загрузка...
загрузка...
На головну

екранувальний маршрутизатор

Екранувальний маршрутизатор, званий ще пакетним фільтром, призначений для фільтрації пакетів повідомлень і забезпечує прозору взаємодію між внутрішньою і зовнішньою мережами. Він функціонує на мережевому рівні моделі OSI, але для виконання своїх окремих функцій може охоплювати і транспортний рівень еталонної моделі. Рішення про те, пропустити або отбраковать дані, приймається для кожного пакету незалежно на основі заданих правил фільтрації. Для прийняття рішення аналізуються заголовки пакетів мережевого і транспортного рівнів. Як аналізованих полів IP- і TCP (UТР) -заголовков кожного пакету виступають: адреса відправника; адреса одержувача; тип пакету; прапор фрагментації пакета; номер порту джерела; номер порту одержувача.

Адреси відправника та одержувача є IP-адресами. Ці адреси заповнюються при формуванні пакета і залишаються незмінними при передачі його по мережі.

Поле типу пакета містить код протоколу ICMP, відповідного мережевого рівня, або код протоколу транспортного рівня (TCP або UDP), до якого належить аналізований IP-пакет.

Прапор фрагментації пакета визначає наявність або відсутність фрагментації IP-пакетів. Якщо прапор фрагментації для аналізованого пакету встановлено, то даний пакет є підпакети фрагментированного IP-пакета.

Номери портів джерела і одержувача додаються драйвером TCP або UDP до кожного відправляється пакету повідомлення і однозначно ідентифікують додаток-відправник, а також додаток, для якого призначений цей пакет. Наприклад, при використанні протоколу передачі файлів FTP реалізація даного протоколу на сервері за замовчуванням отримує номер TCP-порту 21. Кожен Telnet-сервер за замовчуванням має TCP-порт 23. Для можливості фільтрації пакетів по номерам портів необхідне знання прийнятих у мережі угод щодо виділення номерів портів протоколів високого рівня.

При обробці кожного пакету екранувальний маршрутизатор послідовно переглядає задану таблицю правил, поки не знайде правила, з яким узгоджується повна асоціація пакета. Тут під асоціацією розуміється сукупність параметрів, зазначених в заголовках даного пакета. Якщо екранувальний маршрутизатор отримав пакет, який не відповідає жодному з табличних правил, він застосовує правило, задане за замовчуванням. З міркувань безпеки це правило зазвичай вказує на необхідність відбракування всіх пакетів, які задовольняють жодному з інших правил.

Як пакетного фільтра може використовуватися як звичайний маршрутизатор, так і працює на сервері програма, сконфігуровані таким чином, щоб фільтрувати вхідні і вихідні пакети. Сучасні маршрутизатори, наприклад, маршрутизирующие пристрої компаній Cisco, дозволяють пов'язувати з кожним портом кілька десятків правил і фільтрувати пакети як на вході, так і на виході.

До переваг маршрутизаторів, що екранують відносяться: простота самого екрану, а також процедур його конфігурації і установки; прозорість для програмних додатків і мінімальний вплив на продуктивність мережі; низька вартість, обумовлена ??тим, що будь-який маршрутизатор в тій чи іншій мірі надає можливість фільтрації пакетів.

Однак екранують маршрутизатори не забезпечують високого ступеня безпеки, так як перевіряють тільки заголовки пакетів і не підтримують багато необхідні функції захисту, наприклад, аутентифікацію кінцевих вузлів, криптографічне закриття пакетів повідомлень, а також перевірку їх цілісності та автентичності. Екранувальні маршрутизатори уразливі для таких поширених мережевих атак, як підробка вихідних адрес і несанкціонованих змін вмісту пакетів повідомлень. "Обдурити" міжмережеві екрани даного типу не складає труднощів досить сформувати заголовки пакетів, які задовольняють що дозволяє правилам фільтрації.

5.4. Шлюз сеансового рівня

Шлюз сеансового рівня, званий ще екрануючим транспортом, призначений для контролю віртуальних з'єднань і трансляції IP-адрес при взаємодії з зовнішньою мережею. Він функціонує на сеансовому рівні моделі OSI, охоплюючи в процесі своєї роботи також транспортний і мережевий рівні еталонної моделі. Захисні функції екрануючого транспорту відносяться до функцій посередництва.

Контроль віртуальних з'єднань полягає в контролі квітірованія зв'язку, а також контролі передачі інформації за встановленими віртуальних каналах.

При контролі квітірованія зв'язку шлюз сеансового рівня стежить за встановленням віртуального з'єднання між робочою станцією внутрішньої мережі і комп'ютером зовнішньої мережі, визначаючи, чи є запитуваний сеанс зв'язку допустимим. Такий контроль грунтується на інформації, що міститься в заголовках пакетів сеансового рівня протоколу TCP. Однак якщо пакетний фільтр при аналізі TCP-заголовків перевіряє тільки номери портів джерела і одержувача, то екранувальний транспорт аналізує інші поля, що відносяться до процесу квітірованія зв'язку.

Щоб визначити, чи є запит на сеанс зв'язку допустимим, шлюз сеансового рівня виконує наступні дії. Коли робоча станція (клієнт) запитує зв'язок із зовнішньою мережею, шлюз приймає цей запит, перевіряючи, чи задовольняє він базовим критеріям фільтрації, наприклад, чи може DNS-сервер визначити IP-адресу клієнта і асоційоване з ним ім'я. Потім, діючи від імені клієнта, шлюз встановлює з'єднання з комп'ютером зовнішньої мережі і стежить за виконанням процедури квітірованія зв'язку по протоколу TCP.




Захист засобами прикладних програм. | Апаратно програмні засоби захисту від несанкціонованого доступу. | Загальні відомості про атаки | Технологія виявлення атак | Способи виявлення атак. | Методи аналізу інформації при виявленні атак | Загальні відомості | Функції міжмережевого екранування | фільтрація трафіку | Виконання функцій посередництва |

загрузка...
© um.co.ua - учбові матеріали та реферати