Межсетевые экраны инспекции состояний

Технология инспекции состояний (shameful inspection) осуществляет анализ пакетов на 3 уровнях. Этот подход используется многими разработчиками, но, поскольку наименование запатентованного компанией Check Point, они вынуждены присваивать ему различные наименования запатентовано компанией Check Point, они вынуждены присваивать ему различные наименования (кроме shameful inspection используется expert inspection inspection и др.).

Устройство инспекции состояний осуществляет анализ пакетов и формирование данных о «состоянии виртуального соединения». Соединение может находится в состоянии установки, пердачи или отключения. В каждом из этих состояний имеется возможность интерпретировать коммуникативные данные определенным способом. Вся информация, связанная с состоянием данного виртуального соединения, хранится в таблице динамических состояний, с помощью которой оценивается дальнейший обмен в рамках этого виртуального соединения, т. е. осуществляет контроль последовательности пакетов на различных уровнях. Схема фильтрации при инспекции состояний приведена на рис 3.9.

Отслеживание информации прикладного уровня позволяет учитывать проведение нестандартных протоколов (например FTP или H.323). Каждый работник межсетевого экрана использует свою реализацию для построения таблицы состояний.

Межсетевой экран IP — tables является свободно распространенным продуктом для Linux. При отслеживании состояния соединение регистрируется в основном на основании информации о протоколе.

Администратор имеет возможность создать правила, определяющие, какие протоколы или определенные виды трафика необходимо отслеживать. Когда соединение начинается с использованием отслеживаемого протокола, IP — tables добавляет записи в таблицу состояний всего соединения. Запись в таблице состояний включает в себя следующую информацию:

• 1) Протокол, используемый для соединения;
• 2) IP — адреса источника и назначения;
• 3) Номера портов источника и назанчения;
• 4) Листинг с обращенными адресами и номерами портов;
• 5) Время, по истечению которого соединение будет удалено;
• 6) Сотояние TCP — соединения;
• 7) Состояние отслеживаемого соединения.

Tcp 6 92 SYN _SENT src=192.168.1.1.dst =192.168.200.200.

Sport=1054 dport=21 [unreplied].

src=192.168.200.200 dst =192.168.1.1 Sport=21 dport=1054 use=1.

В первой строчке указан протокол и его числовое обозначение, следующее значение (93) отражает время, по истечению которого запись будет автоматически удалена из таблицы состояний. Далее указано состояние соединения TCP (послан SYN). Указаны номера адресов и портов. Межсетевой экран видит это соединение как [UNREPLIED]так как это начало установления соединения. В третьей строке указана резервная строка разрешения обратного трафика.

После установления соединения запись в таблице состояний изменится на следующую:

Tcp 6 41 294 ESTABLISHED src = 192.168.1.1 dst =192.168.200.200.

Sport=1054 dport=21 src=192.168.200.200 dst =192.168.1.1 [ASSURED] use=1.

Маркер [UNREPLIED] удален после получения первого обратного пакета, а по установлению соединения помещения маркер [ASSURED] и величина тайм — аута (41 294).

Межсетевой экран Check Point FireWall -1 представляет собой один из наиболее популярных экранов инспекций состояния. Он является программным продуктом и может быть установлен на различные платформы,. Этот межсетевой экран использует таблицу на уровне протокола и модуль INSPECT для отслеживания более углубленных правил, включая трафик на прикладном уровне и проведение нестандартного протокола.

При принятии решения о разрешении прохождения пакета межсетевой экран проверит его последовательно по следующим структурам данных:

• 1) Таблица состояний — зарегестрированно ли соединения для данного прохождения пакета (ели да, то пакет передается без дальнейшей проверки).
• 2) 2) политика безопасности — если правило разрешает прохождение пакета, то пакет будет передан, а для его сеанса соединение будет добавлена запись в таблицу состояний.

Для задания правил администратору предоставляется графический интерфейс, в котором содержится следующие опции: Sourse, Destination, Service, Action, Track, InstallOn и Time/ в качестве примера приведем фрагмент листинга таблицы состояний, декодированный сценарием Perlfwtable. pl, находящийся на странице Ланса Шпицнера. Для удобства чтения расположим строки таблицы двумя частями:

Настраиваемые proxy (adaptive proxy) — один из вариантов данной технологии. В этом случае начальное исследование состояния приводится на прикладном уровне. После формирования состояния в таблицу правил добавляется стандартизированная группа правил, соответствующая данному соединению и установленному режиму безопасности. Если пакет удовлетворяет требованиям правил данного виртуального соединения, то он передается через сетевой уровень, не затрагивая прикладной уровень. Это позволяет повысить быстродействие МЭ.

