Механизм работы отдельных подсистем комплекса
Подсистема фильтрации вызовов и правила фильтрации
Подсистема фильтрации сетевых вызовов программно-аппаратного комплекса "ФПСУ Х.25" предназначена для:
- фильтрации запросов на установление виртуальных соединений;
- идентификации и аутентификации удалённого МЭ с целью защиты межсетевых потоков информации абонентов от НСД (от навязывания, искажения и подмены);
- взаимной аутентификации МЭ и удалённых администраторов, имеющих доступ к локальному комплексу.
Кроме того, подсистема фильтрации сетевых вызовов реализует дополнительные возможности программно-аппаратного комплекса "ФПСУ X.25": возможность резервирования линии связи сети X.25, возможность интеллектуального сжатия данных, возможность преобразования данных при передаче и контроля за принимаемой информацией.
Подсистема фильтрации сетевых вызовов имеет также встроенный модуль, обеспечивающий возможность дистанционного управления работой МЭ, регистрирующий удаленных администраторов и осуществляющий аутентификацию при взаимодействии МЭ с удалённым администратором. Подробная информация о работе удалённого администратора и механизме двусторонней аутентификации будет изложена в соответствующем разделе.
Механизм управления доступом, осуществляемый МЭ "ФПСУ X.25", базируется на анализе входящих и исходящих вызовов, который заключается в сопоставлении полей в пакете "Запрос Вызова" правилам и данным, установленным при конфигурировании локальным или удалённым администраторами МЭ в таблицах разрешенных соединений.
Основным элементом каждой записи таблиц разрешенных соединений является сетевой адрес абонента или маска адреса.
Сетевой адрес - последовательность цифр длиной не более 15 символов, закрепленная за данным абонентом в сети и однозначно его идентифицирующая. Маска адреса - описатель группы сетевых адресов с общей начальной частью.
Таблицы разрешенных соединений состоят из таблицы внешних соединений и таблицы местных соединений.
Таблица внешних соединений построена по принципу "белого списка" - доступ от неописанных адресов и к неописанным адресам запрещен.
Таблица местных соединений построена по следующему принципу: доступ к неописанным местным адресатам со стороны глобальной сети и к адресатам глобальной сети от неописанных местных особым образом не регламентирован и производится в соответствии с правилами, указанными в таблице внешних соединений для данного адреса абонента глобальной сети.
В таблице внешних соединений содержатся описатели абонентов (групп абонентов) со стороны глобальной сети, включающие:
- сетевой адрес или маску адреса удалённого абонента;
- разрешенные направления доступа;
- режим работы;
- группа, серия и номер аутентификационных данных, используемых в режимах с аутентификацией;
- номера интерфейсов (правил) доступа, по которым (или по одному из которых) удалённый абонент должен запрашивать абонентов местной подсети;
- параметры подсистемы резервирования через сеть ANET для связи терминальных абонентов с указанными сетевыми адресами (группами адресов).
В таблице местных соединений содержатся описатели абонентов (групп абонентов) со стороны местной (защищаемой) подсети, включающие:
- сетевой адрес или маску адреса местного абонента;
- номер линии, по которой доступен местный абонент (абоненты) при вызове по системе резервирования;
- разрешенные направления доступа;
- особый режим работы или указание использования режима работы, определенного в таблице внешних соединений для удалённого абонента, пытающегося установить виртуальное соединение с данным местным абонентом;
- номера зарегистрированных интерфейсов (правил) доступа к данному местному адресу (группе адресов) со стороны удалённых абонентов.
Для усиления механизма защиты о НСД при фильтрации запросов на установление виртуальных соединений для передачи данных по сети к описателям абонентов в описанных выше таблицах соединений при необходимости могут быть подключены интерфейсы доступа.
Под интерфейсом доступа понимается некоторая совокупность правил заполнения полей в пакете "Вызов" и допустимых временных интервалов обращений по дням недели (дате/времени).
Правилами регламентируется наличие или отсутствие протокольных полей услуг и содержимое поля "Данные вызова".
Интерфейс доступа может использоваться при разграничении прав на доступ удалённых абонентов (со стороны глобальной сети) к местным абонентам. Интерфейсы доступа могут подключаться как к элементам таблицы внешних, так и местных соединений или к обоим одновременно.
