Файловый архив студентов. Файловый архив студентов.
1267 вузов, 4648 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Уфимский Государственный Авиационный Технический Университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
МЕЖСЕТЕВЫЕ ЭКРАНЫ.docx
Скачиваний:
0
Добавлен:
01.09.2019
Размер:
29.78 Кб
Скачать
►Содержание►

Межсетевые экраны сеансового уровня

Они следят за подтверждением связи между авторизованным клиентом и внешним компьютером, определяя, является ли запрашиваемый сеанс допустимым, при этом анализируется информация из заголовков пакетов сеансового уровня.

При запросе от клиентов, межсетевые экраны проверяют, удовлетворяет ли клиент базовым критериям фильтрации.

пропустил всю процедуру. :(

Продвинутые межсетевые экраны сеансового уровня способны обеспечить борьбу с дос атаками. Одним из ее примеров является атака synflood.

Когда сервер получает пакет с флагом syn, он выделяет дополнительную память для нового соединения. Обычно имеются ограничения на число создаваемых соединений. Резервирование памяти под соединение продолжается пока сервер не получит пакет с установленными флгами SYN и ACK или RST. Атака synflood предусматривает посылку на сервер множество TCP пакетов с флагом syn от имени несуществующих или неработающих компьютеров. Используется технология подмена айпи адресов. Важно чтобы пакеты отправлялись от имени нерабочего компьютера, так как если запрос идет от работоспособного компьютера, то когда сервер пошлет ему пакет с флагами SYN и ACK, тот сильно удивится и пошлет в ответ пакет с флагом RST, говорящий о том что ты мне совсем не нужен и я тобой не интересовался. При данной атаке, выделенная под установку нового соединения память быстро исчерпывается и сервер зависает.

Могут использоваться межсетевые экраны сеансового уровня.

В состав межсетевого экрана.

  1. Межсетевой экран получает пакет SYN.

  2. Пропускает пакет на внутренний сервер.

  3. Сервер отправлет в ответ пакет с флакжами SYN и ACK.

  4. Межсетевой экран пересылает пакет клиенту. Здесь же, от имени клиента межсетевой экран посылает на внутренний сервер ACK. За счет быстрого ответа, память выделяемая для установки новых соединений не переполняется и атак synflood не проходит.

  5. Если внешний клиент запрашивал соединение, то он пришлет пакет с флагом ACK, который экран может передать или нет. Если экран не получит ACK от внешнего клиента, то межсетевой экран вышлет в адрес сервера пакет с флагом RST, который приведет к разрыву соединения.

Еще один вариант защиты от dos-атак.

Прежде чем передавать пакет SYN на сервер, экран сам устанавливает соединение с внешним клиентом. Лишь после установления соединения, он инициализирует соединение с самим сервером.

Так же, к числу межсетевых экранов можно отнести прокси-сервера c NAT.

При использовании NAT, внутренняя сеть имеет серые айпи-адреса, которые невидимы и недоступны в интернете. ЗЛО не сможет получить доступ к такому компьютеру. Для защиты компьютера корпоративной сети интернета, межсетевой экран перехватывает запрос, который поступает от имени клиента, посылая пакет от своего внешнего айпи-адреса. Полученный ответ передается внутреннему компьютеру, при этом межсетевой экран подставляет уже внутренний айпи-адрес. Это позволяет достичь сразу двух целей - обеспечить регулирование доступа к корпоративной сети и уменьшить число белых айпи-адресов, за которые в частности нужно платить правами.

Имеется несколько режимов NAT:

  • при динамическом NAT идет трансляция на уровне портов.

Межсетевой экран имеет один внешний айпи-адрес. Все обращения в доступную сеть со стороны клиентов внутренней сети осуществляются с использованием данного внешнего айпи-адреса, при этом при обращении клиента, межсетевой экран выделяет ему уникальный программный код транспортного протокола для одного и того же внешнего айпи-адреса. Динамический режим предназначен для компьютеров, которым необходим доступ в интернет.

  • при статическом NAT внешнему интерфейсу межсетевого экрана назначается некоторое число внешних белых айпи-адресов. Оно должно соответствовать числу внутренних серверов, которые должны быть доступны для внешних пользователей.

Надо иметь в виду, что сервера, к которым должен быть доступ извне размещают в специальной зоне - демилитаризованной зоне. При этом, к этим серверам имеется доступ извне, но даже если ЗЛО сумеет их взломать, он не получит доступ в корпоративную сеть.

При статическом NAT межсетевой экран транслирует внутренние айпи-адреса во внешние и наоборот. Он используется когда во внутренней сети меется сервер, к которому должен быть доступ извне.

  • комбинированный режим (статический и динамический совместно). Для нескольких компьютеров используется динамический NAT, для интернет-серверов - статический NAT.

Недостатки:

  • анализируется информация только на сеансовом уровне, не анализируется информация на прикладном уровне;

  • после успешного завершения ... связи для установки соединения, экран просто перенаправляет все последующие пакеты, не контролируя содержимое.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности