Межсетевой экран проверка состояния
Межсетевые экраны с пакетной фильтрацией могут также быть программными пакетами, базирующимися на операционных системах общего назначения (таких как Windows NT и Unix) либо на аппаратных платформах межсетевых экранов. Межсетевой экран имеет несколько интерфейсов, по одному на каждую из сетей, к которым подключен экран. Аналогично межсетевым экранам прикладного уровня, доставка трафика из одной сети в другую определяется набором правил политики. Если правило не разрешает явным образом определенный трафик, то соответствующие пакеты будут отклонены или аннулированы межсетевым экраном.
Правила политики усиливаются посредством использования фильтров пакетов. Фильтры изучают пакеты и определяют, является ли трафик разрешенным, согласно правилам политики и состоянию протокола (проверка с учетом состояния). Если протокол приложения функционирует через TCP , определить состояние относительно просто, так как TCP сам по себе поддерживает состояния. Это означает, что когда протокол находится в определенном состоянии, разрешена передача только определенных пакетов. Рассмотрим в качестве примера последовательность установки соединения. Первый ожидаемый пакет - пакет SYN . Межсетевой экран обнаруживает этот пакет и переводит соединение в состояние SYN . В данном состоянии ожидается один из двух пакетов - либо SYN ACK (опознавание пакета и разрешение соединения) или пакет RST (сброс соединения по причине отказа в соединении получателем). Если в данном соединении появятся другие пакеты, межсетевой экран аннулирует или отклонит их, так как они не подходят для данного состояния соединения, даже если соединение разрешено набором правил.
Если протоколом соединения является UDP , межсетевой экран с пакетной фильтрацией не может использовать присущее протоколу состояние, вместо чего отслеживает состояние трафика UDP . Как правило, межсетевой экран принимает внешний пакет UDP и ожидает входящий пакет от получателя, соответствующий исходному пакету по адресу и порту, в течение определенного времени. Если пакет принимается в течение этого отрезка времени, его передача разрешается. В противном случае межсетевой экран определяет, что трафик UDP не является ответом на запрос , и аннулирует его.
При использовании межсетевого экрана с пакетной фильтрацией соединения не прерываются на межсетевом экране (см. рис. 10.2), а направляются непосредственно к конечной системе. При поступлении пакетов межсетевой экран выясняет, разрешен ли данный пакет и состояние соединения правилами политики. Если это так, пакет передается по своему маршруту. В противном случае пакет отклоняется или аннулируется.
Рис. 10.2. Передача трафика через межсетевой экран с фильтрацией пакетов
Межсетевые экраны с фильтрацией пакетов не используют модули доступа для каждого протокола и поэтому могут использоваться с любым протоколом, работающим через IP . Некоторые протоколы требуют распознавания межсетевым экраном выполняемых ими действий. Например, FTP будет использовать одно соединение для начального входа и команд, а другое - для передачи файлов. Соединения, используемые для передачи файлов, устанавливаются как часть соединения FTP , и поэтому межсетевой экран должен уметь считывать трафик и определять порты, которые будут использоваться новым соединением. Если межсетевой экран не поддерживает эту функцию, передача файлов невозможна.
Как правило, межсетевые экраны с фильтрацией пакетов имеют возможность поддержки большего объема трафика, т. к. в них отсутствует нагрузка, создаваемая дополнительными процедурами настройки и вычисления, имеющими место в программных модулях доступа.
Последний абзац начинается с фразы "как правило". Различные производители межсетевых экранов сопоставляют их производительность различными способами. Исторически сложилось так, что межсетевые экраны с пакетной фильтрацией имеют возможность обработки большего объема трафика, нежели межсетевые экраны прикладного уровня, на платформе одного и того же типа. Это сравнение показывает различные результаты в зависимости от типа трафика и числа соединений, имеющих место в процессе тестирования.
Межсетевые экраны, работающие только посредством фильтрации пакетов, не используют модули доступа, и поэтому трафик передается от клиента непосредственно на сервер . Если сервер будет атакован через открытую службу, разрешенную правилами политики межсетевого экрана, межсетевой экран никак не отреагирует на атаку. Межсетевые экраны с пакетной фильтрацией также позволяют видеть извне внутреннюю структуру адресации. Внутренние адреса скрывать не требуется, так как соединения не прерываются на межсетевом экране.
Большая часть межсетевых экранов с фильтрацией пакетов поддерживает трансляцию межсетевых адресов. Детальное обсуждение этой темы приведено в "Архитектура интернета" .
Гибридные межсетевые экраны
Как и многие другие устройства, межсетевые экраны изменяются и совершенствуются с течением времени, т. е. эволюционируют. Производители межсетевых экранов прикладного уровня в определенный момент пришли к выводу, что необходимо разработать метод поддержки протоколов, для которых не существует определенных модулей доступа. Вследствие этого увидела свет технология модуля доступа Generic Services Proxy ( GSP ). GSP разработана для поддержки модулями доступа прикладного уровня других протоколов, необходимых системе безопасности и при работе сетевых администраторов. В действительности GSP обеспечивает работу межсетевых экранов прикладного уровня в качестве экранов с пакетной фильтрацией .
Производители межсетевых экранов с пакетной фильтрацией также добавили некоторые модули доступа в свои продукты для обеспечения более высокого уровня безопасности некоторых широко распространенных протоколов. На сегодняшний день многие межсетевые экраны с пакетной фильтрацией поставляются с модулем доступа SMTP .
В то время как базовая функциональность межсетевых экранов обоих типов осталась прежней, (что является причиной большинства "слабых мест" этих устройств), сегодня на рынке присутствуют гибридные межсетевые экраны. Практически невозможно найти межсетевой экран , функционирование которого построено исключительно на прикладном уровне или фильтрации пакетов. Это обстоятельство отнюдь не является недостатком, так как оно позволяет администраторам, отвечающим за безопасность , настраивать устройство для работы в конкретных условиях.
Настоящей статьей начинаем цикл статей, посвященных траблшутингу (решению проблем) и анализу работы межсетевых экранов производства Palo Alto Networks – одного из мировых лидеров в сфере разработки оборудования для обеспечения информационной безопасности. В основе статьи лежит многолетний опыт работы с продуктами вендора экспертов сервис-провайдера Angara Professional Assistance, который обладает статусом авторизованного сервисного центра (ASC) Palo Alto Networks.
Что такое сессия?
Для начала давайте разберемся, – что такое сессия, и как она работает в разрезе межсетевого экрана Palo Alto Networks.
Каждая сессия – это набор из двух «ключей потока» (Client-to-Server и Server-to-Client). Каждый «ключ потока» – это хэш следующих параметров:
IP protocol identifier (TCP, UDP, ICMP) (протокол);
Source IP address (IP-адрес источника);
Destination IP address(IP-адрес назначения);
Source port number (порт источника);
Destination port number(порт назначения);
Ingress zone ID (уникальный ID для каждой входящей зоны на межсетевом экране).
У Palo Alto Networks можно встретить термин «6-tuple». Это уникальный идентификатор, полученный из перечисленных выше шести параметров.
Для каждого полученного пакета межсетевой экран хэширует данные 6-tuple, чтобы получить соответствующий «ключ потока». После чего межсетевой экран сверяет «ключ потока» для каждого нового пакета, чтобы сопоставить его с нужной сессией.
На данном рисунке приведен пример частичного вывода команды >show session id 52975 , где мы можем видеть каждый из 6 параметров «ключа потока». Стоит отметить, что хэшируются 6-tuple только у входящих пакетов. То есть это всегда будет именно ingress-зона.
Итак, получается, что сессия – это связанный «ключом потока» набор однонаправленных потоков данных между клиентов и сервером.
С этим разобрались, поехали дальше. Давайте теперь разберем вывод команды >show session info :
В первой части вывода данной команды мы можем видеть общее доступное число одновременных сессий для текущей платформы, на сколько процентов использована таблица сессий, количество пакетов в секунду, пропускную способность (за исключением аппаратно-разгруженных пакетов (offloaded traffic)), а также информацию о новых соединениях в секунду (CPS).
Далее мы можем видеть различные настройки таймаутов, которые, при желании, можно менять.
Далее идет информация о том, насколько быстро наступит таймаут у сессий при достижении определенного порога утилизации таблицы сессий. На примере скриншота: если таблица сессий будет использована более, чем на 80%, то таймаут у TCP-сессий будет не 3600 секунд, а 1800. Если Scaling factor будет равен 10, то, соответственно, таймаут у сессий будет равен 360 секундам.
Далее идет информация о различных параметрах, которые влияют на установку новых сессий. Например, будет ли использоваться проверка TCP SYN, включена ли аппаратная разгрузка сессий.
В конце приводится информация о «хитрой» опции «Application trickling», которая означает, что если мы превышаем лимит по ресурсам межсетевого экрана (например, пакетного буфера), то запускается механизм сканирования сессий. Если сессия была неактивна более, чем trickling-лимит, то буфер, который был задействован данной сессией, очистится. То есть, по сути, это механизм для дополнительной защиты ресурсов межсетевого экрана.
Состояния сессий
Каждая сессия в любой момент времени находится в одном из шести состояний. Зеленым обозначены состояния, которые мы можем наблюдать в веб-интерфейсе или командной строке (CLI) межсетевого экрана.
INIT: каждая сессия начинается с состояния инициализации (INIT). Сессия в состоянии INIT является частью пула свободных сессий.
ACTIVE: любая сессия, которая соответствует потоку трафика, который еще не истек по таймауту, и который активно используется для проверки (например, механизмом App-ID) или для отправки по адресу назначения (destination forwarding).
DISCARD: трафик, ассоциированный с сессией, которая была заблокирована на основании политик безопасности или в результате обнаружения угрозы. Пакет, на который сработала политика или детектор угроз, был отброшен; все последующие пакеты, принадлежащие к сессии в состоянии DISCARD, будут отброшены без всякой проверки.
Остальные состояния сессии (OPENING, CLOSED, FREE) являются транзитными. Транзитные состояния можно увидеть достаточно редко, так как в данных состояниях сессия надолго не задерживается.
В нормальных условиях каждая сессия пройдет полный цикл, начиная с состояния INIT и заканчивая FREE.
Просмотр информации о сессиях
Посмотреть информацию о сессиях в реальном времени можно как через веб-интерфейс, так и через CLI межсетевого экрана. Session Browser может быть полезным инструментом для траблшутинга без необходимости захвата пакетов или использования debug-логов. Мы можем посмотреть, создает ли ожидаемый трафик соответствующую сессию, как она категорируется механизмом App-ID, и каким образом и из-за чего эта сессия завершается.
Monitor > Session Browser
Если вы видите сессию в Session Browser, это еще не значит, что далее весь трафик для этой сессии будет разрешен. После того как межсетевой экран создаст сессию, к ней будут применены механизмы App-ID, Content Inspection, вследствие которых сессия может быть отброшена после инспекции полезной нагрузки какого-нибудь пакета.
В данном меню можно применять различные фильтры, например, отфильтровать сессии по названиям правил безопасности, через которые они проходит. Так же мы можем принудительно завершить сессию, нажав на крестик.
Похожую информацию мы можем получить, используя CLI и команду >show session all . Данную команду также можно использовать с различными фильтрами.
Далее мы можем перейти внутрь каждой сессии для получения более расширенной информации, используя команду >show session id <session number> .
c2s flow – поток от клиента к серверу. Инициатор потока.
s2c flow – поток от сервера к клиенту. Ответный поток.
Детальную информацию о сессии можно также посмотреть через меню Monitor > Traffic > Detailed Log View. По сути, там будет та же информация, которую вы получите через CLI.
Посмотрите, как межсетевой экран переопределяет приложение в рамках одной сессии. Сначала движок определил тип URL, риск, категорию, проверил не блокируется ли сессия согласно политикам URL-filtering. Далее межсетевой экран по первым пакетам определил приложение web-browsing и проверил, разрешено ли оно политиками безопасности. Как только стало приходить больше пакетов с полезной нагрузкой, согласно встроенной (и постоянно обновляемой) базе сигнатур, межсетевой экран увидел приложение google-base, после чего в очередной раз проверил, разрешено ли оно политиками.
Данный механизм очень полезен при траблшутинге и называется «application shifting». Более подробно мы его затронем в следующей статье.
Также очень важно понимать причину, по которой завершилась сессия. Это сильно упрощает процесс траблшутинга. Список возможных причин.
«threat» – была обнаружена угроза, и политиками безопасности было применено действие «reset», «drop» или «block».
«Policy-deny» – к сессии была применена политика безопасности с действием «deny» или «drop».
«Decrypt-cert-validation» – в большинстве случаев означает, что сессия была заблокирована потому, что для ssl-инспекции была настроена проверка сертификатов, которая не была пройдена. Сертификат мог быть просрочен или выдан недоверенным источником, или не смог пройти верификации по таймауту и т.д.
«decrypt-error» – сессия была заблокирована из-за того, что при настроенной ssl-инспекции межсетевому экрану не удалось расшифровать сессию из-за нехватки ресурсов. Также эта ошибка появляется, когда возникают проблемы с протоколом SSH или любые другие ошибки SSL, помимо тех, которые описаны в пункте «decrypt-unsupport-param».
«tcp-rst-from-client» – клиент отправил tcp-rst в сторону сервера.
«tcp-rst-from-server» – сервер отправил tcp-rst в сторону клиента.
«resources-unavailable» – сессия была заблокирована из-за ограничения ресурсов межсетевого экрана. Например, в сессии могло быть превышено количество пакетов с нарушением порядка (out-of-order), разрешенных для одной сессии.
«tcp-fin» – оба хоста отправили tcp-fin для завершения сессии.
«tcp-reuse» – сессия используется повторно, и межсетевой экран закрыл предыдущую сессию.
«Decoder» – декодер обнаружил новое соединение в рамках протокола и завершает предыдущее соединение.
«Aged-Out» - сессия устарела и была закрыта. (Например, удаленный хост не ответил на наш запрос)
«Unknown» – применяется в следующих ситуациях:
Сессия завершилась из-за причин, не указанных до этого. Например, кто-то завершил сессию вручную командой >clear session all.
Устаревшая версия PAN-OS (ниже 6.1), в которой не поддерживается функционал определения причин завершения сессий.
«n/a» – статус, который присваивается, когда сессия еще не была завершена, то есть, когда тип лога не в значении «end».
Информацию, аналогичную разделу Monitor > Traffic, можно посмотреть и через CLI. Делается это командой >show traffic log direction equal backward . Под direction equal backward подразумевается, что вы будете просматривать логи с конца.
Cli лайфхаки
Напоследок упомянем пару лайфхаков и «фишек» использования CLI.
Вот основной список команд, разбитых на разные категории:
Ssh – подключение к другим хостам;
Scp, tftp, ftp – загрузка и выгрузка файлов;
Ping, traceroute – базовый траблшутинг;
Debug – многоцелевая команда (ее мы будем использовать в будущих статьях);
Tcpdump – для захвата пакетов с management plane межсетевого экрана;
Test – для проверки работы различного функционала;
Show – для вывода конфигураций, логов и различных системных данных;
Tail – аналог одноименной команды в юниксе, показывает последние данные из файла;
Less, grep – также одноименные команды, знакомые многим; позволяют гибко искать информацию в лог-файлах;
Request – для использования системных команд типа «shutdown»;
Clear – используется для удаления и очистки различных параметров;
Configure – вход в режим редактирования конфигурации;
Exit – выход из режима редактирования конфигурации.
Конечно же есть и другие команды, коих огромное количество. Запомнить их сразу будет крайне сложно. Тут нам на помощь приходит замечательная команда «find».
Синтаксис выглядит следующим образом: >find command keyword <keyword>
Предположим, вам нужно посмотреть какую-то информацию относительно маршрутизации OSPF, но вы забыли, с помощью какой команды это делается. Вводим >find command keyword ospf .
Мы получим приблизительно такой список (полный список на скриншоте не уместится), где будут приведены примеры всех команд, в которых есть слово «OSPF».
Или мы хотим перезагрузить межсетевой экран, но забыли, как это делать. Пробуем >find command keyword restart .
В полученном списке можно найти нужную нам команду: >request restart system .
Заключение
В этой части цикла статей мы разобрали, что такое сессия с точки зрения межсетевого экрана, рассмотрели различные ее настройки и способы просмотра информации о сессиях.
В следующей статье мы постараемся разобраться, как и в какой последовательности сессии и потоки (packet flow) обрабатываются движками межсетевого экрана, а также рассмотрим логику всего этого процесса.
Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Ф. О. Мохаммед
Используемые межсетевым экраном механизмы служат для предотвращения или блокирования нежелательного трафика. Такими механизмами, могут быть: простой пакетный фильтр , который принимает решения в зависимости от содержания заголовка пакета; или анализатор состояния который проверяет, что данный пакет является частью законного потока; или более сложный механизм такой как прокси-сервер который устанавливается между клиентом и внешней сетью.
Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Ф. О. Мохаммед
Обзор средств фильтрации трафика в корпоративной сети Архитектура межсетевого экрана для корпоративных сетей Защита информации при межсетевом взаимодействии с помощью межсетевых экранов Антивирусное программное обеспечение серверов и рабочих станций Анализ средств контроля доступа и защиты информации от сетевых атак i Не можете найти то, что вам нужно? Попробуйте сервис подбора литературы.FIREWALLS
The mechanisms that used by the firewall to allow or block traffic can be simple packet filters, which make decisions based on the contents of the packet header, or stateful packet inspection which checks the state of all current connections, or more complex application proxies, which stand between the client and the outside world, acting as a middleman for some network services
Текст научной работы на тему «Межсетевые экраны»
Белорусский государственный университет информатики и радиоэлектроники П. Бровки, 6 Минск 220013, Беларусь
Поступила в редакцию 26 октября 2009
Используемые межсетевым экраном механизмы служат для предотвращения или блокирования нежелательного трафика. Такими механизмами, могут быть: простой пакетный фильтр, который принимает решения в зависимости от содержания заголовка пакета; или анализатор состояния который проверяет, что данный пакет является частью законного потока; или более сложный механизм такой как прокси-сервер который устанавливается между клиентом и внешней сетью.
Ключевые слова: межсетевой экран (МСЭ), пакетный фильтр, контроль состояния, прокси-сервер.
Межсетевые экраны обеспечивают барьер между сетями и предотвращают или блокируют нежелательный или несанкционированный трафик. Единственного определения для межсетевого экрана не существует. В данной работе будем использовать следующее определение межсетевого экрана. Межсетевой экран - система или группа систем, используемая для управления доступом между доверенными и не доверенными сетями на основе предварительно сконфигурированных правил [1].
Межсетевые экраны могут управлять доступом к сети и от нее. Они могут настраиваться для предотвращения получения доступа к внутренним сетям и услугам несанкционированных пользователей. Они могут также конфигурироваться для предотвращения нежелательного доступа к внешним или несанкционированным сетям и услугам внутренних пользователей. МСЭ обеспечивает также выполнение следующих функций:
Установление подлинности пользователя: межсетевые экраны могут настраиваться для обеспечения установления подлинности пользователя. Это позволяет администраторам сетей управлять доступом определенных пользователей к определенным услугам и ресурсам. Установление подлинности также позволяет администраторам сетей отслеживать определенную деятельность пользователя и попытки получить несанкционированный доступ к защищенным сетям или услугам.
Аудит и регистрация: межсетевые экраны могут обеспечить аудит и регистрацию действий, сохранить и проанализировать эту информацию позднее. Межсетевые экраны тоже могут произвести статистику, основанную на информации, которую они собирают. Эти статистические данные очень полезны администраторами безопасности при принятии решений.
Наряду с достоинствами межсетевые экраны обладают рядом недостатков: Транспортные узкие места: в некоторых сетях межсетевые экраны создают транспортное узкое место. Они вынуждают все межсетевые трафики проходить через межсетевой экран, поэтому есть большая вероятность, что сеть станет переполненной.
Единственный пункт отказа: межсетевые экраны могут создать единственный пункт отказа. В большинстве конфигураций, где межсетевые экраны являются единственной связью между сетями, если они недоступны или конфигурируются не правильно, то никакой трафик через них не пройдет.
Повешенная ответственность администратора: межсетевой экран часто добавляет ответственность в управление сетью и делает обслуживание сети более сложным, потому что все межсетевые экраны требуют длительной административной поддержки в виде обновлений программного обеспечения и перенастройки политик безопасности.
Для управления доступом к сети, межсетевые экраны используют один из двух принципов защиты:
1. Все неопределенно разрешенное, запрещено.
2. Все неопределенно запрещённое, разрешено.
У каждого принципа есть сторонники, но первый принцип чаще всего рекомендуемый. Он базируется на предпосылке, что если определенные правила разрешения отсутствуют, то доступ запрещен.
Второй принцип имеет противоположную логику. Доступ запрещается, если для этого сформированы определенные правила. Если правил нет, то доступ полностью открыт.
Типы межсетевых экранов
Для построения межсетевого экрана используется определенный метод проверки пакета. В каждом методе используется информация от различных уровней модели взаимосвязи открытых систем. Известные три типа межсетевых экранов:
1. Пакетные фильтры (Packet filtering),
2. МСЭ с контролем состояния (Stateful packet inspection),
3. Прикладной шлюз/прокси (Application gateways/proxies).
Гибридные методы проверки пакетов комбинируют два или более из них для обеспечения повышенных возможностей и безопасности.
Пакетные фильтры (рис. 1) - самый простой метод проверки пакета. Процесс фильтрования пакета заключается в исследовании информации содержащейся в заголовке и сравнении ее с предварительно сконфигурированной группой правил или фильтрами. Каждый пакет может, исследоваться индивидуально без отношения к другим пакетам, несмотря на то, что они могут являться частью одного трафика [2].
правила межсетевого экрана
Пакет запрещен или блокирован
Рис. 1. Межсетевой экран - пакетный фильтр
Пакетные фильтры часто называют межсетевыми экранами уровня сети, потому что процесс фильтрования происходит на сетевом уровне (третий уровень) или транспортным уровне (четвертый уровень) модели OSI. Рис. 2 показывает отношение между пакетным фильтром и моделью OSI [3, 4].
Транспортный Пакетные фильтры
Рис. 2. Пакетный фильтр и уровни 081
Правила пакетной фильтрации или фильтры могут быть сконфигурированы на основе разрешения или запрета. Конфигурация правил фильтрования пакета основывается на одном или более следующих параметров:
- 1Р адрес источника,
- 1Р адрес назначения,
Пакетные фильтры функционируют быстрее, чем другие типы МСЭ, так как фильтруют пакеты на более низких уровнях модели OSI. Если они настроены правильно, то пакетные фильтры оказывают очень малое влияние на работу сети.
Пакетные фильтры могут быть установлены прозрачным образом. Они не требуют никакой дополнительной конфигурации для клиентов.
Пакетные фильтры межсетевых экранов дешевле, чем другие методы проверки пакета.
Пакетные фильтры являются независимыми от приложения, так как их решения основаны на информации, содержащейся в заголовке пакета, а не на информации, которая имеет отношение к определенному приложению.
Если порт был открыт МСЭ, то он открыт для всех проходящих трафиков через этот
Определение правил и фильтров в этом методе является сложной задачей. У администратора сети должно быть хорошее понимание услуг и протоколов для выполнения требования безопасности.
Проверка точности выполнения правил на пакетном фильтре является очень трудной задачей. Даже если правила кажутся простыми и явными, проверка их правильности путём тестирования отнимает много времени и не всегда даёт правильный результат.
МСЭ с контролем состояния
МСЭ с контролем состояния исследует информацию заголовков пакетов от сетевого уровня до прикладного уровня модели OSI и проверяет, что данный пакет является частью законного потока и используются допустимые протоколы. рис. 3 показывает отношению между МСЭ с контролем состояния и моделью OSI.
Прикладной МСЭ с контролем состоянием
Рис. 3. МСЭ с контролем состояния и уровни 081
МСЭ с контролем состояния работает следующим образом (рис. 4). Заголовки TCP пакета проверяются для определения, является ли пакет частью уже существующего и действующего потока передаваемых данных. Межсетевой экран имеет активную таблицу всех текущих сеансов и сравнивает входящие пакеты с её данными в процессе контроля доступа. Если в таблице отсутствует соответствующий вход соединения, МСЭ проверяет пакет с использованием установленного набора правил, аналогичного фильтру пакетов. Если проверка по правилам фильтрации прошла успешно и передача пакета разрешается, МСЭ создает или обновляет свою таблицу соединений. Внесенный вход соединения будет использоваться для проверки последующих пакетов вместо правил фильтрации. В качестве параметров проверки состояния используются:
- 1Р адрес источника,
- 1Р адрес назначения,
Состояние связи определяется из информации собранной на основе анализа предыдущих пакетов. Это - существенный фактор в принятии решения при новых попытках открыть соединение. МСЭ с контролем состояния сравнивает пакеты с правилами или фильтрами и затем по динамической таблице состояния, проверяет, что все пакеты - часть действительной и установленной связи.
Этот метод защищает сети от атаки лучше, чем методы экранирования пакетов, потому что он имеет возможность анализа состояния связи.
МСЭ с контролем состояния, как и пакетные фильтры, оказывают очень небольшое влияние на работу сети, они реализуется прозрачно, и являются независимыми от приложений.
МСЭ с контролем состояния более безопасны, чем пакетные фильтры. Так как производят более глубокий анализ заголовка пакета для определения состояния связи между конечными точками.
Анализируя информацию заголовка пакета, МСЭ с контролем состояния может проверить, что протоколы прикладного уровня работают правильно.
Как и пакетные фильтры, МСЭ с контролем состояния не нарушает модель клиент/сервер и разрешает прямое соединение между этими двумя конечными точками.
Правила и фильтры этого метода могут быть достаточно сложными и трудными для восприятия.
Качественно созданный набор правил не менее важен, чем аппаратная платформа. Большая часть межсетевых экранов работает по принципу "первого соответствия" при принятии решения о передаче или отклонении пакета. При построении набора правил согласно алгоритму "первого соответствия" наиболее специфичные правила располагаются в верхней части набора правил, а наименее специфичные (т. е. более общие) - в нижней части набора. Такое размещение правил гарантирует, что общие правила не перекрывают собой более специфичные.
Некоторые межсетевые экраны содержат обработчик набора правил, проверяющий набор на наличие правил, перекрываемых другими правилами. Обработчик информирует об этой ситуации администратора межсетевого экрана перед установкой правил на межсетевой экран .
Данный подход хорош в общем плане, однако он не решает проблему производительности межсетевого экрана. Чем больше правил необходимо проверять для каждого пакета, тем больше вычислений должен производить межсетевой экран . При разработке качественного набора правил следует принимать в расчет это обстоятельство, т. к. от него зависит уровень эффективности работы межсетевого экрана.
Выявление различий между межсетевыми экранами различных типов
Данный проект продемонстрирует различия в системах защиты межсетевых экранов различных типов. Для выполнения этого проекта необходим доступ к межсетевому экрану прикладного уровня, а также к экрану с фильтрацией пакетов.
Шаг за шагом
- Сконфигурируйте сеть согласно архитектуре 2. Не подключайте эту сеть к интернету!
- Создайте почтовый сервер и веб-сервер с настройками по умолчанию и оставьте в каждой системе уязвимости.
- Разместите межсетевой экран прикладного уровня в сети и настройте его согласно набору правил из табл. 10.2.
- Сконфигурируйте другую систему в качестве внешней системы (как если бы она располагалась вне межсетевого экрана в интернете) и запустите сканер уязвимостей.
- С помощью сканера уязвимостей просканируйте почтовый сервер и веб-сервер, а также межсетевой экран.
- Теперь замените межсетевой экран прикладного уровня межсетевым экраном с фильтрацией пакетов.
- Снова просканируйте серверы.
- Сравните полученные результаты. Различна ли информация, полученная при первом и втором сканировании? Одинаковы ли уязвимости, отображенные при подключении обоих межсетевых экранов? Если нет, то почему?
Если модули доступа на межсетевом экране прикладного уровня настроены правильно, в результате сканирования через экран с фильтрацией пакетов, скорее всего, отобразится большее число уязвимостей, чем при сканировании через межсетевой экран прикладного уровня. Причиной этому является то, что модуль доступа перехватывает и интерпретирует почту и веб-запросы перед отправкой на серверы. В некоторых случаях этот подход обеспечивает защиту от использования уязвимостей серверов.
Читайте также: