Пример реализации политики МЭ

Для иллюстрации возможностей технологий межсетевого экранирова- ния рассмотрим два различных варианта решения следующей задачи. Пусть согласно политике безопасности некоторой организации для пользователей защищаемой сети необходимо обеспечить только сервис электронной почты, т. е. МЭ должен обеспечивать прохождение только почтового трафика между любым внутренним клиентом и определенным почтовым сервером во внеш- ней сети по протоколам SMTP и POP3.

Первый вариант решения задачи — использование схемы МЭ на основе двудомного узла, соединяющего внутреннюю и внешнюю сети. На этом узле,

выполняющем функции прокси-сервера, отключается служба маршрутизации пакетов  и  устанавливается  шлюз  прикладного  уровня,  обеспечивающий функционирование только протоколов электронной почты. Программы почто-

вых клиентов на узлах внутренней сети настраиваются на работу с внешним почтовым сервером через данный прокси-сервер, при этом в их настройках указывается адрес внутреннего сетевого интерфейса двудомного узла. Схема

информационного обмена между клиентом и сервером изображена на рис. 3.9. Сверху и снизу на рисунке стрелками показаны схемы обмена пакетами кли- ента и сервера при отправке почтовых сообщений и выемке почтовой коррес- понденции соответственно. На рисунке цифрами изображены номера портов

источника и назначения при использовании протоколов SMTP и POP3 (порты

25 и 110 прокси-сервера в реальной ситуации могут быть другими). Так как служба маршрутизации на двудомном узле отключена, то кроме пакетов, изо-

браженных на схеме информационного обмена, никакие другие сетевые паке-

ты через него проходить не будут.

Рис. 3.9. Схема информационного обмена при использовании двудомного узла

Заметим, что некоторые прокси-серверы позволяют определить списки:

?    пользователей (адресов внутренних узлов), которым (с которых) разре-

шается использование сервиса электронной почты;

?    адресов внешних серверов, к которым разрешено подключение внут-

ренних клиентов.

Второй вариант решения задачи — использование схемы МЭ на основе фильтрующего маршрутизатора. Соответствующая поставленной задаче схема

информационного  обмена   между   клиентом   и   сервером   изображена  на рис. 3.10.

Рис. 3.10. Схема информационного обмена

при использовании фильтрующего маршрутизатора

Для  пакетного  фильтра  определяются  правила  фильтрации  пакетов, проходящих через сетевые интерфейсы 1 и 2, подключенные к внутренней и внешней сети соответственно. При описании правил фильтрации составляется таблица, обычно содержащая следующие поля: «Номер правила» (нумерация ведется  буквами  латинского  алфавита),  «Направление»  (вход  или  выход),

«Протокол» (тип пакета), «Адрес источника», «Порт источника», «Адрес по-

лучателя», «Порт получателя», «Действие» (разрешить, запретить, игнориро-

вать). Для ICMP-пакетов вместо полей «Порт источника/назначения» исполь-

зуется поле «Тип ICMP-сообщения».

В  случае использования статического пакетного фильтра для  каждо- го сетевого  интерфейса  разрабатывается  своя  таблица  правил  фильтрации (табл.  3.1  и  табл.  3.2).  Слова  «Клиенты» и  «Сервер» в  реальной таблице фильтрации заменяются диапазоном IP-адресов клиентов и IP-адресом внеш- него почтового сервера соответственно. В столбце «Направление» указывает- ся направление сетевого пакета по отношению к МЭ. Так, направление паке- тов, поступающих в МЭ, обозначается словом «Вход», а для пакетов, исходя- щих из МЭ, применяется слово «Выход». Символ «*» обозначает «любой».

Правила фильтрации пакетов для интерфейса 1

Таблица 3.1.

Прави-

ло

Направ-

ление

Прото-

кол

Адрес

источ-

ника

Порт

источни-

ка

Адрес

назначе-

ния

Порт

назначе-

ния

Действие

А

Вход

TCP

Клиенты

>1024

Сервер

25

Разрешить

В

Выход

TCP

Сервер

25

Клиенты

>1024

Разрешить

С

Вход

TCP

Клиенты

>1024

Сервер

110

Разрешить

D

Выход

TCP

Сервер

110

Клиенты

>1024

Разрешить

E

*

*

*

*

*

*

Запретить

Правила фильтрации пакетов для интерфейса 2

Таблица 3.2.

Прави-

ло

Направ-

ление

Прото-

кол

Адрес

источ-

ника

Порт

источни-

ка

Адрес

назначе-

ния

Порт

назначе-

ния

Действие

А

Выход

TCP

Клиенты

>1024

Сервер

25

Разрешить

В

Вход

TCP

Сервер

25

Клиенты

>1024

Разрешить

С

Выход

TCP

Клиенты

>1024

Сервер

110

Разрешить

D

Вход

TCP

Сервер

110

Клиенты

>1024

Разрешить

E

*

*

*

*

*

*

Запретить

В простейшем случае правила фильтрации для разных сетевых интер- фейсов (табл. 3.1 и табл. 3.2) отличаются лишь значением поля «Направле- ние». Правила A и B обеих таблиц разрешают отправку клиентами почтовых сообщений, правила C и D разрешают выемку клиентами почтовой коррес- понденции, правила E запрещают прохождение любого трафика через сетевые интерфейсы.

В случае использования в фильтрующем маршрутизаторе программного обеспечения динамического фильтра таблицы фильтрации пакетов для каждо- го  сетевого  интерфейса  заменяются  одной,  относящейся  к  МЭ  в  целом (табл. 3.3).

Правила фильтрации пакетов динамического фильтра

Таблица 3.3.

Правило

Адрес

источника

Адрес

назначения

Сервис

Действие

A

Клиенты

Сервер

SMTP (порт 25)

Разрешить

B

Клиенты

Сервер

POP3 (порт 110)

Разрешить

C

*

*

*

Запретить

Правила A и B табл. 3.3 разрешают прохождение запросов на установле- ние соединения от внутренних клиентов к почтовому серверу, поэтому все по- следующие пакеты, принадлежащие разрешенному соединению, будут бес- препятственно проходить через динамический фильтр. Правило C запрещает прохождение любого трафика через сетевые интерфейсы маршрутизатора.

Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий