Поиск
Категории
Случайные новости
Архив
Статистика
Интересное
Фильтрация пакетов
Автор: adm
У организации, как правило, есть шлюзовый маршрутизатор, соединяющий внутреннюю сеть организации с Интернет-провайдером (и, соответственно, с Интернетом). Весь трафик, поступающий во внутреннюю сеть и покидающий ее, проходит через этот маршрутизатор, и именно на этом маршрутизаторе осуществляется фильтрация пакетов. Пакетные фильтры исследуют заголовки дейтаграмм и пропускают или отбрасывают дейтаграммы в соответствии с правилами фильтрации, заданными администратором. Решения, как правило, основываются на:
• IP-адресе отправителя или получателя;
• номере TCP- или UDP-порта отправителя или получателя;
• поле типа сообщения протокола ICMP;
• дейтаграммах инициализации соединения, в которых используются биты SYN или АСК протокола TCP.
Например, фильтр может блокировать все UDP-сегменты и все Telnet-соединения. Подобная конфигурация не позволит находящимся за пределами корпоративной сети пользователям регистрироваться на внутренних хостах, а пользователям самой сети регистрироваться на хостах, находящихся за пределами сети при помощи протокола Telnet, так как брандмауэр будет блокировать все ТСР-сегмен-ты (каждый из которых содержится в дейтаграмме), если указанный в них номер порта отправителя или получателя равен 23 (что соответствует протоколу Telnet). Фильтрация UDP-трафика является также популярной политикой, применяемой корпорациями (к большому неудовольствию ведущих производителей сетевых аудио- и видеоприложений, использующих протокол UDP по умолчанию). Фильтрация Telnet-соединений также популярна, так как она не позволяет внешним пользователям регистрироваться на внутренних машинах. На web-сайте http:// www.cert.org/tech_tips/packet_filtering.html содержится список рекомендаций по фильтрации комбинаций портов и протоколов, которые могут помочь залатать многие известные на сегодня дыры в системе безопасности существующих сетевых приложений.
• IP-адресе отправителя или получателя;
• номере TCP- или UDP-порта отправителя или получателя;
• поле типа сообщения протокола ICMP;
• дейтаграммах инициализации соединения, в которых используются биты SYN или АСК протокола TCP.
Например, фильтр может блокировать все UDP-сегменты и все Telnet-соединения. Подобная конфигурация не позволит находящимся за пределами корпоративной сети пользователям регистрироваться на внутренних хостах, а пользователям самой сети регистрироваться на хостах, находящихся за пределами сети при помощи протокола Telnet, так как брандмауэр будет блокировать все ТСР-сегмен-ты (каждый из которых содержится в дейтаграмме), если указанный в них номер порта отправителя или получателя равен 23 (что соответствует протоколу Telnet). Фильтрация UDP-трафика является также популярной политикой, применяемой корпорациями (к большому неудовольствию ведущих производителей сетевых аудио- и видеоприложений, использующих протокол UDP по умолчанию). Фильтрация Telnet-соединений также популярна, так как она не позволяет внешним пользователям регистрироваться на внутренних машинах. На web-сайте http:// www.cert.org/tech_tips/packet_filtering.html содержится список рекомендаций по фильтрации комбинаций портов и протоколов, которые могут помочь залатать многие известные на сегодня дыры в системе безопасности существующих сетевых приложений.
Комментарии
Нет комментариев. Вы можете быть первым!