Компоненты межсетевого экрана

В общем случае алгоритм функционирования МЭ сводится к выполне- нию двух групп функций, одна из которых ограничивает перемещение данных (фильтрация информационных потоков), а вторая, наоборот, ему способствует (посредничество в межсетевом взаимодействии). Следует отметить, что вы- полнение МЭ указанных групп функций может осуществляться на разных уровнях модели OSI. Принято считать, что чем выше уровень модели OSI, на котором МЭ обрабатывает пакеты, тем выше обеспечиваемый им уровень за- щиты.

Как отмечено выше, МЭ может обеспечивать защиту АС за счет фильт-

рации проходящих через него сетевых пакетов, то есть посредством анализа содержимого пакета по совокупности критериев на основе заданных правил и

принятия решения о его дальнейшем распространении в (из) АС. Таким обра- зом, МЭ реализует разграничение доступа субъектов из одной АС к объектам другой АС. Каждое правило запрещает или разрешает передачу информации

определенного типа между субъектами и объектами. Как следствие, субъекты одной АС получают доступ только к разрешенным информационным объек- там другой АС. Интерпретация набора правил выполняется последовательно-

стью фильтров, которые разрешают или запрещают передачу данных (паке- тов) на следующий фильтр. МЭ или один из его компонентов, функциони- рующий вышеописанным образом, называют пакетным фильтром.

Пакетный  фильтр  функционирует  на  сетевом  уровне  модели  OSI (рис. 3.2). Значимой для функционирования пакетного фильтра информацией является:

?    IP-адрес отправителя;

?    IP-адрес получателя;

?    тип протокола (TCP, UDP, ICMP);

?    порт отправителя (для TCP, UDP);

?    порт получателя (для TCP, UDP);

?    тип сообщения (для ICMP); а иногда и другая информация (например,

время суток, день недели и т.д.).

Рис. 3.2. Место пакетного фильтра в модели OSI

В англоязычной литературе рассмотренный компонент МЭ чаще всего обозначают термином  «stateless packet filter» или просто «packet filter». Дан- ные  системы  просты  в  использовании,  дешевы,  оказывают  минимальное влияние на производительность АС. Основным недостатком является их уяз- вимость при атаке, называемой IP-спуфинг — фальсификации адресов отпра- вителя сообщений. Кроме того, они сложны при конфигурировании: для их установки требуется знание сетевых, транспортных и прикладных протоколов.

Другой  вариант алгоритма функционирования МЭ  предполагает, что защита АС обеспечивается с помощью экранирующего агента, который про- веряет допустимость полученного запроса субъекта к объекту, при положи- тельном результате этой проверки устанавливает свое соединение с объектом, а  затем обеспечивает пересылку информации между субъектом и объектом взаимодействия, осуществляя контроль и/или регистрацию. В то же время в случае  «прозрачных»  агентов  субъекту  кажется,  что  он  непосредственно взаимодействует с объектом. Использование экранирующих агентов позволя- ет обеспечить дополнительную защитную функцию — сокрытие истинного субъекта взаимодействия.

Выделяют два вида экранирующих агентов в зависимости от того, на каком уровне модели OSI они выполняют свои функции (рис. 3.3): экрани- рующий транспорт и экранирующий шлюз.

(а)                                                                                (б)

Рис. 3.3. Место экранирующего агента в модели OSI:

(а) — экранирующий транспорт; (б) — экранирующий шлюз

Экранирующий транспорт или шлюз сеансового уровня (в англоязычной литературе используется термин «circuit-level gateway») контролирует допус- тимость устанавливаемого соединения, участвует в формировании канала пе- редачи данных и не позволяет проходить пакетам, не относящимся к разре- шенным сеансам связи. Функционирование данного компонента связано лишь с  сессиями протокола TCP. Так как при посредничестве шлюз сеансового уровня анализирует информацию, содержащуюся лишь в заголовках протоко- ла TCP без какого-либо предположения об используемом прикладном прото- коле, то существует уязвимость, заключающаяся в том, что в рамках разре- шенного установленного соединения приложение может осуществлять пере- дачу произвольных неконтролируемых данных. Как правило, вышеописанный компонент используется лишь в сочетании с другими, а не отдельно.

Более надежную защиту обеспечивает экранирующий шлюз или  шлюз прикладного уровня (в англоязычной литературе используется термин «appli-

cation-level gateway» или «application proxy»), так как он проверяет содержи-

мое каждого проходящего через шлюз пакета на прикладном уровне, где для анализа доступны служебные поля заголовка прикладного протокола и ин-

формация пользователя. Прикладной шлюз представляет собой программу-

посредник (в англоязычной литературе используется термин «proxy server»),

разработанную для конкретного сервиса сети Интернет. Следовательно, при внедрении сервисов, основанных на новых прикладных протоколах, появляет- ся необходимость в разработке новых программ-посредников.

Дальнейшее развитие различных технологий межсетевого экранирова- ния и их взаимопроникновение привело к появлению гибридных компонентов МЭ, сочетающих в себе достоинства всех трех ранее рассмотренных компо-

нентов и лишенных некоторых их недостатков. Такие системы, чаще всего на- зываемые МЭ экспертного уровня (в англоязычной литературе используются термины «stateful inspection firewall» или «deep packet inspection firewall»), функционируют на всех уровнях модели OSI: от сетевого до прикладного включительно (рис. 3.4). Они обладают высокими показателями по  произво- дительности  функционирования (пакетный  фильтр)  и  по  обеспечиваемому уровню безопасности (шлюз прикладного уровня).

Рис. 3.4. Место МЭ экспертного уровня в модели OSI

Первые реализации таких компонентов, называемые пакетными фильт- рами с динамической фильтрацией (dynamic packet filter), не функционирова- ли на уровнях выше сеансового. Их отличие от простого пакетного фильтра состояло в том, что последний принимает решение о фильтрации трафика на основе анализа информации, содержащейся только в текущем пакете без ка- кой-либо логической связи с предыдущими обработанными пакетами, в то время как при динамической фильтрации учитывается контекст установлен- ных или устанавливаемых соединений.

Инспекционный  модуль  более  поздних  реализаций  МЭ  экспертного уровня имеет доступ ко всему содержимому пакета и может анализировать

служебные поля заголовков протоколов всех уровней модели OSI (в том числе прикладного) и пользовательские данные. В дополнение к этому инспекцион- ный модуль заносит в динамически создаваемую таблицу состояния связей

всю информацию о сетевых соединениях, но, в отличие от шлюза сеансового уровня, создает записи виртуальных соединений как для протокола TCP, так и для протокола  UDP. Инспекционный модуль МЭ экспертного уровня загру-

жается в ядро операционной системы и располагается между канальным и се- тевым уровнями модели OSI, что обеспечивает обработку всего входящего и исходящего трафика на всех сетевых интерфейсах системы.

Особенность функционирования МЭ экспертного уровня состоит в том, что он не оказывает посреднических услуг сетевого взаимодействия на сеан- совом и прикладном уровнях модели OSI. Вместо этого он использует специ- фические технологии распознавания допустимых соединений (в том числе с динамически назначаемыми номерами портов) и улучшенные алгоритмы об- работки данных уровня приложения.

Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий