NGFW Континент 4

Построение VPN

Введение в VPN-соединения

  • технология VPN позволяет объединить ЛВС, сегменты ЛВС или отдельные ПК в единую защищённую виртуальную сеть
  • описание процесса передачи данных по туннелю:
    • хост А посылает пакет хосту В, расположенному в удалённом сегменте ЛВС;
    • пакет от хоста А попадает на УБ_А; УБ_А шифрует этот пакет и передаёт в туннель;
    • пакет по туннелю приходит на УБ_В и расшировывается;
    • узел УБ_В передаёт расшифрованный пакет хосту В
  • используется симметричное шифрование;
  • для шифрования используется алгоритм ГОСТ Р 34.12-2018 (Магма) в режиме гаммирования с обратной связью по шифротексту
  • имитозащита данных осуществляется на базе ГОСТ Р 34.12-2018 (Магма) в режиме выработки имитовставки
  • в Континент 4 поддерживаются следующие топологии организации VPN: ″звезда″, ″полносвязная сеть″ и комбинация этих топологий
  • требуется наличие лицензий на все УБ, участвующие в передаче зашифрованного трафика (в лицензиях должна быть отмечена функция L3VPN и/или СД)

Настройка L3VPN

  • настройка L3VPN выполняется в следующем порядке:
    • создание объектов ЦУС: сетевые объекты, сервисы, DNS-имена, Пользователи;
    • настройка интерфейсов узлов безопасности: установка назначения, адресации и топологии, при необходимости, MTU и установки флага DF;
    • формирование правил фильтрации;
    • настройка топологии VPN: в Менеджере конфигурации перейти ″Виртуальные частные сети″ -> ″L3VPN″, выбрать ″Виртуальная частная сеть″ и настроить эту сеть;
    • проверка работоспособности VPN-туннеля

VPN с аппаратным ускорением шифрования

L2VPN. Криптокоммутаторы.

Удалённый доступ (Remote Access VPN)

  • для организации удалённого доступа используется программный компонент ″Сервер доступа″ и дополнительное ПО ‐ ″Континент АП″ или ″Континент ZTN″;
  • удалённый пользователь, зарегистрированный на нескольких серверах доступа, может к любому из этих серверов; одновременное подключение к двум серверам доступа не поддерживается;
  • аутентификация пользователя осуществляется по паролю или по сертификату X.509 v.3; после установки соединения, пользователь получает маршруты и трафик передаётся через TLS;
  • Компоненты удалённого доступа
  • Настройка удалённого доступа

Схемы работы криптоускорителя в полносвязной сети

Шифрование с предварительной проверкой пакетов на межсетевом экране. Схема 1

Шифрование с предварительной проверкой пакетов на межсетевом экране. Схема 2

Шифрование без предварительной проверки пакетов на межсетевом экране. Схема 3

<< >>

Схемы работы криптоускорителя. Централизованная топология.

Шифрование без предварительной проверки пакетов на межсетевом экране. Схема 1

Шифрование без предварительной проверки пакетов на межсетевом экране. Схема 2

Шифрование с предварительной проверкой пакетов на межсетевом экране. Схема 3

<< >>

Режимы работы виртуального коммутатора

  • По умолчанию - для предотвращения появления петель маршрутизации и зацикливания пакетов используется метод расщепления горизонта; через порты пропускаются BPDU протоколов STP, RSTP и MSTP;
  • Transparent - через порты коммутатора пропускаются стандартные BPDU (протоколы STP, RSTP, MSTP, MVRP, LACP и LLDP); на прохождение нестандартных BPDU данный режим не влияет;
  • STP - для устранения петель маршрутизации используется протокол STP; соединения, являющиеся избыточными, блокируются;
  • Pseudo Wire - обеспечивает эмуляцию традиционных сервисов по сетям с коммутацией пакетов; позволяет прозрачно передавать ATM, Frame Relay, Ethernet, низкоскоростной TDM или SDH/SONET поверх сетей с коммутацией MPLS, IP или L2TPv3;
  • В режиме работы Pseudo Wire таблица коммутации не ведётся; ВК должен содержать 2 порта; port security не используется

