Приклад реалізації політики МЕ

Для ілюстрації можливостей технологій міжмережевого екранування ня розглянемо два різних варіанти вирішення наступного завдання Нехай згідно політики безпеки деякої організації для користувачів мережі, що захищається необхідно забезпечити тільки сервіс електронної пошти, тобто МЕ повинен забезпечувати проходження лише поштового трафіку між будь-яким внутрішнім клієнтом і певним поштовим сервером у зовн-ній мережі по протоколах SMTP і POP3

Перший варіант розвязання задачі – використання схеми МЕ на основі дводомної вузла, що зєднує внутрішню і зовнішню мережі На цьому вузлі,

виконує функції проксі-сервера, відключається служба маршрутизації пакетів і встановлюється шлюз прикладного рівня, що забезпечує функціонування тільки протоколів електронної пошти Програми почто-

вих клієнтів на вузлах внутрішньої мережі налаштовуються на роботу із зовнішнім поштовим сервером через даний проксі-сервер, при цьому в їх налаштування вказується адреса внутрішнього мережевого інтерфейсу дводомної вузла Схема

інформаційного обміну між клієнтом і сервером зображена на рис 39 Зверху і знизу на малюнку стрілками показані схеми обміну пакетами клі-ента і сервера при відправці поштових повідомлень і виїмці поштового кореспонденції відповідно На малюнку цифрами зображені номери портів

джерела і призначення при використанні протоколів SMTP і POP3 (порти

25 і 110 проксі-сервера в реальній ситуації можуть бути іншими) Так як служба маршрутизації на дводомної вузлі відключена, то крім пакетів, ізо-

бражения на схемі інформаційного обміну, ніякі інші мережеві паку-

ти через нього проходити не будуть

Рис 39 Схема інформаційного обміну при використанні дводомної вузла

Зауважимо, що деякі проксі-сервери дозволяють визначити списки:

– Користувачів (адрес внутрішніх вузлів), яким (з яких) доз-

шается використання сервісу електронної пошти

– Адрес зовнішніх серверів, до яких дозволено підключення внут-

ренних клієнтів

Другий варіант рішення задачі – використання схеми МЕ на основі фільтруючого маршрутизатора Відповідна поставленої задачі схема

інформаційного обміну між клієнтом і сервером зображена на рис 310

Рис 310 Схема інформаційного обміну

при використанні фільтруючого маршрутизатора

Для пакетного фільтра визначаються правила фільтрації пакетів, що проходять через мережеві інтерфейси 1 і 2, підключені до внутрішньої і зовнішньої мережі відповідно При описі правил фільтрації складається таблиця, зазвичай містить такі поля: Номер правила» (нумерація ведеться буквами латинського алфавіту), «Напрямок» (вхід або вихід),

«Протокол» (тип пакета), «Адреса джерела», «Порт джерела», «Адреса по-

одержувачі »,« Порт одержувача »,« Дія »(дозволити, заборонити, ігнорування

вать) Для ICMP-пакетів замість полів «Порт джерела / призначення» викорис-

зуется полі «Тип ICMP-повідомлення»

У разі використання статичного пакетного фільтра для кож-ного мережевого інтерфейсу розробляється своя таблиця правил фільтрації (табл 31 і табл 32) Слова «Клієнти» та «Сервер» в реальному таблиці фільтрації замінюються діапазоном IP-адрес клієнтів і IP-адресою зовн-нього поштового сервера відповідно У стовпці «Напрямок» вказує-ся напрямок мережевого пакету по відношенню до МЕ Так, напрямок паку-тов, що надходять в МЕ, позначається словом «Вхід», а для пакетів, виходячи-щих з МЕ, застосовується слово «Вихід» Символ «*» позначає «будь-який»

Правила фільтрації пакетів для інтерфейсу 1

Таблиця 31

Прави-

ло

Напрямок-

ня

Прото-

кіл

Адреса

источ-

ника

Порт

источни-

ка

Адреса

назначе-

ня

Порт

назначе-

ня

Дія

А

Вхід

TCP

Клієнти

&gt1024

Сервер

25

Дозволити

У

Вихід

TCP

Сервер

25

Клієнти

&gt1024

Дозволити

З

Вхід

TCP

Клієнти

&gt1024

Сервер

110

Дозволити

D

Вихід

TCP

Сервер

110

Клієнти

&gt1024

Дозволити

E

*

*

*

*

*

*

Заборонити

Правила фільтрації пакетів для інтерфейсу 2

Таблиця 32

Прави-

ло

Напрямок-

ня

Прото-

кіл

Адреса

источ-

ника

Порт

источни-

ка

Адреса

назначе-

ня

Порт

назначе-

ня

Дія

А

Вихід

TCP

Клієнти

&gt1024

Сервер

25

Дозволити

У

Вхід

TCP

Сервер

25

Клієнти

&gt1024

Дозволити

З

Вихід

TCP

Клієнти

&gt1024

Сервер

110

Дозволити

D

Вхід

TCP

Сервер

110

Клієнти

&gt1024

Дозволити

E

*

*

*

*

*

*

Заборонити

У простому випадку правила фільтрації для різних мережевих інтер-фейсом (табл 31 і табл 32) відрізняються лише значенням поля «Прямуючи-ня» Правила A і B обох таблиць дозволяють відправку клієнтами поштових повідомлень, правила C і D дозволяють виїмку клієнтами поштового кореспонденції, правила E забороняють проходження будь-якого трафіку через мережеві інтерфейси

У разі використання в фільтруючому маршрутизаторі програмного забезпечення динамічного фільтра таблиці фільтрації пакетів для кож-ного мережевого інтерфейсу замінюються однією, що відноситься до МЕ в цілому (табл 33)

Правила фільтрації пакетів динамічного фільтра

Таблиця 33

Правило

Адреса

джерела

Адреса

призначення

Сервіс

Дія

A

Клієнти

Сервер

SMTP (порт 25)

Дозволити

B

Клієнти

Сервер

POP3 (порт 110)

Дозволити

C

*

*

*

Заборонити

Правила A і B табл 33 дозволяють проходження запитів на встановлен-ня зєднання від внутрішніх клієнтів до поштового сервера, тому всі по-наступні пакети, що належать дозволеному зєднанню, будуть біс-препятственно проходити через динамічний фільтр Правило C забороняє проходження будь-якого трафіку через мережеві інтерфейси маршрутизатора

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*