Главная › Интернет › Как проверить работоспособность систем фильтрации входящего трафика. Фильтрации сетевого трафика. Как защититься от взлома. Протокол NAT Traversal

Как проверить работоспособность систем фильтрации входящего трафика. Фильтрации сетевого трафика. Как защититься от взлома. Протокол NAT Traversal

Чтобы пользователь мог безопасно находиться в сети, разработаны специальные программы для фильтрации трафика и веб-контента.

Принципы работы контентной фильтрации

Вирусы, кража личной информации, неполадки сети - всё это не пустые слова, а реальность. Поэтому главная цель контентного фильтра - ограничить доступ к запрещённым или вредоносным ресурсам. Достигается это с помощью списков разрешённых/запрещённых ресурсов.

Защита нужна каждому пользователю, но особенно остро в ней нуждаются дети и подростки. Ведь на многих страницах присутствуют сцены насилия, эротики, реклама вредных веществ и алкоголя. Чтобы оградить себя и свой рабочий компьютер от угрозы, необходимо использовать систему контентной фильтрации.

Фильтрация интернет трафика

Наша компания разработала специальный механизм фильтрации интернет трафика, который не только поможет поддерживать доступ в сеть в рабочем состоянии, но и обеспечит непрерывность и целостность бизнес-процессов. Он позволяет управлять потоками, входящими в локальную сеть, автоматически снижая её нагрузку. При этом снимаются проблемы нецелевого доступа к посторонним ресурсам, нерационального использования сети и рабочего времени

Система фильтрации интернет трафика необходима на разных уровнях: для домашнего использования и для корпоративной сети. Она существует в разных формах:

утилиты;
приложения;
дополнения для браузера;
отдельного сервера.

Компания «А-Реал Консалтинг» активно разрабатывает разные способы обеспечения безопасности сети, предоставляя клиентам комплексное решение. Мы имеем богатый опыт внедрения систем фильтрации интернет контента в школах и организациях.

Наш контентный фильтр работает исходя из данных веб-трафика, которые сообщает модуль прокси-сервера. Затем происходит сверка со списком запрещённых ресурсов. Эта база включает несколько миллионов сайтов, разделённых на категории, что позволяет индивидуально настроить параметры фильтрации web-контента.

Пользователям системы фильтрации от Интернет Контроль Сервера достаточно просто запретить категорию, и все сайты этой тематики автоматически станут недоступными.

Контент-фильтрация включает и антивирусные модули, автоматически проверяя весь входящий трафик на наличие вредоносных программ. Наше решение гарантирует надёжность и безопасность, предоставляя все инструменты для управления доступом в сеть.

Контентная фильтрация в школах и образовательных учреждениях

По статистике более 100 000 образовательных учреждений имеет доступ в интернет, где учащиеся подвергаются потоку агрессивного и потенциально опасного контента. Поэтому была утверждена и одобрена Федеральная Система исключения доступа к Интернет-ресурсам, несовместимым с задачами воспитания и образования обучающихся РФ (СИД).

В соответствии с Федеральным законом № 436 «О защите детей от информации, причиняющей вред их здоровью и развитию»и ФЗ № 139 «О внесении изменений в Федеральный закон «О защите детей от информации, причиняющей вред их здоровью и развитию», установка контентной фильтрации в образовательном учреждении является обязательным требованием.

Возможные варианты

Фильтры для интернета можно настроить 2 способами:

обратиться за помощью к своему интернет-провайдеру;
установить и настроить специализированное ПО.

Во втором случае придётся самостоятельно скачивать и настраивать контентный фильтр для школы или другой организации. Наша компания предлагает воспользоваться интернет-шлюзом ИКС, с интегрированным SkyDNS. Он регулярно обновляется и содержит адреса ресурсов с информацией, распространение которой в Российской Федерации запрещено, т.е. соответствует Федеральному закону № 139 «О чёрных списках».

Функции ИКС для контентной фильтрации

организация доступа только к надёжным ресурсам;
безопасность от вредоносных объектов, которые стремятся попасть в локальную сеть, осуществляемая с помощью встроенного межсетевого экрана ;
контроль доступа пользователей к сети;
ведение учёта потребляемого трафика.

