Руководство Администратора межсетевого экрана Акер 3.01
Адресация в локальной сети
Независимо от технических возможностей, адреса внутренней сети не следует выбирать случайным образом. Специально для этих целей существуют зарезерезерированные адреса. Эти адреса не присвоены и никогда не будут присвоены какому-либо хосту, непосредственно соединенному с Интернет.
Зарезервированными являются следующие адреса:
От
10.0.0.0 до
10.255.255.255 , маска 255.0.0.0 (класс A)
От
172.16.0.0 до
172.31.0.0 , маска 255.255.0.0 (класс B)
От
192.168.0.0 до
192.168.255.255 , маска 255.255.255.0 (класс C)
Алгоритм MD
Copyright © 1991-2, RSA Data Security, Inc. Created 1991. All rights reserved.
На копирование и использование данного программного средства предоставляется лицензия , при условии, что оно идентифицируется как "RSA Data Security, Inc. MD5 Message-Digest Algorithm" во всех материалах, содержащих упоминание или ссылки на сам продукт или его функциональные свойства
Лицензия предоставляется также на выполнение и использование производных работ, при условии, что эти работы идентифицированы как "derived from the RSA Data Security, Inc. MD5 Message-Digest Algorithm" во всех материалах, содержащих упоминание или ссылки на производную работу.
RSA Data Security, Inc. не делает никаких заявлений, касающихся либо годности для торговли, либо соответствия цели данного программного средства. Оно выпускается "как есть" без явных или подразумеваемых гарантий какого-либо вида.
Эти уведомления должны сохраняться в любых копиях любых частей данной документации и/или программного средства
Алгоритмы обмена ключами
Одной из серьезных проблем при образовании защищенного канала является определение ключей аутентификации и шифрования и выполнение периодических замен этих ключей. Чтобы снизить риск взлома ключей злоумышленником и уменьшить нанесенный ущерб в случае взлома одного из них, важно проводить периодические замены ключей; предположим, что спустя шесть месяцев после установки ключей злоумышленнику удалось взломать ключи алгоритма шифрования (выбранная ситуация гипотетическая и ничего общего не имеет с реальной ). Если компания продолжает пользоваться теми же ключами,скажем, в течение года, то злоумышленник может расшифровать весь трафик компании за последние 6 месяцев. С другой стороны, если ключи менять ежедневно, тот же нарушитель, расшифровав после шестимесячной работы по взлому трафик первого дня, будет вынужден еще поработать шесть месяцев над расшифровкой трафика второго дня и т.д. Межсетевой экран Aker предоставляет два способа обмена ключами: ручной обмен и с помощью SKIP:
Ручной обмен ключами
В этом случае все настройки ключевой информации производятся вручную. При этом если производится замена ключей, обе стороны, между которыми образован защищенный канал, должны быть одновременно переконфигурированы
Замена ключей с помощью SKIP
SKIP - это сокращение от Simple Key Management for IP. По существу, он является алгоритмом , позволяющим выполнять замену ключей в автоматическом режиме с черезвычайно высокой частотой, практически полностью исключающей их взлом. Функционирование SKIP оказывается сложной процедурой, и мы не будем вдаваться в ее детали. Сфокусируем внимание на описании самого процесса. В основном SKIP работает с тремя различными уровнями ключей:
Общий секрет для всех взаимодействующих хостов
Мастер ключ, который вычисляется заново каждый час на основе секрета.
Случайный ключ, который можно вычислить заново в случае необходимости
Опишем сценарий в общих чертах: для установления связи генерируется случайный ключ и он используется для зашифрования и аутентификации посылаемых данных. Затем этот ключ шифруется на мастер ключе и отсылается вместе с зашифрованными данными. Когда принимающая сторона получает пакет, она расшифровывает ключ с помощью мастер ключа и использует его для расшифровки остального пакета.
Поскольку алгоритмы, используемые для аутентификации, шифрования пакета и ключа определяются отправителем и передаются как часть протокола, получателю нет нужды настраивать эти параметры в приемнике.
Основным преимуществом SKIP является возможность использовнияя одного и того же секрета годами, не боясь его взлома нарушителем (поскольку замена ключа производится с интервалом от нескольких секунд до максимального значения в один час, в зависимости от трафика между взаимодействующими сетями).
Настоятельно рекомендуется пользоваться этой опцией при конфигурировании защищенных каналов.
Аутентификация пользователей
Я правильно настроил агента аутентификации в моем Windows NT, тем не менее ни один пользователь не смог пройти аутентификацию. Каждый из них получил сообщение о неверном пароле. Что я должен делать?
Проверьте, имеют ли эти пользователи право Локальный вход в систему на хосте с запущенным агентом. Для получения таких прав необходимо выполнить следующие шаги:
Запустите Диспетчер пользователей. В нем выберите меню Политика и опцию Права пользователей.
Выберите опцию Локальный вход в систему и установите ее для всех необходимых пользователей и групп. Чтобы упростить задачу, можно использовать группу Все.
Я пользуюсь агентом аутентификации для Windows NT, и заметил, что тогда как многие пользователи аутентифицируются правильно, некоторые не могут этого сделать, всегда получая сообщения о неверном пароле. В чем может быть ошибка?
Проверьте, установлена ли у пользователей, у которых возникли проблемы с аутентификацией, опция Потребовать смену пароля при следующем входе в систему. Если она установлена, уберите ее, и тогда пользователи будут снова нормально проходить аутентификацию.
Для проверки запустите Диспетчер пользователей и нажмите дважды на имени необходимого пользователя. Эта опция указана на дисплее под полями описания пользователя.
Аутентификаторы межсетевого экрана Aker
Аутентификацию пользователя в межсетевом экране Aker поддерживают WWW и Telnet proxy, что означает, что их можно настроить так, чтобы установление соединений пользователям разрешалось бы только при условии, что пользователь идентифицирует себя для межсетевого экрана при помощи имени и пароля.
При такой процедуре аутентификации межсетевому экрану необходимо проверять правильность имен и паролей. Для одних программ требуется регистрация всех пользователей в базе данных межсетевого экрана, для других нужно, чтобы пользователи были зарегистрированными пользователями на хосте, на котором запускается межсетевой экран. Оба способа не позволяют использовать базу данных пользователей, как правило присутствующую в локальной сети.
В межсетевом экране Aker выбрано наиболее универсальное и простое решение: вместо регистрации пользователей непосредственно в межсетевом экране, их подлинность проверяется на серверах локальных сетей, либо под управлением Unix, либо Windows NT.
Для того что бы межсетевой экран знал, где находится информация, необходимая для аутентификации пользователей, и имел возможность обеспечить защищенную связь с этими хостами, была создана концепция аутентификаторов. Аутентификаторами являются хосты под управлением Unix или Windows NT, на которых запускается агент аутентификации. Эта программа распространяется в комплекте с межсетевым экраном Aker, и ее основное назначение - обеспечить взаимодействие между межсетевым экраном и удаленной базой данных.
Для использования межсетевым экраном Aker базы данных на удаленном сервере вы должны выполнить следующие действия:
Установить и настроить агента аутентификации на хосте, где находится пользовательская база данных (эта процедура будет описана в разделах Инсталляция агента аутентификации в Unix и Инсталляция агента аутентификации в Windows NT).
Зарегистрировать объект типа аутентификатор с адресом хоста, на котором установлен агент, и с правильным паролем доступа (информация о регистрации объектов изложена в главе 5 Регистрация объектов).
Указать межсетевому экрану, что он должен использовать аутентикатор, зарегистрированный на 2 этапе, для проведения аутентификации пользователя (эта процедура будет описана в главе 16 Настройка параметров аутентификации).
Авторские права по системам
Copyright © 1997, 1998 Aker Concultancy and Informatique LTD.
Продукт использует DES и 3DES алгоритмы, взятые из SSL библиотеки, составленной Eric Young (eay@mincon.oz.au). Copyright © 1995 Eric Young.
Продукт использует MD5 алгоритм, описанный в RFC 1321. Copyright © 1991-2 RSA Data Security, Inc
Продукт включает программное обеспечение, разработанное сотрудниками университетов California, Berkeley.
Продукт использует CMU SNMP библиотеку. Copyright 1997 Carnegie Mellon Univercity.
Что представляет фильтр с контролем состояния межсетевого экрана Aker?
Действия традиционного пакетного фильтра основаны исключительно на наборе правил, описанных администратором. Для каждого пакета, который может проходить через фильтр, администратор должен создать необходимое правило. В некоторых случаях это достаточно просто, однако иногда такая процедура невозможна, или по крайней мере невозможна без соблюдения необходимого уровня безопасности и гибкости.
Пакетный фильтр межсетевого экрана Aker называется фильтром с контролем состояния, так как он сохраняет информацию о состоянии по каждому проходящему через него соединению, и использует всю эту информацию совместно с набором правил при решении вопроса о том, пропустиь или отбросить конкретный пакет. Кроме того, в отличие от пакетного фильтра, который принимает решения, основаваясь только на данных в заголовке пакета, фильтр с контролем состояния проверяет данные всех уровней и использует их при принятии решений.
Рассмотрим подробнее, как фильтр с контролем состояния решает различные проблемы, которые возникают при использовании обычного пакетного фильтра.
Проблема с UDP протоколом:
Для того, чтобы использовать UDP сервис, клиент выбирает номер порта (который меняется каждый раз при использовании сервиса) и посылает пакет на порт сервера, соответствующий данному сервису (порт на сервере фиксирован). Получив запрос, сервер посылает в ответ один или более пакетов на порт клиента. Для образования соединения необходимо, чтобы межсетевой экран принимал пакеты запросов и ответов. Проблема заключается в том, что UDP протокол не является протоколом, ориентированным на соединение, т.е. если рассматривается отдельный изолированный пакет вне контекста, то невозможно узнать, является ли он запросом или ответом некоторого сервиса.
В обычных пакетных фильтрах администратор может либо блокировать весь UDP трафик, либо позволить пройти пакетам ко всем возможным портам, так как он не знает заранее, какой порт будет выбран клиентом для доступа к определенному сервису. Оба эти подхода обладают очевидными недостатками.
Межсетевой экран Aker способен динамически адаптироваться к трафику при решении вышеупомянутых проблем: каждый раз, когда UDP пакет соответствует какому-либо правилу, во внутреннюю таблицу состояний добавляется элемент. Это позволяет пропускать к клиенту обратные пакеты от сервера.
Этот элемент является активным в течение короткого промежутка времени, по истечении которого он удаляется (этот временной интервал устанавливается через окно параметров настройки, которое рассматривается в главе 4 Настройка параметров системы). В результате администратору не приходится за ботиться об ответных UDP пакетах; для разрешения доступа к сервисам необходим о только настроить правила для данного сервиса. Это легко сделать, так как все сервисы имеют фиксированные порты.
Проблема с FTP протоколом:
FTP является одним из самых популярных протоколов в Интернет, однако, он же является и одним из наиболее сложных протоколов для межсетевых экранов.Рассмотрим более подробно его функциональные свойства:
Для получения доступа к FTP сервису клиент открывает TCP соединение с 21 портом на сервере (порт клиента может быть различным). Такое соединение называется контрольным каналом. После этого при любой перекачке файла или просмотре каталога устанавливается новое соединение - образуется канал передачи данных. Последний можно установить двумя способами:
соединение может устанавливаться сервером ( 20 порт ) и клиентом (случайно выбранный порт). О номере порта клиент сообщает серверу через контрольный канал; такой способ называется активным FTP
клиент может открыть соединение между случайно выбранными портами ( у клиента и сервера); номер последнего передается клиенту через контрольный канал. Такой способ называется пассивным FTP .
В обоих указанных случаях администратор не знает, какие порты будут выбраны для установления канала передачи данных, и если он хочет использовать FTP протокол через традиционный пакетный фильтр, он будет вынужден разрешить доступ ко всем возможным портам, используемым клиентами и серверами.
Этот подход может привести к серьезным проблемам с безопасностью.
Межсетевой экран Aker умеет анализировать трафик по контрольному каналу, т.е. он может понять, какой тип соединения будет использоваться ( активный или пассивный) и какие порты будут использованы для установления канала передачи данных. Благодаря этому свойству, каждый раз, когда пакетный фильтр определяет, что будет иметь место передача данных, он добавляет элемент в таблицу состояний. Этот элемент активен только во время передачи и только при открытом контрольном канале. Таким образом, для настройки доступа по FTP протоколу необходимо лишь добавить правило, разрешающее доступ к 21 порту. Все остальное будет сделано автоматически.
Проблема с Real Audio протоколом:
Протокол Real Audio является наиболее распространенным протоколом для аудио и видео передач через Интернет в режиме реального времени.
Для передачи видео или аудио информации клиент устанавливает TCP соединение с сервером Real Audio. Чтобы улучшить качество аудио и видео передачи, наряду с этим соединением, сервер может открыть UDP соединение с клиентом, с произвольным портом, а клиент в свою очередь может открыть другое UDP соединение с сервером (также с произвольным портом).
Обычные пакетные фильтры не позволяют устанавливать UDP соединения от сервера к клиенту и наоборот, поскольку порты заранее неизвестны, что приводит к понижению качества аудио и видео данных.
Фильтр межсетевого экрана Aker контролирует весь трафик между сервером Real Audio и клиентом, проверяя какие UDP соединения открыты и к каким портам и добавляя эту информацию в таблицу состояний. Этот элемент активен только в период открытого контрольного FTP соединения, что обеспечивает высокий уровень безопасности.
Что представляет из себя SMTP proxy ?
SMTP proxy - это специализированная программа межсетевого экрана Aker, предназначенная для работы с электронной почтой (SMTP - это сокращение от Simple Mail Transrer Protocol, сервиса для передачи электронной почты через Интернет). Она позволяет осуществлять фильтрацию cообщений электронной почты по содержанию или полям заголовка. Помимо этого, она выступает в качестве барьера, защищающего SMTP сервер от некоторых видов атак.
SMTP proxy относится к категории прозрачных proxy [более подробно об этом описано в разделе 15
Работа с proxy серверами ), и потому ни сервер, ни клиент не знают о их существовании.
Что представляет собой моя внешняя сеть?
Внешние сети состоят из тех хостов, которые не являются частью внутренней сети. Они могут находиться или не находиться под административной ответственностью вашей организиции.
Если организация подключена к Интернет, внешней сетью будет весь Интернет.
Что представляет собой моя внутренняя сеть?
Внутренняя сеть состоит из хостов, входящих в состав одной или более подсетей, защищенных межсетевым экраном Aker. Сюда включаются также внутренние сетевые устройства, такие как маршрутизаторы, коммутаторы, серверы, клиенты и т.д. В межсетевом экране Aker внутренняя сеть называется частной сетью (Private Network).
Что представляют собой объекты и для чего они нужны?
Объекты служат для отображения реальных параметров в межсетевом экране Aker. С их помощью становится возможным представление хостов, сетей, сервисов и т.д.
Основным преимуществом их использования является то, что после их описания в межсетевом экране с ними самими можно обращаться как с параметрами, что значительно облегчает работу по их настройке. Все модификации объектов будут автоматически распостраняться на все ссылки в них .
Например, можно определить хост, назвав его
WWW Server с IP адресом
10.0.0.1 . После этого больше нет необходимости помнить этот IP адрес. Везде где необходимо задействовать этот хост, к нему можно обращаться по имени. Если потом поменять его IP адрес, то необходимо будет лишь изменить описание самого объекта, и система автоматически использует новое определение во всех ссылках на него.
Что такое активные соединения ?
К активным соединениям относятся TCP соединения или UDP сессии, которые в данный момент проходят через межсетевой экран. Они проходят через межсетевой экран либо в соответствии с правилом фильтрации, описанным администратором, либо в соответствии с записью в таблице состояний, автоматически добавленной межсетевым экраном Aker.
По каждому такому соединению межсетевой экран хранит массу информации в своих таблицах . Некоторые из этих информационных фрагментов представляют особую ценность для администратора, их в любой момент можно просмотреть с помощью окна активных соединений. Эта информация содержит точное время установления соединений и период неактивности, т.е. период времени, в течение которого через это соединение не было обмена пакетами.
Что такое аутентификация ?
В аутентификации основными понятиями также являются ключ и математический алгоритм, основанный на хэш-функции. В отличие от криптографии, этот алгоритм используется не для шифрования данных, а для созданию электронной подписи. Подпись формируется таким образом, что вычислить ее, не зная алгоритм и ключ невозможно Созданная таким образом электронная подпись передается вместе с данными в пункт назначения. Если данные в процессе передачи подверглись изменениям, это сразу же обнаружится: в хосте назначения будет вычислена электронная подпись от полученных данных и после сравнения с полученной подписью подмена будет обнаружена. Операция по вычислению подписи выполняется очень быстро по сравнению с шифрованием. Тем не менее, она не может защитить данные от чтения. Поэтому ее следует применять, если важна надежность доставки, а не конфиденциальность. Для обеспечения обеих характеристик аутентификация используется совместно с криптографией.
Что такое файл системной статистики?
Файл статистики - это место, в котором межсетевой экран хранит всю информацию о полученных им пакетах. Он включает записи, генерируемые тремя главными модулями: пакетным фильтром, транслятором сетевых адресов, а также модулем шифрования и аутентификации. Характер хранящейся в журнале информации зависит от настроек межсетевого экрана, но главным образом в нем содержится информация о пропущенных и не пропущенных пакетах, ошибках в пакетах, а также информация о трансляции сетевых адресов.
Повидимому, самой ценной является информация об отброшенных и не пропущенных пакетах, так как именно на основании их анализа можно обнаружить попытки вторжения, использование несанкционированных сервисов, ошибки в конфигурациях и т.д.
Что такое фильтр системы сбора статистики?
Даже если система настроена таким образом, чтобы регистрировать всю поступающую информацию, нас обычно интересует только определенная часть этих данных (пусть, например, мы хотим проанализировать попытки использования сервиса POP3 конкретной машиной за несколько дней, причем как успешные, так и неудачные). Фильтр системы сбора статистики - это механизм, поддерживаемый межсетевым экраном Aker, который предназначен для просмотра определенного подмножества зарегистрированных данных и позволяет легко отыскать нужную информацию.
Фильтр разрешает только просматривать информацию, записанную в файле статистики. Если вы хотите получить более специфическую информацию, сначала надо настроить систему для ее регистрации, а затем использовать фильтр для ее просмотра.
Что такое фильтр событий ?
Чаще всего необходимо просмотреть выборку по определенному множеству событий, а не всю собираемую информацию(например, если Вы хотите просмотреть все вчерашние сообщения). Фильтр событий является одним из механизмов межсетевого экрана Aker, позволяющий описать и просмотреть только необходимое Вам подмножество информации. Фильтр разрешает только просматривать записанную в файле событий информацию. Для получения более специфической информации необходимо сначала настроить систему для ее сбора, а затем использовать фильтр для ее просмотра.
Что такое инструментальные средства графического интерфейса ?
Инструментальные средства - это набор утилит, представленных только в графическом интерфейсе межсетевого экрана Aker. Они используются для упрощения администрирования межсетевого экрана.
Что такое криптография?
Базовыми понятиями в криптографии являются ключ и математический алгоритм. Используя этот алгоритм и ключ, информация модифицируется. Способ, которым это делается, гарантирует возможность обратного преобразования данных к первоначальной форме только при условии, что известны алгоритм и ключ. Если один из этих компонентов держится в секрете (как правило, ключ), то просмотреть данные постороннему человеку невозможно.
Что такое пакетный фильтр?
Пакетный фильтр является главным модулем системы, который принимает решения, разрешить или запретить конкретному пакету пройти через межсетевой экран. Это означает, что определенный сервис разрешен или запрещен.
Чтобы решать, какие действия следует выполнять для каждого полученного межсетевым экраном пакета, пакетный фильтр использует набор правил, которые описываются системным администратором. Для каждого пакета межсетевой экран просматривает весь набор правил в порядке их создания, проверяя, удовлетворяет ли пакет какому-либо из них. Если соответствующее правило существует, то в соответствии с ним будет выполняться заданное действие. Если данный пакет не удовлетворяет ни одному из правил, то будет выполняться действие по умолчанию.
Что такое параметры аутентификации ?
Параметры аутентификации указывают межсетевому экрану, с какими аутентификаторами ему следует связываться и в каком порядке при аутентификации пользователей. Помимо этого, они позволяют контролировать методику обращений к аутентификаторам, обеспечивая определенную степень гибкости процедуры аутентификации.
Что такое proxy сервера?
Proxy сервера - это специальные программы, которые запускаются на межсетевых экранах и используются в качестве связующего звена между внутренней сетью организации и внешними серверами. Механизм их действия прост: они ждут запроса из внутренней сети, передают этот запрос удаленному серверу во внешней сети и посылают ответ обратно внутреннему клиенту.
Чаще всего proxy сервера используются всеми клиентами одной подсети, и благодаря своему стратегическому положению обычно обеспечивают кэширующие функции для некоторых сервисов. Более того, так как proxy сервера работают на уровне конкретного протокола, для каждого сервиса необходимы различные proxy сервера.
Что такое реакция системы?
В межсетевом экране Aker существует механизм , который позволяет формировать автоматические ответы для некоторых ситуаций. Автоматические ответы настраиваются администратором из набора возможных действий, которые будут выполнены для заранее описанных ситуаций.
Что такое системные события ?
Событиями являются сообщения межсетевого экрана более высокого уровня, т.е. не связанные напрямую с пакетами (как в случае статистики). К событиям относятся сообщения, которые генерируются одним из трех главных модулей (пакетным фильтром, транслятором сетевых адресов или модулем шифрования/аутентификации) или каким-либо другим компонентом межсетевого экрана, таким, например, как proxy сервер или каким-нибудь процессом ( при выполнении специфических задач).
При этом генерируются сообщеня с различными уровнями важности, начиная от полезной для контроля функционирования системы информации (например,сообщения о рестарте машины или об установлении сеанса администрирования межсетевого экрана), до информации об ошибках в при выполнении или в настройках.
Что такое SYN атака?
SYN атака - это одна из наиболее распространенных атак типа "отказ в обслуживании". Такие атаки имеют своей целью помешать нормальной работе хоста или некоторого сервиса. В случае удачно проведенной SYN атаки можно сделать неработоспособным какой-либо сервис, основанный на TCP протоколе.
Чтобы разобраться в механизме этой атаки, нужно понять принцип работы процесса установления соединения для TCP протокола.
Процесс установления соединения TCP протокола проходит в 3 этапа:
Клиент посылает пакет серверу со специальным флагом, который называется SYN flag. Наличие такого флага показывает, что клиент хочет установить соединение.
Сервер в ответ посылает пакет, содержащий как флаг SYN , так и флаг ACK; это значит, что сервер принял запрос о соединении и ждет от клиента подтверждения для его установления.
Клиент после получения пакета с SYN и ACK флагами посылает в ответ пакет, содержащий только флаг ACK, который указывает серверу, что соединение успешно установлено.
Все полученные сервером запросы о соединениях хранятся в специальной очереди, имеющей заранее определенный размер, зависящий от операционной системы. Они хранятся там до тех пор, пока сервер не получит от клиента информацию об установленном соединении. Если сервер получает пакет с запросом о соединении и очередь заполнена, этот пакет отбрасывается.
SYN атака заключается в отправке определенному серверу большого количества пакетов с запросами о соединении. Эти пакеты посылаются с несуществующим адресом источника. Вымышленный адрес источника принадлежит несуществующему хосту ( в этой ситуации часто прибегают к зарезервированным адресам, подробно описанным в главе "Трансляция сетевых адресов"). Сервер после получения этих пакетов, посылает ответный пакет и ждет подтверждения от клиента. Поскольку адрес источника пакетов не существует, сервер никогда не получит подтверждения.
Дальше случится следующее: спустя некоторое время в данном сервере очередь для хранения запросов об установлении соединеия окончательно заполнится. Начиная с этого момента, все запросы на установление соединений будут отбрасываться, а сервис окажется бездействующим. Такое бездействие будет продолжаться в течение нескольких секунд, пока сервер, обнаружив, что подтверждение соединения не приходит слишком долго, не удалит эти ожидающие решения соединения из очереди. Однако, если атакующий настойчиво продолжает посылать подобные пакеты, сервис будет оставаться бездействующим столько времени, сколько захочет нарушитель.
Не все хосты чуствительны к SYN атакам. Современные реализации TCP протоколов обладают собственным механизмом защиты от таких атак.
Что такое Telnet proxy ?
Telnet proxy - это специальная программа межсетевого экрана Aker, предназначенная для работы с Telnet протоколом, который используется для эмуляции удаленнго терминала. Его основная функция состоит в том, чтобы обеспечить аутентификацию на уровне пользователя для Telnet соединений. Это позволяет обеспечить большую гибкость и высокий уровень безопасности. Telnet proxy относятся к категории прозрачных proxy (смотрите главу 15
Работа с proxy серверами ), и потому ни сервер, ни клиент не должны знать о его существовании.
Что такое трансляция сетевых адресов?
Любой сети, желающей подключиться к Интернет, необходим набор IP адресов, которые может выделить любая имеющая на это право организация. Существуют три класса IP адресов: класс А, внутри которого можно описать до 16777214 хостов, класс В, позволяющий описать до 65533 хостов и класс С с 254 хостами.
Бум, который переживает Интернет в последние годы, привел к тому, что сети класса А и В в настоящее время стали недоступны для организаций и отдельных пользователей. Поэтому Вам может быть выделена только сеть класса С, с 254 адресами. При большем числе хостов вам потребуются другие сети класса С, что усложняет работу администратора. Другой способ решения проблемы состоит в использовании трансляции сетевых адресов (NAT).
Трансляция сетевых адресов - это технология, которая позволяет использовать для внутренней сети любые адреса, возможно даже из класса А; при этом сохраняется одновременный и прозрачный доступ в Интернет для всех хостов.
Механизм функционирования такого процесса достаточно прост: каждый раз, когда хост с зарезервированным адресом пытается получить доступ в Интернет, межсетевой экран контролирует эту попытку и автоматически преобразует его адрес в разрешенный. Когда хост назначения отвечает и посылает данные на разрешенный адрес, межсетевой экран преобразует его обратно в зарезервированный адрес и передает данные внутреннему хосту. При этом ни клиент, ни сервер не знают о существовании этого преобразования.
Кроме уже упомянутых преимуществ, трансляция сетевых адресов позволяет все хосты внутренней сети сделать невидимыми для внешней сети, что увеличивает уровень безопасности.
Трансляция сетевых адресов не может быть использована для сервисов, которые передают информацию об IP-адресах или портах внутри протокола. Межсетевой экран Aker из сервисов такого вида поддерживает только сервисы FTP и Real Audio/Real Video.
Что такое WWW кэш сервер?
Кэш-сервер является программой, которая предназначена для ускорения доступа к страницам Интернет. Для этого кэш-сервер хранит у себя наиболее часто запрашиваемые страницы и каждый раз, когда он получает новый запрос, он проверяет, не хранится ли у него запрашиваемая страница. Если страница присутствует , она немедленно высылается без обмена с внешним сервером. Если нет, страница загружается обычным образом с сервера и сохраняется, что обеспечивает быстый доступ к ней при новых запросах.
Что такое WWW proxy в межсетевом экране Aker?
WWW proxy - это специализированная программа межсетевого экрана Aker, предназначенная для работы с протоколами, которые поддерживаются WWW (World Wide Web) серверами, такими как HTTP, HTTPS, FTP и Gopher.
Основная функция WWW proxy состоит в управлении доступом внутренних пользователей к Интернет; они, например, определяют каким пользователям можно позволить доступ и к каким страницам, кто может передавать файлы и т.д. Более того, они могу блокировать Active-XTM и JavaTM applets, которые могут иногда представлять опасность.
WWW proxy относится к непрозрачными proxy (смотрите главу 15
Работа с proxy серверами ), поэтому использующие их клиенты должны уметь работать через proxy и быть соответственно настроенными. Это требование не ведет к появлению какитх-либо существенных проблем, поскольку практически все клиенты (броузеры) это поддерживают. Необходимые настройки клиентов выполняется просто и быстро.
Что такое защищенный канал и для чего он применяется?
Интернет - это глобальная сеть, насчитывающая тысячи компьютеров, разбросанных по всему миру. Когда два компьютера взаимодействуют между собой, весь трафик от источника до пункта назначения проходит через множество других устройств (маршрутизаторов, коммутаторов и т.д.). Эти сетевые устройства администрируют посторонние организации, и никто не может поручиться за их честность (в большинстве случаев невозможно узнать заранее, по какому пути пойдут пакеты к пункту назначения). На любом из хостов, встречающихся на пути пакетов, можно просмотреть их содержимое и/или изменить что-либо в них. Все это создает серьезные проблемы, тем более существенные, чем выше уровень значимости или конфиденциальности передаваемых данных. Для решения этоих проблем и применяются защищенные информационные каналы. Их можно представить себе как некий туннель. Информация помещается с одной стороны туннеля и прочесть ее можно только с другой стороны. На самом деле, передаваемая информация модифицируется таким образом, чтобы их невозможно было изменить (аутентификация) или просмотреть (криптография) на пути их следования. При совместном применении этих двух механизмов обеспечивается как сокрытие информации, так и невозможность ее подмены на всем пути ее следования.
Cообщения о событиях межсетевого экрана
31 - Aker Firewall v3.01 - Инициализация завершена
Это информационное сообщение появляется каждый раз при перезапуске межсетевого экрана.
32 - Ошибка распределения памяти
Это сообщение означает, что какой-то модуль межсетевого экрана пытался запросить объем паяти память и не смог ее получить. Система FreeBSD вводит максимальный лимит на каждый тип памяти, которую можно получить, в зависимости от объема общей памяти. Если такой лимит достигнут, то невозможно получить больший объем памяти. Такое сообщение может встретиться в системах с малым объемом памяти RAM, использующих трансляцию адресов с большим числом одновременных соединений или большим числом активных соединений, проходящих через proxy сервера межсетевого экрана.
Решение: Увеличить объем памяти RAM.
33 - Таблица трансляции TCP заполнена
Таблица трансляции адресов TCP заполнена.
Решение: Увеличить максимальное число одновременных TCP соединений (вся необходимая информация содержится в главе 7
Настройка трансляции сетевых адресов ).
34 - Таблица трансляции UDP заполнена
Таблица трансляции адресов UDP заполнена.
Решение: Увеличить максимальное число одновременных UDP соединений (вся необходимая информация содержится в главе 7
Настройка трансляции сетевых адресов ).
35 - Неверный алгоритм аутентификации
Криптографический модуль обнаружил при выполнении аутентификации пакета неверный алгоритм аутентификации в ассоциации защиты (SA).
36 - Неверный алгоритм шифрования
Криптографический модуль обнаружил при выполнении шифрования пакета неверный алгоритм шифрования в ассоциации защиты (SA).
37 - Загружаемым модулем получены неверные данные
Это сообщение означает, что в модули межсетевого экрана, запущенные в ядре FreeBSD, были посланы неверные данные.
Решение: Постарайтесь проверить, какая программа создает это сообщение, многократно запуская и останавливая программу.
38 - Ошибка при чтении файла параметров
Это сообщение генерируется внешними модулями, которые пытаются прочитать файл параметров и обнаруживают, что он не существует или его нельзя прочитать.
Решение: Перезапустить межсетевой экран, чтобы программа инициализации заново создала файл параметров.
39 - Ошибка при загрузке профилей доступа
Это сообщение означает, что сервер аутентификации не смог загрузить в систему список зарегистрированных профилей доступа.
40 - Неверное имя профилей доступа
Это сообщение означает, что сервер аутентификации, когда он пытается найти профиль доступа пользователя, обнаруживает, что профиль не зарегистрирован в системе
41 - Ошибка при создании сокета соединения
Это сообщение означает, что некоторые внешние модули пытались создать сокет и получили сообщение об ошибке.
Решение: Проверить количество файлов, которые могут быть открыты процессом, а также их полное количество для всех процессов системы. Если необходимо, увеличьте эти значения.
42 - Ошибка при привязке к виртуальному IP
Это сообщение означает, что FTP proxy для преобразования адресов не смогли привязать виртуальный IP адрес к созданному гнезду. Так происходит, когда виртуальный IP адрес неверен.
Решение: Изменить значение поля
Виртуальный IP в настройках трансляции сетевых адресов, связанного с IP адресом одного из сетевых интерфейсов межсетевого экрана (см. главу 7
Настройка трансляции сетевых адресов ).
43 - Слишком много символов в строке
Это сообщение означает, что proxy межсетевого экрана Aker получил строку со слишком большим количеством символов и из-за этого закрыл соединение. Дополнительная информация в скобках указывает IP адрес хоста, который явился причиной проблемы.
Решение: Сервер или клиент сочли это сообщение несоответствующим стандартам RFCs. Единственное возможное решение этой проблемы - обратиться к администратору хоста, откуда пришло сообщение.
44 - Ошибка при загрузке контекста
Это сообщение означает, что один из прозрачных proxy не смог загрузить необходимый контекст.
45 - Обратное DNS преобразование не настроено
Это сообщение вырабатывается каким-либо proxy сервером, если они были настроены принимать соединения от хостов, если для них настроено обратное преобразование адресов в DNS и не смогли разрешить имя для IP адреса источника соединения.
Дополнительное сообщение указывает IP адрес источника соединения.
46 - Конфликт между прямым и обратным DNS
Когда proxy межсетевого экрана настроены принимать соединения от хостов, если для них настроено обратное преобразование адресов в DNS, они используют следующую технику для повышения безопасности: сначала они пытаются разрешить имя для IP адреса источника соединения. Если proxy не может этого сделать, возникает описанное выше сообщение об ошибке и соединение не устанавливается. Если proxy все-таки разрешают имя, они по этому имени пытаются разрешить его адрес. Если они не могут выполнить эту операцию или если возвращенный IP адрес отличен от адреса источника, происходит разрыв соединения и вырабатывается данное сообщение.
47 - Неверная команда
Это сообщение означает, что один из proxy получил от клиента неверную команд и потому не передал ее серверу. Дополнительное сообщение показывает саму неверную команду и имаена хостов источника и назначения (только в случае прозрачных proxy) соединения.
48 - SMTP сообщение пропущено
Эта диагностика означает, что SMTP proxy принял сообщение и послал его серверу. Дополнительное сообщение указывает, какими были хосты источника и назначения соединения.
49 - SMTP сообщение блокировано
Это сообщение означает, что SMTP proxy отбросили полученное сообщение. Это происходит либо потому, что данное сообщение соответствует некоторому правилу фильтрации, согласно которому сообщение должно быть отброшено, либо потому, что его размер превышает максимально допустимый.
50 - URL пропущен
Это сообщение означает, что WWW proxy пропустил URL запрос пользователя. Дополнительное сообщение внутри скобок показывает пользователя, сделавшего запрос. На второй строке сообщения показан IP адрес, откуда был сделан запрос, на третьей строке показан URL запроса
Это сообщение генерируется только для URL HTTP протокола, если результатом является HTML код. Для FTP и Gopher протокола оно генерируется всегда, не зависимо от типа запроса.
51 - URL не пропущен
Это сообщение означает, что WWW proxy отклонил URL запрос пользователя. Дополнительное сообщение внутри скобок показывает пользователя, сделавшего запрос. На второй строке сообщения показан IP адрес, откуда был сделан запрос, на третьей строке показан URL запроса
52 - Ошибка при взаимодействии с сервером аутентификации
Это сообщение означает, что один proxy не смог установить связь с сервером аутентификации при попытке выполнения аутентификации пользователя. В связи с этим пользователю не разрешается продолжить работу, а само соединение не устанавливается.
Решение: Проверить, является ли активным процесс, обслуживающий сервер аутентификации на межсетевом экране. Для этого выполните команду:
#ps -ax | grep fwauthd | grep -v grep. Если процесс не запущен, запустите его командой
/etc/firewall/fwauthd .
53 - Ошибка при соединении с агентом аутентификации
Это сообщение означает, что сервер аутентификации не смог соединиться с агентом аутентификации, запущенным на некотором хосте. Дополнительное сообщение укажет имя агента аутентификации, с которым не смог соединиться сервер.
Решение: Проверить, правильнность IP адреса хоста, на котором предположительно запущен агент; проверить также, что агент действительно запущен на этом хосте. Более подробную инфомацию можно посмотреть в разделе 5
Регистрация объектов ).
54 - Ошибка при взаимодействии с агентом аутентификации
Это сообщение означает, что сервер аутентификации соединился с агентом аутентификации, но не смог установить соединение. Дополнительное сообщение укажет имя агента аутентификации, из-за которого возникла проблема.
Решение: Проверить, соответствует ли пароль доступа в определении аутентификатора паролю в конфигурации агента аутентификации. За более подробной информацией обращайтесь к главе 5
Регистрация объектов 55 - Ошибка аутентификации proxy
Это сообщение означает, что пользователь ввел неверный пароль, когда пытался пройти аутентификацию при обращении к proxy серверу. Дополнительное сообщение укажет имя пользователя и хосты источника и назначения (только в случае прозрачных proxy) соединения.
56 - Пользователь не зарегистрирован для proxy
Это сообщение означает, что незарегистрированный пользователь пытался пытался пройти аутентификацию при обращении к proxy серверу. Дополнительное сообщение укажет хосты источника и назначения (только в случае прозрачных proxy) соединения.
57 - У пользователя нет полномочий на открытие Telnet сессии
Это сообщение означает, что пользователь прошел аутентификацию при обращении к telnet proxy, но не получил разрешения открыть соединение. Дополнительные сообщение укажут имя пользователя и хосты источника и назначения соединения.
58 - Telnet сессия открыта
Это сообщение означает, что пользователь прошел аутентификацию при обращении к telnet proxy, получил разрешения открыть соединение и открыл его. Дополнительные сообщения указывают имя пользователя и хосты источника и назначения соединения.