Виды нарушений безопасности и способы реакции на них

Нарушения безопасности:

  • обнаружение безопасного MAC-адреса за другим портом коммутатора;;
  • попытка получения доступа через порт коммутатора хостом с небезопасным MAC-адресом (отсутствует в списке статических адресов либо динамическая таблица заполнена);

Способы реагирования:

  • отсутствие реакции;
  • блокировка порта;
  • запись событий в журнал сетевой безопасности и системный журнал;
  • блокировка порта и запись события в журнал сетевой безопасности и системный журнал

Способы формирования таблицы коммутации

  • динамическое обучение - таблица MAC-адресов заполняется автоматически;
  • динамическое обучение выключено - MAC-адреса хостов назначаются портам виртуального коммутатора вручную;
  • обучение в режиме sticky - динамически назначенные MAC-адреса закрепляются за портом виртуального коммутатора как статические;

переключение виртуального коммутатора с динамического обучения на обучение в режиме sticky: MAC-адреса сохраняют тип ″Динамический″

для смены типа MAC-адреса необходимо выключить виртуальный коммутатор, установить политику на узел безопасности, участвующий в L2VPN, включить виртуальный коммутатор и повторно установить политику на узел безопасности

Порядок настройки L2VPN

  • настройка сетевых интерфейсов, работающих в режиме L2;
  • создание виртуального коммутатора;
  • настройка виртуального коммутатора;

настройка сетевых интерфейсов:

  • активировать компонент L2VPN в настройках узла безопасности;
  • в свойствах интерфейса выбрать ″Топологию″ - ″Порт коммутатора″;

Создание виртуального коммутатора

  • в Менеджере конфигурации: ″Виртуальные частные сети″ -> ″L2VPN″ -> ″Создать виртуальный коммутатор″;
  • установить параметры: название, описание и режим работы;
  • добавить порты виртуального коммутатора;

  • не рекомендуется оставлять значение размера таблицы коммутации по умолчанию;
  • в режиме STP при подсчёте общего количества записей MAC-адресов учитываются адреса туннельных интерфейсов, используемых для обмена STP-пакетами

Настройка виртуального коммутатора

  • выполняется в Менеджере конфигурации;
  • включает в себя;
    • изменение общих параметров (название, описание, переключение режима работы );
    • добавление или удаление портов из состава виртуального коммутатора;
    • настройка параметров портов
<< >>

Типовые схемы включения узлов безопасности в L2VPN

Типовая схема 1

  • иллюстрирует объединение локальных сетей Ethernet LAN;
  • интерфейсы te‐2‐0 направлены в сторону корпоративной сети Ethernet LAN;
  • интерфейсы te‐1‐0 направлены в Интернет;
  • при создании виртуального коммутатора в дополнительных параметрах необходимо указать ″Transparent″ и включить интерфейсы te‐2‐0 в состав виртуального коммутатора;

Типовая схема 2

  • совпадает со схемой 1, но в ней должно быть запрещено прохождение служебного трафика;

  • интерфейсы te‐2‐0 направлены в сторону корпоративной сети Ethernet LAN;
  • интерфейсы te‐1‐0 направлены в Интернет;
  • при создании виртуального коммутатора в дополнительных параметрах необходимо указать ″По умолчанию″ и включить интерфейсы te‐2‐0 в состав виртуального коммутатора;

Типовая схема 3

  • на рисунке показаны сегменты сети VLAN 10, расположенные за узлами УБ 1 и УБ 2, и сегменты сети VLAN 100, расположенные за узлами УБ 1 и УБ 3;

