Jak zkontrolovat funkčnost systémů filtrování příchozího provozu. Filtrování síťového provozu. Jak se chránit před hackováním. Protokol NAT Traversal

Aby bylo zajištěno, že uživatel může být bezpečně online, byly vyvinuty speciální programy pro filtrování provozu a webového obsahu.

Jak funguje filtrování obsahu

Viry, krádeže osobních údajů, problémy se sítí – to vše nejsou prázdná slova, ale realita. Hlavním cílem filtru obsahu je proto omezit přístup k zakázaným nebo škodlivým zdrojům. Toho je dosaženo pomocí seznamů povolených/zakázaných zdrojů.

Ochranu potřebuje každý uživatel, ale obzvlášť silně ji potřebují děti a teenageři. Koneckonců, mnoho stránek obsahuje scény násilí, erotiky, reklamy na škodlivé látky a alkohol. Chcete-li chránit sebe a svůj pracovní počítač před hrozbami, musíte použít systém filtrování obsahu.

Filtrování internetového provozu

Naše společnost vyvinula speciální mechanismus pro filtrování internetového provozu, který nejen pomůže udržet přístup k síti v provozuschopném stavu, ale také zajistí kontinuitu a integritu obchodních procesů. Umožňuje vám řídit toky vstupující do místní sítě a automaticky snížit její zatížení. Zároveň jsou eliminovány problémy s nevhodným přístupem k cizím zdrojům, iracionálním využíváním sítě a pracovní dobou.

Systém filtrování internetového provozu je nezbytný na různých úrovních: pro domácí použití a pro podnikovou síť. Existuje v různých formách:

• utility;
• aplikace;
• doplňky prohlížeče;
• samostatný server.

A-Real Consulting aktivně vyvíjí různé způsoby zajištění bezpečnosti sítě a poskytuje klientům komplexní řešení. Máme bohaté zkušenosti s implementací systémů filtrování internetového obsahu ve školách a organizacích.

Náš filtr obsahu funguje na základě údajů o návštěvnosti webu hlášených modulem proxy serveru. Poté se provede kontrola se seznamem zakázaných zdrojů. Tato databáze obsahuje několik milionů stránek rozdělených do kategorií, což vám umožňuje individuálně konfigurovat parametry filtrování webového obsahu.

Uživatelé filtrovacího systému Internet Control Server jednoduše potřebují zakázat kategorii a všechny stránky na toto téma se automaticky stanou nedostupnými.

Filtrování obsahu zahrnuje také antivirové moduly, které automaticky kontrolují veškerý příchozí provoz na přítomnost malwaru. Naše řešení zaručuje spolehlivost a bezpečnost a poskytuje všechny nástroje pro správu přístupu k síti.

Filtrování obsahu ve školách a vzdělávacích institucích

Podle statistik má více než 100 000 vzdělávacích institucí přístup k internetu, kde jsou studenti vystaveni proudu agresivního a potenciálně nebezpečného obsahu. Proto byl schválen a schválen Federální systém pro vyloučení přístupu k internetovým zdrojům, které jsou neslučitelné s úkoly výchovy a vzdělávání studentů v Ruské federaci (SID).

V souladu s federálním zákonem č. 436 „O ochraně dětí před informacemi škodlivými pro jejich zdraví a vývoj“ a federálním zákonem č. 139 „O změně federálního zákona „O ochraně dětí před informacemi škodlivými pro jejich zdraví a vývoj“ “, instalace filtrování obsahu ve vzdělávací instituci je povinným požadavkem.

Možné možnosti

Internetové filtry lze konfigurovat dvěma způsoby:

1. požádejte o pomoc svého poskytovatele internetu;
2. instalovat a konfigurovat specializovaný software.

