Відмінності між версіями «1 Фільтруючі маршрутизатори»

Матеріал з Wiki TNEU
Перейти до: навігація, пошук
м (Захист на 1 Фільтруючі маршрутизатори встановлено (‎[edit=sysop] (безстроково) ‎[move=sysop] (безстроково)))
 
Рядок 1: Рядок 1:
Фільтруючий маршрутизатор являє собою маршрутизатор або працюючу на сервері програму, сконфігурований таким чином, щоб фільтрувати вхідні і вихідні пакети. Фільтрація пакетів здійснюється на основі інформації, що міститься в TCP-і IP-заголовках пакетів.
+
Фільтруючий маршрутизатор являє собою маршрутизатор або працюючу на сервері програму, сконфігуровані таким чином, щоб фільтрувати вхідні і вихідні пакети. Фільтрація пакетів здійснюється на основі інформації, що міститься в TCP - і IP - заголовках пакетів.
Фільтруючі маршрутизатори звичайно можуть фільтрувати IP-пакет на основі групи наступних полів заголовка пакету:
+
IP-адреса відправника (адреса системи, яка послала пакет);
+
IP-адреса отримувача (адреса системи яка приймає пакет);
+
Порт відправника (порт з'єднання в системі відправника);
+
Порт одержувача (порт з'єднання в системі одержувача);
+
  
Порт - це програмне поняття, яке використовується клієнтом або сервером для посилки або прийому повідомлень; порт ідентифікується 16 - бітовим числом.
+
Фільтруючі маршрутизатори звичайно може фільтрувати IP-пакет на основі групи наступних полів заголовка пакету:
В даний час не всі фільтруючі маршрутизатори фільтрують пакети по TCP / UDP - порт відправника, однак багато виробників маршрутизаторів почали забезпечувати таку можливість.  Деякі маршрутизатори перевіряють, з якого мережевого інтерфейсу маршрутизатора прийшов пакет, і потім використовують цю інформацію як додатковий критерій фільтрації.
+
*IP - адреса відправника
 +
*IP-адреса одержувача;
 +
*Порт відправника ;
 +
*Порт одержувача;
  
Фільтрація може бути реалізована різними способами для блокування з'єднань з певними хост-комп'ютерами або портами. Наприклад, можна блокувати з'єднання, що надходять від конкретних адрес тих хост-комп'ютерів і мереж, які вважаються ворожими або ненадійними.
+
Фільтрація може бути реалізована різним чином для блокування з'єднань з певними хост-комп'ютерами або портами. Наприклад, можна блокувати з'єднання, що надходять від конкретних адрес тих хост-комп'ютерів і мереж, які вважаються ворожими або ненадійними.
Додавання фільтрації по портах TCP і UDP до фільтрації по IP-адресами забезпечує велику гнучкість. Відомо, що такі сервери, як демон TELNET, зазвичай пов'язані з конкретними портами (наприклад, порт 23 протоколу TELNET).  Якщо міжмережевий екран може блокувати з'єднання TCP або UDP з певними портами або від них, то можна реалізувати політику безпеки, при якій деякі види з'єднань встановлюються тільки з конкретними хост-комп'ютерами.
+
Додавання фільтрації по портах TCP і UDP до фільтрації по IP-адресами забезпечує більшу гнучкість. Якщо міжмережевий екран може блокувати з'єднання TCP або UDP з певними портами або від них, то можна реалізувати політику безпеки, при якій деякі види з'єднань встановлюються тільки з конкретними хост-комп'ютерами.
 +
Наприклад, внутрішня мережа може блокувати всі вхідні з'єднання з усіма хост-комп'ютерами за винятком декількох систем. Для цих систем можуть бути дозволені тільки певні сервіси (SMTP для однієї системи і TELNET або FTP-для іншої). При фільтрації по портах TCP і UDP ця політика може бути реалізована фільтруючим маршрутизатором або хост-комп'ютером з можливістю фільтрації пакетів.
  
Наприклад, внутрішня мережа може блокувати всі вхідні з'єднання з усіма хост-комп'ютерами за винятком кількох систем.  Для цих систем можуть бути дозволені тільки певні сервіси (SMTP для однієї системи і TELNET або FTP-для іншої).  При фільтрації по портах TCP і UDP ця політика може бути реалізована фільтруючим маршрутизатором або хост-комп'ютером з можливістю фільтрації пакетів.
+
До позитивних якостей фільтруючих маршрутизаторів слід віднести:
Як приклад роботи фільтруючого маршрутизатора розглянемо реалізацію політики безпеки, що допускає певні з'єднання з внутрішньою мережею з адресою 123.4 .*.* З'єднання TELNET дозволяються тільки з одним хост-комп'ютером з адресою 123.4.5.6, який може бути прикладним TELNET-шлюзом, а SMTP- з'єднання - тільки з двома хост-комп'ютерами з адресами 123.4.5.7 і 123.4.5.8, які можуть бути двома шлюзами електронної пошти.Обмін по NNTP (Network News Transfer Protocol) дозволяється тільки від сервера новин з адресою 129.6.48.254 і тільки з NNTP-сервером мережі з адресою 123.4.5.9, а протокол NTP (мережевого часу)-для всіх хост-комп'ютерів. Всі інші сервери і пакети блокуються.
+
*порівняно невисоку вартість;
 +
*гнучкість у визначенні правил фільтрації;
 +
*невелику затримку при проходженні пакетів.
  
