2.3. Применение мэ на основе фильтрующего маршрутизатора
Пусть для защиты внутренней сети используется схема МЭ на основе фильтрующего маршрутизатора со статическим фильтром и необходимо предоставить всем клиентам внутренней сети только лишь web-сервис (рис. 4).
В качестве статического фильтра пакетов используется программа WinRoute на узле «FW-W98». Запуск программы происходит автоматически при загрузке ОС. Конфигурирование параметров функционирования фильтра, т. е. определение правил фильтрации, производится в диалоговом окне «Packet Filter», которое изображено на рис. 5.
На вкладках «Incoming» и «Outgoing» диалогового окна добавляются новые (Add…), редактируются (Edit…) и удаляются (Remove) имеющиеся правила фильтрации каждого сетевого интерфейса, присутствующего в системе для входящих и исходящих сетевых пакетов соответственно. Изменить порядок применения правил к обрабатываемым пакетам можно с помощью кнопок «Вверх» и «Вниз», находящихся в правой части диалогового окна. Для вступления правил фильтрации в силу следует использовать кнопку «Применить». В системе, как изображено на рис. 5, присутствуют два сетевых адаптера: первый, называемый «In AMD PCNET Family Ethernet Adapter», подключен к внутренней сети, второй, называемый «Out AMD PCNET Family Ethernet Adapter», подключен к внешней сети.
Следует учесть, что в статическом фильтре для каждого направления сетевого взаимодействия в рамках того или иного сервиса правила фильтрации, разрешающие прохождение сетевых пакетов через маршрутизатор, необходимо определять, как минимум, два раза. Например, при взаимодействии клиента с сервером прохождение пакетов клиента внутренней сети к внешнему серверу определяется разрешающими правилами в последовательности: входящее для внутреннего сетевого адаптера, затем исходящее для внешнего сетевого адаптера, а прохождение обратных пакетов — в последовательности: входящее для внешнего сетевого адаптера, затем исходящее для внутреннего сетевого адаптера.
Необходимость задания разрешающих правил одновременно для двух сетевых интерфейсов поясним следующим примером. Пусть по условиям некоторой задачи необходимо предоставить клиентам внутренней сети какой либо сервис. Решить поставленную задачу можно несколькими способами, определяя правила фильтрации пакетов для одного из интерфейсов или для двух одновременно, но только последний из них надлежащим образом обеспечит защиту самого МЭ от атак из внешней и внутренней сети (рис. 6).
Создание или редактирование правил фильтрации производится в диалоговом окне, изображенном на рис. 7. В общем случае для правила определяются: протокол (Protocol), адреса и порты отправителя (Source) и получателя (Destination), а также действие (Action), которое выполняется над пакетом, удовлетворяющим заданным критериям фильтрации. В зависимости от типа протокола некоторые поля могут отсутствовать, а присутствовать дополнительные критерии фильтрации. Например, для протокола IP не имеют
смысла значения портов отправителя и получателя, а для протокола ICMP имеется возможность фильтрации по типу сообщения. Возможное действие над пакетом определяется на панели «Action» следующим образом: разрешить (Permit), отбросить (Drop), запретить с извещением отправителя об ошибке (Deny). На панели «Log Packet» определяется режим регистрации событий при обработке пакета.
На рис. 7 изображены критерии фильтрации для правила, разрешающего прохождение пакетов любого клиента внутренней сети к внешнему web-серверу c адресом 10.0.0.5 в любое время суток.
ВЫПОЛНИТЬ!
Запустить приложение администрирования WinRoute c помощью пункта «WinRoute Administration…» контекстного меню иконки программы на панели задач, подключившись к «LocalHost» как пользователь Admin с пустым паролем.
Через меню Settings Advanced Packet Filter… вызвать диалоговое окно управления таблицей фильтрации пакетов.
Создать необходимые правила для разрешения web-сервиса внутренним пользователям и правило, запрещающее все остальное (для этой цели можно использовать последнюю строку «Any interface»).
Проверить правильность функционирования МЭ.
Для приобретения навыков администрирования пакетного фильтра самостоятельно выполните следующие задачи.
Задача 1. Необходимо ограничить пользователя компьютера «PC» в использовании web-сервиса так, чтобы он мог работать только с сервером «OUT2» (рис. 8). Обратите внимание на правильную последовательность определения правил фильтрации.
Задача 2. При начальных условиях предыдущей задачи необходимо предоставить внутренним пользователям возможность использования команды Ping для проверки доступности внешних узлов, но исключить такую возможность для внешних узлов при сканировании узлов защищаемой сети (рис. 9).
Задача 3. При начальных условиях предыдущей задачи необходимо предоставить всем клиентам внутренней сети FTP-сервис (рис. 10). Учтите, что на рис. 10 показан типовой обмен клиента и FTP-сервера, а программа E-Serv, установленная на виртуальных компьютерах, инициализирует передачу данных не с порта 20, а с порта >1024.
Задача 4. При начальных условиях предыдущей задачи необходимо ограничить пользователя компьютера «IN» в использовании FTP-сервиса так, чтобы он мог работать только с сервером «OUT2» (рис. 11).
Задача 5. При начальных условиях предыдущей задачи необходимо предоставить пользователю компьютера «IN» сервис электронной почты (рис. 12). На компьютере «IN» приложение Outlook Express настроено на почтовый ящик c адресом «U1@mail.ru» на сервере «OUT1». Выемка почтовой корреспонденции осуществляется по протоколу POP3. Произведите отправку электронного сообщения от имени пользователя U1 самому себе.
Задача 6. При начальных условиях предыдущей задачи необходимо предоставить пользователю внешнего узла «OUT1» возможность работы с внутренним web-сервером «IN» (рис. 13).
Задача 7. При начальных условиях предыдущей задачи необходимо предоставить пользователю внешнего узла «OUT2» возможность работы с внутренним FTP сервером «IN» (рис. 14).
