Международные стандарты информационного обмена

Электронная почта, а также содержимое сеансов TELNET и FTP, может перехватываться и использоваться для получения информации об организации и ее взаимодействии с другими организациями в ходе повседневной деятельности. Большинство пользователей не шифруют почту, так как многие полагают, что электронная почта безопасна и с ее помощью можно передавать критическую информацию.

Легкость маскировки под других

Предполагается, что IP-адрес хоста правильный, и службы TCP и UDP поэтому могут доверять ему. Проблема заключается в том, что используя маршрутизацию IP-источника, хост атакующего может замаскироваться под доверенного хоста или клиента. Коротко говоря, маршрутизация IP-источника - это опция, с помощью которой можно явно указать маршрут к назначению и путь, по которому пакет будет возвращаться к отправителю. Это путь может включать использование других маршрутизаторов или хостов, которые в обычных условиях не используются при передаче пакетов к назначению. Рассмотрим следующий пример того, как это может быть использовано для маскировки системы атакующего под доверенный клиент какого-то сервера:

1. Атакующий меняет IP-адрес своего хоста на тот, который имеет доверенный клиент.

2. Атакующий создает маршрут для маршрутизации источника к этому серверу, в котором явно указывает путь, по которому должны передаваться IP-пакеты к серверу и от сервера к хосту атакующего, и использует адрес доверенного клиента как последний промежуточный адрес в пути к серверу.

3. Атакующий посылает клиентский запрос к серверу, используя опцию маршрутизации источника.

4. Сервер принимает клиентский запрос, как если бы он пришел от доверенного клиента, и возвращает ответ доверенному клиенту.

5. Доверенный клиент, используя опцию маршрутизации источника, переправляет пакет к хосту атакующего.

Многие хосты Unix принимают пакеты с маршрутизацией источника и будут передавать их по пути, указанному в пакете. Многие маршрутизаторы также принимают пакеты с маршрутизацией источника, в то время как некоторые маршрутизаторы могут быть сконфигурированы таким образом, что будут блокировать такие пакеты.

Еще более простым способом маскировки под клиента является ожидание того момента времени, когда клиентская система будет выключена, и последующая маскировка под нее. Атакующий может сконфигурировать по окончании работы свой ПЭВМ таким образом, что он будет иметь то же самое имя и IP-адрес, что и другая машина, а затем инициировать соединение с Unix-овским хостом, как если бы он был доверенным клиентом. Это очень просто сделать и именно так поступают атакующие - сотрудники организации.

Электронную почту в Интернете особенно легко подделать, и ей вообще нельзя доверять, если в ней не применяются расширения, такие как электронная подпись письма. Например, давайте рассмотрим взаимодействие между хостами Интернета при обмене почтой. Взаимодействие происходит с помощью простого протокола, использующего текстовые команды. Злоумышленник может легко ввести эти команды вручную, используя TELNET для установления сеанса с портом SMTP (простой протокол передачи почты). Принимающий хост доверяет тому, что заявляет о себе хост-отправитель, поэтому можно легко указать ложный источник письма, введя адрес электронной почты как адрес отправителя, который будет отличаться от истинного адреса. В результате, любой пользователь, не имеющий никаких привилегий, может фальсифицировать электронное письмо.

В других сервисах, таких как DNS, также можно замаскироваться под другую машину, но сделать это несколько сложнее, чем для электронной почты. Для этих сервисов до сих пор существуют угрозы, и их надо учитывать тому, кто собирается пользоваться ими.

Недостатки служб ЛВС и взаимное доверие хостов друг к другу

Хосты тяжело поддерживать в безопасном состоянии и это занимает много времени. Для упрощения управления хостами и большего использования преимуществ ЛВС, некоторые организации используют такие сервисы, как NIS (Network Information Service) и NFS (Network File system). Эти сервисы могут сильно уменьшить время на конфигурирование хостов, позволяя управлять рядом баз данных, таких как файлы паролей, с помощью удаленного доступа к ним и обеспечивая возможность совместного использования файлов и данных. К сожалению, эти сервисы небезопасны по своей природе и могут использоваться для получения доступа грамотными злоумышленниками. Если скомпрометирован центральный сервер, то другие системы, доверяющие центральной системе, также могут быть легко скомпрометированы.

Некоторые сервисы, такие как rlogin, позволяют хостам "доверять" друг другу для удобства работы пользователей и облегчения совместного использования систем и устройств. Если в систему было совершено проникновение или ее обманули с помощью маскарада, и этой системе другие системы, то для злоумышленника не составит труда получить доступ к другим системам. Например, пользователь, зарегистрированный на нескольких машинах, может избавиться от необходимости вводить пароль, сконфигурировав себя на этих машинах так, что они будут доверять подключению с основной системы пользователя. Когда пользователь использует rlogin для подключения к хосту, то машина, к которой подключаются, не будет спрашивать пароль, а подключение будет просто разрешено. Хотя это и не так уж плохо, так как пароль пользователя не передается и не сможет быть перехвачен, это имеет тот недостаток, что если злоумышленник проникнет на основную машину под именем пользователя, то злоумышленник легко сможет воспользоваться rlogin для проникновения в счета пользователя на других системах. По этой причине использование взаимного доверия хостов друг к другу не рекомендуется.

Сложность конфигурирования и мер защиты

Системы управления доступом в хостах часто сложны в настройке и тяжело проверить, правильно ли они работают. В результате неправильно сконфигурированные меры защиты могут привести к проникновению злоумышленников. Несколько крупных производителей Unix все еще продают свои системы с системой управления доступом, сконфигурированной так, что пользователям предоставлен максимальный (то есть наименее безопасный) доступ, который может привести к неавторизованному доступу, если не будет произведена переконфигурация.

Ряд инцидентов с безопасностью произошел в Интернете отчасти из-за того, что злоумышленники обнаружили уязвимые места (позднее их обнаружили пользователи, группы компьютерной безопасности и сами производители). Отчасти ошибки существуют из-за сложности программ и невозможности проверить их во всех средах, в которых они должны работать. Иногда ошибки легко обнаруживаются и исправляются, но бывает и так, что надо, как минимум, переписать все приложение, что является последним средством (программа sendmail тому пример).

Сети, которые соединены с Интернетом, подвергаются некоторому риску того, что их системы будут атакованы или подвергнуты некоторому воздействию со стороны злоумышленников, и что риск этого значителен. Следующие факторы могут повлиять на уровень риска:

- число систем в сети;

- какие службы используются в сети;

- каким образом сеть соединена с Интернетом;

- профиль сети, или насколько известно о ее существовании.

Чем больше систем в сети, тем труднее контролировать их безопасность. Аналогично, если сеть соединена с Интернетом в нескольких местах, то она будет более уязвима, чем сеть с одним шлюзом. В то же самое время, то, насколько готова к атаке организация, или то, насколько она зависит от Интернета, может увеличить или уменьшить риск. Сеть, имеющая привлекательный для злоумышленников профиль, может подвергнуться большему числу атак с целью получения информации, хранящейся в ней. Хотя, стоит сказать, что "молчаливые" мало посещаемые сети также привлекательны для злоумышленников, так как им легче будет скрыть свою активность.

Криптографическая защита информации в Интернет

Рассмотрим теперь еще одну сторону обеспечения безопасности - защиту собственно информации в сетях, имеющих выход в Интернет. Даже самые надежные блокираторы не дают стопроцентную защиту от несанкционированного доступа к информации, и противопоставлена этому может быть только криптографически обеспеченная система защиты.

На рынке достаточно много предложений средств защиты информации в Интернете, однако по ряду параметров ни одно из них не может быть признано адекватным задачам защиты информации именно для Сети. Например, достаточно криптостойкой является распространенная система PGP. Однако, т.к. PGP обеспечивает шифрование файлов, она применима только там, где можно обойтись файловым обменом. Защитить, например, приложения on-line с ее помощью затруднительно. Кроме того, уровень иерархии управления защиты PGP слишком высок: эту систему можно отнести к прикладному или представительскому уровням.

Альтернативу таким "высокоуровневым" системам защиты среди традиционных решений составляют устройства защиты канального и физического уровня - скремблеры и канальные шифраторы. Они невидимы с прикладного уровня и в этом смысле совместимы со всеми приложениями. Однако такие системы имеют ограниченную совместимость с физическими средами передачи данных. Это, как правило, не сетевые устройства, способные распознавать топологию сети и обеспечить связь из конца в конец через многие промежуточные узлы, а "двуточечные" системы, работающие на концах защищаемой линии. На таких устройствах невозможно построить систему защиты в рамках такой сети, как Internet, хотя бы потому, что невозможно обеспечить их повсеместное распространение и всеобщую аппаратную совместимость.

Одной из технологий, предлагающих необходимые для применения в масштабах Интернет универсальность и общность, являются протокол, управляющий шифрованием трафика SKIP (Simple Key management for Internet Protocol - простой протокол управления ключами в Интернет) и созданный на его основе масштабируемый ряд продуктов защиты информации (ряд программных реализаций протокола SKIP для базовых аппаратно-программных платформ, устройство коллективной защиты локальной сети SKIPBridge, устройство сегментирования сетей и обеспечения регулируемой политики безопасности SunScreen). Эта спецификация была разработана компанией Sun в 1994 г и существует на сегодняшний день в виде проекта стандарта Интернет.

В основе SKIP лежит криптография открытых ключей Диффи-Хеллмана. Пока в рамках такой сети, как Интернет, этой криптографической системе нет альтернативы, т.к. она предоставляет возможность каждому участнику защищенного взаимодействия обеспечить полную конфиденциальность информации за счет неразглашения собственного секретного ключа и в то же время позволяет взаимодействовать с любым, даже незнакомым, партнером путем безопасного обмена с ним открытым ключом.

SKIP имеет, по сравнению с существующими системами шифрования трафика ряд уникальных особенностей:

- SKIP универсален: он шифрует IP-пакеты, не зная ничего о приложениях, пользователях или процессах, их формирующих; установленный в компьютере непосредственно над пакетным драйвером, он обрабатывает весь трафик, не накладывая никаких ограничений ни на вышележащее программное обеспечение, ни на физические каналы, на которых он используется;

- SKIP сеансонезависим: для организации защищенного взаимодействия не требуется дополнительного информационного обмена (за исключением однажды и навсегда запрошенного открытого ключа партнера по связи);

- SKIP независим от системы шифрования (в том смысле, что различные системы шифрования могут подсоединяться к системе, как внешние библиотечные модули); пользователь может выбирать любой из предлагаемых поставщиком или использовать свой алгоритм шифрования информации; могут использоваться различные (в разной степени защищенные) алгоритмы шифрования для закрытия пакетного ключа и собственно данных.

Существует еще один, в чем-то гораздо более продуктивный подход - не шифрование, а cкpывaниe информации. Множество форматов данных и кода предусматривают наличие неиспользуемых блоков данных, которые обычно наполняются просто мусором. Но в них можно поместить и какую-то осмысленную информацию, о существовании которой будут знать только отправитель и получатель, и которая будет совершенно прозрачна для программных средств так, что для непосвященного все будет выглядеть безобидно. Такой подход гораздо сильнее шифра - при пересылке шифра, по крайней мере, видно, что что-то пытаются скрыть. При пересылке же скрытых данных это вообще никак не видно, неизвестно даже, пересылается ли что-то дополнительное вообще. Поле деятельности для реализации такого подхода огромно. Многие форматы давно опубликованы и общеизвестны, а написание простейшей прячущей программки (совершенно произвольным образом) доступно практически любому.

Безопасность E-mail

Электронная почта, как впрочем и обычная, является важным атрибутом нашей безопасности, инструментом обмена информацией частного характера. Но она немедленно перестает быть таковым, если нарушаются три важных условия:

1. Текст сообщения доступен только отправителю и адресату.

2. Уверенность в том, что полученное письмо принадлежит тому человеку, чья подпись стоит под этим письмом.

3. Возможность отправить письмо, оставшись, в случае необходимости, анонимным. Рассмотрим каждый из этих вопросов.

Конфиденциальность почты

Технические специалисты компьютерных фирм говорят, что перехвату поддается лишь электронная почта (идущая в режиме off-line). Для того чтобы "поймать" сообщение, посылаемое по сети Internet в режиме прямого доступа (on-line), необходимо вести контроль постоянно: никто не может предсказать, в какой момент времени отправит сообщение именно интересующий спецслужбу человек. Постоянный контроль требует мобилизации огромных сил, к тому же он противоречит Закону об ОРД. В нем говорится о том, что проведение оперативно-розыскных мероприятий, затрагивающих охраняемые законом тайну переписки, телеграфных сообщений, телефонных и иных переговоров, допускается лишь для сбора информации о лицах, подготавливающих, совершающих или совершивших тяжкие преступления, и только с санкции прокурора или при наличии судебного решения. Несмотря на это, если Вы хотите быть абсолютно уверенным, что содержимое письма останется конфиденциальным, используйте средства криптографии. Наиболее удобно здесь использовать систему PGP, что позволит не только скрыть информацию от посторонних глаз, но и подтвердить автора сообщения.

Авторство E-Mail

Иногда у пользователя возникает ситуация, в которой ему хотелось бы выявить реального автора полученного сообщения.

Каждое электронное сообщение содержит заголовок (header), представляющий из себя служебную информацию о дате отправления сообщения, названии почтовой программы, IP адресе машины, с которой было отправлено сообщение, и т.п. Большинство почтовых программ по умолчанию не отражают эту информацию, но ее всегда можно просмотреть, либо открыв файл, содержащий входящую почту, с помощью любого текстового редактора, либо использовав функцию почтовой программы, позволяющую просматривать служебные заголовки, которая, как правило, называется Show all headers. Заголовки Received сообщают о пути, который прошло сообщение в процессе пересылки по сети. Самая главная строка - последняя из строк, начинающихся со слова Received:

Received: from masha.flash.net (really [209.30.69.99])

Она отражает имя машины (masha.flash.net) и уникальный IP адрес, с которого было отправлено сообщение. Впрочем, можно подделать и строку masha.flash.net (в Windows 95 это делается через Control Panel=>Network=>TCP/IP Properties=>DNS Configuration, указав masha и flash.net в полях Host и Domain соответственно), поэтому для нас важно определить имя, соответствующее данному IP адресу: 209.30.69.99. Для определения имени, соответствующего цифровому адресу, можно воспользоваться одной из доступных программ.

Бывают ситуации, когда адрес не определяется. В этом случае можно воспользоваться функцией TraceRoute из той же программы. Эта функция поможет проследить путь от Вашей машины до указанного IP адреса. Этот адрес (он будет последним в списке узлов, через которые сигнал прошел от Вашего компьютера до компьютера с указанным IP адресом) снова не определится, но последний из определившихся по имени узлов все-таки укажет на примерное географическое положение компьютера отправителя.

Анонимная отправка E-Mail

Иногда даже вполне добропорядочные граждане хотят сохранить в тайне свою личность.

Самый надежный способ - воспользоваться римейлером. Remailer (Римейлер) - это компьютер, получающий сообщение, и переправляющий его по адресу, указанному отправителем. В процессе переадресовки все заголовки (headers), содержащие информацию об отправителе, уничтожаются, так что конечный получатель лишен всякой возможности выяснить, кто автор сообщения. Remailer'ов в сети много, некоторые из них позволяют указывать фиктивный адрес отправителя, большинство же прямо указывают в заголовке, что сообщение анонимно.

Выявить реального отправителя сообщения с использованием римейлера теоретически можно, но очень сложно. На это способны лишь спецслужбы, им придется запастись решением суда, чтобы римейлер открыл им требуемую информацию. А если Вы использовали цепочку римейлеров, то им надо будет обойти всех римейлеров в цепочке. Но если Вы к тому же при отправке через WWW интерфейс пользовались анонимным прокси-сервером и (или) анонимайзером, то шанс найти вас становиться еще намного меньше (да не забудьте еще отключить использование файлов Cookies).

Есть варианты значительно проще, но настоящую анонимность они не гарантируют:

1. Использование Вашей почтовой программы. Самый простой: поставьте в своей почтовой программе в поле Return Address любой адрес, и если получатель письма не станет изучать его header, то он останется в уверенности, что получил сообщение именного от того, чей адрес указан в поле From. Очень просто и очень малонадежно.

2. Использование специальной программы - анонимизатора. Таких программ несколько. Вы заполняете поля From, To, Subject (тут все ясно), и поле Host, в котором Вы должны указать имя хоста, через который будет отправлена почта. Поскольку протокол отправки сообщений SMTP не требует в подавляющем большинстве случаев какой-либо авторизации отправителя, Вы смело можете воспользоваться практически любым именем хоста, желательно тем же, что имеет получатель Вашей почты. Это затруднит определение подлинности сообщения для непродвинутого пользователя.

Ваш второй адрес

Проблема защиты Вашей частной жизни в сети ставит перед нами вопрос об обладании вторым (третьим... десятым) электронным адресом. Его хорошо иметь там, где Вашу почту не будут читать, и в том домене, географическая принадлежность которого "нейтральна". В общем, все те же требования, что и ко второму паспорту и гражданству. Такой адрес защитит вас от попыток выяснения Вашей личности, даст вам возможность предоставлять разные адреса разным корреспондентам в зависимости от их статуса, избавит от необходимости извещать всех Ваших корреспондентов о Вашем новом адресе, если Вы сменили провайдера или переехали в другую страну.

Существует довольно много служб, позволяющих бесплатно получить второй электронный адрес. По способу отправки и получения почты эти службы подразделяются на 3 основных типа.

Тип 1. Службы этого типа дают пользователю возможность перенаправлять полученную на новый адрес корреспонденцию по адресу, указанному пользователем. Таким образом, у вас уже должен быть какой-либо адрес, т.к. "напрямую" (с использованием протокола POP3) почту забрать нельзя. Отправка почты осуществляется напрямую через хост этой службы (протокол SMTP). Вы самостоятельно выбираете user id, а также домен из нескольких предложенных имен. Недостаток: Ваш настоящий адрес известен сотрудникам службы.

Тип 2. Службы этого типа дают пользователю возможность как отправлять почту напрямую, так и получать ее (POP3 и SMTP), так что вам не нужен первичный адрес, либо он потребуется всего лишь раз, при открытии счета. Технология открытия счета примерно такая же. Преимущество: Ваш настоящий первичный адрес неизвестен, единственный "след", который Вы оставляете, это Ваш IP адрес, с которого происходит чтение и отправка почты. Службы также дают возможность перенаправлять почту на Ваш первичный адрес, если есть такое желание. Кроме того, практически Вашу почту смогут прочесть только администраторы службы, а не Ваш московский провайдер или ФАПСИ с ФСБ, хотя теоретически и это возможно.

Тип 3. Принципиально другой тип службы. Чтение и отправка почты происходят не с использованием Вашей любимой почтовой программы, а прямо в окне Вашего браузера. Переадресовка на Ваш первичный адрес невозможна. Преимущества: можно читать почту из любого места, где есть доступ в WWW, будь то другая страна или Интернет-кафе в Южном Бутово, плюс опять же сложности слежки за Вашей почтой. При отправке почты через любую из этих служб заголовок сообщения содержит IP адрес, с которого отправлено сообщение. Но если при отправке сообщения с использованием почтовых служб первых двух типов скрыть свой реальный IP адрес нельзя (это связано с самим принципом работы протокола SMTP), то при использовании почтовой службы третьего типа, т.е. при отправке почты из окна браузера, лазейка все-таки есть, что позволят говорить о том, что почтовый адрес третьего типа можно сделать практически полностью анонимным, достаточно лишь воспользоваться одним из способов анонимизации своих путешествий по сети. Другим способом отправить почту полностью анонимно остается использование римейлеров.

Безопасная и анонимная работа со службами глобальных сетей

Основные проблемы связаны и исполнением интерактивных программ. Программная среда в результате появления Интернета превратилась в среду интерактивных программ, примерами которой являются Java и ActiveX. В этой среде пользователь взаимодействует с сервером с помощью сети. Сервер загружает приложение (апплет) на пользовательский компьютер, который затем его выполняет. При использовании такой стратегии имеет место несколько рисков. Прежде всего, нужно верить, что то, что загружается, делает именно то, что должно делать.

Ранее утверждалось, что при использовании таких языков как Java невозможно занести вирус из-за ограничений, встроенных в язык для управления доступом к файловой системе и для управления выполнением программы. Сейчас эти заявления достаточно эффективно опровергнуты. Из-за значительного риска существует несколько уровней гарантий безопасности, которые должен получить пользователь перед использованием этой технологии:

Сервер, с которого загружаются апплеты, должен быть доверенным. Апплет должен выполняться в среде с ограничениями на обращения к файлам, позволяющими выполнять только те функции, которые не влияют на безопасность. Апплет должен быть проверен на безопасность перед выполнением. Скрипты интерпретируются, а не являются предварительно скомпилированными. Поэтому есть риск, что скрипт может быть модифицирован при передаче по сети и не будет выполнять свои функции.

Модель безопасности Java - строгий контроль среды, в которой выполняются апплеты, с помощью создания безопасной отдельной Среды выполнения для работы апплета. Апплеты могут взаимодействовать только с сервером, с которого они были загружены, и им запрещено обращаться к локальным дискам и устанавливать сетевые соединения. Но в Java было обнаружено много ошибок, которые позволяют профессионалам создавать апплеты, легко обходящие ограничения безопасной Среды.

Active X - это порождение OLE-технологии Microsoft, позволяющей программистам взаимодействовать с функциями стандартных приложений, таких как текстовые процессоры и электронные таблицы. Active X позволяет приложениям взаимодействовать через Интернет, а апплетам загружаться на пользовательскую машину и получать доступ к локальным ресурсам. Модель безопасности Active X сильно отличается от модели Java. Active X позволяет пользователю указать взаимоотношения доверия с сервером, с которого загружается апплет. Если серверу доверяют, и он аутентифицирован с помощью электронных сертификатов, апплет Active X может быть загружен и будет работать как обычная программа. Могут использоваться цифровые подписи, называемые Authenticode, для проверки того, что программа была написана доверенным программистом и не была модифицирована.

Ни одна из моделей безопасности не является совершенной. Подход Java ограничивает разрушения, которые может вызвать враждебный апплет - если будут найдены и исправлены все ошибки в Java. Подход Active X отражает организацию покупки и установки коммерческих программ, но он требует слишком много авторизации для обычного пользователя. Некоторые производители брандмауэров поддерживают блокирование и аутентификацию апплетов на своих брандмауэрах.

Следует отметить, что пользователь может и не подозревать, что он загрузил апплет и этот апплет выполнился на его компьютере. Поэтому должны быть предприняты такие меры безопасности, которые бы предотвращали такие случаи.

Рассмотрим, какие меры следует принимать для организаций с разным уровнем риска.

Низкий риск

Пользователи должны быть проинформированы о рисках интерактивных программ, и о том, как сконфигурировать свои браузеры так, чтобы предотвратить загрузку апплетов.

Средний риск

Если это возможно, брандмауэры должны быть сконфигурированы так, чтобы блокировать загрузку апплетов из внешних источников и загрузку апплетов из внутренних доверенных сетей внешними пользователями, если только для защиты от недоверенных источников не используется технология аутентификации.

Пользователи должны сконфигурировать свои браузеры так, чтобы загрузка апплетов была возможна только из надежных источников. Если это невозможно, то браузеры следует сконфигурировать так, чтобы загрузка апплетов была запрещена.

При необходимости следует разрешить загружать апплеты только в исследовательских сетях, но не в тех, которые используются для обеспечения работы организации.

Высокий риск

Использование интерактивных программ запрещено. Веб-браузеры, и по возможности брандмауэры, должны быть сконфигурированы так, чтобы загрузка апплетов была запрещена. Сотрудники отдела автоматизации должны проводить аудирование конфигурации браузеров. Несоблюдение этой политики должно приводить к административным наказаниям.

Еще один важный момент, который необходимо учитывать при работе в Интернет. Большинство FTP и WWW клиентов сохраняют в специальной директории все те места в Интернет, где Вы были (а иногда сохраняют и нешифрованные имена и пароли). В целях Вашей безопасности целесообразно периодически (скажем либо каждый день, либо раз в неделю) стирать содержимое кэша (лучше использовать невосстановимые методы стирания информации.

20. Фильтрующий маршрутизатор. Характеристики фильтрующего маршрутизатора

Фильтрующий маршрутизатор представляет собой маршрутизатор или работающую на сервере программу, сконфигурированные таким образом, чтобы фильтровать входящее и исходящие пакеты. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- и IP- заголовках пакетов.

Фильтрующие маршрутизаторы обычно может фильтровать IP-пакет на основе группы следующих полей заголовка пакета:

- IP- адрес отправителя (адрес системы, которая послала пакет);

- IP-адрес получателя (адрес системы которая принимает пакет);

- Порт отправителя (порт соединения в системе отправителя);

- Порт получателя (порт соединения в системе получателя);

Порт - это программное понятие, которое используется клиентом или сервером для посылки или приема сообщений; порт идентифицируется 16 - битовым числом.

В настоящее время не все фильтрующие маршрутизаторы фильтруют пакеты по TCP/UDP - порт отправителя, однако многие производители маршрутизаторов начали обеспечивать такую возможность. Некоторые маршрутизаторы проверяют, с какого сетевого интерфейса маршрутизатора пришел пакет, и затем используют эту информацию как дополнительный критерий фильтрации.

Фильтрация может быть реализована различным образом для блокирования соединений с определенными хост-компьютерами или портами. Например, можно блокировать соединения, идущие от конкретных адресов тех хост-компьютеров и сетей. которые считаются враждебными или ненадежными.

Добавление фильтрации по портам TCP и UDP к фильтрации по IP-адресам обеспечивает большую гибкость. Известно, что такие серверы, как демон TELNET, обычно связаны с конкретными портами (например, порт 23 протокола TELNET). Если межсетевой экран может блокировать соединения TCP или UDP с определенными портами или от них, то можно реализовать политику безопасности, при которой некоторые виды соединений устанавливаются только с конкретными хост-компьютерами.

Например, внутренняя сеть может блокировать все входные соединения со всеми хост-компьютерами за исключением нескольких систем. Для этих систем могут быть разрешены только определенные сервисы (SMTP для одной системы и TELNET или FTP -для другой). При фильтрации по портам TCP и UDP эта политика может быть реализована фильтрующим маршрутизатором или хост-компьютером с возможностью фильтрации пакетов.

Важной характеристикой обеспечения удаленного доступа является фильтрование пакетов. Обычно используют фильтрующий маршрутизатор, разработанный специально для фильтрования пакетов, проходящих через маршрутизатор. Фильтрующий маршрутизатор - это чаще всего программа, настроенная так, чтобы по отдельным данным фильтровать пакеты. Обычно фильтр проверяет данные, располагающиеся в заголовке пакета, такие, как IP-адрес источника и получателя и некоторые другие.

Отдельные фильтрующие маршрутизаторы исследуют, с какого сетевого маршрутизатора прибыл пакет, используя затем эту информацию как дополнительный критерий фильтрования. Фильтрование может происходить различными способами:

- блокировать соединения и с определенными хостами и сетями, и с определенными портами. Пользователь может блокировать соединения, идущие от конкретных адресов тех хостов, которые рассматриваются как враждебные или ненадежные.

В качестве альтернативы фильтрующий маршрутизатор может заблокировать все возможные соединения, идущие от различных IP-адресов, внешних к данному компьютеру (с некоторыми исключениями, такими, как SMTP для получения электронной почты).

Размещено на Allbest.ru