Экраны с адаптивной проверкой пакетов
Межсетевые экраны с адаптивной проверкой пакетов (SPI) пропускают и блокируют пакеты в соответствии с почти таким же набором правил, как и у пакетного фильтра. Но если межсетевой экран распознает различные состояния передачи данных, он осуществляет контроль не только на базе IP-адресов и портов, но также и по значениям SYN, АСК, номерам последовательности и другим данным, содержащимся в заголовке TCP. Фильтры пакетов пропускают или блокируют отдельные пакеты и требуют разрешительные правила для одобрения двусторонних ТСР-соединений. А межсетевые экраны SPI отслеживают состояние каждого сеанса и могут динамически открывать и закрывать порты в соответствии с требованиями различных сеансов.
Межсетевые экраны SPI были разработаны для объединения скоростных качеств и гибкости фильтров пакетов с безопасностью прикладного уровня прокси-серверов. Результатом стал компромисс между двумя типами межсетевых экранов: межсетевой экран SPI не является столь же быстродействующим, как межсетевой экран с фильтрацией пакетов, и не обладает такой же степенью разграничения приложений, как протокол приложений. Однако было доказано, что данный компромисс очень эффективен при реализации строгих политик сетевого периметра.[47]
Когда пакет поступает на интерфейс межсетевого экрана SPI, в механизме проверки происходят следующие действия.
· Заголовки TCP проверяются для определения, является ли пакет частью уже существующего и действующего потока передаваемых данных. Межсетевой экран, фильтрующий пакеты, посредством изучения состояния бита SYN (установлен/пуст) ищет признаки того, что пакет является частью существующего информационного TCP-взаимодействия. Межсетевой экран SPI имеет активную таблицу всех текущих сеансов и сравнивает входящие пакеты с се данными в процессе контроля доступа. Эта таблица, называемая таблицей соединений, отслеживает исходные и конечные IP-адреса, а также исходный и конечный порты для каждого сеанса. Кроме того, отслеживаются номера последовательности TCP, помогающие межсетевому экрану связывать каждый пакет с корректным сеансом.
· В зависимости от используемого протокола пакет может подвергаться дальнейшей проверке. Производители межсетевых экранов SPI реализовали подобную функциональность шлюза приложений для проверки прикладного уровня пакета и разграничения доступа на базе его содержимого.
· Если в пакете отсутствует соответствующая запись в таблице соединений, межсетевой экран проверит пакет с использованием установленного набора правил.
· Если после проверки источника, пункта назначения, протокола и содержимого пакета передача пакета разрешается, межсетевой экран передает пакет в пункт назначения, а затем создает или обновляет свою таблицу соединений. Внесенная запись соединения будет использоваться для проверки возвратного пакета вместо определения отдельного правила.[48]
Межсетевой экран, как правило, использует таймеры и систему идентификации TСP-пакета с помощью набора битов FIN, чтобы определить, когда нужно удалять запись из таблицы соединений.
Этот процесс имеет преимущество перед технологией фильтрации пакетов. Таблица соединений весьма значительно снижает вероятность того, что пакет будет замаскирован под часть имеющегося соединения. Так как межсетевые экраны с фильтрацией пакетов не ведут запись ожидающих соединений, они должны базироваться в своей работе на формате пакета, чтобы выяснить, является ли пакет частью ранее утвержденного соединения. Это обуславливает возможность подмены (маскировки) TCP-пакетов и не обеспечивает какого-либо метода определения состояния пакетов UDP или ICMP.
Преимущество межсетевых экранов SPI перед межсетевыми экранами с фильтрацией пакетов - в возможности изучать данные различных типов пакетов.
Основной недостаток межсетевого экрана SPI в том, что он разрешает прямые соединения между доверенными и недоверенными узлами. Здесь следует полагаться на процесс узла, а не на защищенную прокси-службы.
Контрольные вопросы
1. В чем состоит отличие брандмауэра от межсетевого экрана?
2. В чем заключаются преимущества и недостатки межсетевого экрана?
3. Что такое «динамический МЭ»?
4. Какие виды МЭ вы знаете?
5. В чем отличие «шлюза приложений» от «шлюза контурного уровня»?
6. Что означает аббревиатура «SPI» и для чего это используется?
Библиографический список
Основная литература:
1. Ярочкин В.И. Информационная безопасность: учебник для студентов высших учеб. заведений, обучающихся по гуманитарным и социально-экономическим специальностям / В. И. Ярочкин. - М.: Акад. проект, 2008. – C.79-89.
Дополнительная литература:
1. Брэгг Р. Безопасность сетей / Р. Брэгг, М. Родс-Оусли, К. Страссберг; [пер. с англ.] – М.: Издательство «ЭКОМ», 2006.
2. Брэгг Р. Безопасность сети на основе Microsoft Windows Server 2003 / Р. Брэгг; [пер. с англ. под общ. ред. А. Е. Соловченко]. - СПб.: Питер, 2005. - 672 с.
3. Мэйволд Э. Безопасность сетей: практическое пособие / Э. Мэйволд; [пер. с англ.] – М.: «СП ЭКОМ», 2005.
4. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа / А. Ю. Щеглов. - СПб.: Наука и техника, 2004. – С.373-376.