ФИЛЬ­ТРЫ КОН­ТРО­ЛЯ СО­СТО­Я­НИЯ КА­НА­ЛА СВЯЗИ

ШЛЮЗЫ СЕ­АН­СО­ВО­ГО УРОВНЯ

Шлюзы се­ан­со­во­го уров­ня, как и сле­ду­ет из на­зва­ния, опе­ри­ру­ют на се­ан­со­вом уровне иерар­хии OSI. Од­на­ко в се­те­вой мо­де­ли TCP/IP нет уров­ня, од­но­знач­но со­от­вет­ству­ю­ще­го се­ан­со­во­му уров­ню OSI. По­это­му к шлю­зам се­ан­со­во­го уров­ня от­но­сят филь­тры, ко­то­рые невоз­мож­но отож­де­ствить ни с се­те­вым, ни с транс­порт­ным, ни с при­клад­ным уровнем.

Филь­тры се­ан­со­во­го уров­ня имеют несколь­ко раз­но­вид­но­стей в за­ви­си­мо­сти от их функ­ци­о­наль­ных осо­бен­но­стей, но такая клас­си­фи­ка­ция носит до­ста­точ­но услов­ный ха­рак­тер, по­сколь­ку их воз­мож­но­сти во мно­гом пе­ре­се­ка­ют­ся. Сле­ду­ет пом­нить, что в со­став меж­се­те­вых экра­нов вхо­дят шлюзы се­ан­со­во­го уров­ня всех или боль­шин­ства видов.

К филь­трам кон­тро­ля со­сто­я­ния ка­на­ла связи неред­ко от­но­сят се­те­вые филь­тры (се­те­вой уро­вень) с рас­ши­рен­ны­ми возможностями.

Ди­на­ми­че­ская филь­тра­ция в се­те­вых филь­трах. В от­ли­чие от стан­дарт­ной ста­ти­че­ской филь­тра­ции в се­те­вых филь­трах, ди­на­ми­че­ская (stateful) филь­тра­ция поз­во­ля­ет вме­сто несколь­ких пра­вил филь­тра­ции для каж­до­го ка­на­ла связи на­зна­чать толь­ко одно пра­ви­ло. При этом ди­на­ми­че­ский фильтр сам от­сле­жи­ва­ет по­сле­до­ва­тель­ность об­ме­на па­ке­та­ми дан­ных между кли­ен­том и сер­ве­ром, вклю­чая IP-ад­ре­са, про­то­кол транс­порт­но­го уров­ня, но­ме­ра пор­тов от­пра­ви­те­ля и по­лу­ча­те­ля, а ино­гда и по­ряд­ко­вые но­ме­ра па­ке­тов. По­нят­но, что такая филь­тра­ция тре­бу­ет до­пол­ни­тель­ной опе­ра­тив­ной па­мя­ти. По про­из­во­ди­тель­но­сти ди­на­ми­че­ский фильтр несколь­ко усту­па­ет ста­ти­че­ско­му фильтру.

Фильтр фраг­мен­ти­ро­ван­ных па­ке­тов. При пе­ре­да­че через сети с раз­лич­ны­ми MTU IP-па­ке­ты могут раз­би­вать­ся на от­дель­ные фраг­мен­ты, при­чем толь­ко пер­вый фраг­мент все­гда со­дер­жит пол­ный за­го­ло­вок па­ке­та транс­порт­но­го уров­ня, вклю­чая ин­фор­ма­цию о про­грамм­ных пор­тах. Обыч­ные се­те­вые филь­тры не в со­сто­я­нии про­ве­рять фраг­мен­ты, кроме пер­во­го, и про­пус­ка­ют их (при вы­пол­не­нии кри­те­ри­ев по IP-ад­ре­сам и ис­поль­зу­е­мо­му про­то­ко­лу). За счет этого зло­умыш­лен­ни­ки могут ор­га­ни­зо­вать опас­ные атаки по типу «отказ в об­слу­жи­ва­нии», пред­на­ме­рен­но ге­не­ри­руя боль­шое ко­ли­че­ство фраг­мен­тов и тем самым бло­ки­руя ра­бо­ту ком­пью­те­ра-по­лу­ча­те­ля па­ке­тов. Фильтр фраг­мен­ти­ро­ван­ных па­ке­тов не про­пус­ка­ет фраг­мен­ты, если пер­вый из них не прой­дет регистрации.

Кон­троль битов SYN и ACK. Ряд филь­тров поз­во­ля­ет от­сле­жи­вать биты SYN и ACK в па­ке­тах TCP. Все они при­зва­ны бо­роть­ся с ата­ка­ми по типу SYN-flooding (см. врез­ку «Атака SYN-flooding»), но ис­поль­зу­ют раз­лич­ные под­хо­ды. Самый про­стой фильтр за­пре­ща­ет пе­ре­да­чу TCP-па­ке­тов с битом SYN, но без бита ACK со сто­ро­ны об­ще­до­ступ­ной сети на ком­пью­те­ры внут­рен­ней сети, если по­след­ние не были явно объ­яв­ле­ны сер­ве­ра­ми для внеш­ней сети (или хотя бы для опре­де­лен­ной груп­пы ком­пью­те­ров внеш­ней сети). К со­жа­ле­нию, такой фильтр не спа­са­ет при ата­ках SYN-flooding на ма­ши­ны, яв­ля­ю­щи­е­ся сер­ве­ра­ми для внеш­ней сети, но рас­по­ло­жен­ные во внут­рен­ней сети.

Ри­су­нок 2. Про­це­ду­ра уста­нов­ле­ния TCP-со­еди­не­ния через SYNDefender Gateway.

Для этих целей при­ме­ня­ют спе­ци­а­ли­зи­ро­ван­ные филь­тры с мно­го­сту­пен­ча­тым по­ряд­ком уста­нов­ле­ния со­еди­не­ний. На­при­мер, фильтр SYNDefender Gateway из со­ста­ва меж­се­те­во­го экра­на FireWall-1 про­из­вод­ства Check Point ра­бо­та­ет сле­ду­ю­щим об­ра­зом. До­пу­стим, внеш­ний ком­пью­тер Z пы­та­ет­ся уста­но­вить со­еди­не­ние с внут­рен­ним сер­ве­ром A через меж­се­те­вой экран МЭ. Про­це­ду­ра уста­нов­ле­ния со­еди­не­ния по­ка­за­на на Ри­сун­ке 2. Когда МЭ по­лу­ча­ет пакет SYN от ком­пью­те­ра Z (этап 1), то этот пакет пе­ре­да­ет­ся на сер­вер A (этап 2). В ответ сер­вер A пе­ре­да­ет пакет SYN/ACK на ком­пью­тер Z, но МЭ его пе­ре­хва­ты­ва­ет (этап 3). Далее МЭ пе­ре­сы­ла­ет по­лу­чен­ный пакет на ком­пью­тер Z, кроме того, МЭ от имени ком­пью­те­ра Z по­сы­ла­ет пакет ACK на сер­вер A (этап 4). За счет быст­ро­го от­ве­та сер­ве­ру A, вы­де­ля­е­мая под уста­нов­ле­ние новых со­еди­не­ний па­мять сер­ве­ра ни­ко­гда не ока­жет­ся пе­ре­пол­не­на, и атака SYN-flooding не пройдет.

Даль­ней­шее раз­ви­тие со­бы­тий за­ви­сит от того, дей­стви­тель­но ли ком­пью­тер Z ини­ци­а­ли­зи­ро­вал уста­нов­ле­ние со­еди­не­ния с сер­ве­ром A. Если это так, то ком­пью­тер Z пе­ре­шлет пакет ACK сер­ве­ру A, ко­то­рый про­хо­дит через МЭ (этап 5a). Сер­вер A про­игно­ри­ру­ет вто­рой пакет ACK. Затем МЭ будет бес­пре­пят­ствен­но про­пус­кать па­ке­ты между ком­пью­те­ра­ми A и Z. Если же МЭ не по­лу­чит па­ке­та ACK или кон­чит­ся тайм-аут на уста­нов­ле­ние со­еди­не­ния, то он вы­шлет в адрес сер­ве­ра A пакет RST, от­ме­ня­ю­щий со­еди­не­ние (этап 5б).

Ри­су­нок 3. Про­це­ду­ра уста­нов­ле­ния TCP-со­еди­не­ния через SYNDefender Relay.

Фильтр SYNDefender Relay из со­ста­ва того же Check Point FireWall-1 ра­бо­та­ет несколь­ко иначе. Пре­жде чем пе­ре­да­вать пакет SYN на сер­вер A, МЭ сна­ча­ла уста­нав­ли­ва­ет со­еди­не­ние с ком­пью­те­ром Z. Про­це­ду­ра уста­нов­ле­ния со­еди­не­ния для этого слу­чая по­ка­за­на на Ри­сун­ке 3. Толь­ко после по­лу­че­ния па­ке­та ACK от ком­пью­те­ра Z меж­се­те­вой экран ини­ци­а­ли­зи­ру­ет со­еди­не­ние с сер­ве­ром A (этап 3). Оче­вид­но, что после уста­нов­ле­ния со­еди­не­ний меж­се­те­вой экран будет вы­нуж­ден в ди­на­ми­че­ском ре­жи­ме ме­нять зна­че­ния полей Sequent number (по­ряд­ко­вый номер) и Acknowledgement number (номер под­твер­жде­ния) во всех па­ке­тах TCP, пе­ре­да­ва­е­мых между ком­пью­те­ра­ми A и Z, что сни­жа­ет производительность.

Дата добавления: 2014-01-03; Просмотров: 818; Нарушение авторских прав?; Мы поможем в написании вашей работы!