Timetable: Эта кнопка позволяет получить доступ к окну временной таблицы активного правила .Если нажать эту кнопку, появится следующее окно:

Эта таблица определяет часы и дни недели, в течение которых применимо правило. Строки представляют дни недели, а колонки - часы. Если правило в данный период времени должно действовать, квадратик в таблице следует заполнить. Для облегчения процесса настройки можно нажать левую клавишу мыши на квадрате и двигать курсор, сохраняя клавишу нажатой. При этом таблица будет модифицироваться в соответствии с перемещением мыши.

Регистрация объектов с использованием GUI

Для доступа к окну регистрации объектов нужно сделать следующее:

Выбрать меню Register в главном окне

Выбрать опцию Entities and Services

Окно определения объектов
Используя окно определения объектов можно зарегистрировать любой объект межсетевого экрана Aker, независимо от типа.

На правой стороне окна расположены пять иконок, представляющих пять возможных типов объектов. Под ними помещен список, из которого можно определить тип объекта для просмотра или создания.

Указание: Для выбора типа объекта вы можете или использовать иконку, или опцию в списке.

Клавиша OK закрывает окно.

Клавиша Help открывает окно помощи для данного окна.

Если отмечена опция Keep Ordered, список будет показан в алфавитном порядке.

Для создания нового объекта выполните следующие действия:

Выделите тип создаваемого объекта, выбрав соответствующую иконку или название

Правой клавишей мыши и выделите опцию Add во всплывающем меню или выберите иконку создания объекта в инструментальном меню в верхней части окна.

! Если выбрана опция All, то как иконка, так и опция меню создания объекта будут недоступны.
Для редактирования или удаления объекта вам необходимо:

Выделите редактируемый объект (если необходимо, выберите сначала соответствующий тип объекта).

Правой клавишей мыши выделите соответственно опцию Edit или Delete
во всплывающем меню или нажмите на иконке редактирования или удаления в инструментальном меню.

При использовании опций Edit или Add появится окно свойств объектов . Это окно будет различным для каждого из возможных типов объектов

Регистрация объектов

В этой главе показано, что представляют собой объекты, для чего они используются и как их регистрировать в межсетевом экране Aker.

Резервные копии межсетевого экрана

В межсетевом экране Aker Version 3.0 предусмотрена возможность создания резервных копий и полное удаленное восстановление его конфигурации. Этот вопрос обсуждался в главе Использование средств графического интерфейса . Рекомендуется проводить подобную процедуру, так как она очень проста в и дает возможность сохранить все настройки межсетевого экрана на удаленном хосте. Однако можно создавать резервные копии вручную, как это делается в версии 2.0 и предыдущих версиях.
В этом разделе показано, как сделать вручную резервную копию, а также как восстановиться с нее.

Руководство Администратора

Информация предоставлена "Релком-Альфа"

Введение

1 Инсталляция

1.1 Требования к аппаратному и программному обеспечению

1.2 Инсталляция межсетевого экрана

1.3 Инсталляция удаленного интерфейса на платформах Windows 95 или NT

2 Использование удаленного интерфейса

2.1 Запуск удаленного интерфейса

2.2 Завершение удаленного управления

2.3 Изменение паролей пользователей

2.4 Просмотр информации о сессии

2.5 Использование подсказки в режиме on-line

3 Управление пользователями межсетевого экрана

3.1 Использование графического интерфейса

3.2 Использование интерфейса командной строки

4 Настройка параметров системы

4.1 Использование графического интерфейса пользователей

4.2 Использование интерфейса командной строки

5 Регистрация объектов

5.1 Введение

5.2 Регистрация объектов с использованием GUI

5.3 Использование интерфейса командной строки

6 Пакетный фильтр с контролем состояния

6.1 Введение

6.2 Редактирование списка правил с использованием GUI

6.3 Использование интерфейса командной строки

7 Настройка трансляции сетевых адресов

7.1 Введение

7.2 Использование GUI

7.3 Использование интерфейса командной строки

8 Создание защищенных каналов

8.1 Введение

8.2 Использование GUI

8.3 Использование интерфейса командной строки

9 Интегрирование модулей межсетевого экрана

9.1 Движение пакетов в межсетевом экране Aker

9.2 Интегрирование фильтра с трансляцией сетевых адресов

9.3 Интегрирование фильтра с трансляцией сетевых адресов и шифрованием

10 Защита от SYN атак

10.1 Введение

10.2 Использование GUI

10.3 Использование интерфейса командной строки

11 Настройка реакции системы

11.1 Использование GUI

11.2 Использование интерфейса командной строки

12 Просмотр статистики системы

12.1 Использование GUI

12.2 Формат и значение полей в файлах статистики

12.3 Использование интерфейса командной строки

13 Просмотр системных сообщений

13.1 Использование GUI

13.2 Формат и значение полей в системных сообщениях

13.3 Использование интерфейса командной строки

14 Просмотр и удаление соединений

14.1 Использование GUI

14. 2 Использование интерфейса командной строки

15 Работа с proxy серверами

15.1 Планирование инсталляции

15.2 Инсталляция агента аунтентификации в Unix

15.3 Инсталляция агента аутентификации в Windows NT

16 Настройка параметров аутентификации

16.1 Использование GUI

17 Настройка SMTP proxy

17.1 Использование GUI

18 Настройка Telnet proxy

18.1 Использование GUI

19 Настройка WWW proxy

19.1 Введение

19.2 Создание файлов доступа

19.3 Редактирование параметров WWW proxy

20 Использование средств графического интерфейса

20.1 Резервное сохранение

20.2 Восстановление

20.3 Реверсивный DNS

20.4 Отчеты

21 Системные файлы и резервирование

Приложение A - Системные сообщения

Приложение B - Вопросы и ответы

Приложение C - Авторские права и ограничения

Синтаксис файла конфигурации для агента аутентификации

После копирования установленного агента в выбранный каталог необходимо создать файл конфигурации с адресами межсетевых экранов, которые могут использовать этот файл, и с паролями каждого из них. Файл имеет текстовый формат и может быть создан любым редактором.
! Файл конфигурации для агента аутентификации должен иметь права доступа, позволяющие читать или изменять его только пользователю root. Для этого можно использовать команду chmod со следующим синтаксисом: #chmod 600 имя_файла.
Формат файла следующий:

IP адрес межсетевого экрана Aker, использующего агента, один или более пробелов или символов табуляции, пароль доступа, который применяется межсетевым экраном для соединения.

Строки, начинающиеся с символа #, а также пустые строки игнорируются.

Пример файла конфигурации приведен ниже: # Configuration file for the Aker Firewall 3.0 authentication agent # # Syntax: Firewall IP address and access password (in each line) # # The password must not have spaces and must have up to 31 characters # # Lines beginning with the '#' character are considered comments # Blank lines are allowed 10.0.0.1 password_test 10.2.2.2 123password321
! По умолчанию используется файл конфигурации /etc/fwagaut.cfg, однако, можно использовать другие название и директорию, указав их агенту при старте. Более подробно это описано в следующем разделе.

Системные файлы и резервные копии

В этой главе показано, где находятся и для чего используются файлы, входящие в состав межсетевого экрана Aker версии 3.0.

Системные файлы

В этом разделе показано, какие системные файлы используются межсетевым экраном. Это очень важно для создания резервных копий и диагностики возможных проблем с работой межсетевого экрана.

SNMP агент

Copyright © 1996,1997 Wes Hardaker and the University of California at Davis
COPYRIGHT
Большие части кода в данном пакете распространялись Carnegie Mellon University. Все другие коды и изменения первоначального кода, выполненные Wes Hardaker в университете California, Davis, обеспечиваются авторским правом в соответствии со следующим содержанием авторского права: Разрешение предоставляется на использование, копирование, модификацию и распространение данного программного средства и его документацию. Данный программный продукт распространяется бесплатно и его при его использовании не требует какой-либо оплаты. Он может быть включен в комплект компакт-дисков программного обеспечения, при условии, что автор уведомлен и осведомлен о его распространении. Назад | Содержание

SNMP библиотека

Copyright 1997 by Carnegie Mellon University
All Rights Reserved
Настоящим предоставляется разрешение на использование, копирование, модификацию и распространение этого программного средства и его документации для любых целей и без денежного вознаграждения, при условии, что вышеуказанное уведомление об авторском праве должно появляться во всех копиях и что как уведомление об авторском праве, так и уведомление о разрешении должно включаться в любую сопроводительную документацию, а также что имя CMU не будет использоваться в рекламе или пропаганде в отношении распространения программного средства без особого письменного предварительного разрешения.

Сохранение резервной копии

Эта опция позволяет сохранить полную конфигурацию межсетевого экрана в хосте, на котором запущен удаленный интерфейс. В случае аварии эта конфигурация может быть легко восстановлена.
Для создания резервной копии проделайте следующее:

Выберите меню Tools в главном окне

Выберите опцию Save backup

Окно сохранения резервных копий :
Это окно позволяет сделать описание сохраняемой резервной копии. Это описание представляет из себя текст, который может быть полезным при восстановлении с копии.
После того как Вы сделаете описание, нажмите кнопку Save, которая открывает окно, в котором можно указать название и путь к сохраняемому файла. Если сохранять копию не нужно, нажмите кнопку Close.

Сообщения, касающиеся статистики межсетевого экрана

Все приведенные ниже сообщения могут появляться в файле статистики межсетевого экрана. При каждом их появлении перед ними появляется запись, содержащая информацию о пакете, который послужил причиной этих сообщений. Слева указывается номер, соответствующий каждому сообщению.
01 - Possible fragmentation attack
Это сообщение означает, что пакетный фильтр получил TCP пакет с фрагментированным TCP заголовком, что, вероятно, является результатом попытки атаки путем фрагментации. Для получения дальнейшей информации обращайтесь к RFC 1858.
02 - Source routed IP packet
Это сообщение означает, что пакетный фильтр получил IP пакет с одним из следующих вариантов: Record Route, Loose Routing или Strict routing, а фильтр не был настроен для блокировки IP пакетов с такими опциями. Более подробная информация содержится в RFC 791.
03 - Land attack
"Land" атака заключается в посылке пакета с адресом источника, совпадающем с адресом назначения и портом источника, совпадающем с портом назначения. Атака может привести к аварийному сбою на атакуемом хосте.
04 - Connection is not present in the dynamic table
Это сообщение означает, что межсетевой экран получил TCP пакет, который не был запросом на соединение, и не принадлежал к открытому соединению. Это могло быть вызвано атакой или просто соединением, которое было неактивным дольше, чем длится тайм-аут TCP соединения.
05 - Packet was received from an invalid interface
Это сообщение означает, что пакетный фильтр получил IP пакет от интерфейса, отличного от указанного в правиле фильтрации, которому он соответствует. Это может быть вызвано IP спуфингом или неправильной настройкой правил фильтрации.
06 - Packet was received from an unknown interface
Это сообщение означает, что пакетный фильтр получил пакет, но не смог определить интерфейс его источника. Так как интерфейс не совпал с указанным в соответствующем правиле фильтрации, пакет был отброшен. По всей вероятности, такое сообщение никогда не появится.
07 - Possible FTP simulation attack

Это сообщение означает, что при проверке пакета в FTP-сеансе пакетный фильтр зафиксировал попытку открыть на клиенте соединение с портом ниже 1024 или соединение с адресом, отличным от ожидаемого. Возможно, это вызвано атакой или неисправной реализацией FTP. Более подробная информация содержится в RFC 959.

08 - Possible Real Audio simulation attack

Это сообщение означает, что пакетный фильтр при проверке пакетов протокола Real Audio зафиксировал попытку открыть соединение на клиенте с портом ниже 1024. Возможно, это вызвано атакой или неправильной конфигурацией в хосте с Real Audio.

09 - FTP control connection not open

Это сообщение указывает, что межсетевой экран получил пакет по каналу данных FTP протокола, а соответствующий контрольный канал не был открыт.

10 - Invalid TCP flags

Это сообщение означает, что межсетевой экран получил TCP пакет, флаги которого были неверными или противоречащими друг другу (например, SYN и FIN в одном пакете). Это может свидетельствовать об атаке или о дефекте в TCP/IP реализации.

11- Invalid TCP sequence number

Это сообщение показывает, что межсетевой экран получил TCP пакет, порядковый номер которого (sequence number) не соответствует ожидаемому значению. Это может свидетельствовать об атаке.

12 - Possible SYN Flood attack

Это сообщение генерируется межсетевым экраном, когда инициировано соединение к одному из адресов, защищенных от SYN атак, а соединение не было установлено в течение периода времени, описанного администратором. Если эти сообщения возникают редко, то их можно объяснить тем, что, возможно, слишком мал интервал времени, определенный при описании защиты от SYN атак (см. главу Защита от SYN атак). Если возникает большое число подобных сообщений, то, вероятно, что против межсетевого экрана была предпринята SYN атака.

13 - Packet without authentication information

Это сообщение означает, что данный пакет пришел без заголовка об аутентификации, а конфигурация соответствующего защищенного канала указывает, что он мог быть принят только при его наличии (см.


главу Создание защищенных каналов ). Причиной этого может быть неправильная конфигурация аутентификации в канале (возможно, настроена только на одной стороне) или попытка IP спуфинга. Более подробная информация содержится в RFCs 1825 и 1827.

14 - Packet has failed authentication

Это сообщение означает, что модуль аутентификации межсетевого экрана обнаружил ошибки в данном пакете. Это может быть вызвано неверной настройкой ключа аутентификации или некорректными изменениями в содержимом пакета при его передаче, или же IP спуфингом. Более подробная информация изложена в RFCs 1825 и 1827.

15 - Packet without encryption information

Это сообщение означает, что данный пакет пришел незашифрованным, а конфигурация соответствующего защищенного канала свидетельствует о том, что пакет должен был быть зашифрован (см. главу Создание защищенных каналов ). Причиной этого может быть неправильная конфигурация защищенных каналов (возможно, настроен только один конец канала) или IP спуфингом. Более подробная информация изложена в RFCs 1825 и 1827.

16 - The size of the packet to be decrypted is invalid

Это сообщение означает, что криптографический модуль установил, что размер дешифруемого пакета несовместим с соответствующим алгоритмом шифрования. Возможно, это вызвано неправильной конфигурацией защищенных каналов.

17 - Packet decryption has failed

Это сообщение означает, что после расшифровки пакета и выполнения тестов криптографический модуль обнаружил, что пакет неверен. Это может быть вызвано неправильной конфигурацией таблицы защищенных каналов или IP спуфингом.

18 - Invalid packet encapsulation type

Это сообщение означает, что криптографический модуль не распознал тип инкапсуляции, использованный в данном пакете. Причиной этого может оказаться сбой в расшифровке пакета (из-за неправильного ключа) или использование неподдерживаемого механизма инкапсуляции. (Межсетевой экран Aker работает исключительно с туннельным режимом инкапсуляции и не поддерживает никаких других режимов, например, транспортного режима.)


19 - Packet without SKIP information

Это сообщение означает, что данный пакет пришел без SKIP заголовка, а конфигурация соответствующего защищенного канала показывает, что он должен был иметь этот заголовок. Возможно, это вызвано неправильной конфигурацией таблицы защищенных каналов, где один из концов настроен для использования SKIP, а другой нет (смотрите главу Создание защищенных каналов ).

20 - SA for the packet doesn't contain SKIP information

Это сообщение означает, что криптографический модуль получил пакет с заголовком SKIP, а соответствующая security association (SA) не имеет информации о SKIP (см. главу Создание защищенных каналов ). Причиной этого может оказаться неправильная конфигурация таблицы защищенных каналов, когда один конец настроен для использования SKIP, а другой нет.

21 - Invalid SKIP protocol version

Это сообщение означает, что указанная в данном пакете версия протокола SKIP отлична от поддерживаемой версии. (Межсетевой экран Aker реализует версию 1 протокола SKIP.)

22 - Invalid SKIP protocol counter value

Протокол SKIP посылает счетчик в каждом пакете, показания которого ежечасно увеличиваются, чтобы избежать атаки путем проигрыша сообщения. Такое сообщение свидетельствует, что не верно значение счетчика, полученное в данном пакете. Это может быть вызвано двумя различными причинами: либо разница двух внутренних часов обоих взаимодействующих межсетевых экранов больше одного часа, либо налицо попытка атаки путем проигрыша.

23 - Invalid SPI for SKIP authentication

Это сообщение означает, что получен SKIP-пакет, а номер SPI, указанный в аутентификационном заголовке, неверен. (Протокол SKIP требует, чтобы номер SPI был 1.)

24 - The next protocol in the SKIP header is invalid

Недействителен соседний протокол в заголовке SKIP не поддерживается Aker. (Межсетевой экран Aker требует, чтобы аутентификационный заголовок сводился к SKIP-заголовку.)

25 - Invalid SKIP authentication algorithm

Это сообщение означает, что не поддерживается алгоритм аутентификации, указанный в заголовке SKIP. (Межсетевой экран Aker поддерживает только алгоритмы аутентификации MD5 и SHA-1.)


26 - Invalid SKIP encryption algorithm

Это сообщение означает, что не поддерживается алгоритм шифрования, указанный в заголовке SKIP. (Межсетевой экран Aker поддерживает только алгоритмы шифрования DES и Triple DES.)

27 - Invalid SKIP key encryption algorithm

Это сообщение означает, что не поддерживаются алгоритмы шифрования и разделителя ключа, указанные в заголовке SKIP. (Межсетевой экран Aker поддерживает только алгоритмы DES с MD5 в качестве разделителя ключа и Triple DES с тем же MD5 в качестве разделителя).

28 - Data compression algorithm not supported

Это сообщение означает, что не поддерживается алгоритм сжатия данных, указанный в заголовке SKIP. (Межсетевой экран Aker не поддерживает никаких алгоритмов сжатия данных, так как они все еще не стандартизованы.)

29 - Invalid source name space identificator

Для выбора соответствующей ассоциации защиты (SA) протокол SKIP разрешает использование других пространств имен, не являющихся IP адресами. Пространство имен можно указать для источника и/или назначения. Это сообщение означает, что пространство имен источника не поддерживается. (Межсетевой экран Aker поддерживает в качестве пространства имен только IP адреса.)

30 - Invalid destination name space identificator

Для выбора соответствующей ассоциации защиты (SA) протокол SKIP разрешает использование других пространств имен, не являющихся IP адресами. Пространство имен можно указать для источника и/или назначения. Это сообщение означает, что не поддерживается пространство имен назначения. (Межсетевой экран Aker поддерживает в качестве пространства имен только IP адреса.)

Сообщения модуля трансляции адресов

Формат записи:
- T
Описание полей:
Date: Дата создания записи.
Time: Время создания записи.
(Repetition): Число последовательных повторов записи. Это поле указывается в скобках.
Protocol: Тип протокола пакета. Это может быть TCP или UDP.
Source IP: IP адрес источника пакета.
Source port: Номер порта источника пакета.
Translated IP: IP адрес, в который был транслирован адрес источника пакета
Translated port: Порт, в который был транслирован порт источника
Примеры:
01/01/1970 17:59:45 - (01) T TCP 10.0.0.1 1024 200.239.39.3 10001 01/01/1970 18:00:00 - (01) T UDP 10.0.0.2 1045 200.239.39.3 10001

Создание правил фильтрации для межсетевого экрана Aker

Создавать правила фильтрации для межсетевого экрана Aker просто. Все описания IP адресов, масок, протоколов и портов производятся при создании объектов (смотрите главу Регистрация объектов ). Это облегчает создание правил, так как при этом не приходится беспокоиться, какой порт использует определенный сервис или какие IP адреса используются в сети. Кроме того, все наиболее распространенные в Интернет сервисы описаны заранее, что позволяет избежать напрасной траты времени на поиск соответствующих значений.
По существу, для создания правила администратор должен указать объекты источника и назначения и сервисы; все эти данные будут составлять правило. Можно также указать сетевой интерфейс для входящих пакетов и описать временной период ( в часах и днях недели), в течение которого правило будет действовать. Если пакет послан в промежуток времени, когда данное правило не активно, это правило не будет учитываться, и поиск будет продолжен далее по списку правил
Принцип работы фильтра заключается в следующем: межсетевой экран будет проверять по порядку все описанные администратором правила, до тех пор, пока не будет найдено соответствующее правило. Затем будет выполнено соответствующее правилу действие - пропустить, отказать или отбросить( эти действия будут пояснены в следующем разделе). Если поиск достигает конца списка и пакет не удовлетворяет ни одному из правил, такой пакет будет отброшен. (Можно определить действие, выполняемое в этом случае. Этот вопрос будет обсуждаться в главе Настройка реакции системы.)
! Интерфейс источника пакета проверяется после проверки адресов источника и назначения, но до проверки других параметров фильтрации. Если пакет проходит через интерфейс, отличный от указанного в правиле, он отбрасывается, а поиск в списке правил прерывается, даже если пакет удовлетворяет другим критериям фильтрации.

