Классификация межсетевых экранов

1. про­пу­стить пакет, если он пе­ре­да­ет­ся со сто­ро­ны се­те­во­го ин­тер­фей­са внут­рен­ней сети на се­те­вой ин­тер­фейс внеш­ней сети и имеет па­ра­мет­ры: IP-ад­рес от­пра­ви­те­ля 123.​45.​67.​89, IP-ад­рес по­лу­ча­те­ля 211.​111.​111.​111, про­то­кол транс­порт­но­го уров­ня TCP, про­грамм­ный порт от­пра­ви­те­ля боль­ше 6000, про­грамм­ный порт по­лу­ча­те­ля 23;

2. про­пу­стить пакет, если он пе­ре­да­ет­ся со сто­ро­ны се­те­во­го ин­тер­фей­са внеш­ней сети на се­те­вой ин­тер­фейс внут­рен­ней сети и имеет па­ра­мет­ры: IP-ад­рес от­пра­ви­те­ля 211.​111.​111.​111, IP-ад­рес по­лу­ча­те­ля 123.​45.​67.​89, про­то­кол транс­порт­но­го уров­ня TCP, про­грамм­ный порт от­пра­ви­те­ля 23, про­грамм­ный порт по­лу­ча­те­ля более 6000.

Таким об­ра­зом, для каж­до­го ка­на­ла об­ме­на дан­ны­ми необ­хо­ди­мо за­да­вать два пра­ви­ла (филь­тра); в слу­чае мно­го­ка­наль­ных со­еди­не­ний (на­при­мер, для сер­ви­са ftp) ко­ли­че­ство пра­вил со­от­вет­ствен­но уве­ли­чи­ва­ет­ся. Для боль­шой сети спи­сок пра­вил до­сти­га­ет очень вну­ши­тель­ных раз­ме­ров, в ко­то­рых ад­ми­ни­стра­то­ру легко за­пу­тать­ся. Прав­да, се­те­вые филь­тры поз­во­ля­ют обыч­но объ­еди­нять пра­ви­ла для под­мно­же­ства ком­пью­те­ров на ос­но­ве IP-подсетей.

По­сколь­ку при по­лу­че­нии каж­до­го па­ке­та се­те­вой фильтр про­смат­ри­ва­ет таб­ли­цу пра­вил в по­сле­до­ва­тель­ном по­ряд­ке, каж­дое новое пра­ви­ло умень­ша­ет общую про­из­во­ди­тель­ность маршрутизатора.

Ряд про­из­во­ди­те­лей (в част­но­сти, Novell в ути­ли­те FILTCFG.​NLM) преду­смат­ри­ва­ет ди­на­ми­че­скую, или кон­текст­ную (stateful), филь­тра­цию и филь­тра­цию фраг­мен­тов IP-па­ке­тов, но по ха­рак­те­ри­сти­кам они ско­рее от­но­сят­ся к раз­ря­ду шлю­зов се­ан­со­во­го уров­ня и по­это­му будут рас­смот­ре­ны позднее.

Еще одной про­бле­мой, осо­бен­но для бес­плат­ных се­те­вых филь­тров, яв­ля­ет­ся невоз­мож­ность со­зда­ния иерар­хи­че­ской струк­ту­ры пра­вил. На­при­мер, в слу­чае прин­ци­па «что явно не раз­ре­ше­но, то за­пре­ще­но» фильтр про­смат­ри­ва­ет сна­ча­ла спи­сок ис­клю­че­ний, и если пакет не под­хо­дит не под одно ис­клю­че­ние, то в со­от­вет­ствии с ука­зан­ным прин­ци­пом пакет от­се­и­ва­ет­ся. Если же пакет под­хо­дит хотя бы под одно ис­клю­че­ние, то он пе­ре­да­ет­ся даль­ше. Од­на­ко пред­ста­вим такую си­ту­а­цию: сеть за­кры­та от до­сту­па сна­ру­жи, но один сер­вер дол­жен быть до­сту­пен для внеш­не­го мира по про­то­ко­лу ftp. Все это пре­крас­но можно ор­га­ни­зо­вать с по­мо­щью се­те­во­го филь­тра, за ис­клю­че­ни­ем ма­лень­кой, но очень непри­ят­ной де­та­ли — на до­ступ к сер­ве­ру по ftp нель­зя на­ло­жить до­пол­ни­тель­ные огра­ни­че­ния. К при­ме­ру, невоз­мож­но в таком слу­чае за­пре­тить до­ступ к нему со сто­ро­ны ком­пью­те­ра Z, ко­то­рым поль­зу­ет­ся зло­умыш­лен­ник. Более того, хакер может пе­ре­да­вать на сер­вер па­ке­ты с ад­ре­сом от­пра­ви­те­ля, со­от­вет­ству­ю­щим ад­ре­су ком­пью­те­ра внут­рен­ней сети (самый опас­ный вид под­дел­ки IP-па­ке­тов). И се­те­вой фильтр про­пу­стит такой пакет. Чтобы из­бе­жать по­доб­ных про­блем, ад­ми­ни­стра­то­ры вы­нуж­де­ны ста­вить два по­сле­до­ва­тель­но под­клю­чен­ных филь­тра, чтобы таким об­ра­зом ре­а­ли­зо­вы­вать иерар­хи­че­ские пра­ви­ла фильтрации.

Се­те­вые филь­тры имеют ряд прин­ци­пи­аль­ных недо­стат­ков. Пре­жде всего аутен­ти­фи­ка­ция (или, если точ­нее, иден­ти­фи­ка­ция) от­пра­ви­те­ля про­из­во­дит­ся толь­ко на ос­но­ва­нии IP-ад­ре­са. Од­на­ко с по­мо­щью под­ме­ны IP-ад­ре­сов (IP-spoofing) зло­умыш­лен­ник без осо­бых уси­лий может обой­ти такую пре­гра­ду. Кроме того, за упол­но­мо­чен­ный ком­пью­тер может в прин­ци­пе сесть че­ло­век, не име­ю­щий права ра­бо­тать с сер­ве­ром. Аутен­ти­фи­ка­ция на ос­но­ве имени и па­ро­ля поль­зо­ва­те­ля на­мно­го на­деж­нее, но в се­те­вых филь­трах ее при­ме­нить не пред­став­ля­ет­ся возможным.

Се­те­вой фильтр не может от­сле­жи­вать ра­бо­ту се­те­вых при­ло­же­ний, и во­об­ще он не кон­тро­ли­ру­ет со­дер­жи­мое па­ке­тов транс­порт­но­го, се­ан­со­во­го и при­клад­но­го уров­ня. По­это­му на­ли­чие се­те­во­го филь­тра не огра­дит кор­по­ра­тив­ную сеть от атак по типу SYN-flooding (см. врез­ку «Атака SYN-flooding»), от атак, свя­зан­ных с фраг­мен­та­ци­ей па­ке­тов, и от втор­же­ний через сер­ви­сы при­клад­но­го уровня.

Ос­нов­ным (по­ми­мо цены и про­сто­ты ре­а­ли­за­ции) до­сто­ин­ством се­те­вых филь­тров яв­ля­ет­ся их очень вы­со­кая про­из­во­ди­тель­ность, на­мно­го более вы­со­кая, чем у меж­се­те­вых экра­нов се­ан­со­во­го и при­клад­но­го уров­ня. Несмот­ря на се­рьез­ные недо­стат­ки, се­те­вой фильтр яв­ля­ет­ся неотъ­ем­ле­мой ча­стью лю­бо­го меж­се­те­во­го экра­на экс­перт­но­го клас­са. Од­на­ко он пред­став­ля­ет собой всего лишь одну из его со­став­ных ча­стей, по­сколь­ку ра­бо­та­ет в со­че­та­нии со шлю­зом более вы­со­ко­го уров­ня иерар­хии OSI. В такой схеме се­те­вой фильтр пре­пят­ству­ет пря­мо­му об­ще­нию между внут­рен­ней и внеш­ней сетью (кроме за­ра­нее опре­де­лен­ных ком­пью­те­ров). Вся же ос­нов­ная филь­тра­ция, но уже на вы­ше­сто­я­щих уров­нях OSI, ор­га­ни­зу­ет­ся шлю­зом со­от­вет­ству­ю­ще­го уров­ня или ин­спек­то­ром состояния.