5-0 Регистрация объектов
В этой главе показано, что представляют собой объекты, для чего они используются и как их регистрировать в межсетевом экране Aker.
5-1 Введение
Что представляют собой объекты и для чего они нужны?
Объекты служат для отображения реальных параметров в межсетевом экране Aker. С их помощью становится возможным представление хостов, сетей, сервисов и т.д.
Основным преимуществом их использования является то, что после их описания в межсетевом экране с ними самими можно обращаться как с параметрами, что значительно облегчает работу по их настройке. Все модификации объектов будут автоматически распостраняться на все ссылки в них .
Например, можно определить хост, назвав его WWW Server с IP адресом 10.0.0.1. После этого больше нет необходимости помнить этот IP адрес. Везде где необходимо задействовать этот хост, к нему можно обращаться по имени. Если потом поменять его IP адрес, то необходимо будет лишь изменить описание самого объекта, и система автоматически использует новое определение во всех ссылках на него.
Определение объектов
Перед тем, как пояснить процедуру регистрации объектов в межсетевом экране Aker, необходимо сделать краткий обзор всех возможных типов объектов.
В межсетевом экране Aker существуют 5 различных типов объектов: хосты, сети, наборы, сервисы и аутентификаторы.
Объекты типа "хост" и "сеть" представляют соответственно отдельные хосты и сети. Объекты типа "набор" представляют совокупность любого числа хостов и сетей. Объекты типа "сервис" описывают сервисы, а объекты типа "аутентификатор" описывают специальный тип хоста, который может использоваться для аутентификации пользователей.
По определению, IP протокол требует, чтобы все хосты имели различные адреса. Обычно эти адреса представляются в виде разделенного точками набора из 4-х цифр, например, 172.16.17.3. И потому каждый хост, можно характеризовать, используя только его собственный адрес.
Для определения сети наряду с IP адресом необходимо знание маски. Маска применяется для того, чтобы определить, какие разряды IP адреса будут использованы для представления сети (разряды со значением 1), а какие - для представления хостов в сети (разряды со значением 0). Итак, чтобы представить сеть, в которую входят хосты с IP адресами от 192.168.0.1. до 192.168.0.254, необходимо пользоваться значением сети 192.168.0.0 и значением сетевой маски 255.255.255.0. Такая сетевая маска означает, что три первых байта используются для представления сети, а последний байт - для представления хоста.
Проверка принадлежности хоста некоторой сети требует выполнения логической операции AND между значением сетевой маски и этим адресом, логической операции AND между значением сетевой маски и адресом сети, и сравнением результата. Если они одинаковы, хост принадлежит сети, в противном случае - нет. Рассмотрим два примера:
Предположим, что нужно проверить, принадлежит ли хост 10.1.1.2 сети 10.1.0.0, сетевая маска 255.255.0.0. Имеем:
10.1.0.0 AND 255.255.0.0 = 10.1.0.0 (для сети)
10.1.1.2 AND 255.255.0.0 = 10.1.0.0 (для адреса)
Так как после применения сетевой маски оба результата оказались одинаковыми, хост 10.1.1.2 принадлежит сети 10.1.0.0.
А теперь допустим, что нам надо знать, принадлежит ли хост 172.16.17.4 сети 172.17.0.0, сетевая маска 255.255.0.0. Имеем:
172.17.0.0 AND 255.255.0.0 = 172.17.0.0 (для сети)
172.16.17.4 AND 255.255.0.0 = 172.16.0.0 (для адреса)
Поскольку результаты различны, хост 172.16.17.4 не принадлежит сети 172.17.0.0.
Если необходимо определить сеть, к которой принадлежит любой хост, используйте сеть с адресом 0.0.0.0 и сетевой маской 0.0.0.0 Это правило полезно при определении общедоступных сервисов, к которым имеют доступ все хосты Интернет.
При соединении хостов по IP протоколу это соединение характеризуется не только адресами источника и назначения, но и параметрами протокола более высокого уровня (транспортного). В случае TCP и UDP протоколов (которые чаще других применяются сверх IP протокола), соединение идентифицируется двумя числами: портом источника и портом назначения.
Порт назначения является фиксированным числом, обычно соответствующим конкретному сервису. Например, для Telnet используется порт 23 (TCP), для FTP - 21 порт (TCP), для SNMP - 161 порт (UDP).
Порт источника является числом, определяемым программой - клиентом. Таким образом, соединение при использовании TCP и UDP протоколов может идентифицироваться следующим образом:
10.0.0.1
1024 - 10.4.1.2
23
TCP
----------------------------------------------------------------------------
Адрес источника Порт источника Адрес назначения Порт
назначения Протокол
Из-за того, что порт источника выбирается случайным образом, для межсетевого экрана его значение не важно. Поэтому при определении сервиса рассматривается только порт назначения.
Кроме TCP и UDP протоколов, существует и другой важный протокол, ICMP. Этот протокол используется самим IP протоколом для отправки контрольных сообщений, для информации об ошибках и для тестирования целостности сети.
Для ICMP протокола не используется концепция портов. В нем используется число от 0 до 255 для указания типа сервиса.
Кроме того, существуют и другие протоколы, отличные от TCP, UDP и ICMP, которые могут запускаться поверх IP протокола. Они используютс довольно редко, но тем не менее, в межсетевом экране Aker предусмотрена их поддержка, позволяющая администратору контролировать их прохождение через межсетевой экран.
Чтобы понять, как это делается, достаточно знать, что каждый протокол имеет свой уникальный номер 0 до 255, который идентифицирует его для IP протокола. Благодаря этому мы можем определить сервисы для других протоколов, используя номер протокола для идентификации сервиса.
5-2 Регистрация объектов с использованием GUI
Для доступа к окну регистрации объектов нужно сделать следующее:
- Выбрать меню Регистрация в главном окне
- Выбрать опцию Объекты и сервисы
Окно определения объектов
Используя окно определения объектов можно зарегистрировать любой объект межсетевого экрана Aker, независимо от типа.
- На правой стороне окна расположены пять иконок, представляющих пять возможных типов объектов. Под ними помещен список, из которого можно определить тип объекта дл просмотра или создания.
Указание: Для выбора типа объекта вы можете или использовать иконку, или опцию в списке.
- Клавиша Да закрывает окно.
- Клавиша Помощь открывает окно помощи для данного окна.
- Если отмечена опция Сортировать, список будет показан в алфавитном порядке.
Для создания нового объекта выполните следующие действия:
- Выделите тип создаваемого объекта, выбрав соответствующую иконку или название
- Правой клавишей мыши и выделите опцию Добавить во всплывающем меню или выберите иконку создания объекта в инструментальном меню в верхней части окна.
Если выбрана опция Все, то как иконка, так и опция меню создания объекта будут недоступны.
Для редактирования или удаления объекта вам необходимо:
- Выделите редактируемый объект (если необходимо, выберите сначала соответствующий тип объекта).
- Правой клавишей мышии выделите соответственно опцию Редактировать или Удалить во всплывающем меню или нажмите на иконке редактирования или удаления в инструментальном меню.
При использовании опций Редактировать или Удалить появится окно свойств объектов . Это окно будет различным для каждого из возможных типов объектов
Создание/редактирование хостов
Для регистрации объектов типа "хост" необходимо заполнить следующие поля:
Имя: имя, которое будет использоваться межсетевым экраном для обращаения к данному хосту. Можно указывать это имя вручную или присваивать его автоматически. Опция Сгенерировать имя позволяет выбирать между двумя режимами работы; автоматическим (если она установлена), и ручным
В именах объектов заглавные и строчные буквы различаются. Поэтому возможно существование большого числа объектов, имена которых составлены из одних и тех же букв, но различаются комбинациями их строчного и заглавного написания. Так объекты Aker, AKER и aker считаются различными.
Иконка: это иконка, которая будет ассоциироваться с хостом. Для ее модификации надо нажать на графическое изображение значка. Тогда межсетевой экран покажет список всех возможных значков, представляющих хосты. Для выделения одного из них нужно нажать на его изображение и кнопку Да. Если вы не хотите модифицировать значок, то после просмотра списка достаточно нажать на кнопку Отменить.
IP адрес: IP создаваемого хоста.
Для создания или модификации хоста после заполнения всех полей необходимо щелкнуть на кнопке Да. Для отмены создания хоста или сделанных модификаций щелкните на кнопке Отменить.
Чтобы облегчить правильное создание множества хостов существует кнопка Создать новый (недоступная во время редактирования). Если нажать на эту кнопке, появится форма создания хоста с заполненными полями. Этим способом можно быстро создавать большое число хостов.
Создание/редактирование описания сетей
Для регистрации объекта типа "сеть" необходимо заполнить следующие поля:
Имя: имя, которое будет использоваться межсетевым экраном для обращаения к данной сети. Можно указывать это имя вручную или присваивать его автоматически. Опция Сгенерировать имя позволяет выбирать между двумя режимами работы; автоматическим (если она установлена), и ручным.
В именах объектов заглавные и строчные буквы различаются. Поэтому возможно существование большого числа объектов, имена которых составлены из одних и тех же букв, но различаются комбинациями их строчного и заглавного написания.Так объекты Aker, AKER и aker считаются различными.
Иконка: Это иконка, которая будет ассоциироваться с сетью. Для ее модификации надо нажать на графическое изображение значка. Тогда межсетевой экран покажет список всех возможных значков, представляющих сети. Для выделения одного из них нужно нажать на его изображение и кнопку Да. Если вы не хотите модифицировать значок, то после просмотра списка достаточно нажать на кнопку Отменить.
IP адрес: IP адрес создаваемой сети.
Маска: Сетевая маска создаваемой сети.
Для создания или модификации сети после заполнения всех полей необходимо нажать кнопку Да. Для отмены создания сети или сделанных модификаций нажмите кнопку Отменить.
Чтобы облегчить правильное создание множества сетей существует кнопка Создать новую (недоступная во время редактирования). Если нажать на эту кнопку, появится форма создания сети с заполненными полями. Этим способом можно быстро создавать большое число сетей
Создание / редактирование наборов
Для регистрации объекта типа "набор" необходимо заполнить следующие поля:
Имя: Имя создаваемого набора. Опция Сгенерировать имя позволяет выбирать между двумя режимами работы ввода имени; автоматическим (если она установлена), и ручным
В именах объектов заглавные и строчные буквы различаются. Поэтому возможно существование большого числа объектов, имена которых составлены из одних и тех же букв, но различаются комбинациями их строчного и заглавного написания. Так объекты Aker, AKER и aker считаются различными.
Иконка: Это иконка, которая будет ассоциироваться с набором. Для ее модификации надо нажать на графическое изображение значка. Тогда межсетевой экран покажет список всех возможных значков, представляющих наборы. Для выделения одного из них нужно нажать на его изображение и кнопку Да. Если вы не хотите модифицировать значок, то после просмотра списка достаточно нажать кнопку Отменить.
После заполнения имени и выбора иконки для набора, необходимо определить, какие хосты и сети будут в него входить:
- В окне размещаются два списка: верхний список показывает все хосты и сети, определенные в системе. Нижний список показывает, какие из этих хостов и сетей уже принадлежат набору.
- В правой стороне окна расположены два значка представляющие два типа объектов, которые можно добавить к набору - хосты и сети. Справа под значками помещается список, в котором можно выделить, следует ли показать на дисплее только хосты или только сети, или сразу оба объекта.
Указание: Для выбора типа объекта можно нажать или на имя типа в списке или на соответствующий значок.
Чтобы добавить хост или сеть к набору, необходимо выполнить следующие действия:
- Выберите добавляемый хост или сеть в верхнем списке окна (если необходимо, выбрав сначала соответствующий тип объекта).
- Нажмите кнопку Добавить. (только что добавленный объект будет помечен красным значком V для указания, что он теперь принадлежит набору)
Чтобы удалить сеть или хост из набора, необходимо сделать следующее:
- Выделить удаляемый хост или сеть из нижнего списка окна.
- Нажать кнопку Удалить. (удаляемый объект больше не будет помечен значком V)
Для выполнения процедуры создания набора или его модификации после заполнения всех полей необходимо нажать кнопку Да. Чтобы отменить создание набора или сделанные модификации, надо нажать кнопку Отменить
Чтобы облегчить создание множества наборов существует кнопка Создать новый (недоступная во время редактирования). Если ее нажать, появится форма создания набора с заполненными полями. Этим способом можно быстро создавать большое число наборов.
Создание / редактирование аутентификаторов
Для регистрации объекта типа "аутентификатор" необходимо заполнить следующие поля:
Имя: имя, которое будет использоваться межсетевым экраном для обращаения к данному аутентификатору сети. Можно указывать это имя вручную или присваивать его автоматически. Опция Сгенерировать имя позволяет выбирать между двумя режимами работы; автоматическим (если она установлена), и ручным.
В именах объектов заглавные и строчные буквы различаются. Поэтому возможно существование большого числа объектов, имена которых составлены из одних и тех же букв, но различаются комбинациями их строчного и заглавного написания.Так объекты Aker, AKER и aker считаются различными.