Контроль доступа удалённого абонента со стороны глобальной сети к конкретному местному абоненту может осуществляться в два этапа:
- контроль разрешения на вход данному удалённому абоненту в местную подсеть по одному или нескольким интерфейсам доступа, указанным в соответствующем элементе таблицы внешних соединений для сетевого адреса (маски адресов) удалённого абонента;
- контроль разрешения на обращение к конкретному абоненту местной подсети по одному или нескольким интерфейсам доступа, указанным в соответствующем элементе таблицы местных соединений для данного адреса (маски адресов) местного абонента.
В интерфейсе доступа можно задавать разрешенные для вызова абонентов временные интервалы, определяемые днем (днями) недели и временами начала и конца работы. Для каждого интерфейса доступа могут быть заданы интервалы работы, вне которых доступ запрещен. Если для какого-либо интервала не задан временной диапазон, доступ по данному временному интервалу будет запрещен.
Описатель "Направление доступа" - указание разрешенного инициатора установления виртуального соединение. Возможны следующие указания:
- от местного (со стороны своей защищаемой подсети) абонента к удалённому;
- от удалённого к местному;
- разрешены оба направления.
Режим работы определяет способ обработки запроса: необходимость дальнейшей идентификации и аутентификации запроса с целью подтверждения подлинности удалённого адреса абонента, а также методы передачи данных по установившемуся виртуальному соединению и способы контроля за процессом приёма/передачи данных.
В комплексе реализованы следующие режимы работы:
- ретрансляция
- режим, при котором не производятся идентификации и аутентификации запроса и контроль за процессом приёма/передачи данных (данные передаются в неизменном виде);
- сжатие
- режим, при котором производится идентификация удалённого МЭ с последующим сжатием межсетевого трафика и контроль за порядком следования данных и за целостностью их по контрольным суммам;
- сжатие с аутентификацией
- режим, при котором производится идентификация и аутентификация удалённого МЭ с последующим сжатием и маскирующим преобразованием межсетевого трафика и контроль за порядком следования данных и за целостностью их по контрольным суммам;
- сжатие по маске
- режим, при котором производится идентификация удалённого МЭ с последующим сжатием и преобразованием внешней подсистемой межсетевого трафика и контроль за порядком следования данных, целостностью их по контрольным суммам и добавляемым полям обработки внешней подсистемы;
- сжатие по маске с аутентификацией
- режим, при котором производится идентификация и аутентификация удалённого МЭ с последующим сжатием, преобразованием внешней подсистемой и маскирующим преобразованием межсетевого трафика и контроль за порядком следования данных, целостностью их по контрольным суммам и добавляемым полям обработки внешней подсистемы;
Режимы сжатия по маске и сжатие по маске с аутентификацией доступны для использования при подключении специальных подсистем через соответствующий открытый интерфейс МЭ.
Режимы работы СЕТЕВЫХ ФИЛЬТРОВ, работающих в паре, должны быть согласованы. Таблица 5-1 отображает совместимость режимов работы двух СФ.
Таблица -1
Совместимые режимы работы |
Ретрансляция |
Сжатие |
Сжатие с аутентификацией |
сжатие по
маске |
сжатие по маске с аутентификацией |
Ретрансляция |
+ |
- |
- |
- |
- |
Сжатие |
- |
+ |
+ |
- |
- |
Сжатие с аутентификацией |
- |
+ |
+ |
- |
- |
сжатие по
маске |
- |
- |
- |
+ |
+ |
сжатие по маске с аутентификацией |
- |
- |
- |
+ |
+ |
Параметрами подсистемы резервирования являются приоритет использования сетевых линий (основной и альтернативной) и ANET-адрес удалённого МЭ, с которым нужно соединиться для установления виртуального соединения с удалённым абонентом c сетевым адресом, указанным в таблице внешних соединений. Приоритет использования может быть следующим:
- в качестве основной используется линия глобальной сети X.25, в случае неполадок происходит автоматическое переключение на использование резервной линии;
- сначала осуществляется попытка соединиться по резервной линии, при неудаче используется основная;
- выбирается та линия, где задействовано меньше виртуальных каналов;
- используется только резервная линия.
Механизм работы подсистемы фильтрации сетевых вызовов.
При поступлении на МЭ запроса на установление виртуальных соединений фильтрация осуществляется комплексом "ФПСУ X.25" в следующем порядке:
- Осуществляется анализ значений всех полей пакета "Запрос вызова" с целью проверки соответствия протоколу X.25. Если результат анализа отрицательный - в ответ выдается приказ на разъединение проключаемого виртуального канала с регистрацией данного события в подсистеме статистики и фильтрация будет закончена с отрицательным результатом.
- Осуществляется идентификация пакета "Запрос вызова". В случае, если вызов поступил от подсистемы удалённого администрирования, зарегистрированной на данном МЭ, выдается подтверждение вызова и производятся действия по идентификации и аутентификации удаленного администратора.
- Производится вычленение из пакета "Запрос вызова" адресов отправителя и получателя.
- Выполняется операция поиска соответствующего терминального адреса в таблице местных соединений.
- Если адрес в таблице местных соединений не содержится, сразу будет осуществлен переход к анализу, описанному в п.11).
- Производится сопоставление направления вызова с разрешенными направлениями вызова, указанными в элементе таблицы местных соединений для данного найденного адреса или маски адресов. Если результат сопоставления отрицательный - в ответ выдается приказ на разъединение проключаемого виртуального канала с регистрацией данного события в подсистеме статистики и фильтрация будет закончена с отрицательным результатом.
- Если вызов производится со стороны местных абонентов, будет осуществлен переход к анализу, описанному в п.11).
- В случае, если к найденному местному адресу в таблице местных соединений не подключен какой-либо из описанных интерфейсов доступа, будет осуществлен переход к анализу, описанному в п.11).
- Из подключенных к данному элементу таблицы местных соединений выбираются интерфейсы доступа, которым соответствует данный запрос вызова. Если запрос не удовлетворяет ни одному интерфейсу, в ответ выдается приказ на разъединение проключаемого виртуального канала с регистрацией данного события в подсистеме статистики и фильтрация будет абсолютной (с отрицательным результатом соединения).
- По выбранным интерфейсам доступа производится проверка разрешения вызова в текущий момент с учетом дня недели и времени, указанных в интерфейсах. Если результат проверки отрицательный - в ответ выдается приказ на разъединение проключаемого виртуального канала с регистрацией данного события в подсистеме статистики, т.е. фильтрация будет закончена с отрицательным результатом.
- Выполняется операция поиска соответствующего удалённого адреса в таблице внешних соединений.
- Если адрес в таблице внешних соединений не содержится, в ответ выдается приказ на разъединение проключаемого виртуального канала с регистрацией данного события в подсистеме статистики и фильтрация будет закончена с отрицательным результатом.
- Производится сопоставление направления вызова с разрешенными направлениями вызова, указанными в элементе таблицы внешних соединений для данного найденного адреса или маски адресов. Если результат сопоставления отрицательный - в ответ выдается приказ на разъединение проключаемого виртуального канала с регистрацией данного события в подсистеме статистики и фильтрация будет закончена с отрицательным результатом.
- В случае, если к найденному удалённому адресу в таблице внешних соединений не подключен какой-либо из описанных интерфейсов доступа, будет осуществлен переход к действиям, описанному в п.17).
- Из подключенных к данному элементу таблицы внешних соединений выбираются интерфейсы доступа, которым соответствует данный запрос вызова. Если запрос не удовлетворяет ни одному интерфейсу, в ответ выдается приказ на разъединение проключаемого виртуального канала с регистрацией данного события в подсистеме статистики и фильтрация будет закончена с отрицательным результатом.
- По выбранным интерфейсам доступа производится проверка разрешения вызова в текущий момент с учетом дня недели и времени, указанных в интерфейсах. Если результат проверки отрицательный - в ответ выдается приказ на разъединение проключаемого виртуального канала с регистрацией данного события в подсистеме статистики и фильтрация будет закончена с отрицательным результатом.
- На этом фильтрация запроса на установления заканчивается, соединение разрешается и результат фильтрации фиксируется в подсистеме статистики. Если в таблицах соединений заказано резервирование линии связи, будет произведен выбор сетевой линии, по которой (или по которым) будут передаваться данные. В случае использования в качестве сетевой линии линии подсистемы резервирования через сеть ANET будет произведена трансляция адресов в ANET-адреса, указанные в элементе таблицы внешних соединений.
Дальнейший контроль за установившимся виртуальным соединением будет производиться в зависимости от указанного в таблицах соединений режима работы. Могут быть реализованы идентификация и аутентификация запроса, а также различные методы передачи данных по установившемуся виртуальному соединению и способы контроля за процессом приёма/передачи данных.
Если полученный режим работы отличается от режима "Ретрансляция", данные при межсетевом обмене будут сжиматься. Для реализации механизма сжатия используется высокоэффективный быстродействующий двухпроходный компрессор (по модифицированным схемам LZW и Huffman) с анализом предистории. После сжатия данные будут снабжены необходимыми контрольными суммами и каждый выходящий пакет будет иметь собственный циклический номер, что позволяет контролировать последовательность приема пакетов и их целостность (т.е. количество входящих пакетов с терминальной стороны в принципе больше выходящих в сетевую сторону), поэтому целесообразно на терминальной стороне комплекса устанавливать существенно большую скорость передачи чем на сетевой стороне комплекса.
Если были выбраны режимы "Сжатие по маске", данные будут при приеме и передаче дополнительно пропускаться через специальную подсистему, работающую через открытый интерфейс МЭ.
После этого, если были установлены режимы работы с аутентификацией, на выходящие после сжатия (и преобразования) данные будет наложена логическая маска, выработанная случайным образом в результате процесса аутентификации удалённого (взаимодействующего в данном соединении) МЭ.
Механизм идентификации и аутентификации запросов.
Идентификация и аутентификация запросов абонентов может осуществляться МЭ при условии, что определенный на этапе фильтрации режим работы по установившемуся виртуальному соединению отличен от режима "Ретрансляция".
До окончания процессов идентификации и аутентификации обмен данными между абонентами будет запрещен и попытка передачи данных будет расценена как попытка НСД, в ответ на них будет выдан приказ на разъединение установившегося виртуального соединения с регистрацией данного события в подсистеме статистики и процессы идентификации и аутентификации будут закончены с отрицательным результатом.
На этапе идентификации будет проверено, что удалённый абонент, участвующий в данном соединении, является абонентом подсети, защищаемой удалённым МЭ.
На этапе аутентификации будет проверено, что удалённый МЭ, через который работает удалённый абонент, обладает такими же заранее определенными знаниями об удалённом МЭ, что и данный МЭ, через который работает местный абонент, то есть является тем самым МЭ через который должна осуществляться работа с указанным удалённым адресом.
Механизм идентификации заключается в том, что после получения подтверждения запроса на вызов каждый из двух МЭ, участвующих в соединении, уведомляет противоположную сторону о том, что он является МЭ и производит работу в определенном режиме. Оповещение заключается в передаче каждой стороной пакета специализированного формата, снабженного полями, которые позволяют его однозначно идентифицировать и контролировать. По приему этих пакетов каждая из сторон проверяет их на соответствие их требуемому формату и контролирует их целостность, а также сверяет режим работы удалённого МЭ со своим режимом работы, определенным на этапе фильтрации пакета "Запрос вызова". В случае отрицательного результата проверки идентификация удалённого МЭ считается невыполненной и будет выдан приказ на разъединение установившегося виртуального соединения с регистрацией данного события в подсистеме статистики и процесс идентификации будет закончен с отрицательным результатом.
В случае указания на какой-либо из сторон режимов работы с аутентификацией в идентифицирующем пакете, принятом на противоположной стороне, будет содержаться вопрос, на который она должна выработать ответ, используя заранее установленные локальным администратором данные. МЭ, принявший такой запрос, обязан выслать соответствующий ответ аутентификации удалённому МЭ, который будет соответствующим образом проверен и в случае отрицательного результата проверки аутентификация удалённого МЭ считается невыполненной, а подлинность удалённого адреса абонента - неподтвержденной; будет выдан приказ на разъединение установившегося виртуального соединения с регистрацией данного события в подсистеме статистики и процесс аутентификации будет закончен с отрицательным результатом.
Таким образом, в зависимости от указанных режимов работы, МЭ могут использовать как одностороннюю, так и двустороннюю схемы аутентификации.
Для поддержки данного метода на каждом МЭ, участвующем в процессе аутентификации, локальными администраторами должны быть установлены аутентификационные данные, которые вырабатываются специальным центром генерации аутентификационных данных и являются длинными случайными числами, а в таблице внешних соединений для удалённых адресов на каждом из МЭ, участвующем в соединении, должны быть указаны соответствующие номера аутентификационных данных. Вопрос, задаваемый каждым МЭ в процессе аутентификации удалённого МЭ, является также длинным случайным числом, вырабатываемым в процессе идентификации удалённого МЭ. Сторона, принявшая запрос аутентификации, вырабатывает и отсылает ответ, являющийся хэш-функцией композиции аутентификационных данных, указанных при конфигурировании локальным администратором для данного удалённого адреса, и принятых данных аутентифицирующего вопроса. Сторона, заказавшая аутентификацию, сравнивает принятый ответ со значением хэш-функции композиции аутентификационных данных, указанных при конфигурировании локальным администратором для данного удалённого адреса, и ранее высланных данных аутентифицирующего вопроса.
Аутентификация удалённого МЭ считается выполненной и подлинность удалённого адреса абонента считается подтвержденной, если каждой из сторон, заказавшей аутентификацию, получены правильные ответы на соответствующие аутентификационные вопросы.
Реализованная таким образом в программно-аппаратном комплексе "ФПСУ X.25" схема аутентификации запросов абонентов на установление виртуальных соединений обеспечивает устойчивость аутентификации к пассивному и активному перехвату информации в глобальной сети Х.25, поскольку:
- аутентификационные вопросы, вырабатываемые случайным образом для каждого нового виртуального соединения, представляют из себя числа большой размерности, что защищает данные абонентов, передаваемые через глобальную сеть, от попыток их анализа и несанкционированной повторной передачи из глобальной сети;
- аутентификационные ответы вырабатываются с использованием информации, априорно известной только двум МЭ, участвующим в соединении, и она не может быть получена на основании анализа ранее переданных вопросов и ответов за время существования априорной информации, что предотвращает несанкционированные попытки "навязывания" данных абонентам из глобальной сети.
Подсистема разграничения доступа ACCESS-TM SHELL
Подсистема разграничения доступа предназначена для предотвращения несанкционированного доступа к компьютеру, на который установлен программно-аппаратный комплекс "ФПСУ X.25", и базируется на использовании платы "Аккорд" и электронных идентификаторов touch-memory. Плата "Аккорд", устанавливаемая в компьютер, производится фирмой "ОКБ САПР" и её наличие обязательно для установки и функционирования комплекса.
Функционирование СЕТЕВОГО ФИЛЬТРА X.25 под управлением ACCESS-TM SHELL даёт возможность избежать случайного или умышленного неквалифицированного вмешательства в работу комплекса, изменения таблиц разрешенных соединений, конфигурации, установки/изъятия данных для аутентификации или дистанционного управления и т.п.
Подсистема ACCESS-TM SHELL является неотъемлемой частью программно-аппаратного комплекса "ФПСУ X.25". После установки подсистема разграничения доступа создаёт на компьютере замкнутую функциональную среду, в которой работает ФПСУ. Вмешательство в логику работы самого комплекса невозможно и любая попытка использовать ФПСУ не по назначению будет блокирована. В то же время собственная среда комплекса содержит широкий ряд возможностей по управлению МЭ и его функциями, подключению дополнительного оборудования и дополнительного программного обеспечения разработчика, просмотру и анализу регистрационной информации и т.д.
Структурная схема подсистемы ACCESS-TM SHELL:
Как видно из схемы, подсистема состоит из следующих основных модулей:
- модуля контроля полномочий на старте ПЭВМ;
- модуля защиты данных на жестком диске от НСД;
- модуля разграничения полномочий пользователей;
- модуля регистрации локальных администраторов.
Подсистема ACCESS-TM SHELL функционирует в три этапа.
Этап 1. При включении компьютера после выполнения диагностических тестов BIOS компьютера плата "АККОРД" осуществляет запуск модуля контроля полномочий на старте, который проводит идентификацию пользователя (по предъявленной им таблетке touch-memory) для выдачи разрешения на запуск. В случае отсутствия платы "АККОРД" на компьютере или её неисправности загрузка подсистемы производиться не будет.
Этап 2. В случае успешной идентификации пользователя загружается модуль защиты от НСД данных на жестком диске, который будет защищать информацию на жестком диске от просмотра и модификации и пресекать попытку запуска компьютера с системной дискеты. В случае неполадок в компьютере жёсткий диск с установленным на нем комплексом может быть переставлен на другую машину, оснащенную платой "Аккорд" при условии, что диск будет единственным.
Этап 3. В случае успешного осуществления этапов 1 и 2 выполнение стартового BIOS будет продолжено. После загрузки всей подсистемы модуль разграничения полномочий пользователей будет производить контроль за правом доступа пользователей на управление работой комплекса. Контроль доступа осуществляется путем выдачи приглашения на прижатие электронной ТМ-таблетки к съемнику информации, подсоединенному к плате "АККОРД", идентификации таблетки, сопоставления соответствующих данных с данными о зарегистрированных комплексом идентификаторах и принятии решения о допуске. Администратор, не предъявивший или предъявивший некорректный, незарегистрированный или несоответствующий заказанной операции идентификатор, к подсистемам комплекса допущен не будет.
