Informasjonssikkerhetsmekanismer. Sikkerhet: brannmurer, inntrengningsdeteksjon. Intervju med D-Link. Brannmurtyper

Legg igjen en kommentar 6,950

Det finnes flere typer brannmurer avhengig av følgende egenskaper:

    om skjoldet gir en forbindelse mellom en node og nettverket, eller mellom to eller flere forskjellige nettverk;

    om flytkontroll skjer ved nettverkslaget eller høyere lag i OSI-modellen;

    om tilstandene til aktive tilkoblinger spores eller ikke.

Avhengig av dekningen av kontrollerte datastrømmer, er brannmurer delt inn i:

    tradisjonell nettverksskjerm (eller brannmur) - et program (eller en integrert del av operativsystemet) på en gateway (en enhet som overfører trafikk mellom nettverk) eller maskinvareløsning, kontrollere innkommende og utgående datastrømmer mellom tilkoblede nettverk (distribuerte nettverksobjekter);

    personlig brannmur - et program installert på en brukers datamaskin og designet for å beskytte kun denne datamaskinen mot uautorisert tilgang.

Avhengig av OSI-nivået der tilgangskontroll skjer, kan brannmurer fungere på:

    nettverkslaget når filtrering skjer basert på adressene til avsender og mottaker av pakker, portnumre til transportlaget til OSI-modellen og statiske regler satt av administratoren;

    øktnivå(også kjent som statelig), når økter mellom applikasjoner spores og ingen pakker sendes som bryter med TCP/IP-spesifikasjoner, ofte brukt i ondsinnede operasjoner - ressursskanning, hacks gjennom feil TCP/IP-implementeringer, frakobling/nedgang i tilkoblinger, datainjeksjon;

    påføringslag(eller applikasjonslag), når filtrering er basert på analyse av applikasjonsdata overført i pakken. Disse typer skjermer lar deg blokkere overføring av uønsket og potensielt skadelig informasjon basert på retningslinjer og innstillinger.

Filtrering av nettverkslag

Filtrering av innkommende og utgående pakker utføres på grunnlag av informasjon som finnes i følgende felt av TCP- og IP-pakkeoverskrifter: IP-adressen til avsenderen; mottakerens IP-adresse; sender port; mottakerport.

Filtrering kan implementeres på ulike måter for å blokkere tilkoblinger fra enkelte datamaskiner eller porter. Du kan for eksempel blokkere tilkoblinger som kommer fra bestemte adresser til de datamaskinene og nettverkene som anses som uklarerte.

    relativt lave kostnader;

    fleksibilitet i å definere filtreringsregler;

    en liten forsinkelse i passasjen av pakker.

Ulemper:

    samler ikke fragmenterte pakker;

    det er ingen måte å spore relasjoner (forbindelser) mellom pakker.?

Sesjonsnivåfiltrering

Avhengig av sporingen av aktive tilkoblinger, kan brannmurer være:

    statsløs(enkel filtrering) som ikke overvåker gjeldende tilkoblinger (for eksempel TCP), men filtrerer dataflyten utelukkende basert på statiske regler;

    stateful, stateful packet inspection (SPI)(filtrering basert på kontekst), med sporing av gjeldende tilkoblinger og hopper over bare de pakkene som tilfredsstiller logikken og algoritmene til de tilsvarende protokollene og applikasjonene.

Brannmurer med SPI lar deg håndtere ulike typer DoS-angrep og sårbarheter mer effektivt i enkelte nettverksprotokoller. I tillegg gir de funksjonaliteten til protokoller som H.323, SIP, FTP, etc., som bruker komplekse ordninger dataoverføringer mellom mottakere som er vanskelige å beskrive med statiske regler, og ofte inkompatible med standard, statsløse brannmurer.

Fordelene med denne filtreringen inkluderer:

    analyse av pakkeinnhold;

    ingen informasjon om driften av lag 7-protokoller er nødvendig.

Ulemper:

    det er vanskelig å analysere applikasjonsnivådata (muligens ved å bruke ALG - Application level gateway).

Application level gateway, ALG (application level gateway) - en komponent av en NAT-ruter som forstår en applikasjonsprotokoll, og når pakker med denne protokollen passerer gjennom den, modifiserer den dem på en slik måte at brukere bak NAT kan bruke protokollen.

ALG-tjenesten gir støtte for applikasjonslagsprotokoller (som SIP, H.323, FTP osv.) som Network Address Translation ikke er tillatt for. Denne tjenesten bestemmer typen applikasjon i pakker som kommer fra grensesnittet til det interne nettverket og utfører passende adresse-/portoversettelse for dem gjennom det eksterne grensesnittet.

SPI-teknologi (Stateful Packet Inspection) eller stateful packet inspection-teknologi er i dag en avansert metode for trafikkkontroll. Denne teknologien lar deg kontrollere data ned til applikasjonsnivå, uten å kreve en separat mellomledd eller proxy-applikasjon for hver beskyttet protokoll eller nettverkstjeneste.

Historisk evolusjon brannmurer avledet fra pakkefiltre generelt formål, så begynte mellomliggende programmer for individuelle protokoller å dukke opp, og til slutt ble stateful inspeksjonsteknologi utviklet. Tidligere teknologier utfylte bare hverandre, men ga ikke omfattende kontroll over forbindelser. Pakkefiltre har ikke tilgang til tilkoblings- og programstatusinformasjonen som er nødvendig for å ta den endelige sikkerhetsavgjørelsen. Meglere behandler kun data på applikasjonsnivå, noe som ofte skaper ulike muligheter for å hacke systemet. Den stateful inspeksjonsarkitekturen er unik fordi den tillater det mulig informasjon passerer gjennom gatewaymaskinen: data fra pakken, data om tilstanden til tilkoblingen, data som er nødvendige for applikasjonen.

Et eksempel på mekanismenStatefulUndersøkelse. Mellom brannmur holder styr på FTP-økten ved å sjekke dataene på applikasjonsnivå. Når en klient ber serveren om å åpne en omvendt tilkobling (FTP PORT-kommando), trekker brannmuren ut portnummeret fra forespørselen. Listen lagrer adressene til klienten og serveren, portnumre. Når den oppdager et forsøk på å etablere en FTP-datatilkobling, går brannmuren gjennom listen og sjekker om tilkoblingen faktisk er et svar på en gyldig klientforespørsel. Nettlisten opprettholdes dynamisk slik at bare de nødvendige FTP-portene er åpne. Så snart økten er stengt, blokkeres portene, gir høy level sikkerhet.

Ris. 2.12. Et eksempel på hvordan Stateful Inspection-mekanismen fungerer med FTP-protokollen

Filtrering av applikasjonslag

For å beskytte en rekke sårbarheter som er iboende i pakkefiltrering, bør brannmurer bruke applikasjonsprogrammer for å filtrere tilkoblinger til tjenester som Telnet, HTTP, FTP. Lignende applikasjon kalles proxy-tjenesten, og verten som kjører proxy-tjenesten kalles applikasjonslagets gateway. En slik gateway eliminerer direkte kommunikasjon mellom en autorisert klient og en ekstern vert. Gatewayen filtrerer alle innkommende og utgående pakker på applikasjonslaget (applikasjonslaget - det øverste laget nettverksmodell) og kan analysere innholdet i dataene, for eksempel en URL i en HTTP-melding eller en kommando i en FTP-melding. Noen ganger er det mer effektivt å filtrere pakker basert på informasjonen i selve dataene. Pakkefiltre og lenkelagsfiltre bruker ikke innholdet i informasjonsstrømmen når de tar filtreringsbeslutninger, men dette kan gjøres ved hjelp av applikasjonslagsfiltrering. Filtre på applikasjonsnivå kan bruke informasjon fra pakkehodet, samt datainnhold og brukerinformasjon. Administratorer kan bruke applikasjonslagsfiltrering for å kontrollere tilgang basert på brukerens identitet og/eller basert på den spesifikke oppgaven brukeren prøver å utføre. I applikasjonsnivåfiltre kan du angi regler basert på kommandoer utstedt av applikasjonen. For eksempel kan en administrator hindre en spesifikk bruker fra å laste ned filer til en bestemt datamaskin fra bruker FTP eller la brukeren være vert for filer via FTP på samme datamaskin.

Fordelene med denne filtreringen inkluderer:

    enkle filtreringsregler;

    muligheten til å organisere et stort antall sjekker. Programlagsbeskyttelse gir mulighet for et stort antall ekstra kontroller, noe som reduserer sannsynligheten for hacking ved å bruke "hull" i programvaren;

    evne til å analysere applikasjonsdata.

Ulemper:

    relativt dårlig ytelse sammenlignet med pakkefiltrering;

    proxy må forstå sin egen protokoll (kan ikke brukes med ukjente protokoller)?;

    som regel fungerer det under kontroll av komplekse operativsystemer.

Snakker om maskinvare- og programvarekomponenten i systemet informasjonssikkerhet, bør det erkjennes at de fleste effektiv metode beskyttelse av lokale nettverksobjekter (nettverkssegment) mot påvirkning fra åpne nettverk(for eksempel Internett), innebærer plassering av et element som kontrollerer og filtrerer nettverkspakker som passerer gjennom det i samsvar med spesifiserte regler. Et slikt element kalles brannmur (brannmur) eller brannmur, brannmur.

brannmur, brannmur, brannmur, brannmur- dannet ved translitterasjon av det engelske begrepet brannmur.

Brannmur (tysk: Brandmauer)- et begrep lånt fra det tyske språket, som er en analog av den engelske "brannmuren" i sin opprinnelig betydning(en vegg som skiller tilstøtende bygninger, og hindrer spredning av brann).

Nettverk/brannmur (ITU)- et sett med maskinvare eller programvareverktøy, som kontrollerer og filtrerer nettverkspakker som passerer gjennom den i henhold til forskjellige protokoller i samsvar med spesifiserte regler.

Hovedoppgaven til en brannmur er å beskytte datanettverk og/eller individuelle noder fra uautorisert tilgang. Noen ganger kalles brannmurer filtre, siden deres hovedoppgave ikke er å sende (filtrere) pakker som ikke passer til kriteriene som er definert i konfigurasjonen.

For å effektivt sikre nettverket overvåker og administrerer brannmuren all trafikk som går gjennom det. For å ta kontrollbeslutninger for TCP/IP-tjenester (det vil si videresende, blokkere eller logge tilkoblingsforsøk), må brannmuren motta, huske, velge og behandle informasjon mottatt fra alle kommunikasjonslag og fra andre applikasjoner.

Brannmuren sender all trafikk gjennom seg selv, og tar en avgjørelse angående hver passerende pakke: å la den passere eller ikke. For at brannmuren skal kunne utføre denne operasjonen, må den definere et sett med filtreringsregler. Beslutningen om å filtrere datapakker knyttet til spesifikke protokoller og adresser ved hjelp av en brannmur avhenger av sikkerhetspolicyen som er vedtatt i det beskyttede nettverket. I hovedsak er en brannmur et sett med komponenter som er konfigurert til å implementere en valgt sikkerhetspolitikk. Politikk nettverksikkerhet Hver organisasjon må inkludere (blant annet) to komponenter: en policy for tilgang til nettverkstjenester og en policy for implementering av brannmurer.

Det er imidlertid ikke nok å bare sjekke pakkene enkeltvis. Linktilstandsinformasjon innhentet fra tidligere linkinspeksjoner og andre applikasjoner er en viktig faktor i kontrollbeslutningen når man prøver å etablere en ny forbindelse. Både tilkoblingstilstanden (hentet fra tidligere datastrøm) og applikasjonstilstanden (hentet fra andre applikasjoner) kan tas i betraktning for å ta en avgjørelse.

Derfor krever ledelsesbeslutninger at brannmuren har tilgang, evnen til å analysere og bruke følgende faktorer:

  • tilkoblingsinformasjon - informasjon fra alle syv lagene (OSI-modeller) i pakken;
  • tilkoblingshistorikk - informasjon mottatt fra tidligere tilkoblinger;
  • applikasjonsnivåtilstand - tilkoblingsstatusinformasjon mottatt fra andre applikasjoner;
  • manipulering av informasjon - beregning av ulike uttrykk basert på alle de ovennevnte faktorene.
Brannmurtyper

Det finnes flere typer brannmurer avhengig av følgende egenskaper:

  • om skjoldet gir en forbindelse mellom en node og nettverket, eller mellom to eller flere forskjellige nettverk;
  • om flytkontroll skjer ved nettverkslaget eller høyere lag i OSI-modellen;
  • om stater spores aktive forbindelser eller ikke.

Avhengig av dekningen av kontrollerte datastrømmer, er brannmurer delt inn i:

  • tradisjonell nettverksskjerm (eller brannmur).– et program (eller en integrert del av operativsystemet) på en gateway (en enhet som overfører trafikk mellom nettverk) eller en maskinvareløsning som kontrollerer innkommende og utgående datastrømmer mellom tilkoblede nettverk (distribuerte nettverksobjekter);
  • personlig brannmur- et program installert på brukerens datamaskin og designet for å beskytte kun denne datamaskinen mot uautorisert tilgang.

Avhengig av OSI-nivået der tilgangskontroll skjer, kan brannmurer fungere på:

  • nettverkslaget når filtrering skjer basert på adressene til avsender og mottaker av pakker, portnumre til transportlaget til OSI-modellen og statiske regler satt av administratoren;
  • øktnivå(også kjent som statelig), når økter mellom applikasjoner spores og ingen pakker sendes som bryter med TCP/IP-spesifikasjoner, ofte brukt i ondsinnede operasjoner - ressursskanning, hacks gjennom feil TCP/IP-implementeringer, frakobling/nedgang i tilkoblinger, datainjeksjon;
  • påføringslag(eller applikasjonslag), når filtrering er basert på analyse av applikasjonsdata overført i pakken. Disse typer skjermer lar deg blokkere overføring av uønsket og potensielt skadelig informasjon basert på retningslinjer og innstillinger.

Filtrering av nettverkslag

Filtrering av innkommende og utgående pakker utføres på grunnlag av informasjon som finnes i følgende felt av TCP- og IP-pakkeoverskrifter: IP-adressen til avsenderen; mottakerens IP-adresse; sender port; mottakerport.

Filtrering kan implementeres på ulike måter for å blokkere tilkoblinger til bestemte datamaskiner eller porter. Du kan for eksempel blokkere tilkoblinger som kommer fra bestemte adresser til de datamaskinene og nettverkene som anses som uklarerte.

