Фильтрация пакетов

Сначала данная технология применялась на сетевом уровне, поэтому фильтрации подвергались только IP-адреса источника и назначения. В настоящее время анализ сетевого трафика при филь­трации пакетов проводится и на транспортном уровне.

Каждый IP-пакет исследуется на соответствие множеству пра­вил. Эти правила устанавливают разрешение связи по содержанию заголовков сетевого и транспортного уровней модели TCP/IP, анализируется и направление передвижения пакета.

Фильтры пакетов контролируют:

• физический интерфейс, откуда пришел пакет;

• 1Ри (IP-адрес источника);

• 1Рн (IP-адрес назначения);

• тип транспортного уровня (TCP, UDP, ICMP);

• транспортные порты источника и назначения.

Схема архитектуры фильтра пакетов приведена на рис. 3.2.

Трансляция сетевых адресов. МЭ, фильтрующий пакеты, ча­сто переадресует сетевые пакеты так, что выходной трафик осу­ществляется с другими адресами. Такая схема называется схемой трансляции адресов (NAT, Network Address Translation) и описана в RFC 1631.

Применение схемы NAT позволяет, во-первых, спрятать топо­логию и схему адресации доверенной сети, а во-вторых, исполь­зовать внутри организации пул IP-адресов меньшего размера. Схема функционирования трансляции адресов представлена на рис. 3.3.

Различают статическую и динамическую трансляцию адресов. При статической трансляции используется блок внешних адре­сов, которые назначаются запросам хостов локальной сети. При динамической трансляции все запросы хостов локальной сети имеют один и тот же адрес. Для динамической трансляции ис­пользуется форма (NAT Overloading), которая ставит в соответ­ствие множеству адресов локальной сети единственный IP-адрес, используя различные номера портов (Port Address Translation, PAT).

Трансляция адресов, кроме скрытия внутренних адресов хостов локальной сети, выполняет важную функцию защиты. Если атаку­ющий направит пакет на хост внутренней сети, то он будет отбро­шен, так как для него нет соответствующей строки в таблице NAT.

Процесс фильтрации пакетов. При фильтрации пакетов, если пакет удовлетворяет правилам, то он (в зависимости от направле­ния от или к удаленному хосту) перемещается по сетевому стеку для дальнейшей обработки или передачи.

Все входные пакеты проверяются на соответствие заданным правилам фильтрации. Пакет уничтожается или разрешается для перемещения в сетевой стек для доставки. В такой архитектуре применяется ограниченное множество команд для анализа одно­го или нескольких сетевых протоколов, но она осуществляет ана­лиз в пространстве ядра. Фильтр пакетов не разбирает, какой при­кладной протокол будет использоваться. Правила содержат два списка: список запрещения (deny) и список разрешения (permit). Сетевой пакет проходит проверку на оба списка.

Общая схема исследования пакетов:

• если правило разрешает, то пакет допускается;

• если правило запрещает, то пакет удаляется;

• если ни одно правило не применено, то пакет удаляется. Схема обработки пакетов при фильтрации приведена на рис. 3.4. Технология фильтрации пакетов послужила основой создания

различных средств защиты и реализована практически во всех ти­пах маршрутизаторов. Основные достоинства и недостатки данной технологии приведены в табл. 3.1.

Списки контроля доступа. Для реализации процесса фильтра­ции пакетов применяются правила, называемые списками конт­роля доступа (Access Control List, ACL или просто Access List, AL).

В качестве примера рассмотрим реализацию фильтров в марш­рутизаторах компании Cisco. Маршрутизатор Cisco выполняет фильтрацию пакетов посредством списка управления доступом, которые включены в Cisco Internetwork Operating System (IOS).

Список контроля доступа содержит перечень элементов в заго­ловках пакетов, которые будут проверяться. Маршрутизаторы Cisco определяют списки доступа как последовательный набор запре­щающих и разрешающих условий. Каждый пакет проверяется на соответствие правилам списка. Если пакет соответствует правилу,

то он отбрасывается (если это запрещающее правило) или пере­дается далее (если это правило разрешающее). Если пакет соответ­ствует правилу, то он уже не будет проверяться на соответствие остальным правилам. Поэтому порядок правил в списке доступа играет важную роль.

