В материале Триада безопасной ИТ-инфраструктуры – Конфиденциальность, Целостность в качестве основных технологий обеспечения отказоустойчивости для данных указаны Защита с помощью RAID. Шифрование данных и управление ключом. Стратегии создания копий и восстановления. Каким образом шифрование обеспечивает отказоустойчивость? |
Основы администрирования межсетевого экрана D-Link DFL-860E
Лабораторная работа №1. Основы администрирования межсетевого экрана
Цель
Рассмотрим общие вопросы администрирования межсетевого экрана.
- Вход с использованием различных интерфейсов в консоль управления межсетевым экраном.
- Перезапуск межсетевого экрана, сброс к заводским настройкам по умолчанию, установка даты и времени, DNS, активация и применение изменений.
- Сброс и загрузка новой конфигурации устройства, автоматическое обновление ПО.
- Поиск неисправностей.
Описание практической работы
Управление межсетевым экраном с помощью различных интерфейсов
Доступ к межсетевому экрану с рабочей станции
Новому межсетевому экрану D-Link NetDefend с заводскими настройками по умолчанию система NetDefendOS автоматически назначает внутренний IP-адрес по умолчанию на интерфейсе lan1 (или интерфейс lan на моделях с одним локальным интерфейсом). IP-адрес, назначаемый интерфейсу управления, зависит от модели межсетевого экрана NetDefend:
- Для моделей межсетевых экранов NetDefend DFL-210, 260, 800, 860, 1600 и 2500, IP-адрес интерфейса управления, назначаемый по умолчанию – 192.168.1.1.
- Для моделей межсетевых экранов NetDefend DFL-1660, 2560, 2560G и 260E/860E, IP-адрес интерфейса управления, назначаемый по умолчанию – 192.168.10.1.
IP-адреса интерфейса межсетевого экрана, который соединен с рабочей станцией, и интерфейс самой рабочей станции, которая должна выполнять управление межсетевым экраном, должны быть в одной и той же сети. Поэтому интерфейсу рабочей станции вручную должен быть назначен статический IP-адрес из подсети 192.168.1.0/24 и основной шлюз 192.168.1.1:
Веб-интерфейс
Система NetDefendOS предоставляет веб-интерфейс (WebUI) для управления системой с помощью стандартного веб-браузера.
Первоначальная регистрация в веб-интерфейсе и Мастер установки
Для первоначального доступа к веб-интерфейсу межсетевого экрана с заводскими настройками по умолчанию следует использовать URL https://192.168.1.1.
После этого появится диалоговое окно аутентификации пользователя.
Имя пользователя по умолчанию – admin
Диалоговое окно регистрации в веб-интерфейсе предоставляет возможность выбрать язык интерфейса. Поддержка языка реализована с помощью набора ресурсных файлов.
Если изменения в настройках не были сделаны, запускается Мастер установки, и администратор может выполнить все необходимые шаги по установке публичного доступа к интернет.
Общий вид веб-интерфейса:
Доступ к веб-интерфейсу регулируется настраиваемой политикой удаленного управления. По умолчанию, система разрешает доступ к веб-интерфейсу только из сети, которая подсоединена к интерфейсу lan. Будем называть эту сеть внутренней.
Строка меню содержит кнопки и выпадающие меню, используемые для редактирования различных настроек, а также для доступа к различным инструментальным средствам и просмотру текущих статусов соединений, интерфейсов, аутентифицированных пользователей и т.п.
Home – Возврат на главную страницу веб-интерфейса.
Save and Actvate – Сохранение и активация настроек.
Discard changes – Отмена изменений в настройках, выполненных во время текущей сессии.
View Changes – Список изменений в настройках с момента последнего сохранения.
Tools – Инструментальные средства, необходимые для обслуживания системы.
Status – Текущие статусы, используемые для диагностики текущего состояния системы.
Update Center – Обновление сигнатур антивируса и определения вторжений, которое может выполняться как вручную, так и по расписанию.
License – Просмотр лицензии и ввод кода активации.
Backup – Создание резервной копии настроек на рабочей станции и восстановление предварительно созданной резервной копии.