Ve druhém případě budete muset nezávisle stáhnout a nakonfigurovat filtr obsahu pro školu nebo jinou organizaci. Naše společnost nabízí k využití internetovou bránu IKS s integrovaným SkyDNS. Je pravidelně aktualizován a obsahuje adresy zdrojů s informacemi, jejichž šíření je v Ruské federaci zakázáno, tzn. je v souladu s federálním zákonem č. 139 „O černých listinách“.

Funkce ICS pro filtrování obsahu

• organizování přístupu pouze ke spolehlivým zdrojům;
• zabezpečení před škodlivými objekty, které se snaží vstoupit do místní sítě, prováděné pomocí vestavěného firewallu;
• řízení přístupu uživatelů k síti;
• vedení evidence spotřebované dopravy.

Výhody internetové brány ICS

• možnost předběžného posouzení a testování pomocí demo verze po dobu 35 dnů;
• vestavěný Dr. Web;
• vestavěný antivirus Kaspersky a antispam;
• neomezená doba trvání licencované verze;
• přístupná školení ve formě videí;
• bezplatná plná verze Lite až pro 8 uživatelů;

Nastavení ICS

Další výhodou ICS je snadná instalace a konfigurace. Chcete-li to provést, musíte provést pouze 5 akcí:

Takto můžete snadno nastavit filtrování internetu, které poskytuje kompletní ochranu před vnějšími hrozbami.

Filtrování provozu

Přednáška 7. Technologie středních obrazovek

Základní výživa

1. Funkce přechodných obrazovek (ME)

2. Vlastnosti fungování ME na různých úrovních modelu OSI

3. Schémata zajištění na bázi ME

Literatura

1. Shangin V.F. Informační bezpečnost počítačových systémů a sítí: učebnice. příspěvek. - Nakladatelství M. "Fórum"; INFRA-M, 2008. - 416 s.

2. Zima V.M., Moldovyan A.A., Moldovyan N.A. Bezpečnost globálních síťových technologií. Petrohrad: BHV-Petersburg, 2001.

3. Galitsky A.V., Ryabko S.D., Shangin V.F. Ochrana informací na síti - analýza technologií a syntéza řešení. M.: DMK Press, 2004.

4. Stallings William. Základy síťové bezpečnosti. Aplikace a normy: Per. z angličtiny – M.: Williams Publishing House, 2002. s. 386 – 396.

Vstupte

Hlavní bezpečnostní službou ITS je Řízení přístupu. Pro implementaci této služby při mezisíťování, tzv firewall.

Firewall(ME) je specializovaný firewallový ochranný komplex, nazývaný také firewall nebo systém firewall ME umožňuje rozdělit společnou síť na dvě části (nebo více) a implementovat sadu pravidel, která určují podmínky pro průchod datových paketů přes hranici z jedné části společné sítě do druhé. Tato hranice je zpravidla vedena mezi podnikovou (lokální) sítí podniku a globálním internetem.

Firewally obvykle chrání podnikovou interní síť před „narušeními“ z globálního internetu, i když je lze také použít k ochraně před „útoky“ z podnikového intranetu, ke kterému je připojena místní síť podniku. Technologie ME je jednou z vůbec prvních technologií pro ochranu podnikových sítí před vnějšími hrozbami.

Pro většinu organizací je instalace ME předpokladem pro zajištění bezpečnosti vnitřní sítě.

1. Funkce přechodných obrazovek (ME)

Aby se zabránilo neoprávněnému přístupu k síti, musí být firewall umístěn mezi chráněnou vnitřní sítí organizace a potenciálně nepřátelskou externí sítí (obr. 1). Navíc veškeré interakce mezi těmito sítěmi musí být prováděny pouze prostřednictvím ME. Organizačně je ME součástí chráněné sítě.

Rýže. 1. Schéma zapojení firewallu (FW).

