Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Методические рекомендации Р 104-2024 "Обеспечение информационной безопасности пультов централизованного наблюдения и защиты локальных вычислительных сетей пунктов централизованной охраны при организации централизованной охраны объектов и мест проживания и хранения имущества граждан" (утв. ФКУ "Научно-исследовательский центр "Охрана" Росгвардии, 2024 г.)
- Приложение А. Конфигурирование основных параметров и настройка межсетевого экрана в маршрутизаторах Eltex
Приложение А. Конфигурирование основных параметров и настройка межсетевого экрана в маршрутизаторах Eltex
Приложение А
(справочное)
Конфигурирование основных параметров и настройка межсетевого экрана в маршрутизаторах Eltex
А.1 Интерфейс командной строки (CLI)
Для маршрутизаторов Eltex в отличие от сетевых устройств MikroTik, широко применяемых подразделениями вневедомственной охраны на ЛВС ПЦО, компанией-разработчиком не создано ПО для администрирования и настройки с использованием графического интерфейса, поэтому все указанные операции производятся с использованием командной строки.
Интерфейс командной строки (Command Line Interface, CLI) - интерфейс, предназначенный для управления, просмотра состояния и мониторинга устройства. Для работы потребуется любая установленная на ПК программа, поддерживающая работу по протоколу Telnet, SSH или прямое подключение через консольный порт (например, HyperTerminal для ОС Windows и Minicom в ОС Linux). Интерфейс командной строки обеспечивает авторизацию пользователейи ограничивает их доступ к командам на основании уровня доступа, заданного администратором. В системе может быть создано необходимое количество пользователей, права доступа задаются индивидуально для каждого из них. Для обеспечения безопасности командного интерфейса, все команды разделены на две категории: привилегированные и непривилегированные.
К привилегированным в основном относятся команды конфигурирования. К непривилегированным команды мониторинга. Система позволяет нескольким пользователям одновременно подключаться к устройству. В устройствах реализована система предотвращения вторжений IPS/IDS. По умолчанию установлен базовый набор правил от компании Emerging Threats.
А.2 Начальная настройка маршрутизатора
А.2.1 Заводская конфигурация параметров маршрутизатора Eltex ESR
Изначально на устройство загружена заводская конфигурация параметров, которая включает минимально необходимые базовые настройки. Заводская конфигурация позволяет использовать маршрутизатор в качестве шлюза с функцией SNAT без необходимости применять дополнительные настройки. Кроме того, заводская конфигурация содержит настройки, позволяющие получить сетевой доступ к устройству для выполнения расширенного конфигурирования.
Описание заводской конфигурации.
Для подключения к сетям в начальной конфигурации описаны две зоны безопасности с наименованиями "Trusted" ("доверенный") для локальной внутренней сети и "Untrusted" ("недоверенный") для публичной сети. Все интерфейсы разделены между двух зон безопасности.
Зона "Untrusted" предназначена для подключения к публичной сети (WAN, Интернет). В этой зоне открыты порты DHCP-протокола для получения динамического IP-адреса от провайдера. Все входящие соединения из данной зоны на маршрутизатор запрещены. В данную зону безопасности входят интерфейсы: GigabitEthernet 1/0/1, GigabitEthernetl/0/6.
Интерфейсы зоны объединены в один L2-сегмент через сетевой мост Bridge.
Зона "Trusted" предназначена для подключения к локальной сети (LAN). В этой зоне открыты порты протоколов Telnet и SSH для удаленного доступа, ICMP-протокола для проверки доступности маршрутизатора, DHCP-протокола для получения клиентами IP-адресов от маршрутизатора. Исходящие соединения из данной зоны в зону "Untrusted" разрешены. В данную зону безопасности входят интерфейсы: GigabitEthernet 1/0/2-5.
Интерфейсы зоны объединены в один L2-сегмент через сетевой мост Bridge 1.
На интерфейсе Bridge 2 включен DHCP-клиент для получения динамического IP-адреса от провайдера. На интерфейсе Bridge 1 сконфигурирован статический IP-адрес 192.168.1.1/24. Созданный IP-интерфейс выступает в качестве шлюза для клиентов локальной сети, для которых настроен DHCP пул адресов 192.168.1.2-192.168.1.254 с маской 255.255.255.0. Для получения клиентами локальной сети доступа к информационно-телекоммуникационной сети Интернет на маршрутизаторе включен сервис Source NAT.
Политики зон безопасности настроены следующим образом:
Описание политик зон безопасности приведено в таблице А.
Таблица А - Описание политик зон безопасности
|
Зона, из которой идет трафик |
Зона, в которую идет трафик |
Тип трафика |
Действие |
|
Trusted |
Untrusted |
TCP, UDP, ICMP |
разрешен |
|
Trusted |
Trusted |
TCP, UDP, ICMP |
разрешен |
|
Trusted |
self |
TCP/23 (Telnet), TCP/22(SSH), ICMP, UDP/67(DHCP Server), UDP/123(NTP) |
разрешен |
|
Untrusted |
self |
UDP/68(DHCP Client) |
разрешен |
Для обеспечения возможности конфигурирования устройства при первом включении в конфигурации маршрутизатора создана учетная запись администратора "admin".
Настоятельно рекомендуется изменить пароль администратора при начальном конфигурировании маршрутизатора.
Для сетевого доступа к управлению маршрутизатором при первом включении в конфигурации задан статический IP-адрес на интерфейсе Bridge 1-192.168.1.1/24.
А.2.2 Подключение и конфигурирование маршрутизатора
Маршрутизаторы серии ESR предназначены для выполнения функций пограничного шлюза и обеспечения безопасности сети пользователя при подключении ее к публичным сетям передачи данных. Базовая настройка маршрутизатора должна включать:
- назначение IP-адресов (статических или динамических) интерфейсам;
- создание зон безопасности и распределение интерфейсов по зонам;
- создание политик, регулирующих прохождение данных между зонами;
- настройку сервисов, сопутствующих маршрутизации данных (NAT, Firewall и прочие).
Расширенные настройки зависят от требований конкретной схемы применения устройства и легко могут быть добавлены или изменены с помощью имеющихся интерфейсов управления.
А.2.3 Подключение по локальной сети Ethernet
Подключить сетевой кабель передачи данных (патч-корд) к любому порту, входящему в зону "Trusted", и к компьютеру, предназначенному для управления.
В заводской конфигурации маршрутизатора активирован DHCP-сервер с пулом IP-адресов в подсети 192.168.1.0/24.
При подключении сетевого интерфейса управляющего компьютера он должен получить сетевой адрес от сервера.
Если IP-адрес не получен по какой-либо причине, то следует назначить адрес интерфейса вручную, используя любой адрес, кроме 192.168.1.1, в подсети 192.168.1.0/24.
А.2.4 Подключение через консольный порт RS-232
При помощи кабеля RJ-45/DBF9, который входит в комплект поставки устройства, соединить порт "Console" маршрутизатора с портом RS-232 компьютера.
Запустить терминальную программу (например, HyperTerminal или Minicom) и создать новое подключение. Должен быть использован режим эмуляции терминала VT100.
Выполнить следующие настройки интерфейса RS-232:
- скорость: 115200 бит/с;
- биты данных: 8 бит;
- четность: нет;
- стоповые биты: 1;
- управление потоком: нет.
Процедура настройки маршрутизатора при первом включении состоит из следующих этапов:
- изменение пароля пользователя "admin";
- создание новых пользователей;
- назначение имени устройства (Hostname);
- установка параметров подключения к публичной сети в соответствии с требованиями провайдера;
- настройка удаленного доступа к маршрутизатору.
А.2.5 Изменение пароля пользователя "admin"
В заводской конфигурации системы зарегистрированы учетные записи "admin", "techsupport" и "remote".
"Admin" - учетная запись привилегированного пользователя.
Учетная запись "techsupport" необходима для удаленного обслуживания сервисным центром.
Учетная запись "remote" необходима для аутентификации на серверах RADIUS, TACACS+, LDAP.
Удалить пользователей "admin", "techsupport" и "remote" нельзя. Можно только сменить пароль и уровень привилегий.
Для защищенного входа в систему необходимо сменить пароль привилегированного пользователя "admin".
Для изменения пароля пользователя "admin" используются следующие команды:
- esr# configure;
- esr(config)# username admin;
- esr(config-user)# password <new-password>;
- esr(config-user)# exit.
A.2.6 Создание новых пользователей
Для создания нового пользователя системы или настройки любого из параметров - имени пользователя, пароля, уровня привилегий, - используются команды:
- esr(config)# username <name>;
- esr(config-user)# password <password>;
- esr(config-user)# privilege <privilege>;
- esr(config-user)# exit.
Уровни привилегий 1-9 разрешают доступ к устройству и просмотр его оперативного состояния, но запрещают настройку. Уровни привилегий 10-14 разрешают как доступ, так и настройку большей части функций устройства. Уровень привилегий 15 разрешает как доступ, так и настройку всех функций устройства.
Пример команд для создания пользователя "fedor" с паролем "12345678" и уровнем привилегий 15 и создания пользователя "ivan" с паролем "password" и уровнем привилегий 1:
- esr# configure;
- esr(config)# username fedor;
- esr(config-user)# password 12345678;
- esr(config-user)# privilege 15;
- esr(config-user)# exit;
- esr(config)# username ivan;
- esr(config-user)# password password;
- esr(config-user)# privilege 1;
- esr(config-user)# exit.
A.2.7 Назначение имени устройству
Для назначения имени устройству используются следующие команды:
- esr# configure;
- esr(config)# hostname <new-name>.
После применения конфигурации приглашение командной строки изменится на значение, заданное параметром <new-name>.
А.2.8 Настройка параметров публичной сети
Для настройки сетевого интерфейса маршрутизатора в публичной сети необходимо назначить устройству параметры, определенные провайдером сети - IP-адрес, маска подсети и адрес шлюза по умолчанию.
Пример команд настройки статического IP-адреса для субинтерфейса GigabitEthernet 1/0/2.150 для доступа к маршрутизатору через VLAN 150.
Параметры интерфейса:
- IP-адрес -192.168.16.144;
- Маска подсети - 255.255.255.0;
- IP-адрес шлюза по умолчанию - 192.168.16.1;
- esr# configure;
- esr(config)# interface gigabitethernet 1/0/2.150;
- esr(config-subif)# ip address 192.168.16.144/24;
- esr(config-subif)# exit;
- esr(config)# ip route 0.0.0.0/0 192.168.16.1.
Для того чтобы убедиться, что адрес был назначен интерфейсу, после применения конфигурации вводится следующая команда:
- esr# show ip interfaces;
- IP address Interface Type;
- 192.168.16.144/24 gigabitethernet 1/0/2.150 static.
Провайдер может использовать динамически назначаемые адреса в своей сети. Для получения IP-адреса может использоваться протокол DHCP, если в сети присутствует сервер DHCP.
Пример настройки, предназначенной для получения динамического IP-адреса от DHCP-сервера на интерфейсе GigabitEthernet 1/0/3:
- esr# configure;
- esr(config)# interface gigabitethernet 1/0/3;
- esr(config-if)# ip address dhcp enable;
- esr(config-if)# exit.
Для того чтобы убедиться, что адрес был назначен интерфейсу, вводится следующая команда после применения конфигурации:
- esr# show ip interfaces;
- IP address Interface Type;
- 192.168.11.5/25 gigabitethernet 1/0/3 DHCP.
А.2.9 Применение базовых настроек
Для применения выполненных изменений конфигурации маршрутизатора требуется ввести следующие команды из корневого раздела командного интерфейса:
- esr# commit;
- esr# confirm;
Если ввести команду confirm не удастся, то по истечении таймера подтверждения конфигурация устройства вернется в прежнее состояние, существовавшее до ввода команды commit.