Существуют несколько типов списков контроля доступа. Про­стейшей фильтрации пакетов соответствует стандартный список управления доступом. При описании синтаксиса списков управ­ления доступом Cisco значения, указанные в фигурных скобках, являются обязательными, а значения в квадратных скобках — нео­бязательными. Жирным шрифтом будем выделять ключевые слова списка.

Синтаксис стандартного списка контроля управления доступом:

access-list list-number {permit/deny} source {mask} [log]

Здесь list-number — номер данного списка доступа (для стан­дартных списков допустимы номера с 1 по 99). Ключевое слово permit разрешает прохождение пакета, удовлетворяющего условию, a deny — запрещает прохождение. При удалении пакета посылает­ся сообщение ICMP о недостижимости назначения. Слово source определяет источник (хост или сеть), из которого послан пакет. Источник может быть определен IP-адресом или ключевым сло­вом any. Слово mask определяет биты маски для заданного адреса источника. По умолчанию маска равна 0.0.0.0, она определяет един­ственный IP-адрес. Чтобы не указывать маску, можно использо­вать слово host, за которым следует его IP-адрес, например

access-list 15 permit host 192.168.123.45 или с указанием маски:

access-list 15 permit 192.168.123.45 0.0.0.0

Поскольку маска состоит из одних нулей, необходимо прове­рять каждый бит адреса. Для приведенных правил будет разре­шаться только адрес 192.168.123.45 и запрещаться все другие ад­реса (вследствие подразумеваемого deny в конце списка).

Бит маски, установленный в единицу, означает, что данный бит не должен соответствовать соответствующему биту адреса. Та­ким образом, маска из всех единиц (255.255.255.255) означает, что не проверяются никакие биты адреса, т.е. разрешается весь трафик. Для облегчения использования случая, когда маска со­стоит из одних нулей или единиц, используется слово any. В ка­честве примера рассмотрим случай, когда необходимо запретить доступ хостам, адреса которых находятся в диапазоне от 192.168.10.32 до 192.168.10.63. Маска подсети для этого диапазона будет 255.255.255.224, а маска для фильтрации — 0.0.0.31.

Ключевое слово log вызывает регистрацию события, вызвав­шего совпадение с утверждением правила.

Каждый маршрутизатор имеет, как минимум, два интерфейса. Интерфейс, связанный с внутренней сетью, обозначается Ethernet 0, а внешний интерфейс — Serial 0. При наличии большего числа интерфейсов они получают последовательно увеличивающиеся адреса, например Ethernet 0, Ethernet 1.

Приведем правила стандартного списка управления доступом для случая, когда только трафику хостов сети (192.168.20.0) раз­решено проходить через маршрутизатор, за исключением хоста 192.168.20.13, хотя он и является хостом данной сети. Строка пра­вила списка доступа, начинающаяся с восклицательного знака, означает комментарий:

access-list 25 deny host 192.168.20.13 ! запрет доступа в защищаемую сеть данному хосту access-list 25 permit 192.168.20.0 0.0.0.255 ! разрешение доступа подсети класса С

Маршрутизаторы Cisco используют идеологию: «то, что не раз­решено, запрещено», поэтому в каждом списке доступа после­дней строкой подразумевается deny. В приведенном примере будет запрещен весь неуказанный трафик. Правила списка контроля до­ступа обрабатываются последовательно. Поэтому важна последо­вательность написания правил. В нашем примере изменение по­рядка строк привело бы к тому, что хост 192.168.20.13 всегда бы имел доступ к внутренней сети, так как второе правило никогда бы не проверялось. Поэтому в списках контроля доступа всегда сначала пишутся утверждения с ключевым словом deny.

Стандартные списки контроля доступа Cisco выполняют функ­ции простой фильтрации, т.е. являются межсетевыми экранами фильтрации пакетов.