Postoji nekoliko vrsta vatrozida, ovisno o sljedećim karakteristikama:

osigurava li štit vezu između jednog čvora i mreže, ili između dvije ili više različitih mreža;

prati li se tijek podataka uključen mrežni sloj ili viši slojevi OSI modela;

prate li se stanja aktivnih veza ili ne.

Ovisno o pokrivenosti praćenih tokova podataka, vatrozidi se dijele na:

tradicionalni vatrozid (ili vatrozid) - program (ili sastavni dio operativnog sustava) na pristupniku (uređaj koji prenosi promet između mreža) ili hardversko rješenje koje kontrolira dolazne i odlazne tokove podataka između povezanih mreža (distribuiranih mrežnih objekata) ;

osobni vatrozid je program instaliran na korisničkom računalu i dizajniran da zaštiti samo ovo računalo od neovlaštenog pristupa.

Ovisno o OSI sloju na kojem se odvija kontrola pristupa, vatrozidi mogu raditi na:

mrežni sloj kada se filtriranje temelji na adresama pošiljatelja i primatelja paketa, brojevima portova transportnog sloja OSI modela i statičkim pravilima koje postavlja administrator;

razini sesije(također poznat kao državotvoran) kada se nadziru sesije između aplikacija i paketa koji krše TCP/IP specifikacije, često se koriste u zlonamjernim operacijama – skeniranje resursa, hakiranje kroz pogrešne TCP/IP implementacije, prekinute/usporene veze, ubrizgavanje podataka ne prolaze;

razina primjene(ili sloj aplikacije) kada se filtriranje temelji na analizi podaci aplikacije prošao unutar paketa. Ove vrste zaslona omogućuju vam blokiranje prijenosa neželjenih i potencijalno štetnih informacija na temelju pravila i postavki.

Filtriranje na mrežnom sloju

Filtriranje dolaznih i odlaznih paketa vrši se na temelju informacija sadržanih u sljedećim poljima TCP i IP zaglavlja paketa: IP adresa pošiljatelja; IP adresa primatelja; luka pošiljatelja; luka primatelja.

Filtriranje se može implementirati na različite načine kako bi se blokirale veze s određenim računalima ili portovima. Na primjer, možete blokirati veze s određenih adresa računala i mreža koje se smatraju nepouzdanima.

relativno niska cijena;

fleksibilnost u definiranju pravila filtriranja;

malo kašnjenje u prolazu paketa.

Nedostaci:

ne prikuplja fragmentirane pakete;

ne postoji način praćenja odnosa (veza) između paketa.?

Filtriranje na razini sesije

Ovisno o tome kako se prate aktivne veze, vatrozidi mogu biti:

bez državljanstva(jednostavno filtriranje), koji ne prate trenutne veze (na primjer, TCP), već filtriraju tok podataka isključivo na temelju statičkih pravila;

inspekcija paketa s stanjem stanja (SPI)(filtriranje na temelju konteksta), praćenje trenutnih veza i prosljeđivanje samo onih paketa koji zadovoljavaju logiku i algoritme odgovarajućih protokola i aplikacija.

SPI vatrozidi omogućuju vam učinkovitiju borbu protiv raznih vrsta DoS napada i ranjivosti nekih mrežnih protokola. Osim toga, oni omogućuju rad protokola kao što su H.323, SIP, FTP, itd., koji koriste složene sheme za prijenos podataka između primatelja, koje je teško opisati statičkim pravilima, a često su nekompatibilne sa standardnim vatrozidima bez stanja.

Prednosti ovog filtriranja uključuju:

analiza sadržaja paketa;

nisu potrebne informacije o tome kako rade protokoli Layer 7.

Nedostaci:

teško raščlaniti podatke na razini aplikacije (moguće korištenjem ALG - pristupnika na razini aplikacije).

Pristupnik na razini aplikacije, ALG (application level gateway) je komponenta NAT usmjerivača koji razumije aplikacijski protokol i kada paketi ovog protokola prođu kroz njega, modificira ih tako da korisnici koji stoje iza NAT-a mogu koristiti protokol.

ALG pruža podršku za protokole na razini aplikacije (kao što su SIP, H.323, FTP, itd.) za koje nije dopušteno prevođenje mrežnih adresa. Ova usluga definira vrstu aplikacije u paketima koji dolaze iz sučelja. interna mreža i odgovarajuće obavljanje prijevoda adrese / porta za njih putem vanjskog sučelja.

SPI (Stateful Packet Inspection) tehnologija, ili stateful packet inspection tehnologija, danas je vodeća metoda kontrole prometa. Ova tehnologija omogućuje kontrolu podataka do sloja aplikacije bez potrebe za zasebnom proxy ili proxy aplikacijom za svaki zaštićeni protokol ili mrežnu uslugu.

Povijesno gledano, evolucija vatrozida dolazi od filtara paketa opće namjene, zatim su se počeli pojavljivati ​​proxy programi za pojedinačne protokole i konačno je razvijena tehnologija kontrole stanja. Dosadašnje tehnologije samo su se nadopunjavale, ali nisu pružale sveobuhvatnu kontrolu nad vezama. Filtri paketa nemaju pristup informacijama o stanju veze i aplikacije, što je potrebno za donošenje konačne odluke sigurnosnog sustava. Proxy programi obrađuju samo podatke na razini aplikacije, što često stvara različite mogućnosti za kompromitaciju sustava. Arhitektura kontrole stanja jedinstvena je jer vam omogućuje rad na svim mogućim informacijama koje prolaze kroz gateway stroj: podaci iz paketa, podaci o stanju veze, podaci potrebni za aplikaciju.

Primjer mehanizmaDržavljanskiInspekcija... Vatrozid prati FTP sesiju provjeravanjem podataka na razini aplikacije. Kada klijent zatraži od poslužitelja da otvori obrnutu vezu (naredba FTP PORT), vatrozid izdvaja broj porta iz ovog zahtjeva. Popis pohranjuje adrese klijenta i poslužitelja, brojeve portova. Kada otkrije pokušaj uspostavljanja FTP-podatkovne veze, vatrozid skenira popis i provjerava je li ta veza doista odgovor na valjani zahtjev klijenta. Netlist se dinamički održava, samo tako potrebni portovi FTP. Čim se sesija zatvori, portovi se blokiraju, pružajući visoku razinu sigurnosti.

Riža. 2.12. Primjer kako Stateful Inspection radi s FTP-om

Filtriranje na razini aplikacije

Kako bi zaštitili neke od ranjivosti svojstvenih filtriranju paketa, vatrozidi moraju koristiti aplikacijske programe za filtriranje veza s uslugama kao što su Telnet, HTTP, FTP. Takva aplikacija naziva se proxy usluga, a host koji pokreće proxy uslugu naziva se pristupnikom sloja aplikacije. Ovaj pristupnik eliminira izravnu komunikaciju između ovlaštenog klijenta i vanjskog hosta. Gateway filtrira sve dolazne i odlazne pakete na sloju aplikacije (aplikacijski sloj - gornji sloj mrežnog modela) i može analizirati sadržaj podataka, kao što je URL sadržan u HTTP poruci ili naredba sadržana u FTP poruci. Ponekad je filtriranje paketa učinkovitije na temelju informacija sadržanih u samim podacima. Filtri paketa i filtri sloja veze ne koriste sadržaj protoka prometa za donošenje odluka o filtriranju, ali se mogu učiniti filtriranjem na razini aplikacije. Filtri aplikacijskog sloja mogu koristiti informacije iz zaglavlja paketa, kao i sadržaj podataka i korisničke podatke. Administratori mogu koristiti filtriranje aplikacijskog sloja za kontrolu pristupa na temelju korisničkog identiteta i/ili na temelju specifičnog zadatka koji korisnik pokušava postići. U filtrima sloja aplikacije možete postaviti pravila na temelju naredbi koje izdaje aplikacija. Na primjer, administrator može spriječiti određenog korisnika da preuzme datoteke na određeno računalo pomoću FTP-a ili dopustiti korisniku da postavlja datoteke putem FTP-a na isto računalo.

Prednosti ovog filtriranja uključuju:

jednostavna pravila filtriranja;

mogućnost organiziranja velikog broja provjera. Zaštita na razini aplikacije omogućuje veliki broj dodatnih provjera, što smanjuje vjerojatnost hakiranja korištenjem "rupa" u softveru;

sposobnost analize podataka aplikacije.

Nedostaci:

relativno loša izvedba naspram filtriranja paketa;

proxy mora razumjeti svoj protokol (ne može se koristiti s nepoznatim protokolima) ?;

obično radi pod složenim operativnim sustavima.

Uz ogroman izbor profesionalnih softverskih alata za zaštitu od raznih vrsta napada na lokalnu mrežu izvana (odnosno s interneta), svi oni imaju jedan ozbiljan nedostatak - visoku cijenu. A ako govorimo o malim mrežama klase SOHO, onda je kupnja solidnih paketa nedopušten luksuz. Istodobno, treba napomenuti da za male mreže mogućnosti takvih paketa mogu biti čak i pretjerane. Stoga se za zaštitu malih mreža SOHO klase naširoko koriste jeftina hardverska rješenja - vatrozidi. Svojim dizajnom vatrozidi se mogu implementirati kao zasebno rješenje ili biti sastavni dio usmjerivača klase SOHO, posebice bežičnih usmjerivača, što na njihovoj osnovi omogućuje kombiniranje žičanih i bežičnih LAN segmenata.
U ovom članku ćemo se osvrnuti na osnovnu funkcionalnost modernih hardverskih vatrozida koji se ugrađuju u SOHO usmjerivače i koriste za zaštitu malih lokalnih mreža.

Vatrozidovi kao dio usmjerivača

Budući da su usmjerivači mrežni uređaji koji se nalaze na granici između interne i vanjske mreže i djeluju kao mrežni pristupnik, trebali bi biti dizajnirani s najmanje dva porta. Jedan od ovih portova se povezuje lokalnu mrežu i ovaj port postaje interni LAN port. Vanjska mreža (Internet) spojena je na drugi priključak, pretvarajući ga u vanjski WAN port. U pravilu, usmjerivači klase SOHO imaju jedan WAN port i nekoliko (od jednog do četiri) LAN porta, koji se kombiniraju u prekidač. U većini slučajeva, WAN port prekidača ima 10 / 100Base-TX sučelje, a na njega se može spojiti ili xDSL modem s odgovarajućim sučeljem ili Ethernet mrežni kabel.

Osim toga, raširena bežične mreže dovelo do pojave cijele klase bežičnih usmjerivača tzv. Ovi uređaji, osim klasičnog usmjerivača s WAN i LAN portovima, sadrže integriranu točku bežični pristup podržava IEEE 802.11a / b / g protokol. Bežični segment mreža, koja vam omogućuje organiziranje pristupne točke, sa stajališta usmjerivača, odnosi se na internu mrežu i u tom smislu se računala koja su bežično povezana s usmjerivačem ne razlikuju od onih spojenih na LAN port.

Svaki usmjerivač, kao uređaj mrežnog sloja, ima svoju IP adresu. Osim rutera, WAN port ima i svoju IP adresu.

