- Введение
- Межсетевые экраны, соответствующие критериям
- Межсетевой экран UserGate
- С-Терра Виртуальный Шлюз
- Ideco UTM
- Вывод
- Astra linux сетевой экран
- Установка Astra Linux
- Настройка SELinux
- Настройка Firewall
- Межсетевой экран ufw и модули iptables, поддерживающие работу с классификационными метками
- Установка модулей iptables, поддерживающих работу с классификационными метками
- Использование модулей iptables, поддерживающих работу с классификационными метками
- Использование ufw для работы с классификационными метками
Введение
В соответствии с мерой защиты информации в информационных системах ЗСВ.4 (приказы ФСТЭК России №№ 17, 21, 239) необходимо обеспечить управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры. Для реализации меры защиты ЗСВ.4 использование только штатных средств операционной системы специального назначения «Astra Linux Special Edition» (ОС СН Astra Linux) может быть недостаточно. Для реализации меры защиты ЗСВ.4 при построении виртуальных инфраструктур, создаваемых с использованием продуктов ГК Астра, могут потребоваться сертифицированные межсетевые экраны (МСЭ).
В целях определения подходящего МСЭ для применения в виртуальной инфраструктуре в виде программного решения (МСЭ типа «Б»), в том числе совместно с программным комплексом «Средства виртуализации «Брест» (ПК СВ «Брест») определены следующие критерии МСЭ:
- Программное обеспечение включено в единый реестр российских программ для электронных вычислительных машин и баз данных Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации.
- МСЭ представляет собой программный комплекс, функционирующий в виртуальной машине (поставляется как готовый образ виртуальной машины или ISO-образ для установки на виртуальную машину).
- МСЭ является сертифицированным по требованиям информационной безопасности изделием.
Межсетевые экраны, соответствующие критериям
Межсетевой экран UserGate
Представляет собой программный комплекс, функционирующий в виртуальной машине.
Изделие «Универсальный шлюз безопасности UserGate соответствует требованиям документов: Требования доверия(4), Требования к МЭ, Профиль защиты МЭ(А четвертого класса защиты. ИТ.МЭ.А4.ПЗ), Профиль защиты МЭ(Б четвертого класса защиты. ИТ.МЭ.Б4.ПЗ), Профиль защиты МЭ(Г четвертого класса защиты. ИТ.МЭ.Г4.ПЗ), Профиль защиты МЭ(Д четвертого класса защиты. ИТ.МЭ.Д4.ПЗ), Требования к СОВ, Профили защиты СОВ(cети четвертого класса защиты. ИТ.СОВ.С4.ПЗ). Сертификат ФСТЭК России № 3905.
С-Терра Виртуальный Шлюз
Представляет собой программный комплекс, функционирующий в виртуальной машине.
Программный комплекс «С-Терра Шлюз» Версия 4.3 соответствует требованиям документов: Требования доверия(4), Требования к МЭ, Профиль защиты МЭ(Б четвертого класса защиты. ИТ.МЭ.Б4.ПЗ). Сертификат ФСТЭК России № 4478.
Ideco UTM
Ideco UTM поставляется как ISO-образ. Устанавливается на виртуальную машину или железное оборудование.
Программный комплекс Межсетевой экран с системой обнаружения вторжений Ideco UTM соответствует требованиям документов: Требования доверия(4), Требования к МЭ, Профиль защиты МЭ(А четвертого класса защиты. ИТ.МЭ.А4.ПЗ), Профиль защиты МЭ(Б четвертого класса защиты. ИТ.МЭ.Б4.ПЗ), Требования к СОВ, Профили защиты СОВ(cети четвертого класса защиты. ИТ.СОВ.С4.ПЗ). Сертификат ФСТЭК России № 4503.
Вывод
Для оценки применимости перечисленных МСЭ в виртуальной инфраструктуре создаваемой с использованием продуктов ГК Астра проведены проверки на совместимость и производительность.