А.3 Организация резервного канала Ethernet при использовании маршрутизаторов Eltex
А.3.1 Настройка на маршрутизаторе MultiWAN - подключения двух провайдеров к маршрутизатору Eltex
Технология MultiWAN позволяет организовать отказоустойчивое соединение с резервированием линий связи от нескольких провайдеров, а также решает проблему балансировки трафика между резервными каналами.
На рисунке А.1 описана процедура настройки маршрута к серверу (108.16.0.1/28) с возможностью балансировки нагрузки между каналами.
Предварительно необходимо настроить зоны для интерфейсов gi1/0/1 и gi1/0/2 и указать IP-адреса для интерфейсов gi1/0/1 и gi1/0/2.
Осуществить следующие этапы конфигурирования маршрутизатора посредством ввода команд в терминальной программе.
Этап настройки маршрутизации:
- esr(config)# ip route 108.16.0.0/28 wan load-balance rule 1.
Создание правила WAN:
- esr(config)# wan load-balance rule 1;
- указание участвующих интерфейсов:
- esr(config-wan-mle)# outbound interface gigabitethernet 1/0/2 esr(config-wan-rule)# outbound interface gigabitethernet 1/0/1.
Включение созданного правила балансировки и выход из режима конфигурирования правила:
- esr(config-wan-rule)# enable;
- esr(config-wan-rule)# exit.
Создание списка для проверки целостности соединения:
- esr(config)# wan load-balance target-list google.
Создание цели проверки целостности:
- esr(config-target-list)# target 1.
Задание адреса для проверки, включение проверки указанного адреса и выход:
- esr(config-wan-target)# ip address 8.8.8.8;
- esr(config-wan-target)# enable;
- esr(config-wan-target)# exit.
Настройка интерфейсов. В режиме конфигурирования интерфейса gi1/0/1 указать nexthop:
- esr(config)# interface gigabitethernet 1/0/1;
- esr(config-if)# wan load-balance nexthop 203.0.0.1.
В режиме конфигурирования интерфейса gi1/0/1 указать список целей для проверки соединения:
- esr(config-if)# wan load-balance target-list google.
В режиме конфигурирования интерфейса gi1/0/1 включить WAN-режим и выйти:
- esr(config-if)# wan load-balance enable;
- esr(config-if)# exit.
В режиме конфигурирования интерфейса gi1/0/2 указать nexthop:
- esr(config)# interface gigabitethernet 1/0/2;
- esr(config-if)# wan load-balance nexthop 65.6.0.1.
В режиме конфигурирования интерфейса gi1/0/1 указать список целей для проверки соединения:
- esr(config-if)# wan load-balance target-list google.
В режиме конфигурирования интерфейса gi1/0/2 включить WAN-режим и выйти:
- esr(config-if)# wan load-balance enable;
- esr(config-if)# exit.
Изменения конфигурации вступят в действие после применения:
- esr# commit;
Configuration has been successfully committed.
- esr# confirm;
Configuration has been successfully confirmed.
Для переключения в режим резервирования настроить следующее:
Зайти в режим настройки правила WAN:
- esr(config)# wan load-balance rule 1.
Функция MultiWAN также может работать в режиме резервирования, в котором трафик будет направляться в активный интерфейс с наибольшим весом. Включить данный режим можно следующей командой:
esr(config-wan-rule)#failover.
Изменения конфигурации вступят в действие после ввода команд:
- esr# commit;
- Configuration has been successfully committed;
- esr# confirm;
- Configuration has been successfully confirmed.
А.4 Конфигурирование Firewall
Firewall - комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.
Настройка разрешения обмена сообщениями по протоколу ICMP между устройствами ПК1, ПК2 и b маршрутизатором ESR представлена на рисунке А.2.
Для каждой сети ESR создать свою зону безопасности:
- esr# configure;
- esr(config)# security zone LAN;
- esr(config-zone)# exit;
- esr(config)# security zone WAN;
- esr(config-zone)# exit.
Настроить сетевые интерфейсы и определить их принадлежность к зонам без