Računala spojena na LAN portove usmjerivača moraju imati IP adresu na istoj podmreži kao i sam usmjerivač. Osim toga, u mrežnim postavkama ovih računala morate postaviti zadanu adresu pristupnika koja odgovara IP adresi usmjerivača. Konačno, uređaj spojen na WAN priključak s vanjske mreže mora imati IP adresu iz iste podmreže kao i WAN priključak usmjerivača.

Budući da usmjerivač djeluje kao pristupnik između lokalne mreže i Interneta, logično je očekivati ​​od njega takvu funkciju kao što je zaštita interne mreže od neovlaštenog pristupa. Stoga, gotovo svi moderni usmjerivači SOHO razredi imaju ugrađene hardverske vatrozide, koji se također nazivaju vatrozidi.

Funkcije vatrozida

Glavni zadatak svakog vatrozida u konačnici se svodi na osiguranje interne mreže. Kako bi riješili ovaj problem, vatrozidi moraju moći maskirati zaštićenu mrežu, blokirati sve poznate vrste hakerskih napada, blokirati curenje informacija iz interne mreže i kontrolirati aplikacije koje dobivaju pristup vanjskoj mreži.

Kako bi implementirali ove funkcije, vatrozidi analiziraju sav promet između vanjske i interne mreže na usklađenost s određenim utvrđenim kriterijima ili pravilima koja određuju uvjete za protok prometa iz jedne mreže u drugu. Ako promet zadovoljava navedene kriterije, vatrozid će mu dopustiti da prođe kroz sebe. U suprotnom, to jest, ako nisu ispunjeni navedeni kriteriji, vatrozid blokira promet. Vatrozidovi filtriraju i ulazne i odlazni promet i također vam omogućuju kontrolu pristupa određenim mrežni resursi ili aplikacije. Mogu snimiti sve pokušaje neovlaštenog pristupa resursima lokalne mreže i izdati upozorenja o pokušajima upada.

Po svojoj namjeni vatrozidi ponajviše podsjećaju na kontrolnu točku (kontrolnu točku) čuvanog objekta, gdje se provjeravaju dokumenti za sve koji ulaze na teritorij objekta i sve koji ga napuštaju. Ako je propusnica ispravna, pristup na teritorij je dopušten. Vatrozidi rade na potpuno isti način, samo mrežni paketi djeluju kao ljudi koji prolaze kroz kontrolnu točku, a prolaz je korespondencija zaglavlja tih paketa s unaprijed definiranim skupom pravila.

Jesu li vatrozidi toliko pouzdani?

Može li se reći da je vatrozid 100 posto siguran na korisničkoj mreži ili osobnom računalu? Naravno da ne. Ako samo zato što niti jedan sustav ne daje 100% sigurnosno jamstvo. Vatrozid treba tretirati kao alat koji, ako je ispravno konfiguriran, može značajno zakomplicirati zadatak napadača da prodre na osobno računalo korisnika. Ističemo: samo zakomplicirati, ali nikako da jamčimo apsolutnu sigurnost. Usput, ako ne govorimo o zaštiti lokalne mreže, već o zaštiti pojedinačnog računala s pristupom Internetu, tada se ICF (Internet Connection Firewall) vatrozid ugrađen u operacijski sustav Windows XP uspješno nosi s osiguravanjem svoje osobne sigurnosti. Stoga ćemo u budućnosti govoriti samo o korporativnim hardverskim vatrozidima usmjerenim na zaštitu malih mreža.

Ako je vatrozid instaliran na ulazu u lokalnu mrežu aktiviran od strane cijeli program(u pravilu to odgovara zadanim postavkama), tada je mreža koju štiti potpuno neprobojna i nedostupna izvana. Međutim, takva potpuna neprobojnost unutarnje mreže ima svoje Druga strana... Činjenica je da u ovom slučaju postaje nemoguće koristiti internetske usluge (na primjer, ICQ i slične programe) instalirane na računalu. Dakle, zadatak konfiguracije vatrozida je napraviti prozore u prvobitno praznom zidu, koji je vatrozid za napadača, što omogućuje korisničkih programa odgovoriti na zahtjeve izvana i u konačnici implementirati kontroliranu interakciju interne mreže s vanjskim svijetom. Međutim, što se više takvih prozora pojavljuje u takvom zidu, sama mreža postaje ranjivija. Stoga još jednom naglašavamo: nijedan vatrozid ne može jamčiti apsolutnu sigurnost lokalne mreže koju štiti.

Klasifikacija vatrozida

Mogućnosti vatrozida i inteligencija ovise o sloju OSI referentnog modela na kojem rade. Što više OSI sloj firewall je izgrađen na vrhu, to je veća razina zaštite koju pruža.

Prisjetite se toga OSI model (Otvorite sustav Interconnection) uključuje sedam slojeva mrežne arhitekture. Prvi, najniži, jest fizički sloj... Slijede slojevi podatkovne veze, mreže, prijenosa, sesije, prezentacije i aplikacije ili aplikacije. Kako bi osigurao filtriranje prometa, vatrozid mora raditi barem na trećem sloju OSI modela, odnosno na mrežnom sloju, gdje se paketi usmjeravaju na temelju prijevoda MAC adresa u mrežne adrese. Sa stajališta TCP/IP protokola, ovaj sloj odgovara sloju IP (Internet Protocol). Primajući informacije mrežnog sloja, vatrozidi mogu odrediti izvornu i odredišnu adresu paketa i provjeriti je li promet između tih odredišta prihvatljiv. Međutim, nema dovoljno informacija o mrežnom sloju za analizu sadržaja paketa. Vatrozidovi koji rade na transportnom sloju OSI modela primaju nekoliko više informacija o paketima i u tom smislu može pružiti inteligentnije sheme zaštite mreže. Vatrozidi aplikacijskog sloja imaju potpune informacije o mrežnim paketima, što znači da pružaju najpouzdaniju zaštitu mreže.