Создание правил фильтрации в простом пакетном фильтре

Перед тем как рассказать, как настраивать пакетный фильтр межсетевого экрана Aker, полезно пояснить, как описывать правила в обычном пакетном фильтре.
Существуют несколько возможных параметров при фильтрации пакетов. Наиболее простой является адресная фильтрация; она состоит в сравнении адресов в пакете с адресами, прописанными в правилах. Если адреса совпадают, пакет пропускается. Это сравнение производится следующим образом:
Рассмотрим следующее правило: все хосты сети 10.1.x.x могут взаимодействовать с хостами сети 10.2.x.x. Запишем это правило, используя нотацию, приведенную в главе Регистрация объектов. Мы имеем: 10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0 ------- Источник ------ -----Назначение -----
Теперь применим правило к пакету, который отправлен от хоста 10.1.1.2 к хосту 10.3.7.7. Наложим маску к обоим адресам - адресу в правиле и адресу в пакете. Затем проверим, одинаковы ли адреса источника и назначения. В результате будем иметь:

Для адреса источника: 10.1.0.0 И 255.255.0.0 = 10.1.0.0 (для правила) 10.1.1.2 И 255.255.0.0 = 10.1.0.0 (для пакета)
После применения маски оба адреса совпадают. Проверим теперь адрес назначения: 10.2.0.0 И 255.255.0.0 = 10.2.0.0 (для правила) 10.3.7.7 И 255.255.0.0 = 10.3.0.0 (для пакета)
Так как адреса назначения пакета и правила после применения маски не совпадают, то это правило не должно применяться к данному пакету.
Эта операция выполняется по всему списку адресов и масок источника и назначения до достижения конца списка или до тех пор, пока пакет не будет удовлетворять одному из правил. Список правил имеет следующий формат: 10.1.1.2 & 255.255.255.255 -> 10.2.0.0 & 255.255.0.0 10.3.3.2 & 255.255.255.255 -> 10.1.2.1 & 255.255.255.255 10.1.1.0 & 255.0.0.0 -> 10.2.3.0 & 255.255.255.0 10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0
Кроме адресов источника и назначения, каждый IP пакет заключает в себе информацию об используемых протоколе и сервисе.
Ее можно использовать как дополнительный параметр фильтрации.

Например, сервисы в протоколе TCP всегда связаны с портом (за дальнейшей информацией обращайтесь к главе Регистрация объектов). В результате можно привести в соответствие список портов с адресами.

Воспользуемся для примера двумя хорошо знакомыми сервисами, POP3 и HTTP. POP3 использует порт 110, а HTTP - порт 80. Следовательно, мы можем добавить эти порты в описание правила. В результате получим: 10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0 TCP 80 110 ------- Источник ------ ----- Назначение -------- Протокол-- --Порты--

Это правило разрешает каждому пакету, следующему от сети 10.1.x.x к сети 10.2.x.x и использующему сервисы HTTP и POP3, проходить через межсетевой экран.

Сначала адреса из правила сравниваются с адресами пакета. Если после наложения маски оба адреса совпадают, протокол и порт назначения в пакете будут сравниваться с протоколом и списком портов, описанных в правиле. Если протокол совпадает, а порт в правиле одинаков с портом пакета, то такой пакет удовлетворяет правилу. В противном случае поиск будет продолжен в списке правил.

С учетом этой новой информации набор правил будет иметь следующий формат: 10.1.1.2 & 255.255.255.255 -> 10.2.0.0 & 255.255.0.0 UDP 53 10.3.3.2 & 255.255.255.255 -> 10.1.2.1 & 255.255.255.255 TCP 80 10.1.1.0 & 255.0.0.0 -> 10.2.3.0 & 255.255.255.0 TCP 21 20 113 10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0 ICMP 0 8

Кроме этих основных параметров фильтрации можно добавить еще несколько. Одним из них является сетевой интерфейс источника; используя имя сетевого интерфейса в качестве параметра фильтрации можно разрешить прохождение пакетов с определенными адресами только от заданного интерфейса

Цель такой процедуры состоит в блокировании атаки, известной как IP спуфинг, суть которой состоит в том, что во внутреннюю сеть посылается пакет с фальшивым адресом источника ( из внутренней сети).При использовании в качестве параметра имени сетевого интерфейса можно легко блокировать этот вид атаки. Например, если внутренняя сеть взаимодействует с межсетевым экраном через интерфейс de0, то необходимо лишь установить в правилах, что пакеты с адресом источника из внутренней сети следует принимать, только если они пришли от данного интерфейса; во всех других случаях они будут отбрасываться.

С учетом нового параметра взятое для примера правило будет иметь следующий формат:

10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0 TCP 80 110 ------- Источник --------- Назначение ----- -Интерф- -Протокол- --Порты--

Это правило устанавливает, что будут приниматься TCP пакеты от хостов из сети 10.1.0.0 к хостам из сети 10.2.0.0, приходящие от интерфейса ep0 и относящиеся к HTTP сервису (порт 80) или POP3 (порт 110).

Создание профилей доступа

Настройку WWW proxy можно разбить на два этапа: сначала создаются универсальные профили доступа, а затем устанавливается соответствие между этими профилями и группами пользователей.
Профили доступа позволяют определить, какие Web страницы доступны для просмотра и какой вид доступа разрешен (например, можно создать профиль, не позволяющий передач файлов через FTP). Можно создавать любое необходимое количество профилей доступа, однако, для использования WWW proxy обязательно должен быть создан хоть один профиль.
Для доступа к окну профилей доступа необходимо:

Выбрать меню Register в главном окне

Выбрать опцию WWW access profiles

Окно профилей доступа WWW
Окно профилей содержит все WWW профили доступа, определенные в межсетевом экране. Оно состоит из списка, в котором каждый профиль показан на отдельной строке.

Кнопка OK закрывает окно профилей.

Кнопка Help показывает окно помощи по данному разделу.

Полоса прокрутки с правой стороны используется для просмотра профилей, не уместившихся в окне.

Для выполнения любого действия с конкретным профилем нажмите правой клавишей мыши на этом профиле. Откроется следующее меню (Это меню возникает всегда при нажатии правой клавиши мыши, даже если нет выделенных профилей. В этом случае доступны только опции Add и Paste.):

Add: Эта опция позволяет добавить новый профиль в список. Если выделен какой-либо профиль, новый вставляется на место выделенного. Во всех других случаях он добавляется в конец списка.

Delete: Эта опция удаляет выделенный профиль из списка

Edit: Эта опция открывает окно свойств для выделенного профиля.

Copy: Эта опция копирует выделенный профиль в буфер.

Cut: Эта опция удаляет выделенный профиль из списка и копирует его в буфер.

Paste: Эта опция копирует профиль из буфера в список. Если профиль выделен, новый будет помещен на место выделенного. Во всех прочих случаях он копируется в конец списка.

Указание: Можно получить доступ ко всем этим опциям через инструментальное меню в верхней части окна.
В этом случае сначала выделите профиль, нажав на нем левой клавишей мыши, а затем нажмите необходимую опцию.

! Для удаления профиля доступа он не должен использоваться ни одним из пользователей (более подробно об этом см. раздел

Редактирование параметров WWW proxy).

В случае добавления или редактирования профилей откроется упомянутое выше окно свойств:

Окно свойств для профилей доступа WWW

Это окно состоит из четырех папок: первая определяет общие опции профиля, а другие - опции фильтрации для каждого протокола, который поддерживается WWW (HTTP/HTTPS, FTP и Gopher).

! Протокол HTTPS для первоначального URL фильтруется по правилам HTTP протокола. Однако после установления соединения межсетевой экран не может фильтровать по содержимому пакетов, поскольку между клиентом и удаленным сервером данные передаются в зашифрованном виде.

Общие опции профиля:

В общих опциях профиля определяются следующие поля:

Name: Имя профиля доступа. Это имя будет фигурировать в списке профилей (показанном выше) и в окне настройки WWW proxy. Не может существовать двух профилей с одинаковыми именами.

URLs with IP address are allowed:Если эта опция задана, будет разрешен доступ к URLs с IP адресами вместо имен (например, http://127.0.0.1/index.shtmll). Если эта опция не установлена, доступ возможен только к URL, заданным с помощью имен.

! Если WWW proxy настроен для фильтрации URLs, то эту опцию задать, чтобы сделать невозможным для пользователей доступ к URLs через IP адреса. Иначе, даже если имена блокированы, пользователь сможет получить доступ к URL через его IP адрес. Можно добавить IP адреса в правила фильтрации профиля (если необходима фильтрация), однако, из-за постоянных изменений IP адресов и тому, что некоторые серверы имеют больше одного IP адреса, это становится чрезвычайно сложным делом.

Block: Это поле определяет специальную фильтрацию для WWW страниц, блокируя (или нет) те характеристики, которые считаются опасными для некоторых систем. Она в свою очередь состоит из трех опций, которые можно установить независимо: Javascript, Java и Active X.


Если какая- либо из этих опций установлена, соответствующие апплеты будут фильтроваться.

! Фильтрация JavaScript, Java и Active X ведет к тому, что фильтруемая страница выглядит, как-будто браузер не поддерживает эти языки. В некоторых случаях это может привести к потере функциональных качеств Web страниц.

Опции фильтрации WWW

Опции фильтрации WWW позволяют определить правила фильтрации URL для протоколов HTTP/HTTPS, FTP и Gopher. Для упрощения определения этих правил фильтрации созданы три папки с одинаковыми форматами, каждая папка предназначена для своего протокола.

Чтобы проиллюстрировать создание правил, выберем папку для протокола HTTP. Ее формат показан ниже:

Эта папка состоит из списка, в котором каждое правило показано в отдельной строке. Кроме этой строки, существует поле Default Action, в котором можно определить действие, выполняемое, в случае когда адрес, к которому клиент хочет получить доступ, не соответствует никакому правилу фильтрации: если установлена опция accept, доступ будет разрешен, если опция reject, межсетевой экран откажет в доступе.

Чтобы выполнить любое действие на конкретном правиле, нажмите правой клавишей мыши на этом правиле. Откроется следующее меню (это меню появляется всегда, если нажать правой клавишей мыши, даже если нет выделенных правил. В этом случае будут доступны только опции Add и Paste).