59 - Ошибка при отправке данных ядру МЭ
Это сообщение означает, что какой-то внешний модуль пытался послать информацию модулям межсетевого экрана, которые выполнялись в ядре, и получил сообщение об ошибке. Если существует дополнительное сообщение в скобках, то оно укажет, какая информация была послана.
Решение: Проверить, является ли ядро, запущенное на межсетевом экране ядром, собранном из объектных модулей межсетевого экрана Aker.
60 - Слишком большое число процессов в системе
Это сообщение означает, что какой-то внешний модуль межсетевого экрана при попытке создать дочерний процесс для обработки соединения обнаружил, что число процессов, запущенных в системе, близко к максимально допустимому. Из-за этого новый процесс не был создан, а соединение, которое олн должен был поддерживать, было разорвано.
Решение: Увеличить максимальное число процессов в системе. Это можно сделать с помощью изменения опции MAX_USERS в файле настройки ядра и компиляции нового ядра или использования команды
sysctl (обратите внимание на то, что в случае использования команды
sysctl изменения будут иметь силу только до перезагрузки, поэтому команда должна выполняться каждый раз при новом запуске межсетевого экрана).
61 - Запрос на открытие сеанса администрирования
Это сообщение генерируется удаленным модулем администрирования межсетевого экрана Aker каждый раз, когда он получает запрос на установление административного сеанса. В дополнительном сообщении указывается IP адрес хоста, запрашивающего соединение.
62 - Сеанс администрирования установлен
Это сообщение генерируется удаленным модулем администрирования межсетевого экрана Aker каждый раз при успешной аутентификации пользователя и устанавлении административного сеанса. В дополнительном сообщении указываются имя регистрации пользователя, установившего соединение, и его права.
Права пользователя представляются тремя различными сокращениями. Если пользователь имеет определенные права, будет показана соответствующее сокращение, во всех прочих случаях вместо этого будет показано значение
- . Ниже представлены сокращениями и их значения:
CF - Может настраивать межсетевой экран CL - Может настраиваить статистику MU - Может управлять пользователями 63 - Сеанс администрирования закрыт
Это сообщение означает, что установленный сеанс администрирования закончен по команде пользователя..
64 - Администратор не зарегистрирован
Это сообщение означает, что незарегистрированный в системе пользователь пытается установить сеанс администрирования.
65 - Ошибка при подтверждении сеанса администрирования
Это сообщение означает, что зарегистрированный в системе пользователь пытался установить удаленный сеанс удаленного администрирования, но не смог ввести правильный пароль. Дополнительное сообщение указывает имя этого пользователя.
66 - Межсетевым экраном управляет другой пользователь
Это сообщение означает, что пользователь правильно аутентифицировался для установления удаленного сеанса администрирования, однако существует и другой пользователь с открытой к тому же хосту сессией, в связи с чем соединение запрещено. Дополнительное сообщение указывает, какому пользователю отказано в сеансе.
67 - Модификация параметров
Это сообщение означает, что во время сеанса администрирования была изменена конфигурация системы.
Дополнительное сообщение указывает имя измененного параметра.
68 - Модификация правил фильтрации
Это сообщение означает, что во время сеанса администрирования были сделны изменения в таблице правил фильтрации.
69 - Модификация трансляции адресов
Это сообщение означает, что во время сеанса администрирования были изменены правила тарнсляции сетевых адресов или серверная таблица трансляции. Дополнительное сообщение уточняет характер изменений.
70 - Модификация защищенных каналов
Это сообщение означает, что что что во время сеанса администрирования были изменены таблицы защищенных каналов.
71 - Модификация защиты от SYN атак
Это сообщение означает, что во время сеанса администрирования были изменены параметры защиты от SYN атак. Дополнительное сообщение уточняет характер изменений.
72 - Модификация SMTP контекстов
Это сообщение означает, что во время сеанса администрирования были изменены таблицы SMTP контекстов.
73 - Модификация SNMP параметров
Это сообщение означает, что во время сеанса администрирования были изменены параметры настройки SNMP агента.
74 - Aмодификация профилей доступа
Это сообщение означает, что во время сеанса администрирования были изменены профили доступа.
75 - Модификация списков контроля доступа
Это сообщение означает, что во время сеанса администрирования были изменены списки доступа.
76 - Модификация параметров аутентификации
Это сообщение означает, что во время сеанса администрирования были изменены глобальные параметры аутентификации.
77 - Модификация объектов
Это сообщение означает, что во время сеанса администрирования были изменены списки объектов системы.
78 - Модификация Telnet контекстов
Это сообщение означает, что во время сеанса администрирования были изменены таблицы контекстов Telnet.
79 - Модификация WWW параметров
Это сообщение означает, что во время сеанса администрирования были изменены параметры WWW.
80 - Удаление активного соединения
Это сообщение означает, что во время сеанса администрирования было удалено соединение.
Дополнительное сообщение указывает тип протокола соединения (TCP или UDP).
81 - Операции с файлом статистики
Это сообщение означает, что во время сеанса администрирования была проделана одна из операций
(Уплотнить или
Очистить ) с файлом статистики системы. Дополнительное сообщение показывает, какая из этих операций была выполнена.
82 - Операции с файлом событий
Это сообщение означает, что во время сеанса администрирования была проделана одна из операций (
Уплотнить или
Очистить ) с файлом событий системы. Дополнительное сообщение показывает, какая из этих операций была выполнена.
83 - Операции с файлом пользователей
Это сообщение означает, что во время сеанса администрирования была проделана одна из операций на файле пользователей. Возможны операции
Добавить ,
Удалить и
Изменить ). Дополнительное сообщение указывает, какая из этих операций была выполнена и каким пользователем.
84 - Модификация даты/времени МЭ
Это сообщение показывает, что администратор, работавший через администрати вный интерфейс, изменил дату и/или время на межсетевом экране
85 - Административный сеанс закрыт из-за ошибки
Это сообщение означает, что сеанс администрирования был прерван из-за ошибки протокола связи.
Решение: Попытаться снова установить соединение.
86 - Административный сеанс закрыт по тайм-ауту
После установления удаленного сеанса администрирования удаленный хост начинает периодически посылать на межсетевой экран сообщение для подтверждения активности соединения. Эти сообщения посылаются, если даже пользователь не выполняет никаких операций.
Это сообщение означает, что сеанс удаленного администрирования был прерван из-за того, что сервер не получил сообщение от удаленного хоста в течение максимально допустимого времени. Наиболее вероятной причиной этого может быть сбой на хосте с запущенным графическим интерфейсом или сетевая неисправность.
87 - Ошибка в предыдущей операции
Это сообщение означает, что последняя операция, выполненная с удаленного хоста, не была успешно завершена.
Решение: Проверить, есть ли свободное пространство в файловой системе
'/ ' межсетевого экрана. Это можно сделать с помощью команды
$df -k . Если эта команда показывает, что используемое пространство на каталоге "/" равно 100%, в этом и заключается причина проблемы.
88 - Пользователь без права доступа
Это сообщение означает, что пользователь пытался выполнить несанкционированное действие.
89 - Неизвестная ошибка
Это сообщение означает, что сервер поддержки удаленного администрирования межсетевого экрана получил запрос от неизвестного сервиса.
Дата и время
Эта опция позволяет администратору проверять и модифицировать установленное на межсетвом экране время. Правильно установленные дата и время важны для работы правил фильтрации и временных таблиц профиля доступа WWW, обмена ключей через SKIP протокол и систему статистики и событий Для доступа к окну установки даты и времени необходимо:
Выбрать меню Средства в главном окне
Выбрать опцию Дата и время
Окно установки даты и времени
Это окно состоит из двух полей, которые показывают дату и время на межсетевом экране. Для модификации этих параметров необходимо установить необхолимое значение в соответствующее поле. При модификации времени аналоговые часы в правом окне автоматически изменят свое значение
Кнопка Да закрывает окно и сохраняет изменения
Кнопка Отменить закрывает окно и отбрасывает изменения
Кнопка Помощь выводит окно подсказок по данному разделу
Дерево каталогов
/ - содержит модифицированное ядро операционной системы с межсетевым экраном Aker /etc/firewall - содержит выполняемые программы и подкаталоги /etc/firewall/conf - содержит конфигурационные файлы межсетевого экрана /etc/firewall/manual - содержит руководство пользователя (если оно установлено) /etc/firewall/root - не содержит файлов. Используется некоторыми процессами межсетевого экрана /etc/firewall/run - содержит динамические файлы /var/log - содержит файлы статистики и событий межсетевого экрана Aker /var/spool/firewall - используется SMTP proxy для хранения сообщений /usr/src/sys/objs - содержит объектные модули, необходимые для создания нового ядра системы DES Library
Copyright © 1995 Eric Young (eay@mincom.oz.au)
All rights reserved.
Эта библиотека и ее приложения БЕСПЛАТНО РАСПРОСТРАНЯЕТСЯ ДЛЯ КОММЕРЧЕСКОГО И НЕКОММЕРЧЕСКОГО ИСПОЛЬЗОВАНИЯ до тех пор, пока соблюдаются следующие условия.
Авторское право остается принадлежащим Eric Young, и когда уведомления об Авторском праве присутствуют в тексте программы, они не должны из нее удаляться. Если этот код используется в каком-либо продукте, на Eric Young должны даваться ссылки как на автора используемых частей продукта. Такие ссылки могут быть сделаны в виде текстового сообщения при запуске программы или содержаться в документации (в режиме online или в текстовой форме), сопровождающей пакеты.
Дальнейшее распостранение и использование в исходной или двоичной формах, с модификацией или без нее, разрешено при выполнении следующих условий:
При дальнейшем распостранении исходных кодов должно сохраняться уведомление об авторском праве, этот список условий и приведенный ниже отказ от права
При дальнейшем распостранении двоичных кодов должно сохраняться уведомление об авторском праве, этот список условий и приведенный ниже отказ от права.
Все рекламные материалы, упоминающие характеристики или использование этого программного средства, должны воспроизводить следующее официальное заявление:
Этот продукт включает программное средство, разработанное Eric Young (eay@mincom.oz.au)
ЭТО ПРОГРАММНОЕ СРЕДСТВО ПРЕДОСТАВЛЕНО ЕГО РАЗРАБОТЧИКОМ ERIC YOUNG "КАК ЕСТЬ", ПРИ ЭТОМ НЕ ПРИЗНАЮТСЯ НИКАКИЕ ЯВНЫЕ ИЛИ ПОДРАЗУМЕВАЕМЫЕ ГАРАНТИИ, ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ ЭТИМ, ПОДРАЗУМЕВАЕМЫЕ ГАРАНТИИ ПРИГОДНОСТИ ДЛЯ ТОРГОВЛИ И СООТВЕТСТВИЯ ЦЕЛИ. НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ. АВТОР ИЛИ ЕГО СОТРУДНИКИ И СПОНСОРЫ НЕ ДОЛЖНЫ НЕСТИ ОТВЕТСТВЕННОСТИ ЗА ЛЮБЫЕ ПРЯМЫЕ, НЕПРЯМЫЕ, ПРЕДВИДИМЫЕ, ФАКТИЧЕСКИЕ, ПРИМЕРНЫЕ ИЛИ КОСВЕННЫЕ УБЫТКИ (ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ ЭТИМ, СНАБЖЕНИЕ ЗАМЕНАМИ ТОВАРОВ ИЛИ УСЛУГ; ПОТЕРИ ОТ ИСПОЛЬЗОВАНИЯ, ДАННЫХ ИЛИ ПРИБЫЛЕЙ; ИЛИ ПРЕРЫВАНИЕ ДЕЛОВЫХ ОТНОШЕНИЙ), ЧЕМ БЫ ОНИ НИ БЫЛИ ВЫЗВАНЫ И НА ЧЕМ БЫ ОБЯЗАТЕЛЬСТВА НИ ОСНОВЫВАЛИСЬ, НА КОНТРАКТАХ, НА СТРОГОЙ ОТВЕТСТВЕННОСТИ, ИЛИ НА ГРАЖДАНСКО-ПРАВОВОМ ДЕЛИКТЕ (ВКЛЮЧАЯ НЕБРЕЖНОСТЬ ИЛИ КАКОЕ-ЛИБО ИНОЕ ДЕЙСТВИЕ), ВОЗНИКАЮЩИЕ КАКИМ- ТО ОБРАЗОМ ВНЕ СФЕРЫ ИСПОЛЬЗОВАНИЯ ЭТОГО ПРОГРАММНОГО СРЕДСТВА, И ДАЖЕ ПРИ ЗАБЛАГОВРЕМЕННОМ УВЕДОМЛЕНИИ О ВОЗМОЖНОСТИ ТАКИХ УБЫТКОВ.
Лицензию и условия распространения для любой общедоступной версии или производной от данного кода нельзя изменять, т.е. этот код нельзя просто копировать или размещать согласно другой лицензии по распространению [включая GNU Public License].
Динамические файлы
/etc/firewall/run/fwauthd.pid - PID (идентификатор процесса) сервера аутентификацииr /etc/firewall/run/fwhttppd.pid - PID для HTTP proxy /etc/firewall/run/fwsrvlog.pid - - PID сервера регистрации Для чего нужна реакция системы?
Смысл реакции системы заключается в том чтобы обеспечить более тесное взаимодействие между межсетевым экраном и администратором. Ее использование, например, делает возможным выполнение программы, которая вызывает администратора, когда межсетевой экран обнаруживает начавшуюся атаку. Это позволяет администратору немедленно предпринять эффективные действия, даже если он в тот момент не наблюдает за работой межсетевого экрана.
Добавление и удаление объектов и сервисов
Каждое из полей объектов источника, назначения и сервисов состоит из двух списков. Левый список содержит все объекты системы, которые можно добавить в выделенное поле. Правый список содержит все объекты, которые уже добавлены в поле.
Чтобы добавить объект в одно из этих полей, нужно сделать следующее:
Выделить включаемый объект в левом списке.
Нажать на направленной вправо стрелке сбоку от требуемого списка (только что включенный объект будет помечен красной меткой V, указывающей на то, что он добавлен в поле).
P>Чтобы удалить объект из одного из этих полей, нужно выполнить следующее:
Выделить удаляемый объектв правом списке.
Нажать на значок X сбоку от требуемого списка (контрольная метка V будет удалена от объекта, чтобы показать, что он больше не принадлежит выделенному полю).
Движение пакетов в межсетевом экране Aker
В предыдущих главах этого руководства были разобраны по отдельности три главных модуля межсетевого экрана Aker со всеми деталями, относящимися к их настройке. Теперь будет показано, как пакеты проходят через эти модули и каким изменениям они могут подвергнуться в каждом из них.
По сути дела, существуют два различных потока: один для пакетов, которые генерируются во внутренней сети и имеют в качестве пункта назначения внешний хост (выходящий поток), и другой, для пакетов, которые генерируются во внешней сети и имеют в качестве пункта назначения хост внутренней сети (входящий поток).
Файлы статистики и событий
/var/log/eventos-301.fw - Файл регистрации событий /var/log/log-301.fw - Файл регистрации статистики Формат и значения полей сообщений о событиях
Ниже описан формат сообщений и приводится описание их полей. Полный список всех возможных сообщений и их значений содержится в Приложении А
Формат записи:
[(Complement)]]Описание полей: Date: Дата генерации записи. Time: Время генерации записи. Message: Текстовое сообщения, описывающее событие (Complement): Это поле вносит некоторую дополнительную информацию и может присутствовать или нет, что зависит от характера сообщения. Если оно присутствует, то указывается в скобках. Additional data: Информация в этом поле связана с сообщениями от proxy серверов. Она всегда появляются в строке под соответствующим сообщением. Она содержит адрес источника соединения и, в случае прозрачного proxy сервера, адрес назначения.Примеры: Формат и значения полей записей в файле статистики
Ниже дано описание формата каждой записи, сопровождаемое описанием каждого поля. Формат записей одинаков как для графического интерфейса, так и для интерфейса командной строки.Инсталляция агента аутентификации в Unix
Для установки агента аутентификации необходимо смонтировать диск с Aker Firewall 3.01 на хосте, в котором должен быть инсталлирован агент, или скопировать содержимое каталога с записанным там агентом из CD в какой-либо временный каталог на этом хосте (это можно сделать с помощью FTP или NFS, если в данном хосте нет CD-ROM дисковода. /usr/local/bin , но можно выбрать и любой другой. Для копирования агента запустите следующую команду: #/cdrom/agent/FreeBSD/aginst Инсталляция межсетевого экрана
Для инсталляции Aker сначала необходимо установить операционную систему FreeBSD. Ее инсталляция проста, тем не менее мы рекомендуем подыскать специалиста, умеющего обращаться с Unix. Основные процедуры по инсталляции FreeBSD описаны и поставляются в комплекте с межсетевым экраном Aker. При возникновении каких-либо проблем советуем Вам для получения дополнительной информации обращаться по упомянутым в предыдущем параграфе адресам. #/cdrom/aker/fwinst fwinst предназначена для инсталляции и настройки системы для работы на ней межсетевого экрана Aker. 10.0.0.1 2DBDC612-FA4519AA-BBCD0FF1-129768D3 administrator Aker Firewall administrator /usr/src/sys/i386/conf/FIREWALL. Инсталляция удаленного интерфейса на платформах Windows , или NT
Для того, чтобы установить удаленный интерфейс на платформах Windows 95 или NT, вы должны вставить CD в дисковод и выполнить следующие действия:Выберите меню Пуск Выберите опцию Выполнить D:\win95\install. (Если к CD-ROM устройству доступ осуществляется не через D, а через другую букву, замените на эту букву эквивалент в предыдущей команде). Aker Firewall в меню Start . Выберите опцию Aker Firewall 3.01 в этой группе для запуска удаленного интерфейса. Интеграция фильтра и мехнизма трансляции сетевых адресов
При настройке правил фильтрации для хостов, адреса которых преобразуютс# в соответствии с настройками NAT, могут возникнуть сомнения по поводу того, реальные или виртуальные адреса хостов следует использовать? При движении из внутренней области во внешнюю пакеты сначала проходят через фильтр, а затем только преобразуются их адреса (если нужно); это означает, что фильтр получает реальные адреса хостов. При движении из внешней области во внутреннюю пакеты сначала проходят через транслятор сетевых адресов, который преобразует адреса назначения из виртуальных IP адресов в реальные. После этого пакеты передаются пакетному фильтру; это значит, что пакетный фильтр снова получает пакеты с реальными адресами. Интеграция фильтра с трансляцией сетевых адресов и с криптографией
В предыдущем разделе мы показали, как настраивать правила фильтрации, если задействован механизм трансляции адресов. Вывод состоял в том, что вам надо работать только с реальными адресами, пренебрегая преобразованием адресов. Теперь возникает еще один вопрос: при настройке защищенных каналов для хостов, адреса которых преобразуются, должны использоваться их реальные или виртуальные адреса? При движении из внутренней области во внешнюю пакеты сначала проходят через фильтр, затем подвергаются преобразованию адресов (при необходимости), и, наконец, попадают в криптографический модуль. Поэтому последний получает пакеты с виртуальными адресами. При движении из внешней области во внутреннюю пакеты сначала расшифровываются (при необходимости). Затем они проходят через модуль трансляции адресов, который преобразует виртуальные адреса в реальные, и, наконец, попадают в пакетный фильтр. Криптографиический модуль получает пакеты перед преобразованием их адресов и, следовательно, имеет дело с виртуальными адресами. Интеграця модулей межсетевого экрана
В этой главе показано, как взаимодействуют между собой три главных модуля межсетевого экрана Aker: пакетный фильтр, транслятор сетевых адресов и модуль криптографии и аутентификации. Показано также, как происходит движение пакетов от момента их получения межсетевым экраном до момента решения основного вопроса об их приеме или отказе в приеме. Интерфейс командной строки или графический пользовательский интерфейс
Межсетевой экран Aker обеспечивает два различных интерфейса для своей настройки: удаленный графический интерфейс (GUI) и локальный интерфейс командной строки. Графический интерфейс Интерфейс командной строки Исходные тексты FreeBSD
Copyright © 1982, 1986, 1993 При дальнейшем распостранении исходных кодов должно сохраняться уведомление об авторском праве, этот список условий и приведенный ниже отказ от права При дальнейшем распостранении двоичных кодов должно сохраняться уведомление об авторском праве, этот список условий и приведенный ниже отказ от права. Все рекламные материалы, упоминающие характеристики или использование этого программного средства, должны воспроизводить следующее официальное заявление: Ни имя университета, ни имена его сотрудников и спонсоров не могут использоваться подтверждения или для продвижения продуктов, производных от данного программного средства без предварительного особого письменного разрешения Использование графического интерфейса пользователя
Для получения доступа к меню описания трансляции сетевых адресов необходимо выполнить следующие шаги:Выбрать пункт Редактировать в главном меню. Выбрать опцию Трансяция адресов Окно трансляции сетевых адресов Общие параметры трансляции: Активизировать трансляцию адресов: Эта опция должна быть включена для активизации механизма трансляции адресов. Когда механизм трансляции не активен, конфигурация будет сохраняться, но ее нельзя будет изменить.IP адрес приватной сети: IP адрес внутренней сети.Сетевая маска приватной сети: Сетевая маска внутренней сети.Виртуальный IP адрес: Это реальный IP адрес, в который будут транслироваться адреса источника всех пакеты от хостов внутренней сети при их соединении в внешними серверами. Этот адрес должен быть одним из адресов сетевого интерфейса межсетевого экрана.Максимальное число TCP и UDP соединений: Это максимальное число одновременных соединений между внутренней и внешней сетями для UDP и TCP протоколов. Параметр может принимать значениеот 0 до 55000 (значение 0 не следует использовать, так как оно деактивирует трансляцию для выделенного протокола; при этом генерируется сообщение об ошибке при каждом обращении клиента к сервису, основанному на этом протоколе).Настройка системных параметров. Таблица серверной трансляции: Выбрать пункт Настройка в главном меню Выбрать опцию Защищенные каналы Окно настройки защищенных каналов Клавиша Да обновляет параметры каналов и немедленно активизирует каналы. Клавиша Отменить отбрасывает все сделанные модификации и окно закрывается. Клавиша Помощь показывает окно помощи по этому разделу Если установлена опция Показать все объекты , на строке будут показаны все составляющие в объекте источника и назначения данного канала, в противном случае будут показаны только первые два Указание: Если эта опция не установлена и каналы имеют больше двух объектов в источнике или назначении, в каждом поле, содержащем больше двух объектов, будет показана направленная вниз стрелка.Полоска прокрутки с правой стороны полезна для просмотра каналов, параметры которых не поместились в окне. Если Вы выделите канал, у которого есть записи в поле комментариев, то последние будут показаны в нижней части окна. Добавить: Эта опция позволяет включить в список новый канал. Если выделен какой-либо канал, новый канал будет вставлен в позицию выделенного канала. Если же канал не выделен, новый канал будет включаться в конец списка. Удалить : Эта опция удаляет выделенный канал из списка. Редактировать: Эта опция открывает окно редактирования выделенного канала. Копировать: Эта опция копирует выделенный канал в буфер. Вырезать: Эта опция удаляет выделенный канал из списка и копирует его в буфер. Вставить: Эта опция копирует канал из буфера в список. Если канал выделен, то новый канал будет помещен в позицию выделенного канала. В противном случае он будет помещен в конец списка. Отменить выделение: Эта опция отменяет выделение канала и снова показывает меню. Это очень полезно при наличии большого числа каналов, и служит для включения или вклейки канала в конец списка. Рекомендация: Все опции, кроме опции "отменить выделение", доступны через инструментальное меню, расположенное в верхней части окна. В этом случае сначала надо выделить канал, нажав на нем левой клавишей мыши, а затем выбрать необходимую опцию.Выбрать меню Вид в главном окне Выбрать опцию События Окно фильтрации событий Фильтрация событий . Это окно позволяет выбрать используемый для просмотра фильтр. Оно имеет следующий формат:Сохранить и Удалить . Кнопка Сохранить позволяет сохранить поля фильтра в нужном порядке для дальнейшего использования и кнопка Удалить позволяет удалить сохраненные ранее фильтры.Заполнить необходимые поля. Ввести в поле Фильтры имя сохраняемого фильтра Нажать кнопку Сохранить . Фильтры и все поля будут автоматически заполнены сохраненными данными. Задать имя фильтра в поле Фильтры . Нажать кнопку Удалить . Начальная дата и Конечная дата , описав с их помощью интересующий Вас диапазон (он будет содержать сообщения от начальной до конечной даты включительно).Приоритет: Выберите пункт Вид в главном окне Выберите опцию Статистика Окно фильтрации статистики окно фильтрации статистики . Это окно позволяет определить фильтр для просмотра статистики. Оно имеет следующий формат:Сохранить и Удалить . Кнопка Сохранить позволяет сохранить поля фильтра в нужном порядке для дальнейшего использования и кнопка Удалить позволяет удалить сохраненные ранее фильтры.Заполнить необходимые поля. Ввести в поле Фильтры имя сохраняемого фильтра Нажать кнопку Сохранить . Фильтры и все поля будут автоматически заполнены сохраненными данными. Задать имя фильтра в поле Фильтры . Нажать кнопку Удалить . Начальная дата и Конечная дата , если ввести в них необходимые даты (диапазон фильтрации будет включать записи от начальной до конечной даты, включительно).IP источника/ Маска источника . То же можно сделать и для выделения группы хостов с конкретными адресами назначения, используя поля IP назначения и Маска назначения. Кнопки Фильтр по IP адресам и Фильтр по объектам позволяют выбрать способ фильтрации: если задана опция Фильтр по IP адресам, будут высвечены 4 поля - IP источника, Маска источника , IP назначения и Маска назначения . Эти поля можно использовать для определения групп источника или назначения. Если установлена опция Фильтр по объектам , будут высвечены 2 поля - Объекты источника и Объекты назначения .
Выбрать меню Вид в главном окне Выбрать подпункт Соединения Выбрать опцию TCP соединения или UDP соединения Окно активных соединений Текущее состояние , которое существует только в окне TCP соединений. Кнопка Да закрывает окно активных соединений. Кнопка Обновить активизирует (или деактивизирует) автоматическое обновление выводимой на дисплей информации. Нажатие на эту кнопку деактивизирует процесс обновления. Интервал обновления можно задать в поле Автоматическое обновление . Кнопка Помощь показывает окно помощи по данному разделу. Кнопка Удалить удаляет выделенное соединение. Чтобы это сделать, необходимо сначала выделить удаляемое соединение (кнопка Удалить недоступна, если соединение не выделено) Выбрать меню Настройка в главном окне Выбрать опцию Параметры аутентификации Окно параметров аутентификации Кнопка Да закрывает окно параметров аутентификации и сохраняет все изменения. Кнопка Отменить закрывает окно и отбрасывает все сделанные изменения. Кнопка Помощь показывает окно помощи по данному разделу. Значения параметров Запрашивать все аутентификаторы: Этот параметр указывает, должен ли межсетевой экран пытаться проверять подлинность пользователя у следующего аутентификатора по списку, если предыдущий аутентификатор присылает сообщение о неверном пароле. Пользователь может задать домен: Этот параметр указывает, может ли пользователь при аутентификации сообщить межсетевому экрану, какой аутентификатор он хочет использовать. / и именем аутентификатора, тогда его запрос будет посылаться прямо данному аутентификатору. Если эта опция не установлена, аутентификация будет выполняться в порядке перечисления аутентификаторов в списке, заданном администратором. Выберите меню Сервера в главном окне Выберите раздел SMTP Окно контекстов SMTP Кнопка Да закрывает окно контекстов Кнопка Помощь показывает окно помощи по данному разделу. Полоска прокрутки с правой стороны используется для просмотра контекстов, которые не поместились в окне. Добавить: Удалить Редактировать: Копировать: Вырезать: Вставить: Указание: Можно получить доступ ко всем этим опциям через инструментальное меню, находящуееся в верхней части окна. В этом случае сначала выделите контекст, нажав на нем левой клавишей мыши, а затем выберите необходимую опцию.Окно свойств для SMTP контекстов Выберите меню Сервера в главном окне Выберите опцию Telnet Окно контекстов Telnet Кнопка Да закрывает окно контекстов. Кнопка Помощь показывает окно помощи по данному разделу. Полоса прокрутки справа используется для просмотра контекстов, которые не уместились в окне. Добавить: Эта опция позволяет дополнить список новым контекстом. Если выделен какой-либо контекст, новый вставляется на место выделенного контекста. Во всех прочих случаях новый контекст добавляется в конец списка. Удалить : Эта опция удаляет выделенный контекст из списка. Редактировать: Эта опция открывает окно свойств для выделенного контекста. Копировать: Эта опция копирует выделенный контекст в буфер. Вырезать: Эта опция удаляет выделенный контекст из списка и копирует его буфер. Вставить: Эта опция копирует контекст из буфера в список. Если контекст выделен, новый будет помещен на место выделенного контекста, если нет, он будет помещен в конец спискаt. Указание: Ко всем этим опциям можно получить доступ через инструментальное меню, расположенное в верхней части окна. В этом случае сначала выделите контекст, нажав на нем левой клавишей мыши, а затем выберите необходимую опцию.Окно свойств контекстов Telnet Имя: Имя, которое идентифицирует контекст. Это имя будет показано в списке контекстов и в окне редактирования сервисов при создании сервиса, пакеты которого перенаправляются Telnet proxy.
Нажмите на иконку, которая представляет добавление в инструментальном меню. Нажмите в любом месте списка правую клавишу мыши и выделите опцию Добавить во всплывающем меню. Нажать на левую клавишу мыши на редактируемом элементе, а затем на иконке, которая представляет редактирование в инструментальном меню. Нажмите в любом месте списка правую клавишу мыши и выделите опцию Редактировать во всплывающем меню. Выделить удаляемый элемент при помощи левой клавиши мыши, а затем нажать иконку, представляющую удаление в инструментальном меню. Выделить удаляемый элемент при помощи правой клавиши мыши и выберите опцию Удалить во всплывающем. Реальный IP: Это IP адрес сетевого интерфейса внутреннего хостаВиртуальный IP: Это реальный IP адрес, в который будут транслироваться адреса из внутренней сети. Этот адрес нельзя присваивать какому-либо внешнему хосту и он не может являться адресом сетевого интерфейса межсетевого экрана Aker.Важные замечания :Список серверов не должен содержать повторяющиеся записи. Реальные адреса должны принадлежать внутренней сети, определенной в полях IP адрес внутренней сети и сетевая маска внутренней сети. Виртуальный адрес не может принадлежать внутренней сети Когда хост, описанный в таблице серверной трансляции образует соединение с внешним хостом, его адрес источника будет преобразован в соответствующий виртуальный адрес, кроме протокола FTP. В случае протокола FTP преобразованный адрес будет виртуальным IP адресом глобальной трансляции, независимо от того, описан ли хост в таблице серверной трансляции или нет. Порт назначения или тип сервиса . Тогда будут показаны только записи с данным сервисом. Важно не забыть выделить необходимый протокол для данного сервиса.Действия: Приоритет: Модуль: Протокол: UDP ICMP Другие Порт назначения или Тип сервиса .Да накладывает выбранный фильтр и показывает окно стстистики с выбранной информацией. Отменить отменяет действие фильтра и параметры в окне статистики возращаются к прежним значениям. Кнопка Помощь выводит подсказку по данному разделуВажные замечания : Одновременно выводится группа из 100 записей. Можно вывести только первые 10 000 записей, которые соответствуют выбранному фильтру. Другие записи можно просмотреть, если перенести журнал регистрации в файл или использовать фильтр для генерации более поздних записей. С левой стороны от каждого сообщения будет показан цветной значок, представляющий его приоритет. Цвета имеют следующие значения : Если нажать левой клавишей мыши на сообщении, в нижней части окна появится строка с дополнительной информацией о записи. Значение кнопок в окне статистики Кнопка Да закрывает окно статистики Кнопка обновить активизирует автоматическое обновление выведенной информации. После первого нажатия на эту кнопку активизируется автоматическое обновление. Для ее сброса снова нажмите на эту кнопку. Интервал обновления можно настроить в поле Автоматическое обновление . Кнопка Фильтр открывает окно фильтрации статистики, описанное выше. Кнопка Удалить все удаляет все содержимое файла статистики. Если нажать эту кнопку, появится следующее окно для подтвержденя: Да для удаления все статистики и Нет для отказа от операции.Кнопка Уплотнить позволяет уплотненить файл регистрации. Из файла удаляются все элементы, которые старше срока жизни файла статистики (смотрите главу 4 Настрока параметров системые), что улучшает время доступа. Этот процесс выполняется сервером статистики в фоновом режиме, и во время его выполнения просматривать статистику нельзя. Кнопка Сохранить сохраняет выбранную информацию с помощью текущего фильтра в файл в ASCII формате. Этот файл разбит на строки, соответствующие строкам на экране. Сохранить . Для отмены операции нажмите кнопку Отмена Кнопка << Пред 100 показывает последующие 100 записей. Если не существует последующих записей, опция будет недоступна. Кнопка След 100 >> показывает предыдующие 100 записей. Если не существует предыдующих записей, опция будет недоступна. Кнопка Помощь показывает окно помощи по данному разделу. Модуль: Да накладывает описанный фильтр и открывает окно событий с выборкой соответствующей фильтру информации.Отменить отменяет операцию фильтрации и в полях окна событий появляется предыдущая информация. Кнопка Помощь выводит окно подсказки по данному разделу.