Информационная безопасность
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
отбросить.
Тип пакета - TCP, UDP или ICMP. Флаги - флаги из заголовка IP-пакета.
Поля порт источника и порт назначения имеют смысл только для TCP и UDP пакетов.
В первую очередь, фильтры отбрасывают пакеты ICMP, UDP и входящие пакеты SYN/ACK, которые инициируют внутренний сеанс связи. Простые фильтры могут только фильтровать пакеты от узла-отправителя, узла-получателя и от порта-получателя. Более интеллектуальная разновидность фильтров может работать, основываясь на информации о входящем интерфейсе, порте-отправителе и даже анализировать состояния флагов заголовков. В качестве примера фильтров такого типа можно привести простые маршрутизаторы, такие как маршрутизаторы доступа любой серии фирмы Cisco или даже UNIX-станции с установленным демоном-брандмауэром. Если маршрутизатор сконфигурирован для работы с конкретным протоколом, внешние узлы могут использовать данный протокол для установления прямого соединения с внутренними узлами. Большинство маршрутизаторов могут формировать журнал аудита и генерировать сигналы тревоги при обнаружении враждебных действий.
Главным недостатком пакетных фильтров является сложность управления: когда правила становятся достаточно сложными, можно ненароком породить конфликтующие политики безопасности или пропустить нежелательные пакеты. Хакеры прекрасно осведомлены о многочисленных дырах в защите при использовании фильтров. Тем не менее применять фильтры пакетов имеет смысл, главным образом, на передней линии обороны перед брандмауэрами. В настоящее время многие брандмауэры содержат фильтры пакетов, тесно интегрированные в их ядро или в сетевую операционную систему (Internetworking Operating System, IOS).
Кумулятивные фильтры являются усовершенствованными версиями фильтров пакетов, исполняют те же самые функции, что и их предшественники, дополнительно отслеживая информацию о состоянии пакетов (такую, как номер последовательности в протоколе TCP). По существу, кумулятивные фильтры отслеживают информацию о сеансах связи. В качестве примера можно привести брандмауэры PIX фирмы Cisco, Fire Wall-1 фирмы Check Point Software и брандмауэр фирмы Watchguard.
Кумулятивный процесс определяется как анализ данных нижних уровней стека протоколов в целях сравнения текущей сессии с предыдущими с целью обнаружения подозрительной деятельности. В отличие от шлюзов уровня приложения, в кумулятивных фильтрах применяются определяемые пользователем правила, не зависящие от информации о самом приложении. Кроме того, кумулятивная защита меньше загружает процессор, чем анализ на уровне приложения. К сожалению, кумулятивные брандмауэры не распознают отдельные приложения и, следовательно, неспособны применять различные правила к различным приложениям.
1.3 Прокси-брандмауэры и сервера уровня соединения
Узел прокси-брандмауэра - это просто сервер с двумя сетевыми интерфейсными картами (Network Interface Card, NIC), который или передает пакет дальше, или его уничтожает, используя демоны прокси-сервера. Каждое приложение, работающее через такой шлюз, должно быть специально инсталлировано и работать через прокси. Прокси-сервер действует от имени одного или более серверов, обычно в качестве экрана, брандмауэра, кэша или их комбинации.
Термин шлюз часто применяется в качестве синонима прокси-сервера. Обычно прокси-сервер используется в компаниях и предприятиях для сбора всех запросов в Интернете, пересылке их Интернет-серверам, получения от них ответов и, наконец, пересылке ответов исходным адресатам внутри компании (с применением прокси-агентов, устанавливающих и завершающих соединение с удаленными узлами или серверами от имени пользователей).
Сервер уровня соединения представляет из себя транслятор TCP соединения. Пользователь образует соединение с определенным портом на брандмауэре, после чего последний производит соединение с местом назначения по другую сторону от брандмауэра. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод.
Как правило, пункт назначения задается заранее, в то время как источников может быть много (соединение типа один - много). Используя различные порты, можно создавать различные конфигурации.
Такой тип сервера позволяет создавать транслятор для любого определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису, сбор статистики по его использованию.
1.4 Шлюзы приложений и сервера прикладного уровня
Шлюзы приложений являются усиленной версией прокси-брандмауэров и, как и в случае прокси-брандмауэров, каждое приложение должно быть специально инсталлировано для работы через них. Разница заключается в том, что шлюзы приложений содержат встроенные модули, которые проверяют каждый запрос и ответ. Например, только загружаемые данные могут быть исходящим потоком по протоколу FTP. Шлюзы приложений просматривают все данные на уровне приложения стека протоколов и являются посредниками для внешних пользователей, перехватывая пакеты и пересылая их приложению. Таким образом, внешние пользователи не смогут установить связь напрямую в защищенной зоне. То, что брандмауэр фактически просматривает всю информацию приложения, означает, что он различает такие приложения, как FTP и SMTP. Вследствие этого шлюзы приложений обеспечивают защиту любого приложения, которое они поддерживают.
Брандмауэры с серверами прикладного уровня используют сервера конкретных сервисов (proxy server) - TELNET, FTP и т.д., запускаемые