- •5.1. Вариант защиты от удаленного нсд
- •5.2. Средства защиты, управляемые модемом
- •5.3. Надежность средств защиты на отчуждаемых компонентах
- •5.4. Межсетевые экраны, как средство от нсд из общедоступных сетей
- •5.4.2. Общие понятия
- •5.4.3. Основные компоненты мэ
- •5.4.3.1. Фильтрующие маршрутизаторы
- •Управляющий
- •5.4.3.2. Шлюзы сетевого уровня
- •5.4.3.3. Шлюзы прикладного уровня
- •5.4.4. Типовые схемы защиты с использованием мэ
- •5.4.4.1. Мэ на основе двухпортового шлюза
- •5.4.4.2. Мэ – экранированная подсеть
Компьютер (А=
123.4.5.6)Управляющий
TELNET
Фильтрующий
маршрутизатор Сервер
новостей (А=
123.4.5.9)
SMTP NNTP
Почтовый
клиент (А=
123.4.5.8) Почтовый
клиент (А=
123.4.5.7)
Примечание: (NNTP – Network News Transfer Protocol)
Рис. 5.1.
Сведем набор правил фильтрующего маршрутизатора для данного фрагмента сети в таблицу.
Таблица 5.1.
Тип протокола |
Адрес отправителя |
Адрес получателя |
Порт отправителя |
Порт получателя |
Действие |
TCP |
* |
123.4.5.6 |
1023 |
23 |
Разрешить |
TCP |
* |
123.4.5.7 |
1023 |
25 |
Разрешить |
TCP |
* |
123.4.5.8 |
1023 |
25 |
Разрешить |
TCP |
129.6.48.254 |
123.4.5.9 |
1023 |
119 |
Разрешить |
* |
* |
* |
* |
* |
Запретить |
Комментарии:
Первое правило позволяет пропускать пакеты типа TCPиз сети Интернет от любого источника с номером порта, большим, чем 1023, к получателю с адресом 123.4.5.6 в порт 23. Порт 23 связан с серверомTELNETи все клиентыTELNETдолжны иметь порты с номерами, не меньшими 1023.
Правила 2 … 4 – аналогичны первому правилу.
Пятое правило блокирует все остальные пакеты.
Недостатки фильтрующих маршрутизаторов (ФМ):
Правила фильтрации пакетов формулируются сложно и обычно нет средств для тестирования их корректности, кроме ручного тестирования;
Внутренняя сеть видна из общедоступной сети;
Не помогают при атаках типа «подмена адреса», когда кракер использует адрес авторизованного клиента;
При нарушении работоспособности ФМ все компьютеры за ним становятся полностью незащищенными либо недоступными;
Отсутствует должным образом реализованная аутентификация пользователя.
5.4.3.2. Шлюзы сетевого уровня
Шлюзы сетевого уровня (ШСУ) исключают прямое взаимодействие между авторизованным клиентом и внешней средой.
Логика работы ШСУ заключается в следующем:
Сначала авторизованный клиент запрашивает некоторый сервис, шлюз принимает этот запрос и проверяет удовлетворяет ли этот запрос правам, предоставленным клиенту;
Далее, действуя от имени клиента, шлюз устанавливает связь с внешней средой и следит за процессом квитирования (процесс квитирования заключается в обмене синхронизирующими посылками между клиентом и внешним компьютером);
После завершения процедуры квитирования шлюз устанавливает соединение, копирует пакеты и перенаправляет их между участниками взаимодействия, не проводя никакой фильтрации.
Характерная особенность ШСУ:
При работе ШСУ осуществляется т.н. «туннелирование трафика» или маскировка топологии сети, т.е. при обращении авторизованного клиента к внешнему источнику происходит преобразование внутренних IP – адресов в один внешний IP – адрес МЭ и все исходящие из внутренней сети пакеты оказываются отправленными от этого шлюза, что исключает прямой контакт между внутренней сетью и потенциально опасной внешней.
Недостаток ШСУ:
После установления связи ШСУ не могут проверять содержимое пакетов, передаваемых между внутренней и внешней сетью на уровне прикладных программ и кракер во внешней сети может переслать свои вредоносные пакеты через шлюз.
Поэтому ШСУ, как правило, не используются отдельно от других компонент МЭ и для фильтрации передаваемой информации по смыслу к ШСУ необходимо добавлять шлюз прикладного уровня.