Окно событий Важные замечания: Одновременно выводится 100 сообщений. На экран можно вывести только первые 10.000 сообщений, соответствующих данному фильтру. Другие сообщения можно увидеть, записав их в файл или используя другой фильтр для вывода меньшего числа сообщений. Слева от каждого сообщения показан цветной значок, обозначающий его приоритет. Цвета имеют следующие значения:: Если нажать левую клавишу мыши на сообщении, в нижней части окна появится строка с дополнительной информацией о нем. Значения кнопок в окне событий Кнопка Да закрывает окно событий. Кнопка Обновить активизирует автоматическое обновление выводимой информации. При первом нажатии эта функция активизируется, про следующем она отменяется. Интервал обновления можно настроить в поле Автоматическое обновление . Кнопка Фильты открывает окно фильтрации событий, описанное выше. Это позволяет организовать новый просмотр. Кнопка Удалить все позволяет удалить все содержимое файла событий. Если нажать эту кнопку, откроется следующее окно: Да чтобы стереть все события или Нет для отказа от операции.Кнопка Уплотнить уплотняет файл событий. При этом удаляются все события старше времени жизни статистики (см. главу 4 Настройка параметров системы), что позволяет реорганизовать файл событий и улучшить времея доступа к нему. Этот процесс выполняется в фоновом режиме, поэтому во время его выполнения невозможно просматривать события. Кнопка Сохранить сохраняет всю выделенную информацию в ASCII файле. Файл состоит из различных строк с тем же содержанием, что показано в окне. Сохранить , для отмены операции нажмите кнопку Отменить .Кнопка >>След 100 позволяет вывести 100 следующих сообщений.Если они отсутствуют, опция будет недоступна. Кнопка Пред 100 << позволяет позволяет вывести 100 предыдущих сообщений. Если больше сообщений нет, опция будет недоступна. Кнопка Помощь открывает окно помощи по окну просмотра событий. Кнопка DNS позволяет включить или выключить разрешения имен хостов с помощью системы доменных имен (DNS) для адресов в списке соединений. Обратите внимание на следующее: Если нажать кнопку DNS, прервется автоматическое обновление. Для его активизации нажмите кнопку Обновить . После нажатия кнопки DNS показываемая на дисплее информация будет состоять только из имен хостов и портов источника и назначения. Заголовок в верхней части окна будет автоматически изменен, чтобы представлять новую информацию. Процесс разрешения имен очень часто проходит довольно медленно, из-за чего он выполняется в фоновом режиме. Часто из-за проблем с настройкой обратных зон ( соответствие IP адресов именам), разрешить некоторые IP адреса в имена невозможно. В этих случаях на экран будут выводиться адреса с указанием факта, что для них не описано обратное разрешение. Поле Сортировать позволяет выбрать способ вывода на дисплей списка соединений. Оно содержит опции: IP источника : Список соединений сортируется по IP адресам источника (этот порядок устанавливается по умолчанию).IP назначения : Список соединений сортируется по IP адресам назначенияСервисы : Список соединений сортируется по порту назначения соединения, соответствующему данному сервису.Список аутентификаторов Выделить добавляемый аутентификатор в левом списке Нажать кнопку, изображающую направленную вправо стрелку (только что добавленный аутентификатор будет помечен красным значком V в левом списке, указывая на то, что он добавлен и будет представлен в правом списке). Выделить удаляемый аутентификатор в правом списке. Нажать кнопку X (удаленный аутентикатор больше не будет помечен значком V в левом списке). Выделите перемещаемый аутентификатор в правом списке. Нажмите одну из кнопок справа от списка: кнопка со стрелкой вверх переместит выделенный аутентификатор на одну позицию вверх в списке, а кнопка со стрелкой вниз переместит его на одну позицию вниз. Макс. число одновременных соединений: Это поле определяет максимальное число Telnet сессий для данного контекста. Если число открытых сессий достигает этого предела, пользователи, пытающиеся установить новые соединения, будут информированы о том, что достигнут предел и что им следует возобновить попытки позднее. Разрешать только при правильном обратном DNS: Если эта опция установлена, будут приниматься соединения только от хостов, для которых описано обратное преобразование в системе доменных имен (DNS). Период неактивности: Этот параметр определяет максимальное время в секундах, в течение которого proxy остаются в активном состоянии при отсутствии передачи через них данных. TCP тайм-аут в глобальных параметрах настройки (смотрите главу 4 Настройка параметров системы ).По умолчанию: Это поле определяет, какое действие будет применено ко всем тем пользователям, кто не принадлежит к какой-либо из групп из разрешающего доступ списка. Значение пропускать позволяет установить Telnet соединение, а значение не пропускать - нет. Список полномочий: В этом списке описывается пользователи или группы пользователей, которым разрешен доступ. Для выполнения действий с пользователем или группой в списке нажмите на соответствущем пользователе (или на группе) правой клавишей мыши. Появится следующее меню (Это меню появляется каждый раз, если нажать правую клавишу мыши, даже когда не выделен пользователь или группа. При этом доступны только опции Добавить и Удалить) Добавить: Эта опция позволяет добавить нового пользователя или группу в список. Если выделен какой-либо пользователь (или группа), новый будет вставлен на место выделенного. Во всех прочих случаях новый пользователь (или группа) будут добавлены в конец списка. Редактировать: Эта опция позволяет модификацию полномочия на доступ для пользователя (или группы). Удалить: Эта опция удаляет выделенного пользователя (или группу) из списка. Рекомендация: Ко всем этим опциям можно получить доступ через инструментальную полоску, расположенную справа над списком. В этом случае сначала выделите пользователя (или группу), нажав на нем левой клавишей мыши, а затем нажмите необходимую опцию. Выберите перемещаемого пользователя или группу. Нажмите одну из кнопок в форме стрелки справа от списка. Кнопка со стрелкой вверх переместит выделенного пользователя или группу на одну позицию вверх, а кнопка со стрелкой вниз - на одну позицию вниз. Окно добавления пользователя или группы Выбрать аутентификатор, с которого вы хотите получить список пользователей или групп, нажав левой клавишей мыши на его имени в верхнем списке окна (Если необходимого аутентификатора нет в списке, нужно добавить его в список аутентификаторов. Подробно этот вопрос рассмотрен в главе 16 Настройка параметров аутентификации .) Выбрать между списками пользователей и групп, нажав соответствующую кнопку, расположенную между двумя списками Нажать левой клавишей мыши на имени добавляемого пользователя или группы в нижнем списке окна. Определить права на доступ для пользователя или группы, выбрав между значениями пропускать (которое позволяет установить соединение) или не пропускать (которое запрещает установление соединения). Нажать кнопку Да , которая закрывает окно и добавляет пользователя или группу в список. Использование графического интерфейса
Для доступа к окну управления пользователми через удаленный интерфейс необходимо: Выбрать опцию Соединение в главном меню Выбрать опцию Управление Экран управления пользователями: Кнопка Да закрывает окно управления пользователями и сохраняет все изменения Кнопка Применить сохраняет все модификации и оставляет окно открыитым. Кнопка Отменить закрывает окно и отбрасывает все сделанные изменения Кнопка Помощь выводит экран помощи по данному разделу. При выборе пользователя его параметры показываются в соответствующих полях. Выделите пользователя, атрибуты которого вы хотите изменить, нажав левой клавишей мыши на его имени. Его атрибуты будут показаны в полях после списка пользователей. Измените параметры и нажмите кнопку Применить или Да Нажмите правой клавишей мыши где-нибудь в зарезервированной области, чтобы показался список, и выберите пункт Добавить всплывающего меню или нажмите кнопку добавления пользователей в инструментальном меню. Заполните поля параметров пользователя и нажмите кнопку Применить или Да . Выделите пользователя, которого хотите удалить, нажав на его имени левой клавишей мыши, затем нажмите на кнопку удаление в инструментальном меню Нажмите на имени пользователя, которого хотите удалить, правой клавишей мыши, затем выделите опцию Удалить в всплывающем меню. Значение атрибутов пользователя Регистрационное имя Использование интерфейса командной строки
Кроме графического интерфейса для управления пользователями может быть использован локальный интерфейс командной строки, обладающий теми же возможностями, что и графический интерфейс. Единственной недоступной функцией является изменение полномочий пользователей. Этот интерфейс, реализованный при помощи команды fwadmin является интерактивным и не получает параметров из командной строки. Путь к программе : /etc/firewall/fwadmin При запуске программа выводит на экран:A dd a new userR emove an existing userM odify an user's passwordL ist the registered usersC ompact the users fileE xit fwadminAdd a new user Путь к программе: /etc/firewall/fwparSyntax: fwpar [source_routed_ip | ftp_support | real_audio_support] fwpar [log_translation | log_syslog] fwpar log_lifetime fwpar [read_community | write_community] [name]Подсказки по команде: Пример 1: (просмотр конфигурации)Пример 2: (разрешить прохождение пакетов с source routed опцией)Пример 3: (определение имени SNMP сообщества с правами на чтение)Example 4: (удаление имени SNMP сообщества с правами на чтение)Путь: /etc/firewall/fwregra Синтаксис: fwregra add [log] [mail] [trap] [program] [alert] [ ...]Program help: ...] accept - правило пропускает удовлетворяющие ему пакетыreject - правило не пропускает удовлетворяющие ему пакеты и посылает ICMP destination unreachable сообщение источникуdiscard - правило не пропускает пакеты (при этом никакие ICMP пакеты не отсылаются)Путь к программе: /etc/firewall/fwconverСинтаксис: Program help : Путь к программе : /etc/firewall/fwcripto Синтаксис : fwcripto add [send | receive] manual [MD5 | SHA] NONE fwcripto add [send | receive] manual [MD5 | SHA] DES fwcripto add [send | receive] manual [MD5 | SHA] 3DES fwcripto add send skip [DES | 3DES] [MD5 | SHA] [NONE | DES | 3DES] fwcripto add receive skip Program help: fwcripto add [send | receive] manual [MD5 | SHA] NONE fwcripto add [send | receive] manual [MD5 | SHA] DES fwcripto add [send | receive] manual [MD5 | SHA] 3DES fwcripto add send skip [DES | 3DES] [MD5 | SHA] [NONE | DES | 3DES] fwcripto add receive skip Путь к программе: /etc/firewall/fwfloodСинтаксис: fwflood timeout Program help: fwflood timeout Пример 1 : (Просмотр конфигурации) Путь к программе: /etc/firewall/fwacao Синтаксис : [name] fwacao ip [IP address] fwacao email [address]Program help : [name] fwacao ip [IP address] fwacao e-mail [address]Путь к программе: /etc/firewall/fwlogSyntax: [priority]Program help: [priority]Путь к программе: /etc/firewall/fwlogСинтаксис: [priority]Program help : [priority]Путь к программе : /etc/firewall/fwconex Синтаксис: Program help: Пример 1: (просмотр активных TCP соединений) Пример 2: (просмотр активных UDP соединений) Пример 3: (Удаление TCP соединения и просмотр списка соединений) Использование помощи в режиме он-лайн
Межсетевой экран Aker имеет систему помощи, работающую в режиме on-line. Все окна, кроме предназначенных для подтверждения, имеют кнопку Помощь . При активизации эта кнопка открывает специальное окно помощи. Кроме такой специальной помощи в каждом окне можно перемещаться по структуре справочного документа, аналогично тому как Вы делаете в этом Руководстве. Для этого надо проделать следующие действия: Выберите опцию Помощь в главном меню Выберите пункт Помощь Использование ручного механизма обмена ключами
Для использования ручного обмена ключами необходимо выделить опцию Ручной в поле Обмен ключами. Это приведет к изменению окна, на котором появятся необходимые поля для настройки параметров: Аутентификация Объекты источника : Определяет объекты, адреса которых будут сравниваться с адресом источника IP пакетов, которые должны попадать в канал. Объекты назначения : Определяет объекты, адреса которых будут сравниваться с адресом назначения IP пакетов, которые должны попадать в канал. Комментарий: Поле комментариев. Направление канала: Определяет направление канала. Эта опция может принимать два значения: отправить или принять. За деталями обращайтесь к разделу этой главы Введение. SPI: (Security Parameter Index) Это уникальное число, используемое приемником, которое идентифицирует потоки. Оно должно превышать 255 и обязательно различаться для каждого канала, направленного к тому же приемнику. Ключ аутентификации: Это ключ, используемый при аутентификации. Он должен быть записан в шестнадцатиричном формате. Максимальный размер ключа зависит от используемого алгоритма: 32 знака для MD5 и 40 знаков для SHA. Рекомендуется исппользвать максимально допустимымое количество знаков. Аутентификация: Это поле определяет, какой алгоритм аутентификации будет применяться. Возможны два алгоритма: MD5 или SHA.Аутентификация с шифрованием, использующим DES Длина вектора инициализации: Это размер в битах вектора инициализации, который применяется в алгоритме DES. Этот вектор генерируется системой автоматически для каждого посылаемого пакета. Рекомендуется использование варианта с 64 битами. Ключ: Это ключ, который будет применяться для шифрования пакетов.
Аутентификация с шифрованием, использующим Triple DES (3DES) только аутентификация : Длина вектора инициализации: то размер в битах вектора инициализации, который применяется в алгоритме 3DES. Этот вектор генерируется системой автоматически для каждого посылаемого пакета. Рекомендуется использование варианта с 64 битами. Ключ 1: Это ключ, применяемый при первом преобразовании в алгоритме 3DES. Он обязательно должен быть шестнадцатиричным числом с 16 знаками. Ключ 2: Это ключ, применяемый при втором преобразовании в алгоритме 3DES. Он обязательно должен быть шестнадцатиричным числом с 16 знаками. Ключ 3: Это ключ, применяемый при третьем преобразовании в алгоритме 3DES. Он обязательно должен быть шестнадцатиричным числом с 16 знаками.Использование SKIP для обмена ключей
Для использования SKIP для обмена ключами нужно выделить опцию SKIP в поле Обмен ключами. Окно изменится и в нем появятся необходимые поля. Объекты источника: Определяет объекты, адреса которых будут сравниваться с адресом источника IP пакетов, которые должны попадать в канал. Объекты назначения: Определяет объекты, адреса которых будут сравниваться с адресом назначения источника IP пакетов, которые должны попадать в канал. Комментарии: Поле комментариев. Направление канала: Определяет направление канала. Эта опция может принимать два значения: послать или принять. За деталями обращайтесь к разделу этой главы Введение. Шифрование ключа: Это алгоритм, применяемый для шифрования посылаемого в пакете ключа сеанса. Рекомендуется пользоваться 3DES. Шифрование пакетов: Это алгоритм, которым пользуются для шифрования данных. Возможные опции Нет ( при использовании только аутентификации), DES и 3DES. Рекомендуется использовать 3DES. Алгоритм аутентификации: Определяет , какой алгоритм будет использоваться для аутентификации. Возможные значения: MD5 или SHA. Общий секрет: Это секрет, который будет использоваться для генерации мастер ключей (за деталями обращайтесь к разделу этой главы Введение).Секрет должен быть одинаков для обоих межсетевых экранов по обе стороны канала. Он обязательно должен быть шестнадцатиричным числом с 64 знаками.Загрузить секрет: Эта кнопка позволяет прочесть значение из ASCII файла в поле общего секрета. Этот файл должен состоять только из одной строки длиной 64 символа. Сохранить секрет: Эта кнопка позволяет записать содержимое поля общего секрета в ASCII файл. Переписанный файл будет иметь только одну строку длиной 64 символа.Использование SMTP proxy
Чтобы использовать SMTP proxy , необходимо выполнить следующие шаги: Создать контекст с описанием параметров соединения (подробные объяснения содержатся в следующем разделе). Зарегистрировать сервис, пакеты которого будет перенаправляться SMTP proxy, используя созданный на шаге 1 контекст (смотрите главу 5 Регистрация объектов). Добавить правило фильтрации, позволяющее использовать созданный на шаге 2 сервис применительно к необходимым Вам сетям или хостам (смотрите главу 6 Фильтр с контролем состояния). Использование Telnet proxy
Чтобы использовать Telnet proxy, необходимо выполнить следующие шаги: Создать контекст ( как это сделать, объяснено в следующем разделе). Зарегистрировать сервис, пакеты которого будет перенаправлены Telnet proxy, используя контекст, созданный на предыдущем шаге (см. главу 5 Регистрация объектов ). Добавить правило фильтрации для этого сервиса для необходимых сетей и хостов (см. главу 6 Пакетный фильтр с контролем состояния ). Использование WWW proxy
Для использования WWW proxy необходимо выполнить следующие действия: Создать необходимые профили доступа (этот вопрос рассматривается в разделе Создание профилей доступа ). Отредактировать параметры WWW proxy ( см. раздел Редактирование параметров WWW proxy ). Создать правила фильтрации, разрешающие клиентам доступ к proxy (см. главу6 Пакетный фильтр с контролем состояния). -p port, где port - номер необходимого порта. Proxy запускается из файла /etc/rc ; в нем вы можете изменить параметры, например вместо строки /etc/firewall/fwhttppd написать /etc/firewall/fwhttppd -p 8080 .Изменение паролей пользователей
Все пользователи межсетевого экрана Aker могут менять свои пароли по мере необходимости. Для этого сначала следует открыть сессию управления (как показано в параграфе 2-1 Запуск удаленного интерфейса ) и затем выполнить следующие действия: Выбрать опцию Соединение в главном окне Выбрать пункт Изменить пароль Старый пароль , новый пароль в поле Новый пароль и в поле Подтверждение паролья (пароль будет высвечиваться в виде звездочек "*"). После заполнения полей нажмите кнопку Да для изменения пароля или кнопку Отменить в случае если Вы не хотите его менять. Как межсетевой экран Aker обеспечивает защиту от SYN атак?
Межсетевой экран Aker имеет механизм, назначение которого - препятствовать проведению SYN атак. Принцип его действия заключается в следующем: Когда защищаемому серверу посылается пакет с запросом на установление соединения (пакет с SYN-флагом, описанный в предыдущем разделе), межсетевой экран регистрирует его в таблице и позволяет пакету пройти. (Естественно, что пакет будет пропущен только в случае, если это разрешено правилами фильтрации, описанными администратором. За подробностями обращайтесь к главе 6 Пакетный фильтр с контролем состояния). После прихода ответа сервера о подтверждении запроса на соединение (пакет с SYN и ACK-флагами) межсетевой экран посылает пакет серверу с подтверждением соединения, а также посылает ответный пакет клиенту. С этого момента в межсетевом экране активизируется внутренний таймер, который отсчитывает период времени, в течение которого должен прибыть пакет с подтверждением от клиента. Если запрос о соединении нормальный, то в течение установленного промежутка времени клиент пришлет ответный пакет с подтверждением соединения. Получив этот пакет, межсетевой экран будет считать запрос об установлении соединения нормальным и остановит таймер. Если клиент не отвечает в течение максимально разрешенного промежутка времени, межсетевой экран пошлет специальный пакет серверу, что приведет к к удалению информации о соединении. Как пользоваться интерфейсом Windows или NT
Интерфейс Windows прост в использовании благодаря тому, что большинство пользователей привыкли к этой среде. Однако, обратите внимание на следующее: Левые и правые кнопки на корпусе мыши имеют различные функции в интерфейсе. Левая кнопка применяется для выделения опций в списках и для ввода с использование мыши. Правая кнопка показывает всплывающее меню для некоторых списков. Большинство этих опций доступны также из инструментального меню в верхней части окна. Каким образом Aker обеспечивает удаленное управление?