Иконка: Это иконка, которая будет ассоциироваться с аутентификатором. Для ее модификации надо нажать на графическое изображение значка. Тогда межсетевой экран покажет список всех возможных значков, представляющих аутентификаторы. Для выделения одного из них нужно нажать на его изображение и кнопку Да. Если вы не хотите модифицировать значок, то после просмотра списка достаточно нажать кнопку Отменить.
IP: IP адрес создаваемого аутентификатора.
Пароль:это пароль, используемый для генерации аутентификатора и ключей шифрования, применяемых для соединения с агентом аутентификации. Этот пароль должен совпадать с паролем, определенном при настройке агента. Для получения более подробной информации смотрите главу 15 Работа с proxy серверами
Срок жизни кэша: при каждом успешном проведении аутентификации межсетевой экран сохраняет в памяти все данные, полученные от пользователя и агента аутентификации. Таким образом, при последующих аутентификациях межсетевой экран уже имеет все необходимые данные и не должен снова запрашивать информацию у агента. Это приводит к существенному повышению производительности.
Данный параметр позволяет установить время в секундах, в течение которого межсетевой экран хранит информацию об аутентификации в памяти. Для получения более подробной информации смотрите главу 15 Работа с proxy серверами.
Чтобы выполнить создание аутентификатора или его модификации, после заполнения всех полей необходимо нажать кнопку Да. Для отмены создания или модификации аутентификатора надо нажать кнопку Отменить.
Чтобы облегчить правильное создание множества аутентификаторов существует кнопка Создать новый (недоступная во время редактирования). Если нажать на эту кнопку, появится форма создания аутентификатора с заполненными полями. Этим способом можно быстро создавать большое число аутентификаторов
Создание / редактирование сервисов
Для регистрации объектов типа "сервис" необходимо заполнить следующие поля:
Имя: имя, которое будет использоваться межсетевым экраном для обращаения к данному сервису. Можно указывать это имя вручную или присваивать его автоматически. Опция Сгенерировать имя позволяет выбирать между двумя режимами работы; автоматическим (если она установлена), и ручным.
В именах сервисов заглавные и строчные буквы различаются. Поэтому возможно существование большого числа сервисов, имена которых составлены из одних и тех же букв, но различаются комбинациями их строчного и заглавного написания. Так сервисы Aker, AKER и aker считаются различными.
Иконка: Это иконка, которая будет ассоциироваться с сервисом. Для ее модификации надо нажать графическое изображение значка. Тогда межсетевой экран покажет список всех возможных значков, представляющих сервисы. Для выделения одного из них нужно нажать на его изображение и кнопку Да. Если вы не хотите модифицировать значок, то после просмотра списка достаточно нажать кнопку Отменить.
Протокол: Используемый сервисом протокол
Сервис: это число, которое идентифицирует сервис. В случае TCP и UDP протоколов это число определяет порт назначения. В случае ICMP протокола - это тип сервиса, а в случае других протоколов - номер протокола. Чтобы облегчить создание сервиса, межсетевой экран имеет для каждого протокола список основных сервисов. Однако, возможно использование значений, не представленных в списке, если вы просто введете эти значения в поле.
Если вы хотите указать область значений вместо одного, достаточно нажать кнопку рядом с именами Сервис1 и Сервис2 и указать нижнее значение границы области в Сервис1, а верхнее - в Сервис2. Все значения между этими двумя, включая границы, будут рассматриваться как составляющие сервиса.
Proxy: это поле доступно только для TCP протокола и позволяет установить, будет ли соединение, удовлетворяющее данному сервису, автоматически перенаправлено одному из прозрачных proxy межсетевого экрана Aker или нет. Значением по умолчанию является Без Proxy, означающее, что соединение не будет перенаправлено никакому proxy. Другие опции представляют SMTP Proxy и Telnet Proxy, которые перенаправляют соединение соответственно SMTP и Telnet Proxy.
Сервис Telnet привязан к порту 23, а SMTP - к порту 25. Можно установить, что бы соединения по любым другим портам перенаправлялись бы одному из упомянутых выше proxies; однако такие настройки не следует производить самостоятельно, пока вы не выясните все возможные последствия этого шага.
