Mavzu:Paketlar filtrasiyasi qurilmasini qo’llab
quvvatlash imkoniyatlari.
Reja:
1.Kirish.
2.Paket filtrasiyasi ishlash prinsipi.
3. Paketlarni filtrlash strategiyasi.
4. Joriy paket filtrlashni ijroi bilan muammolar.
5.Xulosa.
Internetning tez o'sishi butun dunyo bo'ylab millionlab kompyuterlarni bog'ladi, tashqi dunyo bilan aloqa o'rnatish uchun kompaniyalar internetga ulanishi kerak. Shaxsiy tarmoq bo'lgan Intranet deb nomlanuvchi alohida tashkilotlarning shaxsiy tarmoqlari umumiy tarmoqqa, ya'ni Internetga ulangan bo'lishi kerak. Tashkilotlarning shaxsiy ma'lumotlari xavfsizligini ta'minlash uchun alohida tarmoqlar umumiy foydalanishdan himoyalangan bo'lishi kerak. Paket filtrlashni amalga oshirish odatda arzon. Ammo shuni tushunish kerakki, paketli filtrlash qurilmasi dastur yoki proksi-server xavfsizlik devori bilan bir xil darajadagi xavfsizlikni ta'minlamaydi. Eng ahamiyatsiz IP tarmoqlaridan tashqari barchasi IP-tarmoqlaridan iborat bo'lib, marshrutizatorlarni o'z ichiga oladi.
Barcha paketli filtrlar bir xil umumiy rejimda ishlaydi. TCP/IP protokoli stekining tarmoq sathi va transport sathida ishlagan holda, har bir paket protokollar stekiga kirayotganda tekshiriladi. Quyidagi ma'lumotlar uchun tarmoq va transport sarlavhalari diqqat bilan tekshiriladi.
Protokol (IP sarlavhasi, tarmoq qatlami) - IP sarlavhasida 9-bayt (bayt soni noldan boshlanishini unutmang) paketning protokolini aniqlaydi. Ko'pgina filtr qurilmalari TCP, UPD va ICMP o'rtasida farqlash qobiliyatiga ega.
Manba manzili (IP sarlavhasi, tarmoq qatlami) - Manba manzili paketni yaratgan xostning 32 bitli IP manzilidir.
Maqsad manzili (IP sarlavhasi, tarmoq qatlami) - maqsad manzili paket uchun mo'ljallangan xostning 32-bitli IP manzilidir.
manba porti (TCP yoki UDP sarlavhasi, transport qatlami) - TCP yoki UDP tarmoq ulanishining har bir uchi portga bog'langan. TCP portlari alohida va UDP portlaridan farq qiladi. 1024 dan past raqamlangan portlar ajratilgan - ular maxsus belgilangan foydalanishga ega. 1024 (shu jumladan) dan yuqori raqamlangan portlar efemer portlar deb nomlanadi. Ular sotuvchining xohishiga ko'ra ishlatilishi mumkin. "Ma'lum" portlar ro'yxati uchun RFP1700 ga qarang. Manba porti psevdorandomly tayinlangan vaqtinchalik port raqamidir. Shunday qilib, ko'pincha manba portida filtrlash juda foydali emas.
Maqsad port (TCP yoki UDP sarlavhasi, transport qatlami) - Belgilangan port raqami paket yuborilgan portni bildiradi. Belgilangan hostdagi har bir xizmat portni tinglaydi. Filtrlanishi mumkin bo'lgan ba'zi taniqli portlar: 20/TCP va 21/TCP - ftp ulanish/ma'lumotlar, 23/TCP - telnet, 80/TCP - http va 53/TCP - DNS zonasi uzatish.
Ulanish holati (TCP sarlavhasi, transport qatlami) - Ulanish holati paketning tarmoq seansining birinchi paketi ekanligini ko'rsatadi. TCP sarlavhasidagi ACK biti "noto'g'ri" yoki 0 ga o'rnatiladi, agar bu seansdagi birinchi paket bo'lsa . ACK biti "noto'g'ri" yoki 0 ga o'rnatilgan har qanday paketlarni rad etish yoki o'chirish orqali xostga ulanish o'rnatishga ruxsat berish juda oddiy.
Paketlarni filtrlash paketlarning sarlavhasi ma'lumotlarini tahlil qilish va paketni tushirish yoki yo'naltirish to'g'risida qaror qabul qilishni o'z ichiga oladi. Qaror bir nechta parametrlarga asoslanishi mumkin. Paketlarni filtrlash ilovalari ma'murga qaror qabul qilishda rioya qilinishi kerak bo'lgan qoidalarni belgilashga imkon beradi. Administrator tomonidan belgilangan qoidalar kiruvchi yoki chiquvchi paketlarga asoslanishi mumkin. Kiruvchi va chiquvchi paketlarga asoslangan qoidalarni belgilash qobiliyati administratorga filtrlash sxemasida yo'riqnoma ko'rinishini sezilarli darajada nazorat qilish imkonini beradi va ikkitadan ortiq interfeyslardan iborat marshrutizatorlarda filtrlashga yordam beradi. Tashqi dunyodan kelgan tajovuzkorlar ichki manba manzillarini soxtalashtirishi va ichki xostdan ekanligini da'vo qilishi mumkin, bu sodir bo'lmasligiga ishonch hosil qilish uchun administrator paket qayerdan kelgan interfeysni bilishi orqali paketlar kelgan manba haqida ma'lumotga ega bo'lishi kerak. Biz ichki manba manzillarini soxtalashtiradigan barcha paketlarni tashlab yuborishimiz mumkin.
