Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Шлюзы приложений

Недостатки маршрутизаторов с фильтрацией пакетов

Фильтрация пакетов служит эффективным средством защиты различных служб от сетевых атак, но методы фильтрации пакетов неэффективны против атак, не зависящих от сетевых служб. Примером является атака с подменой IP -адреса пакета, которая может быть применена к любой сетевой службе. Для исполнения такого рода атаки хакер в отсылаемом с внешнего хоста пакете подменивает исходный IP-адрес фальшивым IP-адресом, для которого разрешено прохождение пакетов. Если брандмауэр не настроен должным образом, пакет с фальсифицированным IP-адресом может быть пропущен в сеть.

Другой возможный вариант сетевой атаки, против которой бессильна фильтрация пакетов – это обход системы защиты сети указанием в переданном пакете маршрутной информации. Здесь важно, чтобы брандмауэр был настроен на отбрасывание таких пакетов.

Еще одна брешь возникает, когда применяется фрагментация пакетов, при которой хакер делит пересылаемые пакеты на маленькие части и посылает их на маршрутизатор с фильтрацией пакетов. Во фрагментированном пакете номер порта целевого хоста должен содержать только самый первый фрагмент, а остальные фрагменты содержат лишь само сообщение.

Другой недостаток маршрутизаторов с фильтрацией пакетов состоит в отсутствии проверки содержимого пакетов, что делает их непригодными для защиты от атак, управляемых данными. Для отражения таких атак более эффективны другие методы, обеспечиваемые шлюзами приложений.

Шлюзы приложений полезны тем, что позволяют создать более жесткие правила политики безопасности, чем это позволяют сделать маршрутизаторы с фильтрацией пакетов. Для управления трафиком между хостами глобальной и локальной сети в шлюзах приложений используются специальные программы, называемые службами-посредниками. Поэтому для защиты каждого защищаемого шлюзом приложения требуется установить отдельную службу, без которой приложение-посредник не сможет предоставлять свои услуги сетевым пользователям. Далее служба-посредник может быть конфигурирована для предоставления только определенной части услуг защищаемого приложения.

Шлюзы с фильтрацией пакетов разрешают прямое прохождение информационных пакетов внутрь и наружу системы; в отличие от них, шлюзы приложений запрещают прямой обмен пакетами между внутренними и внешними хостами.

При решении вопроса о предоставлении доступа к службе-посреднику бастионный хост может выполнить дополнительную аутентификацию подсоединяющегося пользователя. Для аутентификации может быть использована технология одноразовых паролей, генерируемых криптографическим устройством опознания, реализованным на интеллектуальной карточке. Более того, для усиления защиты такие средства аутентификации могут быть реализованы отдельно для каждой службы-посредника.

Основное преимущество шлюзов-приложений в том, что они позволяют жестко ограничить доступ ко всем приложениям и службам, используемым в локальной сети, со стороны как внешних, так и внутренних хостов. Для решения такой задачи, как и в случае шлюзов с фильтрацией пакетов, используются правила фильтрации. Наибольший недостаток шлюзов приложений – ограничение свободы действий пользователей, а также необходимость инсталляции на каждом хосте, запрашивающем службу-посредника, дополнительных программных средств.

 

<== предыдущая лекция | следующая лекция ==>
Правила фильтрации пакетов | Недостатки брандмауэров
Поделиться с друзьями:


Дата добавления: 2014-01-15; Просмотров: 950; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.012 сек.