ACCESS-TM SHELL осуществляет контроль и разграничение доступа местных администраторов в соответствии с их логическим разделением на 4 различных класса. Таблица 5-2 отображает реализованные в комплексе "ФПСУ-Х.25" классы администраторов и доступные для них действия.
Таблица -2
Класс
администратора |
Разрешенные действия |
Оператор |
|
Инженер |
- запуск компьютера МЭ
- конфигурирование сетевых адаптеров
- подключение дополнительного оборудования
- просмотр регистрационной информации
|
Администратор |
- запуск компьютера МЭ
- конфигурирование сетевых адаптеров
- подключение дополнительного оборудования
- просмотр регистрационной информации
- установка и редактирование конфигурации МЭ
- регистрация ТМ-идентификаторов
- регистрация удалённых администраторов и установка их прав
- установка пароля условно-постоянного действия на администрирование
|
Главный
администратор |
- запуск компьютера МЭ
- конфигурирование сетевых адаптеров
- подключение дополнительного оборудования
- просмотр регистрационной информации
- установка и редактирование конфигурации МЭ
- регистрация ТМ-идентификаторов
- регистрация удалённых администраторов и установка их прав
- установка пароля условно-постоянного действия на администрирование
- установка изменений и дополнений к программным модулям комплекса
- специальный контроль целостности исполнимых модулей МЭ с использованием нелинейного алгоритма расчета - вычислением их хеш-функций
|
Программно-аппаратный комплекс "ФПСУ X.25" содержит модуль регистрации и учета электронных идентификаторов ТМ, идентифицирующих обслуживающий персонал МЭ. Вся информация о зарегистрированных данным МЭ ТМ-идентификаторах содержится в специальной таблице, доступ к которой имеет только пользователь класса "Администратор" при подтверждении таких полномочий. Одна таблетка (инсталляционная) поставляется вместе с программным обеспечением комплекса и регистрируется с правами основной таблетки главного администратора при установке. Другие таблетки средствами программно-аппаратного комплекса "ФПСУ X.25" могут быть зарегистрированы по любому необходимому классу, кроме основной таблетки администратора (которой и является инсталляционная ТМ-таблетка). Если таблетка уже зарегистрирована МЭ, она может быть проверена комплексом на корректность хранимой в ней информации, очищена или перерегистрирована по другому классу (кроме инсталляционной ТМ-таблетки).
Подсистема конфигурирования СФ
Подсистема конфигурирования программно-аппаратного комплекса "ФПСУ Х.25" предназначена для установки и редактирования соответствующих параметров МЭ для обеспечения его работоспособности и реализации его защитных функций. Порядок конфигурирования требуемых параметров подробно описан в Руководстве по конфигурированию МЭ.
Работоспособность МЭ обеспечивается заданием основных параметров его аппаратной конфигурации - номеров портов сетевого адаптера - для активизации линии связи. Кроме основных, подсистема позволяет установить описатели используемых в системе портов Х.25 и времена реакции системы на определённые события. В частности, комплекс позволяет детектировать аппаратные сбои сетевого оборудования и осуществлять аварийный перезапуск своего программного обеспечения через указанное время, в течение которого администратору выдаётся звуковой сигнал тревоги.
Комплекс "ФПСУ Х.25" осуществляет свою основную функцию - фильтрацию межсетевых потоков информации с целью защиты их от НСД - на основании задаваемых администратором критериев (правил) фильтрации и специальных режимов работы МЭ, описанных в разделе 5.1 "Подсистема фильтрации вызовов и правила фильтрации". Подсистема конфигурирования содержит диалоговые средства, позволяющие устанавливать и редактировать параметры комплекса "ФПСУ X.25", обеспечивающие выполнение его защитных функций.
Правила фильтрации, а также специальные режимы работы, задаются при конфигурировании МЭ в таблицах разрешенных (местных и внешних) соединений и подключаемых к ним интерфейсах доступа.
Конфигурационные работы по установке или изменению правил фильтрации и режимов работы на локальном комплексе может производить только пользователь классов "администратор" или "главный администратор", получающий доступ к подсистеме конфигурирования комплекса только при подтверждении своих полномочий, для чего он должен иметь соответствующий электронный идентификатор touch-memory. Конфигурирование сетевых портов может осуществлять пользователь класса "инженер" также при подтверждении своих полномочий (прижатии электронного идентификатора к контактному устройству по запросу подсистемы).
При дистанционном управлении конфигурацию может изменять удалённый администратор, обладающий соответствующими правами и зарегистрированный МЭ.
