СЕ­ТЕ­ВЫЕ ФИЛЬТРЫ

КОМ­МУ­ТА­ТО­РЫ

Ком­му­та­то­ры сред­не­го и стар­ше­го уров­ня Cisco, Bay Networks (Nortel), 3Com и дру­гих про­из­во­ди­те­лей поз­во­ля­ют при­вя­зы­вать MAC-ад­ре­са се­те­вых карт ком­пью­те­ров к опре­де­лен­ным пор­там ком­му­та­то­ра. Более того, нема­ло ком­му­та­то­ров предо­став­ля­ет воз­мож­ность филь­тра­ции ин­фор­ма­ции на ос­но­ве ад­ре­са се­те­вой платы от­пра­ви­те­ля или по­лу­ча­те­ля, со­зда­вая при этом вир­ту­аль­ные сети (VLAN). Дру­гие ком­му­та­то­ры поз­во­ля­ют ор­га­ни­зо­вать VLAN на уровне пор­тов са­мо­го ком­му­та­то­ра. Таким об­ра­зом, ком­му­та­тор может вы­сту­пать в ка­че­стве меж­се­те­во­го экра­на ка­наль­но­го уровня.

Сле­ду­ет за­ме­тить, что боль­шин­ство спе­ци­а­ли­стов по без­опас­но­сти ин­фор­ма­ци­он­ных си­стем редко от­но­сят ком­му­та­то­ры к меж­се­те­вым экра­нам. Ос­нов­ная при­чи­на та­ко­го от­но­ше­ния вы­зва­на тем, что об­ласть филь­тру­ю­ще­го дей­ствия ком­му­та­то­ра про­сти­ра­ет­ся до бли­жай­ше­го марш­ру­ти­за­то­ра и по­это­му не го­дит­ся для ре­гу­ли­ро­ва­ния до­сту­па из Internet.

Кроме того, под­де­лать адрес се­те­вой платы обыч­но не со­став­ля­ет труда (мно­гие платы Ethernet поз­во­ля­ют про­грамм­но ме­нять или до­бав­лять ад­ре­са ка­наль­но­го уров­ня), и такой под­ход к за­щи­те яв­ля­ет­ся до край­но­сти нена­деж­ным. Прав­да, ор­га­ни­за­ция вир­ту­аль­ных сетей на уровне пор­тов ком­му­та­то­ра более на­деж­на, но, опять же, она огра­ни­че­на рам­ка­ми ло­каль­ной сети.

Тем не менее если сле­до­вать бук­валь­ной трак­тов­ке «Ру­ко­во­дя­ще­го до­ку­мен­та» Го­сте­х­ко­мис­сии, то ком­му­та­то­ры с воз­мож­но­стью со­зда­ния VLAN яв­ля­ют­ся меж­се­те­вы­ми экранами.

Се­те­вые филь­тры ра­бо­та­ют на се­те­вом уровне иерар­хии OSI (см. Ри­су­нок 1). Се­те­вой фильтр пред­став­ля­ет собой марш­ру­ти­за­тор, об­ра­ба­ты­ва­ю­щий па­ке­ты на ос­но­ва­нии ин­фор­ма­ции, со­дер­жа­щей­ся в за­го­лов­ках па­ке­тов. Се­те­вые филь­тры су­ще­ству­ют для сетей TCP/IP и IPX/SPX, но по­след­ние при­ме­ня­ют в ло­каль­ных сетях, по­это­му мы их рас­смат­ри­вать не будем.

При об­ра­бот­ке па­ке­тов ими учи­ты­ва­ет­ся сле­ду­ю­щая ин­фор­ма­ция:

· IP-ад­рес от­пра­ви­те­ля;

· IP-ад­рес по­лу­ча­те­ля;

· про­то­кол (TCP, UDP, ICMP);

· номер про­грамм­но­го порта от­пра­ви­те­ля;

· номер про­грамм­но­го порта по­лу­ча­те­ля.

Ад­ми­ни­стра­тор на ос­но­ве этой ин­фор­ма­ции за­да­ет пра­ви­ла, в со­от­вет­ствии с ко­то­ры­ми па­ке­ты будут либо про­пус­кать­ся через фильтр, либо от­бра­сы­вать­ся им. На­при­мер, се­те­вой фильтр поз­во­ля­ет ре­а­ли­зо­вать сле­ду­ю­щую схему об­ме­на дан­ны­ми между ком­пью­те­ра­ми кор­по­ра­тив­ной сети и Internet:

1. все ком­пью­те­ры кор­по­ра­тив­ной сети имеют воз­мож­ность об­щать­ся с внеш­ни­ми сер­ве­ра­ми Web и ftp, но не с telnet, NNTP и т. д.;
2. до­ступ извне за­пре­щен ко всем ком­пью­те­рам кор­по­ра­тив­ной сети, кроме до­сту­па к сер­ве­ру A по про­то­ко­лу HTTP и к сер­ве­ру B по про­то­ко­лу ftp; кроме того, внеш­не­му ком­пью­те­ру Z раз­ре­ша­ет­ся до­ступ к внут­рен­не­му сер­ве­ру C и к любым служ­бам TCP и UDP, но не ICMP.

Ри­су­нок 1. Се­те­вой фильтр ана­ли­зи­ру­ет па­ке­ты на се­те­вом уровне.

Се­те­вые филь­тры очень легко ре­а­ли­зо­вать, по­это­му они по­лу­чи­ли по­все­мест­ное рас­про­стра­не­ние и пред­став­ле­ны про­грамм­но-ап­па­рат­ны­ми и чисто про­грамм­ны­ми ре­а­ли­за­ци­я­ми. В част­но­сти, марш­ру­ти­за­то­ры Cisco, Bay Networks (под­раз­де­ле­ние Nortel) и дру­гих про­из­во­ди­те­лей снаб­же­ны функ­ци­я­ми се­те­вой филь­тра­ции, вслед­ствие чего такие марш­ру­ти­за­то­ры на­зы­ва­ют филь­тру­ю­щи­ми. Спи­сок про­грамм­ных се­те­вых филь­тров еще более вну­ши­те­лен, и боль­шин­ство из них пред­став­ля­ет бес­плат­ные или услов­но-бес­плат­ные ути­ли­ты. Они ре­а­ли­зо­ва­ны для мно­же­ства се­те­вых плат­форм, в том числе для UNIX, Windows NT, NetWare, VMS, MVS.

К со­жа­ле­нию, обо­рот­ной сто­ро­ной про­сто­ты ре­а­ли­за­ции и низ­кой цены се­те­вых филь­тров яв­ля­ет­ся слож­ность их ад­ми­ни­стри­ро­ва­ния и сла­бая за­щи­щен­ность от атак.

В се­те­вых филь­трах в ос­нов­ном ис­поль­зу­ет­ся ста­ти­че­ская филь­тра­ция, когда ад­ми­ни­стра­то­ру при­хо­дит­ся со­зда­вать свой фильтр для каж­до­го уни­каль­но­го типа па­ке­та, тре­бу­ю­ще­го об­ра­бот­ки. По­яс­ним это на при­ме­ре. До­пу­стим, всем ком­пью­те­рам по умол­ча­нию за­пре­щен до­ступ в Internet. Од­на­ко ком­пью­те­ру Z (IP-ад­рес 123.​45.​67.​89) необ­хо­дим до­ступ к внеш­не­му сер­ве­ру A (IP-ад­рес 211.​111.​111.​111), предо­став­ля­ю­ще­му сер­вис telnet. В дан­ном слу­чае ад­ми­ни­стра­тор дол­жен за­дать два правила:

Классификация межсетевых экранов

1. про­пу­стить пакет, если он пе­ре­да­ет­ся со сто­ро­ны се­те­во­го ин­тер­фей­са внут­рен­ней сети на се­те­вой ин­тер­фейс внеш­ней сети и имеет па­ра­мет­ры: IP-ад­рес от­пра­ви­те­ля 123.​45.​67.​89, IP-ад­рес по­лу­ча­те­ля 211.​111.​111.​111, про­то­кол транс­порт­но­го уров­ня TCP, про­грамм­ный порт от­пра­ви­те­ля боль­ше 6000, про­грамм­ный порт по­лу­ча­те­ля 23;
2. про­пу­стить пакет, если он пе­ре­да­ет­ся со сто­ро­ны се­те­во­го ин­тер­фей­са внеш­ней сети на се­те­вой ин­тер­фейс внут­рен­ней сети и имеет па­ра­мет­ры: IP-ад­рес от­пра­ви­те­ля 211.​111.​111.​111, IP-ад­рес по­лу­ча­те­ля 123.​45.​67.​89, про­то­кол транс­порт­но­го уров­ня TCP, про­грамм­ный порт от­пра­ви­те­ля 23, про­грамм­ный порт по­лу­ча­те­ля более 6000.

Таким об­ра­зом, для каж­до­го ка­на­ла об­ме­на дан­ны­ми необ­хо­ди­мо за­да­вать два пра­ви­ла (филь­тра); в слу­чае мно­го­ка­наль­ных со­еди­не­ний (на­при­мер, для сер­ви­са ftp) ко­ли­че­ство пра­вил со­от­вет­ствен­но уве­ли­чи­ва­ет­ся. Для боль­шой сети спи­сок пра­вил до­сти­га­ет очень вну­ши­тель­ных раз­ме­ров, в ко­то­рых ад­ми­ни­стра­то­ру легко за­пу­тать­ся. Прав­да, се­те­вые филь­тры поз­во­ля­ют обыч­но объ­еди­нять пра­ви­ла для под­мно­же­ства ком­пью­те­ров на ос­но­ве IP-подсетей.

По­сколь­ку при по­лу­че­нии каж­до­го па­ке­та се­те­вой фильтр про­смат­ри­ва­ет таб­ли­цу пра­вил в по­сле­до­ва­тель­ном по­ряд­ке, каж­дое новое пра­ви­ло умень­ша­ет общую про­из­во­ди­тель­ность маршрутизатора.

Ряд про­из­во­ди­те­лей (в част­но­сти, Novell в ути­ли­те FILTCFG.​NLM) преду­смат­ри­ва­ет ди­на­ми­че­скую, или кон­текст­ную (stateful), филь­тра­цию и филь­тра­цию фраг­мен­тов IP-па­ке­тов, но по ха­рак­те­ри­сти­кам они ско­рее от­но­сят­ся к раз­ря­ду шлю­зов се­ан­со­во­го уров­ня и по­это­му будут рас­смот­ре­ны позднее.

Еще одной про­бле­мой, осо­бен­но для бес­плат­ных се­те­вых филь­тров, яв­ля­ет­ся невоз­мож­ность со­зда­ния иерар­хи­че­ской струк­ту­ры пра­вил. На­при­мер, в слу­чае прин­ци­па «что явно не раз­ре­ше­но, то за­пре­ще­но» фильтр про­смат­ри­ва­ет сна­ча­ла спи­сок ис­клю­че­ний, и если пакет не под­хо­дит не под одно ис­клю­че­ние, то в со­от­вет­ствии с ука­зан­ным прин­ци­пом пакет от­се­и­ва­ет­ся. Если же пакет под­хо­дит хотя бы под одно ис­клю­че­ние, то он пе­ре­да­ет­ся даль­ше. Од­на­ко пред­ста­вим такую си­ту­а­цию: сеть за­кры­та от до­сту­па сна­ру­жи, но один сер­вер дол­жен быть до­сту­пен для внеш­не­го мира по про­то­ко­лу ftp. Все это пре­крас­но можно ор­га­ни­зо­вать с по­мо­щью се­те­во­го филь­тра, за ис­клю­че­ни­ем ма­лень­кой, но очень непри­ят­ной де­та­ли — на до­ступ к сер­ве­ру по ftp нель­зя на­ло­жить до­пол­ни­тель­ные огра­ни­че­ния. К при­ме­ру, невоз­мож­но в таком слу­чае за­пре­тить до­ступ к нему со сто­ро­ны ком­пью­те­ра Z, ко­то­рым поль­зу­ет­ся зло­умыш­лен­ник. Более того, хакер может пе­ре­да­вать на сер­вер па­ке­ты с ад­ре­сом от­пра­ви­те­ля, со­от­вет­ству­ю­щим ад­ре­су ком­пью­те­ра внут­рен­ней сети (самый опас­ный вид под­дел­ки IP-па­ке­тов). И се­те­вой фильтр про­пу­стит такой пакет. Чтобы из­бе­жать по­доб­ных про­блем, ад­ми­ни­стра­то­ры вы­нуж­де­ны ста­вить два по­сле­до­ва­тель­но под­клю­чен­ных филь­тра, чтобы таким об­ра­зом ре­а­ли­зо­вы­вать иерар­хи­че­ские пра­ви­ла фильтрации.

Се­те­вые филь­тры имеют ряд прин­ци­пи­аль­ных недо­стат­ков. Пре­жде всего аутен­ти­фи­ка­ция (или, если точ­нее, иден­ти­фи­ка­ция) от­пра­ви­те­ля про­из­во­дит­ся толь­ко на ос­но­ва­нии IP-ад­ре­са. Од­на­ко с по­мо­щью под­ме­ны IP-ад­ре­сов (IP-spoofing) зло­умыш­лен­ник без осо­бых уси­лий может обой­ти такую пре­гра­ду. Кроме того, за упол­но­мо­чен­ный ком­пью­тер может в прин­ци­пе сесть че­ло­век, не име­ю­щий права ра­бо­тать с сер­ве­ром. Аутен­ти­фи­ка­ция на ос­но­ве имени и па­ро­ля поль­зо­ва­те­ля на­мно­го на­деж­нее, но в се­те­вых филь­трах ее при­ме­нить не пред­став­ля­ет­ся возможным.

Се­те­вой фильтр не может от­сле­жи­вать ра­бо­ту се­те­вых при­ло­же­ний, и во­об­ще он не кон­тро­ли­ру­ет со­дер­жи­мое па­ке­тов транс­порт­но­го, се­ан­со­во­го и при­клад­но­го уров­ня. По­это­му на­ли­чие се­те­во­го филь­тра не огра­дит кор­по­ра­тив­ную сеть от атак по типу SYN-flooding (см. врез­ку «Атака SYN-flooding»), от атак, свя­зан­ных с фраг­мен­та­ци­ей па­ке­тов, и от втор­же­ний через сер­ви­сы при­клад­но­го уровня.

Ос­нов­ным (по­ми­мо цены и про­сто­ты ре­а­ли­за­ции) до­сто­ин­ством се­те­вых филь­тров яв­ля­ет­ся их очень вы­со­кая про­из­во­ди­тель­ность, на­мно­го более вы­со­кая, чем у меж­се­те­вых экра­нов се­ан­со­во­го и при­клад­но­го уров­ня. Несмот­ря на се­рьез­ные недо­стат­ки, се­те­вой фильтр яв­ля­ет­ся неотъ­ем­ле­мой ча­стью лю­бо­го меж­се­те­во­го экра­на экс­перт­но­го клас­са. Од­на­ко он пред­став­ля­ет собой всего лишь одну из его со­став­ных ча­стей, по­сколь­ку ра­бо­та­ет в со­че­та­нии со шлю­зом более вы­со­ко­го уров­ня иерар­хии OSI. В такой схеме се­те­вой фильтр пре­пят­ству­ет пря­мо­му об­ще­нию между внут­рен­ней и внеш­ней сетью (кроме за­ра­нее опре­де­лен­ных ком­пью­те­ров). Вся же ос­нов­ная филь­тра­ция, но уже на вы­ше­сто­я­щих уров­нях OSI, ор­га­ни­зу­ет­ся шлю­зом со­от­вет­ству­ю­ще­го уров­ня или ин­спек­то­ром состояния.

Дата добавления: 2014-01-05; Просмотров: 472; Нарушение авторских прав?; Мы поможем в написании вашей работы!