Перше правило дозволяє пропускати пакети TCP з мережі Internet від будь-якого джерела з номером порту більшим, ніж 1023, до одержувача з адресою 123.4.5.6 в порт 23.  Порт 23 пов'язаний з сервером TELNET, а всі клієнти TELNET повинні мати непривілейованих порти з номерами не нижче 1024.
+
Недоліками фільтруючих маршрутизаторів є:
 
+
*внутрішня мережа видно (маршрутізіруєтся) з мережі Internet;
Друге і третє правила працюють аналогічно і дозволяють передачу пакетів до одержувачів з адресами 123.4.5.7 і 123.4.5.8 в порт 25, використовуваний SMTP.
+
*правила фільтрації пакетів важкі в описі і вимагають дуже хороших знань технологій TCP і UDP;
Четверте правило пропускає пакети до NNTP-сервера мережі, але тільки від відправника з адресою 129.6.48.254 до одержувача з адресою 123.4.5.9 з портом призначення 119 (129.6.48.254-єдиний NNTP-сервер, від якого внутрішня мережа отримує новини, тому доступ до мережі для виконання протоколу NNTP обмежений тільки цією системою).
+
*при порушенні працездатності брандмауера з фільтрацією пакетів всі комп'ютери за ним стають повністю незахищеними або недоступними;
П'яте правило дозволяє трафік NTP, який використовує протокол UDP замість TCP. від будь-якого джерела до будь-якого одержувачу внутрішньої мережі.
+
*аутентифікацію з використанням IP-адреси можна обдурити шляхом підміни IP-адреси (атакуюча система видає себе за іншу, використовуючи її IP-адреса);
Нарешті, шосте правило блокує всі інші пакети. Якби цього правила не було, маршрутизатор міг би блокувати, а міг би й не блокувати інші види пакетів. Вище було розглянуто дуже простий приклад фільтрації пакетів. Реально використовуються правила дозволяють здійснити більш складну фільтрацію і є більш гнучкими.
+
*відсутня аутентифікація на рівні користувача.
 
+
Правила фільтрації пакетів формулюються складно, і звичайно немає коштів для тестування їх коректності, крім повільного ручного тестування. У деяких фільтруючих маршрутизаторів немає коштів протоколювання, тому, якщо правила фільтрації пакетів все-таки дозволять небезпечним пакетам пройти через маршрутизатор, такі пакети не зможуть бути виявлені до виявлення наслідків проникнення.  Навіть якщо адміністратора мережі вдасться створити ефективні правила фільтрації, їх можливості залишаються обмеженими. Наприклад, адміністратор задає правило, відповідно до якого маршрутизатор буде відбраковувати всі пакети з невідомою адресою відправника. Однак хакер може використовувати в якості адреси відправника у своєму "шкідливий" пакеті реальну адресу довіреної (авторизованого) клієнта. У цьому випадку фільтруючий маршрутизатор не зуміє відрізнити підроблений пакет від сьогодення і пропустить його.Практика показує, що подібний вид нападу, званий підміною адреси, досить широко поширений в мережі Internet і часто виявляється ефективним.
+
 
+
Міжмережевий екран з фільтрацією пакетів, що працює тільки на мережевому рівні еталонної моделі взаємодії відкритих систем OSI - ISO, зазвичай перевіряє інформацію, що міститься тільки в IP-заголовках пакетів. Тому обдурити його нескладно: хакер створює заголовок, який задовольняє дозволяючими правилами фільтрації. Крім заголовка пакета, ніяка інша міститься в ньому інформація міжмережевими екранами даної категорії не перевіряється.
+

Поточна версія на 00:52, 20 червня 2014

Фільтруючий маршрутизатор являє собою маршрутизатор або працюючу на сервері програму, сконфігуровані таким чином, щоб фільтрувати вхідні і вихідні пакети. Фільтрація пакетів здійснюється на основі інформації, що міститься в TCP - і IP - заголовках пакетів.

Фільтруючі маршрутизатори звичайно може фільтрувати IP-пакет на основі групи наступних полів заголовка пакету:

  • IP - адреса відправника
  • IP-адреса одержувача;
  • Порт відправника ;
  • Порт одержувача;

Фільтрація може бути реалізована різним чином для блокування з'єднань з певними хост-комп'ютерами або портами. Наприклад, можна блокувати з'єднання, що надходять від конкретних адрес тих хост-комп'ютерів і мереж, які вважаються ворожими або ненадійними. Додавання фільтрації по портах TCP і UDP до фільтрації по IP-адресами забезпечує більшу гнучкість. Якщо міжмережевий екран може блокувати з'єднання TCP або UDP з певними портами або від них, то можна реалізувати політику безпеки, при якій деякі види з'єднань встановлюються тільки з конкретними хост-комп'ютерами. Наприклад, внутрішня мережа може блокувати всі вхідні з'єднання з усіма хост-комп'ютерами за винятком декількох систем. Для цих систем можуть бути дозволені тільки певні сервіси (SMTP для однієї системи і TELNET або FTP-для іншої). При фільтрації по портах TCP і UDP ця політика може бути реалізована фільтруючим маршрутизатором або хост-комп'ютером з можливістю фільтрації пакетів.

До позитивних якостей фільтруючих маршрутизаторів слід віднести:

  • порівняно невисоку вартість;
  • гнучкість у визначенні правил фільтрації;
  • невелику затримку при проходженні пакетів.

Недоліками фільтруючих маршрутизаторів є:

  • внутрішня мережа видно (маршрутізіруєтся) з мережі Internet;
  • правила фільтрації пакетів важкі в описі і вимагають дуже хороших знань технологій TCP і UDP;
  • при порушенні працездатності брандмауера з фільтрацією пакетів всі комп'ютери за ним стають повністю незахищеними або недоступними;
  • аутентифікацію з використанням IP-адреси можна обдурити шляхом підміни IP-адреси (атакуюча система видає себе за іншу, використовуючи її IP-адреса);
  • відсутня аутентифікація на рівні користувача.
Особисті інструменти
Простори назв

Варіанти
Дії
Навігація
Інструменти