Примеры использования межсетевого экрана с сохранением состояния

Исследование и анализ примера использования модели межсетевого экрана, его основные функции и управление. Закономерности проверки работы модели межсетевого экрана с сохранением состояния для отслеживания исходящих пакетов и для отслеживания FTP-пакетов.

Рубрика Программирование, компьютеры и кибернетика
Вид статья
Язык русский
Дата добавления 30.04.2018
Размер файла 282,0 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Примеры использования межсетевого экрана с сохранением состояния

Функцией межсетевого экрана является определение каждого входящего или исходящего пакета одним из наборов предопределенных решений, таких, как принять или отклонить. На основании того, как принято решение для каждого пакета, межсетевые экраны подразделяются на межсетевые экраны без сохранения состояния(stateless) и межсетевые экраны сохраняющие состояние (stateful). Если межсетевой экран решает судьбу каждого пакета исключительно путем изучения самого пакета, то межсетевой экран называется stateless межсетевым экраном. Если межсетевой экран принимает решения для некоторых пакетов не только путем изучения самого пакета, но и путем анализа пакетов, которые межсетевой экран принял ранее, то он называется stateful межсетевым экраном. Используя stateful межсетевые экраны для защиты частной сети, можно добиться более точного контроля доступа путем отслеживания состояния связи между частной сетью и внешними сетями. Например, stateful межсетевой экран может отказаться принимать любой пакет с удаленного хоста на локальный хост, если локальный хост ранее не отправил пакет на этот удаленный хост.

В этой статье предлагаются примеры использования модели stateful межсетевого экрана. Целью данной работы является проверка работы модели stateful межсетевого экрана для отслеживания исходящих пакетов и для отслеживания FTP-пакетов.

Представленная модель межсетевого экрана на примере простого межсетевого экрана, который находится на маршрутизаторе шлюза, изображенного на рис. 1. Этот маршрутизатор имеет два интерфейса: интерфейс 0, который соединяет маршрутизатор с Интернетом, а также интерфейс 1, который соединяет маршрутизатор с частной сетью.

межсетевой экран управление

Рис. 1. Межсетевой экран для частной сети

В этой модели межсетевого экрана, каждый межсетевой экран имеет переменный набор правил, называемый состоянием межсетевого экрана, который используется для хранения некоторых пакетов, которые межсетевой экран, принял ранее, и которые нужно помнить в ближайшем будущем. Каждый межсетевой экран состоит из двух разделов: раздел stateful и stateless. Каждая секция состоит из последовательности правил. Для каждого пакета, раздел с сохранением состояния используется, чтобы проверить, влияет ли состояние предыдущего пакета, на то, что произойдет с текущим пакетом. Предполагается, что каждый пакет имеет дополнительное поле под названием тег, для сохранения результата проверки. В секции без сохранения состояния решения о судьбе пакета принимаются на основе информации, содержащейся в самом пакете и его значение тега.

Примеры межсетевого экрана

В этом разделе будут показаны два примера stateful межсетевых экранов.

Пример I: Отслеживание исходящих пакетов

Предполагается, что требования, предъявляемые к межсетевому экрану на рисунке 1 следующие:

1. Любой пакет от внешнего злонамеренного домена 192.168.0.0/16 должен быть отброшен

2. Почтовый сервер с IP-адресом 192.1.2.3, должен иметь возможность отправлять и получать электронную почту, но трафик, не относящийся к электронной почте не должен допускаться к почтовому серверу.

3. Любой пакет с удаленного хоста на локальный хост, который не является почтовым сервером, отбрасывается, если локальный хост уже не отправил пакет на удаленный хост ранее. Другими словами, связь между локальным и удаленным хостом может быть установлена только локальным хостом.

Рис. 2. Отслеживание исходящих пакетов

В этом примере предполагается, что каждый пакет имеет шесть полей. Четыре из них обсуждались ранее: I (интерфейс), S (IP-адрес источника), D (IP-адрес назначения) и P (тип протокола). Остальные два являются следующими:

Таблица 1

Имя

Значение

Область

SP

Порт источника

(0,216)

DP

Порт назначения

(0,216)

На рисунке 2 показана спецификация этого межсетевого экрана. Его stateful секция состоит из одного правила I ? {0} ? S = D' ? D = S' ? SP = DP' ? DP = SP' ? P = P' > тег: = 1. Смысл этого правила заключается в следующем: если р - входящий пакет (обозначается I ? {0}), и существует пакет p' в таком состоянии, что следует пяти условиям:

1. адрес источника р равен адресу назначения р' (обозначается S = D'),

2. 2. адрес назначения р равен адресу источника р' (обозначается D = S'),

3. 3. номер порта источника р равен номеру порта назначения р' (обозначается SP = DP'),

4. 4. номер порта получателя р равен номеру порта источника р' (обозначаемое DP = SP'),

5. 5. тип протокола р равно, что р' (обозначается Р = Р'), после тегу поля пакета р присваивается 1; в противном случае тег поля пакета р сохраняет значение 0.

