Максимальная пропускная способность.

      Комментарии к записи Максимальная пропускная способность. отключены

Недостатки у простой фильтрации пакетов следующие:

  • локальная сеть видна (маршрутизируется) из сети Интернет;
  • не учитывается содержимое IP-пакетов;
  • правила фильтрации пакетов трудны в описании;
  • при нарушении работоспособности МЭ все компьютеры за ним становятся полностью незащищенными либо недоступными;
  • аутентификацию с использованием IP-адреса (внешней сети) можно обмануть подменой адреса;

Отсутствует аутентификация на пользовательском уровне.

Сервера уровня соединения

Сервер уровня соединения представляет из себя транслятор TCP соединения. Пользователь образует соединение с определенным портом на брандмауэре, после чего последний производит соединение с местом назначения по другую сторону от брандмауэра. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как посредник. Посредничество заключается в том, что связь между двумя компьютерами физически осуществляется через систему-посредника и реально состоит из двух TCP-соединений.

Следует отметить, что компьютер-инициатор не передает МЭ имя компьютера-адресата — его IP-адрес и номер TCP-порта фиксированы для конкретного МЭ и известны. Из этого замечания следует, что, во-первых, связь через МЭ осуществляется от многих к одному, а, во-вторых, МЭ уровня соединения используются только для организации безопасного соединения от внешних компьютеров (удаленных рабочих станций) к внутреннему компьютеру (серверу поддержки локальной сети или информационному серверу). Тем не менее, возможен случай, когда компьютеров-адресатов будет несколько. При этом МЭ, поддерживающий этот случай, перед установлением связи с адресатом должен выбрать конкретный компьютер из нескольких идентичных.

Под безопасностью связи подразумевается то, что после установления связи факт ее существования уже запротоколирован и проведена аутентификация компьютера-инициатора связи. Протоколирование факта означает не только возможность в дальнейшем выследить злоумышленника, но и возможность обнаружения атаки в реальном масштабе времени. Под аутентификацией компьютера-инициатора понимаются действия, предпринимаемые МЭ при проверке допустимости связи.

Проверка допустимости связи выполняется МЭ непосредственно после запроса на соединение компьютером-инициатором и может основываться на данных из пакета-запроса на соединение, данных окружающей среды и статистических данных. В качестве данных пакета-запроса на соединение могут использоваться:

  • IP-адрес компьютера-инициатора,
  • начальный номер (SYN) пакета TCP-соединения,
  • дополнительные параметры TCP-соединения.

Возможными используемыми данными окружающей среды являются:

  • ответ DNS-сервера на запрос о символьном имени компьютера-инициатора,
  • сетевой интерфейс контроля,
  • текущее время запроса соединения,
  • текущее количество соединений с компьютером-адресатом (от компьютера-инициатора, от сети компьютера-инициатора, общее число и т.п.) через МЭ.

Наиболее важными из перечисленных выше являются IP-адрес компьютера-инициатора и ответ DNS-сервера, содержащий символьное имя (если таковое имеется) компьютера-инициатора, и текущее время запроса соединения. Следует отметить, что при передаче данных соединения возможен контроль некоторых параметров в целях улучшения защиты и качества соединения:

  • длительность соединения,
  • скорость передачи данных,
  • текущие параметры окна TCP-соединения, и
  • большое количество ошибок передачи данных.

Контролирование этих параметров позволяет правильно распределить пропускную способность канала связи между несколькими соединениями, тем самым, ограничив максимально возможную загрузку линий связи трафиком злоумышленника, а также позволяет вовремя обнаружить деятельность злоумышленника и закрыть (т.е. завершить по инициативе посредника) данное соединение (с протоколированием причины и уведомлением об этом администратора).

Метод задания политики фильтрации и принцип функционирования части устройства, реализующей определение допустимости соединения аналогичен вышеописанному.

К преимуществам МЭ уровня соединения следует отнести следующие:

  • локальная сеть может быть сделана невидимой из глобальной сети;
  • наличие (элементарной) аутентификации компьютера-инициатора соединения по его символьному имени;
  • использование политики запрещено все, что не разрешено;
  • способность гибкого регулирования (ограничения) пропускной способности;
  • возможность эффективного противостояния атакам с неправильной фрагментацией пакетов соединения;
  • возможность противостояния атакам с использованием протокола ICMP;
  • возможность использования статистической информации о соединениях для определения неоднократных попыток соединения злоумышленником и автоматического блокирования его действий.

Недостатками МЭ этого типа являются:

  • отсутствие аутентификации пользователя;
  • нет защиты целостности и конфиденциальности передаваемых данных;
  • возможность подмены злоумышленником IP-адреса компьютера-инициатора;
  • возможность подмены во время связи аутентифицированного компьютера-инициатора;
  • невозможность использования протокола UDP.

Статьи к прочтению:

Максимальная приемлемая пропускная способность в CS GO / ЧТО ЭТО?


Похожие статьи: