Пакетний фільтр. Ефективний захист комп’ютерних мереж
Курсовой проект - Компьютеры, программирование
Другие курсовые по предмету Компьютеры, программирование
серверу містяться різні номери портів, а у відповідях сервера клієнтам той самий порт.
У складі запиту вилученого клієнта вказується непривілейований порт. Так, наприклад, номер порту в запиті до Web-сервера повинний лежати в діапазоні від 1024 до 65535.
У відповіді вилученого сервера повинний бути зазначений порт, виділений для конкретної мережної служби. Якщо ви звернулися до вилученого Web-сервера, то в його відповіді буде міститися номер вихідного порту, рівний 80. Цей порт використовується HTTP-серверами.
1.6 Фільтрація на основі порту призначення
Порт призначення визначає програму на вашому компютері, який призначений пакет. У запитах вилучених клієнтів, переданих на сервер, міститься той самий порт призначення, а у відповідях сервера клієнтам різні номери портів.
У пакеті, що містить звертання клієнта до сервера, знаходиться номер порту, виділений для забезпечення роботи конкретного типу мережної служби. Так, наприклад, пакет, спрямований Web-серверу, містить номер порту 80. У відповідях вилучених серверів на запити клієнта міститься непривілейований номер порту в діапазоні від 1024 до 65535.
1.7 Фільтрація на основі інформації про стан TCP-зєднання
У деяких правилах обробки пакетів використовуються прапори, що визначають стан TCP-зєднання. Будь-яке зєднання проходить через визначені стани. Стани клієнта і сервера розрізняються між собою.
У першому пакеті, відправленому вилученим клієнтом, установлений прапор SYN (прапор АСК скинутий). Передача такого пакета є першим кроком у встановленні TCP-зєднання. В усіх наступних пакетах, переданих клієнтом, установлений прапор АСК, а прапор SYN скинутий. Як правило, брандмауери дозволяють проходження пакетів, що містять звертання клієнтів, незалежно від стану прапорів SYN і АСК.
Пакети, передані вилученими серверами, завжди є відповідями на попередні звертання клієнтів-програм. У кожнім пакеті,, що надійшов від вилученого сервера, повинний бути встановлений прапор АСК, оскільки TCP-зєднання ніколи не встановлюється з ініціативи сервера.
2. Проба і сканування
Проба це спроба установити зєднання чи одержати відповідь при звертанні до конкретного порту. Сканування являє собою серію подібних спроб, початих для різних портів. Як правило, сканування виробляється з застосуванням автоматизованих засобів.
Самі по собі проби і сканування безпечні для системи. Більш того, єдиний спосіб визначити, чи підтримується на вузлі визначений тип служби, звернутися до відповідного порту, тобто зробити пробу. Проте в більшості випадків проби і сканування є частиною цілого комплексу заходів для збору інформації, після чого звичайно випливає спроба злому системи. У 1998 році спостерігалося різке збільшення числа випадків сканування; у цей час одержали широке поширення автоматичні скануючі програми, а в процесі збору інформації брали участь цілі групи хакерів.
3. Додаткові питання фільтрації пакетів
Обробка пакетів з маршрутом до джерела і фрагментація безпосередньо не звязані з фільтрацією пакетів. Однак ці питання також відносяться до забезпечення безпеки і зважуються на системному рівні.
3.1 Маршрут до джерела
Протокол IP надає можливість безпосередньо вказати в складі пакета маршрут між двома компютерами і позбавити проміжні маршрутизатори права приймати рішення про шлях проходження пакета. Маршрут у складі IP-пакета, подібно ІCMP-перенапрямленю, дозволяє хакеру “обманути” систему так, що вона буде приймати його компютер за локальну машину, сервер провайдера чи інший вузол мережі, що користається довірою.
За замовчуванням Red Hat Linux 6.0 не обробляє пакети, що містять маршрут до джерела. Подібним чином можна сформувати і більш ранні версії системи, але для цього необхідно переформувати ядро. В даний час у процесі нормального обміну даними явна вказівка маршруту до джерела практично не використовується, і багато маршрутизаторів попросту ігнорують подібні пакети.
3.2 Фрагментація пакетів
У різних типах локальних мереж (наприклад, Ethernet, ATM, token ring) накладаються різні обмеження на довжину переданих кадрів. По шляху проходження пакета від джерела до приймача зустрічаються ділянки мереж, що підтримують кадри меншої довжини. Щоб передати дані через таку ділянку мережі, маршрутизатор змушений розбивати пакет на частини, називані фрагментами. Перший фрагмент пакета містить номера вихідного порту і порту призначення, у наступних фрагментах ці зведення відсутні.
Конфігурація компютера, що виконує функції брандмауера, повинна бути обрана так, щоб пакети, розбиті на фрагменти, відновлювалися перед передачею на вузол призначення. Така конфігурація автоматично встановлюється в Red Hat 6.0. У попередніх версіях системи засобу дефрагментації повинні були бути явно включені перед компіляцією ядра.
3.3 Фільтрація вихідних пакетів
Якщо компютери вашої локальної мережі і користувачі, що працюють за ними, заслуговують довіри, питання фільтрації вихідних пакетів не так важливі, як фільтрація пакетів, адресованих локальної мережі. Якщо брандмауер не пропускає небажані повідомлення, вузли локальної мережі не будуть передавати відповіді на них. Проте симетрична фільтрація забезпечує високий ступінь захисту. Якщо брандмауер фільтрує не тільки вхідні, але і вихідні пакети, вузли Internet захищені від помилок, що допускаються вашими користувачами.
Яку ж загрозу може представ