Межсетевые экраны прикладного уровня

Данные МЭ оценивают сетевые пакеты на соответствие определенному прикладному уровню перед установкой соединения. Они исследуют данные всех сетевых пакетов на прикладном уровне и устанавливают состояние полного соединения и последовательной информации. Кроме того, МЭ могут проверять другие параметры безопасности, которые содержатся внутри данных прикладного уровня.

Большинство МЭ прикладного уровня включают в себя специализированное прикладное ПО и службы proxy. Схема функционирования служб proxy предоставлена ниже.

Каждая proxy — служба является специфичной для каждого протокола и может осуществлять усиленный контроль доступа, проверку данных, а также генерировать записи аудита. Службы proxy не позволяет прямого соединения пользователей с серверами, они прозрачны для пользователя и работают в прикладной области ОС.

Использование proxy позволяет проводить анализ множества команд одного протокола и, что очень важно, проводить анализ содержания данных. Схема функционирования МЭ прикладного уровня представлена на рис далее.

Межсетевые экраны с динамической фильтрацией пакетов

Данные МЭ позволяет осуществлять модификацию базы правил «на лету» (on fly). Это реализуется для протокола UDP пакетов, которые пересекают периметр безопасности через виртуальные соединение. Если генерируется пакет ответа и передается источнику запроса, то устанавливается виртуальное соединение и пакету разрешается пересечь сервер МЭ. Информация, ассоциированная с виртуальным состоянием, запоминается на краткий промежуток времени, поэтому если пакет ответа не получен, то соединение считывается закрытым.

Главной особенностью данной схемы является наличие двух групп правил. Одна — статическая, другая — динамическая, изменяемая в ходе работы МЭ.

Технология динамической фильтрации пакетов используется не только для протокола UDP и опирающихся на него прикладных протоколов, поэтому ее можно назвать технологией установления виртуального соединения или виртуального сеанса.

Динамические списки контроля доступа Cisco позволяют автоматически открывать вход в существующий на маршрутизатора список доступа, который будет фильтровать входящий трафик от аутерифцированного пользователя. Сначала пользователь открывает сеанс telnet с маршрутизатором для проведения аутерификации. Маршрутизотор в сеансе запрашивает имя и пароль пользователя. При успешном прохождении аутерификации сеанс telnet закрывается и создается временный вход разрешает трафик между хостом пользователя и определенным хостом защищаемой сети. Динамический список доступа удаляется по истечении заданного промежутка времени или по команде администратора.

Синтаксис динамического списка контроля доступа:

Access — list list — number [dynamic имя _списка [timeout минуты] [deny/permit] protocol source s-mask destination в-mask [precedence значение] [tos занчение established] [log/log — input].

Номер списка доступа должен быть в диапазоне от 100 до 199. Слово dynamic обозначает данный вход как часть динамического списка с именем имя) списка. Если необходимо иметь несколько входов, переключающихся в одно и то же время, то они должны иметь в одно имя. Слово timeout задает промежуток времени существования динамических входов.

Любой вход в списке доступа, не помеченный как динамический, будет фильтроваться как основной расширенный список доступа. Для каждого существующего на маршрутизаторе списка доступа может быть установлен только один динамический список. Чтобы открыть временный вход, определенный в списке доступа, пользователь должен ввести команду:

Access-enable [host] [timeout минуты].

Где Access-enableсообщение маршрутизатора об активации временного входа в динамическом списке; hostадрес хоста, трафику которого после аутерификация разрешено проходить через динамический список, timeoutзначение. Если трафик будет отсутствовать в течении указанного промежутка времени, то временный вход удаляется.

Пусть внешнему пользователю (10.10.10.10) необходимо провести сеанс FTR длительностью до 60 минут с хостом 192.168.100.1 сети, защищаемой маршрутизаторами. Внешний интерфейс маршрутизатора имеет 172.16.20.2. тогда соответствующий список доступа может иметь следующий вид:

Access — list 123 dynamic remote user timeout 60 permit tcp.

Any host 192.168.100.1 eq ftp.

Access — list 123 permit tcp any host 172.16.20.2 eq telnet.

В этом случае разрешен только telnet доступ к маршрутизатору. Любой, кто пройдет аутерификацию, получит доступ к хосту внутренней сети. Если пользователь, прошедший аутерификацию, наберет команду Access — enable 10.10.10.10, то это добавит в его адрес в список доступа. В этом случае реальный список 123 в маршрутизаторе будет содержать следующие правила:

dynamic remote timeout 60 permit tcp Any host 192.168.100.1 eq ftp.

permit host 10.10.10.10 host 192.168.100.1 eq ftp.

permit tcp Any host 172.16.20.2 eq telnet.

эти hgfdbkf показывают, что пользователь прошел аутерификацию к конкретному адресу разрешен доступ FTP к хосту внутренней сети.

Временный вход не удаляется, когда пользователь закончит сеанс. Он удаляется, если истек промежуток времени, указанный параметром timeout в списке доступа, или при наличии времени простоя, или по команде администратора.

Использование списков Lock — and Key не защищает, если злоумышленник использует поддельные адреса. Достоинством использования этого списка управления доступа является открытие доступа на заданный промежуток времени.