ap:65530:drop:nolog:any::any:any:active:drop_all:noalarm
3. Необходимо добавить IP-правило для пропуска TCP-пакетов. Это правило необходимо для организации фильтрации совместно с правилами прикладного уровня (этим обеспечивается создание сессии и привязка к прикладным правилам). Оно должно работать на пропуск пакетов на следующий уровень обработки (действие accept) и содержать номера созданных ранее прикладных правил (в данном примере это номера 50, 51 , 52, 53, 65530) в соответствующем поле.
ip:10:accept:nolog:1:0:0:tcp:any:any:any:80:any:any:any:any:any:any:active:http_whitelist:any:defses:deftout:50-53,65530:noalarm
Все замечания по поводу IP адресов и номеров портов из п. 3.1.1. справедливы и в этом случае.
4. Работа по созданию набора правил фильтрации завершена.
Список правил для обеспечения доступа к конкретным веб-сайтам представлен ниже в таблице 3.3.
3.3. Таблица «Белый список».
Результат | Правило |
Пропуск TCP-пакетов на прикладной уровень | ip:10:accept:nolog:1:0:0:tcp:any:any:any:80:any:any:any:any:any: any:active:for_http_whitelist:any:defses:deftout:50-53,65530:noalarm |
Доступ к www.google.com | ap:50:accept:nolog:http:host=www. :any:from-client:active::noalarm |
Доступ к www.ya.ru | ap:51:accept:nolog:http:host=www. ya. ru:any:from-client:active:ya. ru:noalarm |
Доступ к vkontakte.ru | ap:52:accept:nolog:http:host=vkontakte. ru:any:from-client:active:vkontakte. ru:noalarm |
Доступ к www.rambler.ru | ap:53:accept:nolog:http:host=*.rambler. ru:any:from-client:active:rambler. ru:noalarm |
Блокировка трафика других приложений | ap:65530:drop:nolog:any::any:any:active:drop_all:noalarm |
Особенности
Написание доменных имён при создании правил зачастую связано с рядом сложностей, требующих отдельного рассмотрения в каждом конкретном случае.
Проблема 1: некоторые запросы, например, запрос по имени www.ya.ru и запрос по имени ya.ru, считаются двумя разными запросами.
Решение 1: необходимо для всех вариантов доменных имён этого сайта создать одно правило, используя специальные символы.
ap:50:accept:nolog:http:host=*ya.ru:any:from-client:active:ya. ru:noalarm
Проблема 2: некоторые сайты, например, www.rambler.ru, неразрывно связаны со своими поддоменами (news.rambler. ru, weather.rambler. ru и т. д.) и не загружаются, если не разрешить доступ к последним.
Решение 2: необходимо для всех вариантов доменных имён этого сайта создать одно правило, используя специальные символы.
ap:50:accept:nolog:http:host=*.rambler.ru:any:from-client:active:rambler. ru:noalarm
Проблема 3: существуют сайты, отдельные элементы которых догружаются со сторонних сайтов (например, картинки, флэш-анимация, музыка и т. д.), и если не разрешить доступ к последним, то первые будут некорректно отображаться.
Решение 3: администратор безопасности должен провести исследование трафика на выявление имён этих сторонних сайтов и внести их в «белый список» по необходимости.
3.1.3. Обеспечение блокировки WEB-сайтов из «чёрного списка»
Задача - блокировать доступ к WEB-сайтам «чёрного списка», сохранив при этом возможности обращаться к другим WEB-сайтам.
Принцип фильтрации и алгоритм работы:
Фильтрация производится по совокупности признаков фильтрации:
· по идентификаторам портов на транспортном уровне,
· по заголовку протокола HTTP, идентифицируемому межсетевым экраном, на уровне прикладных данных,
· имени (или фрагменту имени) сайта, находящегося в «чёрном списке» на уровне прикладных данных.
Настройка МЭ проводится аналогично 3.1.1.
1. Настроить глобальные правила следующим образом в зависимости от политики безопасности.
2. Добавить несколько AP-правил:
2.1. Правила для блокировки доступа к веб-сайтам «чёрного списка». Для каждого сайта создаётся отдельное AP-правило, в котором параметр host содержит соответствующее доменное имя. Например, для «чёрного списка», включающего в себя сайты www. , www. ya. ru, vkontakte. ru, www. rambler. ru будет создан следующий набор:
ap:50:drop:nolog:http:host=www.google.com:any:from-client:active::noalarm
ap:51:drop:nolog:http:host=www.ya.ru:any:from-client:active:ya. ru:noalarm
ap:52:drop:nolog:http:host=vkontakte.ru:any:from-client:active:vkontakte. ru:noalarm
ap:53:drop:nolog:http:host=*.rambler.ru:any:from-client:active:rambler. ru:noalarm
Альтернативным вариантом написания при создании данных правил является перечисление имён сайтов через запятую в одном правиле. Такой подход наиболее эффективен, когда «чёрный список» содержит большое число имён. Следует учитывать, что общая длина перечисленных имён сайтов в каждом правиле не может превышать 250 символов:
ap:55:drop:nolog:http:host=www.google.ru,ya.ru,www.ya.ru,vkontakte.ru,bash.org.ru,*rambler.ru,hh.ru,notabenoid.com,stopgame.ru,youtube.ru,rutube.ru,maddyblog.ru,www.freeproxy.ru,mail.ru,caramba.tv,spasiboeva.ru,ibash.org.ru,nevid.ru,eztv.it,lostfilm.tv,rutracker.org:any:from-client:active:false:noalarm
2.2. Правило для обеспечения доступа к сайтам, не входящим в «чёрный список»:
ap:65530:accept:nolog:http::any:any:active:accept_all_http:noalarm
2.3. Правило для блокирования прочего трафика прикладных протоколов:
ap:65531:drop:nolog:any:any:any:active:drop_all:noalarm
3. Добавить IP-правило для пропуска TCP-пакетов. Это правило необходимо для организации фильтрации совместно с правилами прикладного уровня (этим обеспечивается создание сессии и привязка к прикладным правилам). Оно должно работать на пропуск пакетов на следующий уровень обработки (действие accept) и содержать номера созданных ранее прикладных правил (в данном примере это номера 50, 51 , 52, 53, 65530, 65531) в соответствующем поле.
ip:10:accept:nolog:1:0:0:tcp:any:any:any:80:any:any:any:any:any:any:active:http_blacklist:any:defses:deftout:50-53,65530,65531:noalarm
Все замечания по поводу IP адресов и номеров портов из п. 3.1.1. справедливы и в этом случае.
4. Работа по созданию набора правил фильтрации завершена.
Список правил для блокировки конкретных WEB-сайтов представлен ниже в таблице 3.3.
Таблица 3.3. «Чёрный список».
Результат | Правило |
Пропуск TCP-пакетов на прикладной уровень | ip:10:accept:nolog:1:0:0:tcp:any:any:any:80:any:any:any:any:any:any:active:for_http_blacklist:any:defses:deftout:50-53,65530,65531:noalarm |
Блокировка доступа к www.google.com | ap:50:drop:nolog:http:host=www. :any:from-client:active::noalarm |
Блокировка доступа к www.ya.ru | ap:51:drop:nolog:http:host=www. ya. ru:any:from-client:active:ya. ru:noalarm |
Блокировка доступа к vkontakte.ru | ap:52:drop:nolog:http:host=vkontakte. ru:any:from-client:active:vkontakte. ru:noalarm |
Блокировка доступ к www.rambler.ru | ap:53:drop:nolog:http:host=*.rambler. ru:any:from-client:active:rambler. ru:noalarm |
Доступ к сайтам, не входящим в «чёрный список» | ap:65530:accept:nolog:http::any:any:active:accept_all_http:noalarm |
Блокировка трафика других приложений | ap:65531:drop:nolog:any:any:any:active:drop_all:noalarm |
Особенности
Все особенности связанные с написанием доменных имён рассмотрены в предыдущем случае
3.2 Фильтрация трафика протокола OSCAR
Рассмотрим несколько наиболее общих типовых задач.
3.2.1 Блокировка ICQ (запрет трафика протокола OSCAR)
Задача – блокировать функционирование ICQ по протоколу OSCAR, при этом доступ по другим протоколам прикладного уровня должен быть разрешён.
Принцип фильтрации и алгоритм работы:
Фильтрация производится по следующему признаку фильтрации:
· по заголовку протокола OSCAR, идентифицируемому МЭ на уровне прикладного протокола по бинарным данным:
Поле | Смещение | Длина | Значение |
Данные | 0x00 | 0x01 | 0x2a |
Замечание: В результате блокировки ICQ-клиент не сможет установить соединение с сервером, т. к. все пакеты, связанные с клиент-серверным обменом будут удаляться. Со стороны ICQ-сервера осуществляемая блокировка воспринимается как отсутствие клиента на линии. При уже включённом ICQ-клиенте в течении некоторого времени остаётся иллюзия работы сервиса, хотя все пересылки заблокированы. По окончании этой паузы, клиент выдаёт сообщение «Связь Прервана: Проверьте Настройки Подключения». Величина этой задержки зависит от реализации используемого клиента.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 |