Раздел stateless данного межсетевого экрана состоит из семи правил от r1 до r7. Смысл правила r2выглядит следующим образом: любой исходящий пакет из локального хоста, кроме почтового сервера может перейти к месту назначения, также этот пакет, который представляет собой кортеж из шести полей (а именно I, S, D, P, SP, DP), вместе со своим значением тега, вставляется в состояние межсетевого экрана. Так как stateful часть этого межсетевого экрана исследует только пять полей (а именно S, D, P, SP, и DP) пакетов в состоянии этого межсетевого экрана, нужно только вставить эти пять полей пакета в состояние.

Пример 2: Отслеживание FTP протокола

В этом разделе показан пример межсетевого экрана, который отслеживает протокол FTP. Протокол передачи файлов (FTP) представляет собой протокол приложение, которое используется для передачи файлов между двумя узлами. Предполагается, что межсетевой экран на рисунке 1 позволяет любому локальному узлу инициировать FTP-соединение с удаленным хостом, но любой удаленный хост не может инициировать FTP соединение с локальным узлом. Для простоты, предполагается, что не-FTP трафик отбрасывается.

Двойная функция подключения усложняет отслеживание FTP. FTP использует два соединения TCP для передачи файлов между двумя хостами: управляющее соединение и подключение для передачи данных. Когда клиент хочет подключиться к удаленному серверу FTP, он использует один из имеющихся номеров портов, скажем х, чтобы подключиться к серверу к известному порту 21. Это соединение между клиентом порта х и портом сервера 21, называется управляющее соединение. FTP использует управляющее соединение для передачи команд FTP, такие как CWD (изменить рабочий каталог) и PORT (указать номер порта, который клиент будет использовать для передачи данных). После этого управляющее соединение строится между клиентом и сервером, клиент посылает команду PORT со значением у, где у представляет собой доступный порт клиента, на сервер через это соединение управления. После того, как команда PORT получена, сервер использует известный порт 20 для подключения обратно к порту у клиента. Это соединение между портом клиента у и порта 20 сервера, называется соединение для передачи данных. Управляющее соединение инициируется клиентом FTP и соединение данных инициируется FTP-сервером. Это способ двойной связи протокола FTP показан на рисунке 3.

Рис. 3. Протокол FTP

Этот межсетевой экран показан на рисунке 3. В этом примере, предполагается, что каждый пакет имеет восемь полей. Шесть из них уже указаны ранее: I (интерфейс), S (источник IP-адреса), D (IP-адрес назначения), P (тип протокола), SP (порт источника) и DP (порт назначения). Остальными двумя являются следующие:

Таблица 2

Имя

Значение

Область

T

Тип приложения

[0,1]

A

Данные приложения

(0,216)

Для пакета, если значение его поля Т равно 1, то значение его поля А это номер порта команды порта; в противном случае поле А содержит другую управляющую команду FTP.

В этом примере, межсетевой экран, принимает следующие четыре типа пакетов: исходящие TCP-пакеты на порт 21, входящие TCP-пакеты из порта 21, входящие TCP-пакеты из порта 20 и исходящие TCP-пакетов на порт 20. Далее рассмотрены каждый из этих четырех типов пакетов.

1. Исходящие TCP-пакеты на порт 21: Любой пакет р этого типа принимается и вводится в состояние (см. правила r1 на рисунке 3).

2. 2. Входящие пакеты TCP из порта 21: Пакет р этого типа принимается, если существует пакет р' в таком состоянии, что IP-адрес источника р, равен IP-адресу получателя р', IP-адрес получателя р, равен IP-адресу источника р', номер порта получателя равен р, номер порта источника p', и номер порта p' назначения 21 (см три правила r1, R1 и r5 на рисунке 3).

3. 3. Входящие пакеты TCP из порта 20: Пакет р этого типа принимается тогда и только тогда существует пакет p' в таком состоянии, что IP-адрес источника р, равен IP-адресу назначения p', IP-адрес назначения р, равен IP-адресу источника р', пункта назначения р' в номер порта 21, p'содержит команду PORT и порт назначения р, равно числу портов в этом порту команды р' (см. три правила r1, R2 и r4 на рисунке 3).

4. 4. Исходящие TCP-пакеты на порт 20: Пакет р этого типа принимается, тогда и только тогда, когда существует пакет р' в таком состоянии, что IP-адрес источника р, равен IP-адресу получателя р', IP-адрес получателя р, равен IP адресу источника р', номер порта источника p, равен номеру порта назначения р', номер порта источника 20 (см. три правила r4, R3 и r2 на рисунке 3).

Эти примеры использования модели stateful межсетевого экрана для различных задач дают возможность для дальнейших исследований. Данная работа показывает эффективность использования модели межсетевого экрана с сохранением состояния для отслеживания исходящих пакетов и для отслеживания FTP-пакетов. Модель межсетевого экрана с сохранением состояния простая, но может выражать различные состояния функциональных возможностей отслеживания. Это позволяет наследовать результаты в проектировании и анализе stateless межсетевых экранов.

Литература

1. E. Al-Shaer and H. Hamed. Discovery of policy anomalies in distributed ?rewalls. In IEEE INFOCOM'04, pages 2605-2616, March 2004.

2. M.G. Gouda and A.X. Liu. Firewall design: consistency, completeness and compactness. In Proc. of the 24th IEEE International Conference on Distributed Computing Systems (ICDCS'04), pages 320-327.

3. Y. Bartal, A.J. Mayer, K. Nissim, and A. Wool. Firmato: A novel ?rewall management toolkit. Technical Report EES2003-1, Dept. of Electrical Engineering Systems, Tel Aviv University, 2003.

4. CheckPoint FireWall-1. http://www.checkpoint.com/. Date of access: March 25, 2005.

5. Net?lter/IPTables. http://www.net?lter.org/. Date of access: March 25, 2005.

Размещено на Allbest.ru


Подобные документы

  • Способы усовершенствования использования существующего Интернет-канала на предприятии ООО "Бизнес ИТ". Процесс и главные этапы разработки подсистемы управления и мониторинга межсетевого экрана Forefront TMG 2010, а также методы расширения его функционала.

    дипломная работа [3,8 M], добавлен 01.07.2011

  • Разработка блок-схемы алгоритмов и комплексного программного обеспечения для контроля работоспособности антивируса и межсетевого экрана. Исследование средств защиты компьютеров от вирусов, анализ и характеристика средств защиты межсетевого взаимодействия.

    курсовая работа [2,8 M], добавлен 07.11.2021

  • Общая характеристика угроз безопасности информационной системы учебного назначения. Организация использования средств межсетевого экранирования в лаборатории. Анализ роли и места средств межсетевого экранирования в СЗИ. Система защиты лаборатории "ПАЗИ".

    дипломная работа [1,6 M], добавлен 02.06.2011

  • Обозначение корпоративной информационной системы, построенной на основе Web-технологий. Общие свойства, характерные для любой intranet-системы. Основное назначение межсетевого экрана. Сервер баз данных. Основные функции систем управления базами данных.

    презентация [689,5 K], добавлен 06.06.2015

  • Особенности безопасности работы в сети Интернет. Информационная безопасность и классификация мероприятий по ее технической защите. Разновидности мероприятий по опознанию и предотвращению несанкционированного доступа. Возможности межсетевого экрана.

    реферат [764,5 K], добавлен 21.02.2010

  • Сетевые операционные системы, их характеристика и виды. Функции программного обеспечения локальной компьютерной сети. Структура и функции прокси-сервера и межсетевого экрана. Базы данных в локальных сетях, электронная почта, системы удаленного доступа.

    курсовая работа [43,9 K], добавлен 21.07.2012

  • Библиотеки, содержащие средства для работы с WFP. Работа с сетевым трафиком. Блокировка трафика отдельных соединений по IP-адресу либо по порту. Добавление и удаление фильтров. Блокирование и разблокирование приложений. Добавление массива фильтров.

    контрольная работа [556,4 K], добавлен 07.08.2012

  • Разработка критериев оценки экрана веб-приложений. Основные подходы к защите веб-приложений. Анализ российских нормативных документов. Зарубежная практика выбора экрана веб-приложений. Разработка и обоснование общих требований к механизмам защиты.

    дипломная работа [68,7 K], добавлен 04.08.2016

  • Классификация мониторов по виду выводимой информации, размерности отображения, типу экрана, типу интерфейсного кабеля. Физические характеристики мониторов. Процентное изменение полезной площади экрана разных типоразмеров. Антибликовая обработка экрана.

    реферат [185,3 K], добавлен 18.01.2012

  • Разработка системы защиты персональных данных лаборатории ИУ-8: выбор подсистем управления доступом, регистрации, межсетевого экранирования, подбор антивирусных пакетов, реализация физической охраны, систем кондиционирования, вентиляции, электропитания.

    дипломная работа [64,7 K], добавлен 11.01.2011

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.