2015-03-20
400
Для соединения нескольких сетей в единую приходится применять специальные приемы. Например необходимо организовать совместную работу локальных сетей расположенных в разных городах. Причем большинство трафика в каждой из сетей адресовано локальным компьютерам, однако существует необходимость обмена и с другой сетью. Лучше всего снабдить каждую из сетей маршрутизатором, имеющий выход на другую сеть. Тогда только пакеты адресованные в другую сеть будут туда доставляться. Физический канал связи двух сетей может оказаться более медленным чем каналы, используемые внутри каждой из сетей, однако за счет не значительного (по сравнению с внутренним) трафика этого вполне достаточно. Если в качестве канала используется выделенная линия то меры безопасности можно ограничить невозможностью подключения к линии на физическом уровне. Если же для передачи пакетов между сетями используется Интернет (как транспортная среда) то придётся принимать специальные меры по защите информации. Маршрутизаторы выполняющие непосредственное подключение к Интернет обычно фильтруют входящий и исходящий потоки в соответствии с установленными правилами, а так же скрывают внутреннее устройство сети от посторонних, выполняя преобразование NAT (Network Translate Address). В случае когда заранее известны все используемые протоколы и порты можно назвать идеальным. Тогда достаточно определить все разрешенные протоколы и порты и уничтожать все остальное. В случае если заранее не возможно описать всех функций которые могут потребоваться приходится постоянно вести наблюдение за сетью и исправлять возникающие проблемы. Так чрезмерные препоны могут привести к блокировке сети или отдельных её частей.
Рассмотрим подробнее суть работы таких защитных функций маршрутизаторов как NAT, и фильтрация.
Пакетный фильтр проверят пакет и убеждается, что он передается допустимому порту. Содержимое пакета при этом не проверяется. За счет этого достигается большее быстродействие при фильтрации. Маршрутизатор может использовать как входные так и выходные фильтры.
Трансляция адресов это процесс замены как правило фиктивного адреса на реальный адрес Интернет. Специальные диапазоны адресов в адресном пространстве Интернет выделены для свободного использования. А именно сети 10.0.0.0, 172.16.0.0. 192.168.0.0. являются таковыми. Следовательно если пакет из такой сети будет передан непосредственно в Интернет, то он будет уничтожен первым же маршрутизатором встретившимся на пути пакета. Для избежания такой ситуации и с целью экономии адресного пространства Интернет применяю методику трансляции адресов. Маршрутизатор выполняющий трансляцию имеет два интерфейса один с реальным адресом Интернет, второй с фиктивным адресом. Пакет из внутренней сети поступает на маршрутизатор, маршрутизатор заменяет фиктивный адрес отправителя на реальный адрес и отправляет во внешнюю сеть. Одновременно запоминая в специальной таблице фиктивный адрес и номер порта с которого пришел запрос и на какой адрес и номер порта отправлен запрос и порт присвоенный при трансляции. При получении датаграммы из внешней сети сравниваются порт и адрес получателя и если в таблице имеется запись то в пакете вновь подменяется адрес получателя на фиктивный и направляется во внутреннею сеть. Все записи в таблице NAT имеют свой срок жизни если в течении определенного времени не поступит ответ на заданный адрес, то запись будет удалена из таблицы. Следовательно даже при поступлении опоздавшего пакета он будет уничтожен. Недостатком обоих методов такой защиты сети является невозможность анализировать содержимое пакетов.
