Записи с меткой ‘фильтрации’

СТРОИМ СЕТЬ, КОТОРАЯ НАМ НЕОБХОДИМА

PF, подсистема пакетного фильтра (Packet Filter) OpenBSD – один из лучших инструментов доступных для надёжного контроля вашей сети. Прежде чем погрузиться в особенности того, как настроить сеть на пределе ваших  мечтаний, ознакомьтесь с этой главой. Она рассматривает базовые сетевые термины и понятия, предоставляет некоторые данные из истории развития PF, а так же даёт краткий обзор того, что вы можете найти в этой книге.

Продолжение …

Брандмауэр в случае моста

                                                      Ethernet   мост  состоит  из   двух  или  более  интерфейсов   сконфигурированных  в соответствии Ethernet фреймами прозрачно, и  которые  видимы не напрямую, а через несколько верхних слоев, таких как TCP/IP стек. В контексте фильтрации, конфигурация моста часто считают  привлекательной, поскольку это означает, что фильтрация может быть  выполнена на машине, которая не имеет своего собственного IP адреса. Если  на машине, о которой идет речь, запущена OpenBSD или столь же способная операционная

Продолжение …

Фильтрация по группам интерфейсов

                                     Ваша   сеть  должно  быть  имеет  несколько  подсетей,  которые  могут   никогда  не взаимодействовать с вашей локальной сетью за исключением нескольких общих сервисов, таких как почта, веб, файловый и печать. Как  вы  справляетесь с трафиком из таких подсетей  зависит  от  того,  для  чего  ваша  сеть  предназначена.  Одним  из  полезных подходов относится к каждой менее привилегированной сети как к отдельной локальной сети, к которой  привязан свой отдельный интерфейс на общем фильтрующем шлюзе, а затем   дать   ему   набор   правил,   который   позволяет   только   нужные   направления

Продолжение …

Пример реализации политики МЭ

Для иллюстрации возможностей технологий межсетевого экранирова- ния рассмотрим два различных варианта решения следующей задачи. Пусть согласно политике безопасности некоторой организации для пользователей защищаемой сети необходимо обеспечить только сервис электронной почты, т. е. МЭ должен обеспечивать прохождение только почтового трафика между любым внутренним клиентом и определенным почтовым сервером во внеш- ней сети по протоколам SMTP и POP3.

Продолжение …

Пользовательский интерфейс программы

ВЫПОЛНИТЬ!

5.  В командной строке сеанса MS-DOS для очистки кэша протокола ARP вы- полните команду arp -d. В Ethereal для запуска процесса захвата нажми- те    кнопку    «Capture».    В    командной    строке    выполните    команду ping <имя_сервера> (в качестве параметра команды можно использо- вать IP-адрес сервера). По завершении команды Ping  остановите захват, нажав кнопку «Stop».

Продолжение …

Применение МЭ на основе фильтрующего маршрутизатора

Пусть для защиты внутренней сети используется схема МЭ на основе фильтрующего маршрутизатора со статическим фильтром и необходимо пре- доставить всем клиентам внутренней сети только лишь web-сервис (рис. 3.14).

Продолжение …

Основы фильтрации пакетов и контроль за состоянием соединения FreeBSD

Вспомним из главы 6, что соединение TCP может пребывать в различных состояниях. Оно может быть открытым, открываться, закрываться и т. д. Например, пытаясь открыть соединение, клиент посылает серверу пакет SYN, запрашивая синхронизацию. Если сервер ожидает получение запросов на соединение, в ответ он посылает клиенту пакет SYN-ACK, что означает следующее: «Я получил ваш запрос на соединение. Вот базовая информация для установления соединения». Клиент подтверждает прием информации, отвечая пакетом АСК, что означает: «Я получил и подтверждаю вашу информацию о соединении». Каждая часть процесса «тройного рукопожатия» должна быть выполнена, чтобы соединение было действительно установлено. Правила фильтрации пакетов должны разрешать каждую часть «тройного рукопожатия», а также саму передачу данных. Разрешение на получение входящих запросов соединений бесполезно, если правила фильтрации пакетов не позволяют отправить обратно уведомление.

Продолжение …

Управление трафиком

Системный администратор должен уметь управлять входящим и исходящим трафиком, чтобы не подпускать к системе незваных гостей. FreeBSD предоставляет множество инструментов, позволяющих управлять доступом к системе, осуществляемым из внешнего мира. Здесь внимание будет сосредоточено на TCP-wrappers и фильтрации пакетов – двух популярных методов управления доступом.

Продолжение …

Фильтрация пакетов FreeBSD

Инструменты FreeBSD для фильтрации пакетов на уровне ядра используются, когда необходимо управлять доступом к сетевым приложениям, не поддерживающим TCP Wrappers, или когда требуется нечто, превосходящее TCP Wrappers по своим возможностям. Если вам

потребовался фильтр пакетов, то лучше полностью заменить им реализацию TCP Wrappers. Применение двух инструментов на одном компьютере будет просто запутывать вас.

Продолжение …