Преимущества интернет-шлюза ИКС

возможность предварительной оценки и тестирования с помощью демо-версии в течение 35 дней;
встроенный Dr. Web;
встроенный антивирус и антиспам Kaspersky;
неограниченный срок лицензионной версии;
доступное обучение в форме видеороликов;
бесплатная полная версия Lite до 8 пользователей;

Настройка ИКС

Ещё одно преимущество ИКС - лёгкость установки и настройки. Для этого нужно совершить всего 5 действий:

Вот так просто можно настроить интернет фильтрацию, обеспечив полноценную защиту от внешних угроз.

Фильтрация трафика

Лекція 7. Технології міжмережних екранів

Навчальні питання

1. Функції міжмережних екранів (МЕ)

2. Особливості функціонування МЕ на різних рівнях моделі OSI

3. Схеми мережного захисту на базі МЕ

Література

1. Шаньгин В.Ф. Информационная безопасность компьютерных систем и сетей: учеб. пособие. - М. ИД "Форум"; ИНФРА-М, 2008. - 416 с.

2. Зима В.М., Молдовян А.А., Молдовян Н.А. Безопасность глобальных сетевых технологий. СПб.: БХВ-Петербург, 2001.

3. Галицкий А.В., Рябко С.Д., Шаньгин В.Ф. Защита информации в сети - анализ технологий и синтез решений. М.: ДМК Пресс, 2004.

4. Столлингс Вильям. Основы защиты сетей. Приложения и стандарты: Пер. с англ. – М.: Издательский дом "Вильямс", 2002. с.386 – 396.

Вступ

Основным сервисом безопасности ИТС является контроль доступа . Для реализации этого сервиса при межсетевом взаимодействии используют так называемый межсетевой экран .

Межсетевой экран (МЭ) - это специализированный комплекс межсетевой защиты, называемый также брандмауэром или системой firewall. МЭ позволяет разделить общую сеть на две части (или более) и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую. Как правило, эта граница проводится между корпоративной (локальной) сетью предприятия и глобальной сетью Internet.

Обычно МЭ защищают внутреннюю сеть предприятия от «вторжений» из глобальной сети Internet, хотя они могут использоваться и для защиты от «нападений» из корпоративной интрасети, к которой подключена локальная сеть предприятия. Технология МЭ одна из самых первых технологий защиты корпоративных сетей от внешних угроз.

Для большинства организаций установка МЭ является необходимым условием обеспечения безопасности внутренней сети.

1. Функції міжмережних екранів (МЕ)

Для противодействия несанкционированному межсетевому доступу МЭ должен располагаться между защищаемой сетью организации, являющейся внутренней, и потенциально враждебной внешней сетью (рис. 1). При этом все взаимодействия между этими сетями должны осуществляться только через МЭ. Организационно МЭ входит в состав защищаемой сети.

Рис. 1. Схема подключения межсетевого экрана (МЭ)

МЭ, защищающий сразу множество узлов внутренней сети, призван решить:

Задачу ограничения доступа внешних (по отношению к защищаемой сети) пользователей к внутренним ресурсам корпоративной сети. К таким пользователям могут быть отнесены партнеры, удаленные пользователи, хакеры и даже сотрудники самой компании, пытающиеся получить доступ к серверам баз данных, защищаемых МЭ;

Задачу разграничения доступа пользователей защищаемой сети к внешним ресурсам . Решение этой задачи позволяет, например, регулировать доступ к серверам, не требующимся для выполнения служебных обязанностей.

До сих пор не существует единой общепризнанной классификации МЭ. Их можно классифицировать, например, по следующим основным признакам.

По функционированию на уровнях модели OSI:

Пакетный фильтр (экранирующий маршрутизатор - screening router);

Шлюз сеансового уровня (экранирующий транспорт);

Прикладной шлюз (application gateway);

Шлюз экспертного уровня (stateful inspection firewall).

По используемой технологии:

Контроль состояния протокола (stateful inspection);

На основе модулей посредников (proxy).

По исполнению:

Аппаратно-программный;

Программный.

По схеме подключения:

Схема единой защиты сети;

Схема с защищаемым закрытым и не защищаемым открытым сегментами сети;

Схема с раздельной защитой закрытого и открытого сегментов сети.

Фильтрация трафика

Фильтрация информационных потоков состоит в их выборочном пропускании через экран, возможно, с выполнением некоторых преобразований. Фильтрация осуществляется на основе набора предварительно загруженных в МЭ правил, соответствующих принятой политике безопасности. Поэтому МЭ удобно представлять как последовательность фильтров , обрабатывающих информационный поток (рис. 2).

Рис. 2. Структура межсетевого экрана

Каждый из фильтров предназначен для интерпретации отдельных правил фильтрации путем:

1) анализа информации по заданным в интерпретируемых правилах критериям, например по адресам получателя и отправителя или по типу приложения, для которого эта информация предназначена;

2) принятия на основе интерпретируемых правил одного из следующих решений:

Не пропустить данные;

Обработать данные от имени получателя и возвратить результат отправителю;

Передать данные на следующий фильтр для продолжения анализа;

Пропустить данные, игнорируя следующие фильтры.

Правила фильтрации могут задавать и дополнительные действия, которые относятся к функциям посредничества, например преобразование данных, регистрация событий и др. Соответственно правила фильтрации определяют перечень условий, по которым осуществляется:

Разрешение или запрещение дальнейшей передачи данных;

Выполнение дополнительных защитных функций.

В качестве критериев анализа информационного потока могут использоваться следующие параметры:

Служебные поля пакетов сообщений, содержащие сетевые адреса, идентификаторы, адреса интерфейсов, номера портов и другие значимые данные;

Непосредственное содержимое пакетов сообщений, проверяемое, например, на наличие компьютерных вирусов;

Внешние характеристики потока информации, например, временные, частотные характеристики, объем данных и т. д.

Используемые критерии анализа зависят от уровней модели OSI, на которых осуществляется фильтрация. В общем случае, чем выше уровень модели OSI, на котором МЭ фильтрует пакеты, тем выше и обеспечиваемый им уровень защиты.

Для базового понимания работы файрвола, необходимо ознакомиться с понятиями цепочки (chain), состояния соединения (connection state), условия и действия (action).

Цепочки (chain)

При фильтрации трафик, в зависимости от своего предназначения попадает в одну из цепочек (chain) обработки трафика. В фильтре предопределены три основные цепочки:

input входящий трафик предназначенный для маршрутизатора. Например, когда вы подключаетесь к маршрутизатору при помощи приложения winbox, трафик как раз попадает в эту цепочку.
output Исходящий трафик. Трафик, создаваемый самим маршрутизатором. Например, если вы выполните команду ping непосредственно с самого маршрутизатора, трафик попадет в эту цепочку.
forward Трафик, идущий через маршрутизатор. Например, если компьютер из локальной сети, установил соединение с внешним сайтом, данный трафик попадает в цепочку forward .

Таким образом мы видим, что для защиты самого маршрутизатора необходимо использовать цепочку input , а для защиты и фильтрации трафика между сетями необходимо использовать цепочку forward .

Кроме того, администратор имеет возможность создавать свои собственные цепочки обработки трафика, к которым можно обращаться из основных цепочек. Данная возможность будет рассмотрена в дальнейшем.

Состояние соединения (connection state)

Каждое из сетевых соединений MikroTik относит к одному из 4 состояний:

New - Новое соединение. Пакет, открывающий новое соединение, никак не связанное с уже имеющимися сетевыми соединениями, обрабатываемыми в данный момент маршрутизатором.
Established - Существующее соединение. Пакет относится у уже установленному соединению, обрабатываемому в данный момент маршрутизатором.
Related - Связанное соединение. Пакет, который связан с существующим соединением, но не является его частью. Например, пакет, который начинает соединение передачи данных в FTP-сессии (он будет связан с управляющим соединением FTP), или пакет ICMP, содержащий ошибку, отправляемый в ответ на другое соединение.
Invalid - Маршрутизатор не может соотнести пакет ни с одним из вышеперечисленных состояний соединения.

Исходя из вышеизложенного, мы видим, что хорошим вариантом настройки фильтрации пакетов будет следующий набор условий:

Условие

При прохождении пакета через фильтр, маршрутизатор последовательно проверяет соответствие пакета заданным условиям, начиная от правила, расположенного первым. и последовательно проверяя пакет на соответствие правилам номер два, три и так далее, пока не произойдет одно из двух событий:

Пакет будет соответствовать заданному условию. При этом сработает соответствующее правило, в котором это условие было задано, после чего обработка пакета будет завершена.
Закончатся все условия и пакет не будет признан соответствующим ни одному из них. При этом, по умолчанию он будет пропущен дальше.

Исходя из п.2, нельзя не отметить, что есть две стратегии построения фильтра пакетов:

Нормально открытый файрвол. Данный тип настройки можно определить как «Все разрешено, что не запрещено». При этом мы запрещаем прохождение только некоторых типов трафика. Если пакет не соответствует этим типам - он будет пропущен. Обычно данный тип файрвола характерен для мест, где не предъявляется высоких требований к безопасности пользователей, а трафик может быть самым разнообразным и не поддающимся жесткой квалификации. Такая настройка характерна для операторов связи (Интернет-провайдеров), открытых точек доступа, домашних маршрутизаторов.
Нормально закрытый файрвол. Данный тип настройки можно определить как «Все запрещено, что не разрешено». При этом разрешается прохождение только определенных типов трафика, а последним правилом в файрволе стоит правило, запрещающее прохождение любого типа трафика. Такой тип настройки файрвола характерен для корпоративного использования, где существуют жесткие требования к безопасности.

Не могу сказать, что какая-то из стратегий является правильной, а какая-то неправильной. Обе стратегии имеют право на жизнь, но каждая — в определенных условиях.

Теперь подробнее распишем все варианты условий, на основании которых мы можем принимать решение о действии.

Закладка general

Наименование	Описание
	Цепочка (см. выше). Варианты в списке: input, output, forward. Если ввести свое название - получим свою цепочку.
	Адрес источника пакета. Варианты заполнения поля: Один адрес. Например, 192.168.0.5 Подсеть. Например, 192.168.0.0/24 Диапазон адресов. Например, 192.168.0.5-192.168.0.15 Обратите внимание: если вам надо задать несвязанный диапазон адресов, то это нельзя сделать в этом поле, но можно сделать через Src. Address List на закладке Advanced
	Адрес назначения пакета. Варианты заполнения поля см. выше
	Протокол соединения. TCP, UDP, ICMP и т.п.
	Порт, с которого пришел пакет. Поле можно заполнить только если протокол соответствует TCP или UDP. Варианты заполнения поля: Один порт. Например, 22. Диапазон портов. Например, 10000-20000. Несколько портов. Например,22,23,25. Несколько диапазонов портов. Например, 5060-5070,10000-20000 . Диапазон и несколько портов. Например, 22,23,10000-20000.
	Порт, на который пришел пакет. Поле можно заполнить, только если протокол соответствует TCP или UDP.
	Любой порт. Например, или Src. Port, или Dst. Port Варианты заполнения поля см. выше.
	Peer-to-Peer протокол. Пакет относится к одному из P2P протоколов. Например, edonkey или BitTorrent. Обратите внимание, что шифрованные сессии не идентифицируются посредством данного поля.
	Интерфейс, с которого пришел проверяемый пакет. (Не работает, если chain=output, т.к. источник трафика - сам маршрутизатор)
	Интерфейс, куда будет передан пакет. (Не работает, если chain=input, так как трафик предназначен для маршрутизатора и дальше передан быть не может).

	Пакет имеет определенную маркировку, полученную ранее через Mangle.
	Пакет имеет определенную маркировку, полученную ранее через Mangle.
	Пакет относится к определенному типу соединения, включенному на закладке Firewall/Service Ports
Connection State	Состояние соединения. Описывалось выше.

Обратите внимание, что перед частью полей можно поставить флаг восклицательного знака. Этот флаг будет обозначать отрицание. Например:

обозначает что адрес источника любой, кроме 192.168.0.0/24 . Также обратите внимание, что если поле не заполнено, оно должно быть серым. Если вы передумали заполнять поле, чтобы его исключить и сделать серым - нажмите стрелку «вверх», справа от поля.

Закладка Advanced

На этой закладке собраны расширенные опции выбора пакета.

Наименование	Описание
Src. Address List	Адрес источника пакета совпадает с одним из адресов в именованном списке адресов, заданном на закладке Firewall/Address Lists.
Dst. Address List	Адрес назначения пакета совпадает с одним из адресов в именованном списке адресов, заданном на закладке Firewall/Address Lists.
Layer 7 Protocol	При проверке пакета L7-фильтром, заданным на закладке Firewall/Layer 7 Protocols, он был отнесен к одному из определенных на этой закладке протоколов.
	Внутри пакета содержится определенная строка символов.
Connection Bytes	Количество байт, прошедших через соединение. При этом 0 обозначает бесконечность. Например, 1000000-0 = более 1МБ.
Connection Rates	Скорость соединения. Например, 0-128000. Это правило сработает, если скорость подключения менее 128 килобит в секунду. (Поставив флаг [!] перед таким правилом, мы заставим срабатывать правило на соединение более 128kbps)
Per Connection Classifier
Src. MAC Address	MAC-адрес сетевой карты источника. Сработает, только если источник пакета находится в одном Ethernet-сегменте с маршрутизатором.
	Порт назначения интерфейса типа bridge, при активированной в Bridge опции Use IP Firewall.
	Порт источника интерфейса типа bridge, при активированной в Bridge опции Use IP Firewall.
Ingress Priority	Приоритет пакета. Может быть получен из VLAN, WMM или MPLS ext. bit
	Определяет DSCP, заданный в заголовке пакета.
	Размер MSS (Maximum segment size) TCP пакета.
	Размер пакета.
	Случайное срабатывание правила. Число задается в диапазоне 1-99, что соответствует вероятности срабатывания правила от 1 до 99 процентов. Обычно используется при тестировании сервисов, когда надо изобразить случайную потерю пакетов на нестабильном канале.
	Флаги TCP соединения.
	Опции (типы сообщения) ICMP.
	В заголовке пакета имеется заданная опция протокола Ipv4.
	Time To Live - Время жизни пакета соответствует …

Закладка Extra

Эта закладка продолжает список расширенных опций, не поместившихся на закладку Advanced.

Наименование	Описание
Connection Limit	Предел количества соединений для адреса или подсети. Адрес или подсеть задается полем netmask (для 1 адреса 32).
	Предназначено для ограничения количества передаваемых пакетов: Rate - количество пакетов в секунду (минуту/час). Burst - Количество неучитываемых пакетов (пакетов не входящих в packet rate).
	Ограничение количества передаваемых пакетов по адресу источника/назначения. В отличии от limit, учитываются пакеты для каждого адреса или адреса/порта в зависимости от выбранных опций. Поля rate и burst соответствуют таковым в опции Limit. Дополнительный поля: Limit By - по какому критерию (src\|dst address \| address/port) учитывать пакеты. Expire - через какой промежуток времени запомненный адрес/порт будут удалены.
	Каждый из: Every - из какого числа пакетов. Packet - сколько. Например Every=3, packet=2 Обозначает «Каждые 2 из 3 пакетов или проще 2/3 пакетов). Опцию часто используют при балансировке нагрузки между каналами.
	Время действия правила. Позволяет ограничить действие правила во времени и по дням недели. Так как у маршрутизатора нет аппаратно-независимых часов, для корректной работы опции требуется настроенный SNTP-клиент (System/SNTP-Client) и часовой пояс (System/Clock)
Src. Address Type	Тип IP-адреса источника (Local, Unicast, Broadcast, Multicast)
Dst. Address Type	Тип IP-адреса назначения (Local, Unicast, Broadcast, Multicast)
	Port Scan Detect. Опция позволяющая настроить определение события сканирования портов. Поля: Weight Threshold = При каком значении сработает. Delay Threshold = Максимальная задержка между пакетами с разными портами назначения, пришедшими с одного адреса. Low Port Weight = сколько при подсчете стоит каждый порт в диапазоне 0-1023. High Port Weight = сколько при подсчете стоит каждый порт в диапазоне 1024-65535. Например, на скриншоте правило сработает, если будет просканировано 7 и более портов в привилегированном диапазоне; Или 21 и более портов в непривилегированном диапазоне. При этом пауза между поступающими пакетами с одного источника, направленного на разные порты будет не более 3 секунд.
	Опции, связанные с работой хотспот, если он настроен на маршрутизаторе.
	Пакет является фрагментом другого пакета.

Как мы видим, в маршрутизаторе существует достаточно большое количество правил выбора пакетов, которые позволяют очень гибко и тонко настраивать работы с трафиком.

Теперь, когда мы поняли, на основании каких правил мы можем найти интересующий нас пакет, давайте посмотрим, что можно сделать после срабатывания правила.