Firewall, který chrání mnoho vnitřních síťových uzlů najednou, je navržen tak, aby řešil:

úkol omezení externího přístupu(ve vztahu k chráněné síti) uživatelů na interní zdroje podnikové sítě. Mezi takové uživatele mohou patřit partneři, vzdálení uživatelé, hackeři a dokonce i zaměstnanci samotné společnosti, kteří se snaží získat přístup k databázovým serverům chráněným firewallem;

úkol omezení přístupu uživatelů chráněné sítě k externím zdrojům. Řešení tohoto problému umožňuje například regulovat přístup k serverům, které nejsou vyžadovány k plnění úředních povinností.

Dosud neexistuje jediná obecně uznávaná klasifikace ME. Mohou být klasifikovány například podle následujících hlavních charakteristik.

Fungováním na úrovních modelu OSI:

Paketový filtr (stínící směrovač - screeningový router);

Brána na úrovni relace (stínění dopravy);

Aplikační brána (aplikační brána);

Brána na expertní úrovni (stavový inspekční firewall).

Podle použité technologie:

Monitorování stavu protokolu (státní kontrola);

Na základě modulů mediátorů (proxy).

Provedením:

Hardware a software;

Program.

Podle schématu zapojení:

Jednotné schéma ochrany sítě;

Schéma s chráněnými uzavřenými a nechráněnými otevřenými segmenty sítě;

Schéma s oddělenou ochranou uzavřených a otevřených segmentů sítě.

Filtrování provozu

Filtrování informačních toků spočívá v jejich selektivním předávání přes obrazovku, případně s určitými transformacemi. Filtrování se provádí na základě sady pravidel předem nahraných v ME, odpovídajících přijaté bezpečnostní politice. Proto Je vhodné reprezentovat ME jako sekvenci filtrů, zpracování informačního toku (obr. 2).

Rýže. 2. Struktura firewallu

Každý z filtrů je navržen tak, aby interpretoval jednotlivá pravidla filtru:

1) analýza informací podle kritérií uvedených v interpretovaných pravidlech, například podle adres příjemce a odesílatele nebo podle typu aplikace, pro kterou jsou tyto informace určeny;

2) učinit jedno z následujících rozhodnutí na základě interpretovaných pravidel:

Nenechte si ujít data;

Zpracovat údaje jménem příjemce a vrátit výsledek odesílateli;

Chcete-li pokračovat v analýze, předejte data dalšímu filtru;

Přeskočte data a ignorujte následující filtry.

Pravidla filtrování mohou také specifikovat další akce, které se týkají funkcí zprostředkování, například převod dat, registrace události atd. Pravidla filtrování tedy určují seznam podmínek, podle kterých:

Povolení nebo zákaz dalšího přenosu dat;

Provádění dalších ochranných funkcí.

Následující parametry lze použít jako kritéria pro analýzu toku informací:

Pole služeb paketů zpráv obsahujících síťové adresy, identifikátory, adresy rozhraní, čísla portů a další významná data;

Přímý obsah paketů zpráv, kontrolovaný například na přítomnost počítačových virů;

Vnější charakteristiky toku informací, například čas, frekvenční charakteristiky, objem dat atd.

Použitá kritéria analýzy závisí na vrstvách modelu OSI, na kterých se provádí filtrování. Obecně platí, že čím vyšší je úroveň modelu OSI, na kterém firewall filtruje pakety, tím vyšší úroveň ochrany poskytuje.

Abyste měli základní představu o tom, jak firewall funguje, musíte být obeznámeni s pojmy řetěz, stav připojení, podmínka a akce.

Řetězy

Při filtrování spadá provoz v závislosti na jeho účelu do jednoho z řetězců zpracování provozu. Filtr má tři předdefinované hlavní řetězce:

• vstup příchozí provoz určený pro router. Když se například připojíte k routeru pomocí aplikace winbox, provoz spadá do tohoto řetězce.
• výstup Odchozí provoz. Provoz generovaný samotným routerem. Pokud například pingnete přímo ze samotného routeru, provoz skončí v tomto řetězci.
• vpřed Provoz procházející routerem. Pokud například počítač z místní sítě navázal připojení k externímu webu, tento provoz spadá do řetězce vpřed.

