Сетевая безопасность: Техника обхода списков доступа ACL

Как Вы уже убедились в предыдущих заметках из серии «Сетевая безопасность», списки доступа ACL не могут гарантировать полную защиту от несанкционированного доступа к сети. Это достигается лишь комплексом различных мер.

В этой заметке рассмотрим одну из особенностей работы списков доступа с фрагментированными IP пакетами.

По умолчанию, протокол IP разрешает фрагментацию пакетов, что открывает достаточно большое число давно известных уязвимостей.

Откуда берутся фрагментированные пакеты?

TCP/IP Encapsulation

Когда пакеты протокола сетевого уровня L3 (IP) модели OSI слишком большие, чтобы передать их одним фреймом на уровне L2 (Data Link), они разбиваются на более мелкие фрагменты.

Читать далее

Сетевая безопасность: IOS Firewall — Content-Base Access-Control (CBAC)

В предыдущей заметке мы познакомились с рефлексивными списками доступа Reflexive ACL, позволяющими реализовать базовые функции межсетевого экрана с отслеживанием состояний сессий — Stateful Firewall.

Дальнейшим развитием этой технологии стал CBAC, который представляет собой уже полноценный межсетевой экран и поддерживает инспекцию протоколов прикладного уровня.

Идея CBAC состоит в инспекции информации в проходящем через маршрутизатор трафике, специфичной для каждого из поддерживаемых протоколов и разрешение ответного трафика в списке доступа ACL, работающем в противоположном направлении.

CBAC

Согласитесь, это очень похоже на Reflexive ACL, но только в CBAC выполняется более глубокая инспекция, затрагивающая не только общие протоколы TCP/UDP/ICMP, но и протоколы прикладного уровня, такие как FTP, HTTP, ESMTP, DNS и многие другие.

Читать далее