Ovisno o razini OSI modela na kojem rade vatrozidovi, povijesno se razvila sljedeća klasifikacija ovih uređaja:

• filter paketa;
• pristupnik na razini kruga;
• pristupnik na razini aplikacije;
• Državljanski Inspekcija paketa(SPI).

Imajte na umu da ovu klasifikaciju ima samo povijesni interes, budući da su svi moderni vatrozidi klasificirani kao najnapredniji (u smislu mrežne zaštite) SPI vatrozidovi.

Filteri paketa

Vatrozidi za paketne filtere su najjednostavniji (najmanje inteligentni). Ovi vatrozidi rade na mrežnom sloju OSI modela ili IP sloju stog TCP/IP protokola. Takvi vatrozidovi su obvezni u svakom usmjerivaču, budući da svaki usmjerivač radi barem na trećem sloju OSI modela.

Svrha filtara paketa je filtriranje paketa na temelju informacija o izvornoj ili odredišnoj IP adresi i brojevima portova.

U vatrozidima paketnog filtera svaki se paket analizira kako bi zadovoljio kriterije prijenosa ili blok prijenosa prije nego što se prenese. Ovisno o paketu i definiranim kriterijima prijenosa, vatrozid može proslijediti paket, odbiti ga ili poslati obavijest pošiljatelju prijenosa.

Paketni filteri su jednostavni za implementaciju i imaju mali ili nikakav utjecaj na brzinu usmjeravanja.

Pristupnici na razini sesije

Pristupnici sloja sesije su vatrozidi koji rade na sloju sesije OSI modela ili sloju TCP (Transport Control Protocol) sloja TCP/IP protokola. Ovi vatrozidi nadziru proces uspostavljanja TCP veze (organizacija komunikacijskih sesija između krajnjih strojeva) i omogućuju vam da utvrdite je li ova komunikacijska sesija legitimna. Podaci koji se prenose na udaljeno računalo na vanjskoj mreži putem gatewaya na razini sesije ne sadrže podatke o izvoru prijenosa, odnosno sve izgleda kao da podatke šalje sam vatrozid, a ne računalo na internom (zaštićena) mreža. Svi NAT vatrozidovi su pristupnici sloja sesije (NAT će biti opisan u nastavku).

Pristupnici na razini sesije također ne utječu značajno na brzinu usmjeravanja. U isto vrijeme, ovi pristupnici nisu sposobni filtrirati pojedinačne pakete.

Pristupnici aplikacije

Pristupnici aplikacijskog sloja ili proxy poslužitelji rade na aplikacijskom sloju OSI modela. Aplikacijski sloj je odgovoran za pristup aplikacijama mreži. Zadaci na ovoj razini uključuju prijenos datoteka, slanje poruka e-pošte i upravljanje mrežom. Primajući informacije o paketima na razini aplikacije, pristupnici na razini aplikacije mogu implementirati blokiranje pristupa određene usluge... Na primjer, ako je pristupnik sloja aplikacije konfiguriran kao Web-proxy, tada će se blokirati svaki promet povezan s Telnet, FTP, Gopher protokolima. Budući da ovi vatrozidi analiziraju pakete na aplikacijskom sloju, sposobni su filtrirati određene naredbe kao što su http: post, get, itd. Ova značajka nije dostupna ni filterima paketa ni pristupnicima na razini sesije. Pristupnici na razini aplikacije također se mogu koristiti za registraciju aktivnosti pojedinačnih korisnika i za njihovo uspostavljanje komunikacijskih sesija. Ovi vatrozidi nude pouzdaniji način zaštite mreža od pristupnika sesije i filtara paketa.

SPI vatrozidi

Najnovija vrsta vatrozida, Stateful Packet Inspection (SPI), u isto vrijeme kombinira prednosti filtara paketa, pristupnika sesije i pristupnika aplikacija. To jest, zapravo govorimo o višeslojnim vatrozidima koji rade istovremeno na razini mreže, sesije i aplikacije.

SPI vatrozidi filtriraju pakete na mrežnom sloju, određuju legitimnost uspostavljanja sesije na temelju podataka sloja sesije i analiziraju sadržaj paketa na temelju podataka sloja aplikacije.

Ovi vatrozidi pružaju najpouzdaniji način zaštite mreža i danas su de facto standard.

Konfiguriranje vatrozida

Metodologija i opcije konfiguracije za vatrozide razlikuju se ovisno o modelu. Nažalost, ne postoje ujednačena pravila prilagodbe, a kamoli ujednačeno sučelje. Možemo govoriti samo o nekim općim pravilima kojih se treba pridržavati. Zapravo, osnovno pravilo je prilično jednostavno - potrebno je zabraniti sve što nije potrebno za normalno funkcioniranje mreže.

Najčešće se mogućnosti konfiguriranja vatrozida svode na aktiviranje nekih unaprijed definiranih pravila i kreiranje statičkih pravila u obliku tablice.

Uzmimo kao primjer mogućnosti za konfiguriranje vatrozida uključenih u Gigabyte GN-B49G usmjerivač. Ovaj usmjerivač ima niz unaprijed definiranih pravila za provođenje različitih razina sigurnosti na internoj mreži. Ova pravila uključuju sljedeće:

• Pristup konfiguraciji i administraciji usmjerivača sa strane WAN-a je zabranjen. Aktivacija ove funkcije zabranjuje pristup postavkama usmjerivača s vanjske mreže;
• Pristup s Global-IP-a na Private-IP je zabranjen unutar LAN-a. Ova vam funkcija omogućuje blokiranje pristupa unutar lokalne mreže s globalnih IP adresa (ako ih ima) do IP adresa rezerviranih za privatnu upotrebu;
• Spriječite dijeljenje datoteka i pisača izvan mreže usmjerivača. Funkcija izvana sprječava korištenje zajedničkog pristupa pisačima i datotekama na internoj mreži;
• Postojanje usmjerivača ne može se otkriti sa strane WAN-a. Ova funkcija čini usmjerivač nevidljivim iz vanjske mreže;
• Spriječeni su napadi tipa uskraćivanja usluge (DoS). Kada je ova funkcija omogućena, implementira se zaštita od DoS (Denial of Service) napada. DoS napadi su svojevrsni mrežni napadi, koji se sastoji u pristizanju mnoštva zahtjeva na poslužitelj koji zahtijevaju uslugu koju pruža sustav. Poslužitelj troši svoje resurse na uspostavljanje i održavanje veze, a uz određeni protok zahtjeva ne može se nositi s njima. Zaštita od napada ovog tipa temelji se na analizi izvora viška prometa u odnosu na normalan promet i zabrani njegovog prijenosa.

Kao što smo već napomenuli, mnogi vatrozidovi imaju unaprijed definirana pravila koja su sama po sebi ista kao ona gore navedena, ali mogu imati različita imena.

Drugi način za konfiguriranje vatrozida je stvaranje statičkih pravila koja vam omogućuju ne samo zaštitu mreže izvana, već i ograničavanje korisnika lokalne mreže u pristupu vanjskoj mreži. Mogućnosti za stvaranje pravila su prilično fleksibilne i omogućuju implementaciju gotovo svake situacije. Da biste stvorili pravilo, postavite izvornu IP adresu (ili raspon adresa), izvorne portove, IP adrese i odredišne ​​portove, vrstu protokola, smjer prijenosa paketa (iz interne mreže na vanjsku mrežu ili obrnuto), kao i radnja koju treba poduzeti kada se paket otkrije.s naznačenim svojstvima (ispusti ili preskoči paket). Na primjer, ako želite zabraniti korisnicima interne mreže (raspon IP adresa: 192.168.1.1-192.168.1.100) pristup FTP poslužitelju (port 21) koji se nalazi na vanjskoj IP adresi 64.233.183.104, tada pravilo može biti formulirano kako slijedi:

• smjer prosljeđivanja paketa: LAN-to-WAN;
• Izvorne IP adrese: 192.168.1.1-192.168.1.100;
• izvorni priključak: 1-65535;
• luka primatelja: 21;
• protokol: TCP;
• radnja: pad.

Statička konfiguracija pravila vatrozida za gornji primjer prikazana je na Sl. jedan.

NAT kao dio vatrozida

Svi moderni usmjerivači s ugrađenim vatrozidima podržavaju Network Translation Protocol NAT adrese(Prijevod mrežne adrese).

NAT nije dio vatrozida, ali također pomaže u poboljšanju mrežne sigurnosti. Glavna zadaća NAT protokola je riješiti problem nedostatka IP adresa, koji postaje sve hitniji kako broj računala raste.

Činjenica je da su u trenutnoj verziji IPv4 protokola četiri bajta dodijeljena za određivanje IP adrese, što omogućuje generiranje preko četiri milijarde adresa mrežnih računala. Naravno, u ranim danima interneta, bilo je teško zamisliti da jednog dana ovaj broj IP adresa možda neće biti dovoljan. Kako bi se djelomično riješio problem nedostatka IP adresa, svojedobno je predložen protokol za prevođenje mrežne adrese NAT.

NAT je definiran RFC 1631, koji definira kako se mrežne adrese prevode.

U većini slučajeva, NAT uređaj prevodi IP adrese rezervirane za privatnu upotrebu na lokalnim mrežama u javne IP adrese.

Privatni adresni prostor regulira RFC 1918. Ove adrese uključuju sljedeće IP raspone: 10.0.0.0-10.255.255.255, 172.16.0.0-172.31.255.255, 192.168.0.0-192.5.5.

Prema RFC 1918, privatne IP adrese ne mogu se koristiti na WAN-u, tako da se mogu slobodno koristiti samo u interne svrhe.

Prije nego što prijeđemo na osobitosti funkcioniranja NAT protokola, pogledajmo kako se to događa. Mrežna veza između dva računala.

Kada jedno računalo na mreži uspostavi vezu s drugim računalom, otvara se utičnica, identificirana izvornom IP adresom, izvornim portom, odredišnom IP adresom, odredišnim portom i mrežnim protokolom. Format IP paketa pruža dvobajtno polje za brojeve portova. To vam omogućuje definiranje 65.535 portova koji igraju ulogu svojevrsnih komunikacijskih kanala. Od 65.535 luka, prvih 1.023 rezervirano je za dobro poznate usluge poslužitelja kao što su Web, FTP, Telnet itd. Svi ostali priključci mogu se koristiti za bilo koju drugu svrhu.

Ako, na primjer, jedno mrežno računalo pristupi FTP poslužitelju (port 21), tada kada se utičnica otvori, operativni sustav dodjeljuje sesiji bilo koji port veći od 1023. Na primjer, to može biti port 2153. Tada se šalje IP paket s računala na FTP -poslužitelj, sadržavat će IP adresu pošiljatelja, port pošiljatelja (2153), IP adresu primatelja i odredišni port (21). IP adresa i port pošiljatelja će se koristiti za odgovor od poslužitelja do klijenta. Korištenje različitih portova za različite mrežne sesije omogućuje mrežnim klijentima da istovremeno uspostave nekoliko sesija s različitim poslužiteljima ili s uslugama jednog poslužitelja.

