В этой главе показано, как взаимодействуют между собой три
главных модуля межсетевого экрана Aker: пакетный фильтр, транслятор сетевых
адресов и модуль криптографии и аутентификации. Показано также, как происходит
движение пакетов от момента их получения межсетевым экраном до момента решения
основного вопроса об их приеме или отказе в приеме.
9.1 Движение пакетов в межсетевом экране AkerВ
предыдущих главах этого руководства были разобраны по отдельности три главных
модуля межсетевого экрана Aker со всеми деталями, относящимися к их настройке.
Теперь будет показано, как пакеты проходят через эти модули и каким изменениям
они могут подвергнуться в каждом из них.
По сути дела, существуют два различных потока: один для
пакетов, которые генерируются во внутренней сети и имеют в качестве пункта
назначения внешний хост (выходящий поток), и другой, для пакетов, которые
генерируются во внешней сети и имеют в качестве пункта назначения хост
внутренней сети (входящий поток).
Поток изнутри наружуКогда какой-либо пакет из внутренней сети достигает
межсетевого экрана, он проходит через его модули в следующей последовательности:
модуль сборки, пакетный фильтр, транслятор сетевых адресов и криптографический
модуль.
Этот модуль отвечает за хранение всех фрагментов полученных IP
пакетов до их сборки в полный пакет. Затем эти пакеты будут переданы в другие
модули.
Основная функция пакетного фильтра состоит в том, чтобы
проверить правильность пакета в соответствии с правилами, определенными
администратором и таблице состояния и принять решение, можно ли пропустить пакет
через межсетевой экран. Если решение будет положительным, пакет будет передан
другим модулям; в противном случае пакет будет отброшен и поток оборвется.
- Транслятор сетевых адресов
Транслятор сетевых адресов получает авторизованный пакет и
проверяет по своим таблицам необходимость замены адреса источника. В случае
положительного ответа он преобразует адрес, в случае же отрицательного - пакет
не претерпевает никаких изменений.
После этого пакет будет передан криптографическому модулю.
Этот модуль получает пакет с преобразованным адресом и решает в
соответствии со своей конфигурацией, следует ли производить шифрование или
аутентификацию пакета перед его отправкой в пункт назначения. При положительном
решении будет проведена аутентификация пакета, он будет зашифрован и к нему
будут добавлены некоторые специальные заголовки.
Наконец, пакет будет отправлен в сеть.
Поток снаружи внутрьКогда пакет, приходящий из внешней сети во
внутреннюю, достигает межсетевого экрана, он проходит через его модули в
следующем порядке: модуль сборки, криптографический модуль, транслятор сетевых
адресов и пакетный фильтр.
Этот модуль отвечает за хранение всех фрагментов полученных IP
пакетов до их сборки в полный пакет. Затем эти пакеты будут переданы в другие
модули.
Этот модуль удаляет добавленные заголовки пакета и проверяет
его аутентификационную подпись и расшифровывает его. Если в аутентификации или
расшифровке были выявлены ошибки, пакет будет отброшен.
Другой функцией этого модуля является следующая процедура: он
должен убедиться, что все пакеты, прибывающие от сети, связанной с межсетевым
экраном защищенным каналом, приходят зашифрованными. В случае, когда пакет
приходит от сети, с которой установлен защищенный канал с аутентификацией и
шифрованием, и в нем не проведена аутентификация или шифрование, такой пакет
будет отброшен.
Если все действия прошли успешно, пакет передается транслятору
сетевых адресов.
- Транслятор сетевых адресов
Транслятор сетевых адресов получает пакет и проверяет, не
является ли адрес назначения этого пакета одним из виртуальных IP адресов. При
положительном ответе этот адрес транслируется в реальный адрес.
Наконец, пакет попадает в пакетный фильтр.
Пакетный фильтр - это последний модуль на пути движения пакета
с внешней стороны во внутреннюю. Основная функция этого модуля состоит в
проверке правильности полученных пакетов в соответствии с правилами,
определенными администратором и своей таблицей состояний, а также в решении
вопроса, следует ли санкционировать пакеты в трафик, проходящий через межсетевой
экран. Если пакету разрешается пройти, межсетевой экран отправляет его в хост
назначения, в противном же случае он сбрасывается.
9.2 Интеграция фильтра и механизма трансляции сетевых
адресовПри настройке правил фильтрации для хостов, адреса которых
преобразуются в соответствии с настройками NAT, могут возникнуть сомнения по
поводу того, реальные или виртуальные адреса хостов следует использовать?
На этот вопрос можно легко ответить, если проанализировать
движение пакетов:
- При движении из внутренней области во внешнюю пакеты сначала проходят через
фильтр, а затем только преобразуются их адреса (если нужно); это означает, что
фильтр получает реальные адреса хостов.
- При движении из внешней области во внутреннюю пакеты сначала проходят через
транслятор сетевых адресов, который преобразует адреса назначения из виртуальных
IP адресов в реальные. После этого пакеты передаются пакетному фильтру; это
значит, что пакетный фильтр снова получает пакеты с реальными адресами.
В обоих случаях фильтр не подозревает о существовании виртуальных
адресов; отсюда вытекает следующее утверждение:
! Создавая правила фильтрации, не
нужно обращать внимание на преобразование сетевых адресов. Правила должны
описываться так, как если бы хосты источника и назначения прямо связывались
между собой, не используя преобразования сетевых адресов.
9.3 Интеграция фильтра с трансляцией сетевых адресов и с
криптографиейВ предыдущем разделе мы показали, как настраивать правила
фильтрации, если задействован механизм трансляции адресов. Вывод состоял в том,
что вам надо работать только с реальными адресами, пренебрегая преобразованием
адресов. Теперь возникает еще один вопрос: при настройке защищенных каналов для
хостов, адреса которых преобразуются, должны использоваться их реальные или
виртуальные адреса?
Чтобы ответить на этот вопрос, снова проанализируем движение
пакета:
- При движении из внутренней области во внешнюю пакеты сначала проходят через
фильтр, затем подвергаются преобразованию адресов (при необходимости), и,
наконец, попадают в криптографический модуль. Поэтому последний получает
пакеты с виртуальными адресами.
- При движении из внешней области во внутреннюю пакеты сначала
расшифровываются (при необходимости). Затем они проходят через модуль трансляции
адресов, который преобразует виртуальные адреса в реальные, и, наконец, попадают
в пакетный фильтр. Криптографический модуль получает пакеты перед
преобразованием их адресов и, следовательно, имеет дело с виртуальными адресами.
В обоих случаях криптографический модуль получает пакеты, как будто
они первоначально имели виртуальные адреса и для источника, и для назначения.
Это приводит к следующему утверждению:
! При создании защищенных каналов
вы должны учитывать трансляцию сетевых адресов. Для адресов источника и
назначения должны устанавливаться их виртуальные IP адреса.
|