КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Статические фильтры пакетов
|
|
|
|
Фильтры пакетов - первое поколение технологии МЭ - анализируют сетевой трафик на сетевом и транспортных уровнях. Каждый IP-пакет проверяется на соответствие набору правил, определяющих разрешенные потоки данных. Фильтры пакетов или пакетные фильтры (ПФ) обычно позволяют контролировать следующие поля сетевых пакетов:
• физический сетевой интерфейс, с которого получен пакет (МАС-адрес);
• IP-адрес источника;
• IP-адрес получателя;
• тип транспортного протокола (TCP, UDP, ICMP);
• поля служебных заголовков протоколов IP, TCP;
• порт источника транспортного уровня (TCP/UDP порт);
• порт назначения транспортного уровня (TCP/UDP порт). Фильтры пакетов не понимают прикладной уровень модели OSI.
Они работают, применяя набор правил, установленных в ядре TCP/IP стека МЭ. Этот набор правил содержит ассоциативные действия, которые будут применены ко всем входящим и исходящим пакетам.
Действие над поступающим на сетевой интерфейс или исходящим из него пакетом имеет одно из двух значений: запретить (deny) или разрешить (allow). Запрещение прохождения пакета выполняется одним из следующих способов:
1) пакет отбрасывается (drop) без каких либо дополнительных действий;
2) пакет отбрасывается (reject) и отправителю посылается пакет с установленным флагом «сброс соединения». Правило reject используется только для TCP-пакетов;
3) пакет отбрасывается и отправителю посылается сообщения ICMP - хост недостижим или порт недоступен.
Последние два способа запрещения пакетов позволяют создать видимость отсутствия средств защиты (фильтрации) на пути прохождения сетевых пакетов.
Два списка - запрещенный список и список доступа - обрабатываются в ядре МЭ. Сетевой пакет, проходящий через МЭ, должен пройти оба списка доступа. В большинстве МЭ применяется правило: что явно не разрешено, то запрещено. Некоторые фильтры пакетов, включенные в состав маршрутизаторов, используют Другую политику. В таких фильтрах пакетов пакет должен быть явно запрещен или иначе он будет разрешен. По этой причине необходимо ясно понимать политику фильтрации, используемой в активном оборудовании и МЭ. При задании правил фильтра пакетов используют и другие более сложные подходы, реализующие многоуровневую иерархическую структуру.
Фильтры пакетов обычно оперируют набором команд, контролирующих IP-адреса, номера портов источника и назначения TCP и UDP. Поскольку протокол ICMP не использует портов, это затрудняет реализацию политики безопасности для него. Для обеспечения эффективной политики безопасности для ICMP фильтр пакетов должен установить таблицу состояний, чтобы обеспечить работу протокола (транслировать ICMP-отклик) для внутренних хостов. Эта способность «контроля состояния» является одной из основных различий между простым фильтром пакетов и динамическим фильтром пакетов.
Основные достоинства МЭ на базе фильтров пакетов заключаются прежде всеф в простоте реализации и широкой доступности как в программном исполнении, так и аппаратном (в составе маршрутизаторов). Кроме того:
• фильтры пакетов обычно быстрее (более производительны) других типов МЭ, поскольку выполняют меньшее количество операций в процессе анализа;
• пакетные фильтры не требуют специального конфигурирования клиентских компьютеров;
• в сочетании с сетевой трансляцией адресов использование МЭ фильтрации пакетов позволяет скрыть внутренние адреса сети от внешних пользователей.
Фильтр пакетов не контролирует данные сетевого пакета на прикладном уровне и состояние соединения, поэтому он обеспечивает наименьшую защищенность, что позволяет получить доступ через МЭ с минимальным числом дополнительных исследований. Другими словами, если доступ разрешен, сетевой пакет будет маршрутизирован через МЭ как определенный правилами в таблице маршрутизации МЭ. Поскольку такой МЭ требует минимальных вычислительных затрат и обеспечивает самую высокую производительность, его часто используют в таких аппаратных решениях, как IP-маршрутизаторы.
Фильтр пакетов часто реализуют модификацию IP-адреса сетевых пакетов. Процесс переадресации сетевых пакетов называется сетевой трансляцией адресов (network address translation - NAT). Сетевая трансляция адресов скрывает топологию и адреса защищенной сети от внешней сети и позволяет работать в ограниченном зарегистрированном адресном блоке.
