Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
суббота.docx
Скачиваний:
10
Добавлен:
21.12.2018
Размер:
327.62 Кб
Скачать

Межсетевые экраны (мэ)

Одним из основных элементов эшелонирования обороны корпоративной сети является межсетевой экран. Кроме того, МЭ является первым защитным устройством, разделяющим внутренний и внешний периметр.

Межсетевой экран представляет собой локальное (однокомпонентное) или функционально распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и (или) выходящей из нее и обеспечивает защиту АС посредством фильтрации информации, то есть ее анализа по совокупности критериев и принятия решения о ее распространении.

МЭ просматривает пакеты, проходящие через него в обоих направлениях, и принимает решение о допуске или уничтожении пакетов. Таким образом, МЭ образует первую точку защиты между двумя сетями, защищая одну сеть от другой.

Развитие технологий мэ

  • 1983 год – применяются фильтры пакетов;

  • 1989 год – уровень соединения;

  • 1991 год – прикладной уровень;

  • 1993 год – динамическая фильтрация;

  • 1993 – 1997 годы – инспекция состояний;

  • 1997 год - уровень ядра;

  • 2000 год – появляются персональные и распределенные МЭ.

Фильтрация пакетов

В начале данная технология применялась на сетевом уровне, поэтому фильтрации подвергались только IP адреса источника и назначения.

В настоящие время фильтрация пакетов производится и на транспортном уровне.

Каждый IP-пакет исследуется на соответствие множеству правил. Эти правила устанавливают разрешение связи по содержанию заголовком сетевого и транспортного уровней. В модели TCP/IP анализируется и направление движения пакета.

Фильтры пакетов контролируют:

  • физический интерфейс (откуда пришел пакет),

  • IP-адрес источника,

  • IP-адрес назначения,

  • тип транспортного уровня (TCP…),

  • транспортные порты источника и назначения.

Обозначения:

1 – Сетевой стек

2 – Отфильтрованные пакеты

3 – Пакетный фильтр

4 – Список правил

Трансляция сетевых адресов

Межсетевой экран, фильтруя пакеты, часто переадресовывает пакеты так, что выходящий трафик осуществляется под другими адресами. Такая схема называется схемой трансляции NAT и описывается в RFC 1631.

Применение схемы NAT позволяет:

  • скрывать топологию сети и схему адресации,

  • использовать внутри организации пул IP-адресов меньшего размера.

Различают статическую и динамическую трансляцию адресов.

При статической трансляции используется блок внешних адресов, которые назначаются запрашиваемой локальной сети.

При динамической трансляции все запросы хостов локальной сети имеют один и тот же адрес.

Для динамической трансляции используется форма NAT Overloading, которая ставит в соответствие множеству адресов локальной сети единственный IP-адрес, используя различные номера портов.

Трансляция адресов, кроме скрытия внутренних адресов (хостов локальной сети) выполняет важную функцию защиты. Если атакующий направляет пакет на хост внутренний сети, то он будет отброшен, так как для него нет соответствующей строки в таблице NAT.

Процесс фильтрации пакетов

При фильтрации пакетов, если пакет удовлетворяет правилам, то он (в зависимости от направления) перемещается по сетевому стеку для дальнейшей обработки или передачи.

Все входящие пакеты проверяются на соответствие с заданными правилами фильтрации.

Пакет уничтожается или разрешается для перемещения в сетевой стек для доставки.

К такой архитектуре применяется множество команд для анализа одного или нескольких сетевых протоколов, но она осуществляет анализ в пространстве ядра.

Фильтр пакетов не разбирает, какой прикладной протокол будет использоваться.

Правило содержат 2 списка:

  • список запрещения

  • список разрешения

Сетевой пакет проходит проверку на оба списка.

Общая схема исследования пакета:

  1. Если правила разрешают, то пакет допускается.

  2. Если правила запрещают, то пакет удаляется.

  3. Если ни одно правило не применено, то пакет удаляется.

Технология фильтрации пакетов послужила основой создания различных СЗИ, реализуемых во всех типах маршрута.

Достоинства:

  1. Быстрота работы,

  2. МЭ может быть реализован аппаратно,

  3. Не требуется конфигурирование хостов пользователя,

  4. Схема NAT скрывает внутренние IP-адреса.

Недостатки:

  1. Не понимает прикладные протоколы.

  2. Не может ограничивать множество протоколов даже для основных служб.

  3. Не отслеживает соединение.

  4. Слабые возможности обработки информации внутри пакета.

  5. Практически не имеет аудита.

  6. Трудно тестировать правила.

Тут вы можете оставить комментарий к выбранному абзацу или сообщить об ошибке.

Оставленные комментарии видны всем.