Компоненти брандмауера

У загальному випадку алгоритм функціонування МЕ зводиться до виконан-ня двох груп функцій, одна з яких обмежує переміщення даних (фільтрація інформаційних потоків), а друга, навпаки, йому сприяє (Посередництво у межсетевом взаємодії) Слід зазначити, що ви-конання МЕ зазначених груп функцій може здійснюватися на різних рівнях моделі OSI Прийнято вважати, що чим вище рівень моделі OSI, на якому МЕ обробляє пакети, тим вище ним забезпечується рівень за-щити

Як зазначено вище, МЕ може забезпечувати захист АС за рахунок фильт-

рації проходять через нього мережевих пакетів, тобто за допомогою аналізу вмісту пакета за сукупністю критеріїв на основі заданих правил і

прийняття рішення про його подальшому поширенні в (з) АС Таким обра-зом, МЕ реалізує розмежування доступу субєктів з однієї АС до обєктів другий АС Кожне правило забороняє або дозволяє передачу інформації

певного типу між субєктами та обєктами Як наслідок, субєкти однієї АС отримують доступ тільки до дозволених інформаційним обєктах-там інший АС Інтерпретація набору правил виконується послідовно-

стю фільтрів, які дозволяють або забороняють передачу даних (паку-тов) на наступний фільтр МЕ або один з його компонентів, функціонує-ючий вищеописаним чином, називають пакетним фільтром

Пакетний фільтр функціонує на мережевому рівні моделі OSI (мал 32) Значущою для функціонування пакетного фільтра інформацією є:

– IP-адреса відправника

– IP-адреса одержувача

– Тип протоколу (TCP, UDP, ICMP)

– Порт відправника (для TCP, UDP)

– Порт одержувача (для TCP, UDP)

– Тип повідомлення (для ICMP) а іноді й інша інформація (наприклад,

час доби, день тижня і тд)

Рис 32 Місце пакетного фільтра в моделі OSI

В англомовній літературі розглянутий компонент МЕ найчастіше позначають терміном «stateless packet filter» або просто «packet filter» Дан-ні системи прості у використанні, дешеві, надають мінімальний вплив на продуктивність АС Основним недоліком є ​​їх уяз-вімость при атаці, званої IP-спуфинг – фальсифікації адрес отпра-ставника повідомлень Крім того, вони складні при конфігуруванні: для їх установки потрібно знання мережевих, транспортних і прикладних протоколів

Інший варіант алгоритму функціонування МЕ передбачає, що захист АС забезпечується за допомогою екрануючого агента, який про-вірячи допустимість отриманого запиту субєкта до обєкта, при поклади- тельном результаті цієї перевірки встановлює своє зєднання з обєктом, а потім забезпечує пересилку інформації між субєктом і обєктом взаємодії, здійснюючи контроль та / або реєстрацію У той же час у разі «прозорих» агентів субєкту здається, що він безпосередньо взаємодіє з обєктом Використання екрануючих агентів позволя-ет забезпечити додаткову захисну функцію – приховування істинного субєкта взаємодії

Виділяють два види екранують агентів залежно від того, на якому рівні моделі OSI вони виконують свої функції (рис 33): екранування рующий транспорт і екрануючий шлюз

(А) (б)

Рис 33 Місце екрануючого агента в моделі OSI:

(А) – екрануючий транспорт (Б) – екрануючий шлюз

Екрануючий транспорт або шлюз сеансового рівня (в англомовній літературі використовується термін «circuit-level gateway») контролює допус-тимость встановлюваного зєднання, бере участь у формуванні каналу пе-редачі даних і не дозволяє проходити пакетам, що не відносяться до доз-шенним сеансу звязку Функціонування даного компонента повязане лише з сесіями протоколу TCP Так як за посередництва шлюз сеансового рівня аналізує інформацію, що міститься лише в заголовках протоко-ла TCP без будь-якого припущення про використаний прикладному прото-колі, то існує вразливість, яка полягає в тому, що в рамках доз-шенного встановленого зєднання додаток може здійснювати пере-дачу довільних неконтрольованих даних Як правило, вищеописаний компонент використовується лише в поєднанні з іншими, а не окремо

Більш надійний захист забезпечує екрануючий шлюз або шлюз прикладного рівня (в англомовній літературі використовується термін «appli-

cation-level gateway »або« application proxy »), так як він перевіряє місти-

моє кожного проходить через шлюз пакета на прикладному рівні, де для аналізу доступні службові поля заголовка прикладного протоколу та ін-

формація користувача Прикладний шлюз являє собою програму-

посередник (в англомовній літературі використовується термін «proxy server»),

розроблену для конкретного сервісу мережі Інтернет Отже, при впровадженні сервісів, заснованих на нових прикладних протоколах, зявляється-ся необхідність у розробці нових програм-посередників

Подальший розвиток різних технологій міжмережевого екранування ня та їх взаємопроникнення призвело до появи гібридних компонентів МЕ, що поєднують в собі переваги всіх трьох раніше розглянутих компо-

нентов та позбавлених деяких їхніх недоліків Такі системи, найчастіше на-зване МЕ експертного рівня (в англомовній літературі використовуються терміни «stateful inspection firewall» або «deep packet inspection firewall »), функціонують на всіх рівнях моделі OSI: від мережевого до прикладного включно (рис 34) Вони володіють високими показниками по вироб-дітельності функціонування (пакетний фільтр) і по забезпечуваному рівню безпеки (шлюз прикладного рівня)

Рис 34 Місце МЕ експертного рівня в моделі OSI

Перші реалізації таких компонентів, звані пакетними фильт-рами з динамічною фільтрацією (dynamic packet filter), що не функционирова-ли на рівнях вище сеансового Їх відмінність від простого пакетного фільтра полягало в тому, що останній приймає рішення про фільтрації трафіку на основі аналізу інформації, що міститься тільки в поточному пакеті без ка-кой-небудь логічного звязку з попередніми обробленими пакетами, в той час як при динамічній фільтрації враховується контекст встановлений-них або встановлюваних зєднань

Інспекційний модуль пізніших реалізацій МЕ експертного рівня має доступ до всього вмісту пакета і може аналізувати

службові поля заголовків протоколів всіх рівнів моделі OSI (у тому числі прикладного) і призначені для користувача дані На додаток до цього інспекційна-ний модуль заносить в динамічно створювану таблицю стану звязків

всю інформацію про мережевих зєднаннях, але, на відміну від шлюзу сеансового рівня, створює записи віртуальних сполук як для протоколу TCP, так і для протоколу UDP Інспекційний модуль МЕ експертного рівня загру-

жается в ядро ​​операційної системи і розташовується між канальним і се-тевим рівнями моделі OSI, що забезпечує обробку всього вхідного і вихідного трафіку на всіх мережевих інтерфейсах системи

Особливість функціонування МЕ експертного рівня полягає в тому, що він не робить посередницьких послуг мережевої взаємодії на Сеан-совом і прикладному рівнях моделі OSI Замість цього він використовує специфічні технології розпізнавання допустимих зєднань (у тому числі з динамічно призначаються номерами портів) і поліпшені алгоритми про-ництва даних рівня додатки

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*