Vidíme tedy, že k ochraně samotného routeru je nutné použít řetěz vstup, a pro ochranu a filtrování provozu mezi sítěmi je nutné použít řetěz vpřed.

Kromě toho má správce možnost vytvářet své vlastní řetězce zpracování provozu, ke kterým lze přistupovat z hlavních řetězců. Tato možnost bude dále zvažována.

stav připojení

MikroTik přiřadí každé síťové připojení jednomu ze 4 stavů:

• Nový- Nové připojení. Paket, který otevírá nové připojení, které nijak nesouvisí se stávajícími síťovými připojeními, která jsou aktuálně zpracovávána směrovačem.
• Založeno- Stávající spojení. Paket patří k již vytvořenému spojení, které právě zpracovává router.
• Příbuzný- Propojené připojení. Balíček, který je přidružen k existujícímu připojení, ale není jeho součástí. Například paket, který zahajuje datové připojení v relaci FTP (bude spojen s kontrolním připojením FTP), nebo paket ICMP obsahující chybu odeslaný jako odpověď na jiné připojení.
• Neplatný- Směrovač nemůže přiřadit paket k žádnému z výše uvedených stavů připojení.

Na základě výše uvedeného vidíme, že dobrou volbou pro nastavení filtrování paketů by byla následující sada podmínek:

Stav

Když paket projde filtrem, router postupně kontroluje, zda paket odpovídá zadaným podmínkám, počínaje prvním pravidlem. a sekvenční kontrola paketu, zda vyhovuje pravidlům číslo dvě, tři atd., dokud nenastane jedna ze dvou událostí:

1. Paket bude odpovídat zadané podmínce. V tomto případě bude spuštěno odpovídající pravidlo, ve kterém byla tato podmínka zadána, po kterém bude zpracování balíčku dokončeno.
2. Všechny podmínky skončí a balíček nebude uznán jako splňující žádnou z nich. V tomto případě bude ve výchozím nastavení dále přeskočeno.

Na základě bodu 2 je třeba poznamenat, že existují dvě strategie pro konstrukci paketového filtru:

1. Normálně otevřete firewall. Tento typ nastavení lze definovat jako „Všechno je dovoleno, co není zakázáno“. Zároveň zakazujeme průjezd pouze některým druhům dopravy. Pokud paket těmto typům neodpovídá, bude přeskočen. Typicky je tento typ firewallu typický pro místa, kde nejsou kladeny vysoké požadavky na uživatelskou bezpečnost a provoz může být velmi různorodý a nelze jej striktně kvalifikovat. Toto nastavení je typické pro telekomunikační operátory (internetové poskytovatele), otevřené přístupové body a domácí routery.
2. Normálně zavřený firewall. Tento typ nastavení lze definovat jako „Vše je zakázáno, co není povoleno“. V tomto případě je povolen průchod pouze určitým typům provozu a posledním pravidlem ve firewallu je pravidlo, které zakazuje průchod jakéhokoli typu provozu. Tento typ nastavení firewallu je typický pro firemní použití, kde jsou kladeny přísné bezpečnostní požadavky.

Nemohu říci, že některá ze strategií je správná a některá špatná. Obě strategie mají právo na život, ale každá za určitých podmínek.

Nyní si podrobněji popíšeme všechny možnosti podmínek, na základě kterých se můžeme rozhodnout o akci.

Karta Obecné

název	Popis
	Řetěz (viz výše). Možnosti v seznamu: vstup, výstup, vpřed. Pokud zadáte své jméno, dostanete svůj řetízek.
	Zdrojová adresa balíčku. Možnosti pro vyplnění pole: Jedna adresa. Například 192.168.0.5 Podsíť. Například 192.168.0.0/24 Rozsah adres. Například 192.168.0.5-192.168.0.15 Všimněte si, že pokud potřebujete zadat nesouvisející rozsah adres, nelze to provést v tomto poli, ale lze to provést prostřednictvím Src. Seznam adres na kartě Upřesnit
	Cílová adresa balíku. Možnosti vyplnění pole viz výše
	Protokol připojení. TCP, UDP, ICMP atd.
	Port, ze kterého paket přišel. Pole lze vyplnit pouze v případě, že protokol odpovídá TCP nebo UDP. Možnosti pro vyplnění pole: Jeden port. Například 22. Rozsah portů. Například 10000-20000. Více portů. Například 22,23,25. Více rozsahů portů. Například 5060-5070,10000-20000. Rozsah a více portů. Například 22,23,10000-20000.
	Port, na který paket dorazil. Pole lze vyplnit pouze v případě, že jde o protokol TCP nebo UDP.
	Jakýkoli port. Například nebo Src. Port, nebo Dst. Přístav Možnosti pro vyplnění pole viz výše.
	Protokol Peer-to-Peer. Balíček patří k jednomu z P2P protokolů. Například edonkey nebo BitTorrent. Upozorňujeme, že šifrované relace nejsou v tomto poli identifikovány.
	Rozhraní, ze kterého pochází kontrolovaný balíček. (Nefunguje, pokud chain=output, protože zdrojem provozu je samotný router)
	Rozhraní, kam bude paket odeslán. (Nefunguje, pokud chain=input, protože provoz je určen pro router a nelze jej dále přenášet).
	Balíček má určitá označení přijatá dříve prostřednictvím Mangle.
	Balíček má určitá označení přijatá dříve prostřednictvím Mangle.
	Balíček se týká konkrétního typu připojení povoleného na kartě Firewall/Service Ports
Stav připojení	Stav připojení. Popsáno výše.

Upozorňujeme, že některým polím může předcházet příznak vykřičníku. Tento příznak bude označovat negaci. Například:

znamená, že zdrojová adresa je jiná než 192.168.0.0/24. Všimněte si také, že pokud je pole prázdné, mělo by být zašedlé. Pokud si vyplnění pole rozmyslíte, chcete-li je vyloučit a změnit na šedé, klikněte na šipku „nahoru“ napravo od pole.

Karta Upřesnit

Tato karta obsahuje pokročilé možnosti výběru balíčku.

název	Popis
Src. Seznam adres	Zdrojová adresa paketu odpovídá jedné z adres v pojmenovaném seznamu adres zadaných na kartě Firewall/Seznamy adres.
Dst. Seznam adres	Cílová adresa paketu odpovídá jedné z adres v pojmenovaném seznamu adres zadaných na kartě Firewall/Seznamy adres.
Protokol 7. vrstvy	Když byl paket skenován filtrem L7 zadaným na kartě Firewall/Layer 7 Protocols, byl přiřazen k jednomu z protokolů definovaných na této kartě.
	Uvnitř paketu je specifický řetězec znaků.
Bajty připojení	Počet bajtů prošlých připojením. V tomto případě 0 označuje nekonečno. Například 1 000 000-0 = více než 1 MB.
Sazby za připojení	Rychlost připojení. Například 0-128000. Toto pravidlo bude fungovat, pokud je rychlost připojení nižší než 128 kilobitů za sekundu. (Umístěním příznaku [!] před takové pravidlo vynutíme spuštění pravidla pro připojení větší než 128 kbps)
Podle klasifikátoru připojení
Src. MAC adresa	MAC adresa zdrojové síťové karty. To bude fungovat pouze v případě, že zdroj paketu je na stejném ethernetovém segmentu jako router.
	Cílový port rozhraní typu bridge s aktivovanou možností Use IP Firewall v Bridge.
	Zdrojový port rozhraní typu bridge s aktivovanou možností Use IP Firewall v Bridge.
Priorita vstupu	Priorita paketů. Lze získat z VLAN, WMM nebo MPLS ext. bit
	Určuje DSCP zadaný v hlavičce paketu.
	MSS (Maximum segment size) Velikost TCP paketu.
	Velikost balení.
	Náhodné spuštění pravidla. Číslo je nastaveno v rozsahu 1-99, což odpovídá pravděpodobnosti spuštění pravidla od 1 do 99 procent. Typicky se používá při testování služeb, když je potřeba zobrazit náhodnou ztrátu paketů na nestabilním kanálu.
	Příznaky připojení TCP.
	Možnosti ICMP (typy zpráv).
	V hlavičce paketu je specifikována volba protokolu IPv4.
	Time To Live - Životnost paketu odpovídá...