Примером подхода, в котором используется элементы технологии инспекций состояний, являются рефлективные списки контроля доступа и списки контроля по содержимому Cisco.

Рефлективные списки контроля доступа Cisco позволяет автоматически создавать временные входы при наличии сеанса обмена. Эти списки включают в существующий расширенный список, когда внутренний список инициализируется из внутренней сети. При включении рефлективный список доступа автоматически генерирует новый временной вход, который будет разрешать трафику является частью сеанса. Рефлективный список не содержит подразумеваемого ключевого слова deny all в конце, так как после обработки рефлексивного списка маршрутизатор продолжит работу с остальной частью расширенного доступа.

Предположим, что пользователь внутренней сети, которому это разрешено расширенным списком, послал TCP пакет начала соединения. В этом случае создается временный вход рефлексивного списка доступа, который будет применятся к входящему во внутрунн. сеть трафику. Такой временный вход имеет следующие характеристики:

• 1) Всегда является входом с ключевым словом permit;
• 2) Определяет тот же протокол что и пакет — инициатор сеанса;
• 3) Определяет адреса и порты источника назначения, соответствующие пакету — инициатору;
• 4) Входящий трафик проверяется этим временным входом, пока вход существует;
• 5) Вход удаляется после прохождения последнего пакета сеанса, прошедшего через интерфейс маршрутизатора;
• 6) Если заданный промежуток времени нет пакетов, относящихся к сеансу, то вход удаляется.

Для сеансов TCP вход удаляется через 5 с после обнаружения двух пакетов с установленным флагом FIN или немедленно, если пакет содержит установленный флаг RST.

Для UDP и других протоколов, не ориентированных на соединение, завершение сеанса осуществляется по критерию времени простоя.

Для определения рефлексивного списка контроля доступа используется следующие команды:

Permit protocol source smask destination вmask reflest reflest-name [timeout секунды].

Для вставки рефлексивного списка используются следующая команда:

Ip accesslist extended [list-name] evaluate [reflectname].

Рассмотрим пример, в котором будем давать пояснение в строке, следующей за строкой списка доступа. Маршрутизатору задаются команды применения списков к различным интерфейсам:

Interface serial 0.

!интерфейс маршрутизатора со стороны внешнего мира;

!Serial 0.

Description access to the Internet via this interface.

!ключевое слово Descriptionозначает комментарий.

Ip accessgroup infielders in.

Ip accessgroup out filters out.

! infielders и out filters — имена списков доступа.

!ключевое слово accessgroupпозволяет задать списки.

!на интерфейсы.

Ip reflexive-list timeout 120.

!задание времени для всех рефлексивных списков.

!по умолчанию -300 секунд.

Ip accesslist exterded outfilters permit tcp any any reflect tcptraffic.

!указан рефлексивный список и именем tcptraffic для.

!протокола TCP в расширенном списке outfilters.

Ip accesslist exterded infielders permit.

Permit bqp any any.

Deny icmp any any.

Evaluate tcptraffic.

!разрешение использования протокола BGP и запрет.

ICMP для.

!входящего в маршрутизатор трафика Аналогичным образом выглядит списки доступа для внутренноего интерфейса маршрутизатора:

Interface internet 0.

Description access from the Internet to our network.

Via this interface.

Ipaccessgroup infilters in.

Ip accessgroup outfilters out.

Ip reflexive-list timeout 120.

Ip access — list extended outfilters.

Permit bgp any any.

Deny icmp any any.

Evaluate tcptraffic.

Ip accesslist exteded infilters permit tcp any any.

Reflect tcptraffic.

Рефлексивные списки спсобны контролировать только единственный канал приложения использующего единственный статический порт во время сеанса. Для устранения этого недостатка используются списки контроля доступа по содержимому.

В идеологию построения списков контроля доступа по содержимому компанией Cisco введено свойство СВАС. Это устройство позволяет контролировать и управлять различными типами информации прикладного уровня. Контроля определенный трафик выходит из внутренней сети, создается специальный вход с существующей список контроля доступа, который будет разрешать возвращаемый трафик. При этом соответствующие данные заносятся в таблицу состояния. В число этих данных входят IP — адреса, номера портов. Эта таблица состояния используется СВАС для создания временных входов в списках доступа для возвращаемого трафика. Если в рефлексивных списках фильтруется информация сетевого и транспортного уровня, со СВАС контролирует сетевой и транспортный уровни совместно с информацией прикладного уровня. Инспекция информации прикладного уровня осуществляется для подтверждения того, что входящему трафику разрешено проходить маршрутизатор. СВАС функционирует для следующих протоколов: TCP, UDP, CU-See ME, FTP, H.323, Java-апплеты, Unix r-commands, RealAudio, RPC, SMTP, SQL*Net, StreamWorks, TFTP и VDOLiive.