Если вы определили, что соединение должно быть перенаправлено proxy, то необходимо выбрать, какой контекст будет использован данным proxy для этого сервиса. Это делается с помощью поля Context Name. Это поле будет показывать на дисплее имена всех определенных контекстов для выбранного proxy и позволяет выделить одно из них. Для получения более подробной информации о прозрачных proxy-серверах смотрите главу 15 Работа с proxy серверами
Чтобы завершения создания или модификации сервиса, необходимопосле заполнения полей щелкнуть кнопку Да. Для отмены надо щелкнуть кнопку Отменить.
Чтобы облегчить правильное создание множества сервисов существует кнопка Создать новый (недоступная во время редактирования). Если нажать на эту кнопку, будет создана форма создания сервиса с заполненными полями. Этим способом можно быстро создавать большое число сервисов.
5-3 Использование интерфейса командной строки
Интерфейс командной строки для настройки объектов достаточно прост в использовании, причем он обладает теми же возможностями, что и графический интерфейс.
Путь к программе: /etc/firewall/fwent
Syntax:
fwent help
fwent show
fwent remove <name>
fwent add host <name> <IP>
fwent add network <name> <IP> <mask>
fwent add set <name> [<entity1> [<entity2>] ...]
fwent add authenticator <name> <IP> <password ><cache lifetime>
fwent add service <name> [TCP | UDP | ICMP | OTHER] <value>[..<value>]
[TELNET | SMTP <context>]
Program help:
Aker Firewall - Version 3.01
fwent - интерфейс командной строки для конфигурирования объектов
Usage: fwent help
fwent show
fwent remove <name>
fwent add host <name> <IP>
fwent add network <name> <IP><mask>
fwent add set <name> [<entity1>[<entity2>] ...]
fwent add authenticator <name><IP> <password> <cache lifetime>
fwent add service <name> [TCP
| UDP | ICMP | OTHER]
<value>[..<value>]
[TELNET | SMTP <context>]
show =
показывает все описанные объекты в системе
add
= добавляет новый объек
remove = удаляет существующий
объект
help =
показывает данное сообщение
Для команд добавления/удаления:
name =
имя создаваемого или удаляемого объекта
Для команд добавления:
IP
= IP адрес сети или хоста
mask =
маска сети
entity = имя добавляемых
к набору объектов
(к набору могут добавляться только хосты или сети)
password = пароль доступа к агенту
аутентификации
cache = время
жизни в секундах, в течение которого в
памяти хранится информации об аутентификации.
TCP
= сервис использует TCP протокол
UDP
= сервис использует UDP протокол
ICMP =
сервис использует ICMP протокол
OTHER = сервис использует протокол, отличный от указанных выше
value = число, идентифицирующее сервис. Для TCP и UDP это номер порта, ассоциированного с сервисом. Для ICMP это тип сервиса, для для других протоколов это номер самого протокола. Можно указывать область значений путем указания диапазона значение1..значение2, что означает все значения между значение1 и значение 2 включительно.
TELNET = сервис должен
быть переадресован Telnet proxy
SMTP =
сервис должен быть переадресован SMTP proxy
context = имя контекста
для proxy
Пример 1: (просмотр описанных объектов)
#fwent show
Hosts:
------
cache 10.4.1.12
firewall 10.4.1.11
Networks:
---------
AKER 10.4.1.0 255.255.255.0
Internet 0.0.0.0 0.0.0.0
Sets:
-----
Interior Hosts cache firewall
Authenticators:
---------------
Authenticator NT 10.4.1.2 234jdfjdff32 600
Services:
---------
echo reply ICMP 8
echo request ICMP 0
ftp TCP 21
snmp UDP 161
telnet TCP 23
Пример 2: (Создание объекта типа хост)
#/etc/firewall/fwent add host Server_1 10.4.1.4
Entity added
Пример 3: ((Создание объекта типа сеть)
#/etc/firewall/fwent add network Network_1 10.4.0.0 255.255.0.0
Entity added
Пример 4: ((Создание объекта типа сервис)
#/etc/firewall/fwent add service DNS UDP 53
Entity added
Пример 5: (Создание объекта типа аутентитфикатор)
#/etc/firewall/fwent add authenticator "Unix Authenticator" 10.4.2.2 password_123 900
Entity added
Использование
кавычек " " у имени объекта обязательно, когда создаются или удаляются
объекты, имена которых содержат пробелы
Пример 6: (Создание набора объектов, состоящего из ранее созданных
хостов cache и firewall)
#/etc/firewall/fwent add set "Test set" cache firewall
Entity added
Пример 7: (удаление объекта)
#/etc/firewall/fwent remove "Unix Authenticator"
Entity deleted