AktPrvky_Koton_final
Níže je uveden pouze náhled materiálu. Kliknutím na tlačítko 'Stáhnout soubor' stáhnete kompletní formátovaný materiál ve formátu PDF.
• Překládání síťových adres nebo také stavová inspekce
Nedostatek předchozího typu odstraňuje "stavový firewall" (statefull inspection).
Ten umí přiřadit pakety k příslušnému spojení. Díky této vlastnosti firewall rozpo-
zná, že se jedná o pakety vracející se do sítě v rámci spojení, které bylo navázáno
zevnitř. Úroveň bezpečnosti je tím mnohem vyšší. Tento typ firewallu dokáže od-
Aktivní prvky datových sítí pro integrovanou výuku VUT a VŠB-TUO
43
halit například "spoofing", tj. útok založený právě na tom, že se pakety odeslané
útočníkem "vracejí" do sítě.
Zabezpečení na této úrovni je zajištěno překládáním síťových adres (Network Add-
ress Translation - NAT), které řeší problém skrývání interních hostitelů. Funkce NAT
je v podstatě proxy na síťové vrstvě: požadavky jménem všech interních hostitelů
provádí jediný hostitelský počítač, takže totožnost interních hostitelských počítačů
je před veřejnou sítí skryta. Windows 2000 a XP, Linux a mnohé moderní operační
systémy UNIX tuto funkci poskytují v distribuci operačního systému. Windows NT
tuto funkci nemají.
Funkce NAT skrývá interní IP adresy tak, že všechny adresy interních hostitelů
zkonvertuje na adresu firewallu. Firewall potom pomocí čísla portu TCP přepošle
datovou část z interního hostitelského počítače z jeho vlastní adresy. Tím moni-
toruje, jaká připojení z veřejné sítě se přiřazují ke kterým hostitelům v privátní
síti. Pro Internet se jeví, že veškerý provoz v interní síti pochází od jednoho velmi
zaneprázdněného počítače.
• Proxy a aplikační brána
NAT řeší mnoho problémů spojených s přímým připojením k Internetu, ale přesto
neblokuje tok paketů přes firewall úplně. Někdo se zařízením pro monitorování síťo-
vého provozu (network monitor) může monitorovat provoz, který přichází z firewallu
a zjistit, že firewall překládá adresy pro jiná zařízení. Pak je tedy možné, aby hacker
zpětně provedl únos připojení TCP nebo zfalšoval připojení přes firewall.
Tyto problémy řeší proxy na aplikační úrovni. Umožňují prostřednictvím firewallu
úplně přerušit tok protokolů na síťové úrovni a omezit provoz pouze na protokoly
vyšší úrovně - HTTP, FTP a SMTP. Proxy na aplikační úrovni je kombinace serveru
a klienta pro uvedený protokol. Například webový proxy je kombinace webového
serveru a webového klienta. Protokolový server na proxy přijímá připojení od klientů
v interní síti a protokolový klient na proxy se připojuje k veřejnému serveru. Jakmile
přijme protokolový klient proxy z veřejného serveru data, server proxy zašle data
konečnému internímu klientovi.
Proxy fungují na hranicích mezi dvěma sítěmi, které nejsou propojeny pomocí smě-
rovačů. Jakmile provede klient v chráněné síti připojení na server ve veřejné síti,
obdrží proxy žádost o připojení a připojí se jménem chráněného klienta. Pak proxy
postoupí požadavek z veřejného serveru do interní sítě. Proxy v podstatě provádějí
jakožto prostředníci neškodné útoky a jsou dobrým příkladem toho, jak by mohl
libovolný systém, který funguje jako prostředník mezi jedním uživatelem a jiným
koncovým bodem systému, případně provádět škodlivější zpracování dat bez svolení
uživatele.