Для поддержки удаленного управления на межсетевом экране запускается процесс, обеспечивающий установление соединения, проверку прав пользователей и выполнение задач пользователя. Когда пользователь начинает сеанс удаленного управления, графический интерфейс устанавливает соединение с модулем удаленного управления межсетевого экрана и поддерживает это соединение открытым, пока пользователь не завершит сеанс. Для того чтобы удаленный хост мог взаимодействовать с межсетевым экраном, необходимо добавить правило, разрешающее доступ по TCP протоколу к порту 1020 с хоста, с которого необходим доступ Подробная информация об этом содержится в главе 6 Пакетный фильтр с контролем состояния Одновременно может использоваться только один удаленный интерфейс. Попытки открыть другую удаленную сессию будут отклонены с сообщением о том, что одна активная административная сессия уже открыта. Пользователь, использующий удаленный интерфейс, должен быть зарегистрирован в системе. Инсталляционная программа может автоматически создать менеджера с полномочиями по регистрации других менеджеров. Если вы удалили описание такого менеджера или потеряли его пароль, необходимо использовать локальный интерфейс командной строки для создания нового менеджера. Более детальное описание можно найти в главе 3 Управление пользователями межсетевого экрана. Конфигурационные файлы
/etc/firewall/chave.fw - ключ активизации межсетевого экрана /etc/firewall/conf/acesso.tab - cписок управления доступом в систему /etc/firewall/conf/acesso.telnet - список управление доступом для контекстов Telnet proxy /etc/firewall/conf/acl_h.tab - профили доступа, зарегистрированные в системе /etc/firewall/conf/auth.tab - глобальные параметры аутентификации /etc/firewall/conf/conjuntos.tab - объекта типа набор, зарегистрированные в системе /etc/firewall/conf/contextos.smtp - список контекстов SMTP proxy /etc/firewall/conf/contextos.telnet - список контекстов Telnet proxy /etc/firewall/conf/conv.tab - серверная таблица трансляции адресов /etc/firewall/conf/conv_ex.tab - Объекты, для которых не будет выполняться трансляция адресов /etc/firewall/conf/crypt.tab - таблица защищенных каналов /etc/firewall/conf/entidades.crypt - объекты, используемые для работы защищенных каналов /etc/firewall/conf/entidades.tab - объекты, зарегистрированные в системе /etc/firewall/conf/entidades.filtro - объекты, используемые для работы пакетного фильтра /etc/firewall/conf/filtros.smtp - список фильтров для SMTP контекстов /etc/firewall/conf/parametros-301.fw - общие конфигурационные параметры системы /etc/firewall/conf/parametros.http - конфигурационные параметры WWW proxy /etc/firewall/conf/regras.filtro - правила пакетного фильтра /etc/firewall/conf/sites.tab - адреса, используемые в профилях доступа /etc/firewall/conf/syn.tab - таблица параметров защиты от SYN атак /etc/firewall/conf/usuarios.tab - пользователи, авторизованные для удаленного администрирования Копируемые файлы
Конфигурационные файлы, указанные в предыдущем разделе, являются наиболее важной частью системных файлов, подлежащих копированию. Такие копии следует выполнять каждый раз при проведении какой-либо модификации в настройках межсетевого экрана. Другой важной частью файлов вляются файлы статистики и событий. В зависимости от требований безопасности можно делать копии этих файлов ежедневно или даже чаще. Другим способом повышения безопасности является настройка межсетевого экрана таким образом,чтобы статистика и события отсылались через syslogd на другте хосты во внутренней сети. tar в FreeBSD. Пользователь root должен выполнить следующие команды: tar cvfz /conf.tgz /etc/firewall/conf tar cvfz /log.tgz /var/log/log-30.fw /var/log/eventos-30.fw Настройка агента аутентификации для NT
После инсталляции агента необходимо продолжить его настройку. Она позволяет зарегистрировать все межсетевые экраны, которые будут использовать агент, а также определить сообщения, генерируемые агентом при работе. В отличие от агента аутентификации для Unix, эти настройки выполняются с помощью отдельной программы. Для доступа к программе намтройки необходимо нажать меню Start, выбрать группу Aker Firewall, а затем внутри группы выделить опцию Configure authentication agent. После выполнения этих действий откроется следующее окно: Output определяет, куда будут посылаться сообщения: в Event Viewer системы Windows NT и/или в файл. В случае файла его имя нужно ввести в поле File. Под этими полями размещены несколько опций для описания сообщений. Для генерации определенного типа сообщения нужно, чтобы соответствующая опция была установлена. Можно посылать сообщения в файл и в Event Viewer одновременно, для этого достаточно, чтобы были установлены обе опции и определено имя файлв для вывода.Add . Откроется окно, в которое следует ввести IP адрес и пароль межсетевого экрана. Для изменения пароля зарегистрированного межсетевого экрана, достаточно выделить его адрес и нажать кнопку Edit . Откроется окно с соответствующим полем. Для удаления межсетевого экрана из списка выделите его адрес и нажмите кнопку Delete . После проведения модификаций нажмите кнопку OK , которая закрывает окно и сохраняет опции . Настройка параметров системы
В этой главе показано, как настраивать переменные, влияющие на работу всей системы. Эти переменные играют большую роль для безопасности системы, регистрации событий, и тайм-аутов в соединених. Настройка трансляции сетевых адресов
В этой главе объясняется, как настраивать параметры трансляции сетевых адресов (NAT); использование NAT позволяет использовать во внутренней сети резервные адреса и тем самым расширить ее адресное пространство, обеспечить сокрытие структуры внутренней сети с прозрачным доступом к Интернет. Настройка WWW proxy
В этой главе показано, что представляет собой и как настравивается WWW proxy. О пользователях межсетевого экрана
Для удаленного управления межсетевым экраном Aker он должен уметь распознавать пользователей. Подтверждение прав пользователей осуществляется при помощи паролей и для этого каждый администратор должен предварительно зарегистрироваться и получить регистрационное имя и пароль. Объекты, для которых трансляция производиться не будет
Таблица объектов, для которых трансляция не будет производиться используется для задания хостов, сетей и наборов, приватные адреса которых не будут транслироваться. В этом случае, даже если хост описан в серверной таблице, его адрес источника не будет транслироваться при обращении к объектам, описанным в этой таблицеВыделить добавляемый объект в левом списке Нажать на стрелку справа ( только что добавленный объект будет отмечен красным значком V в левом списке и появится в правом) Выделить удаляемый объект в правом списке Нажать кнопку X (удаляемый объект больше не будет отмечен значком V в левом списке) Обратное DNS преобразование
Обратное преобразование используется для разрешения имен хостов из их IP адресов. Окно разрешения DNS имен межсетевого экрана Aker используется для разрешения адресов, не требуя дополнительных программ. Для получения доступа к окну разрешения выполните следующее: Выберите меню Средства в главном окне Выберите опцию Обратный DNS Окно обратного разрешения DNS имен Кнопка Да закрывает окно Кнопка Помощь вызывает окно помощи по данному разделу Если установить опцию Показывать все IP , то в нижней части окна будут показаны все разрешенные адреса. Обратный DNS . Сразу после этого адрес будет показан в списке в нижней части окна. Через некоторое время будет показано имя, соответствующее этому адресу, или указание, что для этого адреса обратное преобразование в DNS не описано.Определение объектов
Перед тем, как пояснить процедуру регистрации объектов в межсетевом экране Aker, необходимо сделать краткий обзор всех возможных типов объектов.AND между значением сетевой маски и этим адресом, логической операции AND между значением сетевой маски и адресом сети, и сравнением результата. Если они одинаковы, хост принадлежит сети, в противном случае - нет. Рассмотрим два примера:AND 255.255.0.0 = 10.1.0.0 (для сети) 10.1.1.2 AND 255.255.0.0 = 10.1.0.0 (для адреса)AND 255.255.0.0 = 172.17.0.0 (для сети)AND 255.255.0.0 = 172.16.0.0 (для адреса)0.0.0.0 и сетевой маской 0.0.0.0 Это правило полезно при определении общедоступных сервисов, к которым имеют доступ все хосты Интернет.портом источника и портом назначения . 10.0.0.1 1024 - 10.4.1.2 23 TCP ---------------------------------------------------------------------------- типа сервиса .Определение защищенных каналов
Для определения защищенного канала сначала надо выбрать две группы хостов, которые будут обмениваться информацией защищенным образом. Эти группы хостов будут обмениваться подписанными и при необходимости зашифрованными пакетами. На каждом конце канала нужно установить межсетевые экраны, которые будут осуществлять аутентификацию/верификацию и шифрование/дешифрование передаваемых данных. Отчеты
Эта опция дает возможность администратору легко и быстро печатать отчеты по всем настройкам (или их части) межсетевого экрана. Такие отчеты очень полезны для анализа параметров и их документирования. Для доступа к окну докладов сделайте следующее: Выберите меню Средства в главном окне Выберите опцию Отчеты Окно отчетов Выбрать предназначенные для печати элементы Нажать кнопку печати Отменить . Пакетный фильтр с контролем состояния
В этой главе рассказывается, как создавать правила, которые позволяют межсетевому экрану пропускать или запрещать соединения. Этот модуль является главным в системе; работа по его настройке наиболее трудоемка. Поток изнутри наружу
Когда какой-либо пакет из внутренней сети достигает межсетевого экрана, он проходит через его модули в следующей последовательности: модуль сборки, пакетный фильтр, транслятор сетевых адресов и криптографический модуль. Модуль сборки Пакетный фильтр Транслятор сетевых адресов Криптографический модуль Поток снаружи внутрь
Когда пакет, приходящий из внешней сети во внутреннюю, достигает межсетевого экрана, он проходит через его модули в следующем порядке: модуль сборки, криптографический модуль, транслятор сетевых адресов и пакетный фильтр. Модуль сборки Криптографический модуль Транслятор сетевых адресов Пакетный фильтр A -Системные сообщения
Сообщения, касающиеся статистики межсетевого экрана 01 - Возможная атака путем фрагментации 02 - Source routed IP пакет 03 - Land атака 04 - Соединение отсутствует в динамической таблице Это сообщение означает, что межсетевой экран получил TCP пакет, который не был запросом на соединение, и не принадлежал к открытому соединению. Это могло быть вызвано атакой или просто соединением, которое было неактивным дольше, чем длится тайм-аут TCP соединения.05 - Пакет получен с неверного интерфейса 06 - Пакет получен с неизвестного интерфейса 07 - Возможная атака подбором на FTP протокол 08 - Возможная атака подбором на Real Audio протокол 09 - Контрольный канал FTP не открыт Это сообщение указывает, что межсетевой экран получил пакет по каналу данных FTP протокола, а соответствующий контрольный канал не был открыт.10 - Неверные TCP флаги 11- Неверный TCP sequence number 12 - Возможная SYN атака Защита от SYN атак ). Если возникает большое число подобных сообщений, то, вероятно, что против межсетевого экрана была предпринята SYN атака.13 - Пакет без аутентификационной информации Создание защищенных каналов ). Причиной этого может быть неправильная конфигурация аутентификации в канале (возможно, настроена только на одной стороне) или попытка IP спуфинга. Более подробная информация содержится в RFCs 1825 и 1827.14 - Пакет не прошел аутентификацию 15 - Пакет без криптографической информации Создание защищенных каналов ). Причиной этого может быть неправильная конфигурация защищенных каналов (возможно, настроен только один конец канала) или IP спуфингом. Более подробная информация изложена в RFCs 1825 и 1827.16 - Размер расшифрованного пакета неверен 17 - Неудачная расшифровка пакета 18 - Неверный тип инкапсуляции пакета 19 - Пакет без SKIP информации Создание защищенных каналов ).20 - SA пакета не содержит SKIP информацию Создание защищенных каналов 21 -Неверная версия SKIP 22 - Неверное значение счетчика SKIP протокола 23 - Неверный SPI для SKIP аутентификации 24 - Неверный следующий протокол в SKIP заголовке 25 - Неверный алгоритм аутентификации SKIP 26 - Неверный алгоритм шифрования SKIP 27 - Неверный алгоритм обмена ключами SKIP 28 - Алгоритм сжатия данных не поддерживается 29 - Неверный идентификатор адресного пространства источника 30 - Неверный идентификатор адресного пространства назначения B - Вопросы и ответы
Статистика и события Обнаружив недостаток дискового пространства для хранения статистики и событий, межсетевой экран немедленно блокирует роутинг IP пакетов.Это ведет к тому, что все проходящие через межсетевой экран соединения автоматически разрываются, а новые соединения не открываются. Межсетевой экран генерирует предупреждения о недостатке дискового пространства, посылая их в syslogd хоста, на котором запущен межсетевой экран, и, кроме того, он посылает аварийные сообщения удаленному графическому интерфейсу пользователя. Эти специальные аварийные сообщения не описаны в окне реакции системы. Я только что получил аварийное сообщение в графическом интерфейсе пользователя, гласящее: "Не хватает дискового пространства для хранения статистики" или "Не хватает дискового пространства для хранения событий". С этого момента я не могу установить никакого соединения с внешнй сетью. Как мне решить эту проблему? C - Авторские права и отказы от права
В этом Приложении перечислены отказы от права на библиотеки и используемые в межсетевом экране Aker исходные коды третьей стороны. Эти отказы от права применяются только по отношению к явно упоминаемым частям межсетевого экрана Aker, а не к нему в целом. Здесь ниже приводится перечень этих явно упоминаемых частей в соответствии с требованиями разработчиков: Д - Что нового в версии
В этом приложении перечислены отличия версии 3.01 от версии 3.0 Появилась таблица объектов, для которых трансляция адресов не проводится В профиле доступа WWW появилась временная таблица Появилась запись об пропущенных или отклоненных WWW proxy URL в окне статистики Появилось окно модификации даты и времени в графическом интерфейсе Модифицировано окно фильтрации статистики для того чтобы можно было фильтровать по объектам Появилась опция для сохранения и восстановления фильтров статистики и события Двойное нажатие на имени объекта почти во всех окнах вызывает окто свойств этого объекта. Появилась программа инсталляции агента аутентификации для UNIX Применения трансляции сетевых адресов в межсетевом экране
Предположим, что некоторая организация получает сеть класса С (обозначим ее А.В.С.0). Эта сеть позволяет описать 254 реальных хоста (адреса А.В.С.0 и А.В.С.255 резервируются для специальных целей и не быть использованы, остаются значения между А.В.С.1 и А.В.С.254). Предположим еще, что локальная сеть состоит из 1000 хостов, которые необходимо подключить к Интернет. Так как реальных адресов недостаточно, необходимо воспользоваться трансляцией сетевых адресов. Поэтому для использования во внутренней сети была выбрана зарезервированная сеть класса А 10.x.x.x c cетевой маской 255.0.0.0.Кроме того, установим различные алгоритмы
Кроме того, установим различные алгоритмы для каналов между этими группами. Использование различных алгоритмов для двух направлений защищенного канала может оказаться полезным в том случае, когда ценность информации в одном направлении больше, чем в другом. В этом случае более защищенный алгоритм применяется в наиболее критическом направлении. Предположим еще, что сети 1 и 2 содержат два адреса класса В: А1.В1.0.0 и А2.В2.0.0, соответственно. Конфигурация межсетевого экрана Aker сети 1 Примеры использования защищенных каналов
Главный пример настройки защищенного канала. Конфигурация межсетевого экрана Aker сети 1 Объекты: NETWORK1 - IP адрес: A1.B1.C1.0 - Cетевая маска 255.255.255.0 NETWORK2 - IP адрес: A2.B2.C2.0 - Cетевая маска 255.255.255.0 Защищенный канал 1 : Направление канала: отправка NETWORK1 NETWORK2 DES MD5 X1 X2 Защищенный канал 2 : Направление канала: прием NETWORK2 NETWORK1 DES MD5 X3 X4 Конфигурация межсетевого экрана Aker сети 2 Объекты: NETWORK1 - IP адрес: A1.B1.C1.0 - Сетевая маска 255.255.255.0 NETWORK2 - IP адрес: A2.B2.C2.0 - Сетевая маска 255.255.255.0 Защищенный канал 1 : Направление канала: прием NETWORK1 NETWORK2 DES MD5 X3 X4 Защищенный канал 2 : Направление канала: отправка NETWORK2 NETWORK1 DES MD5 X1 X2 Пример конфигурации защищенного канала для подсети Примеры настройки трансляции сетевых адресов
С Интернет существует выделенный канал Конфигурация межсетевого экрана Aker: Взаимодействие отделов Адреса подсети 1 :Конфигурация межсетевого экрана Aker: Адреса подсети 3: Конфигурация межсетевого экрана Aker: Таблица трансляции серверов :Адреса подсети 3: Конфигурация межсетевого экрана Aker: Принцип работы системы удаленного управления межсетевым экраном Aker
Межсетевой экран Aker можно удаленно конфигурировать и администрировать с любого хоста; для этого хост должен иметь доступ к межсетевому экрану, работать под управлением операционной системы, для которой реализован удаленный интерфейс и поддерживать стек протоколов TCP/IP. Более того, удаленное управление предоставляет возможность менеджеру с одной рабочей станции контролировать и настраивать несколько межсетевых экранов . Просмотр информации о сессии
В любой момент Вы можете просмотреть информацию об активном сеансе управления. Для этого существует окно, содержащее полезную информацию, например, такую как имя регистрации, полное имя и права пользователя, который управляет межсетевым экраном, номер версии и реализации межсетевого экрана. Показывается также время соединения и период его активизации. Чтобы открыть это окно, необходимо выполнить следующие действия: Выберите опцию Соединение в главном окне Выберите пункт Информация Proxy в межсетевом экране Aker
Межсетевой экран Aker поддерживает прозрачные proxy сервера для сервисов Telnet и SMTP и непрозрачные proxy сервера для сервисов, доступных через WWW броузер (FTP, Gopher, HTTP и HTTPS). Для использования непрозрачных proxy серверов необходим клиент, поддерживающий работу через proxy. К таким клиентам относятся Netscape Navigator(Tm) и Internet Explorer (Tm). Прозрачные proxy и контексты
Межсетевой экран Aker представляет новую разработку, связанную с прозрачными proxy - контексты. Для их понимания проанализируем сначала структуру сети, где они могут использоваться: А , В и С , и пусть сети А и В принадлежат двум отделениям одной и той же компании, а сеть С представляет Интернет. Предположим, что для сетей А и В существует общий SMTP сервер, служащий для приема и отправки электронной почты. Схематически ситуация изображена на рисунке: В и С к сети А . Когда сеть В посылает e-mail в А, она использует SMTP сервер как relay, между тем, для сети С это не разрешено. Желательно, кроме того, ограничить максимальный размер сообщений, приходящих из сети С, чтобы избежать атак типа "отказ в обслуживании", основанных на недостатке дискового пространства, но в то же время не ограничивать размер сообщений, приходящих от сети В . В в А , а другой - из С в А . Прозрачные proxy сервера
Aker представляет новую концепцию межсетевого экрана, использующего прозрачные proxy сервера. Их можно использовать без какой-либо модификации клиентов и серверов, поскольку ни один из них не должен знать о существовании proxy сервера. Работа с proxy серверами
Эта глава содержит все необходимые сведения о принципах работы proxy серверов в межсетевом экране Aker. Особенности каждого proxy сервера обсуждаются в следующих главах. Работа WWW proxy межсетевого экрана Aker с кэш-сервером
Межсетевой экран Aker не обеспечивает кэширования запросов в своем WWW proxy, однако его можно настроить для работы с любым кэш-сервером, использующим стандартные механизмы. Кэш-сервер может быть запущен на том же хосте, на котором установлен межсетевой экран или на другом хосте. Пакетный фильтр с контролем состояния ) таким образом, чтобы хост, на котором запущен кэш-сервер, был единственной машиной, имеющей доступ к WWW сервисам и клиенты не имели бы право напрямую к нему обращаться. После этого необходимо настроить все клиентские хосты для работы через WWW proxy межсетевого экрана, а также настроить сам межсетевой экран для работы с кэш-сервером. Редактирование параметров WWW proxy
Для использования WWW proxy необходимо указать некоторые параметры, определяющие основные характеристики его работы. Эти определения производятся в окне настройки WWW proxy. Для получения доступа к этому окну надо выполнить следующие шаги: Выбрать меню Сервера в главном окне Выбрать опцию WWW Окно настройки параметров WWW proxy Кнопка Да закрывает окно настройки WWW proxy и сохраняет все изменения. Кнопка Отменить закрывает окно настройки и отбрасывает все сделанные изменения. Кнопка Помощь показывает окно помощи по данному разделу. Значения параметров: Кэш Разрешить кэш: Эта опция определяет, будет ли proxy перенаправлять свои запросы кэш-серверу. Если эта опция установлена, все полученные запросы будут передаваться кэш-серверу, на определенный IP адрес и порт. Если нет, WWW proxy будет сам обрабатывать все запросы. IP : Это поле определяет IP адрес кэш-сервера, которому будут передаваться все запросы, если установлена опция Разрешить кэш. Порт : Это поле определяет порт кэш-сервера, которому будут передаваться все запросы, если установлена опция Разрешить кэш.Настройки Тайм-аут чтения: Этот параметр определяет максимальное время в секундах, в течение которого proxy ждут запроса клиента с момента установления нового соединения. Если этот интервал времени заканчивается, а запроса от клиента не поступает, соединение закрывается. Тайм-аут ответа: Этот параметр определяет максимальное время в секундах, в течение которого proxy ждет ответа на запрос, посланный на удаленный WWW сервер или в кэш-сервер, если установслена опция Разрешить кэш . Если за это время от сервера не приходит ответ, соединение закрывается, а клиент получает сообщение об ошибке. HTTPS тайм-аут: Этот параметр определяет максимальное время в секундах, в течение которого proxy может ждать ответа сервера для HTTPS соединений, Число процессов: Это поле определяет число процессов обработки в WWW proxy, которые остаются активными в ожидании соединений.
WWW WWW профиль по умолчанию: Определяет имя профиля доступа WWW, которое используется для контроля доступа всех пользователей (в случае, когда не производится аутентификация пользователей) или пользователей, которые не относятся к этому профилю (в случае, когда производится аутентификация пользователей). Аутентификация HTTP: Это поле дает (или не дает) возможность производить аутентификацию пользователей в WWW proxy. Если эта опция установлена, каждый раз, когда пользователь хочет начать сеанс, у него запрашивается идентификтор и пароль, и сеанс начнается, только если пользователь будет аутентифицирован каким-либо аутентификатором. Контроль доступа , которая откроет окно, в котором можно установить соответствие пользователей или групп с конкретными профилями.Окно контроля доступа WWW Контроль доступа в окне настройки WWW proxy, при установленной опции Аутентификация HTTP . Окно позволяет администратору установить соответствие между пользователями или группами, зарегистрированными в аутентификаторах, и профилями доступа WWW, зарегистрированными в межсетевом экране. Окно имеет следующий формат: Выделить аутентификатор, с которого вы хотите получить список пользователей или групп, нажав левой клавишей мыши на его имени в верхнем списке окна (если необходимого аутентификатора нет в списке, нужно добавить его в список аутентификаторов.
