9. Интеграция модулей межсетевого экрана
В этой главе показано, как взаимодействуют между собой три главных модуля
межсетевого экрана Aker: пакетный фильтр, транслятор сетевых адресов и
модуль криптографии и аутентификации. Показано также, как происходит движение
пакетов от момента их получения межсетевым экраном до момента решения основного
вопроса об их приеме или отказе в приеме.
9.1 Движение пакетов в межсетевом экране Aker
В предыдущих главах этого руководства были разобраны по отдельности три
главных модуля межсетевого экрана Aker со всеми деталями, относящимися
к их настройке. Теперь будет показано, как пакеты проходят через эти модули
и каким изменениям они могут подвергнуться в каждом из них.
По сути дела, существуют два различных потока: один для пакетов, которые
генерируются во внутренней сети и имеют в качестве пункта назначения внешний
хост (выходящий поток), и другой, для пакетов, которые генерируются во
внешней сети и имеют в качестве пункта назначения хост внутренней сети
(входящий поток).
Поток изнутри наружу
Когда какой-либо пакет из внутренней сети достигает межсетевого экрана,
он проходит через его модули в следующей последовательности: модуль сборки,
пакетный фильтр, транслятор сетевых адресов и криптографический модуль.
Этот модуль отвечает за хранение всех фрагментов полученных
IP пакетов до их сборки в полный пакет. Затем эти пакеты будут переданы
в другие модули.
Основная функция пакетного фильтра состоит в том, чтобы проверить
правильность пакета в соответствии с правилами, определенными администратором
и таблице состояния и принять решение, можно ли пропустить пакет через
межсетевой экран. Если решение будет положительным, пакет будет передан
другим модулям; в противном случае пакет будет отброшен и поток оборвется.
- Транслятор сетевых адресов
Транслятор сетевых адресов получает авторизованный пакет и
проверяет по своим таблицам необходимость замены адреса источника. В случае
положительного ответа он преобразует адрес, в случае же отрицательного
- пакет не претерпевает никаких изменений.
После этого пакет будет передан криптографическому модулю.
Этот модуль получает пакет с преобразованным адресом и решает
в соответствии со своей конфигурацией, следует ли производить шифрование
или аутентификацию пакета перед его отправкой в пункт назначения. При положительном
решении будет проведена аутентификация пакета, он будет зашифрован и к
нему будут добавлены некоторые специальные заголовки.
Наконец, пакет будет отправлен в сеть.
Поток снаружи внутрь
Когда пакет, приходящий из внешней сети во внутреннюю, достигает межсетевого
экрана, он проходит через его модули в следующем порядке: модуль сборки,
криптографический модуль, транслятор сетевых адресов и пакетный фильтр.
Этот модуль отвечает за хранение всех фрагментов полученных
IP пакетов до их сборки в полный пакет. Затем эти пакеты будут переданы
в другие модули.
Этот модуль удаляет добавленные заголовки пакета и проверяет
его аутентификационную подпись и расшифровывает его. Если в аутентификации
или расшифровке были выявлены ошибки, пакет будет отброшен.
Другой функцией этого модуля является следующая процедура:
он должен убедиться, что все пакеты, прибывающие от сети, связанной с межсетевым
экраном защищенным каналом, приходят зашифрованными. В случае, когда пакет
приходит от сети, с которой установлен защищенный канал с аутентификацией
и шифрованием, и в нем не проведена аутентификация или шифрование, такой
пакет будет отброшен.
Если все действия прошли успешно, пакет передается транслятору
сетевых адресов.
- Транслятор сетевых адресов
Транслятор сетевых адресов получает пакет и проверяет,
не является ли адрес назначения этого пакета одним из виртуальных IP адресов.
При положительном ответе этот адрес транслируется в реальный адрес.
Наконец, пакет попадает в пакетный фильтр.
Пакетный фильтр - это последний модуль на пути движения пакета
с внешней стороны во внутреннюю. Основная функция этого модуля состоит
в проверке правильности полученных пакетов в соответствии с правилами,
определенными администратором и своей таблицей состояний, а также в решении
вопроса, следует ли санкционировать пакеты в трафик, проходящий через межсетевой
экран. Если пакету разрешается пройти, межсетевой экран отправляет его
в хост назначения, в противном же случае он сбрасывается.
9.2 Интеграция фильтра и механизма трансляции сетевых адресов
При настройке правил фильтрации для хостов, адреса которых преобразуются
в соответствии с настройками NAT, могут возникнуть сомнения по поводу того,
реальные или виртуальные адреса хостов следует использовать?
На этот вопрос можно легко ответить, если проанализировать движение
пакетов:
- При движении из внутренней области во внешнюю пакеты сначала проходят через
фильтр, а затем только преобразуются их адреса (если нужно); это означает,
что фильтр получает реальные адреса хостов.
- При движении из внешней области во внутреннюю пакеты сначала проходят через
транслятор сетевых адресов, который преобразует адреса назначения из виртуальных
IP адресов в реальные. После этого пакеты передаются пакетному фильтру;
это значит, что пакетный фильтр снова получает пакеты с реальными адресами.
В обоих случаях фильтр не подозревает о существовании виртуальных адресов;
отсюда вытекает следующее утверждение:
!
Создавая правила фильтрации, не нужно обращать внимание на преобразование
сетевых адресов. Правила должны описываться так, как если бы хосты источника
и назначения прямо связывались между собой, не используя преобразования
сетевых адресов.
9.3 Интеграция фильтра с трансляцией сетевых адресов и
с криптографией
В предыдущем разделе мы показали, как настраивать правила фильтрации, если
задействован механизм трансляции адресов. Вывод состоял в том, что вам
надо работать только с реальными адресами, пренебрегая преобразованием
адресов. Теперь возникает еще один вопрос: при настройке защищенных каналов
для хостов, адреса которых преобразуются, должны использоваться их реальные
или виртуальные адреса?
Чтобы ответить на этот вопрос, снова проанализируем движение пакета:
- При движении из внутренней области во внешнюю пакеты сначала проходят через
фильтр, затем подвергаются преобразованию адресов (при необходимости),
и, наконец, попадают в криптографический модуль. Поэтому последний
получает пакеты с виртуальными адресами.
- При движении из внешней области во внутреннюю пакеты сначала расшифровываются
(при необходимости). Затем они проходят через модуль трансляции адресов,
который преобразует виртуальные адреса в реальные, и, наконец, попадают
в пакетный фильтр. Криптографический модуль получает пакеты перед преобразованием
их адресов и, следовательно, имеет дело с виртуальными адресами.
В обоих случаях криптографический модуль получает пакеты, как будто они
первоначально имели виртуальные адреса и для источника, и для назначения.
Это приводит к следующему утверждению:
!
При создании защищенных каналов вы должны учитывать трансляцию сетевых
адресов. Для адресов источника и назначения должны устанавливаться их виртуальные
IP адреса.
Назад | Содержание | Вперед