Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
Имитация IP-адресов имеет место, когда хакер присваивает IP-адрес законного пользователя - зачастую им является внутренний адрес того, кто имеет доступ к ресурсам. Так как фильтры пакетов «просматривают» информацию об IP-адресе, то они допускают пакет с разрешенным адресом в сеть вне зависимости от того, откуда инициирован сеанс и кто скрывается за адресом. Однако усовершенствованная версия этого механизма, известная как динамическая фильтрация пакетов, позволяет анализировать адрес, с которого некто пытается осуществить доступ, и производит «пингование» (ping) для проверки этого адреса. Очевидно, если злоумышленник использует внутренний IP-адрес компании извне, то ping не достигнет отправителя пакета и сеанс не получит продоллсения. Динамическую фильтрацию пакетов поддерживают продукты типа WatchGuard Security System компании Seattle Software Labs и BorderWare Firewall Server компании Secure Computing (данный продукт был приобретен Secure вместе с компанией Border Network Technologies из Торонто в начале этого года).
Компании Seattle Software Labs, Cisco и Checkpoint Software Technologies также поддерживают технологию преобразования сетевого адреса, которая обеспечивает обычную фильтрацию пакетов с искажением. При прохождении пакета через брандмауэр его IP-адрес заменяется каким-то иным, выбранным из пула адресов. Такая замена позволяет скрыть внутренние адреса от злоумышленника за пределами сети. Другие типы брандмауэров, например шлюзы уровня приложения и шлюзы уровня канала, обладают этим же свойством по умолчанию.
32Q Компьютерная безопасность и практическое применение криптографии
Когда дело касается протоколирования сетевого трафика, продукты, со-дерлсащие только фильтры пакетов, оказываются не в состоянии выполнить эту задачу - в результате администраторы не могут определить, что их сеть была взломана. Сети, имеющие несколько точек доступа извне, или сети, содержащие чрезвычайно важную информацию, наряду с фильтрами пакетов должны использовать и другие продукты.
3.6.2. Шлюзы сеансового уровня
Шлюз сеансового уровня представляет собой транслятор ТСР-соедине-ния. Пользователь устанавливает соединение с определенным портом на брандмауэре, который и производит дальнейшее соединение с местом назначения по другую от себя сторону. Во время сеанса этот транслятор, действуя как провод, копирует байты в обоих направлениях. Как правило, пункт назначения задается заранее, в то время как источников может быть много (соединение типа «один-много»). Используя разные порты, молено создавать различные конфигурации соединений. Данный тип шлюза позволяет создавать транслятор для любого определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису и сбор статистики по его использованию.
Чтобы определить, является ли запрос на сеанс связи допустимым, шлюз сеансового уровня выполняет следующую процедуру (схема не претендует на исчерпывающую полноту). Когда авторизованный клиент запрашивает некоторую услугу, шлюз принимает этот запрос, проверяя, удовлетворяет ли клиент базовым критериям фильтрации (например, молсет ли DNS-сервер определить IP-адрес клиента и ассоциированное с ним имя). Затем, действуя от имени клиента, шлюз устанавливает соединение с внешним хостом и следит за выполнением процедуры квитирования связи по протоколу TCP. Эта процедура состоит из обмена TCP-пакетами, которые помечаются флагами SYN (синхронизировать) и ACK (подтвердить).
Первый пакет сеанса TCP, помеченный флагом SYN и содержащий произвольное число, например 1000, является запросом клиента на открытие сеанса. Внешний хост, получивший этот пакет, посылает в ответ пакет, помеченный флагом ACK и содерлеащий число, на единицу больше, чем в принятом пакете (в нашем случае 1001), подтверждая таким образом прием пакета SYN от клиента. После этого осуществляется обратная процедура: хост посылает клиенту пакет SYN с исходным числом (например, 2000), а клиент подтверждает его получение передачей пакета АСК, содержащего число 2001. На этом процесс квитирования связи завершается.
Применение межсетевых экранов
321
Шлюз сеансового уровня считает запрошенный сеанс допустимым только в том случае, если при выполнении процедуры квитирования связи флаги SYN и АСК, а также числа, содержащиеся в TCP-пакетах, оказываются логически связанными между собой.
После того как шлюз определил, что доверенный клиент и внешний шлюз являются авторизованными участниками сеанса TCP, и проверил допустимость данного сеанса, он устанавливает соединение. Начиная с этого момента шлюз просто копирует и перенаправляет пакеты туда и обратно, не проводя никакой фильтрации. Он поддерживает таблицу установленных соединений, пропуская данные, относящиеся к одному из сеансов связи, которые зафиксированы в этой таблице. Когда сеанс завершается, шлюз удаляет соответствующий элемент из таблицы и разрывает цепь, использовавшуюся в данном сеансе.
Шлюзы сеансового уровня не имеют уязвимых мест, однако после установления связи такие шлюзы фильтруют пакеты только на сеансовом уровне модели OSI, то есть не могут проверять содержимое пакетов, передаваемых между внутренней и внешней сетью на уровне прикладных программ, и, поскольку эта передача осуществляется вслепую, хакер, находящийся во внешней сети, имеет возможность протащить свои пакеты через шлюз. После этого хакер может уже напрямую обратиться к внутреннему Web-серверу, который сам по себе не способен выполнять функции МЭ.