Настройка параметров аутентификации ). Выберите необходимого пользователя или группу с помощью соответствующих кнопок, расположенных в поле Вид . Нажмите левой клавишой мыши на имени пользователя или группы, для которых устанавливается соответствие с профилем, в списке Группы/Пользователи , расположенном ниже списка аутентификаторов. Нажмите левой клавишей мыши на имени профиля в списке Профиль доступа WWW , который будет связан с выделенным пользователем/группой. Нажмите кнопку Добавить . Соответствие между пользователем/группой и профилем будет показано в списке в нижней части окна. Выберите необходимое соответствие в списке в нижней части окна. Нажмите клавишу удаления. Выделите перемещаемое соответствие. Нажмите на одну из кнопок в форме стрелки справа от списка. Кнопка со стрелкой вверх переместит выделенное соответствие на одну позицию вверх, а кнопка со стрелкой вниз - на одну позицию вниз. Редактирование списка правил с использованием GUI
Для получения доступа к окну настройки правил фильтрации вам нужно: Выбрать меню Настройка в главном окне Выбрать опцию Правила фильтрации Окно правил фильтрации Клавиша Да обновляет список правил и делает его сразу активным. Клавиша Отменить отбрасывает все модификации и окно закрывается. Клавиша Помощь показывает окно помощи с подсказками по данному разделу. Если установлена опция Показать все объекты , будут высвечены все параметры фильтрации. В противном случае будут показаны только два первых. Указание: если эта опция не установлена, а правило имеет больше двух объектов в полях источника, назначения или сервисах, то в каждом из полей, содержащем больше двух объектов, будет показана направленная вниз стрелка.Полоска прокрутки с правой стороны используется для просмотра правил, которые не помещаются в окне. Если выделить правило, для которого описаны комментарии, то они будут показаны в нижней части окна. Добавить: Эта опция позволяет включить в список другое правило. Если выделено какое-либо правило, новое правило вставляется перед выделенным правилом под его номером. В противном случае новое правило включается в конец списка. Удалить: Эта опция удаляет выделенное правило из списка. Редактировать: Эта опция открывает окно редактирования для выделенного правила. Копировать: Эта опция копирует выделенное правило в буфер. Вырезать: Эта опция удаляет выделенное правило из списка и копирует его в буфер. Вставить: Эта опция копирует правило из буфера в список. Если правило выделено, то новое правило будет вставлено на перед выделенным правилом на его позицию. Если правило не выделено, то новое будет скопировано в конец списка. Отменить выделение: Эта опция отменяет выделение ранее выделенного правила и снова показывает меню. Это очень полезно, когда существует большое число правил и нужно включить или вставить правило в конец списка.Указание: все эти опции, за исключением опции отменить выделение , можно выполнять через инструментальное меню, расположенное в верхней части окна. В этом случае сначала выделите правило, нажав на нем левой клавишей мыши, а затем выберите нужную опцию. Окно свойств одного правила Объекты источника: Это поле определяет объекты, адреса которых будут сравниваются с адресом источника IP пакетов. Объекты назначения: Это поле определяет объекты, адреса которых будут сравниваются с адресом назначения IP пакетов. Сервисы: Это поле описывает сервисы, используемые в правиле. Интерфейс: Поле определяет разрешенный интерфейс для входящих пакетов. Значение любой отменяет проверку по этому полю. Если интерфейс выбран, то будут приниматься пакеты, приходящие только от этого интерфейса. Для выделения интерфейса нужно только нажать на направленной вниз стрелке сбоку от поля. После этого система покажет список всех сетевых интерфейсов, опознанных межсетевым экраном. Статистика: Это поле определяет, какое действие будет выполняться системой, когда пакет удовлетворяет данному правилу. Она состоит из нескольких опций, которые можно выделять независимо. Значения этих опций таковы: Статистика : Если эта опция установлена, то все пакеты, удовлетворяющие данному правилу, будут регистрироваться в системном журнале. Почта : Если эта опция установлена, то по электронной почте будет посылаться одно сообщение каждый раз, когда пакет удовлетворяет правилу (настройка адреса электронной почты рассматривается в главе 4 Настройка параметров системы). Прерывание : Если эта опция установлена, то для каждого пакета, удовлетворяющего данному правилу, будет посылаться SNMP прерывание (настройка параметров прерываний будет рассмотрена в главе 4 Настройка параметров системы). Программа : Если эта опция установлена, то каждый раз, когда пакет удовлетворяет данному правилу, будет выполняться описанная администратором программа (настройка имени выполняемой программы будет рассмотрена в главе 4 Настройка параметров системы). Тревога: Если эта опция установлена, то каждый раз, когда пакет удовлетворяет данному правилу, межсетевой экран покажет окно предупреждений. Это окно появится на хосте, на котором открыт удаленный графический интерфейс и, если возможно, будет звучать предупреждающий сигнал. Если графический интерфейс пользователя не открыт, то не появится никаких сообщений, а эта опция не будет учитываться. Дйствие правила: Это поле определяет, какое действие будет выполнено для всех пакетов, удовлетворяющих данному правилу. Оно состоит из следующих опций: Пропускать: Эта опция означает, что пакетам, удовлетворяющим правилу, разрешается пройти через межсетевой экран. Не пропускать: Эта опция означает, что пакеты, удовлетворяющие правилу, не пройдут через межсетевой экран, причем хосту источника будет посылаться ICMP destination unreachable сообщение (хост назначения недоступен). Эта опция не работает для некоторых типов ICMP сообщений. Отбрасывать: Эта опция означает, что пакеты, удовлетворяющие данному правилу, не пройдут через межсетевой экран, при этом не будут посылаться какие-либо пакеты хосту источника. Комментарий: Поле комментариев к правилу. Оно может быть полезным для хранения информации об использовании правила. Временная таблица: Эта кнопка позволяет получить доступ к окну временной таблицы активного правила . Если нажать эту кнопку, появится следующее окно: Регистрация объектов с использованием GUI
Для доступа к окну регистрации объектов нужно сделать следующее:Выбрать меню Регистрация в главном окне Выбрать опцию Объекты и сервисы Окно определения объектов На правой стороне окна расположены пять иконок, представляющих пять возможных типов объектов. Под ними помещен список, из которого можно определить тип объекта дл просмотра или создания. Указание : Для выбора типа объекта вы можете или использовать иконку, или опцию в списке.Клавиша Да закрывает окно. Клавиша Помощь открывает окно помощи для данного окна. Если отмечена опция Сортировать , список будет показан в алфавитном порядке. Выделите тип создаваемого объекта, выбрав соответствующую иконку или название Правой клавишей мыши и выделите опцию Добавить во всплывающем меню или выберите иконку создания объекта в инструментальном меню в верхней части окна. Все, то как иконка, так и опция меню создания объекта будут недоступны.Выделите редактируемый объект (если необходимо, выберите сначала соответствующий тип объекта). Правой клавишей мышии выделите соответственно опцию Редактировать или Удалить во всплывающем меню или нажмите на иконке редактирования или удаления в инструментальном меню. Регистрация объектов
В этой главе показано, что представляют собой объекты, для чего они используются и как их регистрировать в межсетевом экране Aker. Резервные копии межсетевого экрана
В межсетевом экране Aker Version 3.01 предусмотрена возможность создания резервных копий и полное удаленное восстановление его конфигурации. Этот вопрос обсуждался в главе 20 Использование средств графического интерфейса. Рекомендуется проводить подобную процедуру, так как она очень проста в и дает возможность сохранить все настройки межсетевого экрана на удаленном хосте. Однако можно создавать резервные копии вручную, как это делается в версии 2.0 и предыдущих версиях. В этом разделе показано, как сделать вручную резервную копию, а также как восстановиться с нее. Руководство Администратора
Введение 1-0 Инсталляция 1-1 Требования к аппаратному и программному обеспечению 1-2 Инсталляция межсетевого экрана 1-3 Инсталляция удаленного интерфейса на платформах Windows 95, 98 или NT 2-0 Использование удаленного интерфейса 2-1 Запуск удаленного интерфейса 2-2 Завершение удаленного управления 2-3 Изменение паролей пользователей 2-4 Просмотр информации о сессии 2-5 Использование подсказки в режиме он-лайн 3-0 Управление пользователями межсетевого экрана 3-1 Использование графического интерфейса 3-2 Использование интерфейса командной строки 4-0 Настройка параметров системы 4-1 Использование графического интерфейса пользователей 4-2 Использование интерфейса командной строки 5-0 Регистрация объектов 5-1 Введение 5-2 Регистраци объектов с использованием GUI 5-3 Использование интерфейса командной строки 6-0 Пакетный фильтр с контролем состояния 6-1 Введение 6-2 Редактирование списка правил с использованием GUI 6-3 Использование интерфейса командной строки 7-0 Настройка трансляции сетевых адресов 7-1 Введение 7-2 Использование GUI 7-3 Использование интерфейса командной строки 8-0 Создание защищенных каналов 8-1 Введение 8-2 Использование GUI 8-3 Использование интерфейса командной строки 9-0 Интегрирование модулей межсетевого экрана 9-1 Движение пакетов в межсетевом экране Aker 9-2 Интегрирование фильтра с трансляцией сетевых адресов 9-3 Интегрирование фильтра с трансляцией сетевых адресов и шифрованием 10-0 Защита от SYN атак 10-1 Введение 10-2 Использование GUI 10-3 Использование интерфейса командной строки 11-0 Настройка реакции системы 11-1 Использование GUI 11-2 Использование интерфейса командной строки 12-0 Просмотр статистики системы 12-1 Использование GUI 12-2 Формат и значение полей в файлах статистики 12-3 Использование интерфейса командной строки 13-0 Просмотр системных сообщений 13-1 Использование GUI 13-2 Формат и значение полей в системных сообщених 13-3 Использование интерфейса командной строки 14-0 Просмотр и удаление соединений 14-1 Использование GUI 14- 2 Использование интерфейса командной строки 15-0 Работа с proxy серверами 15-1 Введение 15-2 Инсталляция агента аутентификации в Unix 15-3 Инсталляция агента аутентификации в Windows NT 16-0 Настройка параметров аутентификации 16-1 Использование GUI 17-0 Настройка SMTP proxy 17-1 Использование GUI 18-0 Настройка Telnet proxy 18-1 Использование GUI 19-0 Настройка WWW proxy 19-1 Введение 19-2 Создание файлов доступа 19-3 Редактирование параметров WWW proxy 20-0 Использование средств графического интерфейса 20-1 Резервное сохранение 20-2 Восстановление 20-3 Реверсивный DNS 20-4 Дата и время 20-5 Отчеты 21-0 Системные файлы и резервирование Приложение A - Системные сообщения Приложение B - Вопросы и ответы Приложение C - Авторские права и ограничения Приложение Д - Что нового в версии 3.01 Синтаксис файла конфигурации для агента аутентификации
После копирования установленного агента в выбранный каталог необходимо создать файл конфигурации с адресами межсетевых экранов, которые могут использовать этот файл, и с паролями каждого из них. Файл имеет текстовый формат и может быть создан любым редактором. IP адрес межсетевого экрана Aker, использующего агента, один или более пробелов или символов табуляции, пароль доступа, который применяется межсетевым экраном для соединения. Строки, начинающиеся с символа #, а также пустые строки игнорируются. /etc/fwagaut.cfg , однако, можно использовать другие название и директорию, указав их агенту при старте. Более подробно это описано в следующем разделе.Системные файлы и резервные копии
В этой главе показано, где находятся и для чего используются файлы, входящие в состав межсетевого экрана Aker версии 3.01. Системные файлы
В этом разделе показано, какие системные файлы используются межсетевым экраном. Это очень важно для создания резервных копий и диагностики возможных проблем с работой межсетевого экрана. SNMP агент
Copyright © 1996,1997 Wes Hardaker and the University of California at Davis SNMP библиотека
Copyright © 1997 by Carnegie Mellon University Сохранение резервной копии
Эта опция позволяет сохранить полную конфигурацию межсетевого экрана в хосте, на котором запущен удаленный интерфейс. В случае аварии эта конфигурация может быть легко восстановлена. Выберите меню Средства в главном окне Выберите опцию Резервирование Окно сохранения резервных копий : Сохранить , которая открывает окно, в котором можно указать название и путь к сохраняемому файла. Если сохранять копию не нужно, нажмите кнопку Закрыть . Сообщения модуля трансляции адресов
Формат записи: - Описание полей: Date: Дата создания записи. Time: Время создания записи. (Repetition): Число последовательных повторов записи. Это поле указывается в скобках. Protocol: Тип протокола пакета. Это может быть TCP или UDP. Source IP: IP адрес источника пакета. Source port: Номер порта источника пакета. Translated IP: IP адрес, в который был транслирован адрес источника пакета Translated port: Порт, в который был транслирован порт источникаПримеры: Создание правил фильтрации для межсетевого экрана Aker
Создавать правила фильтрации для межсетевого экрана Aker просто. Все описания IP адресов, масок, протоколов и портов производятся при создании объектов (смотрите главу 5 Регистрация объектов). Это облегчает создание правил, так как при этом не приходится беспокоиться, какой порт использует определенный сервис или какие IP адреса используются в сети. Кроме того, все наиболее распостраненные в Интернет сервисы описаны заранее, что позволяет избежать напрасной траты времени на поиск соответствующих значений. Создание правил фильтрации в простом пакетном фильтре
Перед тем как рассказать, как настраивать пакетный фильтр межсетевого экрана Aker, полезно пояснить, как описывать правила в обычном пакетном фильтре. Создание профилей доступа
Настройку WWW proxy можно рабить на два этапа: сначала создаются универсальные профили доступа, а затем устанавливается соответствие между этими профилями и группами пользователей. Выбрать меню Регистрация в главном окне Выбрать опцию Профиль доступа WWWОкно профилей доступа WWW Кнопка Да закрывает окно профилей. Кнопка Помощь показывает окно помощи по данному разделу. Полоса прокрутки с правой стороны используется для просмотра профилей, не уместившихся в окне. Добавить: Эта опция позволяет добавить новый профиль в список. Если выделен какой-либо профиль, новый вставляется на место выделенного. Во всех других случаях он добавляется в конец списка. Удалить : Эта опция удаляет выделенный профиль из списка Редактировать: Эта опция открывает окно свойств для выделенного профиля. Копировать: Эта опция копирует выделенный профиль в буфер. Вырезать: Эта опция удаляет выделенный профиль из списка и копирует его в буфер. Вставить: Эта опция копирует профиль из буфера в список. Если профиль выделен, новый будет помещен на место выделенного. Во всех прочих случаях он копируется в конец списка. Указание: Можно получить доступ ко всем этим опциям через инструментальное меню в верхней части окна.
Редактирование параметров WWW proxy ).Окно свойств для профилей доступа WWW Общие опции профиля: Имя: Имя профиля доступа. Это имя будет фигурировать в списке профилей (показанном выше) и в окне настройки WWW proxy. Не может существовать двух профилей с одинаковыми именами. Разрешить URL с IP адресами: Если эта опция задана, будет разрешен доступ к URLs с IP адресами вместо имен (например, http://127.0.0.1/index.html). Если эта опция не установлена, доступ возможен только к URL, заданным с помощью имен. Блокировать: Это поле определяет специальную фильтрацию для WWW страниц, блокируя (или нет) те характеристики, которые считаются опасными для некоторых систем. Она в свою очередь состоит из трех опций, которые можно установить независимо: Javascript , Java и Active X .
Опции фильтрации WWW Действие по умолчанию , в котором можно определить действие, выполняемое, в случае когда адрес, к которому клиент хочет получить доступ, не соответствует никакому правилу фильтрации: если установлена опция разрешать, доступ будет разрешен, если опция не разрешать, межсетевой экран откажет в доступе. Чтобы выполнить любое действие на конкретном правиле, нажмите правой клавишей мыши на этом правиле. Откроется следующее меню (это меню появляется всегда, если нажать правой клавишей мыши, даже если нет выделенных правил. В этом случае будут доступны только опции Добавить и Вставить). Добавить: Эта опция позволяет добавить новое правило в список. Если выделено какое-либо правило, новое вставляется на место выделенного правила. Во всех других случаях новое правило добавляется в конец списка. Удалить : Эта опция удаляет выделенное правило из списка. Редактировать: Эта опция открывает окно редактирования для выделенного правила. Копировать: Эта опция копирует выделенное правило в буфер. Вырезать: Эта опция удаляет выделенное правило из списка и копирует его в буфер. Вставить: Эта опция копирует правило из буфера в список. Если правило выделено, новое будет копироваться на место выделенного.