В результате проведенных проверок отобранных МСЭ получены следующие результаты:
- Межсетевой экран UserGate совместим со средой виртуализации, реализуемой ОС СН Astra Linux и ПК СВ «Брест»;
- С-Терра Виртуальный Шлюз совместим со средой виртуализации, реализуемой ОС СН Astra Linux и ПК СВ «Брест»;
- Межсетевой экран Ideco UTM совместим со средой виртуализации, реализуемой ОС СН Astra Linux и ПК СВ «Брест»
Для реализации мер защиты ЗСВ.4 при построении виртуальных инфраструктур, создаваемых с использованием продуктов ГК Астра, рекомендуется применение следующих МСЭ:
- Межсетевой экран UserGate;
- С-Терра Виртуальный Шлюз;
- Межсетевой экран Ideco UTM.
Astra linux сетевой экран
Источник: proglib.io Важным аспектом при работе с любой операционной системой является обеспечение безопасности. Astra Linux – российский дистрибутив Linux, изначально разработанный с учетом высоких требований к безопасности. В этой статье мы рассмотрим процесс установки Astra Linux, а также настройку SELinux и Firewall для максимальной защиты.
Установка Astra Linux
Для начала нам потребуется установить Astra Linux. После скачивания образа системы, его можно записать на загрузочный USB-накопитель с помощью команды dd:
sudo dd if=AstraLinux.iso of=/dev/sdx bs=4M && sync
В этой команде if обозначает путь к образу Astra Linux, а of указывает на ваш USB-накопитель.
Настройка SELinux
После установки Astra Linux, следующим шагом будет настройка SELinux. SELinux – это модуль безопасности для ядра Linux, который позволяет управлять правами доступа к различным ресурсам.
Во-первых, убедитесь, что SELinux включен и работает в принудительном режиме, выполнив следующую команду:
Если SELinux выключен или работает в пермиссивном режиме, вам необходимо изменить его на принудительный режим, отредактировав файл /etc/selinux/config.
sudo nano /etc/selinux/config
Измените параметр SELINUX= на enforcing.
Настройка Firewall
Следующим шагом в обеспечении безопасности является настройка firewall. В Astra Linux используется Netfilter, основной firewall Linux, управляемый с помощью утилиты iptables.
Следующая команда позволит вам открыть порт 22 для SSH:
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
Это позволит принимать входящие соединения на порт 22.
Следующая команда заблокирует все входящие соединения, которые не были инициированы и не относятся к уже установленным соединениям:
sudo iptables -P INPUT DROP
Это обеспечивает высокий уровень защиты, ограничивая доступ к системе.
В заключении, Astra Linux предлагает мощные инструменты для обеспечения безопасности. Через надлежащую настройку SELinux и firewall можно обеспечить высокий уровень защиты для вашей системы.
Межсетевой экран ufw и модули iptables, поддерживающие работу с классификационными метками
При настройках ОС, принятых по умолчанию, изменения в правилах iptables не сохраняются после перезагрузки.
Порядок действий по обеспечению восстановления правил см. Сохранение и восстановление правил iptables
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7)
- Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
- с установленным оперативным обновлением БЮЛЛЕТЕНЬ № 20200327SE16 (оперативное обновление 5)
- Astra Linux Special Edition РУСБ.10015-16 исп. 1
с установленным оперативным обновлением Бюллетень № 20201007SE16
Установка модулей iptables, поддерживающих работу с классификационными метками
В состав Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)с установленным оперативным обновлением БЮЛЛЕТЕНЬ № 20200327SE16 (оперативное обновление 5) включёны пакеты iptables, поддерживающие работу с классификационными метками. Работа с классификационными метками реализована с помощью дополнительного модуля тестирования astralabel, обеспечивающего тестирование значений мандатных атрибутов с помощью опций «–maclev», «–maccat» (подробности см. ниже).
- iptables-astralabel-generic — для использования с ядром generic;
- iptables-astralabel-hardened — для использования с ядром hardened;
- iptables-astralabel-common — общие для generic и hardened модули;
Для эффективного использования этих пакетов в межсетевой экран ufw также включена поддержка работы с классификационными метками.
По умолчанию при установке ОС эти пакеты не устанавливаются. Установка пакетов для загруженной версии ядра может быть выполнена с помощью графического менеджера пакетов (см. Графический менеджер пакетов synaptic) или из командной строки командой:
# для ядра generic
sudo apt install iptables-astralabel-common iptables-astralabel-`uname -r`
# для ядра hardened
sudo apt install iptables-astralabel-common iptables-astralabel-`uname -r`
При необходимости версии generic и hardened могут быть установлены одновременно. Набор вариантов пакетов в дистрибутиве конкретного обновления ОС соответствует набору доступных ядер. Проверить полный список доступных вариантов пакетов можно командой:
Использование модулей iptables, поддерживающих работу с классификационными метками
Модули iptables-astralabel поддерживают стандартный синтаксис командной строки, используемый в iptables, и предоставляют следующие дополнительные опции для контроля мандатных атрибутов сетевых пакетов:
Применение правила к пакетам, имеющим указанный иерархический уровень конфиденциальности.
Допускается задание двух значений уровня через символ «:», тогда правило будет применяться к пакетам, имеющих уровень конфиденциальности в указанном диапазоне включительно.
Не принимать пакеты с иерархическими уровнями конфиденциальности от 1 до 3-х:
sudo iptables -A INPUT -m astralabel —maclev 1:3 -j DROP
Значение фильтра, задаваемого опцией maclev, может быть инверсировано с помощью модификатора «!».
Не пропускать исходящие пакеты, имеющие иерархический уровень конфиденциальности не равный нулю:
sudo iptables -A OUTPUT -m astralabel ! —maclev 0 -j DROP
Такое правило будет пропускать исходящие пакеты, имеющие нулевой иерархический уровень конфиденциальности и ненулевые неиерархические категории конфиденциальности.
Применение правила к пакетам, имеющим указанные неиерархические категории конфиденциальности.
Задание диапазонов и инверсирование не поддерживаются.
В одном правиле может быть указано несколько опций maccat, и тогда правило будет применяться только к пакетам, у которых установлены одновременно все указанные категории (биты).
Не пропускать исходящие пакеты с установленными одновременно битами категорий 1 и 2:
sudo iptables -A OUTPUT -m astralabel —maccat 1 —maccat 2 -j DROP
Опции maclev и maccat могут применяться одновременно в одном правиле.
Результирующий фильтр будет представлять собой объединение фильтров, заданных этими опциями.
Не принимать пакеты с установленными битами категорий 1 и 2 и уровнем конфиденциальности 3:
sudo iptables -A INPUT -m astralabel —maclev 3 —maccat 1 —maccat 2 -j DROP
Если не указаны никакие опции для фильтрации пакетов то правило применяется ко всем пакетам, имеющим ненулевую классификационную метку. Т.е. правило
запретит все исходящие пакеты, имеющие ненулевую классификационную метку (т.е. имеющие ненулевой уровень конфиденциальности и/или ненулевые категории конфиденциальности).
Использование ufw для работы с классификационными метками
Для управления сетевыми соединениями с учетом классификационных меток в межсетевой экран ufw добавлены опции maclev и maccat, по действию аналогичные соответствующим опциям iptables. Для того, чтобы эти опции работали, в системе должен быть установлен пакет iptables-astralabel-common и один из пакетов iptables-astralabel-generic или iptables-astralabel-hardened, соответствующий используемому ядру.
Примеры использования приведены ниже. В примерах используется протокол HTTP (TCP-порт 80):
-A OUTPUT -p tcp —dport 80 -m astralabel —maccat 3 -j DROP
Приведенные примеры работают с исходящим трафиком (указано направление out). Правила для входящего трафика создаются аналогично, только направление указывается не out, а in.
Возможность инверсии правил и возможность одновременного указания нескольких категорий в одном правиле текущей реализацией ufw не поддерживаются.