Межсетевой экран и его типы.

ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ.. 2

ОСНОВНАЯ ЧАСТЬ.. 3

МЕЖСЕТЕВОЙ ЭКРАН И ЕГО ТИПЫ. 3

СПОСОБЫ ФИЛЬТРАЦИИ.. 5

МАРШРУТИЗАЦИЯ И ИНТЕРНЕТ-МАРШРУТИЗАТОР. 9

СРАВНЕНИЕ АППАРАТНЫХ И ПРОГРАММНЫХ МЕЖСЕТЕВЫХ ЭКРАНОВ.. 12

DHCP И DNS СЕРВИСЫ... 16

ПРОТОКОЛЫ И ФУНКЦИИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ СЕТИ.. 22

ТЕХНИКА БЕЗОПАСНОСТИ.. 29

ЗАКЛЮЧЕНИЕ.. 30

СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ.. 32

 

 

ВВЕДЕНИЕ

Еще совсем недавно пользователи компьютеров не имели представление о том, что при выходе в Интернет или любую другую общедоступную сеть компьютеры могут «заразиться» вирусами, а информация в течение очень короткого времени может быть украдена или искажена. Сегодня же практически каждый пользователь знает об опасности, подстерегающей его компьютер и о том, как обезопасить свои данные от потенциальных атак и вирусов.

Современный IT-рынок предлагает различные варианты обеспечения безопасности пользовательских устройств и компьютерных сетей в целом. Конечные пользовательские устройства, довольно успешно защищаются антивирусными программами и программными межсетевыми экранами. Компьютерные сети в комплексе защитить сложнее. Решением вопроса обеспечения безопасности компьютерных сетей является установка межсетевых экранов в программно-аппаратном исполнении на границе сетей.

Целью данной выпускной квалификационной работы является рассмотрение технологий и методов, позволяющих обеспечивать работу и безопасность сетей, в работе которых применяются межсетевые экраны и Интернет-маршрутизаторы D-Link.

Задачи выпускной квалификационной работы:

• Рассмотрение типов межсетевых экранов

• Рассмотрение Интернет - маршрутизаторов

• Сравнение аппаратных и программных межсетевых экранов

• Рассмотрение протоколов и функций, применяемых в межсетевых экранах и Интернет - маршрутизаторах.

 

ОСНОВНАЯ ЧАСТЬ

СПОСОБЫ ФИЛЬТРАЦИИ

Фильтрация на сетевом уровне

Фильтрация входящих и исходящих пакетов осуществляется на основе информации, содержащейся в следующих полях TCP- и IP-заголовках пакетов: IP-адрес отправителя; IP-адрес получателя; порт отправителя; порт получателя.

Фильтрация может быть реализована различными способами для блокирования соединений с определенными компьютерами или портами. Например, можно блокировать соединения, идущие от конкретных адресов тех компьютеров и сетей, которые считаются ненадежными.

К преимуществам такой фильтрации относятся:

· сравнительно невысокая стоимость;

· гибкость в определении правил фильтрации;

· небольшая задержка при прохождении пакетов.

Недостатки:

· не собирает фрагментированные пакеты;

· нет возможности отслеживать взаимосвязи (соединения) между пакетами.

В зависимости от отслеживания активных соединений межсетевые экраны могут быть:

·stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;

·stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и зачастую не совместимых со стандартными, stateless сетевыми экранами.

К преимуществам такой фильтрации относятся:

· анализ содержимого пакетов;

· не требуется информации о работе протоколов 7 уровня.

Недостатки:

· сложно анализировать данные уровня приложений (возможно с использованием ALG – Application level gateway).

Application level gateway, ALG (шлюз прикладного уровня) – компонент NAT-маршрутизатора, который понимает какой-либо прикладной протокол, и при прохождении через него пакетов этого протокола модифицирует их таким образом, что находящиеся за NAT’ом пользователи могут пользоваться протоколом.

Служба ALG обеспечивает поддержку протоколов на уровне приложений (таких как SIP, H.323, FTP и др.), для которых подмена адресов/портов (Network Address Translation) недопустима. Данная служба определяет тип приложения в пакетах, приходящих со стороны интерфейса внутренней сети и соответствующим образом выполняя для них трансляцию адресов/портов через внешний интерфейс.

Технология SPI (Stateful Packet Inspection) или технология инспекции пакетов с учетом состояния протокола на сегодня является передовым методом контроля трафика. Эта технология позволяет контролировать данные вплоть до уровня приложения, не требуя при этом отдельного приложения посредника или proxy для каждого защищаемого протокола или сетевой службы.

Исторически эволюция межсетевых экранов происходила от пакетных фильтров общего назначения, затем стали появляться программы-посредники для отдельных протоколов, и, наконец, была разработана технология stateful inspection. Предшествующие технологии только дополняли друг друга, но всеобъемлющего контроля за соединениями не обеспечивали. Пакетным фильтрам недоступна информация о состоянии соединения и приложения, которая необходима для принятия заключительного решения системой безопасности. Программы-посредники обрабатывают только данные уровня приложения, что зачастую порождает различные возможности для взлома системы. Архитектура stateful inspectionуникальна потому, что она позволяет оперировать всей возможной информацией, проходящей через машину-шлюз: данными из пакета, данными о состоянии соединения, данными, необходимыми для приложения.

Пример работы механизма Stateful Inspection. Межсетевой экран отслеживает сессию FTP, проверяя данные на уровне приложения. Когда клиент запрашивает сервер об открытии обратного соединения (команда FTP PORT), межсетевой экран извлекает номер порта из этого запроса. В списке запоминаются адреса клиента и сервера, номера портов. При фиксировании попытки установить соединение FTP-data, межсетевой экран просматривает список и проверяет, действительно ли данное соединение является ответом на допустимый запрос клиента. Список соединений поддерживается динамически, так что открыты только необходимые порты FTP. Как только сессия закрывается, порты блокируются, обеспечивая высокий уровень защищенности.

1. Фильтрация на прикладном уровне

С целью защиты ряда уязвимых мест, присущих фильтрации пакетов, межсетевые экраны должны использовать прикладные программы для фильтрации соединений с такими сервисами, как, например, Telnet, HTTP, FTP. Подобное приложение называется proxy-службой, а хост, на котором работает proxy-служба – шлюзом уровня приложений. Такой шлюз исключает прямое взаимодействие между авторизованным клиентом и внешним хостом. Шлюз фильтрует все входящие и исходящие пакеты на прикладном уровне (уровне приложений – верхний уровень сетевой модели) и может анализировать содержимое данных, например, адрес URL, содержащийся в HTTP-сообщении, или команду, содержащуюся в FTP-сообщении. Иногда эффективнее бывает фильтрация пакетов, основанная на информации, содержащейся в самих данных. Фильтры пакетов и фильтры уровня канала не используют содержимое информационного потока при принятии решений о фильтрации, но это можно сделать с помощью фильтрации уровня приложений. Фильтры уровня приложений могут использовать информацию из заголовка пакета, а также содержимого данных и информации о пользователе. Администраторы могут использовать фильтрацию уровня приложений для контроля доступа на основе идентичности пользователя и/или на основе конкретной задачи, которую пытается осуществить пользователь. В фильтрах уровня приложений можно установить правила на основе отдаваемых приложением команд. Например, администратор может запретить конкретному пользователю скачивать файлы на конкретный компьютер с помощью FTP или разрешить пользователю размещать файлы через FTP на том же самом компьютере.

К преимуществам такой фильтрации относятся:

· простые правила фильтрации;

· возможность организации большого числа проверок. Защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, что снижает вероятность взлома с использованием «дыр» в программном обеспечении;

· способность анализировать данные приложений.

Недостатки:

· относительно низкая производительность по сравнению с фильтрацией пакетов;

· proxy должен понимать свой протокол (невозможность использования с неизвестными протоколами);

· как правило, работает под управлением сложных ОС.

DHCP И DNS Сервисы

DHCP (Dynamic Host Configuration Protocol – протокол динамической конфигурации узла) – это сетевой протокол, позволяющий хостам автоматически получать IP-адреса и другие параметры, необходимые для работы в сети TCP/IP. Эти адреса выбираются из предопределенного пула IP-адресов, который управляется сервером DHCP. Данный протокол работает по модели «клиент – сервер». Для автоматической конфигурации хост-клиент (DHCP-клиент) на этапе конфигурации сетевого устройства обращается к DHCP-серверу и получает от него нужные параметры (например: IP-адрес, имя домена, период аренды IP-адреса). Чтобы адрес не «простаивал», DHCP-сервер предоставляет его на определенный администратором срок, это называется арендным договором (lease). По истечении половины срока арендного договора DHCP-клиент запрашивает его возобновление, и DHCP-сервер продлевает арендный договор. Это означает, что когда машина прекращает использовать назначенный IP-адрес, арендный договор истекает, и адрес возвращается в пул адресов для повторного использования.

В состав системы NetDefendOS включена функция DHCP-клиент (DHCP Client), которая отвечает за динамическое получение адреса от DHCP-сервера (например, в случае подключения к Интернет-провайдеру по DHCP). Используя данную функцию, можно получить IP-адрес интерфейса, адрес локальной сети, к которой относится данный интерфейс, IP-адрес шлюза по умолчанию и IP-адреса DNS-серверов.

Опция DHCP Client может быть включена или отключена администратором в свойствах интерфейса. По умолчанию это свойство отключено на всех Ethernet-интерфейсах, за исключением WAN1-порта (илиWAN-порта, в зависимости от модели).

Если функция DHCP-клиент активирована на каком-либо ethernet-интерфейсе, то IP-адресация, относящая к данному интерфейсу (IP-адрес интерфейса/адрес сети/ IP-адреса шлюза и DNS), не может быть изменена или удалена. Для изменения этих адресов необходимо отключить опцию DHCP Client.

DHCP-сервер в межсетевых экранах NetDefend.

Как уже упоминалось выше, DHCP-сервер распределяет IP-адреса из определенного пула IP-адресов и управляет ими. В системе NetDеfendOSa DHCP-серверы не ограничены использованием одного диапазона IP-адресов, а могут применять любой диапазон IP-адресов, который определен как объект IP-адрес.

В NetDеfendOS администратор имеет возможность настроить один или несколько логических DHCP-серверов. Фильтрация запросов DHCP-клиентов к разным DHCP-серверам зависит от двух параметров:

· Интерфейс (Interface)

Каждый интерфейс в системе NetDеfendOS может иметь, по крайней мере, один логический одиночный DHCP-сервер. Другими словами, NetDеfendOS может предоставить DHCP-клиентам IP-адреса из разных диапазонов в зависимости от интерфейса клиента.

· IP-адрес ретранслятора (Relayer IP)

IP-адрес ретранслятора, передаваемый в IP-пакете, также используется для определения подходящего сервера. Значение по умолчанию all-nets (все сети) делает все IP-адреса допустимыми, и тогда выбор DHCP-сервера зависит только от интерфейса.

Список DHCP-серверов формируется по мере занесения в него новых строк. Когда в системе NetDеfendOS выбирается DHCP-сервер для обслуживания запроса клиента, поиск по списку осуществляется сверху вниз. Выбор падает на верхний по списку сервер, соответствующий комбинации параметров (интерфейс и IP-адрес устройства, выполняющего функцию DHCP Relay). Если совпадений в списке не найдено, запрос игнорируется.

DNS (Domain Name System – система доменных имён) – служба преобразования текстового доменного имени в цифровой IP-адрес. Например, текстовое имя поискового сервера yandex.ru соответствует IP-адресу 213.180.204.11, а сервера dlink.ru > 213.234.241.211. Доменные имена, также как и IP-адреса одной сети, уникальны, т.е. в глобальной сети нет двух одинаковых доменных имен.

DNS – это сеть серверов с базами данных, распределенная в сети Интернет. Все серверы связаны между собой, и при поступлении запроса на расшифровку и невозможности по какой-либо причине определить его самостоятельно, сервер передает этот другим подобным серверам по специально разработанным схемам до тех пор, пока доменное имя не будет переведено в IP-адрес.

Для выполнения DNS-решений в системе NetDefendOS предусмотрена встроенная опция DNS-клиент, которую можно настраивать на использование трех DNS-серверов: Primary Server (первый сервер),Secondary Server (второй сервер) и Tertiary Server (третий сервер). Для функционирования DNS необходимо настроить хотя бы Primary Server. Рекомендуется настраивать первый и второй серверы для непрерывной работы при отказе первичного сервера:

Балансировка нагрузки сети

В терминологии компьютерных сетей балансировка (выравнивание) нагрузки – распределение процесса выполнения заданий между несколькими серверами сети с целью оптимизации использования ресурсов и сокращения времени вычисления.

Типы серверов, которые должны быть сбалансированы:

· Серверные кластеры;

· межсетевые экраны;

· серверы инспектирования содержания (такие как AntiVirus- или AntiSpam-серверы).

Обычно системы балансировки загрузки серверов используют возможности уровня L4 (UDP/TCP). При этом контролируется доступность сервера по IP-адресу и номеру порта и принимается решение: какому из доступных серверов следует переслать запрос. Наиболее часто для выбора сервера используется карусельный алгоритм (round-robin). В этом варианте предполагается, что все запросы создают одинаковую загрузку и длительность исполнения. В более продвинутых вариантах алгоритма используется уровень занятости сервера и число активных соединений.

Раньше возможности балансировки нагрузки встраивались в саму прикладную программу или операционную систему. Современные системы балансировки нагрузки должны удовлетворять следующим требованиям:

· Обеспечивать управление трафиком, чтобы гарантировать доступность приложения и распределение нагрузки в условиях фермы серверов (группа серверов, соединенных сетью передачи данных и работающих как единое целое).

· Ускорять выполнение приложений в несколько раз.

· Гарантировать защиту приложений, сохранность данных и обеспечение мониторинга трафика.

 

Поддержка UPnP

Служба UPnP (Universal Plug and Play) – сетевая архитектура, предоставляющая возможность легко и быстро организовывать обмен данными между любыми устройствами в сети, автоматически определяя, подключая и настраивая эти устройства для работы с локальными сетями. Сетевые продукты, использующие технологию Universal Plug and Play, заработают сразу, как только будут физически подключены к сети. UPnP поддерживает практически все технологии сетевых инфраструктур – как проводные, так и беспроводные.

UPnP – это расширение стандартов Plug-and-Play для упрощения управления устройствами в сети, т.е. автоматическое конфигурирование устройств (программных или аппаратных маршрутизаторов), которые эту службу поддерживают.

 

Фильтрация трафика

При отсутствии гибкой фильтрации доступа к сети Интернет на долю ненужных и опасных сайтов, ежедневно посещаемых сотрудниками, приходится чуть ли не половина общего трафика.

Лидерами в списке нежелательных ресурсов являются социальные сети, порталы, выкладывающие контент непристойного содержания, серверы онлайновых игр, а также сайты, генерирующие так называемый «тяжелый» трафик и предлагающие посетителям загружать и просматривать видеоролики и флэш-баннеры.

Потенциальные угрозы, возникающие в результате посещения сотрудниками различных не относящихся к выполняемой ими работе сайтов, помимо нецелевого использования рабочего времени, могут выглядеть как:

· чрезмерная нагрузка на сеть, вызванная неконтролируемым скачиванием сотрудниками объемных файлов из Интернет-сети. В случае, когда речь идет о постоянном или выделенном подключении с фиксированной скоростью канала от провайдера, просмотр или загрузка пользователями видеофайлов негативно скажется на распределении ресурсов сети и загрузке Интернет-канала в целом, а также на стоимости нецелевого трафика;

- нерациональное использование ресурсов сети и рабочего времени в результате деятельности любителей онлайновых игр с видео- или голосовыми чатами;

- неконтролируемые удаленные соединения сотрудников с рабочими серверами корпоративных сетей посредством VPN-соединений или утилит, связанные с риском заражения локальной сети вирусами, потенциально находящимися на удаленном компьютере;

- снижение уровня безопасности корпоративной сети.

Чтобы обеспечить безопасность и целостность бизнеса, перекрыть каналы возможной утечки информации и повысить производительность работы сотрудников, необходимо управлять потоком Интернет-трафика, входящего в локальную сеть при помощи фильтрации Интернет-запросов. Запрещая при помощи настройки фильтров доступ к тем или иным ресурсам, можно решить вопросы снижения затрат на нецелевые Интернет-ресурсы, а также значительно уменьшить риск инфицирования внутренних ресурсов корпоративной сети.

ЗАКЛЮЧЕНИЕ

Некоторые межсетевые экраны содержат обработчик набора правил, проверяющий набор на наличие правил, перекрываемых другими правилами. Обработчик информирует об этой ситуации администратора межсетевого экрана перед установкой правил на межсетевой экран. Данный подход хорош в общем плане, однако он не решает проблему производительности межсетевого экрана. Чем больше правил необходимо проверять для каждого пакета, тем больше вычислений должен производить межсетевой экран. При разработке качественного набора правил следует принимать в расчет это обстоятельства, т. к. от него зависит уровень эффективности работы межсетевого экрана. Для повышения эффективности работы экрана следует оценить ожидаемую нагрузку трафика на межсетевой экран и упорядочить трафик по типам. Как правило, наибольший объем занимает трафик HTTP. Для повышения эффективности межсетевого экрана следует разместить правила, относящиеся к HTTP, вверху набора правил. Это означает, что правило, позволяющее внутренним системам использовать HTTP для подключения к любой системе в интернете, и правило, разрешающее внешним пользователям осуществлять доступ к веб-сайту организации, должны быть расположены очень близко к верхней границе набора правил. Единственными правилами, которые должны находиться выше двух упомянутых правил, являются специфичные правила отказа в доступе, относящиеся к протоколу HTTP. Последний абзац начинается с фразы "как правило". Различные производители межсетевых экранов сопоставляют их производительность различными способами. Исторически сложилось так, что межсетевые экраны с пакетной фильтрацией имеют возможность обработки большего объема трафика, нежели межсетевые экраны прикладного уровня, на платформе одного и того же типа. Это сравнение показывает различные результаты в зависимости от типа трафика и числа соединений, имеющих место в процессе тестирования. Межсетевые экраны, работающие только посредством фильтрации пакетов, не используют модули доступа, и поэтому трафик передается от клиента непосредственно на сервер. Если сервер будет атакован через открытую службу, разрешенную правилами политики межсетевого экрана, межсетевой экран никак не отреагирует на атаку. Межсетевые экраны с пакетной фильтрацией также позволяют видеть извне внутреннюю структуру адресации. Внутренние адреса скрывать не требуется, так как соединения не прерываются на межсетевом экране.

 

СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ:

http://docs.freebsd.org/doc/ru/books/handbook/firewalls.html

http://compress.ru/article.aspx?id=10145

ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ.. 2

ОСНОВНАЯ ЧАСТЬ.. 3

МЕЖСЕТЕВОЙ ЭКРАН И ЕГО ТИПЫ. 3

СПОСОБЫ ФИЛЬТРАЦИИ.. 5

МАРШРУТИЗАЦИЯ И ИНТЕРНЕТ-МАРШРУТИЗАТОР. 9

СРАВНЕНИЕ АППАРАТНЫХ И ПРОГРАММНЫХ МЕЖСЕТЕВЫХ ЭКРАНОВ.. 12

DHCP И DNS СЕРВИСЫ... 16

ПРОТОКОЛЫ И ФУНКЦИИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ СЕТИ.. 22

ТЕХНИКА БЕЗОПАСНОСТИ.. 29

ЗАКЛЮЧЕНИЕ.. 30

СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ.. 32

 

 

ВВЕДЕНИЕ

Еще совсем недавно пользователи компьютеров не имели представление о том, что при выходе в Интернет или любую другую общедоступную сеть компьютеры могут «заразиться» вирусами, а информация в течение очень короткого времени может быть украдена или искажена. Сегодня же практически каждый пользователь знает об опасности, подстерегающей его компьютер и о том, как обезопасить свои данные от потенциальных атак и вирусов.

Современный IT-рынок предлагает различные варианты обеспечения безопасности пользовательских устройств и компьютерных сетей в целом. Конечные пользовательские устройства, довольно успешно защищаются антивирусными программами и программными межсетевыми экранами. Компьютерные сети в комплексе защитить сложнее. Решением вопроса обеспечения безопасности компьютерных сетей является установка межсетевых экранов в программно-аппаратном исполнении на границе сетей.

Целью данной выпускной квалификационной работы является рассмотрение технологий и методов, позволяющих обеспечивать работу и безопасность сетей, в работе которых применяются межсетевые экраны и Интернет-маршрутизаторы D-Link.