  • relativt lave kostnader;
  • fleksibilitet i å definere filtreringsregler;
  • en liten forsinkelse i passasjen av pakker.

Ulemper:

  • samler ikke fragmenterte pakker;
  • det er ingen måte å spore relasjoner (forbindelser) mellom pakker.?

Sesjonsnivåfiltrering

Avhengig av sporingen av aktive tilkoblinger, kan brannmurer være:

  • statsløs(enkel filtrering), som ikke sporer gjeldende tilkoblinger (for eksempel TCP), men filtrerer datastrømmen utelukkende basert på statiske regler;
  • stateful, stateful packet inspection (SPI)(filtrering basert på kontekst), med sporing av gjeldende tilkoblinger og hopper over bare de pakkene som tilfredsstiller logikken og algoritmene til de tilsvarende protokollene og applikasjonene.

Brannmurer med SPI lar deg håndtere ulike typer DoS-angrep og sårbarheter mer effektivt i enkelte nettverksprotokoller. I tillegg gir de drift av protokoller som H.323, SIP, FTP osv., som bruker komplekse skjemaer for overføring av data mellom mottakere som er vanskelige å beskrive med statiske regler og ofte er inkompatible med standard, statsløse brannmurer.

Fordelene med denne filtreringen inkluderer:

  • analyse av pakkeinnhold;
  • ingen informasjon om driften av lag 7-protokoller er nødvendig.

Ulemper:

  • det er vanskelig å analysere applikasjonsnivådata (muligens ved å bruke ALG - Application level gateway).

Application level gateway, ALG (applikasjonsnivå gateway)- en komponent av en NAT-ruter som forstår noe applikasjonsprotokoll, og når pakker med denne protokollen passerer gjennom den, modifiserer den dem på en slik måte at brukere bak NAT kan bruke protokollen.

ALG-tjenesten gir støtte for applikasjonslagsprotokoller (som SIP, H.323, FTP osv.) som Network Address Translation ikke er tillatt for. Denne tjenesten bestemmer typen applikasjon i pakker som kommer fra det interne nettverksgrensesnittet og utfører passende adresse/portoversettelse for dem gjennom det eksterne grensesnittet.

SPI-teknologi(Stateful Packet Inspection) eller stateful packet inspection-teknologi er i dag en avansert metode for trafikkkontroll. Denne teknologien lar deg kontrollere data ned til applikasjonsnivå, uten å kreve en separat mellomledd eller proxy-applikasjon for hver beskyttet protokoll eller nettverkstjeneste.

Historisk utviklet brannmurer seg fra generelle pakkefiltre, deretter begynte mellomliggende programmer for individuelle protokoller å dukke opp, og til slutt ble stateful inspeksjonsteknologi utviklet. Tidligere teknologier utfylte bare hverandre, men ga ikke omfattende kontroll over forbindelser. Pakkefiltre har ikke tilgang til tilkoblings- og programstatusinformasjonen som er nødvendig for å ta den endelige sikkerhetsavgjørelsen. Meglere behandler kun data på applikasjonsnivå, noe som ofte gir opphav til ulike muligheter for å hacke systemet. Den stateful inspeksjonsarkitekturen er unik fordi den lar deg manipulere all informasjonen som passerer gjennom gatewaymaskinen: data fra pakken, tilkoblingstilstandsdata, data som trengs av applikasjonen.

Et eksempel på hvordan Stateful Inspection-mekanismen fungerer. Brannmuren overvåker FTP-økten ved å sjekke dataene på applikasjonsnivå. Når en klient ber serveren om å åpne en omvendt tilkobling (FTP PORT-kommando), trekker brannmuren ut portnummeret fra forespørselen. Listen lagrer adressene til klienten og serveren, portnumre. Når den oppdager et forsøk på å etablere en FTP-dataforbindelse, ser brannmuren gjennom listen og sjekker om denne forbindelsen er svaret på en gyldig klientforespørsel. Nettlisten opprettholdes dynamisk slik at bare de nødvendige FTP-portene er åpne. Så snart økten er stengt, blokkeres portene, noe som gir et høyt sikkerhetsnivå.

Filtrering av applikasjonslag

For å beskytte en rekke sårbarheter som ligger i pakkefiltrering, må brannmurer bruke applikasjoner for å filtrere tilkoblinger til tjenester som Telnet, HTTP, FTP. En slik søknad kalles proxy-tjeneste, og verten som kjører proxy-tjenesten er applikasjonslagets gateway. En slik gateway eliminerer direkte kommunikasjon mellom en autorisert klient og en ekstern vert. Gatewayen filtrerer alle innkommende og utgående pakker på applikasjonslaget (applikasjonslaget - det øverste laget av nettverksmodellen) og kan analysere innholdet i dataene, for eksempel en URL i en HTTP-melding eller en kommando i en FTP-melding . Noen ganger er det mer effektivt å filtrere pakker basert på informasjonen i selve dataene. Pakkefiltre og lenkelagsfiltre bruker ikke innholdet i informasjonsstrømmen når de tar filtreringsbeslutninger, men dette kan gjøres ved hjelp av applikasjonslagsfiltrering. Filtre på applikasjonsnivå kan bruke informasjon fra pakkehodet, samt datainnhold og brukerinformasjon. Administratorer kan bruke applikasjonslagsfiltrering for å kontrollere tilgang basert på brukerens identitet og/eller basert på den spesifikke oppgaven brukeren prøver å utføre. I applikasjonsnivåfiltre kan du angi regler basert på kommandoer utstedt av applikasjonen. En administrator kan for eksempel hindre en spesifikk bruker i å laste ned filer til en bestemt datamaskin ved hjelp av FTP, eller tillate en bruker å laste opp filer via FTP til samme datamaskin.

Sammenligning av maskinvare- og programvarebrannmurer

For å sammenligne brannmurer deler vi dem inn i to typer: 1. - maskinvare og programvare og maskinvare, og 2. - programvare.

Maskinvare- og fastvarebrannmurer inkluderer enheter installert på kanten av nettverket. Programvarebrannmurer er de som er installert på sluttverter.

Hovedretningene som er iboende i både den første og andre typen:

  • å sikre sikkerheten til innkommende og utgående trafikk;
  • en betydelig økning i nettverkssikkerhet og redusere risikoen for subnettverter ved filtrering av kjente usikre tjenester;
  • evnen til å kontrollere tilgang til nettverkssystemer;
  • varsling om hendelser ved hjelp av passende alarmer som utløses når mistenkelig aktivitet oppstår (sondeforsøk eller angrep);
  • gir en rimelig sikkerhetsløsning som er enkel å implementere og administrere.

Maskinvare- og fastvarebrannmurer støtter i tillegg funksjonalitet som lar deg:

  • forhindre at informasjon mottas fra det beskyttede delnettet eller injiseres i det beskyttede delnettet ved bruk av sårbare tjenester;
  • registrere tilgangsforsøk og gi nødvendig statistikk om bruk av Internett;
  • sørge for midler for å regulere rekkefølgen for tilgang til nettverket;
  • gi sentralisert ledelse trafikk.

Programvarebrannmurer, i tillegg til hovedområdene, tillater:

  • kontrollere lanseringen av applikasjoner på verten der de er installert;
  • beskytte gjenstanden mot penetrasjon gjennom "lukene" (bakdører);
  • gi beskyttelse mot interne trusler.

Brannmuren er ikke en symmetrisk enhet. Han skiller mellom begrepene: «utenfor» og «innsiden». Brannmuren gir beskyttelse av det indre området fra ukontrollert og potensielt fiendtlig eksternt miljø. Samtidig lar brannmuren deg begrense tilgangen til objekter offentlig nettverk fra emnene til et sikkert nettverk. Ved myndighetsbrudd blokkeres tilgangssubjektets arbeid, og alt nødvendig informasjon er logget.

Brannmurer kan også brukes i sikre bedriftsnettverk. Hvis det lokale nettverket har undernett med ulik grad av informasjonskonfidensialitet, er det tilrådelig å skille slike fragmenter med brannmurer. I dette tilfellet kalles skjermene interne.

Med et stort utvalg av profesjonell programvarebeskyttelse mot annen type angrep på det lokale nettverket fra utsiden (det vil si fra Internett), de har alle en alvorlig ulempe - høye kostnader. Og hvis vi snakker om små nettverk av SOHO-klassen, så er anskaffelse av solide pakker en uoverkommelig luksus. Samtidig skal det bemerkes at for små nettverk mulighetene for slike pakker kan til og med være overflødige. Derfor har rimelige maskinvareløsninger - brannmurer - blitt mye brukt for å beskytte små SOHO-klassenettverk. Ved design kan brannmurer enten implementeres som en frittstående løsning eller være integrert del Spesielt rutere i SOHO-klassen trådløse rutere, som lar deg kombinere kablede og trådløse segmenter av det lokale nettverket basert på dem.
I denne artikkelen vil vi dekke det viktigste funksjonalitet moderne maskinvarebrannmurer som er innebygd i rutere i SOHO-klassen og brukes til å beskytte små lokale nettverk.

Brannmurer som en integrert del av rutere

siden rutere er nettverksenheter installert på grensen mellom det interne og eksterne nettverket, og utføre funksjonen til en nettverksport, så i en konstruktiv plan må de ha minst to porter. En av disse portene kobles til det lokale nettverket, og den porten blir den interne LAN-porten. Et eksternt nettverk (Internett) er koblet til den andre porten, og gjør den om til en ekstern WAN-port. Som regel har rutere i SOHO-klassen én WAN-port og flere (fra én til fire) LAN-porter, som er kombinert til en svitsj. I de fleste tilfeller har switchens WAN-port et 10/100Base-TX-grensesnitt, og enten et xDSL-modem med passende grensesnitt eller en Ethernet-nettverkskabel kan kobles til den.

I tillegg utbredt trådløse nettverk førte til fremveksten av en hel klasse med såkalte trådløse rutere. Disse enhetene, i tillegg til den klassiske ruteren med WAN- og LAN-porter, inneholder et integrert trådløst tilgangspunkt som støtter IEEE 802.11a/b/g-protokollen. Det trådløse nettverkssegmentet som lar deg organisere et tilgangspunkt, fra posisjonen til ruteren, refererer til det interne nettverket, og i denne forstand er datamaskiner koblet til ruteren trådløst ikke forskjellige fra de som er koblet til LAN-porten.

Enhver ruter, som en nettverkslagsenhet, har sin egen IP-adresse. I tillegg til ruteren har WAN-porten også sin egen IP-adresse.

Datamaskiner koblet til ruterens LAN-porter må ha en IP-adresse på samme subnett som ruteren selv. I tillegg, i nettverksinnstillingene til disse PC-ene, må du angi standard gateway-adresse slik at den samsvarer med IP-adressen til ruteren. Og til slutt, enheten koblet til WAN-porten fra siden eksternt nettverk, må ha en IP-adresse fra samme subnett som ruterens WAN-port.

Siden ruteren fungerer som en gateway mellom det lokale nettverket og Internett, er det logisk å forvente av den en funksjon som å beskytte det interne nettverket mot uautorisert tilgang. Derfor har nesten alle moderne SOHO-klasse rutere innebygde hardware brannmurer, som også kalles brannmurer.

Brannmurfunksjoner

Hovedoppgaven til enhver brannmur kommer til syvende og sist ned på å sikre det interne nettverket. For å løse dette problemet må brannmurer kunne maskere det beskyttede nettverket, blokkere alle kjente typer hackerangrep, blokker informasjonslekkasje fra det interne nettverket, kontroller applikasjoner som får tilgang til det eksterne nettverket.

For å gjennomføre spesifiserte funksjoner, brannmurer analyserer all trafikk mellom eksterne og interne nettverk for samsvar med visse etablerte kriterier eller regler som bestemmer betingelsene for passasje av trafikk fra ett nettverk til et annet. Hvis trafikken reagerer kriterier, så sender brannmuren den gjennom seg selv. I ellers, det vil si at hvis de angitte kriteriene ikke oppfylles, blokkeres trafikken av brannmuren. Brannmurer filtrerer både innkommende og utgående trafikk og lar deg kontrollere tilgangen til bestemte nettverksressurser eller applikasjoner. De kan registrere alle forsøk på uautorisert tilgang til lokale nettverksressurser og gi advarsler om inntrengningsforsøk.

Av formålet ligner brannmurer mest av alt et sjekkpunkt (sjekkpunkt) til et bevoktet anlegg, der dokumenter blir sjekket for alle som kommer inn på anleggets territorium og alle som forlater det. Hvis passet er i orden, tillates tilgang til territoriet. Brannmurer fungerer på nøyaktig samme måte, bare nettverkspakker fungerer som personer som passerer gjennom sjekkpunktet, og passet er korrespondansen til overskriftene til disse pakkene til et forhåndsdefinert sett med regler.

Er brannmurer virkelig så pålitelige?

Er det trygt å si at en brannmur er 100 % sikker? brukernettverk eller personlig PC? Absolutt ikke. Om ikke annet fordi ingen system generelt gir en 100% sikkerhetsgaranti. En brannmur bør behandles som et verktøy som, hvis den er riktig konfigurert, i stor grad kan komplisere oppgaven til en angriper å trenge inn i Personlig datamaskin bruker. Vi understreker: bare for å komplisere, men ikke for å garantere absolutt sikkerhet. Forresten, hvis vi ikke snakker om å beskytte det lokale nettverket, men om å beskytte en separat PC med Internett-tilgang, så med å gi det personlig sikkerhet ICF (Internet Connection Firewall) innebygd i operativsystemet takler det også Windows-system xp. Derfor vil vi i fremtiden bare snakke om bedriftens maskinvarebrannmurer designet for å beskytte små nettverk.

Hvis brannmuren som er installert ved inngangen til det lokale nettverket er fullt aktivert (som regel tilsvarer dette standardinnstillingene), er nettverket det beskytter helt ugjennomtrengelig og utilgjengelig fra utsiden. Imidlertid har en slik fullstendig ugjennomtrengelighet av det interne nettverket sin ulempe. Faktum er at i dette tilfellet blir det umulig å bruke Internett-tjenester (for eksempel ICQ og lignende programmer) installert på PC-en. Dermed er oppgaven med å sette opp en brannmur å lage vinduer i den opprinnelig tomme veggen, som er en brannmur for en angriper, slik at brukerprogrammer svare på forespørsler fra utsiden og til slutt implementere kontrollert interaksjon av det interne nettverket med verden utenfor. Men jo flere slike vinduer dukker opp i en slik vegg, jo mer sårbart blir selve nettverket. Så nok en gang understreker vi: ingen brannmur kan garantere den absolutte sikkerheten til det lokale nettverket den beskytter.

Brannmurklassifisering

Mulighetene til brannmurer og graden av deres intelligens avhenger av hvilket nivå referansemodell OSI de fungerer. Den høyere OSI-lag, som brannmuren er basert på, jo høyere beskyttelsesnivå gir den.

Husk at OSI-modellen (Open System Interconnection) inkluderer syv nivåer nettverksarkitektur. Den første, den laveste, er fysisk lag. Den etterfølges av koblingen, nettverk, transport, økt, presentasjon og applikasjons- eller applikasjonslag. For å gi trafikkfiltrering, må brannmuren fungere i det minste i det tredje laget av OSI-modellen, det vil si på nettverkslaget, hvor pakker rutes basert på oversettelse av MAC-adresser til nettverksadresser. Fra synspunktet til TCP/IP-protokollen tilsvarer dette laget IP-laget (Internet Protocol). Ved å motta informasjon om nettverkslag, er brannmurer i stand til å bestemme kilde- og destinasjonsadressen til en pakke og sjekke om trafikk får passere mellom disse destinasjonene. Nettverkslagsinformasjon er imidlertid ikke nok til å analysere innholdet i en pakke. Brannmurer som opererer på transportlaget til OSI-modellen mottar noe mer informasjon om pakker og kan i denne forstand gi mer intelligente nettverksbeskyttelsesordninger. Når det gjelder brannmurer som fungerer på applikasjonsnivå, har de tilgang til fullstendig informasjon om nettverkspakker, som betyr at disse brannmurene gir den mest pålitelige nettverksbeskyttelsen.

Avhengig av nivået på OSI-modellen som brannmurer fungerer på, har følgende klassifisering av disse enhetene historisk utviklet seg:

  • pakkefilter (pakkefilter);
  • gateway på øktnivå (gateway på kretsnivå);
  • applikasjonsnivå gateway (applikasjonsnivå gateway);
  • Stateful Packet Inspection (SPI).

Noter det denne klassifiseringen er kun av historisk interesse, siden alle moderne brannmurer er klassifisert som de mest avanserte (når det gjelder nettverkssikkerhet) SPI-brannmurer.

Pakkefiltre

Brannmurer av pakkefiltertype er de enkleste (minst intelligente). Disse brannmurene opererer på nettverkslaget til OSI-modellen eller på IP-laget til TCP/IP-protokollstabelen. Slike brannmurer er obligatoriske i hver ruter, siden enhver ruter opererer minst på det tredje laget av OSI-modellen.

Oppgaven til pakkefiltre er å filtrere pakker basert på informasjon om kilde- eller destinasjons-IP-adressen, samt portnumre.

I brannmurer som pakkefiltre analyseres hver pakke for å se om den oppfyller overføringskriteriene eller blokkerer overføringen før den sendes. Avhengig av pakken og de genererte overføringskriteriene, kan brannmuren enten sende pakken, avvise den eller sende en melding til initiatoren av overføringen.

Pakkefiltre er enkle å implementere og har liten eller ingen effekt på rutehastigheten.

Innganger på øktnivå

Sesjonsnivågatewayer er brannmurer som opererer på øktnivået til OSI-modellen eller på TCP-nivået (Transport Control Protocol) til TCP/IP-protokollstakken. Disse brannmurene overvåker prosessen med å etablere en TCP-forbindelse (organiseringen av datautvekslingsøkter mellom sluttmaskiner) og lar deg avgjøre om en gitt kommunikasjonsøkt er legitim. Data sendt til ekstern datamaskin i det eksterne nettverket gjennom en gateway på sesjonsnivå, inneholder ikke informasjon om overføringskilden, det vil si at alt ser ut som om dataene sendes av selve brannmuren, og ikke av en datamaskin i det interne (beskyttede) nettverket . Alle brannmurer basert på NAT-protokollen er sesjonslagsporter (NAT-protokollen vil bli beskrevet nedenfor).

Gatewayer på øktnivå har heller ikke en betydelig innvirkning på rutinghastighet. Samtidig er disse gatewayene ikke i stand til å filtrere individuelle pakker.

Application Layer Gateways

Applikasjonslaggatewayer, eller proxy-servere, opererer på applikasjonslaget til OSI-modellen. Applikasjonslaget er ansvarlig for å få tilgang til applikasjoner til nettverket. Oppgaver på dette nivået inkluderer overføring av filer, deling postmeldinger og nettverksadministrasjon. Ved å motta informasjon om pakker på applikasjonslaget, kan applikasjonslaggatewayer implementere blokkering av tilgang til visse tjenester. For eksempel, hvis applikasjonslagsgatewayen er konfigurert som en nettproxy, vil all trafikk relatert til Telnet, FTP, Gopher-protokollene bli blokkert. Fordi disse brannmurene analyserer pakker i applikasjonslaget, er de i stand til å filtrere spesifikke kommandoer som http:post, get og så videre. Denne funksjonen er ikke tilgjengelig for pakkefiltre eller gatewayer på øktnivå. Applikasjonslaggatewayer kan også brukes til å logge aktiviteten til individuelle brukere og sette opp kommunikasjonsøkter. Disse brannmurene tilbyr en mer robust måte å sikre nettverk på enn gatewayer og pakkefiltre på øktnivå.

SPI brannmurer

Den siste typen brannmurer – Stateful Packet Inspection (SPI) – kombinerer fordelene med både pakkefiltre, gatewayer på øktnivå og gatewayer på applikasjonsnivå. Det vil si at vi faktisk snakker om brannmurer på flere nivåer som fungerer samtidig på nettverks-, økt- og applikasjonsnivå.

SPI-brannmurer utfører pakkefiltrering på nettverkslaget, bestemmer legitimiteten til å etablere en kommunikasjonsøkt basert på sesjonslagsdata, og analyserer innholdet i pakker basert på applikasjonslagdata.

Disse brannmurene gir den mest pålitelige måten å beskytte nettverk og dette øyeblikket er de facto-standarden.

Brannmurinnstillinger

Metodikken og alternativene for å konfigurere brannmurer avhenger av spesifikk modell. Dessverre er det ingen enhetlige regler for oppsett, enn si et enhetlig grensesnitt. Vi kan bare snakke om noen generelle regler som er verdt å følge. Egentlig er hovedregelen ganske enkel - det er nødvendig å forby alt som ikke er nødvendig for normal funksjon av nettverket.

Oftest kommer alternativene for å konfigurere brannmurer ned til å aktivere noen forhåndsdefinerte regler og lage statiske regler i form av en tabell.

La oss som et eksempel se på mulighetene for å konfigurere en brannmur inkludert i Gigabyte GN-B49G-ruteren. Denne ruteren har en rekke forhåndsdefinerte regler som lar deg implementere ulike nivåer av intern nettverkssikkerhet. Disse reglene inkluderer følgende:

  • Tilgang til ruterens konfigurasjon og administrasjon fra WAN-siden er forbudt. Aktivering av denne funksjonen forbyr tilgang til ruterinnstillingene fra det eksterne nettverket;
  • Tilgang fra Global-IP til Private-IP er forbudt i LAN. Denne funksjonen lar deg blokkere tilgang innenfor det lokale nettverket fra globale IP-adresser (hvis noen) til IP-adresser reservert for privat bruk;
  • Forhindre fil- og skriverdeling fra utenfor ruterens nettverk. Funksjonen forhindrer bruk av delt tilgang til skrivere og filer på det interne nettverket utenfra;
  • Eksistensen av ruteren kan ikke oppdages fra WAN-siden. Denne funksjonen gjør ruteren usynlig fra det eksterne nettverket;
  • Denial of Service (DoS)-angrep forhindres. Når denne funksjonen er aktivert, er beskyttelse mot DoS (Denial of Service)-angrep implementert. DoS-angrep er en type nettverksangrep som involverer flere forespørsler til en server som krever en tjeneste levert av systemet. Serveren bruker ressursene sine på å etablere en tilkobling og betjene den, og med en viss flyt av forespørsler kan den ikke takle dem. Beskyttelse mot angrep av denne typen er basert på analysen av trafikkkilder som er overdreven sammenlignet med normal trafikk og forbudet mot overføring.

Som vi allerede har bemerket, har mange brannmurer forhåndsdefinerte regler som i hovedsak er de samme som de som er oppført ovenfor, men som kan ha andre navn.

En annen måte å konfigurere en brannmur på er å lage statiske regler som lar deg ikke bare beskytte nettverket fra utsiden, men også begrense tilgangen til det eksterne nettverket for lokale nettverksbrukere. Mulighetene for å lage regler er ganske fleksible og lar deg implementere nesten enhver situasjon. For å opprette en regel spesifiserer du kilde-IP-adressen (eller rekkevidden av adresser), kildeporter, destinasjons-IP-adresser og -porter, protokolltype, pakkeoverføringsretning (fra det interne nettverket til det eksterne nettverket eller omvendt), og handlingen som skal tas når pakken oppdages med de spesifiserte egenskapene (slipp eller hopp over pakken). Hvis du for eksempel vil forhindre at brukere av det interne nettverket (område med IP-adresser: 192.168.1.1-192.168.1.100) får tilgang til FTP-serveren (port 21) som ligger på den eksterne IP-adressen 64.233.183.104, kan regelen formuleres som følger:

  • pakkevideresendingsretning: LAN-til-WAN;
  • Kilde IP-adresser: 192.168.1.1-192.168.1.100;
  • kildeport: 1-65535;
  • destinasjonshavn: 21;
  • protokoll: TCP;
  • handling: slipp.

Den statiske konfigurasjonen av brannmurregelen for eksemplet ovenfor er vist i fig. en.

NAT-protokollen som en integrert del av brannmuren

Alle moderne rutere med innebygde brannmurer støtter NAT (Network Address Translation).

NAT-protokollen er ikke en del av brannmuren, men er samtidig med på å øke sikkerheten i nettverket. Hovedoppgaven til NAT-protokollen er å løse problemet med mangel på IP-adresser, som blir mer og mer aktuelt ettersom antallet datamaskiner vokser.

Faktum er at i den nåværende versjonen av IPv4-protokollen er fire byte tildelt for å bestemme IP-adressen, noe som gjør det mulig å danne over fire milliarder adresser til nettverksdatamaskiner. Selvfølgelig, i de dager da Internett var i sin spede begynnelse, var det vanskelig å forestille seg at en dag kanskje ikke dette antallet IP-adresser var nok. For å delvis løse problemet med mangel på IP-adresser, ble NAT-nettverken gang foreslått.

NAT-protokollen er definert av RFC 1631, som definerer hvordan nettverksadresseoversettelse finner sted.

I de fleste tilfeller oversetter en NAT-enhet IP-adresser reservert for privat bruk på lokale nettverk til offentlige IP-adresser.

Det private adresserommet styres av RFC 1918. Disse adressene inkluderer følgende IP-områder: 10.0.0.0-10.255.255.255, 172.16.0.0-172.31.255.255, 192.168.0.0-1925.25.2.

I følge RFC 1918 kan private IP-adresser ikke brukes på WAN, så de kan kun brukes fritt til interne formål.

Før vi går videre til funksjonene til driften av NAT-protokollen, la oss vurdere hvordan nettverkstilgang mellom to PC-er.

Når en datamaskin i et nettverk oppretter en forbindelse med en annen datamaskin, åpnes en stikkontakt, identifisert av kilde-IP-adressen, kildeporten, destinasjons-IP-adressen, destinasjonsporten og nettverksprotokoll. IP-pakkeformatet gir et to-byte-felt for portnumre. Dette lar deg definere 65 535 porter som spiller rollen som en slags kommunikasjonskanaler. Av de 65 535 portene er de første 1023 reservert for kjente servertjenester som Web, FTP, Telnet og så videre. Alle andre porter kan brukes til andre formål.

Hvis for eksempel en nettverksdatamaskin får tilgang til FTP-serveren (port 21), så når du åpner kontakten operativsystem tildeler økten en hvilken som helst port over 1023. Det kan for eksempel være port 2153. Da vil IP-pakken som sendes fra PC-en til FTP-serveren inneholde avsenderens IP-adresse, avsenderens port (2153), mottakerens IP-adresse og destinasjonen port ( 21). Avsenderens IP-adresse og port vil bli brukt for serverens svar til klienten. Ved å bruke forskjellige porter for forskjellige nettverksøkter kan nettverksklienter etablere flere økter samtidig. forskjellige servere eller med tjenestene til én server.

La oss nå se på prosessen med å etablere en økt når du bruker en NAT-ruter på grensen til det interne nettverket og Internett.

Når en intern nettverksklient kommuniserer med en ekstern nettverksserver, akkurat som når en forbindelse etableres mellom to PC-er, åpnes en stikkontakt, identifisert av kilde-IP-adressen, kildeporten, destinasjons-IP-adressen, destinasjonsporten og nettverksprotokollen. Når en applikasjon sender data på denne kontakten, settes kildens IP-adresse og kildeporten inn i pakken i kildeparameterfeltene. Destinasjonsparameterfeltene vil inneholde serverens IP-adresse og serverporten. For eksempel kan en intern nettverksdatamaskin med IP-adressen 192.168.0.1 få tilgang til en WAN-webserver med IP-adressen 64.233.188.104. I dette tilfellet kan klientoperativsystemet tilordne port 1251 (kildeport) til den etablerte økten, og destinasjonsporten er webtjenesteporten, det vil si 80. Deretter vil følgende attributter bli indikert i overskriften til den sendte pakken (Fig. 2):

  • kildeport: 1251;
  • Destinasjons-IP-adresse: 64.233.183.104;
  • destinasjonshavn: 80;
  • protokoll: TCP.

NAT-enheten (ruteren) avskjærer den utgående pakken fra det interne nettverket og legger inn i sin interne tabell kartleggingen av kilde- og destinasjonsportene til pakken ved å bruke destinasjons-IP-adressen, destinasjonsporten, ekstern IP-adressen til NAT-enheten, ekstern port , nettverksprotokoll og intern IP-adresse og port til klienten.