Paket filtrlashning asosiy afzalliklari - kiruvchi paketli trafikni kamaytirish va tarmoq manbalaridan zararli va istalmagan foydalanishdan himoya qilish. Paket filtrlashni amalga oshirish uchun bir nechta strategiyalardan foydalanish mumkin. Ulardan ba'zilari umumiy tarmoqqa paket uzatilganda javob paketiga ruxsat beradi. Bu sxema ham kamroq ulanishni, ham ulanishga yo'naltirilgan protokollarni qo'llab-quvvatlaydi.
Paketlar fragmentlar deb ataladigan kichik bo'laklarga bo'lingan, birinchi fragmentda to'liq sarlavha ma'lumotlari mavjud, avval faqat birinchi paket tushib qolgan, chunki sarlavha ma'lumotlarisiz quyidagi paketlarni qayta yig'ib bo'lmaydi, ammo bu keyingi paketlar tarmoqni to'ldirish uchun ishlatilishi mumkin. Bunga yo'l qo'ymaslik uchun tarmoqli kengligini sarflagan holda, filtrlash birinchi paketni, shuningdek, bir xil manba va maqsad manzillari va interfeyslariga ega bo'lgan barcha keyingi paketlarni o'chirib tashlaydi.
Paket filtrlash umumiy tarmoq xavfsizligini yaxshilash vositasi bo'lishi mumkin. Bu imkoniyatni taklif qiluvchi IP-routerlar soni ortib bormoqda. Agar ma'murlar undan to'g'ri foydalansalar, paketlarni filtrlash juda xavfsiz va foydali vosita bo'lishi mumkin. Hozirgi vaqtda paketli filtrlash xavfsizlik devorini xavfsiz va samarali qilish uchun loyihalash va amalga oshirishda bir qator qiyinchiliklar yuzaga keladi.
Quyida hal qilinishi kerak bo'lgan muammolarning ba'zilari keltirilgan:
Noto'g'ri tasniflash: Paket filtri manba IP manzili soxtalashtirilganda paketni noto'g'ri tasniflashi mumkin. Manba portiga asoslangan filtrlash shunga o'xshash muammoga duch keladi, masalan, manba mashinasi ushbu portda shubhali mijoz yoki serverni ishga tushirishi mumkin.
O'zgaruvchan sarlavha uzunligi: Variantlar maydoni IP paket sarlavhasi uzunligini o'zgaruvchan qiladi. Shunday qilib, yuqori darajadagi protokol ma'lumotlarini topish qiyin bo'lishi mumkin, masalan, TCP/UDP sarlavhalari, oddiy ofsetga asoslangan naqshlarni moslashtirish usullaridan foydalanganda.
Fragmentli paket: Paket parchalanganda, ba'zi paket filtrlari boshqa bo'laklar qabul qiluvchi uchun foydasiz bo'ladi deb o'ylab, birinchi bo'lakni tashlab yuboradi. Biroq, bu erda xatarlar paydo bo'ladi, xakerlar tizimni aldash yo'llarini topishlari mumkin. Biroq, bu paketlarni filtrlash jarayonini sezilarli darajada murakkablashtirishi mumkin.
Oldindan belgilangan sarlavha maydonlari: Bu moslashuvchanlikka jiddiy ta'sir qiladi. Agar ma'mur qaror qabul qilishda qaysi sarlavha maydonlaridan foydalanishni aniq belgilamasa, kerakli xavfsizlik siyosatini samarali amalga oshirib bo'lmaydi. Masalan, TCP "SYN" bayrog'i o'rnatilgan paketlarni blokirovka qilishni xohlashingiz mumkin, ammo paket filtri ushbu maydonni filtr spetsifikatsiyasi uchun ishlatishga ruxsat bermasligi mumkin.
Joriy paketlarni filtrlash muammolari uchun mumkin bo'lgan echimlar:
1) Filtr spetsifikatsiyasining sintaksisini takomillashtirish
2) Filtrlash mezonlari sifatida barcha tegishli sarlavha maydonlarini mavjud qiling
3) Chiquvchi filtrlarga kiruvchi filtrlarga ham ruxsat bering
4) Filtrlarni ishlab chiqish, sinovdan o'tkazish va monitoring qilish vositalarini mavjud qiling
5) Umumiy filtrlarning spetsifikatsiyasini soddalashtirish
Xulosa.
Paketli filtrlash xavfsizlikni biladigan tarmoq ma'muri uchun foydali vositadir, ammo undan samarali foydalanish uning imkoniyatlari, zaif tomonlari va filtrlar qo'llaniladigan maxsus protokollarning g'ayrioddiy tomonlarini to'liq tushunishni talab qiladi. Bu universal elektron ulanish davrida, viruslar va xakerlar, elektron tinglash va elektron firibgarlik, xavfsizlik muhim bo'lmagan vaqt yo'q. Kompyuter tizimlari va ularning tarmoqlar orqali o'zaro bog'lanishining keskin o'sishi tashkilotlarning ham, shaxslarning ham ushbu tizimlar yordamida saqlanadigan va uzatiladigan ma'lumotlarga bog'liqligini oshirdi. Bu ma'lumotlar va resurslarni oshkor qilishdan himoya qilish, ma'lumotlarning haqiqiyligini kafolatlash va tizimlarni tarmoqqa asoslangan hujumlardan himoya qilish zarurligi to'g'risida xabardorlikning oshishiga olib keldi. Xavfsizlik devori - bu xususiy tarmoq va tashqi Internet o'rtasidagi kirish nuqtasida joylashtirilgan qo'riqchi bo'lib, barcha kiruvchi va chiquvchi paketlar u orqali o'tishi kerak.
Foydalanilganadabiyotlar:
1.ThePacketFilter:ABasicNetworkSecurityToolAuthor:DanStrom
2.InsideNetworkPerimeterSecurity,2ndEdition
Do'stlaringiz bilan baham: |