Задачи выпускной квалификационной работы:

• Рассмотрение типов межсетевых экранов

• Рассмотрение Интернет - маршрутизаторов

• Сравнение аппаратных и программных межсетевых экранов

• Рассмотрение протоколов и функций, применяемых в межсетевых экранах и Интернет - маршрутизаторах.

 

ОСНОВНАЯ ЧАСТЬ

МЕЖСЕТЕВОЙ ЭКРАН И ЕГО ТИПЫ.

Межсетевой экран (firewall) - это устройство контроля доступа в сеть, предназначенное для блокировки всего трафика, за исключением разрешенных данных.

Этим он отличается от маршрутизатора, функцией которого является доставка трафика в пункт назначения в максимально короткие сроки. Существует мнение, что маршрутизатор также может играть роль межсетевого экрана. Однако между этими устройствами существует одно принципиальное различие: маршрутизатор предназначен для быстрой маршрутизации трафика, а не для его блокировки. Межсетевой экран представляет собой средство защиты, которое пропускает определенный трафик из потока данных, а маршрутизатор является сетевым устройством, которое можно настроить на блокировку определенного трафика. Кроме того, межсетевые экраны, обладают большим набором настроек. Прохождение трафика на межсетевом экране можно настраивать по службам, IP-адресам отправителя и получателя, по идентификаторам пользователей, запрашивающих службу. Межсетевые экраны позволяют осуществлять централизованное управление безопасностью. В одной конфигурации администратор может настроить разрешенный входящий трафик для всех внутренних систем организации. Это не устраняет потребность в обновлении и настройке систем, но позволяет снизить вероятность неправильного конфигурирования одной или нескольких систем, в результате которого эти системы могут подвергнуться атакам на некорректно настроенную службу.

 

Существуют два основных типа межсетевых экранов.

 

В их основе лежат различные принципы работы, но при правильной настройке оба типа устройств обеспечивают правильное выполнение функций безопасности, заключающихся в блокировке запрещенного трафика.

Различают несколько типов межсетевых экранов в зависимости от следующих характеристик:

· обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;

· происходит ли контроль потока данных на сетевом уровне или более высоких уровнях модели OSI;

отслеживаются ли состояния активных соединений или нет.

В зависимости от охвата контролируемых потоков данных межсетевые экраны подразделяются на:

· традиционный сетевой (или межсетевой) экран – программа (или неотъемлемая часть операционной системы) на шлюзе (устройстве передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями (объектами распределённой сети);

· персональный межсетевой экран – программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

В зависимости от уровня OSI, на котором происходит контроль доступа, сетевые экраны могут работать на:

· сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;

· сеансовом уровне (также известные, как stateful), когда отслеживаются сеансы между приложениями и не пропускаются пакеты, нарушающие спецификации TCP/IP, часто используемые в злонамеренных операциях – сканирование ресурсов, взломы через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.

· прикладном уровне (или уровне приложений), когда фильтрация производится на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основании политик и настроек.

СПОСОБЫ ФИЛЬТРАЦИИ

Фильтрация на сетевом уровне

Фильтрация входящих и исходящих пакетов осуществляется на основе информации, содержащейся в следующих полях TCP- и IP-заголовках пакетов: IP-адрес отправителя; IP-адрес получателя; порт отправителя; порт получателя.

Фильтрация может быть реализована различными способами для блокирования соединений с определенными компьютерами или портами. Например, можно блокировать соединения, идущие от конкретных адресов тех компьютеров и сетей, которые считаются ненадежными.

К преимуществам такой фильтрации относятся:

· сравнительно невысокая стоимость;

· гибкость в определении правил фильтрации;

· небольшая задержка при прохождении пакетов.

Недостатки:

· не собирает фрагментированные пакеты;

· нет возможности отслеживать взаимосвязи (соединения) между пакетами.

В зависимости от отслеживания активных соединений межсетевые экраны могут быть:

·stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;

·stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и зачастую не совместимых со стандартными, stateless сетевыми экранами.

К преимуществам такой фильтрации относятся:

· анализ содержимого пакетов;

· не требуется информации о работе протоколов 7 уровня.

Недостатки:

· сложно анализировать данные уровня приложений (возможно с использованием ALG – Application level gateway).

Application level gateway, ALG (шлюз прикладного уровня) – компонент NAT-маршрутизатора, который понимает какой-либо прикладной протокол, и при прохождении через него пакетов этого протокола модифицирует их таким образом, что находящиеся за NAT’ом пользователи могут пользоваться протоколом.

Служба ALG обеспечивает поддержку протоколов на уровне приложений (таких как SIP, H.323, FTP и др.), для которых подмена адресов/портов (Network Address Translation) недопустима. Данная служба определяет тип приложения в пакетах, приходящих со стороны интерфейса внутренней сети и соответствующим образом выполняя для них трансляцию адресов/портов через внешний интерфейс.

Технология SPI (Stateful Packet Inspection) или технология инспекции пакетов с учетом состояния протокола на сегодня является передовым методом контроля трафика. Эта технология позволяет контролировать данные вплоть до уровня приложения, не требуя при этом отдельного приложения посредника или proxy для каждого защищаемого протокола или сетевой службы.

Исторически эволюция межсетевых экранов происходила от пакетных фильтров общего назначения, затем стали появляться программы-посредники для отдельных протоколов, и, наконец, была разработана технология stateful inspection. Предшествующие технологии только дополняли друг друга, но всеобъемлющего контроля за соединениями не обеспечивали. Пакетным фильтрам недоступна информация о состоянии соединения и приложения, которая необходима для принятия заключительного решения системой безопасности. Программы-посредники обрабатывают только данные уровня приложения, что зачастую порождает различные возможности для взлома системы. Архитектура stateful inspectionуникальна потому, что она позволяет оперировать всей возможной информацией, проходящей через машину-шлюз: данными из пакета, данными о состоянии соединения, данными, необходимыми для приложения.

Пример работы механизма Stateful Inspection. Межсетевой экран отслеживает сессию FTP, проверяя данные на уровне приложения. Когда клиент запрашивает сервер об открытии обратного соединения (команда FTP PORT), межсетевой экран извлекает номер порта из этого запроса. В списке запоминаются адреса клиента и сервера, номера портов. При фиксировании попытки установить соединение FTP-data, межсетевой экран просматривает список и проверяет, действительно ли данное соединение является ответом на допустимый запрос клиента. Список соединений поддерживается динамически, так что открыты только необходимые порты FTP. Как только сессия закрывается, порты блокируются, обеспечивая высокий уровень защищенности.

1. Фильтрация на прикладном уровне

С целью защиты ряда уязвимых мест, присущих фильтрации пакетов, межсетевые экраны должны использовать прикладные программы для фильтрации соединений с такими сервисами, как, например, Telnet, HTTP, FTP. Подобное приложение называется proxy-службой, а хост, на котором работает proxy-служба – шлюзом уровня приложений. Такой шлюз исключает прямое взаимодействие между авторизованным клиентом и внешним хостом. Шлюз фильтрует все входящие и исходящие пакеты на прикладном уровне (уровне приложений – верхний уровень сетевой модели) и может анализировать содержимое данных, например, адрес URL, содержащийся в HTTP-сообщении, или команду, содержащуюся в FTP-сообщении. Иногда эффективнее бывает фильтрация пакетов, основанная на информации, содержащейся в самих данных. Фильтры пакетов и фильтры уровня канала не используют содержимое информационного потока при принятии решений о фильтрации, но это можно сделать с помощью фильтрации уровня приложений. Фильтры уровня приложений могут использовать информацию из заголовка пакета, а также содержимого данных и информации о пользователе. Администраторы могут использовать фильтрацию уровня приложений для контроля доступа на основе идентичности пользователя и/или на основе конкретной задачи, которую пытается осуществить пользователь. В фильтрах уровня приложений можно установить правила на основе отдаваемых приложением команд. Например, администратор может запретить конкретному пользователю скачивать файлы на конкретный компьютер с помощью FTP или разрешить пользователю размещать файлы через FTP на том же самом компьютере.

К преимуществам такой фильтрации относятся:

· простые правила фильтрации;

· возможность организации большого числа проверок. Защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, что снижает вероятность взлома с использованием «дыр» в программном обеспечении;

· способность анализировать данные приложений.

Недостатки:

· относительно низкая производительность по сравнению с фильтрацией пакетов;

· proxy должен понимать свой протокол (невозможность использования с неизвестными протоколами);

· как правило, работает под управлением сложных ОС.