La oss anta at i eksemplet ovenfor har NAT-ruteren en ekstern IP-adresse på 195.2.91.103 (WAN-portadressen), og for en etablert økt er den eksterne porten til NAT-enheten 3210. I dette tilfellet er den interne porten kartlegging av kilde- og destinasjonsportene til pakken inneholder følgende informasjon:

  • Kilde IP-adresse: 192.168.0.1;
  • kildeport: 1251;
  • ekstern IP-adresse

NAT-enheter: 195.2.91.103;

  • ekstern port på NAT-enheten: 3210;
  • Destinasjons-IP-adresse: 64.233.183.104;
  • destinasjonshavn: 80;
  • protokoll: TCP.

NAT-enheten "oversetter" deretter pakken ved å oversette kildefeltene i pakken: klientens interne IP-adresse og port erstattes med NAT-enhetens eksterne IP-adresse og port. I dette eksemplet vil den konverterte pakken inneholde følgende informasjon:

  • Kilde IP-adresse: 195.2.91.103;
  • kildeport: 3210;
  • Destinasjons-IP-adresse: 64.233.183.104;
  • destinasjonshavn: 80;
  • protokoll: TCP.

Den konverterte pakken sendes over det eksterne nettverket og når til slutt den angitte serveren.

Ved mottak av pakken vil serveren sende svarpakker til den eksterne IP-adressen og porten til NAT-enheten (ruteren), som indikerer sin egen egen IP-adresse og port (fig. 3). I det betraktede eksemplet vil svarpakken fra serveren inneholde følgende informasjon i overskriften:

  • kildeport: 80;
  • Destinasjons-IP-adresse: 195.2.91.103;
  • destinasjonsport: 3210;
  • protokoll: TCP.

Ris. 3. Prinsippet for drift av en NAT-enhet ved overføring av en pakke fra et eksternt nettverk til et internt

NAT-enheten mottar disse pakkene fra serveren og analyserer innholdet deres basert på portkartleggingstabellen. Hvis det finnes en porttilordning i tabellen der kilde-IP-adressen, kildeporten, destinasjonsporten og nettverksprotokollen fra den innkommende pakken samsvarer med IP-adressen til den eksterne verten, ekstern port og med nettverksprotokollen spesifisert i portkartleggingen, vil NAT utføre den omvendte oversettelsen: den vil erstatte den eksterne IP-adressen og den eksterne porten i destinasjonsfeltene til pakken med IP-adressen og den interne porten til den interne nettverksklienten. Dermed vil pakken som sendes til det interne nettverket, for eksemplet diskutert ovenfor, ha følgende attributter:

  • Kilde IP-adresse: 64.233.183.104;
  • kildeport: 80;
  • Destinasjons-IP-adresse: 192.168.0.1;
  • destinasjonsport: 1251;
  • protokoll: TCP.

Imidlertid, hvis det ikke er samsvar i portkartleggingstabellen, avvises den innkommende pakken og tilkoblingen lukkes.

Takket være NAT-ruteren kan enhver PC på det interne nettverket overføre data til WAN ved å bruke den eksterne IP-adressen og porten til ruteren. Samtidig forblir IP-adressene til det interne nettverket, som porter tilordnet til øktene, usynlige fra det eksterne nettverket.

En NAT-ruter tillater imidlertid bare kommunikasjon mellom datamaskiner på det interne og eksterne nettverket hvis kommunikasjonen initieres av en datamaskin på det interne nettverket. Hvis en datamaskin på det eksterne nettverket prøver å få tilgang til en datamaskin på det indre nettverket på eget initiativ, avvises en slik tilkobling av NAT-enheten. Derfor, i tillegg til å løse problemet med utilstrekkelige IP-adresser, bidrar NAT også til sikkerheten til det interne nettverket.

Problemer relatert til NAT-enheter

Til tross for den tilsynelatende enkelheten til NAT-enheter, er de assosiert med noen problemer som ofte kompliserer organiseringen av interaksjon mellom nettverksdatamaskiner eller til og med hindrer den i å bli etablert. For eksempel, hvis det lokale nettverket er beskyttet av en NAT-enhet, kan enhver klient på det interne nettverket opprette en forbindelse med WAN-serveren, men ikke omvendt. Det vil si at fra det eksterne nettverket kan du ikke starte en tilkobling til en server som ligger på det interne nettverket bak en NAT-enhet. Men hva hvis det er en tjeneste (som en FTP eller webserver) på det interne nettverket som brukere på det eksterne nettverket trenger for å få tilgang til? For å løse dette problemet bruker NAT-rutere teknologier for perimetersone og portvideresending, som vil bli beskrevet i detalj nedenfor.

Et annet problem med NAT-enheter er at noen nettverksapplikasjoner inkluderer IP-adressen og porten i datadelen av pakken. Det er tydelig at NAT-enheten ikke er i stand til å oversette slike adresser. Som et resultat, hvis en nettverksapplikasjon setter inn en IP-adresse eller port i nyttelastdelen av en pakke, vil serveren svare på pakken ved å bruke den nestede IP-adressen og porten som det ikke er noen samsvarende tilordningsoppføring for i pakken. innvendig bord NAT-enheter. Som et resultat vil en slik pakke bli droppet av NAT-enheten, og derfor applikasjoner som bruker denne teknologien, vil ikke fungere hvis det er NAT-enheter.

Det er nettverksapplikasjoner som bruker én port (som senderport) ved overføring av data, men venter på svar på en annen port. NAT-enheten analyserer utgående trafikk og kartlegger kildeporten. NAT-enheten vet imidlertid ikke at det forventes et svar på en annen port og kan ikke utføre riktig tilordning. Som et resultat vil svarpakker adressert til en port som ikke har samsvar i NAT-enhetens interne tabell, bli slettet.

Et annet problem med NAT-enheter er flere tilganger til samme port. Tenk på en situasjon der flere klienter i et lokalt nettverk atskilt fra det eksterne nettverket med en NAT-enhet får tilgang til det samme standard port. Det kan for eksempel være port 80 reservert for en webtjeneste. Siden alle klienter på det interne nettverket bruker samme IP-adresse, oppstår spørsmålet: hvordan kan en NAT-enhet bestemme hvilken klient på det interne nettverket den tilhører? ekstern forespørsel? For å løse dette problemet har bare én klient på det interne nettverket tilgang til standardporten om gangen.

Statisk portvideresending ( Havnekartlegging)

For å gjøre visse applikasjoner som kjører på en server på det interne nettverket (som en webserver eller FTP-server) tilgjengelige fra det eksterne nettverket, må du sette opp en kartlegging i NAT-enheten mellom portene som brukes av visse applikasjoner, og IP-adressene til de interne nettverksserverne som disse programmene kjører på. I dette tilfellet snakker de om portmapping-teknologi, og selve den interne nettverksserveren kalles en virtuell server. Som et resultat vil enhver forespørsel fra det eksterne nettverket til den eksterne IP-adressen til NAT-enheten (ruteren) på den angitte porten automatisk omdirigeres til den spesifiserte interne nettverks virtuelle serveren.