  • в настройках УБ 1 создать 2 VLAN-интерфейса te‐2‐0‐10 и te‐2‐0‐100; в качестве родительского используется интерфейс te‐2‐0
  • топология каждого VLAN-интерфейса ‐ Порт коммутатора;
  • в настройках УБ 2 создать VLAN-интерфейс te‐2‐0‐10;
  • в настройках УБ 3 создать VLAN-интерфейс te‐2‐0‐100;
  • создать 2 виртуальных коммутатора: ВК 10 и ВК 100; режим работы ‐ По умолчанию;
  • добавить интерфейсы в виртуальные коммутаторы;

Типовая схема 4

  • повторяет схему 3, с дополнительным условием ‐ обеспечить прохождение служебного трафика через узлы УБ 1 и УБ 2;

  • необходимо создать ещё один виртуальный коммутатор ВК 1;
  • на узлах УБ 1 и УБ 2 интерфейсы te‐3‐0‐ задействованы в созданном виртуальном коммутаторе;
<< >>

Компоненты удалённого доступа

Сервер доступа обеспечивает:

  • защищённое соединение между АП и корпоративной сетью;
  • аутентификацию удалённых пользователей;
  • загрузку в фильтр пакетов узла безопасности правил фильтрации в соответствии с правами подключившегося пользователя;
  • контроль состояния соединений и выгрузку сессионной информации при разрыве соединения;
  • регистрацию событий, связанных с работой сервера, использованием программы управления и подключением удалённых пользователей;

Абонентский пункт обеспечивает:

  • защищённое соединение и обмен зашифрованными с сервером доступа;
  • регистрацию событий, связанных с функционированием комплекса;
  • управление инфраструктурой открытых ключей;
  • контроль целостности ПО, передаваемой и хранимой информации;

Состав абонентского пункта:

  • приложение Континент АП;
  • криптопровайдер ″Код Безопасности CSP″;
  • утилита ″Контроль целостности ″Континент АП″;
  • утилита ″Сбор диагностической информации″

Абонентский пункт обеспечивает (продолжение):

Режима работы:

  • Без ограничений ‐ разрешены все соединения компьютера, на котором установлен абонентский пункт;
  • Запрет незащищённых соединений ‐ запрещены все незащищённые соединения со сторонними абонентами во время сеанса связи;
  • Перенаправление всех соединений через туннель Континентом АП и сервером доступа;

Управление доступом

  • управление доступом осуществляется но основе правил удалённого доступа;
  • в правилах удалённого доступа задаются: метод аутентификации, режим управления и узел безопасности, на котором должно действовать данное правило;
  • совокупность правил составляют политику удалённого доступа;
  • при подключении АП к УБ пользователь аутентифицируется на УБ, устанавливается защищённое соединение;
  • после прохождения туннеля пакеты обрабатываются на УБ и, с учётом политики доступа, направляются запрашиваему ресурсу;

Аутентификация пользователя на основе сертификата

  • при установлении защищённого соединения используются:
    • корневой сертификат;
    • сертификат сервера доступа;
    • сертификат пользователя;

Аутентификация пользователя на основе сертификата (продолжение)

  • варианты организации работы с сертификатами:
    • доверенный центр сертификации ‐ внешний центр сертификации;
    • доверенный центр сертификации ‐ ЦУС
    • одновременно может использоваться несколько корневых сертификатов и сертификатов сервера доступа;
    • пользователь может также иметь несколько сертификатов;
    • разные сертификаты пользователей могут быть заверены разными закрытыми ключами разных Удостоверяющих Центров;
    • после смены сертификата пользователя соединения продолжается до завершения текущего сеанса работы
<< >>

Настройка удалённого доступа

Подготовительные процедуры:

  • УБ ввести в эксплуатацию
  • установить лицензию сервера доступа;
  • на УБ задать маршруты, обеспечивающие доступ удалённым пользователям;

Порядок настройки:

  • Выпустить сертификаты: корневой, серверный сертификат и сертификаты пользователей;
  • Включить и настроить компонент ″Сервер доступа″;
  • Сформировать список пользователей, экспортировать профили АП и профили пользователей в Континент АП;
  • Настроить правила удалённого доступа