Подсистема регистрации (статистики)
Регистрация и учет фильтруемых запросов на установление виртуальных соединений и действий администраторов
В программно-аппаратном комплексе "ФПСУ X.25" реализован механизм автоматического автономного сбора полной статистической информации о функционировании МЭ: фильтруемых запросах и действиях локальных и удалённых администраторов.
Комплекс содержит специальную подсистему регистрации (статистики), которая не только накапливает и хранит информацию, но и предоставляет локальному администратору удобные средства для просмотра и анализа накопленных данных, а также осуществляет автоматический их анализ с целью передачи заказанных данных и сигнализации некоторых событий удаленному администратору.
Подсистема статистики позволяет осуществлять регистрацию и учет фильтруемых запросов на установление виртуальных соединений. В процессе фильтрации регистрируются:
- адреса
отправителя и получателя;
- время вызова;
- результат фильтрации
;
- попытки нарушения правил фильтрации
(при этом осуществляется локальная сигнализация посредством вывода соответствующей информации на экран монитора);
- в случае разрешенного соединения - время существования виртуального соединения и объем переданных по нему данных;
- в случае отказа - причина, диагностика разрыва и инициатор разрыва виртуального соединения;
- режим работы.
Механизм автоматического сбора полной статистической информации о работе МЭ "ФПСУ X.25" позволяет также осуществлять регистрацию и учет действий как локальных администраторов МЭ, так и его удалённых администраторов.
В процессе регистрации действий администраторов фиксируются:
- дата, время и код регистрируемого события
;
- результат попытки осуществления
регистрируемого события (успешная / неуспешная);
- идентификатор администратора
, предъявляемый при попытке осуществления регистрируемого события (для локальных администраторов - зарегистрированный ТМ-идентификатор, для удалённых - уникальный регистрационный номер).
При работе операторов, инженеров и администраторов, обслуживающих МЭ, регистрируются следующие события:
- запуск компьютера, на котором установлен МЭ;
- запуск МЭ
;
- запуск отдельных подсистем МЭ
;
- завершение работы МЭ
;
- изменение конфигурации МЭ;
- изменение конфигурации X25 портов;
- изменение конфигурация ANET порта;
- изменение таблиц соединений, т.е. изменение правил фильтрации;
- удаление, регистрация и перерегистрация персональных электронных идентификаторов;
- генерация новых аутентификационных данных;
- запись персональных аутентификационных данных на дискету;
- регистрация удалённого администратора, изменение его прав и их корректировка (в том числе, удаление);
- изменение используемого оборудования (типов сетевых адаптеров);
- изменение описания линии;
- изменение описания доступа местным абонентам;
- изменение описания доступа сетевым абонентам;
- установка изменений/дополнений;
- изменение описания интерфейса доступа.
При работе удалённых администраторов на МЭ регистрируются следующие события:
- опросы статистики,
- ошибочные действия удалённых администраторов,
- соединения с удалёнными администраторами без исполнения запросов,
- изменение описания линии,
- изменение описания доступа местным абонентам,
- изменение описания доступа сетевым абонентам,
- передача администратору конфигурации,
- передача администратору описания конфигурации,
- активизация новой конфигурации,
- изменение описания интерфейса доступа,
- изменение времени/даты.
Все данные об указанных событиях записываются в специальное хранилище (MIB-базу объемом 16 Мб) на жесткий диск компьютера МЭ.
Все записи базы данных снабжены контрольными суммами, что обеспечивает возможности проверки целостности.
Хранилище регистрационной информации построено по принципу кольцевого буфера: при его переполнении начальные записи стираются, а текущая запись добавляется в конец списка. Объем хранилища рассчитан на несколько месяцев (при самой интенсивной работе сетевых абонентов), в течение которых регистрационная информация должна быть снята локальным администратором или периодически отправляться удалённому администратору по его запросу для последующего хранения или анализа, иначе она может быть потеряна. При опросах через сеть удаленному администратору отправляются только "новые" записи (которые ранее не передавались).
Возможность ручного удаления регистрационных записей из MIB-базы МЭ отсутствует. Это позволяет исключить попытки сокрытия каких-либо фактов о событиях на МЭ локальными или удалённым администраторами.
Регистрационная информация может быть просмотрена как допущенным специалистом, обслуживающим сам МЭ, так и удалённым администратором, обладающим правом контролировать данный МЭ из любого фрагмента глобальной сети.
