Справочный центр

Дерево страниц

Сравнение версий

Старая версия 1

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия 2

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление

Установка модулей iptables, поддерживающих работу с классификационными метками

В состав ОС СН Смоленск 1.6 с установленным обновлением безопасности № ХХХХХХ включёны пакеты iptables, поддерживающие работу с  классификационными метками:

  • ipatables-astralabel-common - объединяющий пакет;
  • ipatables-astralabel-generic - для использования с ядром generic;
  • ipatables-astralabel-hardened - для использования с ядром hardened;
  • ipatables-astralabel-common - объединяющий метапакет;

Для эффективного использования этих пакетов в межсетевой экран ufw также включена поддержка работы с классификационными метками.

По умолчанию эти пакеты не устанавливаются, и их установка пакетов может быть выполнена с помощью графического менеджера пакетов или из командной строки командой:

Command

# для ядра generic
sudo apt install ipatables-astralabel-common

ipatables-astralabel-generic

# для ядра hardened
sudo apt install ipatables-astralabel-common ipatables-astralabel-generic

При необходимости версии generic и herdened могут быть установлены одновременноУказанная выше команда установит обе версии пакетов generic и hardened. При необходимости эти версии могут быть установлены по отдельности, для чего нужно указать имя соответствующего пакета.


Информация

Эта статья применима к:

  • ОС СН Смоленск 1.6 (с установленным обновлением безопасности №ХХХХХ)


Использование модулей iptables, поддерживающих работу с классификационными метками

Модули ipatables-astralabel поддерживают стандартный синтаксис командной строки, используемый в iptables, и предоставляют следующие дополнительные опции для контроля мандатных атрибутов сетевых пакетов:

ОпцияКомментарийПримеры
--m astralabelУказание на использование модуля astralabel для обработки сетевого трафика
--maclev <уровень>[:<уровень>]

Применение правила к пакетам, имеющим указанный иерархический уровень конфиденциальности. Допускается задание двух значений уровня через символ ":", тогда правило будет применяться к пакетам,  имеющих уровень конфиденциальности в указанном диапазоне включительно.


Не принимать пакеты с иерархическими уровнями конфиденциальности от

1до

1 до 3-х:

iptables -A INPUT -m astralabel --maclev 1:3 -j DROP


Опция maclev может быть "реверсирована" с помощью модификатора "!".


Не пропускать исходящие пакеты, имеющие уровень конфиденциальности не равный нулю:

iptables -A OUTPUT -m astralabel ! --maclev 0 -j DROP

Примечание
Однако такое правило будет пропускать исходящие пакеты, имеющие нулевой уровень конфиденциальности и ненулевые категории доступа.


--maccat <бит_категории>

Применение правила к пакетам, имеющим указанные неиерархические категории конфиденциальности. Задание диапазонов и реверсирование не допускаются, однако в одном правиле может быть указано несколько опций maccat, и тогда правило будет применяться только к пакетам, имеющим установленными одновременно все указанные категории (биты).

Нумерация битов категорий начинается с единицы.


Не пропускать исходящие пакеты с установленными одновременно битами категорий 1 и 2

и 3

:

iptables -A OUTPUT -m astralabel --maccat

2

1 --maccat

3

2 -j DROP


Опции maclev и maccat могут применяться одновременно в одном правиле.

Результирующий фильтр будет представлять собой объединение фильтров, заданных этими опциями.

Не принимать пакеты с установленными битами категорий 1 и 2

и 3

и уровнем конфиденциальности 3:

iptables -A INPUT -m astralabel --maclev 3 --maccat

2

1 --maccat

3 -j DROP

Правила могут быть реверсированы с помощью модификатора "!".

Если указано несколько опций, то модификатор применяется к результирующему правилу.

Не пропускать исходящие пакеты, имеющие уровень конфиденциальности не равный нулю:

iptables -A OUTPUT -m astralabel ! --maclev 0 -j DROP

Примечание
Однако такое правило будет пропускать исходящие пакеты, имеющие нулевой уровень конфиденциальности и ненулевые категории доступа.

2 -j DROP


Предупреждение

Если не указаны никакие опции для фильтрации пакетов то правило применяется ко всем пакетам, имеющим ненулевую классификационную метку. Т.е. правило

Информация
iptables -A OUTPUT -m astralabel -j DROP

запретит все исходящие пакеты, имеющие ненулевую классификационную метку.


Использование ufw для работы с классификационными метками

Для фильтрации сетевых пакетов по содержимому их классификационных меток в межсетевой экран добавлены опции maclev и maccat, по действию аналогичные соответствующим опциям iptables. Для того, чтобы эти опции работали, в системе должны быть установлен пакеты iptables-astralabel.

Примеры использования:

ПримерКомментарийАналог в iptables
ufw deny out 80 macЗапрет исходящих соединений на 80-й порт (протокол HTTP).
ufw deny out 80 maccat 2 Запрет исходящих соединений на 80-й порт (протокол HTTP) для сетевых пакетов, имеющих уровень конфиденциальности 2-m astralabel --maccat 2

Возможность инверсии правил и возможность указания нескольких категория в текущей версии ufw не поддерживаются.