Применение МЭ на основе фильтрующего маршрутизатора

Пусть для защиты внутренней сети используется схема МЭ на основе фильтрующего маршрутизатора со статическим фильтром и необходимо пре- доставить всем клиентам внутренней сети только лишь web-сервис (рис. 3.14).

Рис. 3.14. Схема информационного обмена по условию задачи

В качестве статического фильтра пакетов используется программа Win- Route на узле «FW-W98». Запуск программы происходит автоматически при загрузке ОС. Конфигурирование параметров функционирования фильтра, т. е. определение правил фильтрации, производится в диалоговом окне «Packet Fil- ter», которое изображено на рис. 3.15.

На вкладках «Incoming» и «Outgoing» диалогового окна добавляются новые  (Add…), редактируются (Edit…) и  удаляются (Remove) имеющиеся правила фильтрации каждого сетевого интерфейса, присутствующего в систе-

ме для входящих и исходящих сетевых пакетов соответственно. Изменить по- рядок применения правил к обрабатываемым пакетам можно с помощью кно- пок «Вверх» и «Вниз», находящихся в правой части диалогового окна. Для вступления правил фильтрации в силу следует использовать кнопку «Приме- нить». В системе, как изображено на рис. 3.15, присутствуют два сетевых адаптера: первый, называемый «In  AMD PCNET Family Ethernet Adapter», подключен к внутренней сети, второй, называемый «Out AMD PCNET Family Ethernet Adapter», подключен к внешней сети.

Рис. 3.15. Окно настройки фильтра пакетов

Следует учесть, что в статическом фильтре для каждого направления се- тевого взаимодействия в рамках того или иного сервиса правила фильтрации, разрешающие прохождение сетевых пакетов через маршрутизатор, необходи- мо определять, как минимум, два раза. Например, при взаимодействии клиен- та с сервером прохождение пакетов клиента внутренней сети к внешнему сер- веру определяется разрешающими правилами в последовательности: входя- щее для внутреннего сетевого адаптера, затем исходящее для внешнего сете- вого адаптера, а прохождение обратных пакетов — в последовательности: входящее для внешнего сетевого адаптера, затем исходящее для внутреннего сетевого адаптера.

Необходимость задания разрешающих правил одновременно для двух сетевых интерфейсов поясним следующим примером. Пусть по условиям не- которой задачи необходимо предоставить клиентам внутренней сети какой-

либо сервис. Решить поставленную задачу можно несколькими способами, определяя правила фильтрации пакетов для одного из интерфейсов или для двух одновременно, но только последний из них надлежащим образом обес- печит защиту самого МЭ от атак из внешней и внутренней сети (рис. 3.16).

(а)

(б)

(в)

Рис. 3.16. Варианты определения правил фильтрации для интерфейсов МЭ: (а) — явная угроза со стороны внутренней сети; (б) — явная угроза со стороны внешней сети; (в) — явная угроза со стороны сетей отсутствует

Создание или редактирование правил фильтрации производится в диа- логовом окне, изображенном на рис. 3.17. В общем случае для правила опре- деляются: протокол (Protocol), адреса и порты отправителя (Source) и получа- теля (Destination), а также действие (Action), которое выполняется над паке- том, удовлетворяющим заданным критериям фильтрации. В зависимости от типа протокола некоторые поля могут отсутствовать, а присутствовать допол- нительные  критерии  фильтрации.  Например,  для  протокола  IP  не  имеют

смысла значения портов отправителя и получателя, а для протокола ICMP имеется возможность фильтрации по типу сообщения. Возможное действие над пакетом определяется на панели «Action» следующим образом: разрешить (Permit), отбросить (Drop), запретить с извещением отправителя об ошибке (Deny). На панели «Log Packet» определяется режим регистрации событий при обработке пакета.

Рис. 3.17. Окно определения правила фильтрации

На рис. 3.17 изображены критерии фильтрации для правила, разрешаю- щего прохождение пакетов любого клиента внутренней сети к внешнему web- серверу c адресом 10.0.0.5 в любое время суток.

ВЫПОЛНИТЬ!

8.   Запустить приложение администрирования WinRoute c помощью пункта

«WinRoute Administration…» контекстного меню иконки программы на панели задач, подключившись к «LocalHost» как пользователь Admin с

пустым паролем.

9.   Через меню Settings ? Advanced ? Packet Filter… вызвать диалоговое

окно управления таблицей фильтрации пакетов.

10. Создать необходимые правила для разрешения web-сервиса  внутренним пользователям и  правило,  запрещающее все  остальное  (для  этой  цели

можно использовать последнюю строку «Any interface»).

11. Проверить правильность функционирования МЭ.

Для приобретения навыков администрирования пакетного фильтра са-

мостоятельно выполните следующие задачи.

Задача 1. Необходимо ограничить пользователя компьютера «PC» в ис-

пользовании  web-сервиса  так,  чтобы  он  мог  работать  только  с  сервером

«OUT2» (рис. 3.18). Обратите внимание на правильную последовательность определения правил фильтрации.

Рис. 3.18. Схема информационного обмена по условию задачи № 1

Задача  2.  При  начальных условиях  предыдущей задачи  необходимо предоставить внутренним пользователям возможность использования коман- ды Ping для проверки доступности внешних узлов, но исключить такую воз- можность для внешних узлов при сканировании узлов защищаемой сети (рис.

3.19).

Рис. 3.19. Схема информационного обмена по условию задачи № 2

Задача  3.  При  начальных условиях  предыдущей задачи  необходимо предоставить всем клиентам внутренней сети FTP-сервис (рис. 3.20). Учтите, что на рис. 3.20 показан типовой обмен клиента и FTP-сервера, а программа E-Serv, установленная на виртуальных компьютерах, инициализирует переда- чу данных не с порта 20, а с порта >1024.

Рис. 3.20. Схема информационного обмена по условию задачи № 3

Задача 4. При начальных условиях предыдущей задачи необходимо ог- раничить пользователя компьютера «IN» в использовании FTP-сервиса так, чтобы он мог работать только с сервером «OUT2» (рис. 3.21).

Рис. 3.21. Схема информационного обмена по условию задачи № 4

Задача  5.  При  начальных условиях  предыдущей задачи  необходимо предоставить  пользователю  компьютера  «IN»  сервис  электронной  почты (рис. 3.22). На компьютере «IN» приложение Outlook Express настроено на почтовый ящик c адресом «U1@mail.ru» на сервере «OUT1». Выемка почто- вой корреспонденции осуществляется по протоколу POP3. Произведите от- правку электронного сообщения от имени пользователя U1 самому себе.

Рис. 3.22. Схема информационного обмена по условию задачи № 5

Задача  6.  При  начальных условиях  предыдущей задачи  необходимо предоставить пользователю внешнего узла «OUT1» возможность работы с внутренним web-сервером «IN» (рис. 3.23).

Рис. 3.23. Схема информационного обмена по условию задачи № 6

Задача  7.  При  начальных условиях  предыдущей задачи  необходимо предоставить пользователю внешнего узла «OUT2» возможность работы с внутренним FTP сервером «IN» (рис. 3.24).

Рис. 3.24. Схема информационного обмена по условию задачи № 7

Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий