Недостатки у простой фильтрации пакетов следующие:
· локальная сеть видна (маршрутизируется) из сети Интернет;
· не учитывается содержимое IP-пакетов;
· правила фильтрации пакетов трудны в описании;
· при нарушении работоспособности МЭ все компьютеры за ним становятся полностью незащищенными либо недоступными;
· аутентификацию с использованием IP-адреса (внешней сети) можно обмануть подменой адреса;
Отсутствует аутентификация на пользовательском уровне.
Сервера уровня соединения
Сервер уровня соединения представляет из себя транслятор TCP соединения. Пользователь образует соединение с определенным портом на брандмауэре, после чего последний производит соединение с местом назначения по другую сторону от брандмауэра. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как посредник. Посредничество заключается в том, что связь между двумя компьютерами физически осуществляется через систему-посредника и реально состоит из двух TCP-соединений.
Следует отметить, что компьютер-инициатор не передает МЭ имя компьютера-адресата - его IP-адрес и номер TCP-порта фиксированы для конкретного МЭ и известны. Из этого замечания следует, что, во-первых, связь через МЭ осуществляется от многих к одному, а, во-вторых, МЭ уровня соединения используются только для организации безопасного соединения от внешних компьютеров (удаленных рабочих станций) к внутреннему компьютеру (серверу поддержки локальной сети или информационному серверу). Тем не менее, возможен случай, когда компьютеров-адресатов будет несколько. При этом МЭ, поддерживающий этот случай, перед установлением связи с адресатом должен выбрать конкретный компьютер из нескольких идентичных.
Под безопасностью связи подразумевается то, что после установления связи факт ее существования уже запротоколирован и проведена аутентификация компьютера-инициатора связи. Протоколирование факта означает не только возможность в дальнейшем выследить злоумышленника, но и возможность обнаружения атаки в реальном масштабе времени. Под аутентификацией компьютера-инициатора понимаются действия, предпринимаемые МЭ при проверке допустимости связи.
Проверка допустимости связи выполняется МЭ непосредственно после запроса на соединение компьютером-инициатором и может основываться на данных из пакета-запроса на соединение, данных окружающей среды и статистических данных. В качестве данных пакета-запроса на соединение могут использоваться:
· IP-адрес компьютера-инициатора,
· начальный номер (SYN) пакета TCP-соединения,
· дополнительные параметры TCP-соединения.
Возможными используемыми данными окружающей среды являются:
· ответ DNS-сервера на запрос о символьном имени компьютера-инициатора,
· сетевой интерфейс контроля,
· текущее время запроса соединения,
· текущее количество соединений с компьютером-адресатом (от компьютера-инициатора, от сети компьютера-инициатора, общее число и т.п.) через МЭ.
Наиболее важными из перечисленных выше являются IP-адрес компьютера-инициатора и ответ DNS-сервера, содержащий символьное имя (если таковое имеется) компьютера-инициатора, и текущее время запроса соединения. Следует отметить, что при передаче данных соединения возможен контроль некоторых параметров в целях улучшения защиты и качества соединения:
· длительность соединения,
· скорость передачи данных,
· текущие параметры окна TCP-соединения, и
· большое количество ошибок передачи данных.
Контролирование этих параметров позволяет правильно распределить пропускную способность канала связи между несколькими соединениями, тем самым, ограничив максимально возможную загрузку линий связи трафиком злоумышленника, а также позволяет вовремя обнаружить деятельность злоумышленника и закрыть (т.е. завершить по инициативе посредника) данное соединение (с протоколированием причины и уведомлением об этом администратора).
Метод задания политики фильтрации и принцип функционирования части устройства, реализующей определение допустимости соединения аналогичен вышеописанному.
К преимуществам МЭ уровня соединения следует отнести следующие:
· локальная сеть может быть сделана невидимой из глобальной сети;
· наличие (элементарной) аутентификации компьютера-инициатора соединения по его символьному имени;
· использование политики "запрещено все, что не разрешено";
· способность гибкого регулирования (ограничения) пропускной способности;
· возможность эффективного противостояния атакам с неправильной фрагментацией пакетов соединения;
· возможность противостояния атакам с использованием протокола ICMP;
· возможность использования статистической информации о соединениях для определения неоднократных попыток соединения злоумышленником и автоматического блокирования его действий.
Недостатками МЭ этого типа являются:
· отсутствие аутентификации пользователя;
· нет защиты целостности и конфиденциальности передаваемых данных;
· возможность подмены злоумышленником IP-адреса компьютера-инициатора;
· возможность подмены во время связи аутентифицированного компьютера-инициатора;
· невозможность использования протокола UDP.