For eksempel, hvis en virtuell FTP-server er konfigurert på det interne nettverket, som kjører på en PC med IP-adressen 192.168.0.10, så når du konfigurerer virtuell server IP-adressen til den virtuelle serveren (192.168.0.10), protokollen som brukes (TCP) og applikasjonsporten (21) er satt. I et slikt tilfelle når du får tilgang til den eksterne adressen til NAT-enheten (WAN-porten til ruteren) på port 21, kan brukeren av det eksterne nettverket få tilgang til FTP-serveren til det interne nettverket, til tross for bruk av NAT-protokollen. Et eksempel på å konfigurere en virtuell server på en ekte NAT-ruter er vist i fig. 4.

Vanligvis lar NAT-rutere deg lage flere statiske portvideresendinger. Så på en virtuell server kan du åpne flere porter samtidig eller lage flere virtuelle servere med forskjellige IP-adresser. Med statisk portvideresending kan du imidlertid ikke videresende en enkelt port til flere IP-adresser, noe som betyr at en port kan tilsvare en enkelt IP-adresse. Det er for eksempel umulig å konfigurere flere webservere med forskjellige IP-adresser - for dette må du endre standard webserverport og når du får tilgang til port 80 i ruterinnstillingene som intern port(Privat Port) spesifiser den endrede porten til webserveren.

De fleste rutermodeller lar deg også sette statisk omdirigering av en gruppe porter, det vil si å matche IP-adressen til en virtuell server med en hel gruppe porter samtidig. Denne funksjonen er nyttig hvis du trenger å sikre driften av applikasjoner som bruker et stort nummer av porter som spill eller lyd/videokonferanser. Antallet videresendte portgrupper i forskjellige rutermodeller er forskjellig, men vanligvis er det minst ti av dem.

Dynamisk portvideresending (spesiell applikasjon)

Statisk portvideresending lar deg delvis løse problemet med tilgang fra et eksternt nettverk til lokale nettverkstjenester beskyttet av en NAT-enhet. Det er imidlertid også en motsatt oppgave - behovet for å gi lokale nettverksbrukere tilgang til et eksternt nettverk gjennom en NAT-enhet. Faktum er at noen applikasjoner (for eksempel Internett-spill, videokonferanser, Internett-telefoni og andre applikasjoner som krever samtidig etablering av mange økter) ikke er kompatible med NAT-teknologi. For å løse dette problemet brukes den såkalte dynamiske portvideresendingen (noen ganger kalt spesialapplikasjon), når portvideresending er satt på nivået til individuelle nettverksapplikasjoner.

Hvis ruteren støtter denne funksjonen, må du angi det interne portnummeret (eller portområdet) knyttet til en bestemt applikasjon (vanligvis betegnet med utløserport), og angi nummeret ekstern port NAT-enhet (Public Port) for å kartlegge til den offentlige porten.

Når dynamisk portvideresending er aktivert, overvåker ruteren utgående trafikk fra det interne nettverket og husker IP-adressen til datamaskinen som oppsto denne trafikken. Når data kommer tilbake til det lokale segmentet, er portvideresending aktivert og dataene sendes innover. Etter at overføringen er fullført, er omdirigeringen deaktivert, og deretter kan en hvilken som helst annen datamaskin opprette en ny omdirigering til sin egen IP-adresse.

Dynamisk portvideresending brukes hovedsakelig for tjenester som krever kortvarige forespørsler og dataoverføringer, fordi hvis én datamaskin bruker portvideresending denne havnen, så kan ikke en annen datamaskin gjøre det samme. Hvis du ønsker å tilpasse driften av applikasjoner som trenger en konstant strøm av data som opptar en port på lang tid, da er dynamisk omdirigering ineffektiv. Men i dette tilfellet er det en løsning på problemet - det er å bruke den demilitariserte sonen.

DMZ sone

En demilitarisert sone (DMZ) er en annen måte å omgå NAT-protokollbegrensninger. Denne funksjonen leveres av alle moderne rutere. Når du plasserer en intern LAN-datamaskin i DMZ, blir den gjennomsiktig for NAT. Dette betyr faktisk at datamaskinen på det interne nettverket er praktisk talt plassert foran brannmuren. For en PC som ligger i en DMZ-sone, blir alle porter omdirigert til én intern IP-adresse, som gjør det mulig å organisere dataoverføring fra et eksternt nettverk til et internt.

Hvis for eksempel en server med IP-adressen 192.168.1.10, lokalisert i det interne lokale nettverket, befinner seg i DMZ-sonen, og selve det lokale nettverket er beskyttet av en NAT-enhet, så når en forespørsel mottas på evt. port fra det eksterne nettverket til WAN-portadressen NAT-enheter, vil denne forespørselen bli omdirigert til IP-adressen 192.168.1.10, det vil si til adressen til den virtuelle serveren i DMZ-sonen.

Som regel tillater NAT-rutere i SOHO-klassen at kun én datamaskin plasseres i DMZ-sonen. Et eksempel på konfigurering av en datamaskin i en DMZ-sone er vist i fig. fem.

Ris. 5. Et eksempel på en datamaskinkonfigurasjon i DMZ-sonen

Siden en datamaskin som er vert i en DMZ-sone blir tilgjengelig fra det eksterne nettverket og ikke er beskyttet av en brannmur på noen måte, blir det et nettverkssårbarhet. Det er nødvendig å ty til å plassere datamaskiner i den demilitariserte sonen bare som en siste utvei, når ingen andre måter å omgå restriksjonene i NAT-protokollen er egnet av en eller annen grunn.

NAT-traversalteknologi

Måtene vi har listet opp for å omgå restriksjonene til NAT-protokollen kan være noe vanskelig for nybegynnere. For å lette administrasjonen er det foreslått en automatisert teknologi for å konfigurere NAT-enheter. NAT Traversal-teknologi (NAT-traversal) tillater nettverksapplikasjoner fastslå at de er under beskyttelse av en NAT-enhet, finn ut den eksterne IP-adressen og utfør portvideresending i automatisk modus. Dermed er fordelen med NAT Traversal at brukeren ikke trenger å manuelt konfigurere portkartlegging.

NAT Traversal er basert på UPnP (Universal Plug og spille) derfor er det ofte nødvendig å sjekke UPnP & NAT-alternativet i rutere for å aktivere denne teknologien.




Hvorfor trenger du en brannmur i ruteren

Det trådløse nettverket må beskyttes nøye, fordi de gunstigste mulighetene for å avskjære informasjon skapes her. Derfor, hvis flere datamaskiner er koblet til et nettverk ved hjelp av en ruter (ruter), må en brannmur installeres og brukes ikke bare på hver datamaskin, men også på ruteren. For eksempel utføres brannmurfunksjonen i ruteren i DI-XXX-serien av SPI, som utfører ekstra pakkeinspeksjon. Emnet for kontrollen er om pakkene tilhører den etablerte forbindelsen.

Under en tilkoblingsøkt åpnes en port som utenlandske pakker kan prøve å angripe, et spesielt gunstig øyeblikk for dette er når økten er over, og porten forblir åpen i noen minutter til. Så husker SPI Nåværende situasjonøkt og analyserer alle innkommende pakker. De må matche de forventede - kommer fra adressen som forespørselen ble sendt til, har visse tall. Hvis pakken ikke samsvarer med økten, det vil si er feil, blokkeres den, og denne hendelsen logges. En annen brannmur på ruteren lar deg blokkere utgående tilkoblinger fra en infisert datamaskin.



© Copyright 2017, https://qzoreteam.ru