Reset – Перезапуск межсетевого экрана или сброс к заводским настройкам по умолчанию.
Upgrade – Обновление программного обеспечения межсетевого экрана.
Technical support – Создание на рабочей станции файла, содержащего различные статистические данные о работе межсетевого экрана. Этот файл может быть изучен локально или отправлен специалисту технической поддержки для оказания помощи в исследовании проблемы. Это является крайне важным, так как автоматически собираемая информация содержит множество деталей, которые требуются при поиске и устранении неисправностей.
По умолчанию, доступ к веб-интерфейсу открыт только из внутренней сети. Если необходимо включить доступ с других интерфейсов, кроме интерфейса lan, требуется изменить политику удаленного управления.
System -> Remote Management -> Add -> HTTP/HTTPS Management
add RemoteManagement RemoteMgmtHTTP https Network=all-nets Interface=any LocalUserDatabase=AdminUsers HTTPS=Yes
После завершения работы необходимо выйти из веб-интерфейса, чтобы предотвратить доступ других пользователей к межсетевому экрану. Выход из системы осуществляется нажатием кнопки Logout, расположенной справа в строке меню.
Интерфейс командной строки CLI
Система NetDefendOS предоставляет интерфейс командной строки (CLI), который доступен локально через серийный консольный порт (соединение с которым описывается ниже) или удаленно через один из интерфейсов межсетевого экрана с помощью клиента протокола SecureShell (SSH).
CLI предоставляет набор команд, обеспечивающих отображение и изменение настроек, а также отображение работы системы и выполнение задач по обслуживанию системы.
Наиболее часто используемые команды CLI:
add – Добавление объекта, например, IP-адреса или правила в настройки межсетевого экрана.
set – Изменение какого-либо свойства объекта.
show – Отображение текущих категорий или значений объекта.
Структура команд
Большинство команд имеют следующую структуру:
<command> [<object_category>] <object_type> <object_name> [<object_properties>]
Например, для отображения IP-адреса объекта my_address используется команда:
gw-world:/>show Address IP4Address my_address
Все настраиваемые сущности (IP-адреса, интерфейсы, правила фильтрования и маршрутизации и т.п.) межсетевого экрана называются объектами. Каждый объект принадлежит определенному типу (IP4Address, Ethernet, IPsecTunnel, IPRule, RoutingRule и т.п.). Несколько типов могут быть сгруппированы в категорию (Address, Interface, Settings и т.п.).
выводит справочную информацию о системе.
История команд
Навигация по списку использованных команд в интерфейсе командной строки выполняется с помощью клавиш "стрелка вниз" и "стрелка вверх" (аналогично консоли в большинстве версий Microsoft Windows™ и UNIXтм). Например, нажатие клавиши "стрелка вверх" вызовет появление последней выполненной команды в текущей строке CLI. После этого ее можно отредактировать и выполнить.
Функция Tab Completion
Система NetDefendOS предоставляет возможность, которая называется tab completion. Нажатие клавиши tab вызовет автоматическое завершение текущего идентификатора. Если однозначное завершение невозможно, то нажатие клавиши tab приведет к автоматическому отображению возможных завершений или опций команды.
Возможность tab completion можно также использовать для автоматического заполнения параметров команды значениями по умолчанию. Для этого в качестве значения следует ввести символ "." и нажать клавишу tab. Например, если при наборе незаконченной команды:
set Address IP4Address lan_ip Address=
ввести "." и нажать клавишу tab, то отобразится текущее значение параметра Address. Если данным значением является, например, 10.6.58.10 будет автоматическисоздана следующая команда:
set Address IP4Address lan_ip Address=10.6.58.10
После этого ее можно при необходимости отредактировать и выполнить.
Категории объектов
Ранее упоминалось, что объекты группируются по типу, например, IP4Address. Типы могут группироваться по категориям. Тип IP4Address принадлежит категории Address. При использовании в категориях функция tab completion применяется для поиска типа объекта, который необходимо использовать.
