Управляющий

Компьютер

(А= 123.4.5.6)

TELNET

Фильтрующий маршрутизатор

Сервер новостей

(А= 123.4.5.9)

SMTP

NNTP

Почтовый клиент

(А= 123.4.5.8)

Почтовый клиент

(А= 123.4.5.7)

Примечание: (NNTP – Network News Transfer Protocol)

Рис. 5.1.

Сведем набор правил фильтрующего маршрутизатора для данного фрагмента сети в таблицу.

Таблица 5.1.

Тип протокола	Адрес отправителя	Адрес получателя	Порт отправителя	Порт получателя	Действие
TCP	*	123.4.5.6	 1023	23	Разрешить
TCP	*	123.4.5.7	 1023	25	Разрешить
TCP	*	123.4.5.8	 1023	25	Разрешить
TCP	129.6.48.254	123.4.5.9	 1023	119	Разрешить
*	*	*	*	*	Запретить

Комментарии:

1. Первое правило позволяет пропускать пакеты типа TCPиз сети Интернет от любого источника с номером порта, большим, чем 1023, к получателю с адресом 123.4.5.6 в порт 23. Порт 23 связан с серверомTELNETи все клиентыTELNETдолжны иметь порты с номерами, не меньшими 1023.

2. Правила 2 … 4 – аналогичны первому правилу.

3. Пятое правило блокирует все остальные пакеты.

Недостатки фильтрующих маршрутизаторов (ФМ):

• Правила фильтрации пакетов формулируются сложно и обычно нет средств для тестирования их корректности, кроме ручного тестирования;

• Внутренняя сеть видна из общедоступной сети;

• Не помогают при атаках типа «подмена адреса», когда кракер использует адрес авторизованного клиента;

• При нарушении работоспособности ФМ все компьютеры за ним становятся полностью незащищенными либо недоступными;

• Отсутствует должным образом реализованная аутентификация пользователя.

5.4.3.2. Шлюзы сетевого уровня

Шлюзы сетевого уровня (ШСУ) исключают прямое взаимодействие между авторизованным клиентом и внешней средой.

Логика работы ШСУ заключается в следующем:

• Сначала авторизованный клиент запрашивает некоторый сервис, шлюз принимает этот запрос и проверяет удовлетворяет ли этот запрос правам, предоставленным клиенту;

• Далее, действуя от имени клиента, шлюз устанавливает связь с внешней средой и следит за процессом квитирования (процесс квитирования заключается в обмене синхронизирующими посылками между клиентом и внешним компьютером);

• После завершения процедуры квитирования шлюз устанавливает соединение, копирует пакеты и перенаправляет их между участниками взаимодействия, не проводя никакой фильтрации.

Характерная особенность ШСУ:

При работе ШСУ осуществляется т.н. «туннелирование трафика» или маскировка топологии сети, т.е. при обращении авторизованного клиента к внешнему источнику происходит преобразование внутренних IP – адресов в один внешний IP – адрес МЭ и все исходящие из внутренней сети пакеты оказываются отправленными от этого шлюза, что исключает прямой контакт между внутренней сетью и потенциально опасной внешней.

Недостаток ШСУ:

После установления связи ШСУ не могут проверять содержимое пакетов, передаваемых между внутренней и внешней сетью на уровне прикладных программ и кракер во внешней сети может переслать свои вредоносные пакеты через шлюз.

Поэтому ШСУ, как правило, не используются отдельно от других компонент МЭ и для фильтрации передаваемой информации по смыслу к ШСУ необходимо добавлять шлюз прикладного уровня.