Відмінності між версіями «1 Фільтруючі маршрутизатори»

Версія за 00:57, 21 вересня 2012

Фільтруючий маршрутизатор являє собою маршрутизатор або працюючу на сервері програму, сконфігурований таким чином, щоб фільтрувати вхідні і вихідні пакети. Фільтрація пакетів здійснюється на основі інформації, що міститься в TCP-і IP-заголовках пакетів. Фільтруючі маршрутизатори звичайно можуть фільтрувати IP-пакет на основі групи наступних полів заголовка пакету: IP-адреса відправника (адреса системи, яка послала пакет); IP-адреса отримувача (адреса системи яка приймає пакет); Порт відправника (порт з'єднання в системі відправника); Порт одержувача (порт з'єднання в системі одержувача);

Порт - це програмне поняття, яке використовується клієнтом або сервером для посилки або прийому повідомлень; порт ідентифікується 16 - бітовим числом. В даний час не всі фільтруючі маршрутизатори фільтрують пакети по TCP / UDP - порт відправника, однак багато виробників маршрутизаторів почали забезпечувати таку можливість. Деякі маршрутизатори перевіряють, з якого мережевого інтерфейсу маршрутизатора прийшов пакет, і потім використовують цю інформацію як додатковий критерій фільтрації.

Фільтрація може бути реалізована різними способами для блокування з'єднань з певними хост-комп'ютерами або портами. Наприклад, можна блокувати з'єднання, що надходять від конкретних адрес тих хост-комп'ютерів і мереж, які вважаються ворожими або ненадійними. Додавання фільтрації по портах TCP і UDP до фільтрації по IP-адресами забезпечує велику гнучкість. Відомо, що такі сервери, як демон TELNET, зазвичай пов'язані з конкретними портами (наприклад, порт 23 протоколу TELNET). Якщо міжмережевий екран може блокувати з'єднання TCP або UDP з певними портами або від них, то можна реалізувати політику безпеки, при якій деякі види з'єднань встановлюються тільки з конкретними хост-комп'ютерами.

Наприклад, внутрішня мережа може блокувати всі вхідні з'єднання з усіма хост-комп'ютерами за винятком кількох систем. Для цих систем можуть бути дозволені тільки певні сервіси (SMTP для однієї системи і TELNET або FTP-для іншої). При фільтрації по портах TCP і UDP ця політика може бути реалізована фільтруючим маршрутизатором або хост-комп'ютером з можливістю фільтрації пакетів. Як приклад роботи фільтруючого маршрутизатора розглянемо реалізацію політики безпеки, що допускає певні з'єднання з внутрішньою мережею з адресою 123.4 .*.* З'єднання TELNET дозволяються тільки з одним хост-комп'ютером з адресою 123.4.5.6, який може бути прикладним TELNET-шлюзом, а SMTP- з'єднання - тільки з двома хост-комп'ютерами з адресами 123.4.5.7 і 123.4.5.8, які можуть бути двома шлюзами електронної пошти.Обмін по NNTP (Network News Transfer Protocol) дозволяється тільки від сервера новин з адресою 129.6.48.254 і тільки з NNTP-сервером мережі з адресою 123.4.5.9, а протокол NTP (мережевого часу)-для всіх хост-комп'ютерів. Всі інші сервери і пакети блокуються.

Перше правило дозволяє пропускати пакети TCP з мережі Internet від будь-якого джерела з номером порту більшим, ніж 1023, до одержувача з адресою 123.4.5.6 в порт 23. Порт 23 пов'язаний з сервером TELNET, а всі клієнти TELNET повинні мати непривілейованих порти з номерами не нижче 1024.

Друге і третє правила працюють аналогічно і дозволяють передачу пакетів до одержувачів з адресами 123.4.5.7 і 123.4.5.8 в порт 25, використовуваний SMTP. Четверте правило пропускає пакети до NNTP-сервера мережі, але тільки від відправника з адресою 129.6.48.254 до одержувача з адресою 123.4.5.9 з портом призначення 119 (129.6.48.254-єдиний NNTP-сервер, від якого внутрішня мережа отримує новини, тому доступ до мережі для виконання протоколу NNTP обмежений тільки цією системою). П'яте правило дозволяє трафік NTP, який використовує протокол UDP замість TCP. від будь-якого джерела до будь-якого одержувачу внутрішньої мережі. Нарешті, шосте правило блокує всі інші пакети. Якби цього правила не було, маршрутизатор міг би блокувати, а міг би й не блокувати інші види пакетів. Вище було розглянуто дуже простий приклад фільтрації пакетів. Реально використовуються правила дозволяють здійснити більш складну фільтрацію і є більш гнучкими.

Правила фільтрації пакетів формулюються складно, і звичайно немає коштів для тестування їх коректності, крім повільного ручного тестування. У деяких фільтруючих маршрутизаторів немає коштів протоколювання, тому, якщо правила фільтрації пакетів все-таки дозволять небезпечним пакетам пройти через маршрутизатор, такі пакети не зможуть бути виявлені до виявлення наслідків проникнення. Навіть якщо адміністратора мережі вдасться створити ефективні правила фільтрації, їх можливості залишаються обмеженими. Наприклад, адміністратор задає правило, відповідно до якого маршрутизатор буде відбраковувати всі пакети з невідомою адресою відправника. Однак хакер може використовувати в якості адреси відправника у своєму "шкідливий" пакеті реальну адресу довіреної (авторизованого) клієнта. У цьому випадку фільтруючий маршрутизатор не зуміє відрізнити підроблений пакет від сьогодення і пропустить його.Практика показує, що подібний вид нападу, званий підміною адреси, досить широко поширений в мережі Internet і часто виявляється ефективним.

Міжмережевий екран з фільтрацією пакетів, що працює тільки на мережевому рівні еталонної моделі взаємодії відкритих систем OSI - ISO, зазвичай перевіряє інформацію, що міститься тільки в IP-заголовках пакетів. Тому обдурити його нескладно: хакер створює заголовок, який задовольняє дозволяючими правилами фільтрації. Крім заголовка пакета, ніяка інша міститься в ньому інформація міжмережевими екранами даної категорії не перевіряється.