При вводе команды, например add, и нажатии клавиши tab, отображаются доступные для использования с этой командой категории. После выбора категории и повторного нажатия клавиши tab, будут отображены все типы объектов для данной категории.
Не все типы объектов принадлежат категориям. В этом случае после ввода команды и нажатия tab будет появляться список возможных типов объектов.
Выбор категории объектов
Для некоторых команд сначала с помощью команды cc необходимо указать категорию и экземпляр, прежде чем отдельные объекты могут создаваться или редактироваться. Это касается, например, правил маршрутизации или фильтрования. Если существует более одной таблицы маршрутизации, для добавления или изменения маршрута необходимо использовать команду cc для указания используемой таблицы маршрутизации.
gw-world:/>cc RoutingTable main
gw-world:/main>
Обратите внимание, что приглашение изменяется. Теперь можно добавить маршрут:
gw-world:/main>add Route Name=new_route1 Interface=lan Network=lannet
Для отмены указания текущей категории следует использовать команду cc без параметров.
В категориях, в которых перед созданием или редактированием объектов требуется указать экземпляр с помощью команды cc, в списке, показываемом командой show, после имени категории следует символ "/".
Определение нескольких значений параметров
Иногда параметр команды может иметь несколько значений. Эти значения должны разделяться запятой. Например:
AccountingServers=server1,server2,server3
Добавление нового правила в список правил
Порядок правил в списке, например, набор правил фильтрования, является важным. По умолчанию новое правило добавляется в конец списка. Если упорядоченность важна, то может быть добавлен параметр Index=<Номер позиции в списке правил>.
Использование уникальных имен
Для удобства рекомендуется назначать всем объектам уникальные имена, чтобы эти имена можно было использовать в качестве ссылки на объект. Это особенно часто используется при написании сценариев.
Имена должны быть уникальными в пределах одного типа объекта. По причинам совместимости с более ранними выпусками NetDefendOS существует исключение, связанное с IP-правилами, у которых могут быть двойные имена, тем не менее, рекомендуется избегать этого. Если дублированное имя IP-правила используется в двух IP-правилах, в таком случае только значение Index может однозначно определить каждое IP-правило в командах. Ссылка на IP-правило с дублированным именем приведет к сообщению об ошибке.
Использование dns-имени вместо IP-адреса
В некоторых командах адрес в виде dns-имени, а не IP-адреса. В этом случае перед именем должен стоять префикс dns:, указывающий на то, что необходимо использовать сервис DNS для поиска IP-адреса по имени хоста. Например, dns-имя host.company.com следует указывать в командной строке как dns:host.company.com.
Параметры, в которых могут употребляться dns-имена в командной строке:
- Удаленная конечная точка для IPsec-, L2TP- и PPTP-туннелей.
- Хост для LDAP-серверов.
Если необходимо использовать сервис DNS, то следует настроить хотя бы один DNS-сервер, который будет выполнять преобразования dns-имена в IP-адреса.
Локальный доступ к интерфейсу командной строки
Серийный порт консоли – это порт RS-232 межсетевого экрана NetDefend, обеспечивающий локальный доступ к интерфейсу командной строки. Порт RS-232 существует на старших моделях DFL 1660/2560. На новых младших моделях DFL консольный порт выполнен в виде Ethernet-разъема.
Доступ к интерфейсу командной строки по протоколу SSH (SecureShell)
Протокол SSH (SecureShell) используется для доступа к интерфейсу командной строки с удаленной рабочей станции. Протокол SSH обеспечивает безопасные коммуникации по незащищенным сетям, а также сильную аутентификацию обеих сторон. SSH-клиенты доступны для большинства платформ.
Система NetDefendOS поддерживает версии 1, 1.5 и 2 протокола SSH. Разрешение доступа по протоколу SSH предоставляется с помощью политики удаленного управления, и по умолчанию разрешения доступа по протоколу SSH нет.
System -> Remote Management -> Add -> Secure Shell Management
Name: SSH_lan
add RemoteManagement RemoteMgmtSSH ssh Network=lannetFW1 Interface=lan LocalUserDatabase=AdminUsers
Изменение пароля пользователя admin
После первоначального запуска рекомендуется как можно скорее изменить пароль по умолчанию admin на любой другой. Пароль пользователя может быть любой комбинацией символов и не может содержать более 256 символов.
User Authentication -> Local User Databases -> AdminUsers
cc LocalUserDatabase AdminUsers
Учетные записи для администрирования межсетевого экрана
Для администрирования межсетевого экрана используются учетные записи пользователей, которые хранятся в локальной базы данных.
По умолчанию имеется локальная база данных AdminUsers, которая содержит учетную запись admin. Пароль данной учетной записи – admin.
Какая именно база данных используется для хранения учетных записей администраторов межсетевого экрана и с каких интерфейсов и сетей возможно администрирование, определяется конфигурационными параметрами.
Для управления межсетевым экраном определены две группы: Administrators и Auditors.
Учетные записи, принадлежащие группе Administrators, обладают правами по чтению и записи всех настроек межсетевого экрана.
Учетные записи, принадлежащие группе Auditors, обладают только правами по чтению всех настроек межсетевого экрана.
Если требуется, можно создать дополнительные учетные записи для администрирования межсетевого экрана, указав какой из групп принадлежат создаваемые учетные записи.
Система NetDefendOS запрещает одновременный вход более одной учетной записи с правами администратора. Если выполнен вход под одной учетной записью с правами администратора, то вход под второй учетной записи возможен, но при этом предоставляются права только аудита. Другими словами, вторая учетная запись будет обладать только правами чтения настроек без возможности их изменения.
Сценарии командной строки
Для простоты хранения и выполнения команд администратором, NetDefendOS поддерживает функцию CLIscripting. CLIscript– это записанная в файл последовательность команд, которые можно выполнить после загрузки файла на межсетевой экран.
Для создания CLIscript следует выполнить следующие шаги:
- Создать текстовый файл, содержащим последовательность команд, по одной команде в строке. Для этих файлов рекомендуется использовать расширение .sgs (Security Gateway Script). Имя файла, включая расширение, не должно содержать более 16 символов.
- Загрузить файл на межсетевой экран, используя Secure Copy (SCP). Файлы-сценарии должны храниться в папке scripts.
- Использовать команду CLI script –execute для выполнения команд из файла.
Команда script – это инструментальное средство, используемое для выполнения определенной последовательности команд. Полный синтаксис команды описан в Руководстве по интерфейсу командной строки CLI. Рассмотрим некоторые примеры использования данной команды.
В сценариях можно использовать следующие четыре команды: add, set, delete, cc.
Если в сценарии появляется любая другая команда, она игнорируется, при этом генерируется сообщение с предупреждением. Например, команда ping будет проигнорирована.
С помощью команды script -execute запускается указанный в параметре –name файл сценария.
script -execute -name=my_script.sgs
Файл сценария может содержать любое количество переменных сценария, которые обозначаются следующим образом:
$1, $2, $3, $4 $n
Фактические параметры этих переменных указываются в командной строке script -execute.
Если в выполняемом файле сценария возникает ошибка, то по умолчанию сценарий будет прерван. C помощью опции –force сценарий будет продолжен даже при возникновении ошибки.
script -execute -name=my_script2.sgs -force
Все выходные данные выполненного сценария появляются в консоли командной строки. По умолчанию эти выходные данные состоят из сообщений обо всех ошибках, которые произошли во время выполнения. Для вывода на консоль подтверждения выполнения каждой команды используется опция –verbose.
script -execute -name=my_script2.sgs -verbose
При загрузке файла сценария на межсетевой экран, сначала он хранится только в памяти RAM. При перезапуске NetDefendOS все загруженные сценарии будут уничтожены в энергозависимой памяти, и для их следующего выполнения потребуется повторная загрузка. Для сохранения сценариев после перезапусков следует переместить их в энергонезависимую память с помощью команды script -store.
script -store -name=my_script.sgs
Если требуется переместить в энергонезависимую память все сценарии, то используется команда.
Для удаления сценария используется команда script –remove.
Команда script без параметров отображает список всех сценариев, размер каждого сценария и тип памяти, в которой хранится сценарий (Disk или Memory).
