Фильтрующие маршрутизаторы

Для использования протокола SNMP имеется программная платформа NET-SNMP разработки института Карнеги-Мэллона, примечательная тем, что поставляется в виде исходных текстов и содержит как готовые утилиты, так и библиотеки функций поддержки протокола SNMP.

Рассмотрим использование основных утилит из состава NET-SNMP v5.3.

- Прежде всего это утилита snmpget, позволяющая получить значение определенного объекта базы MIB агента, выполняя get запрос. Вызов утилиты: snmpget [OPTIONS] AGENT OID [OID]… Здесь OPTIONS – необязательные опции задающие, например, версию протокола SNMP (опция –v), имя коммьюнити (опция –c), таймаут (опция –t) и др. AGENT – IP адрес или сетевое имя устройства с запущенным на нем агентом SNMP. OID – идентификатор объекта из базы MIB.

- Утилита snmpwalk позволяет получить значения объектов определенной ветки базы MIB агента, выполняя запросы getnext. Вызов утилиты такой же как и snmpget.

Утилита snmpset позволяет изменять значение определенного объекта базы MIB агента, выполняя set запрос. Вызов такой же как и у snmpget, но после OID идет тип значения в соответствии с протоколом SNMP (i – integer, t – timeticks и т.д.) и значение, соответствующее типу. Это перечисляется для каждого идентификатора объекта.

Тема 3.4 Межсетевые экраны

 

Внешний контур защиты АС обеспечивается межсетевыми экранами.

Межсетевой экран (brandmauer, firewall) – система межсетевой защиты, разделяющая общую сеть на 2 или более частей и устанавливающая набор правил, определяющих условия прохождения пакетов из одной части в другую.

Устанавливается на один из межсетевых соединителей (маршрутизатор или шлюз). Собственно транспортировка пакетов обеспечивается этим соединителем, экран лишь разрешает или запрещает каждую операцию по пересылке пакетов <- классический подход. Существуют комплексные экраны, выполняющие и функции межсетевого соединителя (обычно шлюза) в рамках одного продукта. Применяются, когда штатные соединители отсутствуют (win9x), либо их функциональность недостаточна. Обычно поддерживаемые дополнительные функциональные возможности: сбор статистики (account), расчет платы за использование ресурсов (billing), агент системы управления, включая СОИБ.

Классификация:

- Фильтрующие маршрутизаторы

- Шлюзы сеансового уровня

- Шлюзы уровня приложений

Фильтрующие маршрутизаторы

Комплексный МЭ либо маршрутизатор, работающий совместно с МЭ. В последнем случае часто реализуется штатными средствами ОС, в том числе ОС аппаратных маршрутизаторов.

Функционирует на сетевом и транспортном уровнях модели OSI. Осуществляет фильтрацию пакетов на основе информации, содержащейся в заголовках пакетов используемых уровней. (Для IP сетей - пакеты протоколов IP, TCP,UDP). Обычно используют следующие поля заголовков:

1. IP адрес отправителя

2. IP адрес получателя

3. Порт отправителя

4. Порт получателя

Экрану задаются правила фильтрации пакетов, использующие эту информацию и реализующие принятую политику безопасности. Эти правила применяются с использованием информации маршрутизатора о следующем промежуточном маршрутизаторе. Для UNIX – МЭ реализуется ядром ОС (конфигурируется при конфигурировании ядра) и обслуживается утилитами, позволяющими задать, изменить и получить правила фильтрации пакетов.

Для Linux с ядрами весий 2.0.x используется утилита ipfwadm, с ядрами 2.2.x – ipchains, с ядрами 2.4.x - iptables

При конфигурировании вначале задается правила фильтрации пакетов по умолчанию (ipchains –P). Используются 2 возможных подхода:

- Запретить прохождение всех пакетов(действие DENY – запретить, пакет уничтожается, либо REJECT – отказать пакету в прохождении, пакет уничтожается и отправляется ICMP сообщение об ошибке) – рекомендуется

- Разрешить прохождение всех пакетов (действие ACCEPT)

Затем задаются правила фильтрации пакетов (с указанными значениями полей и действиями (-j <действие>) DENY, REJECT, ACCEPT) в виде некоторой цепочки правил. Правила задаются для обрабатываемых входных (input), выходных (output) и маршрутизируемых (forward) пакетов. В последнем случае может также задаваться действие MASQ. Для каждого правила задаются адреса и, возможно, порты отправителя и получателя:

-s <адрес> [<порт>]

-d <адрес> [<порт>]

порт может быть задан виде диапазона: <порт>:<порт>

Может также быть указан протокол (используются имена и номера из?etc/protocols), к пакетам которого должно применяться правило:

-p <протокол>

и интерфейс: -i <интерфейс>

При необходимости задается протоколирование выполняемого действия в системном журнале(-l).

Задаваемые правила могут добавляться в конец (ipchains –A) или в начало (ipchains –I) цепочки, либо удаляться (ipchains –F)

Пример:

ANYWERE=”any/0”

UNPRIVPORTS=”1024:65535”

ipchains –F

ipchains –P input DENY

ipchains –P output REJECT

ipchains –P forward DENY

ipchains –A input –i $LOOPBACK –j ACCEPT

ipchains –A output –i $LOOPBACK –j ACCEPT

ipchains –A input –i $EXT –p tcp –s $ANYWERE $UNPRIVPORTS \

-d $IPADDR 80 –j ACCEPT

ipchains –A output –i $EXT –p tcp \

-s $IPADDR 80

–d $ANYWERE $UNPRIVPORTS –j ACCEPT

ipchains –A forward –i $EXT –s $LAN1 –j MASQ

Недостатки: информация в заголовках пакетов, используемая МЭ, может быть фальсифицирована (атака типа подмена адреса). Аутентификация принципиально отсутствует. Правила фильтрации пакетов трудны в описании и отладке. Cisco – проверка соответствия MAC и IP адресов (выборочно).