Фильтрация на прикладном уровне

С целью защиты ряда уязвимых мест, присущих фильтрации пакетов, межсетевые экраны должны использовать прикладные программы для фильтрации соединений с такими сервисами, как, например, Telnet, HTTP, FTP. Подобное приложение называется proxy-службой, а хост, на котором работает proxy-служба – шлюзом уровня приложений. Такой шлюз исключает прямое взаимодействие между авторизованным клиентом и внешним хостом. Шлюз фильтрует все входящие и исходящие пакеты на прикладном уровне (уровне приложений – верхний уровень сетевой модели) и может анализировать содержимое данных, например, адрес URL, содержащийся в HTTP-сообщении, или команду, содержащуюся в FTP-сообщении. Иногда эффективнее бывает фильтрация пакетов, основанная на информации, содержащейся в самих данных. Фильтры пакетов и фильтры уровня канала не используют содержимое информационного потока при принятии решений о фильтрации, но это можно сделать с помощью фильтрации уровня приложений. Фильтры уровня прил ожений могут использовать информацию из заголовка пакета, а также содержимого данных и информации о пользователе. Администраторы могут использовать фильтрацию уровня приложений для контроля доступа на основе идентичности пользователя и/или на основе конкретной задачи, которую пытается осуществить пользователь. В фильтрах уровня приложений можно установить правила на основе отдаваемых приложением команд. Например, администратор может запретить конкретному пользователю скачивать файлы на конкретный компьютер с помощью FTP или разрешить пользователю размещать файлы через FTP на том же самом компьютере.

К преимуществам такой фильтрации относится:

· простые правила фильтрации;

· возможность организации большого числа проверок. Защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, что снижает вероятность взлома с использованием "дыр" в программном обеспечении;

· способность анализировать данные приложений.

Недостатки:

· относительно низкая производительность по сравнению с фильтрацией пакетов;

· proxy должен понимать свой протокол (невозможность использования с неизвестными протоколами)?;

· как правило, работает под управлением сложных ОС.

 

МДК.02.03 Организация работ по техническому сопровождению компьютерных сетей (Cisco)

Раздел 3. Комплексная защита информации в корпоративных сетях

Тема: Прокси – сервера

Прокси-сервер - это компьютер с запущенным программным обеспечением, выполняющим функции межсетевого шлюза и некоторые дополнительные: кэширование данных, обеспечение анонимности клиентов.

Первая задача прокси-сервера – это кэширование данных. Web-страницы, хоть раз запрошенные с одного из компьютеров локальной сети, сохраняются на прокси-сервере некоторое время (срок зависит от его настроек). Поэтому работа с Интернетом через прокси-сервер может идти несколько быстрее, чем при прямом подключении к Сети, ведь однажды загруженные страницы будут грузиться с прокси-сервера, а не из Интернета.

Кроме того, прокси-сервер обеспечивает определенную защиту от «взлома»: при наличии прокси-сервера проникнуть на компьютеры локальной сети из Интернета значительно труднее по сравнению с сетью, в которой каждый компьютер имеет свой IP-адрес.

К тому же при работе с ресурсами Интернета из локальной сети через прокси-сервер «выследить» конкретный компьютер будет практически невозможно. Максимум, что можно будет узнать, это адрес прокси-сервера. Но для этого необходима соответствующая настройка прокси-сервера – он должен быть «анонимным». Неанонимный прокси-сервер сохраняет в отправляемых через него данных пометки об IP-адресе отправителя.

Поскольку прокси-сервер фактически играет роль универсального Интернет-сервера для всех компьютеров локальной сети, для работы с ним необходимо указать его «координаты» в настройках программ для работы с Интернетом. К примеру, в браузере Microsoft Internet Explorer 6.0 это делается в диалоговом окне Сервис – Свойства обозревателя – Подключение. В этой версии браузера прокси-сервер настраивается отдельно для каждого подключения.

К прокси-серверу компьютеры должны обращаться по какому-либо порту. По умолчанию для такой работы выделяется порт 80, но тут есть одна особенность: если на компьютере помимо прокси-сервера запущен также и web-сервер для доступа из Интернета к сайту, расположенному на этом же компьютере, то 80-й порт будет использоваться именно web-сервером, и прокси-сервер (а также программы для работы с ресурсами Интернета) придется настроить на работу по другому порту.

Строго говоря, чтобы работать через прокси-сервер, не обязательно подключаться именно к его локальной сети. Если необходимы возможность кэширования web-страниц или защита от «взлома» (или выслеживания), можно настроить свой компьютер на работу с каким-нибудь прокси-сервером не из локальной сети, а из Интернета, просто указав его IP-адрес (конечно, если он постоянный). Тогда для прокси-сервера этот компьютер станет как бы частью его локальной сети. Однако перед тем как воспользоваться прокси-сервером для защиты от выслеживания, не помешает проверить его на анонимность – удостовериться, что он не сохраняет пометку о настоящем IP-адресе работающего с ним компьютера в проходящих через него данных.

Разумеется, администратор прокси-сервера может и запретить доступ к нему извне, если он не заинтересован в такой повышенной нагрузке. Как правило, провайдер услуг Интернета предоставляет свой прокси-сервер только собственным клиентам (информация о том, через какого провайдера подключился пользователь, может быть получена путем анализа его IP-адреса). В этом случае его клиенты имеют возможность выбора – пользоваться прокси-сервером или нет. В Интернете есть и общедоступные прокси-серверы, с которыми могут работать все желающие. Списки общедоступных и анонимных прокси-серверов приводятся, например, на сайтах http://proxylist.virtualave.net, http://www.multiproxy.org/anonlist.htm, http://proxycheck.spylog.ru. Кроме того, неплохие результаты даст поиск в Сети по словам типа «анонимный прокси».

Протестировать прокси-сервер на анонимность можно с помощью специальных программ, например Proxy Checker (http://proxylist.virtualave.net/pchecker.htm) или Anonymity 4 Proxy (http://www.inetprivacy.com). Кроме того, услуги по такому тестированию предоставляют некоторые сайты, например http://www.all-nettools.com, http://www.leader.ru/secure/who.html, http://www.proxysite.com.

В целях большей гарантии анонимности можно использовать цепочку прокси-серверов, посылая каждый запрос через несколько анонимных прокси-серверов. В этом случае применяют специальные программы – ту же Anonymity 4 Proxy, MultiProxy (http://www.multiproxy.org), Stealth Anonimizer (http://www.members.xoom.it/AlucciNaxion/Prog.htm) или SocksChain (http://www.ufasoft.com/socks). Anonymity 4 Proxy, например, умеет работать со множеством прокси-серверов, даже совершая каждое новое посещение того же или нового web-сайта через другой прокси-сервер. В большинстве браузеров, в том числе и в Microsoft Internet Explorer, возможности работать через цепочку прокси-серверов нет.

Прокси-сервер можно использовать лишь для работы с web-страницами (т.е. по протоколу HTTP), а по всем остальным протоколам работать без него. Для этого надо опять-таки особым способом настроить браузер. В Microsoft Internet Explorer 6.0 для этого служит вкладка «Дополнительно» окна настройки свойств соединения. Такой подход имеет смысл, когда прокси-сервер работает недостаточно быстро и выигрыш в скорости получается лишь для web-страниц за счет их кэширования.

Из-за хорошей системы кэширования данных некоторые пользователи Интернета устанавливают прокси-сервер на своем компьютере.

Наиболее известными прокси-серверами для небольших сетей на настоящее время являются программы WinGate и WinProxy (для Windows) и SQUID (для Linux), их можно найти на подавляющем большинстве компакт-дисков с программами для работы в Интернете.