Для вывода на консоль содержимого файла сценария используется команда.
script -show -name=<имя файла>
Автоматическое создание сценариев
Когда необходимо выполнить создание одних и тех же объектов конфигурации на нескольких межсетевых экранах, следует создать файл сценария и запустить его на каждом устройстве.
автоматически создает файл сценария, который содержит команду add всех объектов указанного типа, существующих в межсетевом экране.
Например, для создания всех объектов IP4Address с одними и теми же параметрами на нескольких межсетевых экранах следует выполнить команду.
script -create Address IP4Address -name new_script.sgs
Файл new_script_sgs может быть загружен на локальную рабочую станцию и затем скачен и активирован на других межсетевых экранах. После этого у всех устройств в адресных книгах будут находиться одни и те же объекты IP4Address.
Некоторые параметры конфигурации, зависящие от аппаратного обеспечения, не могут быть автоматически записаны в сценарий с помощью параметра -create.
Строка в файле сценария, которая начинается с символа #, является комментарием.
Сценарии, вызывающие другие сценарии
Один сценарий может вызывать другой. Например, сценарий my_script.sgs может содержать строку.
script -execute -name my_script2.sgs
Максимальное количество вложенных сценариев – 5.
Дата и время
Обзор
Корректная установка даты и времени важны для правильной работы системы межсетевого экрана. Политики по расписанию, авто-обновления IDP и баз данных антивируса, а также других функций продукта требуется точно установленное системное время.
Кроме того, сообщения журнала отмечаются временной меткой для того, чтобы указать, когда произошло определенное событие. Кроме того, время должно быть синхронизировано с другими устройствами в сети.
Протоколы синхронизации времени
Поддерживается использование протоколов синхронизации времени для автоматической регулировки системных часов с помощью ответов на запросы, отправляемые через интернет, на специальные внешние серверы, которые называют сервера времени (Time Servers).
Установка даты и времени и установка часового пояса
Установить дату и время можно вручную, это рекомендуется при первоначальном запуске системы.
set DateTime Timezone=GMTplus4
Серверы времени (Time Servers)
Для корректировки аппаратных часов используются сервера времени, с помощью которых возможна автоматическая настройка времени, полученного от одного или нескольких серверов, которые предоставляют точное время.
Поддерживаются следующие протоколы синхронизации времени:
- SNTP Определяется стандартом RFC 2030, простой сетевой протокол синхронизации времени – реализация NTP (RFC 1305). NetDefendOS использует данный протокол для запросов к NTP-серверам.
- UDP/TIME Протокол времени – Time Protocol (UDP/TIME) – более ранний протокол, также обеспечивающий синхронизацию времени через интернет.
Большинство серверов времени поддерживают NTP или SNTP-протоколы.
Могут быть указаны максимально три сервера времени. Если используется более одного сервера для синхронизации времени, то можно избежать ситуации. Когда синхронизация невозможна из-за недоступности одного из серверов. Система получает информацию со всех доступных серверов и вычисляет среднее время.
Максимальная величина корректировки времени
Чтобы избежать установления некорректного времени, которое может произойти при синхронизации с неисправным сервером, можно установить максимальную величину корректирования времени (Maximum Adjustment) (в секундах). Если разница между текущим временем системы и временем, полученным с сервера, будет больше заданной максимальной величины, то данные, полученные с сервера, будут отклонены. Например, значение максимального времени установки равно 60 секунд и текущее время системы NetDefendOS составляет 16:42:35. Если время, полученное с сервера: 16:43:38, то разница составляет 63 секунды, что превышает максимальную величину, т.е. текущее время не будет обновлено.
set DateTime TimeSyncMaxAdjust=40000
Значение максимальной регулировки времени можно отключить.
При необходимости можно изменить интервал между попытками синхронизации. По умолчанию интервал равен 86 400 секунд (1 день).
Серверы синхронизации времени D-Link
При работе с системой NetDefendOS для синхронизации времени рекомендуется использовать серверы синхронизации времени D-Link, путь к которым прописан в опциях системы. Серверы D-Link взаимодействуют с системой по протоколу SNTP.