Add: Эта опция позволяет добавить новое правило в список. Если выделено какое-либо правило, новое вставляется на место выделенного правила. Во всех других случаях новое правило добавляется в конец списка.

Delete: Эта опция удаляет выделенное правило из списка.

Edit: Эта опция открывает окно редактирования для выделенного правила.

Copy: Эта опция копирует выделенное правило в буфер.

Cut: Эта опция удаляет выделенное правило из списка и копирует его в буфер.

Paste: Эта опция копирует правило из буфера в список. Если правило выделено, новое будет копироваться на место выделенного. Во всех других случаях оно копируется в конец списка.

Указание: Ко всем этим опциям можно получить доступ через инструментальное меню, расположенное над списком. В этом случае сначала выделите правило, нажав на нем левой клавишей мыши, а затем выберите необходимую опцию.

! Порядок следования правил в списке очень важен. Как только межсетевой экран получает запрос на доступ к некоторому адресу, он просматривает список с самого начала в поисках правила, которому удовлетворяет адрес. Обнаружив его, он начинает выполнять действие, соответствующее этому правилу.

В случае добавления или редактирования правил открывается упомянутое выше окно редактирования:

Окно редактирования для WWW правил

В этом окне можно настроить все параметры, связанные с правилом фильтрации для WWW proxy. Для определения правила нужно заполнить следующие поля::

Action: Определяет действие, которое выполняется для всех адресов, которые соответствуют правилу. Значение accept позволяет получить доступ к URL. Значение reject запрещает доступ.

Operation: Тип поиска, указанный пользователем, который выполняется с URL. Эта опция содержит следующие варианты выбора:

CONTAINS: Выражение может находиться в любой позиции.

DOESN'T CONTAIN: URL не содержит выражения.

IS: URL должен в точности соответствовать выражению.

IS NOT: URL должен отличаться от выражения.

STARTS WITH: URL должен начинаться с выражения.

DOESN'T START WITH: URL не должен начинаться с выражения.

ENDS WITH: URL должен заканчиваться выражением.

DOESN'T END WITH: URL не должен заканчиваться выражением.

Text: Подлежащее поиску выражение. Это поле содержит последовательный текст, который сравнивается с URL в соответствии с правилами, определенными в поле operation.

Создание / редактирование аутентификаторов

Для регистрации объекта типа "аутентификатор" необходимо заполнить следующие поля:
Имя:имя, которое будет использоваться межсетевым экраном для обращения к данному аутентификатору сети. Можно указывать это имя вручную или присваивать его автоматически. Опция Automatic Name позволяет выбирать между двумя режимами работы; автоматическим (если она установлена), и ручным.
! В именах объектов заглавные и строчные буквы различаются. Поэтому возможно существование большого числа объектов, имена которых составлены из одних и тех же букв, но различаются комбинациями их строчного и заглавного написания. Так объекты Aker, AKER и aker считаются различными.
Иконка: Это иконка, которая будет ассоциироваться с аутентификатором. Для ее модификации надо нажать на графическое изображение значка. Тогда межсетевой экран покажет список всех возможных значков, представляющих аутентификаторы. Для выделения одного из них нужно нажать на его изображение и кнопку OK. Если вы не хотите модифицировать значок, то после просмотра списка достаточно нажать кнопку Cancel.
IP: IP адрес создаваемого аутентификатора.
Пароль:это пароль, используемый для генерации аутентификатора и ключей шифрования, применяемых для соединения с агентом аутентификации. Этот пароль должен совпадать с паролем, определенном при настройке агента. Для получения более подробной информации смотрите главу Работа с proxy серверами.
Срок жизни кэша: при каждом успешном проведении аутентификации межсетевой экран сохраняет в памяти все данные, полученные от пользователя и агента аутентификации. Таким образом, при последующих аутентификациях межсетевой экран уже имеет все необходимые данные и не должен снова запрашивать информацию у агента. Это приводит к существенному повышению производительности.
Данный параметр позволяет установить время в секундах, в течение которого межсетевой экран хранит информацию об аутентификации в памяти. Для получения более подробной информации смотрите главу Работа с proxy серверами. Чтобы выполнить создание аутентификатора или его модификации, после заполнения всех полей необходимо нажать кнопку OK. Для отмены создания или модификации аутентификатора надо нажать кнопку Cancel.
Чтобы облегчить правильное создание множества аутентификаторов существует кнопка Create New (недоступная во время редактирования). Если нажать на эту кнопку, появится форма создания аутентификатора с заполненными полями. Этим способом можно быстро создавать большое число аутентификаторов

Создание/редактирование хостов

Для регистрации объектов типа "хост" необходимо заполнить следующие поля:
Имя: имя, которое будет использоваться межсетевым экраном для обращения к данному хосту. Можно указывать это имя вручную или присваивать его автоматически. Опция Automatic Name позволяет выбирать между двумя режимами работы; автоматическим (если она установлена), и ручным
! В именах объектов заглавные и строчные буквы различаются. Поэтому возможно существование большого числа объектов, имена которых составлены из одних и тех же букв, но различаются комбинациями их строчного и заглавного написания. Так объекты Aker, AKER и aker считаются различными.
Icon: это иконка, которая будет ассоциироваться с хостом . Для ее модификации надо нажать на графическое изображение значка. Тогда межсетевой экран покажет список всех возможных значков, представляющих хосты. Для выделения одного из них нужно нажать на его изображение и кнопку OK. Если вы не хотите модифицировать значок, то после просмотра списка достаточно нажать на кнопку Cancel.
IP: IP создаваемого хоста. Для создания или модификации хоста после заполнения всех полей необходимо щелкнуть на кнопке OK. Для отмены создания хоста или сделанных модификаций щелкните на кнопке Cancel.
Чтобы облегчить правильное создание множества хостов существует кнопка Create New (недоступная во время редактирования). Если нажать на эту кнопке, появится форма создания хоста с заполненными полями. Этим способом можно быстро создавать большое число хостов.

Создание / редактирование наборов

Для регистрации объекта типа "набор" необходимо заполнить следующие поля:
Имя: Имя создаваемого набора. Опция Automatic Name позволяет выбирать между двумя режимами работы ввода имени; автоматическим (если она установлена), и ручным
! В именах объектов заглавные и строчные буквы различаются. Поэтому возможно существование большого числа объектов, имена которых составлены из одних и тех же букв, но различаются комбинациями их строчного и заглавного написания. Так объекты Aker, AKER и aker считаются различными.
Icon: Это иконка, которая будет ассоциироваться с набором. Для ее модификации надо нажать на графическое изображение значка. Тогда межсетевой экран покажет список всех возможных значков, представляющих наборы. Для выделения одного из них нужно нажать на его изображение и кнопку OK. Если вы не хотите модифицировать значок, то после просмотра списка достаточно нажать кнопку Cancel. После заполнения имени и выбора иконки для набора, необходимо определить, какие хосты и сети будут в него входить:

В окне размещаются два списка: верхний список показывает все хосты и сети, определенные в системе. Нижний список показывает, какие из этих хостов и сетей уже принадлежат набору.

В правой стороне окна расположены два значка представляющие два типа объектов, которые можно добавить к набору - хосты и сети. Справа под значками помещается список, в котором можно выделить, следует ли показать на дисплее только хосты или только сети, или сразу оба объекта.

Указание: Для выбора типа объекта можно нажать или на имя типа в списке или на соответствующий значок. Чтобы добавить хост или сеть к набору, необходимо выполнить следующие действия:

Выберите добавляемый хост или сеть в верхнем списке окна (если необходимо, выбрав сначала соответствующий тип объекта).

Нажмите кнопку Add. (только что добавленный объект будет помечен красным значком V для указания, что он теперь принадлежит набору)

Чтобы удалить сеть или хост из набора, необходимо сделать следующее:

Выделить удаляемый хост или сеть из нижнего списка окна.

Нажать кнопку Remove. (удаляемый объект больше не будет помечен значком V)

Для выполнения процедуры создания набора или его модификации после заполнения всех полей необходимо нажать кнопку OK. Чтобы отменить создание набора или сделанные модификации, надо нажать кнопку Cancel.
Чтобы облегчить создание множества наборов существует кнопка Create New (недоступная во время редактирования). Если ее нажать, появится форма создания набора с заполненными полями. Этим способом можно быстро создавать большое число наборов.

Создание/редактирование описания сетей

Для регистрации объекта типа "сеть" необходимо заполнить следующие поля:
Имя: имя, которое будет использоваться межсетевым экраном для обращения к данной сети. Можно указывать это имя вручную или присваивать его автоматически. Опция Automatic Name позволяет выбирать между двумя режимами работы; автоматическим (если она установлена), и ручным.
! В именах объектов заглавные и строчные буквы различаются. Поэтому возможно существование большого числа объектов, имена которых составлены из одних и тех же букв, но различаются комбинациями их строчного и заглавного написания. Так объекты Aker, AKER и aker считаются различными.
Icon: Это иконка, которая будет ассоциироваться с сетью. Для ее модификации надо нажать на графическое изображение значка. Тогда межсетевой экран покажет список всех возможных значков, представляющих сети. Для выделения одного из них нужно нажать на его изображение и кнопку OK. Если вы не хотите модифицировать значок, то после просмотра списка достаточно нажать на кнопку Cancel.
IP: IP адрес создаваемой сети.
Netmask: Сетевая маска создаваемой сети. Для создания или модификации сети после заполнения всех полей необходимо нажать кнопку OK. Для отмены создания сети или сделанных модификаций нажмите кнопку Cancel.
Чтобы облегчить правильное создание множества сетей существует кнопка Create New (недоступная во время редактирования). Если нажать на эту кнопку, появится форма создания сети с заполненными полями. Этим способом можно быстро создавать большое число сетей

Создание / редактирование сервисов

Для регистрации объектов типа "сервис" необходимо заполнить следующие поля:
Имя: имя, которое будет использоваться межсетевым экраном для обращения к данному сервису. Можно указывать это имя вручную или присваивать его автоматически. Опция Automatic Name позволяет выбирать между двумя режимами работы; автоматическим (если она установлена), и ручным.
! В именах сервисов заглавные и строчные буквы различаются. Поэтому возможно существование большого числа сервисов, имена которых составлены из одних и тех же букв, но различаются комбинациями их строчного и заглавного написания. Так сервисы Aker, AKER и aker считаются различными.
Иконка: Это иконка, которая будет ассоциироваться с сервисом. Для ее модификации надо нажать графическое изображение значка. Тогда межсетевой экран покажет список всех возможных значков, представляющих сервисы. Для выделения одного из них нужно нажать на его изображение и кнопку OK. Если вы не хотите модифицировать значок, то после просмотра списка достаточно нажать кнопку Cancel.
Протокол: Используемый сервисом протокол
Сервис: это число, которое идентифицирует сервис. В случае TCP и UDP протоколов это число определяет порт назначения. В случае ICMP протокола - это тип сервиса, а в случае других протоколов - номер протокола. Чтобы облегчить создание сервиса, межсетевой экран имеет для каждого протокола список основных сервисов. Однако, возможно использование значений, не представленных в списке, если вы просто введете эти значения в поле.
Если вы хотите указать область значений вместо одного, достаточно нажать кнопку рядом с именами Service1 и Service2 и указать нижнее значение границы области в Service1, а верхнее - в Service2. Все значения между этими двумя, включая границы, будут рассматриваться как составляющие сервиса.
Proxy: это поле доступно только для TCP протокола и позволяет установить, будет ли соединение, удовлетворяющее данному сервису, автоматически перенаправлено одному из прозрачных proxy межсетевого экрана Aker или нет.
Значением по умолчанию является No Proxy, означающее, что соединение не будет перенаправлено никакому proxy. Другие опции представляют SMTP Proxy и Telnet Proxy, которые перенаправляют соединение соответственно SMTP и Telnet Proxy.

! Сервис Telnet привязан к порту 23, а SMTP - к порту 25. Можно установить, что бы соединения по любым другим портам перенаправлялись бы одному из упомянутых выше proxies; однако такие настройки не следует производить самостоятельно, пока вы не выясните все возможные последствия этого шага.

Если вы определили, что соединение должно быть перенаправлено proxy, то необходимо выбрать, какой контекст будет использован данным proxy для этого сервиса. Это делается с помощью поля Context Name. Это поле будет показывать на дисплее имена всех определенных контекстов для выбранного proxy и позволяет выделить одно из них. Для получения более подробной информации о прозрачных proxy-серверах смотрите главу Работа с proxy серверами . Чтобы завершения создания или модификации сервиса, необходимо после заполнения полей щелкнуть кнопку OK. Для отмены надо щелкнуть кнопку Cancel.

Чтобы облегчить правильное создание множества сервисов существует кнопка Create New (недоступная во время редактирования). Если нажать на эту кнопку, будет создана форма создания сервиса с заполненными полями. Этим способом можно быстро создавать большое число сервисов.

Создание защищенных каналов

В этой главе показано, как создавать защищенные коммуникационные каналы в Интернет. Эти каналы используются для подключения сетей через Интернет таким способом, чтобы информация, передаваемая через Интернет, была бы надежно защищена от чтения или модификации.

Список защищаемых объектов

Список защищаемых объектов определяет хосты, сети или наборы, которые будут защищены межсетевым экраном. В верхнем списке собраны все зарегистрированные в системе хосты, сети и наборы, а в нижнем списке - подлежащие защите объекты.
Для включения нового элемента в список для защиты, нужно сделать следующее:

Выделить включаемый объект в верхнем списке при помощи левой клавиши мыши.

Нажать расположенную слева снизу кнопку Добавить

Чтобы удалить объект из списка для защиты, следует выполнить следующие действия:

Выделить удаляемый объект в нижнем списке при помощи левой клавиши мыши.

Нажать кнопку Remove, расположенную справа над списком.

! Все серверы для любого TCP сервиса, которые доступны для внешних хостов, следует поместить в список защищаемых объектов. Однако, адрес межсетевого экрана не должен фигурировать в этом списке, так как операционная система FreeBCD нечувствительна к SYN атакам.

Статистика и события

Что произойдет, если закончится нет свободное дисковое пространства для хранения статистики или событий ?
При разработке межсетевого экрана Aker проблема безопасности рассматривалась как наиболее важная. Межсетевой экран, работающий без защищенной системы сбора статистики, обладает серьезной дырой в защите. По этой причине, после тщательного анализа возможных действий для решения проблемы недостатка дискового пространства остановились на следующем:

Обнаружив недостаток дискового пространства для хранения статистики и событий, межсетевой экран немедленно блокирует роутинг IP пакетов. Это ведет к тому, что все проходящие через межсетевой экран соединения автоматически разрываются, а новые соединения не открываются.

Межсетевой экран генерирует предупреждения о недостатке дискового пространства, посылая их в syslogd хоста, на котором запущен межсетевой экран, и, кроме того, он посылает аварийные сообщения удаленному графическому интерфейсу пользователя. Эти специальные аварийные сообщения не описаны в окне реакции системы.

Единственный способ заставить работать межсетевой экран после обнаружения недостатка дискового пространства - это увеличить пространство, доступное для хранения статистики и событий, или стереть файл регистрации или событий (невозможно сжать эти файлы, так как для выполнения сжатия необходимо дисковое пространство). После этого надо заново перегрузить хост или ввести следующую команду, чтобы восстановить маршрутизацию.
sysctl -w net.inet.ip.forwarding=1

Я только что получил аварийное сообщение в графическом интерфейсе пользователя, гласящее: "Не хватает дискового пространства для хранения статистики" или "Не хватает дискового пространства для хранения событий". С этого момента я не могу установить никакого соединения с внешний сетью. Как мне решить эту проблему?
См. предыдущий пункт.

Структура документа

Это руководство состоит из 23 глав и 3 приложений. В каждой главе описывается один из аспектов настройки продукта и общие вопросы по этому разделу.
Все главы начинаются с теоретического введения в рассматриваемый вопрос, за которым следует пояснение специфических аспектов настройки Aker. Кроме того, некоторые главы включают практические примеры ( гипотетические, но близкие к реальности ситуации) использования конфигурируемых сервисов, что позволяет облегчить понимание разнообразных конфигураций.
Чтобы составить общее представление о Руководстве, мы рекомендуем хотя бы раз внимательно прочитать его с начала до конца. А далее, по мере необходимости, им можно пользоваться как справочным руководством (для облегчения использования этого руководства все главы разбиты на отдельные темы-параграфы, указатель на которые дан в основном оглавлении. При такой структуре Руководства любую информацию можно найти быстро и легко).
Иногда в тексте встречается символ, за которым следует текст, выделенный красным цветом. Это означает, что этот текст очень важно понять перед тем, как продолжить чтение.

Типы аутентификации и алгоритмы шифрования

В настоящее время существуют различные алгоритмы аутентификации и шифрования. В этом разделе будут рассмотрены только те из них, которые поддерживаются межсетевым экраном Aker.
Одним из параметров оценки прочности алгоритма является размер ключа. Чем большее количество бит содержится в ключе, тем больше можно составить всевозможных комбинаций, и тем сильнее, теоретически, данный алгоритм должен противостоять атакам.
Алгоритмы аутентификации:

MD5
это сокращение от Message Digest 5. Этот алгоритм, создан и запатентован RSA Data Security, Inc., но при этом он может быть без ограничений использован для любых приложений. Он применяется для создания электронных подписей со 128 битами в сообщениях любого размера и считается достаточно быстрым и защищенным алгоритмом.

SHA
это сокращение от Secure Hash. Этот алгоритм позволяет генерировать электронные подписи длиной 160 бит для сообщений любого размера. Он считается более защищенным алгоритмом в сравнении с MD5, однако его производительность в среднем на 50% ниже в реализации, используемой в межсетевом экране Aker.
В межсетевом экране Aker используется версия SHA-1, незначительно скорректированная по сравнению с SHA. Тем не менее, в данном руководстве и в административном интерфейсе она всегда будет называться SHA.
Алгоритмы шифрования:

DES
DES - это сокращение от Data Encryption Standard, он создан IBM в семидесятых годах и до недавнего времени был принят в качестве стандарта в правительстве США . В аппаратных реализациях этот алгоритм оказывается достаточно быстрым; правда, его скорость недостаточна при программной реализации. Его криптографические ключи имеют фиксированный размер в 56 бит, что считается недостаточным для сегодняшних стандартов. Поэтому для критических приложений предпочтение следует отдавать другим алгоритмам.

Triple DES или 3DES
Алгоритм Triple DES заключается в троекратном применении алгоритма DES с использованием трех различных ключей для одних и тех же данных. Это эквивалентно использованию алгоритма с ключом в 112 бит, что приводит к резкому повышению уровня безопасности по сравнению с DES. Его главным недостатком остается то, что он в два раза медленнее, чем DES (в реализации, используемой межсетевым экраном Aker).

Традиционные proxy сервера

Чтобы хост мог воспользоваться сервисами, поддерживаемыми proxy, он должен знать об их существовании, т.е. должен знать, что вместо соединения с удаленным сервером, ему следует связаться с proxy и послать ему свой запрос.
Многие клиенты умеют работать через proxy сервера (например, большинство существующих браузеров). Чтобы воспользоваться функциональными возможностями proxy, необходимо только настроить программу для работы с ними. Однако не все клиенты могут работать таким образом. В этих обстоятельствах единственное решение - заменить TCP/IP стек во всех хостах-клиентах, чтобы все соединения прозрачно пересылались на proxy.
Этот подход сопряжен с определенными трудностями, не говоря уже о сложности модификации всех хостов-клиентов; иногда просто не существует способа модификации поддержки TCP/IP , что не дает возможности клиентам этих платформ использовать proxy сервера.
Приведенная ниже схема иллюстрирует основной процесс работы традиционного proxy сервера:

Существуют два различных типа преобразования

Существуют два различных типа преобразования сетевых адресов: 1-1 и много - 1. Каждый из них обладает своими характерными особенностями. Для улучшения результатов обычно применяют их комбинацию.

1-1

Тип 1-1 - наиболее понятный, но обычно наименее полезный. Он заключается в создании пары адресов с отображением одного зарезервированного адреса в один реальный адрес. В результате различные хосты будут иметь различные адреса трансляции.

Очень существенное ограничение этого типа состоит в невозможности отображения большего количества хостов, чем количество реальных адресов, поскольку они всегда преобразуются по схеме один-в-один. С другой стороны, эта процедура позволяет иметь доступ извне к хостам с зарезервированными адресами.

