Студопедия Главная Случайная страница Задать вопрос

Разделы: Автомобили Астрономия Биология География Дом и сад Другие языки Другое Информатика История Культура Литература Логика Математика Медицина Металлургия Механика Образование Охрана труда Педагогика Политика Право Психология Религия Риторика Социология Спорт Строительство Технология Туризм Физика Философия Финансы Химия Черчение Экология Экономика Электроника

Фильтрующие маршрутизаторы

Для использования протокола SNMP имеется программная платформа NET-SNMP разработки института Карнеги-Мэллона, примечательная тем, что поставляется в виде исходных текстов и содержит как готовые утилиты, так и библиотеки функций поддержки протокола SNMP.

Рассмотрим использование основных утилит из состава NET-SNMP v5.3.

- Прежде всего это утилита snmpget, позволяющая получить значение определенного объекта базы MIB агента, выполняя get запрос. Вызов утилиты: snmpget [OPTIONS] AGENT OID [OID]… Здесь OPTIONS – необязательные опции задающие, например, версию протокола SNMP (опция –v), имя коммьюнити (опция –c), таймаут (опция –t) и др. AGENT – IP адрес или сетевое имя устройства с запущенным на нем агентом SNMP. OID – идентификатор объекта из базы MIB.

- Утилита snmpwalk позволяет получить значения объектов определенной ветки базы MIB агента, выполняя запросы getnext. Вызов утилиты такой же как и snmpget.

Утилита snmpset позволяет изменять значение определенного объекта базы MIB агента, выполняя set запрос. Вызов такой же как и у snmpget, но после OID идет тип значения в соответствии с протоколом SNMP (i – integer, t – timeticks и т.д.) и значение, соответствующее типу. Это перечисляется для каждого идентификатора объекта.

Тема 3.4 Межсетевые экраны

 

Внешний контур защиты АС обеспечивается межсетевыми экранами.

Межсетевой экран( brandmauer, firewall) – система межсетевой защиты, разделяющая общую сеть на 2 или более частей и устанавливающая набор правил, определяющих условия прохождения пакетов из одной части в другую.

Устанавливается на один из межсетевых соединителей (маршрутизатор или шлюз). Собственно транспортировка пакетов обеспечивается этим соединителем, экран лишь разрешает или запрещает каждую операцию по пересылке пакетов <- классический подход. Существуют комплексные экраны, выполняющие и функции межсетевого соединителя (обычно шлюза) в рамках одного продукта. Применяются, когда штатные соединители отсутствуют (win9x), либо их функциональность недостаточна. Обычно поддерживаемые дополнительные функциональные возможности: сбор статистики (account), расчет платы за использование ресурсов (billing), агент системы управления, включая СОИБ.

Классификация:

- Фильтрующие маршрутизаторы

- Шлюзы сеансового уровня

- Шлюзы уровня приложений

Фильтрующие маршрутизаторы

Комплексный МЭ либо маршрутизатор, работающий совместно с МЭ. В последнем случае часто реализуется штатными средствами ОС, в том числе ОС аппаратных маршрутизаторов.

Функционирует на сетевом и транспортном уровнях модели OSI. Осуществляет фильтрацию пакетов на основе информации, содержащейся в заголовках пакетов используемых уровней. (Для IP сетей - пакеты протоколов IP, TCP,UDP). Обычно используют следующие поля заголовков:

1. IP адрес отправителя

2. IP адрес получателя

3. Порт отправителя

4. Порт получателя

Экрану задаются правила фильтрации пакетов, использующие эту информацию и реализующие принятую политику безопасности. Эти правила применяются с использованием информации маршрутизатора о следующем промежуточном маршрутизаторе. Для UNIX – МЭ реализуется ядром ОС (конфигурируется при конфигурировании ядра) и обслуживается утилитами, позволяющими задать, изменить и получить правила фильтрации пакетов.

Для Linux с ядрами весий 2.0.x используется утилита ipfwadm, с ядрами 2.2.x – ipchains, с ядрами 2.4.x - iptables

При конфигурировании вначале задается правила фильтрации пакетов по умолчанию (ipchains –P). Используются 2 возможных подхода:

- Запретить прохождение всех пакетов( действие DENY – запретить, пакет уничтожается, либо REJECT – отказать пакету в прохождении, пакет уничтожается и отправляется ICMP сообщение об ошибке) – рекомендуется

- Разрешить прохождение всех пакетов ( действие ACCEPT )

Затем задаются правила фильтрации пакетов (с указанными значениями полей и действиями (-j <действие>) DENY, REJECT, ACCEPT) в виде некоторой цепочки правил. Правила задаются для обрабатываемых входных (input), выходных (output) и маршрутизируемых (forward) пакетов. В последнем случае может также задаваться действие MASQ. Для каждого правила задаются адреса и, возможно, порты отправителя и получателя:

-s <адрес> [<порт>]

-d <адрес> [<порт>]

порт может быть задан виде диапазона: <порт>:<порт>

Может также быть указан протокол (используются имена и номера из ?etc/protocols), к пакетам которого должно применяться правило:

-p <протокол>

и интерфейс: -i <интерфейс>

При необходимости задается протоколирование выполняемого действия в системном журнале(-l).

Задаваемые правила могут добавляться в конец (ipchains –A) или в начало (ipchains –I) цепочки, либо удаляться (ipchains –F)

Пример:

ANYWERE=”any/0”

UNPRIVPORTS=”1024:65535”

ipchains –F

ipchains –P input DENY

ipchains –P output REJECT

ipchains –P forward DENY

ipchains –A input –i $LOOPBACK –j ACCEPT

ipchains –A output –i $LOOPBACK –j ACCEPT

ipchains –A input –i $EXT –p tcp –s $ANYWERE $UNPRIVPORTS \

-d $IPADDR 80 –j ACCEPT

ipchains –A output –i $EXT –p tcp \

-s $IPADDR 80

–d $ANYWERE $UNPRIVPORTS –j ACCEPT

ipchains –A forward –i $EXT –s $LAN1 –j MASQ

Недостатки: информация в заголовках пакетов, используемая МЭ, может быть фальсифицирована (атака типа подмена адреса). Аутентификация принципиально отсутствует. Правила фильтрации пакетов трудны в описании и отладке. Cisco – проверка соответствия MAC и IP адресов (выборочно).




<== предыдущая лекция | следующая лекция ==>
База данных управляющей информации MIB | Задачи решаемые VPN.

Дата добавления: 2015-08-27; просмотров: 77. Нарушение авторских прав

Studopedia.info - Студопедия - 2014-2017 год . (0.007 сек.) русская версия | украинская версия