Linux
Шрифт:
В большинстве случаев запрет сетевого пакета считается лучшим решением, чем отказ в прохождении сетевого пакета. Во-первых, отправка сообщения об ошибке увеличивает сетевой трафик, а во-вторых, сообщения об ошибке могут быть использованы для организации атаки с целью вывода из строя сервера. Помимо этого, любое ответное действие на «неправильные» пакеты предоставляет взломщику дополнительную информацию о конфигурации вашей системы.
Фильтрация сетевых пакетов
Рассмотрим, на основании каких данных можно производить фильтрацию входящих и исходящих сетевых пакетов, а также каким образом определять «неправильные» сетевые пакеты.
Фильтрация входящих
Фальсификация исходящего адреса и недопустимые адреса
Рассмотрим признаки, по которым можно однозначно судить о поддельности сетевого пакета, поступающего из Интернета, или о проблемах прикладного программного обеспечения. На основании этих признаков нужно будет задать соответствующие правила фильтрации, чтобы ваш брандмауэр, обнаружив такой «неправильный» исходящий адрес в пакете, мог запретить прохождение сетевого пакета.
• Если в заголовке сетевого пакета в качестве исходного адреса указан адрес вашего компьютера. В процессе сетевого обмена невозможна ситуация, при которой сетевой пакет, отправленный с вашего компьютера, вернулся бы через внешний интерфейс. Следовательно, такой сетевой пакет – поддельный.
• Если в качестве исходящего IP-адреса указан адрес, попадающий в зарезервированный диапазон адресов, предназначенных для внутреннего применения. Согласно правилам распределения IP-адресов, в каждом из классов IP-адресов А, В и С существуют группы IP-адресов, выделенных для организации внутренних локальных сетей. В Интернете эти адреса не используются. При правильной конфигурации программного обеспечения через внешний порт не может прийти пакет с адресом источника, попадающий в один из перечисленных ниже диапазонов:
– класс А – в диапазоне от 10.0.0.0 до 10.255.255.255;
– класс В – в диапазоне от 172.16.0.0 до 172.31.255.255;
– класс С – в диапазоне от 192.168.0.0 до 192.168.255.255.
• Если в качестве исходящего IP-адреса указан IP-адрес класса D, предназначенный для группового вещания. Адреса класса D, специально выделенные для организации группового вещания, находятся в диапазоне адресов от 224.0.0.0 до 239.255.255.255 и ни при каких обстоятельствах не могут выступать в качестве адреса источника.
• Если в качестве исходящего IP-адреса использован зарезервированный IP-адрес класса Е. Класс Е зарезервирован для будущего использования, ему принадлежат адреса в диапазоне от 240.0.0.0 до 247.255.255.255. Если брандмауэр встретит пакет с исходным адресом класса Е, он должен предпринять меры, необходимые для того, чтобы такой пакет не попал в локальную сеть.
• Если в качестве исходящего IP-адреса использован адрес, принадлежащий интерфейсу обратной петли. Интерфейс обратной петли предназначен для локального использования сетевыми службами. Как правило, для обращения к интерфейсу обратной петли используется адрес 127.0.0.1, а вообще за интерфейсом локальной сети зарезервирована целая подсеть 127.х.х.х. Адрес интерфейса обратной петли не может присутствовать в заголовке пакета, полученного через внешний сетевой интерфейс.
• Если в качестве исходящего IP-адреса использован некорректный широковещательный адрес. Широковещательный адрес – это специальный тип адреса, определяющий передачу сетевого пакета на все компьютеры в сети. В качестве исходного адреса при широковещательной передаче может выступать обычный IP-адрес или адрес 0.0.0.0.
Фильтрация на основе адреса источника
При фильтрации пакетов единственный способ идентификации отправителя сетевого пакета – проверка IP-адреса источника в заголовке
пакета. Одним из самых распространенных приемов при организации сетевых атак является фальсификация сетевых пакетов, при которой отправитель заменяет свой IP-адрес в заголовке сетевого пакета другим значением. Для подмены может быть выбран несуществующий или реальный IP-адрес, принадлежащий другому узлу.Блокирование ненадежных узлов
Еще одна схема фильтрации, основанная на анализе IP-адресов источников, – это блокирование доступа с компьютеров, IP-адреса которых попадают в определенный диапазон. Как правило, таким образом отсекаются «подозрительные» компьютеры и целые сети, в частности обычно это происходит с сетями различных учебных заведений или разнообразных интернет-клубов, поскольку именно там молодежь любит «пошалить» в сети.
Работа с ограниченным набором удаленных узлов
В том случае, если вы организуете корпоративную сеть, не исключено, что вам потребуется таким образом настроить брандмауэр, чтобы некоторые типы пакетов принимались только в том случае, если они были отправлены с компьютеров с определенными адресами. Например, для организации системы передачи приватной информации.
Фильтрация на основе адреса назначения
В большинстве случаев фильтрация на основе адреса назначения выполняется автоматически. Сетевой интерфейс игнорирует пакеты, не адресованные непосредственно ему. Исключением являются широковещательные пакеты, адресованные всем узлам сети.
Фильтрация на основе порта источника
Номер порта источника, содержащийся в заголовке пакета, предназначен для идентификации программы-отправителя сетевого пакета, выполняющейся на удаленном узле. В запросах удаленных клиентов к вашему серверу содержатся различные номера портов, а в ответах сервера клиентам – один и тот же порт.
Фильтрация на основе порта назначения
Порт назначения определяет программу на вашем компьютере, которой предназначен пакет. В запросах удаленных клиентов, передаваемых на сервер, содержится один и тот же порт назначения, а в ответах сервера клиентам – различные номера портов.
Фильтрация на основе информации о состоянии ТСР-соединения
В правилах обработки сетевых пакетов могут использоваться флаги, определяющие состояние ТСР-соединения, поскольку любое сетевое соединение проходит через определенные состояния. Состояния клиента и сервера различаются между собой.
В первом пакете, отправленном удаленным клиентом, установлен флаг SYN, а флаг АС К сброшен. Передача такого пакета является началом в установлении ТСР-соединения. Во всех последующих сетевых пакетах, предаваемых клиентом, установлен флаг АС К, а флаг SYN сброшен.
Пакеты, передаваемые удаленными серверами, всегда являются ответами на предыдущие обращения клиентов. В каждом пакете, поступившем от удаленного сервера, должен быть установлен флаг АСК, поскольку TCP-соединение никогда не устанавливается по инициативе сервера.
На основе анализа флагов можно отсеивать «неправильные» сетевые пакеты, которые могут являться признаком сетевой атаки.
Фильтрация исходящих пакетов
Фильтрация исходящих сетевых пакетов позволит исключить попадание в Интернет сетевых пакетов, передаваемых по локальной сети, а также избежать нежелательных обращений к серверам с узлов локальной сети. Источником таких обращений могут быть неверно сконфигурированные или вредоносные программы, запускаемые пользователями на их компьютерах.