Pogledajmo sada proces uspostavljanja sesije pri korištenju NAT usmjerivača na granici interne mreže i interneta.

Kada klijent na internoj mreži uspostavi vezu s poslužiteljem na vanjskoj mreži, tada se, kao i u slučaju uspostavljanja veze između dva računala, otvara utičnica određena izvornom IP adresom, izvornim portom, odredišnom IP adresom, odredišni port i mrežni protokol. Kada aplikacija prenosi podatke preko ove utičnice, izvorna IP adresa i izvorni port se umeću u paket u poljima izvornih parametara. Polja odredišnih parametara sadržavat će IP adresu poslužitelja i port poslužitelja. Na primjer, računalo na internoj mreži s IP adresom 192.168.0.1 može pristupiti web poslužitelju na WAN-u s IP adresom 64.233.188.104. U tom slučaju klijentov operativni sustav može dodijeliti ustanovljena sjednica port 1251 (izvorni port), a odredišni port je port web usluge, odnosno 80. Tada će u zaglavlju poslanog paketa biti naznačeni sljedeći atributi (slika 2):

• izvorni port: 1251;
• IP adresa primatelja: 64.233.183.104;
• luka primatelja: 80;
• protokol: TCP.

NAT uređaj (usmjerivač) presreće odlazni paket iz interne mreže i unosi mapiranje izvornih i odredišnih portova paketa u svoju internu tablicu koristeći odredišnu IP adresu, odredišni port, IP adresu vanjskog NAT uređaja, vanjski port, mrežu protokol, te interne IP adrese -adresa i port klijenta.

Pretpostavimo da u gornjem primjeru NAT usmjerivač ima vanjsku IP adresu 195.2.91.103 (adresa WAN porta), a za uspostavljenu sesiju vanjski port NAT uređaja je 3210. U ovom slučaju, interni izvor i odredište Tablica mapiranja portova paketa sadrži sljedeće informacije:

• Izvor IP: 192.168.0.1;
• izvorni port: 1251;
• vanjska IP adresa

NAT uređaji: 195.2.91.103;

• vanjski port NAT uređaja: 3210;
• IP adresa primatelja: 64.233.183.104;
• luka primatelja: 80;
• protokol: TCP.

NAT uređaj zatim "prevodi" paket, transformirajući izvorna polja u paketu: interna IP adresa i port klijenta zamjenjuju se vanjskom IP adresom i portom NAT-a. U ovom primjeru, pretvoreni paket će sadržavati sljedeće informacije:

• Izvor IP: 195.2.91.103
• izvorni priključak: 3210;
• IP adresa primatelja: 64.233.183.104;
• luka primatelja: 80;
• protokol: TCP.

Pretvoreni paket se šalje preko vanjske mreže i na kraju dolazi do navedenog poslužitelja.

Nakon što primi paket, poslužitelj će proslijediti pakete odgovora na vanjsku IP adresu i port NAT uređaja (usmjerivača), navodeći vlastitu IP adresu i port u izvornim poljima (slika 3). U razmatranom primjeru, paket odgovora s poslužitelja će sadržavati sljedeće informacije u zaglavlju:

• izvorni priključak: 80;
• IP adresa primatelja: 195.2.91.103;
• luka primatelja: 3210;
• protokol: TCP.

Riža. 3. Princip rada NAT uređaja pri prijenosu paketa iz vanjske mreže u internu

NAT uređaj prihvaća te pakete od poslužitelja i analizira njihov sadržaj na temelju svoje tablice mapiranja portova. Ako se u tablici pronađe mapiranje porta za koje izvorna IP adresa, izvorni port, odredišni port i mrežni protokol iz dolaznog paketa odgovaraju IP adresi udaljenog hosta, s udaljeni port i s mrežnim protokolom navedenim u mapiranju porta, tada će NAT izvesti obrnuta transformacija: zamijenit će vanjski IP i vanjski port u odredišnim poljima paketa s IP adresom i internim portom klijenta na internoj mreži. Dakle, paket koji se prenosi na internu mrežu za gornji primjer imat će sljedeće atribute:

• Izvor IP: 64.233.183.104;
• izvorni priključak: 80;
• IP adresa primatelja: 192.168.0.1;
• luka primatelja: 1251;
• protokol: TCP.

Međutim, ako nema podudaranja u tablici mapiranja portova, onda dolazni paket je odbijen i veza se prekida.

Zahvaljujući NAT usmjerivaču, svako računalo na internoj mreži može prenositi podatke u WAN koristeći vanjsku IP adresu i port usmjerivača. Istodobno, IP adrese interne mreže, kao portovi dodijeljeni sesijama, ostaju nevidljivi iz vanjske mreže.

Međutim, NAT usmjerivač dopušta komunikaciju između računala na internoj i vanjskoj mreži samo ako ovu razmjenu pokrene računalo na internoj mreži. Ako bilo koje računalo na vanjskoj mreži pokuša pristupiti računalu na unutarnjoj mreži na vlastitu inicijativu, tada NAT uređaj odbija ovu vezu. Stoga, osim što rješava problem nedovoljnih IP adresa, NAT također pomaže u poboljšanju sigurnosti interne mreže.

Problemi s NAT uređajima

Unatoč naizgled jednostavnosti rada NAT uređaja, s njima su povezani neki problemi koji često otežavaju organizaciju interakcije između umrežena računala ili čak sprječavanje njezina uspostavljanja. Na primjer, ako je lokalna mreža zaštićena NAT uređajem, tada svaki klijent na internoj mreži može uspostaviti vezu s WAN poslužiteljem, ali ne i obrnuto. To jest, ne možete pokrenuti vezu s vanjske mreže na poslužitelj koji se nalazi u internoj mreži iza NAT uređaja. Ali što ako postoji usluga na internoj mreži (kao što je FTP ili web poslužitelj) kojoj korisnici na vanjskoj mreži moraju imati pristup? Kako bi riješili ovaj problem, NAT usmjerivači koriste DMZ i tehnologije prosljeđivanja portova, što će biti detaljno opisano u nastavku.

Drugi problem s NAT uređajima je taj što neke mrežne aplikacije uključuju IP adresu i port u podatkovni dio paketa. Jasno je da NAT uređaj nije sposoban prevesti takve adrese. Kao rezultat toga, ako mrežna aplikacija umetne IP adresu ili port u korisni dio paketa, poslužitelj koji odgovara na taj paket koristit će ugniježđenu IP adresu i port za koje ne postoji odgovarajući unos mapiranja u internoj tablici NAT uređaja . Kao rezultat toga, takav paket će biti ispušten od strane NAT uređaja, a time i aplikacija koje koriste ovu tehnologiju neće moći raditi s NAT uređajima.

Postoje mrežne aplikacije koje koriste jedan port (kao izvorni port) prilikom prijenosa podataka, ali čekaju odgovor na drugom portu. NAT uređaj analizira odlazni promet i mapira izvorni port. Međutim, NAT uređaj ne zna da se odgovor očekuje na drugom portu i ne može izvesti odgovarajuće mapiranje. Kao rezultat toga, paketi odgovora adresirani na port za koji nema mapiranja u internoj tablici NAT uređaja bit će ispušteni.

Drugi problem s NAT uređajima je višestruki pristup istom portu. Razmotrimo situaciju kada nekoliko klijenata lokalne mreže, odvojenih od vanjske mreže NAT uređajem, pristupa istoj standardni priključak... Na primjer, to može biti port 80, koji je rezerviran za web uslugu. Budući da svi klijenti na internoj mreži koriste istu IP adresu, postavlja se pitanje: Kako NAT uređaj može odrediti kojem klijentu na internoj mreži pripada vanjski zahtjev? Kako bi riješio ovaj problem, samo jedan klijent na internoj mreži istovremeno ima pristup standardnom portu.

Statičko mapiranje portova

Kako bi određene aplikacije koje rade na poslužitelju na internoj mreži (kao što je web poslužitelj ili FTP poslužitelj) bile dostupne s vanjske mreže, na NAT uređaju se mora postaviti preslikavanje između portova koje koriste određene aplikacije i IP adresa . te poslužitelje na internoj mreži na kojima te aplikacije rade. U ovom slučaju govore o tehnologiji mapiranja portova, a poslužitelj na internoj mreži naziva se virtualni poslužitelj. Kao rezultat toga, svaki zahtjev s vanjske mreže na vanjsku IP adresu NAT uređaja (usmjerivača) na navedenom portu automatski će se preusmjeriti na navedeni virtualni poslužitelj na internoj mreži.

Na primjer, ako je virtualni FTP poslužitelj konfiguriran na internoj mreži, koji radi na računalu s IP adresom 192.168.0.10, tada se prilikom konfiguriranja virtualnog poslužitelja IP adresa virtualnog poslužitelja (192.168.0.10) korišteni protokol (TCP) i port aplikacije su postavljeni (21). U tom slučaju, prilikom pristupa vanjskoj adresi NAT uređaja (WAN port usmjerivača) na portu 21, korisnik na vanjskoj mreži može pristupiti FTP poslužitelju interne mreže, unatoč korištenju NAT protokola. Primjer konfiguracije virtualnog poslužitelja na stvarnom NAT usmjerivaču prikazan je na Sl. 4.

NAT usmjerivači obično omogućuju stvaranje više statičkih prosljeđivanja portova. Dakle, na jednom virtualnom poslužitelju možete otvoriti nekoliko portova odjednom ili stvoriti nekoliko virtualnih poslužitelja s različitim IP adresama. Međutim, sa statičkim prosljeđivanjem portova, ne možete proslijediti jedan port na više IP adresa, odnosno port može odgovarati jednoj IP adresi. Nemoguće je, na primjer, konfigurirati nekoliko web poslužitelja s različitim IP adresama - za to ćete morati promijeniti zadani port web poslužitelja i kada pristupate 80. portu u konfiguraciji usmjerivača, navedite promijenjeni web port kao privatni port. poslužitelju.

Većina modela usmjerivača također vam omogućuje postavljanje statičke grupe portova za prosljeđivanje, odnosno pridruživanje cijele grupe portova odjednom s IP adresom virtualnog poslužitelja. Ova je značajka korisna ako trebate osigurati rad aplikacija koje koriste veliki broj portovi kao što su igre ili audio/video konferencije. Broj proslijeđenih grupa portova po različiti modeli routeri su različiti, ali obično ih ima najmanje deset.

Dinamičko prosljeđivanje portova (posebna aplikacija)

Statičko prosljeđivanje portova djelomično rješava problem pristupa s vanjske mreže uslugama lokalne mreže zaštićene NAT uređajem. No, postoji i suprotan problem – potreba da se korisnicima lokalne mreže omogući pristup vanjskoj mreži putem NAT uređaja. Činjenica je da neke aplikacije (na primjer, internetske igre, videokonferencije, internetska telefonija i druge aplikacije koje zahtijevaju istovremeno uspostavljanje više sesija) nisu kompatibilne s NAT tehnologijom. Za rješavanje ovog problema koristi se takozvano dinamičko prosljeđivanje portova (ponekad se naziva i posebna aplikacija), kada je prosljeđivanje portova postavljeno na razini pojedinačnih mrežnih aplikacija.