Указание: Ко всем этим опциям можно получить доступ через инструментальнное меню, расположенное над списком. В этом случае сначала выделите правило, нажав на нем левой клавишей мыши, а затем выберите необходимую опцию. Порядок следования правил в списке очень важен. Как только межсетевой экран получает запрос на доступ к некоторому адресу, он просматривает список с самого начала в поисках правила, которому удовлетворяет адрес. Обнаружив его, он начинает выполнять действие, соответствующее этому правилу.Окно редактирования для WWW правил Действие: Определяет действие, которое выполняется для всех адресов, которые соответствуют правилу. Значение пропускать позволяет получить доступ к URL. Значение не пропускать запрещает доступ. Операция: Тип поиска, указанный пользователем, который выполняется с URL. Эта опция содержит следующие варианты выбора: Содержит : Выражение может находиться в любой позиции. Не содержит : URL не содержит выражения. Соответствует : URL должен в точности соответствовать выражению. Не соответствует : URL должен отличаться от выражения. Начинается с : URL должен начинаться с выражения. Не начинается с : URL не должен начинаться с выражения. Оканчивается : URL должен заканчиваться выражением. Не оканчивается на : URL не должен заканчиваться выражением. Текст: Подлежащее поиску выражение. Это поле содержит последовательный текст, который сравнивается с URL в соответствии с правилами, определенными в поле операция. Временная таблица Создание/редактирование хостов
Для регистрации объектов типа "хост" необходимо заполнить следующие поля:Имя: имя, которое будет использоваться межсетевым экраном для обращаения к данному хосту. Можно указывать это имя вручную или присваивать его автоматически. Опция Сгенерировать имя позволяет выбирать между двумя режимами работы; автоматическим (если она установлена), и ручнымAker, AKER и aker считаются различными.Иконка: это иконка, которая будет ассоциироваться с хостом. Для ее модификации надо нажать на графическое изображение значка. Тогда межсетевой экран покажет список всех возможных значков, представляющих хосты. Для выделения одного из них нужно нажать на его изображение и кнопку Да . Если вы не хотите модифицировать значок, то после просмотра списка достаточно нажать на кнопку Отменить .IP адрес: IP создаваемого хоста.Да . Для отмены создания хоста или сделанных модификаций щелкните на кнопке Отменить .Создать новый (недоступная во время редактирования). Если нажать на эту кнопке, появится форма создания хоста с заполненными полями. Этим способом можно быстро создавать большое число хостов.Создание / редактирование наборов
Для регистрации объекта типа "набор" необходимо заполнить следующие поля:Имя: Имя создаваемого набора. Опция Сгенерировать имя позволяет выбирать между двумя режимами работы ввода имени; автоматическим (если она установлена), и ручнымAker, AKER и aker считаются различными.Иконка: Это иконка, которая будет ассоциироваться с набором. Для ее модификации надо нажать на графическое изображение значка. Тогда межсетевой экран покажет список всех возможных значков, представляющих наборы. Для выделения одного из них нужно нажать на его изображение и кнопку Да . Если вы не хотите модифицировать значок, то после просмотра списка достаточно нажать кнопку Отменить .В окне размещаются два списка: верхний список показывает все хосты и сети, определенные в системе. Нижний список показывает, какие из этих хостов и сетей уже принадлежат набору. В правой стороне окна расположены два значка представляющие два типа объектов, которые можно добавить к набору - хосты и сети. Справа под значками помещается список, в котором можно выделить, следует ли показать на дисплее только хосты или только сети, или сразу оба объекта. Указание : Для выбора типа объекта можно нажать или на имя типа в списке или на соответствующий значок.Выберите добавляемый хост или сеть в верхнем списке окна (если необходимо, выбрав сначала соответствующий тип объекта). Нажмите кнопку Добавить . (только что добавленный объект будет помечен красным значком V для указания, что он теперь принадлежит набору) Выделить удаляемый хост или сеть из нижнего списка окна. Нажать кнопку Удалить . (удаляемый объект больше не будет помечен значком V) Да . Чтобы отменить создание набора или сделанные модификации, надо нажать кнопку Отменить Создать новый (недоступная во время редактирования). Если ее нажать, появится форма создания набора с заполненными полями. Этим способом можно быстро создавать большое число наборов.Создание защищенных каналов
В этой главе показано, как создавать защищенные коммуникационные каналы в Интернет. Эти каналы используются для подключения сетей через Интернет таким способом, чтобы информация, передаваемая через Интернет, была бы надежно защищена от чтения или модификации. Структура документа
Это руководство состоит из 21 главы и 4 приложений. В каждой главе описывается один из аспектов настройки продукта и общие вопросы по этому разделу. Типы аутентификации и алгоритмы шифрования
В настоящее время существуют различные алгоритмы аутентификации и шифрования. В этом разделе будут рассмотрены только те из них, которые поддерживаются межсетевым экраном Aker. Одним из параметров оценки прочности алгоритма является размер ключа. Чем большее количество бит содержится в ключе, тем больше можно составить всевозможных комбинаций, и тем сильнее, теоретически, данный алгоритм должен противостоять атакам. Алгоритмы аутентификации : MD5 SHA Алгоритмы шифрования: DES Triple DES или 3DES Традиционные proxy сервера
Чтобы хост мог воспользоваться сервисами, поддерживаемыми proxy, он должен знать об их существовании, т.е. должен знать, что вместо соединения с удаленным сервером, ему следует связаться с proxy и послать ему свой запрос. Трансляция и много -
Существуют два различных типа преобразования сетевых адресов: 1-1 и много - 1. Каждый из них обладает своими характерными особенностями. Для улучшения результатов обычно применяют их комбинацию.1-1 Много - 1 Трансляция сетевых адресов (NAT)
Я получаю сообщения о том, что заполнена таблица трансляции для TCP (или UDP) протокола; однако, при просмотре окна активных соединений видно, что число активных соединений в данный момент заметно меньше максимально допустимого значения, установленного в системе. В чем тут дело? Когда я пользуюсь транслятором сетевых адресов межсетевого экрана Aker с FTP, на дисплее появляются два соединения к одному и тому же хосту назначения, одно с моего хоста, а другое с межсетевого экрана. В чем дело? Как только я добавляю хост в серверную таблицу трансляции, все инициированные таким хостом соединения имеют адрес источника св соответствии с таблицей, кроме FTP соединений, которые имеют в качестве адреса источника глобальный виртуальный адрес. Что я делаю неправильно? Требования к аппаратному и программному обеспечению
Межсетевой экран Aker 3.01 работает под управлением операционной системы FreeBSD, версий 2.2.5 или 2.2.6, на платформах Intel или совместимых с ней. Поскольку система FreeBSD является бесплатной, она поставляется вместе с дистрибутивом межсетевого экрана Aker. Таким образом, все необходимое для его инсталляциии Aker находится на его дистрибутиве. Компьютер 486 DX2-66 или совместимый с ним. 16 Мбайт ОЗУ Дисковая память 500 Мбайт Монитор Удаление агента аутентификации для NT
Для упрощения процесса удаления агента аутентификации существует утилита, которая делает это автоматически. Для ее запуска нажмите меню Start, выделите группу Aker Firewall, и в этой группе опцию Remove authentication agent. Откроется следующее окно: Yes , для отмены удаления - кнопку No . Удаленное администрирование
Я пользуюсь удаленным администрированием через Интернет. Существует ли риск того, что мой пароль будет перехвачен? Я потерял пароль единственного администратора, зарегистрированного в системе. Существует ли способ его восстановления? /etc/firewall/fwadmin от имени пользователя root Установка агента аутентификации в Windows NT
Установка агента аутентификации в Windows NT очень проста. Для этого нужно смонтировать CD диск Aker Firewall 3.01 на хосте назначения или скопировать содержимое каталога с инсталлированным агентом из CD в какой-либо временный каталог в этом хосте. Затем надо нажать меню Start, выделить в нем оцию Run и ввести с клавиатуры в поле Open следующую команду: D:\agent\NT\install (если CD диск смонтирован на устройство, отличное от D , замените D соответствующей буквой). Программа сначала откроет окно, в котором следует подтвердить необходимость инсталляции. Для этого на вопрос о продолжении инсталляции надо ответить Yes. В этом случае появится следующее окно: Окно параметров инсталляции агента для Windows NT Simultaneous firewalls нужно ввести число межсетевых экранов, которые будут одновременно использовать аутентификатор (это число отлично от 1 только в случае, если число межсетевых экранов в сети, которые используют для аутентификации одного и того же агента, больше 1). Опция Start agent automatically on boot позволяет автоматически запускать агента при каждом перезапуске хоста. Если эта опция установлена, агент должен запускаться вручную. После заполнения всех значений необходимо нажать кнопку Next . Процедура инсталляции включает следующие действия: создание каталога с файлами агента и именем fwntaa , создание группы под названием Aker Firewall с опциями для настройки и удаления агента, и создание сервиса, называемого Aker Firewall Authentication agent. Этот сервис является обычным сервисом Windows NT, его можно остановить или запустить через Control Panal , опция сервисы. Важные замечания по работе агента для NT
Следует остановиться на двух важных моментах, связанных с правильным функционированием агента аутентификации для Windows NT: Необходимо, чтобы все пользователи, которые будут аутентифицироваться, имели полномочие Log on Locally на сервере, на котором запущен агент. Для проверки выполните следующие шаги: Запустите User Manager for Domain. В нем выберите меню Policies и выделите опцию User Rights. Выберите опцию Log on locally и добавьте все группы или пользователей, которые будут проходить аутентификацию. Для упрощения процедуры можно использовать группу Everyone. Опция User must change password at next logon не должна быть установлена, в противном случае пользователь не сможет пройти аутентификацию Восстановление с резервной копии
Эта опция позволяет восстановить с резервной копии полной конфигурации межетевого экрана. Для восстановления с резервной копии надо сделать следующее:: Выбрать меню Средства в главном окне Выбрать опцию Восстановление Окно восстановления с резервной копии: Это окно позволяет выбрать имя файла, из которого восстанавливается конфигурация. После указания имени межсетевой экран читает все содержимое файла, проверяет правильность его содержимого и в случае отсутствя каких-либо ошибок открывается следующее окно (если в файле есть ошибки, будет показано сообщение об ошибке]: Кнопка Восстановить восстанавливает копию и немедленно обновляет конфигурацию межсетевого экрана. Кнопка Закрыть закрывает окно без восстановления с резервной копии. Кнопка Помощь открывает окно помощи по данному разделу Восстановление в случае аварии
В случае потери данных необходимо сделать следующее: В случае потери конфигурационных данных или файлов статистики и событий достаточно восстановить одну из упомянутых выше копий. -s команды boot при загрузке операционной системы boot:) или "убейте " все запущенные в межсетевом экране процессы (это можно сделать с помощью команды kill `ps -ax | grep fw | grep -v grep | cut -c 1-5` ). tar , необходимо выполнить следующую последовательность команд (команды должны выполняться пользователем root):cd / tar xvfz /conf.tgz tar xvfz /log.tgz Если произошла потеря всей информации, сначала необходимо проверить, цела ли операционная система. В случае каких-либо сомнений инсталлируйте заново FreeBSD. После этого инсталлируйте межсетевой экран Aker, используя все процедуры, описанные в главе 1 Инсталляция . Когда все заработает, восстановите резервные копии конфигурационных файлов и файлов статистики и событий, как показано выше. Выполняемые программы
Программы, которые могут использоваться администраторами межсетевого экрана Aker /etc/firewall/fwadmin - интерфейс командной строки для администрирования пользователей /etc/firewall/fwacao - интерфейс командной строки для настройки реакции системы /etc/firewall/fwchave - интерфейс командной строки для определения ключа активизации системы /etc/firewall/fwconex - интерфейс командной строки для доступа к активным соединениям /etc/firewall/fwconver - интерфейс командной строки для настройки трансляции адресов /etc/firewall/fwcripto - интерфейс командной строки для настройки защищенных каналов /etc/firewall/fwent - интерфейс командной строки для создания объектов /etc/firewall/fwflood - интерфейс командной строки для настройки защиты от SYN атак /etc/firewall/fwlog - интерфейс командной строки для доступа к файлам статистики и событий /etc/firewall/fwpar - интерфейс командной строки для настройки общих параметров /etc/firewall/fwregra - интерфейс командной строки для настройки пакетного фильтра /etc/firewall/fwupgrade - Утилита для конвертирования конфигурационных файлов межсетевого экрана Aker версии 3.0 в формат версии 3.01 Программы, которые НЕ МОГУТ напрямую использоваться администратором /kernel - модифицированное ядро операционной системы с межсетевым экраном Aker /usr/sbin/syslogd - модифицированный syslog демон для межсетевого экрана Aker /etc/firewall/fwauthd - сервер аутентификации пользователей /etc/firewall/fwconfd - коммуникационный сервер для удаленных интерфейсов /etc/firewall/fwdnsd - сервер разрешения имен для удаленных интерфейсов /etc/firewall/fwinit - программа инициализации межсетевого экрана Aker /etc/firewall/fwftppd - FTP proxy для трансляции адресов /etc/firewall/fwhttppd - непрозрачный WWW proxy /etc/firewall/fwresolv - клиент разрешения имен для удаленных интерфейсов /etc/firewall/fwtrap - модуль для посылки SNMP прерываний /etc/firewall/fwsmtppd - прозрачный SMTP proxy /etc/firewall/fwsrvlog - сервер статистики и событий /etc/firewall/fwsyncd - сервер, отвечающий за генерацию ключа и синхронизацию /etc/firewall/fwtelnetd - прозрачный Telnet proxy /etc/firewall/snmpd - SNMP агент Записи пакетного фильтра или криптографического модуля
Любая запись может появляться с предшествующим ей специальным сообщением. Полный список всех возможных сообщений и их смысл приводится в Приложении А.TCP протокол Формат записей : - <(Repetition)> <(Status)> Описание полей: Date: Дата создания записи. Time: Время создания записи. (Repetition): Число последовательных повторов записи. Это поле указывается в скобках. (Status): Это поле указывается в скобках и состоит из одного из трех независимых символов, означающих:A: Аутентифицированный пакет E: Зашифрованный пакет S: Пакет использует обмен ключей через SKIP протоколAction: Поле описывает действие системы в отношении пакета. Возможны следующие значения: A: Пакет был пропущен межсетевым экраном. D: Пакет был блокирован. R: Пакет был отброшен.Source IP: IP адрес источника пакета. Source port: Номер порта источника пакета. Destination IP : IP адрес назначения пакета. Destination port: Номер порта назначения пакета. Flags: Флаги TCP протокола , присутствующие в пакете. Это поле содержит один из шести независимых символов. Наличие символа показывает наличие соответствующего флага в пакете. Символы имеют следующие значения: S: SYN F: FIN A: ACK P: PUSH R: RST (Reset) U: URG (Urgent Pointer)Interface: Сетевой интерфейс, из которого прибыл пакет.Примеры: UDP протокол Формат записи: - <(Repetition)> <(Status)> Описание полей: Date: Дата создания записи. Time: Время создания записи. (Repetition): Число последовательных повторов записи. Это поле указывается в скобках. (Status): Это поле указывается в скобках и состоит из одного из трех независимых символов, означающих: A: Аутентифицированный пакет E: Зашифрованный пакет S: Пакет использует обмен ключей через SKIP протоколAction: Поле описывает действие системы в отношении пакета. Возможны следующие значения: A: Пакет был пропущен межсетевым экраном. D: Пакет был блокирован R: Пакет был отброшенSource IP: IP адрес источника пакета. Source port: Номер порта источника пакета. Destination IP : IP адрес назначения пакета. Destination port: Номер порта назначения пакета. Interface: Сетевой интерфейс, из которого прибыл пакет.Примеры: ICMP протокол Формат записи: - <(Repetition)> ICMP <(Status)> Описание полей: Date: Дата создания записи. Time: Время создания записи. (Repetition): Число последовательных повторов записи. Это поле указывается в скобках. (Status): Это поле указывается в скобках и состоит из одного из трех независимых символов, означающих: A: Аутентифицированный пакет. E: Зашифрованный пакет. S: Пакет использует обмен ключей через SKIP протокол.Action: Поле описывает действие системы в отношении пакета. Возможны следующие значения: A: Пакет был пропущен межсетевым экраном. D: Пакет был блокирован. R: Пакет был отброшен.Source IP: IP адрес источника пакета. Destination IP : Номер порта источника пакета. Type of Service :Тип ICMP сервиса пакета. Interface: Сетевой интерфейс, из которого прибыл пакет.Примеры: Другие протоколы Формат записи: - <(Repetition)> Описание полей: Date: Дата создания записи. Time: Время создания записи. (Repetition): Число последовательных повторов записи. Это поле указывается в скобках. (Status): Это поле указывается в скобках и состоит из одного из трех независимых символов, означающих: A: Аутентифицированный пакет. E: Зашифрованный пакет. S: Пакет использует обмен ключей через SKIP протокол.Action: Поле описывает действие системы в отношении пакета. Возможны следующие значения: A: Пакет был пропущен межсетевым экраном. D: Пакет был блокирован. R: Пакет был отброшен.Protocol: Имя протокола пакета. (Если межсетевой экран не может найти имя протокола, вместо него будет указан его номер.) Source IP: IP адрес источника пакета. Destination IP : IP адрес назначения пакета. Interface: Сетевой интерфейс, из которого прибыл пакет.Примеры :Запуск агента аутентификации
При запуске агента аутентификации можно использовать следующие параметры: /usr/local/bin/fwagaut -c /usr/local/etc/fwagaut.cfg /usr/local/bin/fwagaut #kill -1 pid #ps -ax | grep fwagaut на BSD системах, или #ps -ef | grep fwagaut на SystemV системах. Запуск удаленного интерфейса
Для запуска графического интерфейса вы должны выполнить следующие действия: Выберите меню Пуск , в нем группу Aker Firewall , внутри нее нажмите кнопкуAker Firewall 3.01 Вы увидите следующее окно:
Показанное выше окно является главным окном межсетевого экрана Aker, из которого доступы все опции настройки. Оно состоит из 7 меню, которые описываются ниже: Соединение Регистрация Настройка Сервера Вид Средства Использование средств графического интерфейса .Помощь Выберите меню Соединение в главном окне Выберите опцию Соединение Окно меню Соединение Удаленное соединение необходимо ввести IP адрес или имя хоста, который необходимо администрировать, в поле Регистрационное имя - имя пользователя, в поле Пароль - пароль пользователя ( на экране пароль будет высвечиваться в виде звездочек "* "). После заполнения всех полей нажмите клавишу Да для установления соединения.
Ошибка разрешения имени Сетевая ошибка или соединение закрыто сервером Убедитесь, что процесс, отвечающий за удаленное соединение, запущен на межсетевом экране (откройте окно с интерпретатором shell на межсетевом экране и наберите команду #ps -ax | grep fwconfd | grep -v grep . Если появится строка, содержащая слово fwconfd, необходимый процесс запущен, если нет - наберите команду #/etc/firewall/fwconfd от имени root и попытайтесь установить новое соединение. Проверьте, зарегистрирован ли в системе пользователь, пытающийся установить соединение, и правилен ли его пароль (чтобы это сделать, воспользуйтесь локальным модулем управления. Загляните в главу 6 Пакетный фильтр с контролем состояния). Проверьте правильность работы сети. Одним из способов сделать это является использование команды ping ( не забудьте прописать на межсетевом экране правило, разрешающее использование ICMP ECHO-REQUEST и ECHO-REPLAY сервисов для тестируемого хоста.Чтобы узнать, как это делается, смотрите главу 6 Пакетный фильтр с контролем состояния). Если сеть все-таки не работает, значит в ней есть проблемы и их надо устранить перед тем как пытаться установить удаленное управление. Если сеть работает, переходите к следующему пункту. Просмотрите, прописано ли правило, разрешающее доступ с хоста, с которого вы хотите установить соединение с межсетевым экраном (TCP, порт 1020). Если такого правила нет, создайте его (чтобы узнать, как это делается, смотрите главу 6 Пакетный фильтр с контролем состояния). Защита от SYN атак
В этой главе показано, как настраивать в межсетевом экране Aker защиту от SYN атак. Завершение удаленного управления
Существуют два пути завершения удаленного управления: закрытие сессии или окончание работы удаленного графического интерфейса. Выберите меню Соединение в главном окне Выберите опцию Выход Да для окончания сессии или Нет для ее сохранения. Для окончания работы программы Вам необходимо: Выберите меню Сессии в главном окне Выберите опцию Выход Да для закрытия сессии и выхода из программы или Нет для ее сохранения. Если активных сессий больше нет, программа завершит работу без последующего подтверждения. Значения полей в окне активных соединений
Каждая строка списка активных соединений представляет одно соединение. Поля имеют следующие значения: IP адрес источника: IP адрес хоста, который инициирует соединение. Порт источника: Порт, используемый хостом источника для данного соединения. IP адрес назначения: IP адрес хоста, с которым установлено соединение. Порт назначения: Порт, с которым установлено соединение. Этот порт обычно соответствует определенному сервису. Старт: Время образования соединения. Занят: Период неактивности соединения ( в минутах и секундах). Текущее состояние: Это поле выводится на дисплей только в случае TCP соединений. Оно представляет состояние соединения в момент вывода на экран. Поле может состоять из следующих значений: SYN послан: Указывает, что пакет с запросом о соединении был послан (пакет с SYN-флагом), но сервер еще не ответил на него. Обмен SYN : указывает, что был послан пакет с запросом о соединении и получен ответ сервера с подтверждением об установлении соединения. Установлено: Указывает, что соединение установлено. Слушает порт: Указывает, что сервер слушает данный порт (listen) в ожидании соединения от клиента. Подобное состояние возникает только для соединений передачи данных в FTP сессии.