Лекции.Орг


Поиск:




Категории:

Астрономия
Биология
География
Другие языки
Интернет
Информатика
История
Культура
Литература
Логика
Математика
Медицина
Механика
Охрана труда
Педагогика
Политика
Право
Психология
Религия
Риторика
Социология
Спорт
Строительство
Технология
Транспорт
Физика
Философия
Финансы
Химия
Экология
Экономика
Электроника

 

 

 

 


Экраны с адаптивной проверкой пакетов




 

 

Межсетевые экраны с адаптивной проверкой пакетов (SPI) пропускают и блокиру­ют пакеты в соответствии с почти таким же набором правил, как и у пакетного филь­тра. Но если межсетевой экран распознает различные состояния передачи данных, он осуществляет контроль не только на базе IP-адресов и портов, но также и по значениям SYN, АСК, номерам последовательности и другим данным, содержа­щимся в заголовке TCP. Фильтры пакетов пропускают или блокируют отдельные пакеты и требуют разрешительные правила для одобрения двусторонних ТСР-соединений. А межсетевые экраны SPI отслеживают состояние каждого сеанса и мо­гут динамически открывать и закрывать порты в соответствии с требованиями раз­личных сеансов.

Межсетевые экраны SPI были разработаны для объединения скоростных качеств и гибкости фильтров пакетов с безопасностью прикладного уровня прокси-серве­ров. Результатом стал компромисс между двумя типами межсетевых экранов: меж­сетевой экран SPI не является столь же быстродействующим, как межсетевой эк­ран с фильтрацией пакетов, и не обладает такой же степенью разграничения приложений, как протокол приложений. Однако было доказано, что данный комп­ромисс очень эффективен при реализации строгих политик сетевого периметра.[47]

Когда пакет поступает на интерфейс межсетевого экрана SPI, в механизме про­верки происходят следующие действия.

· Заголовки TCP проверяются для определения, является ли пакет частью уже существующего и действующего потока передаваемых данных. Межсетевой эк­ран, фильтрующий пакеты, посредством изучения состояния бита SYN (установлен/пуст) ищет признаки того, что пакет является частью существующего информационного TCP-взаимодействия. Межсетевой экран SPI имеет актив­ную таблицу всех текущих сеансов и сравнивает входящие пакеты с се данными в процессе контроля доступа. Эта таблица, называемая таблицей соединений, отслеживает исходные и конечные IP-адреса, а также исходный и конечный порты для каждого сеанса. Кроме того, отслеживаются номера последователь­ности TCP, помогающие межсетевому экрану связывать каждый пакет с кор­ректным сеансом.

· В зависимости от используемого протокола пакет может подвергаться дальней­шей проверке. Производители межсетевых экранов SPI реализовали подобную функциональность шлюза приложений для проверки прикладного уровня па­кета и разграничения доступа на базе его содержимого.

· Если в пакете отсутствует соответствующая запись в таблице соединений, меж­сетевой экран проверит пакет с использованием установленного набора пра­вил.

· Если после проверки источника, пункта назначения, протокола и содержимого пакета передача пакета разрешается, межсетевой экран передает пакет в пункт назначения, а затем создает или обновляет свою таблицу соединений. Внесен­ная запись соединения будет использоваться для проверки возвратного пакета вместо определения отдельного правила.[48]

Межсетевой экран, как правило, использует таймеры и систему идентифика­ции TСP-пакета с помощью набора битов FIN, чтобы определить, когда нужно уда­лять запись из таблицы соединений.

Этот процесс имеет преимущество перед технологией фильтрации пакетов. Таблица соединений весьма значительно снижает вероятность того, что пакет бу­дет замаскирован под часть имеющегося соединения. Так как межсетевые экраны с фильтрацией пакетов не ведут запись ожидающих соединений, они должны бази­роваться в своей работе на формате пакета, чтобы выяснить, является ли пакет частью ранее утвержденного соеди­нения. Это обуславливает возможность подмены (маскировки) TCP-пакетов и не обеспечивает какого-либо метода определения состояния пакетов UDP или ICMP.

Преимущество межсетевых экранов SPI перед межсетевыми экранами с фильт­рацией пакетов - в возможности изучать данные различных типов пакетов.

Основной недостаток межсетевого экрана SPI в том, что он разрешает прямые соединения между доверенными и недоверенными узлами. Здесь следует полагать­ся на процесс узла, а не на защищенную прокси-службы.

 

 

Контрольные вопросы

1. В чем состоит отличие брандмауэра от межсетевого экрана?

2. В чем заключаются преимущества и недостатки межсетевого экрана?

3. Что такое «динамический МЭ»?

4. Какие виды МЭ вы знаете?

5. В чем отличие «шлюза приложений» от «шлюза контурного уровня»?

6. Что означает аббревиатура «SPI» и для чего это используется?

 

 

Библиографический список

Основная литература:

1. Ярочкин В.И. Информационная безопасность: учебник для студентов высших учеб. заведений, обучающихся по гуманитарным и социально-экономическим специальностям / В. И. Ярочкин. - М.: Акад. проект, 2008. – C.79-89.

Дополнительная литература:

1. Брэгг Р. Безопасность сетей / Р. Брэгг, М. Родс-Оусли, К. Страссберг; [пер. с англ.] – М.: Издательство «ЭКОМ», 2006.

2. Брэгг Р. Безопасность сети на основе Microsoft Windows Server 2003 / Р. Брэгг; [пер. с англ. под общ. ред. А. Е. Соловченко]. - СПб.: Питер, 2005. - 672 с.

3. Мэйволд Э. Безопасность сетей: практическое пособие / Э. Мэйволд; [пер. с англ.] – М.: «СП ЭКОМ», 2005.

4. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа / А. Ю. Щеглов. - СПб.: Наука и техника, 2004. – С.373-376.

 






Поделиться с друзьями:


Дата добавления: 2016-11-12; Мы поможем в написании ваших работ!; просмотров: 1084 | Нарушение авторских прав


Поиск на сайте:

Лучшие изречения:

80% успеха - это появиться в нужном месте в нужное время. © Вуди Аллен
==> читать все изречения...

2275 - | 2126 -


© 2015-2024 lektsii.org - Контакты - Последнее добавление

Ген: 0.012 с.