Такая проверка осуществляется до тех пор, пока не будет найдено соответствующее  правило или не будет достигнут  конец таблицы. Во многих реализациях, каждое новое правило, пусть не намного, но все же уменьшает общую производительность фильтра. Одним из немногих исключений является уже неоднократно упоминавшаяся продукция компании Cisco, в которой реализованы высокоэффективные механизмы обработки сетевого трафика.

     Еще один недостаток пакетных фильтров - слабая аутентификация трафика, которая осуществляется только на основе адреса отправителя. Текущая версия протокола IP (v4) позволяет  без труда подменять такой  адрес, подставляя вместо него любой  из адресов, принадлежащий адресному  пространству IP-протокола, реализуя тем  самым атаку "подмена адреса" (IP Spoofing). И даже, если адрес компьютера-отправителя не изменялся, то что мешает злоумышленнику сесть за этот компьютер. Ведь сетевой фильтр не запрашивает у пакета идентификатор и пароль пользователя, т.к. эта информация принадлежит прикладному уровню.

     Данные  МСЭ могут быть реализованы как  аппаратно, например, в фильтрующих  маршрутизаторах компании Cisco, так и программно, например, в ОС Windows 2000, Unix и т.д. Причем пакетный фильтр может быть установлен не только на устройстве, расположенном на границе между двумя сетями (например, на маршрутизаторе), но и на рабочей станции пользователя, повышая тем самым ее защищенность.

     Однако  простота реализации пакетных фильтров, их высокая производительность и  малая цена (зачастую такие фильтры  являются свободно распространяемыми) перевешивает указанные недостатки и обуславливает их повсеместное распространение и использование  как обязательного (а зачастую единственного) элемента системы сетевой безопасности. Кроме того, они являются составной  частью практически всех межсетевых экранов, использующих контроль состояния  и описываемых далее.  

 

Рис 1. Пакетный фильтр

Шлюзы сеансового уровня

     Шлюз  сеансового уровня - это другая технология, используемая в межсетевых экранах, но на сегодняшний день ее очень  трудно встретить в виде единственной технологии, реализованной в межсетевом экране. Как правило, они поставляются в рамках прикладных шлюзов или инспекторов  состояний. Кроме того, обеспечиваемый им уровень защиты немногим выше, чем  у пакетных фильтров, при более низкой производительности.

     Смысл технологии фильтрации на сеансовом  уровне заключается в том, что  шлюз исключает прямое взаимодействие двух узлов, выступая в качестве т.н. посредника (proxy), который перехватывает все запросы одного узла на доступ к другому и, после проверки допустимости таких запросов, устанавливает соединение. После этого шлюз сеансового уровня просто копирует пакеты, передаваемые в рамках одной сессии, между двумя узлами, не осуществляя дополнительной фильтрации. Как только авторизованное соединение установлено, шлюз помещает в специальную таблицу соединений соответствующую информацию (адреса отправителя и получателя, состояние соединения, информация о номере последовательности и т.д.). Как только сеанс связи завершается, запись о нем удаляется из этой таблицы. Все последующие пакеты, которые могут быть сформированы злоумышленником и "как бы относятся" к уже завершенному соединению, отбрасываются.

     Достоинство данной технологии, ярким представителем которой является SOCKS в том, что  она исключает прямой контакт  между двумя узлами. Адрес шлюза  сеансового уровня является единственным элементом, который связывает внешнюю  сеть, кишащую хакерами, с внутренними, защищаемыми ресурсами. Кроме того, поскольку соединение между узлами устанавливается только после проверки его допустимости, то тем самым  шлюз предотвращает возможность  реализации подмены адреса, присущую пакетным фильтрам.

     Несмотря  на кажущуюся эффективность этой технологии, у нее есть один очень  серьезный недостаток - невозможность  проверки содержания поля данных. Т.е. тем самым злоумышленнику представляется возможность передачи в защищаемую сеть троянских коней и других Internet-напастей. Мало того, описанная в предыдущих главах возможность перехвата TCP-сессии (TCP hijacking), позволяет злоумышленнику даже в рамках разрешенной сессии реализовывать свои атаки.  

 

Рис 2. Шлюз сеансового уровня

Посредники  прикладного уровня

     Посредники  прикладного уровня практически  ничем не отличаются от шлюзов сеансового уровня, за одним исключением. Они  также осуществляют посредническую функцию между двумя узлами, исключая их непосредственное взаимодействие, но позволяют проникать в контекст передаваемого трафика, т.к. функционируют на прикладном уровне.

     Межсетевые  экраны, построенные по этой технологии, содержат т.н. посредников приложений (application proxy), которые, "зная" как функционирует то или иное приложение, могут обрабатывать сгенерированный ими трафик. Таким образом, эти посредники могут, например, разрешать в исходящем трафике команду GET (получение файла) протокола FTP и запрещать команду PUT (отправка файла) и наоборот. Еще одно отличие от шлюзов сеансового уровня - возможность фильтрации каждого пакета.

     Однако, как видно из приведенного описания, если для какого-либо из приложений отсутствует свой посредник приложений, то межсетевой экран не сможет обрабатывать трафик такого приложения, и он будет  отбрасываться. Именно поэтому так  важно, чтобы производитель межсетевого  экрана своевременно разрабатывал посредники для новых приложений, например, для мультимедиа-приложений. 
 
 
 

 

Рис 3. Посредник прикладного уровня

Инспекторы  состояния

     Каждый  из названных классов межсетевых экранов обладает рядом достоинств и может применяться для защиты корпоративных сетей. Однако куда более  эффективным было бы объединить все  названные классы МСЭ в одном  устройстве. Что и было сделано  в инспекторах состояний, которые  совмещают в себе все достоинства названных выше типов экранов, начиная анализ трафика с сетевого и заканчивая прикладным уровнями, что позволяет совместить в одном устройстве казалось бы несовместимые вещи - большую производительность и высокую защищенность. Эти межсетевые экраны позволяют контролировать:

    - каждый  передаваемый пакет - на основе имеющейся таблицы правил;

    - каждую  сессию - на основе таблицы состояний;

    - каждое  приложение - на основе разработанных посредников.

     Действуя  по принципу "продвинутого" шлюза  сеансового уровня, инспектор состояния, тем не менее, не препятствует установлению соединения между двумя узлами, за счет производительность такого межсетевого  экрана существенно выше, чем у  шлюза сеансового и прикладного  уровня, приближаясь к значениям, встречающимся только у пакетных фильтров. Еще одно достоинство межсетевых экранов с контролем состояния - прозрачность для конечного пользователя, не требующая дополнительной настройки  или изменения конфигурации клиентского программного обеспечения.

     Завершая  описание классов межсетевых экранов, хотим заметить, что термин "stateful inspection", введенный компанией Check Point Software, так полюбился производителям, что сейчас очень трудно найти межсетевой экран, который бы не относили к этой категории (даже если он и не реализует эту технологию). Таким образом, сейчас на рынке существует всего два класса межсетевых экранов - инспекторы состояний и пакетные фильтры.

 

Выбор межсетевого экрана

     Существует  замечательная русская поговорка: "Не стоит класть все яйца в  одну корзину". Именно по такому принципу и надо выбирать межсетевой экран. Нельзя сделать однозначный выбор в  пользу какого-либо из названных экранов. Лучше если вы сможете использовать два межсетевых экрана, строя таким  образом, эшелонированную оборону  своей сети. Если один из экранов  будет выведен из строя, то до тех  пор его работоспособность не будет восстановлена, весь удар примет на себя второй экран. Обычно используется комбинация "пакетный фильтр - инспектор  состояния (или посредник прикладного  уровня)". И эта комбинация хороша еще и тем, что вам не придется тратиться на приобретение пакетного  фильтра, уже встроенного в маршрутизатор, установленный на границе вашей сети.

Возможности

     Помимо  фильтрации трафика межсетевые экраны позволяют выполнять и другие, не менее важные функции, без которых  обеспечение защиты периметра было бы неполным. Разумеется, приводимый ниже список не является исчерпывающим, но и данный материал ёне является руководством по выбору межсетевого экрана. Мы всего лишь указываем на некоторые средства защиты от атак, описанных ранее.

Трансляция  сетевых адресов

     Как показано ранее, для реализации многих атак злоумышленнику необходимо знать  адрес своей жертвы. Чтобы скрыть эти адреса, а также топологию  всей сети, межсетевые экраны выполняют  очень важную функцию - трансляцию сетевых  адресов (network address translation).

     Трансляция  может осуществлять двумя способами - динамически и статически. В  первом случае адрес выделяется узлу в момент обращения к межсетевому  экрану. После завершения соединения адрес освобождается и может  быть использован любым другим узлом  корпоративной сети. Во втором случае адрес узла всегда привязывается к одному адресу МСЭ.

 

Рис. 4. Трансляция сетевых адресов

Аутентификация  пользователей

     Межсетевые  экраны помимо разрешения или запрещения допуска различных приложений в  сеть, также могут выполнять аналогичные  действия и для пользователей, которые  желают получить доступ к внешним  или внутренним ресурсам, разделяемым  межсетевым экраном. При этом проверка подлинности (аутентификация) пользователя может осуществляться как при  предъявлении обычного идентификатора (имени) и пароля, так и с помощью  более надежных методов, например, с  помощью SecureID или цифровых сертификатов.

 

Рис. 5. Аутентификация

Регистрация событий

     Являясь критическим элементом системы  защиты корпоративной сети, межсетевой экран имеет возможность регистрации  всех действий, им фиксируемых. К таким  действиям относятся не только пропуск  или блокирование сетевых пакетов, но и изменение правил разграничения  доступа администратором безопасности и другие действия. Такая регистрация  позволяет обращаться к создаваемым  журналам по мере необходимости - в  случае возникновения инцидента  безопасности или сбора доказательств для предоставления их в судебные инстанции или для внутреннего расследования.