Принимает решение о том, передавать по сети поступивший пакет IP данных или не передавать. Обычно маршрутизатор настраивается таким обр. чтобы фильтровать пакеты в обоих направлениях. Правило фильтрования основывается на значениях полей заголовков IP, заголовка транспортного уровня, а также номера порта. Пакетный фильтр обычно представлен в виде списка правил списка иск-щих значения полей заголовка IP или ТСР.
Если обнаружится соответствие одному из правил, то это правило служит критерием для принятия решения о передаче пакета дальше. В отсутствии соответствия любому из правил выполняется операция предусмотренная для использования по умолчанию. Для этого имеются 2 следующие возможности:
Default=discord –все что не разрешено, запрещено.
Default=forward –все, что не запрещено, разрешено.
Очевидно, что первая пометка соответствует более консервативному подходу. Изначально все оказывается запрещенным добавление конкретных служб осуществляется в отдельности. Вторая пометка облегчает работу конечных пользователей, но зато обеспечивает более низкий уровень защиты.
Одно из достоинств фильтрующего маршрутизатора, связано с его простатой. Кроме этого пакетные фильтры остаются незаметными для пользователей для пользователей для пользователей и обеспечивают высокую скорость работы.
Основными недостатками являются сложность правильного выбора правил фильтрации и отсутствие средств аутентификации.
Остановимся на анализе типов атак, которые могут предприниматься для нарушения системы защиты фильтрующего маршрутизатора, а также приведем контрмеры:
4) Подмена IP адреса. При этом нарушитель передает извне пакеты, в которых поле отправителя содержит IP адрес внутреннего узла сети. Нарушитель надеется, что использование такого адреса дает возможность проникнуть в системы в которых пропускаются пакеты с адресами внутренних узлов, считающихся надежными. Контрмеры являются отторжением пакетов с внутр. адресами источника, поступивших извне.
5) Использование маршрутизации от источника. Отправитель указывает маршрут по которому пакет должен пересылаться по интернету в надежде на то, что удастся обойти средства защиты, не анализирующие инф-ию о марш-ции, задаваемую отправителем. Контрмерой явл. запрет прохождения всех пакетов, использующих данную возможность.
6) Разделение на мелкие фрагменты. При этом нарушитель исп-ет опцию фрагментации IP пакетов для создания фрагментов исключительно малой длинны, чтобы инф-ия заголовка ТСР попала в отдельный фрагмент. Этот тип атаки пытается обойти правила фильтр-ии пакетов, исп-их инф-ию заголовка ТСР. При этом нарушитель надеется что фильтрующим маршрутизатором будет просмотрен только первый пакет, а остальные фрагменты будут пропущены. Контрмерой является отторжение всех пакетов в которых указан протокол ТСР.
Опишите шлюз уровня приложений.
часто называемый прокси-сервером, работает как ретранслятор данных уровня приложений. Пользователь связывается с таким шлюзом с помощью построенного на основе TCP/IP приложения, такого как FTP или TELNET. Шлюз запрашивает у пользователя к кому необходимо получить доступ. Если пользователь отвечает на этот вопрос, при этом сообщает правильный идентификатор пользователя и информацию необходимую для аутентификации, то шлюз связывается с соответствующим приложении на удаленном узле и ретранслирует сегмент TCP, содержащий данные приложения.
В общем случае, шлюзы уровня приложения обеспечивают более надежную защиту, чем фильтры пакетов. Вместо того чтобы проверять разрешения и запреты на уровне TCP и IP, шлюз уровня приложений обеспечивает работу лишь ограниченного числа приложений. Основным недостатком шлюзов данного типа является нагрузка на процессор, т.к. при соединении с конечным пользователем устанавливается 2 потока и каждый из которых необходимо ретранслировать.