Раздел: Документация
0 ... 33 34 35 36 37 38 39 ... 125 сообщения в пакетном фильтре, вероятно, не должны блокироваться, поскольку возможность управления потоком пакетов достаточно важна. С помощью сообщений типа redirect (перенаправить) узел или маршрутизатор извещаются о том, что для доставки пакета адресату лучше выбрать другой маршрут. Манипулируя сообщениями этого типа, хакер сумеет модифицировать таблицы маршрутизации. ICMP-пакеты находят множество применений, в том числе служат для добывания информации о сети. Одна из важных функций межсетевого экрана заключается в том, чтобы предотвратить получение посторонними любых сведений об узлах сети. Поэтому следует блокировать сообщения следующих типов: О входящие сообщения echo request и исходящие echo reply. Это позволит пользователям тестировать наличие связи с внешними узлами с помощью команды PING, но не даст возможности сканировать внутреннюю сеть снаружи; О входящие сообщения redirect. Позволяют изменять таблицы маршрутизации; О исходящие сообщения destination unreachable и входящие service unavailable. Не разрешайте посторонним зондировать вашу сеть. Если хакер сможет определить, какие службы и узлы недоступны, это облегчит его задачу. Фильтры с памятью и без памяти Для создания правил фильтрации пакетов TCP удобно использовать порты отправителя и получателя. Это связано с тем, что TCP - это протокол с установкой соединения. В отличие от него, UDP - протокол без установки соединения. Каждый UDP-пакет передается независимо. При работе с функциями запрос/ответ почти невозможно определить из заголовка пакета, является ли входящий пакет ответом на запрос. Простой пакетный фильтр не в состоянии контролировать службы, применяющие UDP-пакеты. Этот так называемый фильтр без памяти (stateless) принимает решение на основе анализа одного пакета и в нем нельзя создавать правила, которые позволяли бы фильтровать пакеты на основе взаимосвязи между ними. Метод динамической фильтрации пакетов (dynamic packet filtering), также известной как проверка с памятью (stateful inspection), поднимает концепцию фильтрации на более высокий уровень за счет формирования в памяти таблицы, в которой сопоставляются входящие и исходящие пакеты. В нее обычно заносятся адреса и порты отправителя и получателя. Для предотвращения переполнения таблицы ложными значениями служит таймер. Если в течение заданного времени ответ на запрос не приходит, запись в таблице стирается, чтобы нельзя было воспользоваться переполнением таблицы для нарушения защиты. Хотя в старых маршрутизаторах не было подобной функции, большинство современных брандмауэров позволяет выполнять такую фильтрацию. Программные и аппаратные пакетные фильтры Если ваша сеть подключена к Internet через маршрутизатор, он, возможно, уже обеспечивает фильтрацию пакетов и может исполнять роль первой составляющей межсетевого экрана. Если вы предполагаете, что это приведет к снижению производительности, предусмотрите отдельные маршрутизаторы для фильтрации пакетов и подключения к Internet. Большинство сегодняшних маршрутизаторов способно выполнять обе эти задачи без существенного снижения производительности. Но в этом случае настройка правил может оказаться более сложной и соответственно быть более рискованной. Если, например, один сотрудник отвечает за настройку таблиц маршрутизации, а другой - за определение правил фильтрации пакетов, то не исключено, что они будут мешать друг другу. В небольшой сети наличие только одного маршрутизатора не всегда опасно, поскольку в его задачу входит обеспечение защиты немногочисленных компьютеров, так что, возможно, потребуется настройка не очень большого числа служб. Но в крупной сети лучше иметь выделенные устройства. Для фильтрации пакетов в межсетевом экране совсем не обязательно нужен маршрутизатор. Его функции с успехом может выполнять двухканальный компьютер с соответствующим программным обеспечением. Некоторые производители межсетевых экранов объединяют пакетные фильтры и proxy-серверы в единую систему, которая реализуется на одном компьютере. Третья возможность - это аппаратный брандмауэр (firewall appliance). Такие устройства рекламируются как простые в установке и полностью функциональные брандмауэры. На некоторых из них имеется какая-либо стандартная операционная систему UNIX, другие располагают собственной системой. При выборе подобных устройств следует оценить легкость их эксплуатации, богатство функциональных возможностей и гибкость в управлении и регистрации. Аппаратные брандмауэры более подробно рассматриваются в главе 20. Ограничение доступа при помощи маршрутизатора Маршрутизаторы применяют для создания списков управления доступом или правил (rules) различный синтаксис. Некоторые позволяют формировать набор Будьте осторожны при работе с TFTPI Протокол TFTP создавался для обновления маршрутизаторов или других сетевых устройств. Он позволяет осуществлять простую передачу файлов без больших накладных расходов. В нем также нет проверки имени пользователя и пароля. Поэтому, применяя TFTP в маршрутизаторе, соблюдайте особую осторожность. Включайте эту службу только тогда, когда вы эксплуатируете ее, а не держите постоянно включенной. ПРОГРАММНЫЕ И АППАРАТНЫЕ ПАКЕТНЫЕ ФИЛЬТРЫ 113 правил, который в равной мере относится сразу ко всем интерфейсам, направленным как наружу, так и вовнутрь. Другие предоставляют возможность задавать свой набор правил для каждого из интерфейсов. В продуктах CISCO, например, можно создавать наборы правил и группировать их по именам, а затем присваивать каждому из интерфейсов одну или несколько групп правил. При выборе маршрутизатора следует не забывать о том, что более гибкий синтаксис способен усложнить его настройку, но облегчит адаптацию к будущим изменениям. Еще одно соображение, которое необходимо учитывать при выборе маршрутизатора, - доступные методы ввода правил. Маршрутизаторы обычно имеют один интерфейс, к которому можно подключить терминал или компьютер и вво-щтъ с него команда. Большинство маршрутизаторов позволяют редактировать файлы конфигурации на другой системе и загружать их в маршрутизатор при помощи специальной программы. Еще один стандартный метод обмена файлами конфигурации состоит в использовании протокола Trivial File Transfer Protocol (TFTP). Копирование файлов конфигурации на другую систему также облегчает и ускоряет восстановление после аппаратных сбоев или других неполадок. Скорость, с которой маршрутизатор способен фильтровать пакеты, может даже превышать скорость вашего канала связи с Internet. Поэтому для большинства практических приложений не следует слишком беспокоиться об этом. Наиболее важные свойства маршрутизатора с фильтрацией пакетов: О развитые средства регистрации событий. Дисковое пространство маршрутизатора обычно ограничено, поэтому удобно, чтобы он обеспечивал перенаправление записываемых данных демону syslogd, работающему на другой системе. Необходимо иметь возможность вести журнал как отброшенных пакетов, так и пропущенных через брандмауэр; О несложный синтаксис команд, позволяющий создавать правила на основе различных полей заголовков, в том числе порта отправителя пакетов TCP и UDP; О последовательная проверка правил. Если маршрутизатор выполняет какую-либо «оптимизацию» набора правил, будет сложнее диагностировать проблемы при тестировании брандмауэра. Ограничение доступа при помощи двухканального компьютера Двухканальный компьютер в состоянии одновременно выполнять функции пакетного фильтра и proxy-сервера. Если вы уже подключены к Internet через маршрутизатор, то двухканальный компьютер между защищенной локальной сетью и маршрутизатором будет недорогим методом создания пакетного фильтра. Существуют буквально сотни различных конкурирующих программных продуктов, которые годятся для данной цели (чтобы убедиться в этом, достаточно просто выполнить 0 ... 33 34 35 36 37 38 39 ... 125
|