Много - 1

Преобразование много-в-один, как свидетельствует его название, делает возможным нескольким хостам с зарезервированными адресами использовать один и тот же реальный адрес. Чтобы достичь этой цели, преобразование использует IP-адреса в комбинации с портами (в случае TCP и UDP протоколов) и в комбинации с порядковыми номерами (в случае ICMP). Это отображение производится динамически межсетевым экраном каждый раз, когда устанавливается соединение. Поскольку существует 65535 портов или различных порядковых номеров, то можно осуществить до 65535 одновременных активных соединений, использующих один и тот же адрес.

Единственным ограничением этой технологии является то, что она не позволяет иметь доступ к внутренним хостам снаружи. Все соединения должны инициироваться изнутри.

Трансляция сетевых адресов (NAT)

Я получаю сообщения о том, что заполнена таблица трансляции для TCP (или UDP) протокола; однако, при просмотре окна активных соединений видно, что число активных соединений в данный момент заметно меньше максимально допустимого значения, установленного в системе. В чем тут дело?
Дело в том, что транслятор сетевых адресов считает активными те соединения, которые еще не достигли тайм-аута (установленного в окне настройки параметров), независимо от того, были ли эти соединения закрыты или нет.
Предположим, что тайм-аут составляет 900 секунд (предустановленное значение). Тогда это означает, что все соединения, установленные в течение последних 15 минут, содержаться удерживаться в таблице трансляции. Некоторые протоколы, такие как HTTP, используют большое число небольших соединений для передачи данных, и в связи с этим они могут явиться причиной того, что таблица соединений транслятора адресов будет заполнена явно меньшим числом соединений, чем ожидалось.
Решение этой проблемы состоит в том, чтобы увеличивать максимальное число соединений до тех пор, пока не будет найдено значение, при котором не будут генерироваться данные сообщения.

Когда я пользуюсь транслятором сетевых адресов межсетевого экрана Aker с FTP, на дисплее появляются два соединения к одному и тому же хосту назначения, одно с моего хоста, а другое с межсетевого экрана. В чем дело?
Это нормальное поведение транслятора сетевых адресов в отношении FTP протокола. На дисплее соединения всегда появляются парами, что продемонстрировано ниже на примере (предположим, что межсетевой экран имеет IP адрес 200.239.39.1):
10.0.0.1 1078 aaa.bbb.ccc.ddd 21

200.239.39.1 1040 aaa.bbb.ccc.ddd 21
Два соединения появляются на дисплее потому, что FTP соединение клиента прозрачно перенаправляется FTP proxy, запущенному на межсетевом экране, и этот proxy устанавливает соединение в направлении необходимого сервера. Такое происходит только в отношении контрольного канала FTP. Канал передачи данных, так же как и соединения других протоколов, проходит через обычный транслятор сетевых адресов, запущенный внутри ядра.

Как только я добавляю хост в серверную таблицу трансляции, все инициированные таким хостом соединения имеют адрес источника св соответствии с таблицей, кроме FTP соединений, которые имеют в качестве адреса источника глобальный виртуальный адрес. Что я делаю неправильно?
Ничего. Все FTP соединения автоматически перенаправляются локальному proxy, и поэтому, в качестве виртуальный IP адрес является их адресом источника. Этот процесс происходит независимо от того, имеет ли хост свой IP адрес в серверной таблице трансляции или нет.

Требования к аппаратному и программному обеспечению

Межсетевой экран Aker 3.0 работает под управлением операционной системы FreeBSD, версий 2.2.1 или 2.2.5, на платформах Intel или совместимых с ней. Поскольку система FreeBSD является бесплатной, она поставляется вместе с дистрибутивом межсетевого экрана Aker. Таким образом, все необходимое для его инсталляции Aker находится на его дистрибутиве.
Список аппаратных средств, необходимых для стабильной работы межсетевого экрана Aker, приведен ниже (все компоненты аппаратного обеспечения должны поддерживаться ОС FreeBSD версий 2.2.1 или 2.2.5)
Компьютер 486 DX2-66 или совместимый с ним.
При использовании высокоскоростного канала или на быстром канале криптографии Вам необходим компьютер PentiumTM или совместимый с ним
16 Мбайт ОЗУ
Если Вы хотите использовать большое количество сервисов, Вам может понадобиться память объемом 48 или 64 Мбайт.
Дисковая память 500 Мбайт
Если вы хотите сохранить статистику (журналы) системы в течение длительного периода, вам может понадобиться большее дисковое пространство.
Монитор
Он необходим только во время инсталляции, но мы рекомендуем иметь его всегда.
Сетевой адаптер(ы)
Максимальное число сетевых адаптеров ограничивается только аппаратными возможностями компьютера
! Ответственность за представленный ниже список аппаратного обеспечения несет непосредственно FreeBSD. Aker Consultancy и Informatique не несет ответственности за правильность этого списка, включенного сюда только для информации. Перед приобретением сетевого адаптера проверьте, поддерживается ли он операционной системой.
Allied-Telesis AT1700 and RE2000 cards
SMC Elite 16 WD8013, WD8003E, WD8003EBT, WD8003W, WD8013W, WD8003S, WD8003SBT и клоны WD8013EBT. Также поддерживается SMC Elite Ultra.
DEC EtherWORKS III NICs (DE203, DE204, и DE205)
DEC EtherWORKS II NICs (DE200, DE201, DE202, и DE422)
DEC DC21040/DC21041/DC21140:
ASUS PCI-L101-TB
Accton ENI1203
Cogent EM960PCI
Compex CPXPCI/32C
D-Link DE-530
DEC DE435
Danpex EN-9400P3

JCIS Condor JC1260

Linksys EtherPCI

Mylex LNP101

SMC EtherPower 10/100 (Model 9332)

SMC EtherPower (Model 8432)

SMC EtherPower (2)

Zynx ZX342

DEC FDDI (DEFPA/DEFEA) NICs

Fujitsu FMV-181 и FMV-182

Fujitsu MB86960A/MB86965A

Intel EtherExpress

Intel EtherExpress Pro/100B 100Mbit.

Isolan AT 4141-0 (16 bit)

Isolink 4110 (8 bit)

Novell NE1000, NE2000, NE2100.

3Com 3C501 карты

3Com 3C503 Etherlink II

3Com 3c505 Etherlink/+

3Com 3C507 Etherlink 16/TP

3Com 3C509, 3C579, 3C589 (PCMCIA) Etherlink III

3Com 3C590, 3C595 Etherlink III

3Com PCMCIA Etherlink III (aka 3c589)(только A-C)

HP PC Lan Plus (27247B и 27252A)

Toshiba ethernet cards

PCMCIA ethernet карты от IBM и National Semiconductor тоже поддерживаются.

3 1/2 дюймовый дисковод

Необходим только во время инсталляции.

Перед приобретением любого устройства необходимо убедиться, что он поддерживается используемой в межсетевом экране версией FreeBSD.
Более полную информацию по поддерживаемым FreeBSD устройствам можно получить: http://www.freebsd.org, http://www2.ru.freebsd.org или их зеркалах.

! Aker Consultancy и Informatique и Релком-Альфа не будут нести ответственности за любую проблему c настройкой, эксплуатацией, совместимостью, связанными с операционной системой FreeBSD.

Удаление агента аутентификации для NT

Для упрощения процесса удаления агента аутентификации существует утилита, которая делает это автоматически. Для ее запуска нажмите меню Start, выделите группу Aker Firewall, и в этой группе опцию Remove authentication agent. Откроется следующее окно:
Для удаления агента нажмите кнопку Yes, для отмены удаления - кнопку No.

Удаленное администрирование

Я пользуюсь удаленным администрированием через Интернет. Существует ли риск того, что мой пароль будет перехвачен?
Нет. Пароль пользователя никогда не посылается через сеть в незашифрованном виде. Метод аутентификации основан на вызовах - ответах, по которым межсетевой экран может аутентифицировать пользователя без получения его пароля, а удаленный интерфейс способен аутентифицировать межсетевой экран.

Я потерял пароль единственного администратора, зарегистрированного в системе. Существует ли способ его восстановления?
Не существует доступного способа восстановления утерянного пароля. Тем не менее, можно использовать локальный модуль администрирования пользователями, чтобы создать другого администратора или заменить пароль существующего администратора на известный пароль. Локальный модуль может быть запущен командой /etc/firewall/fwadmin от имени пользователя root

Управление пользователями межсетевого экрана

В этой главе показывается, как создавать пользователей для удаленного управления межсетевым экраном Aker.

Установка агента аутентификации в Windows NT

Установка агента аутентификации в Windows NT очень проста. Для этого нужно смонтировать CD диск Aker Firewall 3.0 на хосте назначения или скопировать содержимое каталога с инсталлированным агентом из CD в какой-либо временный каталог в этом хосте.
Затем надо нажать меню Start, выделить в нем опцию Run
и ввести с клавиатуры в поле Open следующую команду: D:\agent\NT\install
(если CD диск смонтирован на устройство, отличное от D, замените D соответствующей буквой).
Программа сначала откроет окно, в котором следует подтвердить необходимость инсталляции. Для этого на вопрос о продолжении инсталляции надо ответить Yes. В этом случае появится следующее окно:
Окно параметров инсталляции агента для Windows NT
В поле Simultaneous firewalls нужно ввести число межсетевых экранов, которые будут одновременно использовать аутентификатор (это число отлично от 1 только в случае, если число межсетевых экранов в сети, которые используют для аутентификации одного и того же агента, больше 1).
Опция Start agent automatically on boot позволяет автоматически запускать агента при каждом перезапуске хоста. Если эта опция установлена, агент должен запускаться вручную.
После заполнения всех значений необходимо нажать кнопку Next. Процедура инсталляции включает следующие действия: создание каталога с файлами агента и именем fwntaa, создание группы под названием Aker Firewall с опциями для настройки и удаления агента, и создание сервиса, называемого Aker Firewall Authentication agent. Этот сервис является обычным сервисом Windows NT, его можно остановить или запустить через Control Panel , опция сервисы.
! Агент аутентификации слушает запросы на порту 1021/TCP. Во время работы агента не должно быть других приложений, использующих этот порт.

Важные замечания по работе агента для NT

Следует остановиться на двух важных моментах, связанных с правильным функционированием агента аутентификации для Windows NT:

-Необходимо, чтобы все пользователи, которые будут аутентифицироваться, имели полномочие Log on Locally на сервере, на котором запущен агент. Для проверки выполните следующие шаги:

Запустите User Manager for Domain. В нем выберите меню Policies
и выделите опцию User Rights.

Выберите опцию Log on locally и добавьте все группы или пользователей, которые будут проходить аутентификацию. Для упрощения процедуры можно использовать группу Everyone.

Опция User must change password at next logon не должна быть установлена, в противном случае пользователь не сможет пройти аутентификацию

Назад | Содержание | Вперед

Восстановление с резервной копии

Эта опция позволяет восстановить с резервной копии полной конфигурации межсетевого экрана.
Для восстановления с резервной копии надо сделать следующее::

Выбрать меню Tools в главном окне

Выбрать опцию Restore backup

Окно восстановления с резервной копии :
Это окно позволяет выбрать имя файла, из которого восстанавливается конфигурация. После указания имени межсетевой экран читает все содержимое файла, проверяет правильность его содержимого и в случае отсутствия каких-либо ошибок открывается следующее окно (если в файле есть ошибки, будет показано сообщение об ошибке]:
В верхней части окна находится описание резервной копии, которое было сделано при ее сохранении. В середине окна приводятся краткая информация по восстанавливаемой конфигурации.

Кнопка Restore восстанавливает копию и немедленно обновляет конфигурацию межсетевого экрана.

Кнопка Close закрывает окно без восстановления с резервной копии.

Кнопка Help открывает окно помощи по данному разделу

Восстановление в случае аварии

В случае потери данных необходимо сделать следующее:

В случае потери конфигурационных данных или файлов статистики и событий достаточно восстановить одну из упомянутых выше копий.

! Важно убедиться, что ни один из процессов обработки межсетевого экрана Aker не запущен в момент восстановления файлов. Для этого перезапустите хост в однопользовательский режим ( это можно сделать, используя опцию -s команды boot при загрузке операционной системы boot:) или "убейте " все запущенные в межсетевом экране процессы (это можно сделать с помощью команды kill `ps -ax | grep fw | grep -v grep | cut -c 1-5`).
Для восстановления с резервной копии, сделанной с помощью команды tar, необходимо выполнить следующую последовательность команд (команды должны выполняться пользователем root):

cd /

tar xvfz /conf.tgz

(восстанавливает конфигурационные файлы)

tar xvfz /log.tgz

(восстанавливает файлы статистики и событий)

Если произошла потеря всей информации, сначала необходимо проверить, цела ли операционная система. В случае каких-либо сомнений инсталлируйте заново FreeBSD. После этого инсталлируйте межсетевой экран Aker, используя все процедуры, описанные в главе Инсталляция
. Когда все заработает, восстановите резервные копии конфигурационных файлов и файлов статистики и событий, как показано выше.

Назад | Содержание | Вперед

Этот документ предназначен для пользователей

Этот документ предназначен для пользователей межсетевого экрана Aker версии 3.0 и содержит описание правил его настройки.

Выполняемые программы

Программы, которые могут использоваться администраторами межсетевого экрана Aker

/etc/firewall/fwadmin - интерфейс командной строки для администрирования пользователей

/etc/firewall/fwacao - интерфейс командной строки для настройки реакции системы

/etc/firewall/fwchave - интерфейс командной строки для определения ключа активизации системы

/etc/firewall/fwconex - интерфейс командной строки для доступа к активным соединениям

/etc/firewall/fwconver - интерфейс командной строки для настройки трансляции адресов

/etc/firewall/fwcripto - интерфейс командной строки для настройки защищенных каналов

/etc/firewall/fwent - интерфейс командной строки для создания объектов

/etc/firewall/fwflood - интерфейс командной строки для настройки защиты от SYN атак

/etc/firewall/fwlog - интерфейс командной строки для доступа к файлам статистики и событий

/etc/firewall/fwpar - интерфейс командной строки для настройки общих параметров

/etc/firewall/fwregra - интерфейс командной строки для настройки пакетного фильтра

/etc/firewall/fwupgrade - Утилита для конвертирования конфигурационных файлов межсетевого экрана Aker версии 2.0 в формат версии 3.0

Программы, которые НЕ МОГУТ напрямую использоваться администратором

/kernel - модифицированное ядро операционной системы с межсетевым экраном Aker

/usr/sbin/syslogd - модифицированный syslog демон для межсетевого экрана Aker

/etc/firewall/fwauthd - сервер аутентификации пользователей

/etc/firewall/fwconfd - коммуникационный сервер для удаленных интерфейсов

/etc/firewall/fwdnsd - сервер разрешения имен для удаленных интерфейсов

/etc/firewall/fwinit - программа инициализации межсетевого экрана Aker

/etc/firewall/fwftppd - FTP proxy для трансляции адресов

/etc/firewall/fwhttppd - непрозрачный WWW proxy

/etc/firewall/fwresolv - клиент разрешения имен для удаленных интерфейсов

/etc/firewall/fwtrap - модуль для посылки SNMP прерываний

/etc/firewall/fwsmtppd - прозрачный SMTP proxy

/etc/firewall/fwsrvlog - сервер статистики и событий

/etc/firewall/fwsyncd - сервер, отвечающий за генерацию ключа и синхронизацию

/etc/firewall/fwtelnetd - прозрачный Telnet proxy

/etc/firewall/snmpd - SNMP агент

Записи пакетного фильтра или криптографического модуля

Любая запись может появляться с предшествующим ей специальным сообщением. Полный список всех возможных сообщений и их смысл приводится в Приложении А .

TCP протокол

Формат записей :
- <(Repetition)> TCP <(Status)>


Описание полей:
Date: Дата создания записи.
Time: Время создания записи.
(Repetition): Число последовательных повторов записи. Это поле указывается в скобках.
(Status): Это поле указывается в скобках и состоит из одного из трех независимых символов, означающих:
A: Аутентифицированный пакет
E: Зашифрованный пакет
S: Пакет использует обмен ключей через SKIP протокол Action: Поле описывает действие системы в отношении пакета. Возможны следующие значения:
A:Пакет был пропущен межсетевым экраном.
D: Пакет был блокирован.
R: Пакет был отброшен. Source IP: IP адрес источника пакета.
Source port: Номер порта источника пакета.
Destination IP : IP адрес назначения пакета.
Destination port: Номер порта назначения пакета.
Flags: Флаги TCP протокола, присутствующие в пакете,. Это поле содержит один из шести независимых символов. Наличие символа показывает наличие соответствующего флага в пакете.
Символы имеют следующие значения:
S: SYN
F: FIN
A: ACK
P: PUSH
R: RST (Reset)
U: URG (Urgent Pointer) Interface: Сетевой интерфейс, из которого прибыл пакет.
Примеры:
01/01/1970 12:00:00 - (02) D TCP 10.0.0.1 1024 10.4.1.1 23 S de0 >>>>>>>>>>>>>>>>>>>>>> Source routed IP packet 01/01/1970 12:00:02 - (02) D TCP 10.0.0.1 1024 10.4.1.1 23 S de0

UDP протокол

Формат записи:
- <(Repetition)> TCP <(Status)>


Описание полей:
Date: Дата создания записи.
Time:Время создания записи.


(Repetition): Число последовательных повторов записи. Это поле указывается в скобках.
(Status):Это поле указывается в скобках и состоит из одного из трех независимых символов, означающих:

A: Аутентифицированный пакет
E: Зашифрованный пакет
S: Пакет использует обмен ключей через SKIP протокол Action: Поле описывает действие системы в отношении пакета. Возможны следующие значения:

A: Пакет был пропущен межсетевым экраном.
D:Пакет был блокирован
R: Пакет был отброшен Source IP: IP адрес источника пакета.
Source port: Номер порта источника пакета.
Destination IP : IP адрес назначения пакета.
Destination port: Номер порта назначения пакета.
Interface: Сетевой интерфейс, из которого прибыл пакет.

Примеры:

01/01/1970 14:09:23 - (02) A UDP 10.5.1.1 1024 10.2.2.1 53 de1 >>>>>>>>>>>>>>>>>>>>>> Packet was received from an invalid interface 01/01/1970 14:10:02 - (02) D UDP 10.0.0.1 1024 10.4.1.1 23 de0

ICMP протокол

Формат записи:

- <(Repetition)> ICMP <(Status)>



Описание полей:

Date: Дата создания записи.
Time: Время создания записи.
(Repetition):Число последовательных повторов записи. Это поле указывается в скобках.
(Status): Это поле указывается в скобках и состоит из одного из трех независимых символов, означающих:

A: Аутентифицированный пакет.
E: Зашифрованный пакет.
S: Пакет использует обмен ключей через SKIP протокол. Action:Поле описывает действие системы в отношении пакета. Возможны следующие значения:

A: Пакет был пропущен межсетевым экраном.
D: Пакет был блокирован.
R:Пакет был отброшен. Source IP: IP адрес источника пакета.
Destination IP : Номер порта источника пакета.
Type of Service:Тип ICMP сервиса пакета.
Interface: Сетевой интерфейс, из которого прибыл пакет.

Примеры:

01/01/1970 14:09:23 - (01) A ICMP 10.5.1.1 10.2.2.1 8 de0 01/01/1970 14:09:24 - (01) A ICMP 10.2.2.1 10.5.1.1 0 de1

Другие протоколы

Формат записи:

- <(Repetition)>

<(Status)>

Описание полей:

Date:Дата создания записи.
Time: Время создания записи.
(Repetition): Число последовательных повторов записи. Это поле указывается в скобках.
(Status): Это поле указывается в скобках и состоит из одного из трех независимых символов, означающих:

A: Аутентифицированный пакет.
E: Зашифрованный пакет.
S: Пакет использует обмен ключей через SKIP протокол. Action: Поле описывает действие системы в отношении пакета. Возможны следующие значения:

A: Пакет был пропущен межсетевым экраном.
D: Пакет был блокирован.
R: Пакет был отброшен. Protocol: Имя протокола пакета. (Если межсетевой экран не может найти имя протокола, вместо него будет указан его номер.)
Source IP: IP адрес источника пакета.
Destination IP : IP адрес назначения пакета.
Interface: Сетевой интерфейс, из которого прибыл пакет.

