Межсетевые экраны уровня соединения

Данные МЭ проверяют факт, что пакет является либо запросом на TCP соединение, либо представляет данные, относящиеся к уже установленному соединению, либо относится к виртуальному соединению между двумя транспортными уровнями.

Для проверки соединения МЭ исследует каждое установленное соединение (проверяя законное «распожатие» для используемого транспортного уровня — обычно TCP). Никакие пакеты не передаются до завершения рукопожатия. Для этого МЭ формирует таблицу действительных (установленных) соединений, которые включают в себя полную информацию о состоянии соединения и выполнения необходимой последоваетльности. Разрешается прохождение пакетов, информация в которых соответствует входу в таблицу виртуальных соединений. По окончании соответствующей вход в таблицу удаляется. Схема функционирования МЭ приведена ниже.

После установления соединения в соответствующей таблице обычно хранится следующая информация:

• 1) Идентификатор сеанса;
• 2) Состояние соединения;
• 3) Последовательная информация;
• 4) IP — адрес источника IP — адрес назначения;
• 5) Физический интерфейс, куда прибыл пакет;
• 6) Физический интерфейс, куда передается пакет;
• 7) Временные метки начала открытия сеанса и т. д.

При функционировании такого МЭ должно обеспечиватся минимальное количество проверок, что реализуется посредством построения ограниченной формы состояний соединений. Для обеспечения информации.

В данном случае также может использоваться NAT. Основные достоинства и недостатки данной технологии приведены в табл.3.2.

Расширенные списки доступа Cisco позволяют фильтровать IP — адреса источника и назначения, дают возможность использования вложенного в IP — протокола (TCP, UDP, ICMP, BGP, IGRP) и порта назначения. В случае использования ICMP фильтруется од и тип сообщения, а в случае установления соединении TCP — установка флагов ACK и RST.

Синтаксис расширенного списка управления доступом:

Access — list list-number {permit/deny} protocol source s — mask [operator s-port] destination d-mask [operator d-port] [precedents значения [tos значение] [established] [log/log — input].

Расширенный список доступа должен иметь номер из диапазона 100…199 или имя.

Если списку присваивается имя, то это задается специальной командой (IP Access — list extended). В качестве протокола можно указывать как сокращение протокола, так и номер протокола, в соответствие с номером указываемым в заголовке IP — пакета. ключевое слово IP в поле протокола означает все протоколы. Слово s — mask означает маску адреса источника, а d-mask — назначения. Слово operator применимо только для порта назначения (d-port). Допустимыми значениями поля operator являются:

• 1) It (less than) — меньше чем;
• 2) Gt (great than) — больше чем;
• 3) Aq (equal to) — равно;
• 4) Neq (not equal to) — не равно;
• 5) Ranqe — диапозон

Списки контроля доступа разрешают вместо номеров портов использовать сокращения наименований служб, использующих эти порты. После precedence b.

Используется для фильтрации по уровням приоритетов (от 0 до 7), поле tos — для фильтрации типа обслуживания (от 0 до 15). Поле est применяется только к протоколу TCP/ поле log указывает на регистрацию события, когда пакет удовлетворяет условиям списка доступа. Указание log — input добавляет к заданиям имя интерфейса, где получен соответствующий пакет.

Приведем примеры правил расширенного списка доступа и комментарии к ним:

Access — list 141 permit icmp host 192.168.10.68 10.10.10.0.0.255.255.255.

!разрешение хосту 192.168.10.68 посылать сообщения ICMP.

!любому хосту сети 10.10.10.0.0.

Access — list 141 permit icmp host 192.168.10.69.eq 734 10.10.10.0.0.255.255.255 range 10 000 10 010.

! разрешение хосту 192.168.10.69 инициировать сеансы TCP.

! с порта 734 на любой порт в диапозоне с 10 000 до 10 010.

!с любым хостом сети 10.10.10.0.

Access — list 141 permit icmp host 192.168.10.90 10.10.10.0 255.255.255.255 eq ftp.

!разрешние хосту 192.168.10.90 посылать файлы через TETR.

! (UDP порт 69) любому хосту сети 10.10.10.0.

Расширенные списки управления доступом анализирует каждый пакет индивидуально и не имеют возможности определения того, что пакет является частью сеанса более высоких уровней.

Для соединения TCP используется ключевое слово est. При этом контролируется заголовок TCP на наличие флагов ASK и RST, но не проверяется то, что пакет действительно является частью установленного соединения. Поэтому расширенные списки доступа не защищает от поддельных пакетов TCP и не дают возможности фильтровать сеансы UDP.