Фильтрация по классификационным (мандатным) меткам в сетевом трафике#
Обзор механизмов фильтрации по классификационным меткам#
В этом разделе рассматриваются возможности по фильтрации сетевого трафика, содержащего в себе классификационные (мандатные) метки, в частности рассматриваются:
- поддерживаемые стандарты;
- обзор структуры классификационной метки в сетевом трафике.
Поддерживаемые стандарты#
Numa Edge реализует фильтрацию сетевого трафика, содержащего классификационные (мандатные) метки, соответствующие описанию приведенному в RFC 1108 «U.S. Department of Defense Security Options for the Internet Protocol».
Обзор структуры классификационной метки в сетевом трафике#
Согласно RFC 1108 при передаче информации по протоколу IPv4 классификационные метки размещаются в каждом заголовке IP-пакета в поле Опции (Options) с типом Безопасность (Security). При этом используется следующий формат:
| Поля, входящие в поле Опции | Значение |
|---|---|
| TYPE (8 бит) | 10000010, (130 в десятичном представлении, что определяет тип поля Опции — Безопасность (Security)) |
| LENGTH (8 бит) | Значение длины поля Опции в октетах. |
| CLASSIFICATION LEVEL (8 бит) | Указывается уровень конфиденциальности (степень секретности). |
| PROTECTION AUTHORITY FLAGS (переменной длинны) | Указывается принадлежность (подведомственность) трафика определенному органу по защите, определяющему правила защиты для передачи и обработки информации, содержащейся в информационном потоке. |
Пример настройки фильтрации по классификационным меткам#
В этом разделе рассматриваются пример конфигурации Numa Edge осуществляющей фильтрацию по классификационным меткам в сетевом трафике. В пределах стенда необходимо обеспечить возможность прохождения от АРМ №1 к Сервер №1 исключительно сетевого трафика содержащего классификационные метки соответствующие уровням конфиденциальности 1 и 2 ОС «Astra Linux Special Edition».
Схема стенда представлена на рисунке ниже.
Рассматриваемый стенд состоит из:
- АРМ №1 (под управлением ОС «Astra Linux Special Edition») c IP-адресом 10.0.0.1/24.
- Сервер №1 (под управлением ОС «Astra Linux Special Edition») c IP-адресом 10.10.10.1/24.
- Изделие Numa Edge, являющееся шлюзом по умолчанию для АРМ№1 и Сервер №1, с адресами 10.0.0.254/24 (порт eth1, подключен к АРМ №1) и 10.10.10.254/24 (порт eth2, подключен к Сервер №1).
В информационной системе используется 4 уровня конфиденциальности (степени секретности) – от 0 до 3 включительно (в соответствии с ОС «Astra Linux Special Edition»). Процесс конфигурирования ОС «Astra Linux Special Edition» выходит за пределы данной инструкции и предполагается, что уже реализован должным образом.
Для создания политики межсетевого экранирования по классификационным меткам необходимо выполнить следующие действия в режиме настройки:
Пример – Фильтрация по классификационным меткам#
- Создание именованных категорий для их дальнейшего использования в фильтрах трафика:
- Определение фильтра трафика sec-с – соответствующего уровню конфиденциальности 1:
- Определение фильтра трафика sec-s – соответствующего уровню конфиденциальности 2:
- Определение фильтра трафика sec-ts – соответствующего уровню конфиденциальности 3:
- Создание политики фильтрации, разрешающей прохождение трафика соответствующего фильтрам sec-s и sec-c и запрещающей иные соединения:
- Применение политики к входящим пакетам на интерфейсе eth0:
- Фиксация настройки: