Недостатки у простой фильтрации пакетов следующие:
- локальная сеть видна (маршрутизируется) из сети Интернет;
- не учитывается содержимое IP-пакетов;
- правила фильтрации пакетов трудны в описании;
- при нарушении работоспособности МЭ все компьютеры за ним становятся полностью незащищенными либо недоступными;
- аутентификацию с использованием IP-адреса (внешней сети) можно обмануть подменой адреса;
Отсутствует аутентификация на пользовательском уровне.
Сервера уровня соединения
Сервер уровня соединения представляет из себя транслятор TCP соединения. Пользователь образует соединение с определенным портом на брандмауэре, после чего последний производит соединение с местом назначения по другую сторону от брандмауэра. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как посредник. Посредничество заключается в том, что связь между двумя компьютерами физически осуществляется через систему-посредника и реально состоит из двух TCP-соединений.
Следует отметить, что компьютер-инициатор не передает МЭ имя компьютера-адресата — его IP-адрес и номер TCP-порта фиксированы для конкретного МЭ и известны. Из этого замечания следует, что, во-первых, связь через МЭ осуществляется от многих к одному, а, во-вторых, МЭ уровня соединения используются только для организации безопасного соединения от внешних компьютеров (удаленных рабочих станций) к внутреннему компьютеру (серверу поддержки локальной сети или информационному серверу). Тем не менее, возможен случай, когда компьютеров-адресатов будет несколько. При этом МЭ, поддерживающий этот случай, перед установлением связи с адресатом должен выбрать конкретный компьютер из нескольких идентичных.
Под безопасностью связи подразумевается то, что после установления связи факт ее существования уже запротоколирован и проведена аутентификация компьютера-инициатора связи. Протоколирование факта означает не только возможность в дальнейшем выследить злоумышленника, но и возможность обнаружения атаки в реальном масштабе времени. Под аутентификацией компьютера-инициатора понимаются действия, предпринимаемые МЭ при проверке допустимости связи.
Проверка допустимости связи выполняется МЭ непосредственно после запроса на соединение компьютером-инициатором и может основываться на данных из пакета-запроса на соединение, данных окружающей среды и статистических данных. В качестве данных пакета-запроса на соединение могут использоваться:
- IP-адрес компьютера-инициатора,
- начальный номер (SYN) пакета TCP-соединения,
- дополнительные параметры TCP-соединения.
Возможными используемыми данными окружающей среды являются:
- ответ DNS-сервера на запрос о символьном имени компьютера-инициатора,
- сетевой интерфейс контроля,
- текущее время запроса соединения,
- текущее количество соединений с компьютером-адресатом (от компьютера-инициатора, от сети компьютера-инициатора, общее число и т.п.) через МЭ.
Наиболее важными из перечисленных выше являются IP-адрес компьютера-инициатора и ответ DNS-сервера, содержащий символьное имя (если таковое имеется) компьютера-инициатора, и текущее время запроса соединения. Следует отметить, что при передаче данных соединения возможен контроль некоторых параметров в целях улучшения защиты и качества соединения:
- длительность соединения,
- скорость передачи данных,
- текущие параметры окна TCP-соединения, и
- большое количество ошибок передачи данных.
Контролирование этих параметров позволяет правильно распределить пропускную способность канала связи между несколькими соединениями, тем самым, ограничив максимально возможную загрузку линий связи трафиком злоумышленника, а также позволяет вовремя обнаружить деятельность злоумышленника и закрыть (т.е. завершить по инициативе посредника) данное соединение (с протоколированием причины и уведомлением об этом администратора).
Метод задания политики фильтрации и принцип функционирования части устройства, реализующей определение допустимости соединения аналогичен вышеописанному.
К преимуществам МЭ уровня соединения следует отнести следующие:
- локальная сеть может быть сделана невидимой из глобальной сети;
- наличие (элементарной) аутентификации компьютера-инициатора соединения по его символьному имени;
- использование политики запрещено все, что не разрешено;
- способность гибкого регулирования (ограничения) пропускной способности;
- возможность эффективного противостояния атакам с неправильной фрагментацией пакетов соединения;
- возможность противостояния атакам с использованием протокола ICMP;
- возможность использования статистической информации о соединениях для определения неоднократных попыток соединения злоумышленником и автоматического блокирования его действий.
Недостатками МЭ этого типа являются:
- отсутствие аутентификации пользователя;
- нет защиты целостности и конфиденциальности передаваемых данных;
- возможность подмены злоумышленником IP-адреса компьютера-инициатора;
- возможность подмены во время связи аутентифицированного компьютера-инициатора;
- невозможность использования протокола UDP.
Статьи к прочтению:
- Мари́сса энн ма́йер
- Математическое ожидание квадрата дискретной случайной величины, заданной законом распределенияравно тогда значение равно … 0
Максимальная приемлемая пропускная способность в CS GO / ЧТО ЭТО?
Похожие статьи:
-
Пропускная способность (throughput) линии характеризует максимально возможную скорость передачи данных по линии связи. Пропускная способность измеряется…
-
Пропускная способность каналов передачи скрываемой информации
Атаки на стеганосистемы Нарушитель может быть пассивным, активным и злоумышленным. В зависимости от этого он может создавать различные угрозы….