Рубрикатор

Использование маршрутизаторов для защиты пультового оборудования ПЦО при работе с объектовыми СПИ по сети Интернет

Опубликовано пользователем Людмила Селецкая,
Avtoritet.net

Голубев Андрей Вячеславович, начальник сектора ОРЦО ФКУ «НИЦ «Охрана» Росгвардии
Николаев Владимир Анатольевич, заместитель начальника отдела ОРОСО ФКУ «НИЦ «Охрана» Росгвардии
Осипов Анатолий Николаевич, научный сотрудник ОРЦО ФКУ «НИЦ «Охрана» Росгвардии
Голубева Злата Игоревна, старший инспектор секретариата в/ч 95314

В статье рассматриваются порядок выбора и основные настройки сетевых маршрутизаторов, используемых для защиты оборудования пунктов централизованной охраны (ПЦО) Росгвардии при работе с системами передачи извещений (СПИ) по глобальной сети Интернет. Сетевые угрозы рассматривались ранее в статье «Использование сети Интернет для передачи данных между объектовым и пультовым оборудованием СПИ пунктов централизованной охраны», опубликованной в журнале «Алгоритм безопасности» (2017. № 2).

Развитие глобальной сети Интернет и беспроводных сетей GSM/G3/G4 способствует более широкому и интенсивному использованию их для целей централизованной охраны. В то же время ежегодно возрастают потери от сетевых атак. По данным информационного издания «BusinessWeekNews» в 2017 году потери от киберреступности составили $3 триллиона. Особенно актуально проблема защиты локальных вычислительных сетей (ЛВС) стоит для организаций и служб, выполняющих социально-значимые функции, в том числе для ЛВС пунктов централизованной охраны Росгвардии (ПЦО).

Для защиты от сетевых атак при соединении ЛВС ПЦО с сетью Интернет обычно применяют следующие методы:

  • использование межсетевых экранов;
  • использование трансляции сетевых адресов (NAT);
  • организацию резервного канала, который должен подключаться для связи ЛВС ПЦО и Интернета, если выйдет из строя основной канал;
  • организацию третьего (аварийного) канала, который должен подключаться, если выйдут из строя основной и резервный каналы.

Межсетевой экран (брандмауэр, файрвол) — это программный или программно-аппаратный элемент компьютерной сети, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами (рис. 1).

Контроль периметра сети межсетевым экраном (защищаемая локальная сеть слева, глобальная сеть Интернет справа)

Рис. 1. Контроль периметра сети межсетевым экраном (защищаемая локальная сеть слева, глобальная сеть Интернет справа)

Брандмауэр обеспечивает безопасность ЛВС методом запрета на несанкционированные запросы из глобальной сети Интернет. Это снижает уязвимость внутренних объектов. Экранирование также позволяет осуществить контроль информационных потоков, направленных во внешнюю среду, благодаря чему поддерживается конфиденциальность в ЛВС.

Трансляция сетевых адресов (NAT) — технология, которая позволяет файрволу скрывать информацию об узлах внутренней сети. С целью сокрытия информации о внутренней сети маршрутизатор с NAT работает таким образом:

  • при передаче запросов объектов ЛВС во внешнюю сеть заменяет их IP-адреса на IP-адрес своего внешнего интерфейса (также используется и диапазон IP-адресов);
  • при возвращении ответов объектам ЛВС производит обратную замену: свой адрес в поле получателя меняет на адрес клиента, отправившего исходный запрос (рис. 2).

При подключении ЛВС к сети Интернет технология NAT позволяет увеличить количество IP-адресов за счет использования адресного пространства из диапазона частных сетей, не обрабатываемых маршрутизаторами Интернет.

Технология NAT

Рис. 2. Технология NAT

Выбор оборудования

В качестве брандмауэра (файрвола) обычно используют экранирующий маршрутизатор, который представляет собой аппаратное и программное обеспечение для фильтрации пакетов данных, основываясь на заданном администратором критерии.

При выборе марки маршрутизатора, с целью использования его на ПЦО для совместной работы со СПИ по глобальной сети Интернет, необходимо руководствоваться следующими обстоятельствами:

1) Ограничениями, накладываемыми указом Президента Российской Федерации от 17.03.2008 № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена». В соответствии с этим указом подключение информационных систем производится только с использованием специально предназначенных для этого средств защиты информации, получивших подтверждение соответствия в Федеральной службе по техническому и экспортному контролю.

