Основные принципы фильтрации

Сетевые атаки из внешней сети, где источник атаки, при умелом действии атакующего, очень сложно обнаружить, являются крайне опасными. Также непросто принять адекватные оперативные меры по пресечению атаки. Поэтому такой трафик подвергается последовательной комплексной фильтрации. Фильтрации подвергается весь трафик, который циркулирует между любыми сетевыми интерфейсами компьютера и стеком TCP/IP.

Для того, чтобы правильно выполнить настройки правил фильтрации, необходимо понимать основные принципы осуществления фильтрации трафика:

Правила фильтрации IP-трафика являются результатом действия правил антиспуфинга (см. п.8.2, стр. 19), выбранного режима безопасностидля каждого сетевого интерфейса (см. п.8.3, стр.21), списка сетевых фильтров для соединений (см. п.8.5, стр.26) и работой системы обнаружения атак (см Основные принципы фильтрации. п. 8.6, стр.37).

Фильтрация трафика осуществляется с учетом установленных соединений, то есть соединений, образующихся на основании разрешенного правилами входящего или исходящего IP-пакета. При поступлении пакета фиксируются разные параметры разрешенного фильтрами входящего или исходящего пакета. На основании этих данных создается временное правило соединения для дальнейшего пропуска пакетов в прямом и обратном направлении. Такое правило существует, пока есть трафик, соответствующий данному соединению.

Также, в рамках созданного соединения по протоколам TCP, UDP, ICMP всегда пропускаются следующие ICMP-сообщения об ошибках:

· тип 3 – назначение не доступно;

· тип 4 – подавление источника;

· тип 11 – время истекло;

· тип 12 – проблема с параметрами.

При отсутствии в течение определенного промежутка времени пакетов, соответствующих данному соединению Основные принципы фильтрации, соединение уничтожается.

Если пакет в прямом или обратном направлении не соответствует созданному временному правилу соединения и не соответствует ни одному из заданных пропускающих правил, то пакет блокируется. Такой контроль обеспечивает высокий уровень безопасности, позволяет открывать минимум протоколов и портов для доступа к ресурсам своей сети.

Таким образом, пакет проходит последовательную обработку правилами разного типа до тех пор, пока одним из этих фильтров пакет не будет пропущен (в сеть или компьютер) или блокирован. Как только пакет пропускается или блокируется одним из фильтров, все последующие фильтры уже не оказывают никакого влияния на данный пакет.

В целом последовательность проверок Основные принципы фильтрации IP-пакета разными правилами схематично можно представить в следующем виде:

· Пропускающие временные правила соединений – если отыскивается подходящее соединение для пакета, то пакет пропускается, иначе – следующая проверка.

· Блокирующие правила системы обнаружения атак – если обнаружена атака, то пакет блокируется, иначе – следующая проверка.

· Блокирующее правило первого режима – если на интерфейсе включен 1 режим, то пакет блокируется, иначе – следующая проверка.

· Блокирующие правила антиспуфинга – если у пакета неразрешенный IP-адрес источника, то пакет блокируется, иначе – следующая проверка.

· Пропускающие правила 4 режима – если на интерфейсе включен 4 режим и это локальный пакет, то пакет пропускается, иначе – следующая проверка.



· Блокирующие и пропускающие правила пользователя – если пакет подойдет под одно из Основные принципы фильтрации правил, заданных в фильтрах, настроенных пользователем, то пакет пропускается или блокируется первым подошедшим правилом, иначе – следующая проверка.

· Пропускающие правила 3 режима – если на интерфейсе включен 3 режим и это исходящий локальный пакет, то пакет пропускается, иначе – следующая проверка.

· Блокирующее правило для всех пакетов – пакет, по которому предыдущими проверками не принято решение, блокируется.

Сетевые фильтры могут быть применены к различным сетевым интерфейсам МЭ.

Сетевые фильтры действуют в соответствии с порядком их размещения на экране внутри каждой группы для разных типов трафика, и этот порядок можно изменять.

Сетевые фильтры имеют двухуровневую структуру. Фильтр первого уровня, называемый Правилом, определяет адреса и интерфейсы, на Основные принципы фильтрации которые распространяют свое действие фильтры протоколов, создаваемые на втором уровне. Действие определяется фильтрами протоколов, привязанными к конкретным правилам, и определяющими действие фильтра для заданных в этом фильтре параметров: протокол, порты, типы, коды, направление соединения, а также расписание действия данного фильтра.

Подробно о структуре правил и фильтров окна Сетевые фильтры читайте в п. 8.5.

Антиспуфинг

Программа ViPNet Office Firewall обладает возможностями антиспуфинга, т.е. блокирования входящих IP-пакетов с запрещенным на данном сетевом интерфейсе IP-адресом отправителя.

IP-пакеты сначала проходят через механизм антиспуфинга, а затем уже попадают на обработку правилами фильтрации пакетов и правилами режимов.

Правила антиспуфинга позволяют задать для каждого Основные принципы фильтрации сетевого интерфейса диапазоны IP-адресов, пакеты от которых допустимы на данном интерфейсе. При этом пакеты, которые не попадают в допустимый диапазон, будут блокироваться. Как видно из названия, основная задача антиспуфинга – это защита от так называемого «спуфинга», одного из видов сетевых атак. При спуфинге злоумышленник посылает какому-либо компьютеру пакет, в котором в качестве адреса отправителя указан не его собственный адрес, а какой-либо другой, который разрешен на данном МЭ. Например, таким образом можно послать пакет из Интернета через МЭ, задав в качестве адреса отправителя адрес частной внутренней сети, которая также подключена к данному МЭ. Правила антиспуфинга позволяют исключить такую возможность.

Т Основные принципы фильтрации.о. для обеспечения лучшей безопасности сети рекомендуется, чтобы на Office Firewall были активизированы средства антиспуфинга. По умолчанию антиспуфинг выключен.

Для включения антиспуфинга щелкните левой кнопкой мыши на пункте Антиспуфинг в главном меню Действия -> Сетевые интерфейсы до появления флажка слева от пункта Антиспуфинг. Антиспуфинг активируется или отключается сразу для всех интерфейсов.

Настройки антиспуфинга (изменение списка IP-адресов) производятся в окне Свойства сетевых интерфейсов на вкладке Антиспуфинг (Рисунок 6). Для вызова окна Свойства сетевых интерфейсов выберите сетевой интерфейс в окне Сетевые интерфейсы (см. п.8.5.1, стр.26) и воспользуйтесь пунктом главного меню Действия -> Сетевые интерфейсы (или контекстным меню Свойства…).

Рисунок 6

В этом окне Вы Основные принципы фильтрации можете определить список IP-адресов источника входящих пакетов, которые разрешается пропускать через выбранный сетевой интерфейс.

Список допустимых адресов отправителя для входящих пакетов на интерфейсе зависит от опций допустимые в Интернет, подсети интерфейса, из списка в разделе IP-адреса:

· Если включена опция допустимые в Интернет (по умолчанию выключена), то через интерфейс пропускаются IP-пакеты с адресами, не принадлежащими следующим подсетям: 127.0.0.0/8, 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16.

· Если включена опция подсети интерфейса (по умолчанию включена), то через интерфейс пропускаются IP-пакеты с адресами, принадлежащими подсетям, в которые входят IP-адреса выбранного сетевого интерфейса МЭ. При изменении параметров подсетей интерфейса автоматически изменяется список этих адресов.

· Если включена опция Основные принципы фильтрации из списка (по умолчанию выключена), и в этом списке Вы задали IP-адреса, то через интерфейс пропускаются IP-пакеты с адресами из этого списка. Для добавления или изменения IP-адресов воспользуйтесь кнопками Добавить или Изменить соответственно. Для удаления адреса воспользуйтесь кнопкой Удалить.

Замечание: Указанные настройки будут действовать только если антиспуфинг включен.


documentaaudrkb.html
documentaaudyuj.html
documentaaueger.html
documentaauenoz.html
documentaaueuzh.html
Документ Основные принципы фильтрации