Экраны с адаптивной проверкой пакетов

 

 

Межсетевые экраны с адаптивной проверкой пакетов (SPI) пропускают и блокиру­ют пакеты в соответствии с почти таким же набором правил, как и у пакетного филь­тра. Но если межсетевой экран распознает различные состояния передачи данных, он осуществляет контроль не только на базе IP-адресов и портов, но также и по значениям SYN, АСК, номерам последовательности и другим данным, содержа­щимся в заголовке TCP. Фильтры пакетов пропускают или блокируют отдельные пакеты и требуют разрешительные правила для одобрения двусторонних ТСР-соединений. А межсетевые экраны SPI отслеживают состояние каждого сеанса и мо­гут динамически открывать и закрывать порты в соответствии с требованиями раз­личных сеансов.

Межсетевые экраны SPI были разработаны для объединения скоростных качеств и гибкости фильтров пакетов с безопасностью прикладного уровня прокси-серве­ров. Результатом стал компромисс между двумя типами межсетевых экранов: меж­сетевой экран SPI не является столь же быстродействующим, как межсетевой эк­ран с фильтрацией пакетов, и не обладает такой же степенью разграничения приложений, как протокол приложений. Однако было доказано, что данный комп­ромисс очень эффективен при реализации строгих политик сетевого периметра.[47]

Когда пакет поступает на интерфейс межсетевого экрана SPI, в механизме про­верки происходят следующие действия.

· Заголовки TCP проверяются для определения, является ли пакет частью уже существующего и действующего потока передаваемых данных. Межсетевой эк­ран, фильтрующий пакеты, посредством изучения состояния бита SYN (установлен/пуст) ищет признаки того, что пакет является частью существующего информационного TCP-взаимодействия. Межсетевой экран SPI имеет актив­ную таблицу всех текущих сеансов и сравнивает входящие пакеты с се данными в процессе контроля доступа. Эта таблица, называемая таблицей соединений, отслеживает исходные и конечные IP-адреса, а также исходный и конечный порты для каждого сеанса. Кроме того, отслеживаются номера последователь­ности TCP, помогающие межсетевому экрану связывать каждый пакет с кор­ректным сеансом.

· В зависимости от используемого протокола пакет может подвергаться дальней­шей проверке. Производители межсетевых экранов SPI реализовали подобную функциональность шлюза приложений для проверки прикладного уровня па­кета и разграничения доступа на базе его содержимого.

· Если в пакете отсутствует соответствующая запись в таблице соединений, меж­сетевой экран проверит пакет с использованием установленного набора пра­вил.

· Если после проверки источника, пункта назначения, протокола и содержимого пакета передача пакета разрешается, межсетевой экран передает пакет в пункт назначения, а затем создает или обновляет свою таблицу соединений. Внесен­ная запись соединения будет использоваться для проверки возвратного пакета вместо определения отдельного правила.[48]

Межсетевой экран, как правило, использует таймеры и систему идентифика­ции TСP-пакета с помощью набора битов FIN, чтобы определить, когда нужно уда­лять запись из таблицы соединений.

Этот процесс имеет преимущество перед технологией фильтрации пакетов. Таблица соединений весьма значительно снижает вероятность того, что пакет бу­дет замаскирован под часть имеющегося соединения. Так как межсетевые экраны с фильтрацией пакетов не ведут запись ожидающих соединений, они должны бази­роваться в своей работе на формате пакета, чтобы выяснить, является ли пакет частью ранее утвержденного соеди­нения. Это обуславливает возможность подмены (маскировки) TCP-пакетов и не обеспечивает какого-либо метода определения состояния пакетов UDP или ICMP.

Преимущество межсетевых экранов SPI перед межсетевыми экранами с фильт­рацией пакетов - в возможности изучать данные различных типов пакетов.

Основной недостаток межсетевого экрана SPI в том, что он разрешает прямые соединения между доверенными и недоверенными узлами. Здесь следует полагать­ся на процесс узла, а не на защищенную прокси-службы.

 

 

Контрольные вопросы

1. В чем состоит отличие брандмауэра от межсетевого экрана?

2. В чем заключаются преимущества и недостатки межсетевого экрана?

3. Что такое «динамический МЭ»?

4. Какие виды МЭ вы знаете?

5. В чем отличие «шлюза приложений» от «шлюза контурного уровня»?

6. Что означает аббревиатура «SPI» и для чего это используется?

 

 

Библиографический список

Основная литература:

1. Ярочкин В.И. Информационная безопасность: учебник для студентов высших учеб. заведений, обучающихся по гуманитарным и социально-экономическим специальностям / В. И. Ярочкин. - М.: Акад. проект, 2008. – C.79-89.

Дополнительная литература:

1. Брэгг Р. Безопасность сетей / Р. Брэгг, М. Родс-Оусли, К. Страссберг; [пер. с англ.] – М.: Издательство «ЭКОМ», 2006.

2. Брэгг Р. Безопасность сети на основе Microsoft Windows Server 2003 / Р. Брэгг; [пер. с англ. под общ. ред. А. Е. Соловченко]. - СПб.: Питер, 2005. - 672 с.

3. Мэйволд Э. Безопасность сетей: практическое пособие / Э. Мэйволд; [пер. с англ.] – М.: «СП ЭКОМ», 2005.

4. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа / А. Ю. Щеглов. - СПб.: Наука и техника, 2004. – С.373-376.