Брандмауэры и специальное программное обеспечение 8 Часть 4

Вид материала

Реферат

Содержание Маскировка IP

Подобный материал:

• Муниципальное общеобразовательное учреждение средняя общеобразовательная школа №12, 174.77kb.
• Управление экономикой и создание экономических информационных систем Изучив данную, 148.93kb.
• Программное обеспечение ЭВМ, 209.59kb.
• Программное обеспечение вычислительной системы, 824.71kb.
• Учебная программа (Syllabus) Дисциплина: Интерфейсы компьютерных систем (iks 3304), 321.31kb.
• Реферат по Информационной безопасности Тема: «Антивирусы», 711.1kb.
• Пк программный комплекс; по программное обеспечение; ппо прикладное программное обеспечение, 208.41kb.
• Лекция 4 Обеспечивающие подсистемы асу. Математическое, программное, лингвистическое,, 59.3kb.
• Математическое и программное обеспечение систем оперативной оценки характеристик сложных, 247.51kb.
• Учебная программа (Syllabus) Дисциплина «Инструментальные средства разработки программ», 374.12kb.

Маскировка IP

Если с маскировкой IP (эту технологию так же часто называют Network Address Translation, NAT) связано такое большое количество проблем, зачем тогда использовать данный механизм? Этому существует несколько достаточно весомых причин, не самой последней из которых является более высокий уровень защиты.

В настоящее время Интернет целиком и полностью основан на стандарте IPv4, и если в ближайшее время ничего не изменится, то всего через несколько лет все IP-адреса, которые допускается использовать для идентификации сетевых узлов в Интернете, будут исчерпаны. Как уже отмечалось ранее, пространство IP-адресов включает в себя ограниченное количество этих адресов. Общее количество всех возможных IP-адресов в рамках схемы адресации IPv4 несложно подсчитать. В настоящее время IP-адрес состоит из 32 битов, а следовательно, всего существует чуть больше 4 миллиардов уникальных IP-адресов. На практике использовать можно меньше половины из них. Количество доступных для использования IP-адресов существенно выросло в 1993 году, после того как основанная на классах А, В и С схема адресации была объявлена устаревшей и ей на смену пришла технология бесклассовой адресации CIDR (Classless Inter-Domain Routing). Технология CIDR позволила сетевым администраторам более продуктивно использовать диапазоны IP-адресов, которыми они обладали. Однако этого все равно недостаточно. Именно поэтому интернет-провайдеры и другие организации, занимающиеся распределением IP-адресов, хотят получить обоснование (а зачастую и более высокую ежемесячную плату) от компаний и частных лиц, желающих получить в свое распоряжение дополнительные IP-адреса.

Применяя в своей внутренней сети IP-адреса, которые не предназначены для маршрутизации через Интернет, вы можете получить столько IP-адресов, сколько вам нужно для обеспечения работы сети. Все, что вам нужно сделать, — это выбрать один из диапазонов частных IP-адресов, предназначенных именно для этой цели.

Такие диапазоны определяются документом RFC 1918, в котором три крупных блока IP-адресов специально выделяются для частного использования. Первым таким блоком является диапазон 10.0/8 (то есть от 10.0.0.0 до 10.255.255.255), который (если использовать устаревшую основанную на классах схему адресации) соответствует полной сети класса А. Второй блок соответствует шестнадцати диапазонам класса В от 172.16.0.0 до 172.31.255.255. Последний блок включает в себя 256 диапазонов класса С от 192.168.0.0 до 192.168.255.255. Все эти адреса не предназначены для маршрутизации через Интернет (любой маршрутизатор Интернета отбрасывает все ассоциированные с ними пакеты), поэтому вы можете использовать их в любой ситуации, не опасаясь, что может возникнуть конфликт с какой-либо другой сетью.

Маскировка IP наделяет вас существенным преимуществом: после того как вы настроите IP-адреса в вашей внутренней сети, вам больше не придется менять адресацию ваших компьютеров. Например, когда вы меняете провайдера, вы должны сменить адреса всех компьютеров, расположенных во внешней зоне DMZ, а также внести в базу данных DNS соответствующие изменения (имеется в виду как база данных DNS, поддерживаемая InterNIC, так и файлы данных ваших внутренних DNS-серверов). Однако ваша внутренняя сеть может оставаться в неизменном виде. Вторым преимуществом маскировки IP является то обстоятельство, что если вы не используете перенаправления портов, никто не сможет проникнуть в вашу внутреннюю сеть извне, не преодолев предварительно брандмауэр. Это означает, что все ваши усилия по обеспечению безопасности можно сосредоточить всего на одном сетевом узле. Обеспечив должную защиту брандмауэра, вы обеспечите безопасность систем вашей внутренней сети.

В ядрах серии Linux 2.2.x маскировка IP осуществляется очень просто. После того как вы выбрали подходящую подсеть, достаточно ввести всего три коротких строчки, и брандмауэр начнет выполнять маскировку. Предположим, вы выбрали подсеть 192.168.0.0/24, при этом ваш брандмауэр напрямую подключен к Интернету. Чтобы обеспечить маскировку, необходимо ввести команды, показанные в листинге 18.3. Перед этим, естественно, необходимо убедиться в том, что все необходимые для маскировки модули загружены в память.


Листинг 18.3. Правила ipchains для маскировки сети 192.168.0.0/24

ipchains -P forward -j DENY

Ipchains -A forward -b -s 192/168/0/0/24 -d 0/0 -j MASQ

echo 1 > /proc/sys/net/ipv4/ip_forward


Если вы уже ознакомились с материалом предыдущих глав, данный листинг будет для вас вполне понятным. Для тех, кто еще не знаком с правилами ipchains, поясню, что первая строка определяет политику брандмауэра: DENY (запретить). Если вы хотите, можете заменить эту политику на ACCEPT (принять), так как большинство пакетов никогда не доходит до применения политики по умолчанию. Перед политикой по умолчанию в цепочке правил ipchains, как правило, располагаются другие правила. Как только обнаруживается, что пакет соответствует одному из них, обработка цепочки прекращается. В нашем случае все пакеты должны удовлетворять правилу, которое определяется во второй строке. Это правило выполняет основную работу по передаче пакетов из сети в сеть. Оно принимает все пакеты из подсети 192.168.0.0 и перенаправляет их в Интернет. Команда -А добавляет это правило к остальным правилам в цепочке forward (на текущий момент другие правила в цепочке отсутствуют, а политика по умолчанию всегда является последним правилом в цепочке). Ключ -s указывает на адрес-источник пакетов, а ключ -d указывает на адрес-приемник. Данное правило должно действовать в обоих направлениях, поэтому вы должны либо добавить еще одно правило, в котором аргументы -s и -d поменяны местами, либо использовать ключ -b, который указывает на то, что правило применяется при передаче пакетов в обоих направлениях. Любой пакет, удовлетворяющий этому правилу, будет маскирован и передан далее по маршруту. Данное правило указывает на то, что маскировка должна осуществляться в обоих направлениях. Последняя строка листинга 18.3 включает перенаправление IP пакетов. По умолчанию в ядре Linux этот механизм выключен. В «файле» /proc/sys/net/ipv4/ip_forward содержится ноль (0), что означает отсутствие перенаправления, однако, заменив это значение на 1, вы включаете перенаправление IP. Чтобы включить перенаправление IP, необходимо использовать следующую команду:


echo 1 > /proc/sys/net/ipv4/ip_forward