Программно-аппаратный комплекс "ФПСУ-Х.25" предоставляет возможность локальному администратору или инженеру:
- просмотреть данные статистики за указанный период времени по заданным типам статистики,
- сохранить записи в виде файла DBF-формата,
- перенести (записать) данные статистики на дискеты для последующего прочтения удаленным администратором.
Накапливаемая статистика автоматически передается аутентифицированному удалённому администратору (при наличии связи в соответствии с заданным временным интервалом опросов), имеющему доступ к данному МЭ, причем администратор кроме того устанавливает и нужные ему типы и подтипы статистики. Передаваемая с МЭ информация накапливается в специальном хранилище удалённого администратора, объем которого ограничен лишь имеющимся свободным пространством на жестком диске компьютера. Удалённый администратор имеет возможность:
- получать в ручном или автоматическом режимах данные, накопленные МЭ;
- просмотреть данные статистики; данные для просмотра могут быть выбраны по заданным им МЭ, за указанный период времени, а также по определенным типам (видам) данных статистики;
- удалить данные статистики по заданным условиям из хранилища;
- записать просматриваемые данные из хранилища на дискету в файл соответствующего формата (DBF) для хранения, анализа или последующей обработки (например, для вывода на печать) другой программой (например, Microsoft Excel) на другом компьютере;
- загрузить данные статистики с одной или нескольких дискет, на которые они были записаны локальным администратором МЭ.
Одной из отличительных особенностей работы подсистемы регистрации является то, что информация в базе данных сортируется по типам и соответствующим им подтипам, а также с указанием времени записи, что позволяет:
- заказывать для просмотра или записи на дискеты только необходимую администратору информацию;
- осуществлять быструю выборку и выдачу заказанной информации, не задерживая работу других подсистем комплекса (в первую очередь подсистемы фильтрации);
- передавать удалённому администратору только ту информацию, которая ему необходима.
Контроль процесса фильтрации
Помимо регистрации и учета, программно-аппаратный комплекс "ФПСУ X..25" предоставляет локальным администраторам МЭ возможность непосредственного контроля процесса фильтрации.
При работе МЭ на экран монитора компьютера, оборудованного МЭ, выводится следующая текущая информация по каждому входящему и исходящему вызову:
- логический номер терминального порта на сетевых платах по конфигурации;
- логический номер сетевого порта;
- номер текущей линии;
- номер виртуального канала или сообщение о том, что он неизвестен (канал разъединён или не установлен);
- количество байт, принятых с терминала;
- количество байт, отправленных на него.
- с какой стороны произведены сброс или вызов;
- задействована ли система резервирования;
- указание на работу в текущий момент времени с данной стороны удалённого администратора;
- сообщения о процессах соединения или разрыва;
- причина и диагностика разрыва соединения;
- дата, время сброса канала и текущий режим работы;
- текущее состояние используемых сетевых портов линий: терминального, резервирования и сетевого;
- X.25-адреса со стороны терминала и сети;
- количество переданных и принятых байтов;
- количество имеющихся и используемых в данный момент виртуальных каналов;
- согласованный размер пакета по соединению;
- время работы главной подсистемы с момента запуска.
Дистанционный контроль процесса фильтрации
Программно-аппаратный комплекс "ФПСУ Х.25" содержит возможности для дистанционной сигнализации попыток нарушения правил фильтрации нескольким зарегистрированным на данном МЭ подсистемам удалённого администрирования комплекса. Для этого в подсистеме удалённого администрирования имеется специальный модуль "Мониторинг", который позволяет с указанной периодичностью (задается администратором подсистемы для каждого из зарегистрированных у него удалённых МЭ) производить специальный опрос статуса аутентифицируемых администратором МЭ. Оператор подсистемы удалённого администрирования имеет возможность, используя интуитивно понятный графический интерфейс, контролировать состояние МЭ и указывать различные типы реакции на произошедшие на МЭ события (полученные в результате опроса статуса и автоматического анализа информации опрашиваемого МЭ) как визуальным отображением (в виде отображаемых значков-указателей), так и звуковой сигнализацией для следующих видов событий, относящихся к действиям абонентов:
- попытках несанкционированных действий (нарушении правил фильтрации, отрицательных результатов процессов идентификации и аутентификации запросов);
- превышении количества разрешенных попыток соединений абонентов друг с другом;
- интенсивности (частоты) тех или иных заданных событий.
Имеется также возможность дистанционного оповещения об изменениях правил фильтрации удаленными администраторами нескольких зарегистрированных на данном МЭ подсистем удалённого администрирования комплекса.
[Назад]
[Содержание]
[Вперед]