Примеры: 01/01/1970 17:19:43 - (01) A EGP 10.5.1.1 10.2.2.1 de1 01/01/1970 18:39:24 - (01) D 57 10.2.2.1 10.5.1.1 de0

Запуск удаленного интерфейса

Для запуска графического интерфейса вы должны выполнить следующие действия:
Выберите меню Start , в нем группу Aker Firewall , внутри нее нажмите кнопку Aker Firewall 3.0
Вы увидите следующее окно:
Показанное выше окно является главным окном межсетевого экрана Aker, из которого доступы все опции настройки. Оно состоит из 7 меню, которые описываются ниже:
Session
Меню Session содержит опции, касающиеся установления соединений и управления пользователями.
Register
Это меню содержит опции, необходимые для регистрации объектов, используемых в других частях межсетевого экрана. Их описание будет приведено ниже.
Edit
Меню Edit содержит все конфигурационные параметры межсетевого экрана за исключением опций настройки proxy серверов и регистрации профилей объектов и доступа. Их описание будет приведено ниже.
Proxies
Меню Proxies позволяет изменять параметры прозрачных и непрозрачных proxy-серверов межсетевого экрана.
View
Меню View содержит опции, позволяющие администратору контролировать работу межсетевого экрана.
Tools
Это меню позволяет настраивать дополнительные функции управления межсетевого экрана. Его опции будут рассмотрены ниже в главе Использование средств графического интерфейса.
Help
Меню Help предназначено для доступа к описанию системы Aker и подсказок по работе с ним. В самом начале все опции в меню недоступны за исключением опций Connect и Exit в меню Session и опций Help и About
в меню Help. Для доступа к основным опциям необходимо установить удаленную сессию с межсетевым экраном, администрированием которого Вы хотите заняться. Вы должны выполнить следующие действия:
Выберите меню Session в главном окне выберите опцию Connect
Окно меню Connection
После выбора опции Connection появится следующее окно:
В поле Remote Connection необходимо ввести IP адрес или имя хоста, который необходимо администрировать, в поле Login - имя пользователя, в поле Password - пароль пользователя ( на экране пароль будет высвечиваться в виде звездочек "*").

После заполнения всех полей нажмите клавишу OK для установления соединения. Если все в порядке, через несколько секунд будет установлено соединение, и менеджер сможет выполнить все необходимые операции. В этом случае появится окно, содержащее все данные о соединении.

Если вам не удается установить соединение, на экране появится окно с указанием ошибки. В этом случае возможен целый ряд сообщений. Приведем список наиболее частых сообщений :

Aker is being administrated by another interface

Aker позволяет проводить только одну удаленную сессию одновременно. Если такое сообщение появилось, это означает, что с межсетевым экраном уже установлено удаленное соединение или на нем используется локальный модуль управления.

Name resolution error

Это сообщение означает, что не удается разрешить имя запрашиваемого хоста в DNS. Убедитесь, что имя написано правильно и DNS на машине, откуда устанавливается удаленное соединение, настроен.

Network error or connection closed by the server

Эта общая ошибка может порождаться рядом причин. Наиболее общей причиной является неправильный ввод с клавиатуры имени пользователя или пароля. Если пользователь не зарегистрирован в системе или пароль неверен, сервер оборвет соединение. Убедитесь, что ваше имя и пароль введены правильно. В случае, если ошибка еще останется, проделайте следующие действия:

Убедитесь, что процесс, отвечающий за удаленное соединение, запущен на межсетевом экране (откройте окно с интерпретатором shell на межсетевом экране и наберите команду #ps -ax | grep fwconfd | grep -v grep. Если появится строка, содержащая слово fwconfd, необходимый процесс запущен, если нет - наберите команду #/etc/firewall/fwconfd от имени root и попытайтесь установить новое соединение.

Проверьте, зарегистрирован ли в системе пользователь, пытающийся установить соединение, и правилен ли его пароль (чтобы это сделать, воспользуйтесь локальным модулем управления. Загляните в главу Управление пользователями межсетевого экрана).

Проверьте правильность работы сети.Одним из способов сделать это является использование команды ping ( не забудьте прописать на межсетевом экране правило, разрешающее использование ICMP ECHO-REQUEST и ECHO-REPLAY сервисов для тестируемого хоста. Чтобы узнать, как это делается, смотрите главу Пакетный фильтр с контролем состояния). Если сеть все-таки не работает, значит в ней есть проблемы и их надо устранить перед тем как пытаться установить удаленное управление. Если сеть работает, переходите к следующему пункту.

Просмотрите, прописано ли правило, разрешающее доступ с хоста, с которого вы хотите установить соединение с межсетевым экраном (TCP, порт 1020). Если такого правила нет, создайте его (чтобы узнать, как это делается, смотрите главу Пакетный фильтр с контролем состояния ).

Запусrк агента аутентификации

При запуске агента аутентификации можно использовать следующие параметры:
fwagaut [-?] [-c FILE_NAME] [-s <0-7>] [-q]
где:
-? показывает данное сообщение
-c указывает имя файла конфигурации
-s указывает syslog facility сообщений аутентификатора
0 = local0, 1 = local1, ...
-q не показывать никаких сообщений на запуске
Предположим, что агент установлен в каталог /usr/local/bin, а файл конфигурации создан с именем /usr/local/etc/fwagaut.cfg. В этом случае для запуска агента нужно набрать команду:
/usr/local/bin/fwagaut -c /usr/local/etc/fwagaut.cfg
Если используется файл конфигурации по умолчанию, не нужно использовать опцию -с, а сразу набрать команду:
/usr/local/bin/fwagaut
! Агент аутентификации должен запускаться пользователем root.
Если в конфигурационном файле сделаны какие-либо модификации, необходимо заново инициализировать агента, если он запущен. Чтобы это сделать, выполните следующую команду:
#kill -1 pid
Гдe pid - номер процесса агента аутентификации. Для выяснения этого номера можно использовать команду
#ps -ax | grep fwagaut на BSD системах, или #ps -ef | grep fwagaut на SystemV системах.
! Агент аутентификации слушает запросы на порту 1021/TCP. Во время работы агента не должно быть других приложений, использующих этот порт.
Если желательно стартовать агента аутентификации при каждом перезапуске хоста, необходимую строку можно вставлять в любые файлы инициализации. Имена этих файлов зависят от типа Unix системы. За более подробной информацией обращайтесь к руководству по Unix.

Защита от SYN атак

В этой главе показано, как настраивать в межсетевом экране Aker защиту от SYN атак.

Завершение удаленного управления

Существуют два пути завершения удаленного управления: закрытие сессии или окончание работы удаленного графического интерфейса.
Для завершения сессии необходимо проделать следующие шаги:
Выберите меню Session в главном окне
Выберите опцию Exit
Будет открыто следующее окно, содержащее запрос о подтверждении конца сеанса:
Нажмите Yes для окончания сессии или No для ее сохранения.
Для окончания работы программы Вам необходимо:
Выберите меню Session в главном окне
Выберите опцию Exit
Если сессия установлена, программа запросит подтверждение на ее завершение. Вам необходимо нажать Yes для закрытия сессии и выхода из программы или No для ее сохранения. Если активных сессий больше нет, программа завершит работу без последующего подтверждения.

Значения кнопок

Кнопка OK закрывает окно и сохраняет все сделанные изменения.

Кнопка Cancel закрывает окно и отбрасывает все сделанные изменения.

Кнопка >> показывает последующие сообщения, которые не уместились в окне. (Если сообщений больше нет, кнопка недоступна)

Кнопка << показывает предыдущие сообщения, которые не уместились в окне. (Если сообщений больше нет, кнопка недоступна.)

Кнопка Help открывает окно помощи для данного раздела.

Кнопки Parameters и Messages служат переключателями между указанным выше окном сообщений и окном настройки параметров.

Окно настройки параметров
Чтобы система приступила к выполнению действий, необходимо настроить некоторые параметры (например, если межсетевой экран посылает e-mail, необходимо определить e-mail адрес). Эти параметры можно модифицировать через окно настройки параметров реакции системы.
Соответствующее окно откроется, если нажать кнопку Parameters
в окне сообщений. Оно имеет следующий формат
Значения параметров:

Параметры для выполнения программы

External Program: Этот параметр определяет имя выполняемой системой программы, когда производится действие с опцией Program. Следует ввести с клавиатуры полное имя маршрута программы. Необходимо учесть , что программа и все каталоги по ходу маршрута должны иметь право на выполнение для пользователя, от имени которого выполняется программа (настройка пользователя проводится в следующей опции).
Программа получает из командной строки следующие параметры (в указанном порядке):

Имя выполняемой программы (стандартный параметр для операционной системы Unix).

Тип сообщения (1 - для статистики или 2 - для события).

Приоритет (7 - debug, 6 - information, 5 - notice, 4 - warning or 3 - error).

Номер сообщения, являющегося причиной выполнения программы, или 0, когда надо указать, что инициатором запуска программы оказывается правило).

ASCII-цепочка с полным текстом сообщения (эта цепочка может иметь символы LF ( конец строки)).

! В операционных системах Unix символ слеш "/" используется для описания маршрута программы. Это может смутить тех, кто пользуется средой DOS/Windows, где используется обратный слеш "\".
Пользователь: Этот параметр определяет, от имени кого будет выполняться программа. Программа будет обладать привилегиями этого пользователя.
! Этот пользователь должен быть зарегистрирован в FreeBSD. Необходимо не путать его с администраторами Aker.

Значения полей в окне активных соединений

Каждая строка списка активных соединений представляет одно соединение. Поля имеют следующие значения:
Source IP: IP адрес хоста, который инициирует соединение.
Source port: Порт, используемый хостом источника для данного соединения.
Destination: IP адрес хоста, с которым установлено соединение.
Destination port: Порт, с которым установлено соединение. Этот порт обычно соответствует определенному сервису.
Start: Время образования соединения.
Idle: Период неактивности соединения ( в минутах и секундах).
Current State: Это поле выводится на дисплей только в случае TCP соединений. Оно представляет состояние соединения в момент вывода на экран. Поле может состоять из следующих значений:
SYN Sent: SYN Sent: Указывает, что пакет с запросом о соединении был послан (пакет с SYN-флагом), но сервер еще не ответил на него.
SYN Exchanged: указывает, что был послан пакет с запросом о соединении и получен ответ сервера с подтверждением об установлении соединения.
Established: Указывает, что соединение установлено.
Listening at port: Указывает, что сервер слушает данный порт (listen) в ожидании соединения от клиента. Подобное состояние возникает только для соединений передачи данных в FTP сессии.



    Работа с информацией: Безопасность - Защита - Софт - Криптография

• Информационная безопасность
  
• Аспекты информационной безопасности
  
• Системы информационной безопасности
  
• Софт и информационная безопасность
  
• IInternet Information Services
  
  
• Защита и безопасность
  
• Защита с Firewall
  
• Атаки и информационная безопасность
  
• Информационная безопасность в интернет
  
  
• Борьба с вирусами
  
• Антивирусы против вирусов
  
• Хакеры и информационная безопасность
  
  
• Криптография
  

---

---