Застосування МЕ на основі фільтруючого маршрутизатора

Нехай для захисту внутрішньої мережі використовується схема МЕ на основі фільтруючого маршрутизатора зі статичним фільтром і необхідно пре-доставити всім клієнтам внутрішньої мережі тільки лише web-сервіс (рис 314)

Рис 314 Схема інформаційного обміну за умовою задачі

Як статичного фільтру пакетів використовується програма Win-Route на вузлі «FW-W98» Запуск програми відбувається автоматично при завантаженні ОС Конфігурування параметрів функціонування фільтра, тобто визначення правил фільтрації, виробляється в діалоговому вікні «Packet Fil-ter», яка зображена на рис 315

На вкладках «Incoming» і «Outgoing» діалогового вікна додаються нові (Add ..), редагуються (Edit ..) і видаляються (Remove) наявні правила фільтрації кожного мережевого інтерфейсу, присутнього в систе-

ме для вхідних і вихідних мережевих пакетів відповідно Змінити по-рядок застосування правил до оброблюваних пакетам можна за допомогою кно-пок «Вгору» і «Вниз», що знаходяться в правій частині діалогового вікна Для вступу правил фільтрації в силу слід використовувати кнопку «Примі-нить» У системі, як зображено на рис 315, присутні два мережевих адаптера: перший, званий «In AMD PCNET Family Ethernet Adapter », підключений до внутрішньої мережі, другий, званий« Out AMD PCNET Family Ethernet Adapter », підключений до зовнішньої мережі

Рис 315 Вікно налаштування фільтра пакетів

Слід врахувати, що в статичному фільтрі для кожного напрямку се-тевого взаємодії в рамках того чи іншого сервісу правила фільтрації, що дозволяють проходження мережевих пакетів через маршрутизатор, необхід-мо визначати, як мінімум, два рази Наприклад, при взаємодії клиен-та з сервером проходження пакетів клієнта внутрішньої мережі до зовнішнього сер-віру визначається вирішуючими правилами в послідовності: входячи-щее для внутрішнього мережного адаптера, потім виходить для зовнішнього сеті-вого адаптера, а проходження зворотних пакетів – в послідовності: вхідне для зовнішнього мережевого адаптера, потім виходить для внутрішнього мережевого адаптера

Необхідність завдання дозволяють правил одночасно для двох мережних інтерфейсів пояснимо таким прикладом Нехай за умовами НЕ-якої задачі необхідно надати клієнтам внутрішньої мережі який-

або сервіс Вирішити поставлене завдання можна декількома способами, визначаючи правила фільтрації пакетів для одного з інтерфейсів або для двох одночасно, але тільки останній з них належним чином забезпе-печити захист самого МЕ від атак із зовнішньої і внутрішньої мережі (рис 316)

(А)

(Б)

(В)

Рис 316 Варіанти визначення правил фільтрації для інтерфейсів МЕ: (а) – явна загроза з боку внутрішньої мережі (Б) – явна загроза з боку зовнішньої мережі (В) – явна загроза з боку мереж відсутня

Створення або редагування правил фільтрації проводиться в діа-лігвом вікні, зображеному на рис 317 У загальному випадку для правила визна-виділяється: протокол (Protocol), адреси та порти відправника (Source) і получа-теля (Destination), а також дію (Action), яке виконується над паку-том, що задовольняє заданим критеріям фільтрації Залежно від типу протоколу деякі поля можуть бути відсутні, а бути присутнім додат-Передачі критерії фільтрації Наприклад, для протоколу IP не мають

сенсу значення портів відправника і одержувача, а для протоколу ICMP є можливість фільтрації за типом повідомлення Можливе дію над пакетом визначається на панелі «Action» наступним чином: дозволити (Permit), відкинути (Drop), заборонити з повідомленням відправника про помилку (Deny) На панелі «Log Packet» визначається режим реєстрації подій при обробці пакета

Рис 317 Вікно визначення правила фільтрації

На рис 317 зображені критерії фільтрації для правила, дозволяю-ного проходження пакетів будь-якого клієнта внутрішньої мережі до зовнішнього web-серверу c адресою 10005 в будь-який час доби

ВИКОНАТИ

8 Запустити програму адміністрування WinRoute c допомогою пункту

«WinRoute Administration ..» контекстного меню іконки програми на панелі завдань, підключившись до «LocalHost» як користувач Admin з

порожнім паролем

9 Через меню Settings Advanced Packet Filter… викликати діалогове

вікно управління таблицею фільтрації пакетів

10 Створити необхідні правила для дозволу web-сервісу внутрішнім користувачам і правило, що забороняє все інше (для цієї мети

можна використовувати останній рядок «Any interface»)

11 Перевірити правильність функціонування МЕ

Для придбання навичок адміністрування пакетного фільтра са-

мостійно виконайте наступні завдання

Завдання 1 Необхідно обмежити користувача компютера «PC» в ис-

користуванні web-сервісу так, щоб він міг працювати тільки з сервером

«OUT2» (рис 318) Зверніть увагу на правильну послідовність визначення правил фільтрації

Рис 318 Схема інформаційного обміну по умові завдання № 1

Завдання 2При початкових умовах попередньої задачі необхідно надати внутрішнім користувачам можливість використання коман-ди Ping для перевірки доступності зовнішніх вузлів, але виключити таку мож-ливість для зовнішніх вузлів при скануванні вузлів мережі, що захищається (рис

319)

Рис 319 Схема інформаційного обміну по умові завдання № 2

Завдання 3При початкових умовах попередньої задачі необхідно надати всім клієнтам внутрішньої мережі FTP-сервіс (рис 320) Врахуйте, що на рис 320 показаний типовий обмін клієнта і FTP-сервера, а програма E-Serv, встановлена ​​на віртуальних компютерах, ініціалізує переду-чу даних не з порту 20, а з порту> 1024

Рис 320 Схема інформаційного обміну по умові завдання № 3

Завдання 4 При початкових умовах попередньої задачі необхідно ог-ранічена користувача компютера «IN» у використанні FTP-сервісу так, щоб він міг працювати тільки з сервером «OUT2» (рис 321)

Рис 321 Схема інформаційного обміну по умові завдання № 4

Задача 5При початкових умовах попередньої задачі необхідно надати користувачеві компютера «IN» сервіс електронної пошти (рис 322) На компютері «IN» додаток Outlook Express налаштоване на поштову ящик c адресою «U1@mailru» на сервері «OUT1» Виїмка почто-вої кореспонденції здійснюється по протоколу POP3 Проведіть від-правку електронного повідомлення від імені користувача U1 самому собі

Рис 322 Схема інформаційного обміну по умові завдання № 5

Завдання 6При початкових умовах попередньої задачі необхідно надати користувачеві зовнішнього вузла «OUT1» можливість роботи з внутрішнім web-сервером «IN» (рис 323)

Рис 323 Схема інформаційного обміну по умові завдання № 6

Завдання 7При початкових умовах попередньої задачі необхідно надати користувачеві зовнішнього вузла «OUT2» можливість роботи з внутрішнім FTP сервером «IN» (рис 324)

Рис 324 Схема інформаційного обміну по умові завдання № 7

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*