Metody filtrowania ruchu

Ochrona ośrodka webowego

Zabezpieczenia sieci powinny tworzyć spójny i szczelny system. W tym systemie istotną rolę odgrywają elementy przełączające i rozdzielające strefy dystrybucji pakietów. Te strefy powinny być starannie zaplanowane na podstawie identyfikacji czułych miejsc w sieci i analizy ryzyka. Istotne znaczenie mają zlokalizowane na granicach stref urządzenia filtrujące pakiety: przepuszczające tylko takie pakiety, które spełniają zadane reguły.

Najprostszymi filtrami są urządzenia przełączające sieci (przełączniki, rutery), na granicach sieci zaś lokalizuje się zapory ogniowe (firewalls) realizujące dokładniejszy proces badania przesyłanej informacji, według złożonych reguł analizy w różnych warstwach modelu sieciowego ISO/OSI. Badanie może uwzględniać historię strumienia pakietów (statefull inspection). Filtry pakietów są bardzo skuteczne, pod warunkiem starannego doboru reguł. Zapory ogniowe mogą być jednak przenikane za pomocą tuneli kryptograficznych. Jeżeli dwa komputery po różnych stronach zapory ustanowią połączenie szyfrowane – w ramach VPN (Virtual Private Network) lub SSL (Secure Socket Layer) – to znaczna część reguł analizy pakietów straci sens.

Nieużyteczne staną się wszystkie te reguły, które odnoszą się do warstw sieciowych wyższych niż warstwa, na której odbywa się szyfrowanie pakietów. Zwykle tunelowanie osiąga się szyfrując pakiety IP, ale nawet szyfrowanie przesyłek pocztowych może osłabić ochronę antywirusową. Zapory sieciowe stanowią ochronę przed napastnikami atakującymi z zewnątrz (spoza zapory). W szczególności w połączeniu z translacją adresów praktycznie uniemożliwiają bezpośredni atak na którykolwiek z komputerów poza zaporą. Pozostaje co prawda możliwość wprowadzenia do wnętrza sieci konia trojańskiego, ale bez możliwości kontaktu z nim w przyszłości z komputera spoza sieci lokalnej.

Dla zapewnienia podstawowej kontroli ruchu w ośrodkach webowych można używać technik filtracji pakietów na ruterach IP, ale działania te często obniżają znacznie wydajność tych ruterów do poziomu, który zazwyczaj jest nie do przyjęcia, i w związku z tym nie zdają egzaminu w eliminacji wielu powszechnych ataków typu DoS.

Tradycyjne zapory ogniowe mogą działać jako punkty graniczne dla adresów IP, używając techniki NAT (Network Address Translation), zabezpieczającej przed atakami DoS metodą ograniczania ruchu do specyficznych portów IP lub pochodzącego od specyficznych adresów sieciowych. Jednak takie systemy były projektowane pod kątem ograniczenia wejść do systemów, co stoi w „ideologicznej” sprzeczności z powszechnością dostępu w Internecie.

Poza tym tradycyjne zapory ogniowe nie są w wystarczający sposób skalowalne w stosunku do ruchu, jakim charakteryzują się współczesne środowiska webowe. W tej sytuacji potrzebne są rozwiązania zapewniające ochronę ośrodka webowego oraz pomocniczy system ochrony „drugiej linii”, zapewniający odpowiedni poziom ochrony bez obniżania wydajności i skalowalności usług ośrodka.

Ochronę ośrodka webowego można zapewnić na poziomie przełączników sieciowych, których zadania to:

• Zapobieganie atakom DoS przez sprawdzanie inicjacji każdej sesji i eliminowanie ataków DoS poziomu sieciowego.
• Świadczenie usług zapory ogniowej w zakresie filtracji adresów IP, portów TCP, typów plików oraz pełnych adresów URL.
• Translacja adresów sieciowych – funkcje NAT „zaszyte” na przełącznikach efektywnie przykrywają rzeczywiste adresy IP węzłów zlokalizowanych wewnątrz sieci – poza przełącznikami, takimi jak serwery webowe i bufory webowe, eliminujące w ten sposób możliwość ataku hakerów bezpośrednio przy użyciu adresów IP.

Ochrona „drugiej linii” to między innymi wewnętrzne zapory ogniowe realizujące pełniejszy zakres ochrony dla ruchu pochodzącego z Internetu lub ochrony wewnętrznych systemów czy sieci o strategicznym znaczeniu dla ośrodka. W celu rozładowania ruchu przełączniki z pierwszej linii ochrony mogą rozpraszać ruch na szereg wewnętrznych zapór ogniowych, zwiększając w ten sposób ich sumaryczną przepustowość.

Generalną zasadą powinno być odrzucanie przez przełącznik sieciowy wszystkich ramek pakietów wykazujących odchylenia od normy, takie jak:

• za mała długość ramki,
• adres źródłowy IP taki sam jak adres przeznaczenia
• adres źródłowy jest jednym z adresów używanych w sieci odbierającej itp.

Każdy ruch, inicjowany przez więcej niż 8 pakietów SYN, powinien być kończony przez zablokowanie przetwarzania pakietów SYN pochodzących z tego samego źródła i mających te same początkowe numery sekwencyjny oraz te same adresy źródła i przeznaczenia. Eliminuje to ataki DoS oparte na pakietach SYN.

Translacja adresów (NAT) polega na przykrywaniu adresów IP wszystkich urządzeń wewnątrz sieci (poza przełącznikiem), co pozwala na używanie nie limitowanych, prywatnych adresów IP, odwzorowywanych w jeden lub kilka zewnętrznych, wirtualnych adresów IP (VIP), opartych na przydzielonych globalnych adresach IP.

Technika NAT ma również duże znaczenie w zarządzaniu własnymi adresami IP, ogranicza bowiem konieczność rezerwacji dodatkowych adresów globalnych w przypadku rozszerzania sieci. NAT opiera się na standardach przemysłowych, opisanych w RFC 1631.

Zapory ogniowe pierwszej linii mogą filtrować ruch na podstawie adresu źródłowego IP, adresu docelowego IP, URL, typu przenoszonego pliku. Reguły blokowania ruchu na zaporze ogniowej pierwszej linii powinny uniemożliwiać przekazywanie określonej zawartości do serwerów lub buforów podręcznych.

Zapory ogniowe drugiej linii chronią zazwyczaj bezpośrednio serwery webowe, serwery zaplecza baz danych i aplikacyjne. Są to zapory typu statefull inspection, filtrujące ruch na podstawie historii przepływu pakietów.