Анализ режимов безопасности сетевых интерфейсов Координатора

 

Правила, в соответствии с которыми производится фильтрация трафика, задаются в окнах защищенной сети, открытой сети и туннелируемых ресурсов.

Действия над защищенным трафиком между одним узлом и другими защищенными узлами полностью определяются в окне Защищенная сеть.

Открытый транзитный трафик, который не попал под действие ни одного из заданных в окне Открытая сеть фильтров, всегда блокируется.

Для локального открытого трафика, для которого не определены правила фильтрации в окне Открытая сеть, можно определить правила выбором режима (2 или 3 режим) на некотором интерфейсе.

Кроме того выбором режима на интерфейсе можно независимо от фильтров блокировать любой открытый трафик (1 режим) или пропустить любой открытый локальный трафик (4 режим).

С учетом сказанного возможны следующие режимы работы:

режим (Блокировать IP-пакеты всех соединений) блокирует на сетевом интерфейсе любые открытые IP-пакеты, в том числе туннелируемые. Поэтому такой режим следует использовать на интерфейсах, где открытые IP-пакеты пропускаться не должны.

и 3 режимы действуют только на открытый локальный и широковещательный трафик, и определяют действие - запретить или разрешить создание соединений, правила обработки которых, не заданы в локальных и широковещательных фильтрах открытой сети.

* 2 режим (Блокировать все соединения кроме разрешенных) блокирует создание любых таких соединений (установлен по умолчанию).

* 3 режим (Пропускать все исходящие соединения кроме запрещенных) пропускает исходящие и блокирует входящие соединения.

режим (Пропускать все соединения) также действует только на локальный трафик. Это тестовый режим, в котором разрешается создание любых локальных соединений. Компьютер в этом режиме открыт для несанкционированного доступа, в связи с чем этот режим может использоваться только для кратковременного включения.

режим (Пропускать IP-пакеты на всех интерфейсах без обработки) на всех интерфейсах прекращает обработку любого трафика (открытого и закрытого) модулем ViPNet. Прекращаются шифрование и расшифрования трафика, любая фильтрация трафика, трансляция IP-адресов. Информация в канале, компьютер и защищаемые сети в этом режиме открыты для несанкционированного доступа. В связи с чем этот режим также может использоваться только для кратковременного тестового включения.

По умолчанию на всех сетевых интерфейсах координатора устанавливается 2-й режим.

С целью исключения снижения уровня безопасности координатора, обслуживающего защищенную сеть, необходимо избегать установки на координатор любых служб, особенно серверов, требующих взаимодействия с открытыми ресурсами, как локальных, так и внешних сетей.

При выполнении данной рекомендации целесообразно:

на всех интерфейсах координатора защищенной сети устанавливать 2-й режим, который задан по умолчанию,

не добавлять никаких локальных и широковещательных фильтров,

при необходимости, следует задать фильтры в разделе Транзитных фильтров для разрешения создания транзитных открытых соединений в нужном направлении для требуемых типов трафика между сетями, подключенными к разным интерфейсам координатора.

Если все же требуется взаимодействие координатора с некоторыми службами в открытой сети, то в локальных фильтрах следует стремиться задавать фильтры только для исходящих соединений для конкретных протоколов с конкретными IP-адресами.

Третий режим, разрешающий исходящий локальный трафик, рекомендуется использовать только на координаторах, не обслуживающих защищенную сеть, а используемых для организации доступа из локальной сети в Интернет.

Настройки режимов безопасности производятся в окне Свойства сетевых интерфейсов на вкладке Режим. Для вызова окна Свойства сетевых интерфейсов выберите сетевой интерфейс в окне Сетевые интерфейсы и воспользуйтесь пунктом главного меню Действия -> Сетевые интерфейсы (или контекстным меню Свойства…).

Для изменения режима безопасности выберете нужный режим в списке Режим интерфейса.

Для отключения обработки трафика (открытого и закрытого) модулем ViPNet необходимо установить флажок Пропускать IP-пакеты на всех интерфейсах без обработки.