Общие недо­стат­ки шлю­зов се­ан­со­во­го уровня

ПО­СРЕД­НИ­КИ СЕ­АН­СО­ВО­ГО УРОВНЯ

Пре­жде чем раз­ре­шить уста­нов­ле­ние со­еди­не­ния TCP между ком­пью­те­ра­ми внут­рен­ней и внеш­ней сети, по­сред­ни­ки се­ан­со­во­го уров­ня сна­ча­ла как ми­ни­мум ре­ги­стри­ру­ют кли­ен­та. При этом неваж­но, с какой сто­ро­ны (внеш­ней или внут­рен­ней) этот кли­ент на­хо­дит­ся. При по­ло­жи­тель­ном ре­зуль­та­те ре­ги­стра­ции между внеш­ним и внут­рен­ним ком­пью­те­ра­ми ор­га­ни­зу­ет­ся вир­ту­аль­ный канал, по ко­то­ро­му па­ке­ты пе­ре­да­ют­ся между се­тя­ми. С этого вре­ме­ни по­сред­ник не вме­ши­ва­ет­ся в про­цесс об­ме­на дан­ны­ми и не филь­тру­ет ин­фор­ма­цию. Но такая схема яв­ля­ет­ся обоб­щен­ной, кон­крет­ные ре­а­ли­за­ции шлю­зов при­клад­но­го уров­ня могут иметь свои осо­бен­но­сти. Наи­бо­лее из­вест­ным и по­пу­ляр­ным по­сред­ни­ком се­ан­со­во­го уров­ня яв­ля­ет­ся по­сред­ник SOCKS 5, ко­то­рый вы­сту­па­ет в ка­че­стве сер­ве­ра SOCKS 5. Когда кли­ент пы­та­ет­ся свя­зать­ся с сер­ве­ром, на­хо­дя­щим­ся по дру­гую сто­ро­ну по­сред­ни­ка, то его SOCKS-кли­ент об­ра­ща­ет­ся к SOCKS-сер­ве­ру, где про­ис­хо­дит не толь­ко ре­ги­стра­ция, но и пол­но­цен­ная аутен­ти­фи­ка­ция на ос­но­ве имени и па­ро­ля поль­зо­ва­те­ля. Аутен­ти­фи­ка­ция может быть ор­га­ни­зо­ва­на так, чтобы па­роль пе­ре­да­вал­ся в за­шиф­ро­ван­ном виде. При по­ло­жи­тель­ном ре­зуль­та­те аутен­ти­фи­ка­ции по­сред­ник SOCKS раз­ре­ша­ет уста­нов­ле­ние со­еди­не­ния кли­ен­та с сер­ве­ром и более не вме­ши­ва­ет­ся в про­цесс об­ме­на ин­фор­ма­ци­ей. Од­на­ко сер­вис SOCKS 5 поз­во­ля­ет уста­нав­ли­вать между кли­ен­том и по­сред­ни­ком пе­ре­да­чу дан­ны­ми в за­шиф­ро­ван­ном виде по про­то­ко­лу SSL. При­ни­мая во вни­ма­ние пе­ре­чис­лен­ные ха­рак­те­ри­сти­ки, оче­вид­но, что при­ме­не­ние по­сред­ни­ка SOCKS 5 осо­бен­но ак­ту­аль­но в си­ту­а­ции, когда сер­вер на­хо­дит­ся во внут­рен­ней сети, а кли­ент — в об­ще­до­ступ­ной. Но и слу­чай, когда внут­рен­ние кли­ен­ты об­ра­ща­ют­ся к ре­сур­сам Internet, не стоит сбра­сы­вать со сче­тов, по­сколь­ку по­сред­ник SOCKS 5 поз­во­ля­ет ре­гу­ли­ро­вать до­ступ на уровне имен и па­ро­лей поль­зо­ва­те­лей. Недо­стат­ком по­сред­ни­ков SOCKS яв­ля­ет­ся необ­хо­ди­мость уста­нов­ки спе­ци­а­ли­зи­ро­ван­но­го про­грамм­но­го обес­пе­че­ния — кли­ент­ской части SOCKS — на каж­дое кли­ент­ское место.

Ос­нов­ным недо­стат­ком шлю­зов се­ан­со­во­го уров­ня сле­ду­ет на­звать невоз­мож­ность ре­гу­ли­ро­ва­ния пе­ре­да­чи ин­фор­ма­ции на при­клад­ном уровне и, как след­ствие, от­сле­жи­ва­ния некор­рект­ных или по­тен­ци­аль­но опас­ных дей­ствий поль­зо­ва­те­ля. На­при­мер, они не поз­во­лят кон­тро­ли­ро­вать вы­пол­не­ние ко­ман­ды PUT сер­ви­са ftp или от­филь­тро­вы­вать при­ло­же­ния ActiveX со сто­ро­ны внеш­них машин, если такая опе­ра­ция до­пу­сти­ма для внут­рен­них клиентов.

Хотя при­ме­не­ние шлю­зов се­ан­со­во­го уров­ня поз­во­ля­ет предот­вра­тить ряд опас­ных атак на внут­рен­нюю сеть, неко­то­рые типы атак, в част­но­сти ка­те­го­рии «отказ в об­слу­жи­ва­нии», можно ре­а­ли­зо­вать в обход этих шлю­зов. За ис­клю­че­ни­ем шлюза IPX/IP и по­сред­ни­ка SOCKS 5, все осталь­ные филь­тры имеют крайне нена­деж­ную си­сте­му иден­ти­фи­ка­ции и аутен­ти­фи­ка­ции, ос­но­ван­ную на IP-ад­ре­сах от­пра­ви­те­ля/по­лу­ча­те­ля. В свою оче­редь, при­ме­не­ние шлю­зов IPX/IP и SOCKS 5 при­вно­сит свои про­бле­мы, так как тре­бу­ет уста­нов­ки на кли­ент­ские ма­ши­ны спе­ци­а­ли­зи­ро­ван­но­го ПО.

За ис­клю­че­ни­ем шлю­зов IPX/IP и SOCKS 5, дру­гие шлюзы се­ан­со­во­го уров­ня обыч­но не по­став­ля­ют­ся в виде ком­мер­че­ско­го про­дук­та. Тем не менее все меж­се­те­вые экра­ны экс­перт­но­го клас­са в обя­за­тель­ном по­ряд­ке ком­плек­ту­ют­ся са­мы­ми раз­ны­ми шлю­за­ми се­ан­со­во­го уров­ня (так же, как и се­те­вы­ми филь­тра­ми), по­сколь­ку по­сред­ни­ки при­клад­но­го уров­ня или ин­спек­то­ры со­сто­я­ния не могут от­сле­жи­вать пе­ре­да­чу дан­ных на ниж­них уров­нях иерар­хии OSI.

Дата добавления: 2014-01-05; Просмотров: 648; Нарушение авторских прав?; Мы поможем в написании вашей работы!