КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
МСЭ на базе пакетных фильтров и прокси-серверов
|
|
|
|
МЭ, функционирующие на базе пакетных фильтров, предназначены для фильтрования проходящих через них пакетов данных на основе критериев, заданных администратором безопасности. Критерии фильтрования могут задаваться по отношению к уровню межсетевого взаимодействия, транспортному уровню, а также уровню приложения. Перечень возможных критериев фильтрования пакетов данных, определённых на различных уровнях стека протоколов TCP/IP, приведён в табл. 18.1.
Таблица 18.1 - Критерии фильтрования пакетов данных
| Наименование уровня стека протоколов TCP/IP | Примеры критериев фильтрования |
| Уровень межсетевого взаимодействия | На уровне межсетевого взаимодействия стека протоколов TCP/IP МЭ могут проводить анализ значений параметров заголовков IP-или ICMP-пакетов или пакетов данных, сформированных на основе протоколов маршрутизации. Примерами критериев фильтрования этого уровня являются: • IP-адреса получателя и отправителя IP-пакета; • тип протокола, при помощи которого сформирован блок данных, размещенный в поле данных IP-пакета; • длина IP-пакета; • тип пакета данных ICMP и др. |
| Транспортный уровень | На транспортном уровне стека протоколов TCP/IP МЭ могут осуществлять анализ значений параметров заголовков ТСР-сегментов и UDP-дейтаграмм. Примерами критериев фильтрования являются: • номера TCP- и UDP-портов отправителя и получателя TCP-сегмента или UDP-дейтаграммы; • значение флагового поля передачи ТСР-сегментов; • длина TCP-сегмента и др. |
| Уровень приложения | На уровне приложения стека протоколов TCP/IP МЭ могут проводить анализ значений заголовков блоков данных, сформированных при помощи соответствующих протоколов прикладного уровня. Учитывая, что на прикладном уровне может использоваться большое число различных протоколов, каждый из которых имеет собственные параметры, ниже приводятся лишь обобщённые типы критериев фильтрации для этого уровня: • длина заголовка блока данных прикладного уровня; • тип команды, содержащейся в блоке данных прикладного уровня; • адрес ресурса, которому предназначена команда, содержащаяся в блоке данных прикладного уровня, и др. |
|
|
|
При определении правил фильтрования пакетов данных, проходящих через МЭ, администратор безопасности может руководствоваться двумя принципами:
• «всё, что не запрещено, - разрешено». Данный принцип означает, что если МЭ не содержат правил, запрещающих дальнейшую передачу определённого пакета данных, то этот пакет должен быть пропущен через МЭ. В противном случае пакет данных должен быть удалён;
• «всё, что не разрешено, - запрещено». Принцип означает, что если МЭ не содержат правил, разрешающих дальнейшую передачу определённого пакета данных, то этот пакет должен быть удалён, в противном случае пакет данных передаётся дальше по маршруту следования. Этот принцип формирования правил фильтрования может повысить эффективность работы МЭ за счёт более чёткого определения типов пакетов данных, которые могут быть переданы через МЭ.
МЭ, функционирующие на базе прокси-сервера, предназначены для контроля за установлением соединений между АС, находящимися по разные стороны от МЭ. Управление соединениями может осуществляться на основе дополнительного проведения процедур идентификации и аутентификации внешних АС, претендующих на получение доступа к информационным ресурсам и инфраструктурам защищаемых АС. Для реализации этих функций МЭ, функционирующие на базе прокси-сервера, выступают в роли промежуточного сервера, расположенного между двумя АС, устанавливающими между собой логическое соединение (рис. 18.2). Таким образом, вместо одного формируется два логических соединения: от защищаемой АС до МЭ и от МЭ до внешней АС.
|
|
|
МЭ могут функционировать на основе прокси-серверов двух типов: серверов прикладного уровня (application-level proxy) и серверов сеансового уровня (circuit-level proxy). Первый тип серверов имеет возможность обрабатывать блоки данных, сформированные протоколами прикладного уровня стека TCP/IP, в то время как прокси-сервера сеансового уровня реализуют только функции транспортного уровня стека TCP/IP и не могут анализировать блоки данных прикладного уровня. Прокси-сервера прикладного уровня обладают большими функциональными возможностями, но имеют более низкую производительность. В качестве протокола, отвечающего за установление соединения между АС, защищаемой МЭ, и прокси-сервером, может выступать протокол SOCKS.
Рисунок 18.2 - Расположение МЭ, функционирующих на базе прокси-сервера
Помимо функций контроля соединений, МЭ, функционирующие на базе прокси-сервера, могут реализовывать механизм трансляции сетевых адресов (Network Address Translation), позволяющий скрыть от нарушителя реальные IP-адреса АС, защищаемых МЭ. Реализация данного механизма МЭ выглядит следующим образом. При поступлении пакета данных от защищаемой АС МЭ заменяет IP-адрес отправителя пакета данных на свой собственный IP-адрес и пересылает изменённый пакет данных получателю (рис. 18.3). При получении пакета данных от внешних АС МЭ выполняет обратные действия по замене IP-адресов.
Рисунок 18.3 - Схема трансляции IP-адресов в МЭ
Трансляция IP-адресов может осуществляться МЭ в одном из четырёх режимов: динамическом, статическом, статическом с динамической выборкой IP-адресов и комбинированном.
При динамической трансляции МЭ пересылают все пакеты данных внешним АС с одного IP-адреса. Для того чтобы различать пакеты данных, предназначенные для разных АС, МЭ присваивают каждому соединению уникальное числовое значение номера TCP- или UDP-порта.
В режиме статической трансляции МЭ выделяют каждой защищаемой АС отдельный IP-адрес, с которого и осуществляется отправка пакетов данных внешним АС.
Статический режим трансляции с динамической выборкой полностью аналогичен статическому режиму, за исключением того, что АС соответствуют не статические IP-адреса, а динамические, т. е. они выбираются в МЭ случайным образом из заданного множества адресов.
|
|
|
Комбинированный режим трансляции IP-адресов подразумевает одновременное использование нескольких режимов трансляции, рассмотренных выше.
К основным преимуществам МЭ, функционирующих на базе прокси-сервера, можно отнести возможность проведения процедур аутентификации, а также возможность раздельного протоколирования параметров пакетов данных, передаваемых в рамках различных логических соединений, а к недостаткам - более низкую скорость работы в сравнении с МЭ, функционирующими на базе пакетных фильтров.
|
|
|
|
|
Дата добавления: 2014-01-20; Просмотров: 595; Нарушение авторских прав?; Мы поможем в написании вашей работы!