Ako ruter podržava ovu funkciju, trebate postaviti interni broj porta (ili interval porta) povezan s određenom aplikacijom (obično označen kao Trigger Port) i postaviti broj vanjski port NAT uređaj (javni priključak) za mapiranje na interni port.

Kada je omogućeno dinamičko prosljeđivanje portova, usmjerivač prati izlazni promet iz interne mreže i pamti IP adresu računala s kojeg taj promet potječe. Kada podaci stignu natrag u lokalni segment, uključeno je prosljeđivanje portova i podaci se prosljeđuju. Nakon dovršetka prijenosa, preusmjeravanje je onemogućeno, a zatim bilo koje drugo računalo može kreirati novo preusmjeravanje na vlastitu IP adresu.

Dinamičko prosljeđivanje portova prvenstveno se koristi za kratkoročne zahtjeve i prijenose podataka, jer ako jedno računalo koristi zadano prosljeđivanje porta, drugo računalo ne može učiniti isto u isto vrijeme. Ako trebate podesiti rad aplikacija koje trebaju stalan tok podataka koji zauzima port dulje vrijeme, tada je dinamičko preusmjeravanje neučinkovito. Međutim, u ovom slučaju postoji rješenje za problem - ono se sastoji u korištenju demilitarizirane zone.

DMZ zona

Demilitarizirana zona (DMZ) je još jedan način da se zaobiđu ograničenja NAT-a. Ovu značajku pružaju svi moderni usmjerivači. Kada postavite računalo na interni LAN u DMZ-u, ono postaje transparentno za NAT protokol. To zapravo znači da je računalo na internoj mreži gotovo pozicionirano ispred vatrozida. Za PC koji se nalazi u DMZ zoni, svi portovi se preusmjeravaju na jednu internu IP adresu, što omogućuje organiziranje prijenosa podataka s vanjske mreže na internu.

Ako se, primjerice, poslužitelj s IP adresom 192.168.1.10, koji se nalazi u internoj lokalnoj mreži, nalazi u DMZ zoni, a sama lokalna mreža zaštićena je NAT uređajem, onda kada se zahtjev iz vanjske mreže stigne na bilo koji port na adresi WAN porta NAT uređaji će ovaj zahtjev preusmjeriti na IP adresu 192.168.1.10, odnosno na adresu virtualnog poslužitelja u DMZ zoni.

Tipično, SOHO NAT usmjerivači dopuštaju da se samo jedno računalo nalazi u DMZ-u. Primjer konfiguracije računala u DMZ zoni prikazan je na Sl. 5.

Riža. 5. Primjer konfiguriranja računala u DMZ zoni

Budući da računalo koje se nalazi u DMZ-u postaje dostupno s vanjske mreže i nije ni na koji način zaštićeno vatrozidom, ono postaje ranjiva točka u mreži. Potrebno je samo u krajnjoj nuždi pribjeći stavljanju računala u DMZ, kada nijedna druga metoda zaobilaženja ograničenja NAT protokola iz ovog ili onog razloga nije prikladna.

NAT Traversal tehnologija

Metode koje smo naveli za zaobilaženje ograničenja NAT protokola mogu biti teške za korisnike početnike. Kako bi se olakšala administracija, predložena je automatizirana tehnologija za konfiguriranje NAT uređaja. Tehnologija NAT Traversal omogućuje mrežnim aplikacijama da otkriju da su zaštićene NAT uređajem, saznaju vanjsku IP adresu i izvedu prosljeđivanje portova na automatski način rada... Dakle, prednost tehnologije NAT Traversal je u tome što korisnik ne mora ručno konfigurirati mapiranje portova.

Tehnologija NAT Traversal oslanja se na UPnP (Universal Plug and Play) protokole, stoga je često potrebno provjeriti opciju UPnP & NAT u usmjerivačima da biste aktivirali ovu tehnologiju.

Zašto vam je potreban vatrozid u ruteru

Bežična mreža zahtijeva pažljivu zaštitu jer se ovdje stvaraju najpovoljnije mogućnosti za presretanje informacija. Stoga, ako je nekoliko računala spojeno na mrežu pomoću usmjerivača (usmjerivača), vatrozid treba instalirati i koristiti ne samo na svakom računalu, već i na usmjerivaču. Na primjer, funkciju vatrozida u usmjerivaču serije DI-XXX obavlja SPI, koji vrši dodatnu inspekciju paketa. Predmet provjere je pripadaju li paketi uspostavljenoj vezi.

Tijekom sesije povezivanja otvara se port koji se može pokušati napasti stranim paketima, što je posebno povoljan trenutak za to - kada se sesija završi, a port ostaje otvoren još nekoliko minuta. Stoga, prisjeća se SPI Trenutna država sesije i analizira sve dolazne pakete. Trebali bi odgovarati očekivanom – doći s adrese na koju je zahtjev poslan, imati određene brojeve. Ako paket ne odgovara sesiji, odnosno nije točan, blokira se i ovaj događaj se bilježi u zapisnik. Drugi vatrozid na usmjerivaču omogućuje vam blokiranje odlaznih veza sa zaraženog računala.

1590 RUB

TP-Link TP-LINK TD-W8961N (RU)

... Uz ADSL2 + podršku. Uz podršku za Telnet. Broj portova prekidača je 4. Sa statičkim usmjeravanjem. S ugrađenim usmjerivačem. S SPI funkcija . Izvedba - vanjska. Uz NAT podršku. S podrškom za dinamički DNS. Vrsta modema - ADSL. Uz SNMP podršku. S DHCP poslužiteljem. S ugrađenim prekidačem. Sučelje - Ethernet. S web sučeljem. S demilitariziranom zonom (DMZ). Dimenzije 130x195x35 mm.