Мсэ на базе пакетных фильтров и прокси-серверов
МЭ, функционирующие на базе пакетных фильтров, предназначены для фильтрования проходящих через них пакетов данных на основе критериев, заданных администратором безопасности. Критерии фильтрования могут задаваться по отношению к уровню межсетевого взаимодействия, транспортному уровню, а также уровню приложения. Перечень возможных критериев фильтрования пакетов данных, определённых на различных уровнях стека протоколов TCP/IP, приведён в табл. 18.1.
Таблица 18.1 - Критерии фильтрования пакетов данных
|
Наименование уровня стека протоколов TCP/IP |
Примеры критериев фильтрования |
|
Уровень межсетевого взаимодействия |
На уровне межсетевого взаимодействия стека протоколов TCP/IP МЭ могут проводить анализ значений параметров заголовков IP-или ICMP-пакетов или пакетов данных, сформированных на основе протоколов маршрутизации. Примерами критериев фильтрования этого уровня являются:
|
|
Транспортный уровень |
На транспортном уровне стека протоколов TCP/IP МЭ могут осуществлять анализ значений параметров заголовков ТСР-сегментов и UDP-дейтаграмм. Примерами критериев фильтрования являются:
|
|
Уровень приложения |
На уровне приложения стека протоколов TCP/IP МЭ могут проводить анализ значений заголовков блоков данных, сформированных при помощи соответствующих протоколов прикладного уровня. Учитывая, что на прикладном уровне может использоваться большое число различных протоколов, каждый из которых имеет собственные параметры, ниже приводятся лишь обобщённые типы критериев фильтрации для этого уровня:
|
При определении правил фильтрования пакетов данных, проходящих через МЭ, администратор безопасности может руководствоваться двумя принципами:
-
«всё, что не запрещено, - разрешено». Данный принцип означает, что если МЭ не содержат правил, запрещающих дальнейшую передачу определённого пакета данных, то этот пакет должен быть пропущен через МЭ. В противном случае пакет данных должен быть удалён;
-
«всё, что не разрешено, - запрещено». Принцип означает, что если МЭ не содержат правил, разрешающих дальнейшую передачу определённого пакета данных, то этот пакет должен быть удалён, в противном случае пакет данных передаётся дальше по маршруту следования. Этот принцип формирования правил фильтрования может повысить эффективность работы МЭ за счёт более чёткого определения типов пакетов данных, которые могут быть переданы через МЭ.
МЭ, функционирующие на базе прокси-сервера, предназначены для контроля за установлением соединений между АС, находящимися по разные стороны от МЭ. Управление соединениями может осуществляться на основе дополнительного проведения процедур идентификации и аутентификации внешних АС, претендующих на получение доступа к информационным ресурсам и инфраструктурам защищаемых АС. Для реализации этих функций МЭ, функционирующие на базе прокси-сервера, выступают в роли промежуточного сервера, расположенного между двумя АС, устанавливающими между собой логическое соединение (рис. 18.2). Таким образом, вместо одного формируется два логических соединения: от защищаемой АС до МЭ и от МЭ до внешней АС.
МЭ могут функционировать на основе прокси-серверов двух типов: серверов прикладного уровня (application-level proxy) и серверов сеансового уровня (circuit-level proxy). Первый тип серверов имеет возможность обрабатывать блоки данных, сформированные протоколами прикладного уровня стека TCP/IP, в то время как прокси-сервера сеансового уровня реализуют только функции транспортного уровня стека TCP/IP и не могут анализировать блоки данных прикладного уровня. Прокси-сервера прикладного уровня обладают большими функциональными возможностями, но имеют более низкую производительность. В качестве протокола, отвечающего за установление соединения между АС, защищаемой МЭ, и прокси-сервером, может выступать протокол SOCKS.
Рисунок 18.2 - Расположение МЭ, функционирующих на базе прокси-сервера
Помимо функций контроля соединений, МЭ, функционирующие на базе прокси-сервера, могут реализовывать механизм трансляции сетевых адресов (Network Address Translation), позволяющий скрыть от нарушителя реальные IP-адреса АС, защищаемых МЭ. Реализация данного механизма МЭ выглядит следующим образом. При поступлении пакета данных от защищаемой АС МЭ заменяет IP-адрес отправителя пакета данных на свой собственный IP-адрес и пересылает изменённый пакет данных получателю (рис. 18.3). При получении пакета данных от внешних АС МЭ выполняет обратные действия по замене IP-адресов.
Рисунок 18.3 - Схема трансляции IP-адресов в МЭ
Трансляция IP-адресов может осуществляться МЭ в одном из четырёх режимов: динамическом, статическом, статическом с динамической выборкой IP-адресов и комбинированном.
При динамической трансляции МЭ пересылают все пакеты данных внешним АС с одного IP-адреса. Для того чтобы различать пакеты данных, предназначенные для разных АС, МЭ присваивают каждому соединению уникальное числовое значение номера TCP- или UDP-порта.
В режиме статической трансляции МЭ выделяют каждой защищаемой АС отдельный IP-адрес, с которого и осуществляется отправка пакетов данных внешним АС.
Статический режим трансляции с динамической выборкой полностью аналогичен статическому режиму, за исключением того, что АС соответствуют не статические IP-адреса, а динамические, т. е. они выбираются в МЭ случайным образом из заданного множества адресов.
Комбинированный режим трансляции IP-адресов подразумевает одновременное использование нескольких режимов трансляции, рассмотренных выше.
К основным преимуществам МЭ, функционирующих на базе прокси-сервера, можно отнести возможность проведения процедур аутентификации, а также возможность раздельного протоколирования параметров пакетов данных, передаваемых в рамках различных логических соединений, а к недостаткам - более низкую скорость работы в сравнении с МЭ, функционирующими на базе пакетных фильтров.