9.3. Основные компоненты мэ
МЭ состоят, как правило из нескольких компонент, основными из которых являются следующие:
Фильтрующие маршрутизаторы;
Шлюзы сетевого уровня;
Шлюзы прикладного уровня.
9.3.1. Фильтрующие маршрутизаторы
В этом случае фильтрация пакетов осуществляется на основе адресной информации, содержащейся в заголовках пакетов. В простейшем случае фильтрующий маршрутизатор фильтрует IP – пакеты по следующим параметрам:
По IP – адресу отправителя или по IP – адресу получателя;
По порту отправителя или получателя (порт означает привязку пересылки информации к конкретной прикладной задаче, т.е. если отправитель и получатель информации работают совместно по двум прикладным задачам, задачи могут быть привязаны к различным портам).
Пример работы фильтрующего маршрутизатора
Необходимо обеспечить фильтрацию протоколов для следующего фрагмента сети:
Компьютер (А= 123.4.5.6)Управляющий
TELNET
Фильтрующий
маршрутизатор Сервер новостей (А= 123.4.5.9)
SMTP NNTP
Почтовый клиент (А= 123.4.5.8) Почтовый клиент (А= 123.4.5.7)
Примечание: (NNTP – Network News Transfer Protocol)
Рис. 9.1.
Сведем набор правил фильтрующего маршрутизатора для данного фрагмента сети в таблицу.
Таблица 9.1.
|
Тип протокола |
Адрес отправителя |
Адрес получателя |
Порт отправителя |
Порт получателя |
Действие |
|
TCP |
* |
123.4.5.6 |
1023 |
23 |
Разрешить |
|
TCP |
* |
123.4.5.7 |
1023 |
25 |
Разрешить |
|
TCP |
* |
123.4.5.8 |
1023 |
25 |
Разрешить |
|
TCP |
129.6.48.254 |
123.4.5.9 |
1023 |
119 |
Разрешить |
|
* |
* |
* |
* |
* |
Запретить |
Комментарии:
Первое правило позволяет пропускить пакеты типа TCP из сети Интернет от любого источника с номером порта, большим, чем 1023, к получателю с адресом 123.4.5.6 в порт 23. Порт 23 связан с сервером TELNET и все клиенты TELNET должны иметь порты с номерами, не меньшими 1023.
Правила 2 … 4 – аналогичны первому правилу.
Пятое правило блокирует все остальные пакеты.
Недостатки фильтрующих маршрутизаторов (ФМ):
Правила фильтрации пакетов формулируются сложно и обычно нет средств для тестирования их корректности, кроме ручного тестирования;
Внутренняя сеть видна из общедоступной сети;
Не помогают при атаках типа «подмена адреса», когда кракер использует адрес авторизованного клиента;
При нарушении работоспособности ФМ все компьютеры за ним становятся полностью незащищенными либо недоступными;
Отсутствует должным образом реализованная аутентификация пользователя.
9.3.2. Шлюзы сетевого уровня
Шлюзы сетевого уровня (ШСУ) исключают прямое взаимодействие между авторизованным клиентом и внешней средой.
Логика работы ШСУ заключается в следующем:
Сначала авторизованный клиент запрашивает некоторый сервис, шлюз принимает этот запрос и проверяет удовлетворяет ли этот запрос правам, предоставленным клиенту;
Далее, действуя от имени клиента, шлюз устанавливает связь с внешней средой и следит за процессом квитирования (процесс квитирования заключается в обмене синхронизирующими посылками между клиентом и внешним компьютером);
После завершения процедуры квитирования шлюз устанавливает соединение, копирует пакеты и перенаправляет их между участниками взаимодействия, не проводя никакой фильтрации.
Характерная особенность ШСУ:
При работе ШСУ осуществляется т.н. «туннелирование трафика» или маскировка топологии сети, т.е. при обращении авторизованного клиента к внешнему источнику происходит преобразование внутренних IP – адресов в один внешний IP – адрес МЭ и все исходящие из внутренней сети пакеты оказываются отправленными от этого шлюза, что исключает прямой контакт между внутренней сетью и потенциально опасной внешней.
Недостаток ШСУ:
После установления связи ШСУ не могут проверять содержимое пакетов, передаваемых между внутренней и внешней сетью на уровне прикладных программ и кракер во внешней сети может переслать свои вредоносные пакеты через шлюз.
Поэтому ШСУ, как правило, не используются отдельно от других компонент МЭ и для фильтрации передаваемой информации по смыслу к ШСУ необходимо добавлять шлюз прикладного уровня.