- •Сеть internet Адресация и имена в Internet
- •Проблемы безопасности протоколов прикладного уровня
- •Основные типы межсетевых экранов
- •1. Фильтрующие маршрутизаторы
- •2. Шлюзы сеансового уровня
- •3. Шлюзы прикладного уровня
- •Основные схемы сетевой защиты на базе межсетевых экранов
- •1. Межсетевой экран - Фильтрующий маршрутизатор
- •2. Межсетевой экран с прикладным шлюзом и фильтрующим маршрутизатором.
Основные типы межсетевых экранов
1. Фильтрующие маршрутизаторы
ФМ представляет собой маршрутизатор или работающую на сервере программу, построенную таким образом, чтобы фильтровать входящие и выходящие пакеты. Фильтрация пакетов выполняется на основе информации в TCР и IP- заголовках пакетов. ФМ может фильтровать IP-пакеты на основе:
IP- адрес отправителя; порт отправителя;
IP- адрес получателя; порт получателя.
Порт – это программное понятие, которое используется клиентом или сервером для посылки или приема сообщений; порт обозначается 16-тибитовым числом.
В качестве примера рассмотрим реализацию политики безопасности, допускающей определенные соединения с внутренней сетью с условным адресом 123.4.*.*.
Протокол |
Адрес отправителя |
Адрес получателя |
Порт отправителя |
Порт получателя |
Действие |
Telnet (TCP) |
* |
123.4.5.6 |
>1023 |
23 |
Разрешить |
SMTP (TCP) |
* |
123.4.5.7 |
>1023 |
25 |
Разрешить |
NNTP (TCP) |
129.6.48.254 |
123.4.5.8 |
>1023 |
119 |
Разрешить |
UDP |
* |
* |
* |
* |
Запретить |
Первое правило позволяет пропускать пакеты TCP из сети Internet от любого источник с номером порта большим, чем 1023 к получателю с адресом 123.4.5.6 в порт 23. Порт 23 связан с сервером Telnet, а все клиенты должны иметь непривилегированные порты с номерами не ниже 1024.
Второе правило работает аналогично, соединения SMPT разрешены только компьютеру с адресом 123.4.5.7, который может быть шлюзом электронной почты.
Третье правило пропускает пакеты к NNTP-серверу сети (Network News Transfer Protocol), но только от отправителя с адресом 129.6.48.254 к получателю с адресом 123.4.5.8 с портом назначения 119.
Четвертое правило блокирует все остальные соединения.
Межсетевой экран с фильтрацией пакетов, работающий только на канальном уровне эталонной модели взаимодействия открытых систем, обычно проверяет только информацию в IP-заголовках пакетов. Поэтому обмануть его не сложно: нарушитель создает заголовок, который удовлетворяет разрешающим правилам фильтрации. Практика показывает, что подобный вид нападения, называемый подменой адреса, довольно широко распространен в Internet и часто оказывается эффективным.
К положительным качествам фильтрующих маршрутизаторов относится:
сравнительно невысокая стоимость;
гибкость в определении правил фильтрации;
небольшую задержку при прохождении пакетов.
Недостатками фильтрующих маршрутизаторов являются:
внутренняя сеть видна (маршрутизируется) из Internet;
правила фильтрации трудны в описании и требуют очень хороших знаний технологий TCP и UDP;
при нарушении работоспособности межсетевого экрана с фильтрацией пакетов все компьютеры за ним становятся полностью незащищенными или недоступными;
аутентификацию с использованием IP-адреса можно обмануть путем подмены IР-адреса;
отсутствует аутентификация на пользовательском уровне.
2. Шлюзы сеансового уровня
Шлюз сеансового уровня по-другому называют системой трансляции сетевых адресов или шлюзом сетевого уровня модели OSI. Шлюз сеансового уровня принимает запрос доверенного клиента на конкретные услуги, и после проверки допустимости запрошенного сеанса устанавливает соединение с внешним хост-компьютером. После этого шлюз копирует ТСР-пакеты в обоих направлениях, не осуществляя их фильтрации. По окончании сеанса шлюз разрывает цепь, использованную в данном сеансе. Для копирования и перенаправления пакетов в шлюзах сеансового уровня применяются специальные приложения, которые называются канальными посредниками, поскольку они устанавливают между двумя сетями виртуальную цепь или канал, а затем разрешают пакетам, которые генерируются приложениями TCP/IP проходить по этому каналу.
Шлюз сеансового уровня выполняет еще одну важную функцию защиты: он используется в качестве сервера посредника. Сервер-посредник выполняет процедуру трансляции адресов, при которой происходит преобразование внутренних IP-адресов в единственный IP-адрес, т.е. IP-адрес сеансового шлюза становится единственно активным IP-адресом, который попадает во внешнюю сеть. Таким способом шлюз сеансового уровня и другие серверы-посредники защищают внутренние сети от нападения типа подмены адресов.
К недостаткам шлюзов сеансового уровня:
не обеспечивается контроль и защита содержимого пакетов сообщений;
не поддерживается аутентификация пользователей и конечных узлов.