Исходя из этого, маршрутизаторы рекомендуется выбирать из числа включенных в государственный реестр сертифицированных средств защиты информации N РОСС RU.0001.01БИ00 (государственного реестра сертифицированных средств защиты информации). Реестр доступен для ознакомления/скачивания на сайте ФСТЭК по адресу: https://fstec.ru/tekhnicheskaya-zaschita-informatsii/dokymenty-po-sertifickatsii/153-sistemasertifikatsii/591.

В настоящий момент в реестре представлены десятки марок маршрутизаторов различного ценового диапазона. Кроме того, в реестр периодически вносятся изменения, связанные со снятием с производства устаревших моделей и включения в него новых. Поэтому при выборе желательно изучить имеющиеся в Интернете отзывы других пользователей о работоспособности конкретных моделей оборудования.

2) Классификацией, приведенной в методических рекомендациях ФКУ «НИЦ «Охрана» Росгвардии «Защита локальных вычислительных сетей пунктов централизованной охраны при использовании глобальной сети Интернет для передачи данных между объектовым и пультовым оборудованием СПИ» Р 78.36.045-2914. В вышеназванных рекомендациях устанавливаются:

  • классы ПЦО в зависимости от количества подключенного оконечного оборудования: менее 100 единиц, от 100 до 1000 единиц и более 1000 единиц;
  • классы маршрутизаторов в зависимости от ценового диапазона: низшего (до 400 у.е.), среднего (400–700 у.е.) или высшего ценового диапазона (свыше 700 у.е.);
  • соответствие между классом ПЦО и классом маршрутизаторов.

3) Ограничениями, накладываемыми распоряжениями Правительства Российской Федерации:

  • «Об утверждении Перечня критически важных объектов Российской Федерации» от 18.08.2010 № 1361-РС;
  • «Об утверждении Перечня объектов, подлежащих обязательной охране полицией» от 10.12.2013 № 2324-р.

Соответствие между классом ПЦО, классом объекта и классом маршрутизаторов приведено в таблице 1.

Соответствие между классом ПЦО, типом объектов и классом маршрутизаторов

Таблица 1. Соответствие между классом ПЦО, типом объектов и классом маршрутизаторов

Настройка маршрутизатора

Рассмотрим настройку маршрутизатора на примере ПЦО класса «менее 100 охраняемых объектов», типовая схема включения для которого приведена на рисунке 3.

Типовая схема включения для количества охраняемых объектов менее 100

Рис. 3. Типовая схема включения для количества охраняемых объектов менее 100

В приведенной схеме изображен один основной канал связи для подключения ЛВС ПЦО к Интернету. Кабель, который приходит от провайдера Интернета, должен быть подключен в порт «WAN» (обычно это бывает первый Ethernet-порт (ether1) роутера). Кабель, который приходит от коммутатора ЛВС ПЦО, должен быть подключен в один из портов «LAN» (например, во второй Ethernet-порт (ether2) роутера). Если необходимо подключить компьютер для настройки роутера, то кабель должен быть подключен в один из других портов «LAN» (например, в третий (ether3) или четвертый Ethernet-порт (ether4) роутера).

Настройка роутера обычно осуществляется через специализированное ПО (СПО). СПО можно загрузить из сети Интернет на сменный носитель и перенести на ПК, с которого будет осуществляться настройка. Программу также можно скачать при первом подключении к роутеру через веб-интерфейс.

1. Подключаемся к роутеру, запустив программу СПО.

При пустой конфигурации роутера на его интерфейсах нет IP-адреса, поэтому обращаться к нему из окна выбора СПО необходимо через MAC-адрес роутера.

2. Определим конфигурацию интерфейсов.

Для стандартной схемы подключения охранных приборов определим сеть следующим образом: первый порт будет подключен к провайдеру (WAN-порт), остальные порты (LAN) будут работать в режиме свитча для подключения компьютеров локальной сети.

3. Настроим WAN-интерфейс в соответствии с данными, полученными от провайдера:

  • если провайдер предоставляет Интернет с привязкой по MAC, то WAN-интерфейсу присваиваем необходимый MAC-адрес;
  • если провайдер предоставляет Интернет по конкретному адресу в сети, то настроим статический IP-адрес и маску подсети WAN-порта;
  • настроим адрес Интернет-шлюза;
  • добавим адреса DNS-серверов;
  • если подключение провайдера осуществляется с помощью PPPoE-клиента, то заносим логин и пароль, выданные провайдером, выбираем типы шифрования (которые использует провайдер).

4. Настроим IP адрес локальной сети.

Для одного из LAN-интерфейсов (например, ether2) в поле Address вводим адрес и маску локальной сети, например 192.168.88.10/24.

5. Для обеспечения безопасности отключаем все ненужные сервисы кроме СПО, например, telnet, ftp, www, www-ssl, ssh, api. Также не нужна поддержка туннельных протоколов PPTP/PPoE/IPsec/SSTP/L2TP/IP2IP/EoIP (управление отдаленными филиалами). Не нужна возможность построения plug&play-точек коллективного пользования Интернетом на основе встроенных средств HotSpot с аутентификацией на RADIUS-сервере. Указываем конкретный адрес сети или ПК, с которой будет запускаться СПО.

6. Настроим NAT:

  • укажем протокол tcp либо udp — в зависимости от требований, предъявляемых разработчиками конкретной СПИ;
  • порт для соединений от приборов — тот, который указан в документации на СПИ;
  • входящий интерфейс (например, ether1) — Интернет от провайдера;
  • укажем действие — netmap;
  • адрес ПК с сервером подключений в локальной сети;
  • порт, на который делаем проброс;
  • разрешаем прохождение пакетов по порту в правилах файрвола, протокол, порт и интерфейс внешний — куда приходят данные от объектовых приборов.

7. Можно подключать несколько провайдеров и распределять нагрузку между сетями. Для этого можно применять два простых варианта распределения трафика:

  • работает основной провайдер, при аварии переключаемся на следующего;
  • все провайдеры работают одновременно с распределением нагрузки.

Сначала настройку второго порта производим так же, как и первого — в зависимости от типа. Задаем необходимые настройки так же, как и делали с первым WAN. Для корректной работы с несколькими провайдерами нам необходимо промаркировать/пометить пакеты для использования данных меток в цепочках маршрутизации. Создаем правила NAT для прохождения пакетов провайдеров, в данном случае для двух, для каждого интерфейса. Теперь Интернет может работать через двух провайдеров. Для определения маршрута соединения маркируем их в роутере. Указываем метку — имя данного соединения, уникальное для интерфейса. Для каждого интерфейса описываем правило и присваиваем метку. Создаем ДВА правила — для двух портов для входящего трафика. И так же создаем ДВЕ цепочки, маркируя трафик соответственно нашим меткам.

В итоге у нас получилось четыре правила — два для маркировки соединений и два для маркировки маршрутизации — для каждого провайдера.

Для первого варианта маршрутизации, с резервированием канала, нам необходимо добавить к существующей системе правило подмены маршрутов. В случае одновременной работы обоих провайдеров необходимо удалить запись о шлюзе по умолчанию и создать маршрутизацию сразу с двумя шлюзами.

На этом начальная настройка маршрутизатора завершена. Для более подробной и точной настройки под определенные параметры или потребности необходимо изучить документацию. Например, документацию от дистрибьютора, перевод руководства на маршрутизатор.

Заключение

При подключении как ПЦН, так и объекта к глобальной сети Интернет сразу встает вопрос о безопасности. Здесь мы следуем распространенным на сегодняшний день решениям, наиболее часто встречающимся в Интернете для этой задачи. А именно — подключение ПЦН к Интернету должно осуществляться через маршрутизатор, в котором используется NAT-проброс одного порта на один компьютер.

Ознакомившись с описанными проблемами, можно сделать вывод, что межсетевые экраны обеспечивают защиту компьютерной сети ПЦО от несанкционированного вмешательства. Межсетевые экраны являются необходимым средством обеспечения информационной безопасности.

Литература

1.  А.В. Голубев, Ю.В. Иванова, К.В. Колесов Использование сети Интернет для передачи данных между объектовым и пультовым оборудованием СПИ пунктов централизованной охраны // Алгоритм безопасности. 2017. № 2.
2. Воробьев П. Некоторые вопросы защищенности цифровых сетей ОВО // Специализированный информационно-аналитический журнал о проблемах безопасности. 2014. № 4.
3. Указ Президента Российской Федерации № 351 от 17.03.2008 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена».
4. Методические рекомендации «Защита локальных вычислительных сетей пунктов централизованной охраны при использовании глобальной сети Интернет для передачи данных между объектовым и пультовым оборудованием СПИ».
5. Распоряжение Правительства Российской Федерации от 23.03.2006 № 441-РС (в редакции распоряжения Правительства Российской Федерации от 18.08.2010 № 1361-РС «Об утверждении Перечня критически важных объектов Российской Федерации»).
6. https://businessweeknews.com/post/2017-poteri-ot-kiber-prestupnostisostavili-3-trilliona/

  • Как подключить замок к домофону или контроллеру СКУД / Линейные извещатели / ГОТВ: «за» и «против» / Защита периметра и территории с помощью систем видеонаблюдения

  • Рассмотрены достоинства и недостатки существующих периметровых средств обнаружения (ПСО), использующих различные физические принципы распознавания факта или попытки проникновения нарушителя на территорию охраняемого объекта. Приведены пути совершенствования ПСО, даны предложения по их разработке, использующих метод логического комбинирования или совмещения нескольких принципов обнаружения с целью повышения помехоустойчивости и обнаружительной способности. Приведены наиболее важные технические требования к комбинированно-совмещенным ПСО, предназначенным для комплексной охраны периметров объектов.

  • Автор высказывает свои соображения по поводу нормотворчества в области безопасности . Поводом создания данного материала послужила статья научного редактора журнала «Алгоритм безопасности» А. В. Зайцева «Куда идет нормативная база по охране граждан и их имущества» (2018. № 4). По мнению автора в этой статье чересчур сильно сужены рамки компетенции вневедомственной охраны, ограничив ее «задачами по обеспечению сохранности имущества». Поднимаются вопросы терминологии такие как использование термина «безопасность», «охрана и сохранность», «угроза криминальная» и «противокриминальная охрана». Затрагиваются вопросы прав и обязанностей вневедомственной охраны.

  • Что нужно знать о видеоаналитике до ее внедрения / Видеонаблюдение на транспорте: автобус / Применение российской криптографии и технологий М2М в СКУД, IoT для решения проблем безопасности на объектах критической информационной инфраструктуры / Особенности применения радиоволновых средств обнаружения для охраны периметров

  • В статье рассмотрены вопросы «юзабилити» типовых пользовательских интерфейсов АРМ дежурных пунктов централизованной охраны. Предложен подход к построению пользовательского интерфейса на основе использования метода персонажей и унифицированных информационных сущностей — зон и разделов объектов охраны.

  • Работа охранного комплекса с облачными технологиями позволяет упростить работу групп быстрого реагирования, так как во время передачи заявки происходит и передача всех необходимых данных на планшет или головное устройство автомобиля ГБР, включая пути подъезда к объекту. А пользователям лучше понимать состояние своих охраняемых объектов. Использование таких технологий позволяет уменьшить количество обращений на телефонные линии пультов и информационных центров, удешевить комплекты оборудования, исключив из них элементы управления и взаимодействия, что увеличит взломоустойчивость охранного комплекса. Компания «Проксима» активно работает в этом направлении. Ею разработано серверное облачное решение как для пользования конечным потребителем охранных услуг, так и непосредственно — охранным агентством.

  • Информационным поводом для этой статьи является, конечно же, громкая кража картины с выставки Куинджи. Директора Третьяковки наказали и призвали наказать подчиненных за нарушение приказа «Об утверждении типовых требований...». Это единственный нормативный документ, который, по прямому назначению, должен регламентировать защиту произведений искусства в залах музея. Ниже мы увидим, что прямое соблюдение этого документа в контексте конкретной кражи, либо невозможно, либо не привело бы к желаемому результату. А современный уровень техники и характер угроз требует новых подходов к проблеме.

  • Для формирования единого подхода к терминологии и основополагающим понятиям, определяющим состав беспроводных объектовых систем охранной сигнализации, функциональное назначение и классификацию устройств, входящих в состав таких систем, было решено разработать национальный стандарт ГОСТ Р «Системы беспроводные объектовые охранной сигнализации. Классификация. Общие положения». Данный стандарт призван стать первым основополагающим документом в линейке стандартов на беспроводные системы охранной сигнализации. В настоящее время проект стандарта прошел публичное обсуждение и готовится к публикации соответствующими уполномоченными органами Федерального агентства по техническому регулированию и метрологии.

  • В статье приведены наиболее важные технические требования к периметровым средствам обнаружения (ПСО), в частности, к комбинированно-совмещенным ПСО, предназначенным для комплексной охраны ограждений. Рассмотрены методы контроля функциональных параметров таких ПСО при эксплуатации на объекте.
    В предыдущей статье, опубликованной в №2-2018 «Алгоритма безопасности» были рассмотрены радиолокационные средства обнаружения, которые обнаруживали перемещения нарушителя на дальних подступах к охраняемому объекту. Следующим рубежом охраны объекта является ограждение периметра, которое может быть не только физической преградой от проникновения нарушителя, но и сигнальным полотном для ПСО, которые могут иметь как один, так и несколько каналов обнаружения с различными физическими принципами и логикой комбинирования или совмещения друг с другом.

  • Когда существующие решения, проверенные годами и практикой, пытаются заменить видеоаналитикой: отказаться от установки охранной сигнализации и заменить ее видеоаналитикой — это огромный риск, который часто оказывается ничем не подтвержден. Так происходит с системами охраны периметра. Не стоит переоценивать возможности видеоаналитики, заменяя охранную сигнализацию, но и недооценивать тоже будет ошибкой.