Главная » Безопасность » Защита8 » Брандмауэры с фильтрацией пакетов

Брандмауэры с фильтрацией пакетов

 

Пакетная фильтрация одно из самых старых и распространенных средств управления доступом к сети. Все без исключения брандмауэры умеют фильтровать трафик. Идея: установить, разрешено ли данному пакету входить в сеть или выходить из нее.

Брандмауэр с фильтрацией пакетов представляет собой маршрутизатор или работающую на сервере программу, сконфигурированные таким образом, чтобы фильтровать входящие и исходящие пакеты. Брандмауэр пропускает или отбраковывает пакеты в соответствии с информацией, содержащейся в IP-заголовках пакетов. Например, большинство брандмауэров с фильтрацией пакетов может пропускать или отбраковывать пакеты на основе информации, позволяющей ассоциировать данный пакет с конкретными отправителем и получателем (полной ассоциации), которая состоит из следующих элементов:

— адреса отправителя;
— адреса получателя;
— информации о приложении или протоколе;
— номера порта источника;
— номера порта получателя.

Все маршрутизаторы (даже те, которые не сконфигурированы для фильтрации пакетов), обычно проверяют полную ассоциацию пакета, чтобы определить, куда его нужно направить. Брандмауэр с фильтрацией пакетов, кроме того, перед отправкой пакета получателю сравнивает его полную ассоциацию с таблицей правил, в соответствии, с которыми он должен пропустить или отбраковать данный пакет. Брандмауэр продолжает проверку до тех пор, пока не найдет правила, с которым согласуется полная ассоциация пакета.

Если брандмауэр получил пакет, не соответствующий ни одному из табличных правил, он применяет правило, заданное по умолчанию, которое также должно быть четко определено в таблице брандмауэра. Из соображений безопасности это правило обычно указывает на необходимость отбраковки всех пакетов, не удовлетворяющих ни одному из других правил.

 

 

Можно задать правила фильтрации пакетов, которые будут «указывать» брандмауэру, какие пакеты должны быть пропущены, а какие отбракованы. Например, можно определить правила таким образом, чтобы брандмауэр отбраковывал пакеты, поступающие от внешних серверов (их обычно называют Internet-хостами — razgovorodele.ru), IP-адреса которых указаны в таблице. Можно также задать правило, в соответствии с которым будет разрешено пропускать только входящие сообщения электронной почты, адресованные почтовому серверу, или правило блокировки всех почтовых сообщений, поступающих от внешнего хоста, который когда-то «наводнил» вашу сеть гигабайтами ненужных данных.

Кроме того, можно сконфигурировать брандмауэр для фильтрации пакетов на основе номеров портов, задаваемых в заголовках пакетов TCP и UDP (User Datagram Protocol). В этом случае можно будет пропускать отдельные виды пакетов (например, Telnet или FTP), только если они направляются к определенным серверам (соответственно к Telnet или FTP). Однако успешное выполнение подобного правила зависит от того, какие соглашения приняты в сети, функционирующей па основе TCP/IP: для работы приложений TCP/IP серверы и клиенты обычно используют конкретные порты (которые часто называют известными, т.е. заранее определенными), однако это не является обязательным условием.

Например, приложение Telnet на серверах сети с TCP/IP обычно работает через порт 23. Чтобы разрешить сеансы Telnet только с определенным сервером, необходимо задать правила, одно из которых «заставит» брандмауэр пропускать все пакеты, запрашивающие порт 23 по адресу 123.45.6.7 (IP-адрес сервера Telnet — razgovorodele.ru), а другое — отбраковывать входящие пакеты, запрашивающие этот порт по другим адресам. Конечно, реальные правила создавать намного сложнее, чем описано выше. Более сложные примеры можно найти, например, в правилах конфигурирования марпфутизаторов компании «Cisco», которые доступны в Internet.

Преимущества брандмауэров с фильтрацией пакетов:

— относительно невысокая стоимость;
— небольшая задержка при прохождении пакетов.

Недостатки брандмауэров с фильтрацией пакетов:

— локальная сеть видна (маршрутизируется) из Интернет;
— правила фильтрации довольно трудны в описании, поэтому требуются очень хорошие знания технологий TCP и UDP;
— отсутствует аутентификация на пользовательском уровне;
— аутентификацию с использованием IP-адреса можно обмануть при помощи IP-спуфинга, когда атакующая система выдает себя за другую, используя ее IP-адрес.

Оставить комментарий