МЭ, основанные на статической фильтрации пакетов, имеют следующие недостатки:
• фильтры пакетов не интерпретируют прикладной уровень модели OSI, не отслеживают текущие сессии. Поэтому они обеспечивают меньшую защищенность, чем МЭ прикладного уровня или уровня соединения;
• фильтры пакетов имеют ограниченные системы аудита и предупреждений или вообще не имеют их;
• из-за сложности реализации большинства прикладных сервисов возникают сложности определения разрешенных и запрещенных списков правил, что, в свою очередь, усложняет их администрирование.
Фильтры пакетов являются неотъемлемой частью МЭ экспертного уровня.
МЭ прикладного уровня
МЭ прикладного уровня (application-level proxy, application proxy, посредник) - технология МЭ, которая проверяет информационные потоки на корректность данных на прикладном уровне. Дополнительно на этом уровне МЭ прикладного уровня могут контролировать различные характеристики защищенности, присущие только прикладному уровню, такие как пароль пользователя и запрашиваемые объекты протоколов. Обратите внимание, посредники оперируют не пакетами, а информационными массивами в виде команд и их параметров, результатами выполнения команд, различными высокоуровневыми объектами - файлами, элементами баз данных, компонентами Java, Java script и др.
Большинство МЭ прикладного уровня включают специальное программное обеспечение и сервис-посредники (proxy services). Сервис-посредники - программы специального назначения, которые управляют трафиком через МЭ для определенных сервисов, таких как HTTP, FTP, SMTP, POPS, Telnet, DNS, RealAudio, SQLnet и др. Как правило, каждый сервис-посредник, называемый также прокси-приложением, состоит из двух отдельных компонент - про-кси-клиента и прокси-сервера. Чаще всего сетевые приложения напрямую взаимодействуют с прокси-серверами, что не требует дополнительного программного обеспечения на клиентских рабочих местах. Прокси-сервер выступает конечным сервером для всех запросов от клиентов защищаемой сети.
Различают прозрачные (transparent proxy) и непрозрачные (not transparent) посредники прикладного уровня. Прозрачные посредники работают незаметно для соответствующих клиентских при-
ложений и не требуют их конфигурации. Это достигается за счет перехвата всех сетевых пакетов сервером-посредником, соответствующим прикладному приложению (на основе TCP или UDP-nop-тов назначения). Непрозрачные посредники требуют специальной конфигурации клиентских приложений, которая заключается в указании приложению адреса, порта посредника, параметров аутентификации и при необходимости других дополнительных параметров. МЭ прикладного уровня позволяют блокировать потенциально опасные компоненты и команды прикладного протокола. Так, например, они позволяют блокировать компоненты ActiveX, Java, Java script, банеры протокола HTTP, запрещать/разрешать команды протоколов FTP и HTTP, блокировать несуществующие команды. Кроме того, МЭ прикладного уровня умеют кэшировать информацию и управлять характеристиками кэша, за счет чего уменьшают время загрузки данных и расходы за трафик.
Основными преимуществами сервис-посредников являются:
• интерпретация и усиление защиты высокоуровневых прикладных протоколов, таких как HTTP и FTP;
• блокирование напрямую установленных соединений между внешними серверами и внутренними хостами;
• перенаправление внешних запросов на другие серверы внутренних сервисов;
• широкий набор учетных данных для отчетности по сравнению с другими типами МЭ (идентификатор пользователя, время и продолжительность соединения для каждой пары адресов, имена и характеристики запрашиваемых объектов, статистика посещения узлов и запрашиваемых объектов, распределение затраченного сетевого времени между приложениями и пользователями и ряд
других);
• обеспечение дополнительных возможностей (кэширование объектов HTTP, фильтрация URL, аутентификация пользователей, балансировка нагрузки и др.).
Недостатки сервис-посредников:
• поскольку они прослушивают тот же порт, что и сам прикладной сервер, то не всегда есть возможность расположения сервера и МЭ на одном и том же компьютере;
• значительное время обработки, поскольку входящие данные обрабатываются дважды - приложением и его посредником;
• для каждого прикладного протокола, пропускаемого через МЭ, должен быть разработан собственный сервис-посредник.
Сервис-посредники обеспечивают самый высокий уровень защиты из всех типов МЭ, но имеют самую низкую производительность.
|
|
|
|
|
Дата добавления: 2014-01-07; Просмотров: 1206; Нарушение авторских прав?; Мы поможем в написании вашей работы!