Пакетные фильтры

Коммутаторы

Классификация

До сих пор не существует единой и общепризнанной классификации межсе­тевых экранов. Однако, можно выделить следующие их классы, учитывающие уровни OSI или стека TCP/IP:

• коммутаторы, функционирующие на канальном уровне;

• сетевые или пакетные фильтры, которые, как видно из названия, функцио­нируют на сетевом уровне;

• шлюзы сеансового уровня (circuit-level proxy);

• посредники прикладного уровня (application proxy или application gateway);

• инспекторы состояния (stateful inspection).

Данные устройства, функционирующие на канальном уровне, не принято причислять к классу межсетевых экранов, так как они разграничивают доступ в рамках локальной сети и не могут быть применены для ограничения трафика из Internet. Однако, основываясь на том факте, что межсетевой экран разделяет до­ступ между двумя сетями или узлами, такое причисление вполне закономерно.

Коммутаторы позво­ляют осуществлять фильтрацию трафика на основе МАС-адресов, содержащих­ся во фреймах, пытающихся получить доступ к определенному порту коммутато­ра. Однако надо заметить, что практически все современ­ные сетевые карты позволяют программно изменять их МАС-адреса, что приво­дит к неэффективности такого метода фильтрации. Поэтому существуют и дру­гие параметры, которые могут использоваться в качестве признака фильтрации. Например, VLAN, которые разграничивают трафик между ними — трафик од­ной VLAN никогда не пересекается с трафиком другой VLAN. Более «продвину­тые» коммутаторы могут функционировать не только на втором,, но и на тре­тьем, четвертом (например Catalyst) и даже седьмом уровнях модели OSI (на­пример TopLayer AppSwitch).

Пакетные фильтры (packet filter) — это одни из первых и самые распростра­ненные межсетевые экраны, которые функционируют на третьем, сетевом, уров­не и принимают решение о разрешении прохождения трафика в сеть на основа­нии информации, находящейся в заголовке пакета. Многие фильтры также могут оперировать заголовками пакетов и более высоких уровней (например TCP или UDP). Распространенность этих межсетевых экранов связана с тем, что именно эта технология используется в абсолютном большинстве маршрутизаторов (т.н. экранирующий маршрутизатор, screening router) и даже коммутаторах. В качестве параметров, используемых при анализе заголовков сетевых пакетов, могут использоваться:

• адреса отправителей и получателей;

• тип протокола (TCP, UDP, ICMP и т. д.);

• номера портов отправителей и получателей (для TCP и UDP-трафика);

• другие параметры заголовка пакета (например, флаги ТСР-заголовка).

С помощью данных параметров, описанных в.специальном наборе правил, можно задавать достаточно гибкую схему разграничения доступа. При поступле­нии пакета на любой из интерфейсов маршрутизатора, он сначала определяет, может ли он доставить пакет по назначению (т. е. может ли осуществить процесс маршрутизации). И только потом маршрутизатор сверяется с набором правил (так называемый список контроля доступа, access control list), проверяя, должен ли он маршрутизировать этот пакет. При создании правил для пакетных фильтров мож­но использовать два источника информации: внутренний и внешний. Первый ис­точник включает в себя уже названные поля заголовка сетевого пакета. Второй, реже используемый источник оперирует информацией, внешней по отношению к сетевым пакетам. Например, дата и время прохождения сетевого пакета.

Сетевые фильтры, обладая рядом достоинств, не лишены и ряда серьезных недостатков. Во-первых, исходя из того, что они анализируют только заголовок (такие фильтры получили название stateless packet filtering), за пределами рас­смотрения остается поле данных, которое может содержать информацию, проти­воречащую политике безопасности. Например, в данном поле может содержаться команда на доступ к файлу паролей по протоколу FTP или HTTP, что является признаком враждебной деятельности. Другой пример. Пакетный фильтр может пропустить в защищаемую сеть TCP-пакет от узла, с которым в настоящий мо­мент не открыто никаких активных сессий. Так как межсетевой экран, функцио­нирующий на сетевом уровне, не анализирует информацию, присущую транспортному и более высокому уровню, то он пропустит такой пакет в сеть. В целом не­достаток пакетных фильтров заключается в том, что они не умеют анализировать трафик на прикладном уровне, на котором совершается множество атак — про­никновение вирусов, Internet-червей, отказ в обслуживании и т. д.

Другой недостаток пакетных фильтров — сложность настройки и админист­рирования. Приходится создавать как минимум два правила для каждого типа раз­решенного взаимодействия (для входящего и исходящего трафика). Неконтролируемое увеличение числа правил может приводить к появлению брешей в первой линии обороны, создавае­мой пакетными фильтрами. Известны случаи, когда таблицы правил маршрутиза­торов содержали тысячи правил. Увеличение числа правил несет с собой и еще одну проблему — снижение производительности меж­сетевого экрана. Ведь пришедший пакет проверяется на соответствие таблице пра­вил, начиная с ее верха, что в свою очередь требует внимательного отношения к порядку следования правил. Такая проверка осуществляется до тех пор, пока не будет найдено соответствующее правило или не будет достигнут конец таблицы.

Еще один недостаток пакетных фильтров — слабая аутентификация трафика, которая осуществляется только на основе адреса отправителя. Текущая версия протокола IP (v4) позволяет без труда подменять такой адрес, подставляя вместо него любой из адресов, принадлежащий адресному пространству IP-протокола, реализуя тем самым атаку «подмена адреса» (IP Spoofing). И даже если адрес компьютера-отправителя не изменялся, то что мешает злоумышленнику сесть за этот компьютер. Ведь сетевой фильтр не запрашивает у пакета идентификатор и пароль пользователя, так как эта информация принадлежит прикладному уровню.

Данные МСЭ могут быть реализованы как аппаратно, так и программно, например, в ОС Windows 2000, Unix и т. д. Причем пакетный фильтр может быть установлен не толь­ко на устройстве, расположенном на границе между двумя сетями (например на маршрутизаторе), но и на рабочей станции пользователя, повышая тем самым ее защищенность.

Однако простота реализации пакетных фильтров, их высокая производительность и малая цена (зачастую такие фильтры являются свободно распространяемыми) перевешивает указанные недостатки и обуславливает их повсеместное распространение и использование как обязательного (а зачастую единственного) элемента системы сетевой безопасности. Кроме того, они являются составной ча­стью практически всех межсетевых экранов, использующих контроль состояния и описываемых далее.

Рис.1. «Пакетный фильтр»

Дата добавления: 2014-01-15; Просмотров: 4046; Нарушение авторских прав?; Мы поможем в написании вашей работы!