ќбсудим вашу задачу в Telegram - чате?

ћерион Ќетворкс

”стройства третьего уровн€ модели OSI обеспечивают так называемую трансл€цию сетевых адресов, или Network Address Translation (NAT). ”стройства третьего уровн€, как правило, маршрутизаторы, фаерволы или коммутаторы с функци€ми L3, преобразуют внутренние IP-адреса во внешние, которые маршрутизируютс€ в сети интернет. ¬ рамках преобразовани€ IP-адреса, фаервол сохран€ет внутренний адрес себе в пам€ть, затем подмен€ет его на адрес внешнего интерфейса, либо мен€ет его на один из адресов внешнего диапазона (пула), и совершает отправку измененного IP-пакета.


“рансл€ци€ портов

¬ современных корпоративных сет€х, фаерволы выполн€ют функцию, котора€ называетс€ Port Address Translation (PAT). Ёта технологи€ позвол€ет множеству внутренних IP Ц адресов использовать один и тот же внешний адрес. ƒанна€ технологи€ реализуетс€ на четвертом уровне модели OSI. —хема работы PAT показана ниже:

«ащита периметра сети

Ќа схеме, компьютеры (рабочие станции) наход€тс€ в защищенном участке сети за Ђфаерволомї. Ётот участок обозначен как внутренн€€ сеть, где действует адресаци€ 192.168.0.0 с маской подсети 255.255.255.0.  ак было сказано в начале главы, Cisco Adaptive Security Appliances (ASA) выполн€ет функции по трансл€ции портов дл€ устройств внутренней сети. “рансл€ци€ выполн€етс€ дл€ Ђхостовї подсети 192.168.0.X в во внешний IP-адрес Cisco ASA Ц 208.104.33.225. ¬ данном примере, компьютер ј отправл€ет TCP пакет с портом назначени€ 80, получателем которого €вл€етс€ WEB Ц сервер, расположенный во внешнем сегменте сети на компьютере Ѕ. ASA подмен€ет оригинальный запрос с IP-адреса 192.168.0.44 на свой собственный (208.104.33.225). ѕараллельно, случайно выбираетс€ номер порта, отличного от исходного (в данном примере порт 1024 заменен на 1188). “олько после этого, пакеты отправл€ютс€ на WEB Ц сервер к адресу назначени€ 208.104.33.241.


—истема обнаружени€ и предотвращени€ вторжений

—истема обнаружени€ вторжений Intrusion Detection System (IDS), это устройства, которые предназначены дл€ обнаружени€ атак на корпоративную сеть и поддержани€ »“ безопасности в целом. —истемы обнаружени€ позвол€ют отслеживать распределенные DDoS атаки, Ђчервиї и Ђтро€ныї.

—истема обнаружени€ и предотвращени€ вторжений

 ак показано выше, злоумышленник отправл€ет Ђзараженныйї пакет на WEB Ц сервера компании с целью, например, вывести из стро€ сайт компании. —истема обнаружени€ вторжени€ (IDS) отслеживает данный пакет, и отправл€ет сигнал тревоги на систему мониторинга. Ќедостатком данного механизма €вл€етс€ то, что он лишь уведомл€ет о наличии угрозы, но не предотвращает ее. ¬ данном случае, отправленный злоумышленником пакет дойдет до получател€.

—истема предотвращени€ вторжений, или Intrusion Prevention System (IPS) , способна не только обнаружить Ђзараженныйї пакет, но и уничтожить его. —хема работы IPS показана на рисунке ниже:

—истема предотвращени€ вторжений

 ак видно из рисунка, система IPS предотвращает попадание Ђзараженногої пакета в сегмент корпоративной сети. IPS/IDS системы определ€ют Ђзараженныйї трафик по следующим критери€м:

  • ѕроверка на базе подписи;
  • ќбща€ политика безопасности;
  • ѕроверка на базе нелинейности поведени€;
  • ѕроверка на основании репутации.

ќ критери€х определени€ "плохого" трафика мы расскажем в следующих стать€х.


ѕолезна ли ¬ам эта стать€?

–аз в неделю мы отправл€ем дайджест с самыми интересными стать€ми.

P.S. ≈сли укажите свою дату рождени€, то мы об€зательно ¬ас поздравим и подарим небольшой подарок :)

Ќажима€ на кнопку "ѕодписатьс€", вы даете согласие на обработку своих персональных данных