Extra karta

Tato karta pokračuje v seznamu pokročilých možností, které se nevejdou na kartu Upřesnit.

název	Popis
Limit připojení	Omezte počet připojení pro adresu nebo podsíť. Adresa nebo podsíť je určena polem masky sítě (pro 1 adresu 32).
	Navrženo pro omezení počtu přenášených paketů: Rate - počet paketů za sekundu (minuta/hodina). Burst – Počet nezaúčtovaných paketů (pakety nejsou zahrnuty v paketové rychlosti).
	Omezení počtu paketů přenášených zdrojovou/cílovou adresou. Na rozdíl od limitu se pakety berou v úvahu pro každou adresu nebo adresu/port v závislosti na zvolených možnostech. Pole frekvence a série odpovídají polím ve volbě Limit. Další pole: Limit By - podle jakého kritéria (adresa src|dst | adresa/port) by měly být brány v úvahu pakety. Expire – po jaké době bude zapamatovaná adresa/port smazána.
	Každý z: Každý - od jakého počtu balení. Balíček - kolik. Například Every=3, packet=2 Znamená „Každé 2 ze 3 paketů nebo více jednoduše 2/3 paketů). Tato možnost se často používá při vyrovnávání zátěže mezi kanály.
	Doba trvání pravidla. Umožňuje omezit účinek pravidla v čase a podle dne v týdnu. Vzhledem k tomu, že router nemá hodiny nezávislé na hardwaru, je pro správnou funkci této možnosti nutný nakonfigurovaný SNTP klient (System/SNTP-Client) a časové pásmo (System/Clock).
Src. Typ adresy	Typ zdrojové IP adresy (místní, Unicast, Broadcast, Multicast)
Dst. Typ adresy	Typ cílové IP adresy (místní, Unicast, Broadcast, Multicast)
	Port Scan Detection. Možnost, která umožňuje konfigurovat detekci událostí skenování portů. Pole: Práh hmotnosti= V jaké hodnotě to bude fungovat. Práh zpoždění= Maximální zpoždění mezi pakety s různými cílovými porty přicházejícími ze stejné adresy. Nízká hmotnost portu= kolik stojí každý port při výpočtu v rozsahu 0-1023. Vysoká hmotnost portu= kolik stojí každý port v rozsahu 1024-65535 při výpočtu. Například na snímku obrazovky bude pravidlo fungovat, pokud je skenováno 7 nebo více portů v privilegovaném rozsahu; Nebo 21 nebo více portů v neprivilegovaném rozsahu. V tomto případě nebude pauza mezi příchozími pakety ze stejného zdroje směrovanými na různé porty delší než 3 sekundy.
	Možnosti související s provozem hotspotu, pokud je na routeru nakonfigurován.
	Balíček je fragment jiného balíčku.

Jak vidíme, router má poměrně velké množství pravidel pro výběr paketů, která umožňují velmi flexibilně a jemně vyladit práci s provozem.

Nyní, když víme, jaká pravidla můžeme použít k nalezení balíčku, který nás zajímá, pojďme se podívat, co lze udělat po spuštění pravidla.