Межсетевой экран Aker
Создание правил фильтрации в простом пакетном фильтре - часть 2
Ее можно использовать как дополнительный параметр фильтрации.
Например, сервисы в протоколе TCP всегда связаны с портом (за дальнейшей информацией обращайтесь к главе Регистрация объектов). В результате можно привести в соответствие список портов с адресами.
Воспользуемся для примера двумя хорошо знакомыми сервисами, POP3 и HTTP. POP3 использует порт 110, а HTTP - порт 80. Следовательно, мы можем добавить эти порты в описание правила. В результате получим: 10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0 TCP 80 110 ------- Источник ------ ----- Назначение -------- Протокол-- --Порты--
Это правило разрешает каждому пакету, следующему от сети 10.1.x.x к сети 10.2.x.x и использующему сервисы HTTP и POP3, проходить через межсетевой экран.
Сначала адреса из правила сравниваются с адресами пакета. Если после наложения маски оба адреса совпадают, протокол и порт назначения в пакете будут сравниваться с протоколом и списком портов, описанных в правиле. Если протокол совпадает, а порт в правиле одинаков с портом пакета, то такой пакет удовлетворяет правилу. В противном случае поиск будет продолжен в списке правил.
С учетом этой новой информации набор правил будет иметь следующий формат: 10.1.1.2 & 255.255.255.255 -> 10.2.0.0 & 255.255.0.0 UDP 53 10.3.3.2 & 255.255.255.255 -> 10.1.2.1 & 255.255.255.255 TCP 80 10.1.1.0 & 255.0.0.0 -> 10.2.3.0 & 255.255.255.0 TCP 21 20 113 10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0 ICMP 0 8
Кроме этих основных параметров фильтрации можно добавить еще несколько. Одним из них является сетевой интерфейс источника; используя имя сетевого интерфейса в качестве параметра фильтрации можно разрешить прохождение пакетов с определенными адресами только от заданного интерфейса
Цель такой процедуры состоит в блокировании атаки, известной как IP спуфинг, суть которой состоит в том, что во внутреннюю сеть посылается пакет с фальшивым адресом источника ( из внутренней сети).При использовании в качестве параметра имени сетевого интерфейса можно легко блокировать этот вид атаки. Например, если внутренняя сеть взаимодействует с межсетевым экраном через интерфейс de0, то необходимо лишь установить в правилах, что пакеты с адресом источника из внутренней сети следует принимать, только если они пришли от данного интерфейса; во всех других случаях они будут отбрасываться.
С учетом нового параметра взятое для примера правило будет иметь следующий формат:
10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0 <ep0> TCP 80 110 ------- Источник --------- Назначение ----- -Интерф- -Протокол- --Порты--
Это правило устанавливает, что будут приниматься TCP пакеты от хостов из сети 10.1.0.0 к хостам из сети 10.2.0.0, приходящие от интерфейса ep0 и относящиеся к HTTP сервису (порт 80) или POP3 (порт 110).
