Фильтрование пакетов

В самом простом случае действие брандмауэра заключается в фильт­ровании пакетов. Фильтр принимает пакеты, поступающие на его интерфейсы, анализирует информацию, которую оставили в заголов­ках пакета различные протоколы, использовавшиеся при его созда­нии, и принимает решение о возможности передачи пакета в другую сеть. Фильтрование пакетов осуществляется на нескольких уровнях эталонной модели OSI. Решая, пропустить пакет или нет, брандмау­эр опирается на следующие его характеристики.

• Аппаратные адреса. Передавать данные в другую сеть разрешается только определенным компьютерам. Для защиты сетей от неавто­ризованного доступа через Интернет этот метод фильтрования применяется нечасто, но бывает удобен внутри интерсети. С его помощью можно, например, ограничить круг компьютеров, допу­щенных в определенную ЛВС.

• IP-адреса. Передавать данные в другую сеть разрешается только на заданные IP-адреса и/или пришедшие только с заданных IP-адресов. Если в Вашей сети, например, есть Web-сервер, настрой­те брандмауэр так, чтобы он пропускал входящий трафик Интер­нета только на его IP-адрес. Все остальные компьютеры сети пользователям Интернета будут недоступны.

• Идентификаторы протоколов. Через фильтр пропускаются только пакеты, IP-дейтаграммы в которых созданы заданными протоко­лами, например TCP, UDP или ICMP.

• Номера портов. Брандмауэр пропускает или задерживает пакеты, опираясь на номер целевого порта или порта-источника, указан-

ный в заголовке транспортного уровня. Такое фильтрование на­зывается зависящим от службы (service-dependent), поскольку но­мера портов идентифицируют приложение или службу, которые сгенерировали пакет или которым он предназначен. Например, с помощью брандмауэра можно разрешить пользователям сети дос­туп к Интернету через порты 110 и 25 (они обычно применяются для входящей и исходящей электронной почты), но закрыть вы­ход в Интернет через порт 80 (обычно применяемый для доступа к Web-серверам).

Истинная сила фильтрования пакетов проявляется в сочетании фильтров различных типов. Вот простой пример. Чтобы предоставить службе поддержки сети возможность удаленно администрировать не­которые компьютеры, можно открыть доступ в Вашу сеть из Интер­нета для входящего трафика Telnet. С другой стороны, доступность порта 23 (порта Telnet) всем пользователям Интернета без исключе­ния представляет потенциально чрезвычайно опасную брешь в защи­те сети. Решение состоит в том, чтобы объединить фильтр по номеру порта с фильтром по IP-адресу, чтобы доступ к сети через порт Telnet был открыт только компьютерам сетевых администраторов.

Обычно фильтрование пакетов можно осуществлять с помощью обычного маршрутизатора. В занятии 2 главы 11 рассказывалось о механизме фильтрования пакетов, встроенном в Windows 2000. Его наличие означает, что для настройки фильтров не нужны огромные дополнительные расходы. На пропускной способности маршрутизато­ра фильтрование пакетов обычно заметно не сказывается. Однако по­мните, что маршрутизатор применяет заданные Вами правила фильт­рования индивидуально к каждому пакету, поэтому очень сложная система фильтров может ощутимо замедлить работу сети.

Трудность работы с фильтрами заключена в том, что для их на­стройки необходимо глубокое понимание коммуникаций TCP/IP и способность предугадывать преступные замыслы внешних врагов. Именно врагов, потому что иначе как «войной умов» использование фильтров для защиты сети не назовешь. Потенциальные захватчики постоянно изобретают новые пути обхода стандартных конфигураций фильтров, и Вы должны быть готовы оперативно корректировать фильтры, чтобы противостоять этим изобретениям.

NAT

Технология трансляции сетевых адресов (Network Address Translation, NAT) действует на сетевом уровне и защищает компьютеры от втор­жения из Интернета, маскируя их IP-адреса. Если Ваша сеть подклю-

чена к Интернету, но не защищена брандмауэром, каждому компью­теру в ней должен быть назначен зарегистрированный IP-адрес, что­бы он мог обмениваться информацией с другими компьютерами. За­регистрированный IP-адрес по определению из Интернета «виден», а это означает, что любой пользователь, проявив немного изобретатель­ности, может получить доступ к компьютерам Вашей сети и ко всем их ресурсам. Результаты могут оказаться катастрофическими. Благо­даря NAT у Вас появляется возможность назначать компьютерам не­зарегистрированные IP-адреса, после чего доступ к ним из Интерне­та получить уже не удастся. Под незарегистрированными адресами понимаются адреса из диапазона, специально выделенного для ис­пользования в частных сетях. Ни за одним пользователем Интернета эти адреса не закреплены.

Примечание Подробнее о регистрации IP-адресов — в главе 8.

Если компьютерам в сети назначены незарегистрированные IP-адреса, внешним пользователям эти компьютеры не видны. Но это также означает, что в Вашу сеть не попадут пакеты, посылаемые сер­верами Интернета. Иными словами, пользователи смогут отправлять данные в Интернет, но не смогут получать их оттуда.

Чтобы сделать доступ в Интернет двусторонним, на маршрутиза­торе, стоящем между сетью и Интернетом, нужно использовать NAT. Когда один из компьютеров в сети пытается выйти в Интернет, на­пример, с помощью Web-браузера, пакет с HTTP-запросом, сгенери­рованный браузером, в поле IP-заголовка Source IP Address содержит частный IP-адрес компьютера. Пакет достигает маршрутизатора, там программа NAT заменяет частный адрес компьютера на свой соб­ственный, зарегистрированный IP-адрес и отправляет пакет по на­значению. Обработав запрос, сервер Интернета отправляет ответ по IP-адресу маршрутизатора NAT. Тот подставляет в поле Destination IP Address исходный частный адрес и отправляет пакет системе-кли­енту. Таким образом обрабатываются все без исключения отправляе­мые и получаемые пакеты. Маршрутизатор NAT выступает в качестве посредника между сетью и Интернетом. Из Интернета виден только зарегистрированный IP-адрес маршрутизатора, поэтому риск напа­дения угрожает только ему.

NAT — очень популярное средство защиты, которое реализовано во многих брандмауэрах, начиная со сложных дорогостоящих систем до недорогих комплексов, обеспечивающих выход в Интернет с не­скольких компьютеров в домашних и небольших коммерческих се-

тях. Именно на принципах NAT основана функция совместного дос­тупа к Интернету ICS (Internet Connection Sharing), включенная в последние версии Windows.

Действие NAT демонстрируются в видеоролике NAT из пап­ ки Demos на прилагаемом к книге компакт-диске.