Виды фильтров

Ряд фильтров в ПО ViPNet [Клиент] [Монитор] определен по умолчанию. Эти фильтры нельзя удалять, но при определенных полномочиях их можно менять: инвертировать, а также добавлять, удалять и модифицировать фильтры протоколов. Различают следующие виды фильтров:

§ Широковещательный фильтр Широковещательные фильтры разрешают те широковещательные сообщения, которые необходимы для функционирования следующих служб:

§ Широковещательные пакеты nbname (порт 137) и nbdatagram (порт 138) предназначены для организации работы службы имен NETBIOS – определения имен компьютеров, входящих в Microsoft Network.

§ Широковещательные пакеты bootp (порты 67 и 68) предназначены для организации работы службы DHCP – получения компьютером IP-адреса при его загрузке.

§ Широковещательные пакеты iplirdatagram (порт 2046) предназначены для функционирования сети ViPNet (только для фильтра Широковещательные IP-пакеты всех адресатов в Защищенной сети ).

§ Главный фильтр

§ Индивидуальный фильтр (фильтр для конкретного пользователя)

§ Фильтр протоколов – определяет правило фильтрации пакетов в зависимости от протокола, параметров протокола, адресата пакета и направления прохождения IP-пакета, может быть настроен для широковещательного, главного и индивидуального фильтров. Фильтр протоколов всегда подчинен какому-либо фильтру из указанных выше.

Microsoft SQL фильтр - может быть использован при установке ViPNet [Клиент] на Microsoft SQL сервер с целью ограничения доступа пользователей (с установленным ПО ViPNet) на SQL сервер, либо для предотвращения прихода нежелательных данных. Фильтр работает на уровне протокола TDS (протокол передачи данных для MS SQL). Microsoft SQL фильтр всегда подчинен какому-либо индивидуальному фильтру.

Сетевые фильтры отображаются в виде древовидной структуры. Фильтры второго уровня всегда подчинены фильтрам первого уровня.

 

 

Рис. 30-а. Фильтры в версии 2.8

Наличие значка у какой-либо записи означает " пропускать пакеты". Наличие значка у какой-либо записи означает " блокировать пакеты".

Если фильтр первого уровня не содержит фильтров второго уровня, то наличие " галочки" напротив данного фильтра говорит о том, что фильтр пропускающий. Если " галочки" нет, то фильтр блокирующий.

Если фильтр первого уровня содержит фильтры второго уровня - фильтры протоколов, то наличие " галочки" напротив фильтра первого уровня говорит о том, что фильтр пропускает все IP-пакеты, удовлетворяющие фильтру первого уровня, кроме пакетов, явно указанных в фильтрах второго уровня (напротив фильтров протоколов второго уровня " галочки" отсутствуют). Если " галочка" напротив фильтра первого уровня отсутствует, то это означает, что фильтр блокирует все IP-пакеты, удовлетворяющие фильтру первого уровня, кроме пакетов, явно указанных в фильтрах второго уровня (напротив фильтров протоколов второго уровня – присутствуют " галочки").

Любой сетевой фильтр (определенный по умолчанию или собственный) изначально состоит из правила доступа и подчиненного фильтра с именем Все протоколы. Т.е. при создании любого правила доступа автоматически создается подчиненный ему фильтр протоколов Все протоколы. Фильтр протоколов Все протоколы определяет действие правила на все пакеты с указанными в правиле доступа адресами – пропускать все пакеты или блокировать. Пользователь может изменить параметры фильтра Все протоколы. Далее, при необходимости, каждый фильтр можно уточнять, т.е. для каждого правила доступа добавлять дополнительные фильтры протоколов с более детальными настройками.

 

Рис. 30-б. Фильтры в версии 3.0

Для шифрованных пакетов применяются фильтры Защищенной сети в следующем порядке:

Сначала применяется главный фильтр (включая его подчиненные фильтры протоколов). В результате применения фильтра пакет может быть заблокирован (событие 10).

Затем для нешироковещательных пакетов применяется индивидуальный фильтр (включая его подчиненные фильтры протоколов), установленный именно для этого адресата. Для широковещательных шифрованных пакетов применяется широковещательный фильтр Защищенной сети. В результате применения фильтра пакет может быть заблокирован (событие 3)

Далее, для нешироковещательных пакетов, по которым не было принято решение, если настроен Microsoft SQL фильтр, он применяется, в результате пакет может быть заблокирован.

Если пакет не был заблокирован ни в одном из фильтров, то он пропускается.

Если пакет относится к Открытой сети, то работа фильтров зависит от установленного режима работы.

Þ Если установлен 1-й режим, то все пакеты блокируются.

Þ Если установлен 4-й режим, то все пакеты пропускаются.

Þ Если установлен 2-й или 3-й режим, то для широковещательных пакетов применяется широковещательный фильтр Открытой сети, в результате применения которого пакет может быть либо заблокирован (событие 20), либо пропущен. Для нешироковещательных пакетов фильтры Открытой сети применяются в порядке, противоположном их порядку расположения в окне Открытая сеть:

Самым первым работает индивидуальный фильтр для конкретного IP-адреса (если таковой для данного адреса настроен), от которого из сети поступил пакет, или по которому пакет ушел в сеть. В результате применения этого фильтра пакет может быть либо заблокирован (событие 20), либо пропущен.

Если пакет прошел вышеуказанный фильтр и по нему не было принято решения, то затем работает главный фильтр для всех незарегистрированных в окне Открытая сеть IP-адресов (фильтр Все незарегистрированные IP-адреса). В результате применения этого фильтра пакет может быть пропущен.

Затем, если установлен 2-й режим, то все остальные пакеты, по которым не было принято решение, блокируются (событие 21).

Если установлен 3-й режим, то работает механизм бумеранга:

Все исходящие пакеты, по которым не было принято решение предыдущими фильтрами, пропускаются, при этом регистрируются протокол, адреса, время отправки пакета, а для " жёсткого бумеранга" – ещё и параметры протоколов: для UDP и TCP – номера портов отправителя и получателя, для ICMP – тип сообщения.

Входящие пакеты, если пакет не был блокирован или пропущен предыдущими фильтрами, пропускаются только в случае, если выполняются следующие условия:

o Если бумеранг установлен в " мягкий" режим: входящие пакеты пропускаются в случае, если ранее на адрес источника прошел исходящий пакет этого же протокола.

o Если бумеранг установлен в " жесткий" режим: входящие пакеты протоколов TCP и UDP пропускаются в случае, если ранее на адрес и конкретный порт источника от конкретного порта получателя прошел исходящий пакет этого же типа. Входящие пакеты протокола ICMP пропускаются, если они являются ответами на ранее отосланные ICMP-запросы на этот адрес. Пары поддерживаемых ICMP-запросов и ответов следующие: echo – echo reply, timestamp – timestamp reply, information request – information reply.

Во всех остальных случаях пакет блокируется.

Широковещательные пакеты nbname (порт 137) и nbdatagram (порт 138) предназначены для организации работы службы имен NETBIOS – определения имен компьютеров, входящих в Microsoft Network.

·Широковещательные пакеты bootp (порты 67 и 68) предназначены для организации работы службы DHCP – получения компьютером IP-адреса при его загрузке.

·Широковещательные пакеты iplirdatagram (порт 2046) предназначены для функционирования сети ViPNet (только для фильтра Широковещательные IP-пакеты всех адресатов в Защищенной сети).

Фильтр на этом рисунке означает: Все пакеты от и для этих адресов для всех протоколов, кроме протоколов, указанных в добавленных фильтрах, будут блокироваться.