Классификация межсетевых экранов
При рассмотрении любого вопроса, касающегося сетевых технологий, основой служит семиуровневая эталонная модель ISO/OSI. Межсетевые экраны также целесообразно классифицировать по уровню фильтрации:
·
·
· канальному,
· сетевому,
· транспортному,
· прикладному.
Соответственно, можно говорить об:
· экранирующих концентраторах (мостах, коммутаторах) (уровень 2),
· маршрутизаторах (уровень 3),
· о транспортном экранировании (уровень 4)
· о прикладных экранах (уровень 7).
Существуют также комплексные экраны, анализирующие информацию на нескольких уровнях. Таким образом, МЭ можно разделить на три типа:
- пакетные фильтры (packet filter)
- сервера прикладного уровня (application gateways)
- сервера уровня соединения (circuit gateways)
Фильтрация информационных потоков осуществляется межсетевыми экранами на основе набора правил, являющихся выражением сетевых аспектов политики безопасности организации. В этих правилах, помимо информации, содержащейся в фильтруемых потоках, могут фигурировать данные, полученные из окружения, например, текущее время, количество активных соединений, порт, через который поступил сетевой запрос, и т.д. Таким образом, в межсетевых экранах используется мощный логический подход к разграничению доступа.
Возможности межсетевого экрана непосредственно определяются тем, какая информация может использоваться в правилах фильтрации и какова может быть мощность наборов правил. Вообще говоря, чем выше уровень в модели ISO/OSI, на котором функционирует МЭ, тем более содержательная информация ему доступна и, следовательно, тем тоньше и надежнее он может быть сконфигурирован.
Пакетные фильтры
Экранирующие маршрутизаторы (и концентраторы) имеют дело с отдельными пакетами данных, поэтому их называют пакетными фильтрами. Дополнительной возможностью пакетных фильтров являются: модификация некоторых полей в заголовках пакетов, трансляция адресов и номеров портов, протоколирование и ведение статистики, немедленное уведомление администратора о появлении пакетов, которые блокируются фильтром. Конструктивной особенностью простых фильтров пакетов является отсутствие памяти состояния соединения, т.е. они не являются в полном смысле протокольными автоматами. Простая фильтрация пакетов действует только на сетевом уровне. В качестве данных из заголовков IP-пакетов для фильтрации могут использоваться (в порядке убывания значимости):
· IP-адрес компьютера-источника,
· IP- адрес компьютера-приемника,
· тип протокола транспортного уровня,
· порт источника TCP/UDP,
· порт приемника TCP/UDP,
· дополнительные параметры TCP/UDP,
· длина IP-пакета,
· дополнительные параметры IP-пакета.
Параметрами окружающей среды, которые могут использоваться для фильтрации, являются:
· интерфейс контроля,
· направление передачи пакета,
· текущее время.
Фильтрация на основе IP-адресов источника и приемника является минимальным требованием к МЭ с возможностью простой фильтрации пакетов. Задание только этих данных в критериях фильтрации позволяет запретить установление связи между определенными компьютерами, что позволяет сделать достижимыми из глобальной сети только те компьютеры организации, которые предоставляют службы внешним пользователям или пользуются службами внешней сети. Следует отметить, что фильтрацию на основе цифровых адресов, указанных в заголовках IP-пакетов, могут осуществлять все маршрутизаторы.
Однако злоумышленник может подменить свой адрес (из внешней сети) адресом внутренней сети, таким образом, делая невозможной надежную фильтрацию на основе только цифровых адресов, если необходимо запретить доступ к отдельным компьютерам извне, разрешив к ним доступ для внутренних пользователей. Поэтому очень необходимым параметром фильтрации является направление пакета: входящий во внутреннюю сеть или исходящий из нее.
Текущее время может использоваться для запрещения доступа к некоторым ресурсам организации в нерабочее время и выходные дни. Кроме того, возможно запрещение доступа внешних пользователей в часы наибольшей загрузки локальной сети. Длина IP-пакета может использоваться для блокирования слишком длинных пакетов, получение которых компьютером-приемником может привести к выведению последнего из строя ("зависанию" или перезагрузке).
Тип протокола транспортного уровня (TCP, UDP или ICMP) используется для более качественной фильтрации - можно блокировать весь ICMP-трафик, заблокировав тем самым атаки маршрутизации источника и ей аналогичные. Типы TCP и UDP совместно с номерами портов источника и приемника используются для блокирования доступа к отдельным службам на отдельных компьютерах. Следует отметить, что эффективную защиту службы можно организовать, только если данная служба имеет конкретный фиксированный порт, в противном случае приходиться полностью блокировать доступ к компьютеру, что зачастую неприемлемо.
Используя дополнительные параметры IP-пакета и TCP/UDP-заголовка, можно, например, запретить фрагментацию и сделать соответствующие атаки неэффективными. Некоторые пакетные фильтры предоставляют возможность изменения указанных параметров с той же целью.
Важной дополнительной возможностью МЭ на основе простой фильтрации пакетов является трансляция сетевых адресов и портов (network address & port translation) или изменение реальных адресов компьютеров внутренней сети на вымышленные (виртуальные), причем несколько (или все) реальных внутренних адресов могут транслироваться в один сетевой адрес (с изменением номеров портов). Кроме аспектов, связанных с аспектами защиты, данная возможность может использоваться в случае, если количество компьютеров, подключенных к сети Интернет, в организации больше, чем количество сетевых адресов, официально выделенных данной организации.
Политика фильтрации задается с помощью упорядоченного набора правил. Каждое правило состоит из условия срабатывания правила и, собственно, действия. Комплексное действие правила состоит из действия по разрешению или блокированию пакета (с уведомлением об этом отправителя пакета или без него), действия по трансляции адреса и номера порта, действия по изменению дополнительных параметров TCP/UDP/IP-заголовка, действия по учету пакета (ведение статистики) и действия по возможному немедленному информированию администратора безопасности. Если подходящее правило не было найдено, то используется политика по умолчанию - либо разрешено все, что не запрещено, либо запрещено все, что не разрешено.
Для описания правил прохождения пакетов составляются таблицы типа:
Действие | тип пакета | адрес источн. | порт источн. | адрес назнач. | порт назнач. | флаги |
Поле "действие" может принимать значения пропустить или отбросить.
Тип пакета - TCP, UDP или ICMP.
Флаги - флаги из заголовка IP-пакета.
Поля "порт источника" и "порт назначения" имеют смысл только для TCP и UDP пакетов.
К положительным качествам простой пакетной фильтрации (по сравнению с другими методами фильтрации) следует отнести:
· относительно невысокая стоимость;
· гибкость в определении правил фильтрации;