Межсетевые экраны прикладного уровня

 

Межсетевые экраны прикладного уровня – технология межсетевого экранирования, которая позволяет проверять информационные потоки на корректность данных на прикладном уровне. Помимо этого есть возможность контролировать различные характеристики защищённости, присущие только этому уровню (пароль, запрашиваемые объекты протоколов).

Данные экраны оперируют не пакетами, а информационными массивами в виде команд и их параметров, результатами выполнения команд, а также различными высокоуровневыми объектами (файлы, приложения). Большинство экранов прикладного уровня состоят из: специального программного обеспечения и сервис-посредников (proxy-services). Сервис посредники – программы, которые управляют траффиком через сетевой экран для определённых сервисов (http, ftp, SMTP,POP3, IMAP…).

Сервис посредник состоит из 2х компонентов:

- прокси-клиент

- прокси-сервер.

Различают прозрачные и непрозрачные посредники прикладного уровня.

Межсетевые экраны прикладного уровня позволяют блокировать потенциально опасные компоненты и команды прикладного протокола. Кроме этого они умеют кэшировать информацию и управлять характеристиками кэша.

Преимущества:

1. интерпретация и усиление защиты высокоуровневых и прикладных протоколов(http, ftp)
2. блокирование напрямую установленных соединений между внешними серверами и внутренними хостами
3. перенаправление внешних запросов на другие серверы внутренних сервисов
4. широкий набор учётных данных для отчётности
5. обеспечение дополнительных возможностей, таких как кэширование и фильтрация URL

Недостатки:

1. поскольку прикладные посредники прослушивают тот же порт что и прикладной сервер то не всегда есть возможность установки межсетевого экрана на самом сервере.
2. значительное время обработки пакетов, поскольку пакет обрабатывается дважды
3. для каждого прикладного протокола должен быть разработан свой собственный сервис посредник

 

Межсетевые экраны динамической фильтрации пакетов

 

Динамические фильтры позволяют корректировать базу правил «на лету» Данная технология изначально разрабатывалась для UDP-пакетов.

Динамические фильтры ассоциируют все UDP-пакеты с неким виртуальным соединением. Если межсетевой экран обнаруживает ответный пакет, то устанавливается виртуальное соединение и пакету разрешается проходить через межсетевой экран. Информация, ассоциируемая с виртуальным соединением, запоминается на короткий промежуток времени и если в этот промежуток не получен ответный пакет, то виртуальное соединение разрывается.

Динамические фильтры имеют те же преимущества и недостатки что и статические фильтры, за одним исключением, что они не пропускают не запрашиваемые UDP-пакеты (межсетевой экран пропускает первый UDP-пакет во внутреннюю сеть, а ответный пакет должен содержать адрес назначения и номер порта). Также динамические фильтры можно использовать для поддержки ограниченного под множества команд IСMP.

 

 

Посредники сеансового уровня

 

Позволяют аутентифицировать клиентов, передавать данные по защищённому каналу(SOCKS 5).

 

Шлюзы сеансового уровня

(инспекторы состояния)

 

Осуществляют фильтрацию сетевых пакетов с учётом информации о текущей фазе соединения. Инспектор состояния гарантирует, что ни один пакет не будет пропущен, если он не принадлежит ранее установленному соединению.

Для подтверждения TCP-сессии межсетевой экран исследует каждый процесс установки соединения, следующим за законным рукопожатием. Кроме того пакеты не отправляются до тех пор пока процесс рукопожатия не будет закончен.

Межсетевой экран поддерживает таблицу состоявшихся соединений и позволяет сетевым пакетам проходить тогда, когда информация о пакете соответствует фазе соединения. Как только соединение закрывается, запись о нём удаляется из таблицы, и виртуальное соединение удаляется между двумя транспортными уровнями. При установлении соединения шлюзы могут хранить следующую информацию:

1. уникальный идентификатор сессии для соединения
2. состояние соединения:

- установлено

- закрыто

- рукопожатие

1. текущие значения номеров последовательности пакетов
2. IP-адрес источника и назначения
3. тип транспортного протокола
4. некоторые поля служебных заголовков пакетов
5. физический сетевой интерфейс, с которого ожидается поступление следующего пакета
6. время жизни виртуального соединения в случае отсутствия активности.

Используя эти данные, межсетевой экран контролирует информацию заголовков каждого сетевого пакета и определяет когда передающий хост имеет право передачи и когда нет. Также проверяет целостность и аутентичность пакетов.

Для протоколов UDP и ICMP инспекция состояния виртуального соединения реализуется искусственно с использованием данных прикладного уровня. Инспекторы состояния разрешают доступ при минимальном количестве исследований путём построения ограниченной формы состояния соединения.

Шлюзы сеансового уровня могут использовать технологию сетевой трансляции адресов.

Преимущества:

1. Быстрые
2. Контролируют всю сессию а не пакеты.
3. Исключена подделка трафика

Недостатки:

1. Полный функционал только для TCP
2. Отсутствие кэширования и фильтрации
3. Малые возможности аудита