Максимальная пропускная способность.

 

Недостатки у простой фильтрации пакетов следующие:

· локальная сеть видна (маршрутизируется) из сети Интернет;

· не учитывается содержимое IP-пакетов;

· правила фильтрации пакетов трудны в описании;

· при нарушении работоспособности МЭ все компьютеры за ним становятся полностью незащищенными либо недоступными;

· аутентификацию с использованием IP-адреса (внешней сети) можно обмануть подменой адреса;

Отсутствует аутентификация на пользовательском уровне.

Сервера уровня соединения

Сервер уровня соединения представляет из себя транслятор TCP соединения. Пользователь образует соединение с определенным портом на брандмауэре, после чего последний производит соединение с местом назначения по другую сторону от брандмауэра. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как посредник. Посредничество заключается в том, что связь между двумя компьютерами физически осуществляется через систему-посредника и реально состоит из двух TCP-соединений.

Следует отметить, что компьютер-инициатор не передает МЭ имя компьютера-адресата - его IP-адрес и номер TCP-порта фиксированы для конкретного МЭ и известны. Из этого замечания следует, что, во-первых, связь через МЭ осуществляется от многих к одному, а, во-вторых, МЭ уровня соединения используются только для организации безопасного соединения от внешних компьютеров (удаленных рабочих станций) к внутреннему компьютеру (серверу поддержки локальной сети или информационному серверу). Тем не менее, возможен случай, когда компьютеров-адресатов будет несколько. При этом МЭ, поддерживающий этот случай, перед установлением связи с адресатом должен выбрать конкретный компьютер из нескольких идентичных.

Под безопасностью связи подразумевается то, что после установления связи факт ее существования уже запротоколирован и проведена аутентификация компьютера-инициатора связи. Протоколирование факта означает не только возможность в дальнейшем выследить злоумышленника, но и возможность обнаружения атаки в реальном масштабе времени. Под аутентификацией компьютера-инициатора понимаются действия, предпринимаемые МЭ при проверке допустимости связи.

Проверка допустимости связи выполняется МЭ непосредственно после запроса на соединение компьютером-инициатором и может основываться на данных из пакета-запроса на соединение, данных окружающей среды и статистических данных. В качестве данных пакета-запроса на соединение могут использоваться:

· IP-адрес компьютера-инициатора,

· начальный номер (SYN) пакета TCP-соединения,

· дополнительные параметры TCP-соединения.

 

Возможными используемыми данными окружающей среды являются:

· ответ DNS-сервера на запрос о символьном имени компьютера-инициатора,

· сетевой интерфейс контроля,

· текущее время запроса соединения,

· текущее количество соединений с компьютером-адресатом (от компьютера-инициатора, от сети компьютера-инициатора, общее число и т.п.) через МЭ.

Наиболее важными из перечисленных выше являются IP-адрес компьютера-инициатора и ответ DNS-сервера, содержащий символьное имя (если таковое имеется) компьютера-инициатора, и текущее время запроса соединения. Следует отметить, что при передаче данных соединения возможен контроль некоторых параметров в целях улучшения защиты и качества соединения:

· длительность соединения,

· скорость передачи данных,

· текущие параметры окна TCP-соединения, и

· большое количество ошибок передачи данных.

Контролирование этих параметров позволяет правильно распределить пропускную способность канала связи между несколькими соединениями, тем самым, ограничив максимально возможную загрузку линий связи трафиком злоумышленника, а также позволяет вовремя обнаружить деятельность злоумышленника и закрыть (т.е. завершить по инициативе посредника) данное соединение (с протоколированием причины и уведомлением об этом администратора).

Метод задания политики фильтрации и принцип функционирования части устройства, реализующей определение допустимости соединения аналогичен вышеописанному.

К преимуществам МЭ уровня соединения следует отнести следующие:

· локальная сеть может быть сделана невидимой из глобальной сети;

· наличие (элементарной) аутентификации компьютера-инициатора соединения по его символьному имени;

· использование политики "запрещено все, что не разрешено";

· способность гибкого регулирования (ограничения) пропускной способности;

· возможность эффективного противостояния атакам с неправильной фрагментацией пакетов соединения;

· возможность противостояния атакам с использованием протокола ICMP;

· возможность использования статистической информации о соединениях для определения неоднократных попыток соединения злоумышленником и автоматического блокирования его действий.

Недостатками МЭ этого типа являются:

· отсутствие аутентификации пользователя;

· нет защиты целостности и конфиденциальности передаваемых данных;

· возможность подмены злоумышленником IP-адреса компьютера-инициатора;

· возможность подмены во время связи аутентифицированного компьютера-инициатора;

· невозможность использования протокола UDP.