Читайте также: |
|
Фильтрация пакетов IP обычно производится маршрутизатором, допускающим фильтрацию пакетов по мере их передачи между интерфейсами маршрутизатора. Маршрутизатор с фильтрацией пакетов обычно может фильтровать пакеты IP, в которых присутствуют следующие поля: адрес источника IP, адрес приемника IP, порт источника TCP/UDP, порт приемника TCP/UDP.
Существует множество способов использования фильтрующих маршрутизаторов для блокирования соединения с определенными хостами или сетями, или с определенными портами. Например, можно блокировать соединения, идущие от конкретных адресов, например, от хостов или сетей, которые считаются враждебными или ненадежными. Может возникнуть потребность блокировать соединения со всеми внешними по отношению к сети адресами (за некоторыми исключениями, как в случае протокола SMTP при получении электронной почты).
Добавлением фильтрации портов TCP и UDP к фильтрации адресов IP достигается большая гибкость. Как уже отмечалось, такие серверы как демон TELNET обычно находятся в определенных портах, как, например, в порте 23 протокола TELNET. Если Firewall может блокировать соединения TCP или UDP с определенными портами или от них, то можно реализовать политику, требующую, чтобы некоторые типы соединений устанавливались только с определенными хостами. Например, сеть может блокировать все входные соединения со всеми хостами за исключением нескольких систем. В этих системах можно, например, разрешить только определенные службы типа SMTP для одной системы и соединения TELNET и FTP с другой. Эта политика может быть реализована непосредственно фильтрующим маршрутизатором или хостом, обладающим возможностью фильтрации пакетов.
В качестве примера фильтрации пакетов рассмотрим политику, допускающую только определенные соединения с хостами, адреса которых подходят под шаблон 123.4.*.*. Соединения TELNET будут разрешаться только с одним хостом - 123.4.5.6, который может быть прикладным шлюзом TELNET, а соединения SMTP будут разрешены с двумя хостами - 123.4.5.7 и 123.4.5.8, которые могут быть шлюзами электронной почты. Обмен по NNTP (Network News Transfer Protocol) разрешается только с системой загрузки объекта NNTP, 129.6.48.254, и только с сервером NNTP, 123.4.5.9, a NTP (Network Time Protocol) разрешается со всеми хостами. Все остальные службы и пакеты должны блокироваться. Приведем соответствующий набор правил (см. таблицу 1):
Таблица 1.
Тип | Адрес источника | Адрес приемника | Порт источника | Порт приемника | Действие |
TCP | * | 123.4.5.6 | >1023 | Разрешить | |
TCP | * | 123.4.5.7 | >1023 | Разрешить | |
TCP | * | 123.4.5.8 | >1023 | Разрешить | |
TCP | 129.6.48.254 | 123.4.5.9 | >1023 | Разрешить | |
UDP | * | 123.4.*.* | >1023 | Разрешить | |
* | * | * | * | * | Запретить |
Первое правило разрешает передачу пакетов TCP из любого источника с номером порта большим чем 1023 к приемнику с адресом 123.4.5.6 в порт 23. Порт 23 связан с сервером TELNET, а все клиенты TELNET должны иметь непривилегированные порты с номерами не ниже 1024. Второе и третье правила работают аналогичным образом и разрешают передачу пакетов к приемникам с адресами 123.4.5.7 и 123.4.5.8 в порт 25, используемый SMTP. Четвертое правило пропускает пакеты к серверу NNTP сети, но только от источника с адресом 129.6.48.254 к приемнику с адресом 123.4.5.9 и в порт 119 (129.6.48.254 - это единственный сервер NNTP, от которого объект должен получать информацию, таким образом, доступ к объекту для выполнения NNTP возможен только для этой системы). Согласно пятому правилу, допускается трафик NTP, использующий UDP вместо TCP, от любого источника к любому приемнику объекта. И, наконец, шестое правило запрещает передачу всех остальных пакетов - если бы этого правила не было, маршрутизатор мог бы запретить передачу всех последующих пакетов. Этот пример отражает только суть фильтрации пакетов. Правила, используемые в действительности, допускают более сложные правила фильтрации и обладают большей гибкостью.
Решение о том, фильтровать ли определенные протоколы и адреса, зависит от принятой политики доступа. Следующие службы являются заведомо уязвимыми и, как правило, Firewall блокирует доступ к ним:
- tftp, порт 69, тривиальный FTP, как правило, используется для загрузки бездисковых рабочих станций, терминальных серверов и маршрутизаторов, а также, при некорректной конфигурации, для чтения любого файла системы;
- Х Windows, Open Windows, порты 6000 и выше, порт 2000, могут привести к утечке информации с дисплеев системы X, в том числе и всех командных строк;
- RPC, порт 111, службы процедуры удаленного вызова, включающие NIS и NFS, которые можно использовать для хищения такой системной информации как пароли, а также для чтения и записи в файлы;
- rlogin, rsh и rexec, порты 513, 514 и 512, эти службы при некорректном конфигурировании могут позволить несанкционированный доступ к системе.
Другие службы, независимо от того, являются они заведомо опасными или нет, обычно фильтруются и по возможности разрешаются только тем системам, которым они необходимы. Среди них:
- TELNET, порт 23, часто разрешается только для отдельных систем;
- FTP, порты 20 и 21, как и TELNET, часто разрешаются только для конкретных систем;
- SMTP, порт 25, обычно разрешается только для выделенного сервера электронной почты;
- RIP, порт 520, протокол маршрутизации, его можно обмануть, чтобы изменить маршрут пакета;
- DNS, порт 53, протокол службы Domain Names Service, передает имена хостов и информацию о них, которой могут воспользоваться нарушители;
- UUCP, порт 540, UNIX to UNIX Copy, при неправильном конфигурировании может быть использован для несанкционированного доступа;
- NNTP, порт 119, Network News Transfer Protocol, ответственный за получение сетевой информации;
- http, порты 70 и 80, информационные серверы и программы клиентов для WWW, должны разрешаться только прикладному шлюзу, содержащему соответствующие службы.
Как было отмечено, фильтрующие маршрутизаторы обладают целым рядом недостатков. Правила фильтрации пакетов трудно точно определить и, как правило, не существует контрольного оборудования для тестирования их корректности (единственный метод - исчерпывающее ручное тестирование). Некоторые маршрутизаторы не позволяют проводить какую-либо регистрацию, так что если правила маршрутизации все же допускают потенциально опасные взаимодействия, может случиться так, что атака не будет обнаружена до тех пор, пока не произойдут нарушения в работе системы.
Дата добавления: 2015-07-19; просмотров: 76 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Усиленная аутентификация. | | | Шлюзы прикладного и сетевого уровня. |