Когда опция D-Link Server включена, синхронизация осуществляется автоматически.
set DateTime TimeSynchronization=D-Link
Следует помнить, что для работы с серверами синхронизации времени D-Link необходимо настроить сервис DNS.
Серверы DNS
Если в системе настроены DNS-сервера, то вместо IP-адреса можно указывать соответствующее доменное (FQDN) имя.
Система NetDefendOS является DNS-клиентом и может использовать три DNS-сервера: Primary Server (первичный сервер), Secondary Server (вторичный сервер) и Tertiary Server (третий сервер).
Настройка хотя бы одного DNS-сервера необходима для функционирования следующих модулей системы NetDefendOS:
- Автоматическая синхронизация времени.
- Доступ к СА для получения сертификатов.
- Доступ к внешним сервисам, содержащим различные базы данных сигнатур, используемые в системе (антивирусные или IDP).
set DNSDNSServer1=wan1/wan1_dns1
Перезапуск межсетевого экрана, сброс к заводским настройкам по умолчанию
Сброс к заводским настройкам по умолчанию выполняется для возврата к первоначальным настройкам межсетевого экрана. При выполнении сброса настроек все данные, такие, как база данных провайдера и антивирусная база данных, будут утеряны и должны быть повторно загружены.
reset -unit
Активация и применение изменений
После внесения изменений в конфигурацию следует выполнить команды activate и commit.
Если в течение 30 секунд (по умолчанию) не выполнена команда commit, выполненные изменения автоматически отменяются, и происходит восстановление прежних настроек.
Управление сессиями с помощью команды sessionmanager
Интерфейс командной строки предоставляет команду sessionmanager для управления сессиями. Команда используется для управления всеми типами сессий:
- Сессии командной строки, созданные при использовании протокола SSH.
- Сессия командной строки, созданные через интерфейс серийной консоли RS232.
- Сессии, созданные при использовании протокола Secure Copy (SCP).
- Сессии веб-интерфейса, созданные при использовании протокола HTTP или HTTPS.
Команда без каких-либо опций предоставляет краткую информацию о текущих открытых сессиях. Для просмотра списка всех сессий используется опция -list.
sessionmanager
sessionmanager -list
Если пользователь обладает правами администратора, можно завершить любую сессию с помощью опции -disconnect.
Поиск неисправностей – команда pcapdump
Важным инструментом диагностики является анализ пакетов, проходящих через интерфейсы межсетевого экрана. Для этого используется команда pcapdump, которая позволяет записать поток пакетов, проходящих через интерфейсы, и выполнить фильтрацию этих потоков в соответствии с определенными критериями.
Примеры использования pcapdump:
-
Освобождение памяти, использованной командой pcapdump и удаление всех файлов, которые были ранее сохранены с помощью команды pcapdump.
pcapdump –cleanup
-
Запись в буфер в оперативной памяти межсетевого экрана всех пакетов, проходящих через интерфейс lan. Если интерфейс не указан, то будет выполнен перехват всех пакетов, проходящих через все интерфейсы.
pcapdump –start lan
-
Запись всех пакетов, прошедших через интерфейс lan, из буфера в оперативной памяти в файл lan_int.cap. Данные файлы находятся в корневой папке межсетевого экрана.
pcapdump -write lan -filename=lan_int.cap
-
Отображение перехваченных пакетов в консоли.
pcapdump –show
-
Останов перехвата пакетов, проходящих через интерфейс lan. Если интерфейс не указан, то будет выполнен останов перехвата пакетов, проходящих через все интерфейсы.
pcapdump –stop lan
Загрузка выходного файла
После того, как сохранены в файле межсетевого экрана, их следует переписать, например, с помощью программы scp, на рабочую станцию.
Для дальнейшего анализа пакетов рекомендуется использовать программу Wireshark (ранее известную как Ethereal). Данная программа является приложением с открытым исходным кодом и использует библиотеку Pcap.
Для получения более подробной информации о программе Wireshark, см сайт http://www.wireshark.org.