Текущее время: Чт мар 28, 2024 14:55

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 22 ]  На страницу Пред.  1, 2, 3
Автор Сообщение
 Заголовок сообщения:
СообщениеДобавлено: Сб авг 18, 2007 23:39 
Не в сети
Пишет и возвращается...
Пишет и возвращается...
Аватара пользователя

Зарегистрирован: Вс мар 19, 2006 01:36
Сообщения: 109
Откуда: Россия,Санкт-Петербург
для kompRomat:
без вопросов... пиво с тя :oops:

_________________
<?
$name = "k@mik@dzzze";
$k@mik@dzzze = "my_name";
session_register($name)
?>


Вернуться к началу
 Профиль  
Ответить с цитатой  
 Заголовок сообщения:
СообщениеДобавлено: Вс авг 19, 2007 00:00 
Не в сети
Пишет и возвращается...
Пишет и возвращается...
Аватара пользователя

Зарегистрирован: Вс мар 19, 2006 01:36
Сообщения: 109
Откуда: Россия,Санкт-Петербург
Межсетевые экраны (МСЭ) можно условно разделить на несколько классов, согласно уровням модели взаимодействия открытых систем (Open Systems Interconnection, OSI):

МСЭ сетевого и транспортного уровня (packet-swit-ched firewall);
МСЭ сеансового уровня (circuit-level gateway);
МСЭ прикладного уровня (application-level gate-way);
МСЭ экспертного уровня (Statefull Packet Inspections), работающие практически на всех уровнях OSI.


МСЭ сетевого взаимодействия обеспечивают фильтрацию пакетов и наиболее просты в реализации. По заданным администратором спискам контроля доступа ACL (Access Control List) проводится анализ адресов отправителя и получателя пакетов и номера протокола, но при этом не анализируются информация, содержащаяся в пакетах. Эти решения позволяют ограничивать трафик и разбивать сеть на области с различным уровнем доверия.



МСЭ сеансового уровня работают на сетевом, транспортном и сеансовом уровнях взаимодействия. Такие устройства могут формировать динамические правила прохождения пакетов информации, согласно которым при установлении сессии, разрешенной списком контроля доступа, МСЭ создает таблицу прохождения пакетов (session state table) за пределы периметра сети. После этого МСЭ обеспечит прохождение внешних пакетов на тот же порт и на тот же адрес, с которого была инициирована сессия. Как и в предыдущем случае, полезная информация в пакетах не анализируется. Такие устройства позволяют предотвратить атаки типа DoS (Denial of Service - отказ в обслуживании), не позволяя открыть сессий больше, чем устройство сможет обработать, и запретить сессии, инициируемые из внешней сети.



МСЭ прикладного уровня работают на верхнем (прикладном) уровне OSI и позволяют производить анализ передаваемой информации. Различают два подкласса:

«прозрачные» МСЭ (transparent);
МСЭ-посредники (proxy).


Первые называются «прозрачными» из-за прозрачности прохождения информации и отсутствия необходимости в специальной настройке клиентских и серверных приложений. Вторые устанавливают отдельные сессии с клиентом и сервером и являются транзитной точкой на пути прохождения пакетов по маршруту «клиент-сервер». Каждый вариант имеет свои преимущества - используя «прозрачные» МСЭ можно добиться высокой производительности, а при использовании «посредников» - повышенной защищенности.



МСЭ экспертного уровня с полной пакетной проверкой (Statefull Packet Inspections) производят анализ пакетов практически на всех уровнях OSI - начиная с сетевого и заканчивая прикладным. Именно этот класс устройств наиболее перспективен и активно развивается. Такие МСЭ проверяют корректность работы приложений по протоколам прикладного уровня, могут блокировать отдельные команды протоколов, контролировать корректность их работы, последовательность команд и формат структуры пакетов.



Подавляющее большинство выпускаемых в настоящее время устройств могут производить полную пакетную проверку. Однако в недорогих устройствах такой анализ выполняется, как правило, лишь для протокола HTTP.



Существует еще один тип анализа - углубленная проверка пакетов (Deep Packet Inspection). Такой тип анализа применяется в устройствах предотвращения и обнаружения атак и МСЭ высокого класса защиты. В отличие от полной пакетной проверки здесь анализируется не только заголовок и проверяется корректность работы протокола, но и «просматривается» содержимое пакета. Такой анализ может обнаруживать скрытые атаки и потенциально опасное содержимое, например, вирусы и троянские программы.



Отметим еще один нюанс, который касается поддержки VPN межсетевыми экранами. Эта функция давно стала стандартной и продиктована не только удобством (не нужно покупать отдельное устройство), но и жесткой необходимостью. Дело в том, что если для шифрования и дешифрования трафика, проходящего через VPN-тоннель, используется отдельное устройство, находящееся внутри сети, то МСЭ не сможет выполнить анализ зашифрованного трафика и, соответственно, не сможет ограничивать доступ к сети. Кроме того, если мы вынесем это устройство за пределы сети, оно может быть подвержено атакам извне. Поэтому современные МСЭ имеют модуль VPN, позволяющий вначале расшифровывать трафик, а затем производить его фильтрацию.





Полнофункциональный фаервол RN



Мультизонные фаерволы - это полнофункциональные МСЭ с запоминанием состояния, работа которых основана на запатентованной Ranch Networks технологии Однопроходного Сканирования Пакетов «Single Packet Path». Все устройства RN используют операционную систему реального времени VxWorks, поверх которой работает операционная система RanchOS. Устройства используют НЕ функционал фаерволов VxWorks, а собственный запатентованный метод полнофункциональных мультизонных фаерволов, которые всецело сочетаются со стандартами IETF. Устройства Ranch Networks обеспечивают функции безопасности на многих уровнях модели OSI:



Физический уровень

Когда сконфигурирована физическая зона безопасности на фаерволе RN, тогда обеспечивается безопасность на физическом уровне. (см. Руководство пользователя Network Services Configuration ->Topology configuration).



Канальный уровень

Устройства RN обеспечивают безопасность по MAC-адресам + IEEE802.3x (см. Руководство пользователя Firewall Configuration-> MAC security).



3-7 уровни. Фаерволы RN обеспечивают защиту на этих уровнях при помощи пакетного фильтра, полнофункционального инспектирования и прокси (в настоящее время прокси имплементирована только для FTP-трафика).












Полнофункциональное инспектирование



Когда хост на сети открывает любую сессию (TCP, ICPM и т.д.), устройство RN ее терминирует (прерывает) и открывает новую сессию к заданному IP-адресу назначения. Динамически или «полнофункционально» фаервол будет сохранять состояние этой сессии в оба конца и будет поддерживать таблицу активных TCP, ICMP сессий и псевдо-активных UDP сессий. Фаервол RN записывает IP-адреса источника и назначения, номера портов и последовательность номеров пакетов для всех TCP-сессий или UDP-потоков, которые удовлетворяют установленным политикам безопасности (правилам). Если пакет не принадлежит ни одной из открытых сессий, то он поступает на проверку соответствия правилам фаервола RN. Пакеты, не сочетающиеся с правилами фаервола - уничтожаются.



Полнофункциональное инспектирование более надежно чем пакетная фильтрация, потому как последняя пропускает все пакеты, относящиеся к разрешенным сессиям. Например, вместо того чтобы позволить любому хосту или программе посылать любой тип TCP-трафика на 80-ый порт, полнофункциональное инспектирование проверит принадлежность пакета к какой-либо существующей сессии. Потом, более того, фаервол может аутентифицировать пользователя, когда сессия будет установлена, может так же определить – действительно ли поток несет HTTP трафик и может запрещать требуемые типы трафика на 7-ом уровне (к примеру фильтровать URL по черному списку сайтов).



Для более детального описания работы полнофункционального фаервола обратитесь, пожалуйста, к стандартам IETF RFC на web-сайте www.ietf.org.





Обработка пакетов



Когда приходит пакет, RN начинает его просматривать на сетевом уровне. RanchOS выполняет проверку корректности пакета. Например, если MAC-адрес весь по нулям, то пакет уничтожается сразу, т.е. система не будет тратить ресурсов впустую. Если пакет нормальный, то RanchOS просматривает таблицу соединений, что бы узнать – является ли пакет частью существующей TCP-сессии. (Хотя UDP – это протокол без установления соединения, но RN все равно создает псевдо-сессию для отображения каждого UDP-потока).



Если сессия уже создана, RanchOS проверяет порядковый номер пакета, код сегмента для удостоверения в том, что пакет действительно принадлежит этой очереди. Например, неправильный порядковый номер пакета может служить признаком перехваченной сессии.



Если сессия не создана, то пакет должен быть классифицирован – т.е. как мы должны найти правило (политику безопасности), которое определит, что нужно делать с пакетом. Это то в чем другие фаерволы проигрывают, требуя системных администраторов выбирать между безопасностью и производительностью.










Следующая таблица является примером таблицы состояний сессий для TCP соединений.






Пример таблицы состояний сессий Ranch Networks



Src

Address
Src Port
Dest Address
Dest Port
Connection State
Sequence Number
TCP window value
TCP Flags value

192.168.1.100
1030
210.9.88.29
80
Established
12222
500
SYN

192.168.1.102
1031
216.32.42.123
80
Established
23232
500
ACK

192.168.1.101
1033
173.66.32.122
25
Established
3434
1500
FIN

192.168.1.106
1035
177.231.32.12
79
Established
35
1500
FIN

223.43.21.231
1990
192.168.1.6
80
Established
6544
1500
FIN

219.22.123.32
2112
192.168.1.6
80
Established
877
1500
SYN

210.99.212.18
3321
192.168.1.6
80
Established
65
1500
SYN

24.102.32.23
1025
192.168.1.6
80
Established
445
1500
SYN

3.223.212.212
1046
192.168.1.6
80
Established
987
1500
SYN






Итак, какими же особенностями обладает фаервол RN?



Фаервол RN – это устройство экспертного уровня, которое может выполнять фильтрацию на всех уровнях модели OSI, имеет до 870 независимых полнофункциональных МСЭ с запоминанием состояния, поддерживает списки доступа ACL и VPN-шифрование, скрывает IP-адреса внутренней сети (NAT) и порты приложений (PAT), обеспечивает обнаружение распространенных атак.

_________________
<?
$name = "k@mik@dzzze";
$k@mik@dzzze = "my_name";
session_register($name)
?>


Вернуться к началу
 Профиль  
Ответить с цитатой  
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 22 ]  На страницу Пред.  1, 2, 3

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 5


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
2003-2009 © проект СПб ЧАТа, по всем вопросам обращайтесь к администрации