Мсэ транспортного уровня – инспекторы состояний (State Full Inspection)

Данные МСЭ проверяют факт, является ли пакет запроса на соединение, либо передает данные, относящиеся к уже установленному соединению.

Для проверки МСЭ исследует каждое установленное соединение и запрещает передачу любых пакетов до завершения рукопожатия. Он формирует специальную таблицу состояний, в которой содержится следующая информация:

• Идентификатор сеанса;

• Состояние соединения;

• Последовательная информация (порядковый номер октетов);

• Адрес источников и получателей;

• Номера портов, участвующих в сеансе;

• Физический интерфейс, откуда прибыл пакет;

• Физический интерфейс, куда отправляется пакет;

• Временные метки начала сеанса и т.д.

«+»:

• Разрешает прохождение пакетов только для установленных соединений;

• Возможность запрещения установки соединения с определенными хостами;

• При использовании механизма NAT трансляции адресов, скрываются внутренние IP;

• Является прозрачным для клиента-сервера, не разрывая ИСР соединение.

«-»:

• Невозможно ограничить доступ протоколов, отличных от ТСР;

• Не осуществляется проверка протоколов высокого уровня;

• Ограничен аудит (log) для передаваемого трафика.

Мсэ прикладного уровня Proxy Server

Такие МСЭ бывают двух видов:

• Универсальные, позволяющие контролировать прикладной уровень большинства приложений;

• Выделенные, позволяющие обеспечить защиту конкретного приложения.

Большинство МСЭ позволяет оценивать сетевой пакет на соответствие определенному прикладного уровню перед установлением соединения.

Обычно они включают в себя:

Отдельные службы proxy для каждого протокола прикладного уровня. Это позволяет анализировать множество команд для каждого протокола и производить анализ данного протокола.

«+»:

• Proxy server может запросить отдельно аутентификацию пользователя для каждой прикладной службы, причем аутентификация происходит как по адресу узла источника, так и с помощью ПД пользователя;

• Позволяет анализировать вест сетевой пакет и обнаруживать уязвимости, специфичные для конкретного приложения;

• Возможна фильтрация данных или контекста, передаваемых в пакете;

• Более подробные логии.

«-»:

• Требуется много времени для чтения и интерпретации каждого пакета, т.е. не пригодно для приложения реального времени;

• Не является прозрачным для клиентов, т.е. требуется изменить конфигурацию приложения.

Типы окружения мсэ-ов

В смысле топология, в которой расположены МСЭ.

Основной термин, определяющий окружение МСЭ, является DMZ-сеть (сеть демилитаризованной зоны).

Эта сеть расположена между двумя FW-ми, в которых расположены сетевые ресурсы и защищена от внутренних и внешних угроз.

1) конфигурация с одной DMZ-сетью

Ресурсы DMZ должны быть доступны изнутри и из вне, при этом в самой DMZ отсутствуют пользователи, т.е. ресурсы защищены от внутренних угроз.

2) Service Leg – тип окружения

В данном случае FW имеет 3 интерфейса:

• Один соединен с внутренней сетью и имеет внутренний адрес;

• Второй соединен с внешней и имеет внешний реальный адрес;

• Третий формирует DMZ/

Т.е. МСЭ выступает в этой конфигурации как маршрутизатор для 3-х сетей, при этом часть правил или политик доступа могут быть реализованы настройками маршрутизатора.

Такая конфигурация является более простой, однако, она имеет следующие уязвимости. Т.к. FW виден из сети Интернет, он может быть объектом DOS-атаки, следовательно, деградация сервиса (рисковое событие). Соответственно для внутренних пользователей доступ к прикладным сервисам может быть затруднен.

3) конфигурация с двумя DMZ-сетями

При наличие в сети большого числа серверов (ресурсов) с различными требованиями доступа можно использовать FW пограничного роутера и два внутренних FW для создания двух DMZ, в одной из которых будут расположены ресурсы, требующие доступ из вне, а в другой – ресурсы, требующие из внутренней сети.

МСЭ 1 будет считаться основным FW-ом организации. Именно он будет защищать ресурсы от внешних атак. МСЭ 2 – от внутренних атак.

4) VPN – Virtual Person Net

Применяется для обеспечения безопасных сетевых соединений с использованием недоверяемых сетей. Создается поверх существующей сетевой среды и протоколов с использованием дополнительных протоколов, реализующих конфиденциальность и целостность трафика. Пограничный роутер в подобных сет является VPN-сервером, который используется в качестве конечной точки при создании туннельных (незащищенных) соединений. В случае конфигурации с 2-мя VPN-сетями VPN-сервером будет являться МСЭ 1.