Максимальная пропускная способность.

Недостатки у простой фильтрации пакетов следующие:

• локальная сеть видна (маршрутизируется) из сети Интернет;
• не учитывается содержимое IP-пакетов;
• правила фильтрации пакетов трудны в описании;
• при нарушении работоспособности МЭ все компьютеры за ним становятся полностью незащищенными либо недоступными;
• аутентификацию с использованием IP-адреса (внешней сети) можно обмануть подменой адреса;

Отсутствует аутентификация на пользовательском уровне.

Сервера уровня соединения

Сервер уровня соединения представляет из себя транслятор TCP соединения. Пользователь образует соединение с определенным портом на брандмауэре, после чего последний производит соединение с местом назначения по другую сторону от брандмауэра. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как посредник. Посредничество заключается в том, что связь между двумя компьютерами физически осуществляется через систему-посредника и реально состоит из двух TCP-соединений.

Следует отметить, что компьютер-инициатор не передает МЭ имя компьютера-адресата — его IP-адрес и номер TCP-порта фиксированы для конкретного МЭ и известны. Из этого замечания следует, что, во-первых, связь через МЭ осуществляется от многих к одному, а, во-вторых, МЭ уровня соединения используются только для организации безопасного соединения от внешних компьютеров (удаленных рабочих станций) к внутреннему компьютеру (серверу поддержки локальной сети или информационному серверу). Тем не менее, возможен случай, когда компьютеров-адресатов будет несколько. При этом МЭ, поддерживающий этот случай, перед установлением связи с адресатом должен выбрать конкретный компьютер из нескольких идентичных.

Под безопасностью связи подразумевается то, что после установления связи факт ее существования уже запротоколирован и проведена аутентификация компьютера-инициатора связи. Протоколирование факта означает не только возможность в дальнейшем выследить злоумышленника, но и возможность обнаружения атаки в реальном масштабе времени. Под аутентификацией компьютера-инициатора понимаются действия, предпринимаемые МЭ при проверке допустимости связи.

Проверка допустимости связи выполняется МЭ непосредственно после запроса на соединение компьютером-инициатором и может основываться на данных из пакета-запроса на соединение, данных окружающей среды и статистических данных. В качестве данных пакета-запроса на соединение могут использоваться:

• IP-адрес компьютера-инициатора,
• начальный номер (SYN) пакета TCP-соединения,
• дополнительные параметры TCP-соединения.

Возможными используемыми данными окружающей среды являются:

• ответ DNS-сервера на запрос о символьном имени компьютера-инициатора,
• сетевой интерфейс контроля,
• текущее время запроса соединения,
• текущее количество соединений с компьютером-адресатом (от компьютера-инициатора, от сети компьютера-инициатора, общее число и т.п.) через МЭ.

Наиболее важными из перечисленных выше являются IP-адрес компьютера-инициатора и ответ DNS-сервера, содержащий символьное имя (если таковое имеется) компьютера-инициатора, и текущее время запроса соединения. Следует отметить, что при передаче данных соединения возможен контроль некоторых параметров в целях улучшения защиты и качества соединения:

• длительность соединения,
• скорость передачи данных,
• текущие параметры окна TCP-соединения, и
• большое количество ошибок передачи данных.

Контролирование этих параметров позволяет правильно распределить пропускную способность канала связи между несколькими соединениями, тем самым, ограничив максимально возможную загрузку линий связи трафиком злоумышленника, а также позволяет вовремя обнаружить деятельность злоумышленника и закрыть (т.е. завершить по инициативе посредника) данное соединение (с протоколированием причины и уведомлением об этом администратора).

Метод задания политики фильтрации и принцип функционирования части устройства, реализующей определение допустимости соединения аналогичен вышеописанному.

К преимуществам МЭ уровня соединения следует отнести следующие:

• локальная сеть может быть сделана невидимой из глобальной сети;
• наличие (элементарной) аутентификации компьютера-инициатора соединения по его символьному имени;
• использование политики запрещено все, что не разрешено;
• способность гибкого регулирования (ограничения) пропускной способности;
• возможность эффективного противостояния атакам с неправильной фрагментацией пакетов соединения;
• возможность противостояния атакам с использованием протокола ICMP;
• возможность использования статистической информации о соединениях для определения неоднократных попыток соединения злоумышленником и автоматического блокирования его действий.

Недостатками МЭ этого типа являются:

• отсутствие аутентификации пользователя;
• нет защиты целостности и конфиденциальности передаваемых данных;
• возможность подмены злоумышленником IP-адреса компьютера-инициатора;
• возможность подмены во время связи аутентифицированного компьютера-инициатора;
• невозможность использования протокола UDP.

Статьи к прочтению:

• Мари́сса энн ма́йер
• Математическое ожидание квадрата дискретной случайной величины, заданной законом распределенияравно тогда значение равно … 0

Максимальная приемлемая пропускная способность в CS GO / ЧТО ЭТО?

Похожие статьи:

• Пропускная способность линии

  Пропускная способность (throughput) линии характеризует максимально возможную скорость передачи данных по линии связи. Пропускная способность измеряется…

• Пропускная способность каналов передачи скрываемой информации

  Атаки на стеганосистемы Нарушитель может быть пассивным, активным и злоумышленным. В зависимости от этого он может создавать различные угрозы….