При закрытии соединения вход в таблицу состояний указать необходимо уазать протокол, интерфейс маршрутизатора, направление трафика и список контроля доступа исходящего трафика.

Для определения СВАС используется следующий синтаксис:

Ip insert name inspection — name protocol [alert {on/off} {audit-trail {on/off}} {timeout seconds}.

Ключевое слово alert позволяет послать сообщение на сервер регистрации, когда возникает нарушение в контролируемом приложении. Ключевое слово audit-trail разрешает запись соединений, используемых для защищаемого приложения (регистрируется следующие данные: порты, число переданных байт и т. д.).

Для применения СВАС необходимо определить трафик, которому разрешено выходить в Интернет. Далее необходимо создать список фильтрации входящего трафика, которая будет осуществляется независимо от СВАС.

Непосредственно для использования СВАС необходимо задать временные промежутки и знания порогов, которые будут использоватся для определения продолжительности неактивных сеансов связи перед их удалением. Для протокола TCP — это число полуоткрытых сеансов, а для UDP — промежуток времени до прихода возвращаемого трафика. Соответствующими командами СВАС являются:

Ip inspect tcp synwait-time seconds.

!Время ожидания ответа на SYN по умолчанию-30 секунд.

Ip inspect tcp finwait-time seconds.

!время ожидания после получения FIN, по умолчанию 5 секунд.

Ip inspect tcp idle-time seconds.

!время простоя, по умолчанию -3600 секунд, т. е. 1 час.

Ip inspect udp idle-time seconds.

!время простоя по умолчанию -5 секунд.

Ip inspect max-incomplete low number.

!нижний порог количества полуоткрытых соединений, по умолчанию -400.

Ip inspect max-incomplete high number.

!верхний порог количества полуоткрытых соединений, по умолчанию -500.

Ip inspect one-minute low number.

!нижний порог количества полуоткрытых соединений за одну минуту, по умолчанию -400.

Ip inspect one-minute high number.

!верхний порог количества полуоткрытых соединений за одну минуту, по умолчанию -500.

Ip inspect tcp max-incomplete host number block-time seconds.

!максимально допустимое число полуоткрытых соединений с одним хостом В качетстве примера рассмотрим случай, когда пользоваелям сети 192.168.130.0 разрешается работать с Интернетом, в том числе загружать файлы и использовать RealAudio:

Ip insert name company ftp timeout 3600.

Ip insert name company realaudio timeout 3600.

• (i) insert name company ftp timeout 3600
• (i) insert name company udp timeou 15
• (i) insert name company tcp timeout 3600

! перечислены протоколы, которые разрешены пользователем.

!локальной сети и которые будут конторолироватся.

!списком контроля доступа по содержимому (СВАС).

Interface Ethernet 0.

Ip address 192.168.130.0 255.255.255.0.

Ip accessdroup outbound in.

Ip inspect company in.

!применен список доступа outbound к входящему трафику.

!на интерфейс Ethernet 0 (исходящий из локальной сети).

Interface serial 0.

Ip address 192.168.130.0 255.255.255.0.

Ip accessdroup inbound in.

!применен список доступа inbound к входящему.

!трафику на интерфейс serial 0(входящий в локальную сеть).

Ip address — list extended outbound.

Permit ip 10.150.130.0.0.0.0.255 any.

Deny ip any log.

!разрешены только пакеты, которые исходят из локальной сети.

!и имеют адрес источника внутренней сети, что не даст.

!инициировать некоторые атаки из локальной сети.

Ip address — listм extended inbound.

Permit icmp any 10.150.130.0.0.0.0.255 echoreply.

Permit icmp any 10.150.130.0.0.0.0.255 trace route.

Permit icmp any 10.150.130.0.0.0.0.255 time-exceeded.

Permit icmp any 10.150.130.0.0.0.0.255 unreachble.

Deny ip any log.

!разрешен вход в локальную сеть определенным ICMP сообщениям.

!для обеспечения работы пользователей Таким образом, рефлективные списки доступа Cisco представляет элемент использования технологии инспекции состояний.