Диссертация Кочарян С.Г — копия (1195360), страница 3
Текст из файла (страница 3)
Спискиправил, которые управляют фильтрацией сетевых пакетов, поступающих17извне в локальную сеть и отправляемых из локальной сети в Интернет,принято называть цепочками. Термин «цепочка» используется потому, чтопри проверке пакета правила применяются последовательно одно за другим,пока не обнаружится подходящее правило для сетевого пакета или списокправил не будет исчерпан.Описанныймеханизмфильтрующегобрандмауэрадостаточноэффективен, однако он не обеспечивает полной безопасности локальной сети.Брандмауэр – это всего лишь один из элементов обшей схемы защиты.
Анализзаголовков сетевых пакетов — операция слишком низкого уровня, для того,чтобы реально выполнять аутентификацию и контролировать доступ. Впроцессефильтрацииотправителясообщенияпакетовипрактическиневозможнопроанализироватьсмыслраспознатьпередаваемойинформации. Из всего набора данных, пригодных для аутентификации, нарассматриваемом уровне доступен только IP-адрес отправителя, однако этотадрес очень легко подделать, на чем и базируется множество способов сетевыхатак.
Несмотря на то, что средства фильтрации пакетов позволяют эффективноконтролировать обращение к портам, использование протоколов обмена исодержимое пакетов, проверку данных необходимо продолжить на болеевысоком уровне.2.2 Политика организации брандмауэраПри построении брандмауэров используются два основных подхода:– запрещается прохождение всех пакетов, пропускаются лишь те, которыеудовлетворяют явно определенным правилам;– разрешается прохождение всех пакетов, за исключением пакетов,удовлетворяющих определенным правилам.Или перефразируя, запрещено все, что не разрешено, и разрешено все, чтоне запрещено.18С практической точки зрения лучше использовать подход, при которомпоступающий пакет по умолчанию отвергается (запрещено все, что неразрешено). В этом случае организация безопасности сети достигаетсядостаточно просто, но с другой стороны, приходится предусматриватьвозможность обращения к каждой сетевой службе и использование каждогоконкретного протокола.
Это означает, что администратор сети, занимающийсянастройкой брандмауэра, должен точно знать, какие протоколы применяютсяв его локальной сети. При использовании подхода, предусматривающегозапрет по умолчанию, приходится предпринимать специальные меры всякийраз, когда необходимо разрешить доступ к какому-то ресурсу, однако этамодель с нашей точки зрения более надежна, чем противоположный вариант.Политикаразрешенияпоумолчаниюпозволяетдобитьсяфункционирования системы малыми усилиями, но при этом необходимопредусмотреть каждый конкретный случай, при котором требуется запретитьдоступ. Может случиться так, что необходимость внесения запретов станетясна лишь тогда, когда в результате несанкционированного доступа сети будетнанесен значительный ущерб.В обоих случаях для конфигурации брандмауэра используются цепочкиправил.
Каждая цепочка представляет собой набор правил, заданных явнымобразом, и политику по умолчанию. Пакет проверяется на соответствиекаждому из правил, а правила выбираются из списка последовательно до техпор, пока не будет обнаружено соответствие сетевого пакета одному из них.Если пакет не удовлетворяет ни одному из заданных правил, с сетевымпакетом производятся действия, определенные политикой по умолчанию.В процессе работы брандмауэр может пропустить сетевой пакет(ACCEPT), запретить прохождение сетевого пакета (DENY), либо отказатьсетевому пакету в прохождении, то есть отклонить его (REJECT). Спрохождением сетевого пакета все ясно, а чем же отличаются запрет иотклонение сетевого пакета? При отклонении сетевого пакета (REJECT) сампакет удаляется, а его отправителю возвращается IСМР-сообщение об ошибке.19При запрете, прохождения сетевого пакета (DENY) сам пакет удаляется, ноотправитель не оповещается об удалении сетевого пакета.В большинстве случаев запрет сетевого пакета считается лучшимрешением, чем отказ в прохождении сетевого пакета.
Во-первых, отправкасообщения об ошибке увеличивает сетевой трафик, а во-вторых, сообщения обошибке могут быть использованы для организации атаки с целью вывода изстроя сервера. Помимо этого, любое ответное действие на "неправильные"пакетыпредоставляетвзломщикудополнительнуюинформациюоконфигурации вашей системы.203 Разработка NDIS драйвера в качестве межсетевого экрана3.1 Структура драйвераВ качестве основного драйвера был использован пример промежуточногодрайвераPassthruизDDK.ДрайверPassthruрасполагаетсямеждутранспортным драйвером и драйвером сетевой карты. Этот драйвер получаети передает пакеты от драйвера сетевой карты драйверу транспорта и вобратном направлении. На рисунке 3.1 показано как именно располагаетсядрайвер MyFireWall.sysПользовательский режимРежим ядраСервисы систем ввода/выводаДрайвер транспортаTCP/IPProtocolXxx – среда XMiniportXxx – среда XДиспечерввода/выводаПромежуточныйдрайвер MyFireWallProtocolXxx – среда YNDISMiniportXxx – среда YДрайвер сетевойкартыСетевая картаРисунок 3.1 – Расположение промежуточного NDIS-драйвера MyFireWall21Промежуточный драйвер экспортирует на своём верхнем уровне функцииMiniportXxx а на нижнем функции ProtocolXxx.Для определения функций, в код которых необходимо вставить фильтрпакетов, рассмотрим функции интерфейсов нижнего и верхнего уровня,поддерживаемые средой NDIS, которые участвуют в приёме и отправлениипакетов, и через которые эти пакеты проходят непосредственно:Отправление:Функция MiniportSendPackets - Она получает несколько указателей наNDIS-пакеты от драйвера транспорта.
В этой функции необходимопросмотреть все пакеты и убрать из очереди пакеты, не прошедшиефильтрацию;Функция MiniportSend получает по одному NDIS-пакету от драйвератранспорта, требуется в том случае, когда драйвер не обеспечивает функциюMiniportSendPackets;Функция ProtocolSendComplete является завершающей для функцийMiniportSendPackets и MiniportSend. Она получает в качестве параметра статусзавершения операции отправления пакета и описатель отправленного пакета.Получение:Функция ProtocolReceive получает пакет от драйвера сетевой карты. Онадолжна скопировать полученный пакет во вновь созданный NDIS-пакет ипередать его драйверу транспорта.
В этой функции пакеты, не прошедшиефильтрацию просто пропускаются;Функция ProtocolReceivePacket является не обязательной функцией ивовлекается в том случае, когда промежуточный драйвер располагается наддрайвером сетевой карты, имеющей способность передавать сразу несколькопакетов, полученных из сети. Если такой уверенности нет, то эту функциюможно не регистрировать. Тогда все пакеты будут передаваться черезProtocolReceive.В моём драйвере фильтрация осуществляется в MiniportSendPackets дляотправляемых пакетов и в ProtocolReceive для получаемых пакетов.223.2 Загрузка и инициализация драйвераЗагрузка любого драйвера в Windows начинается с точки в хода в драйверDriverEntry, в которой выполняется начальная инициализация драйвера.При загрузке выполняются следующие действия:вызывает FireWallInit Которая выполняет начальную настройкумоего драйвера;вызываетNdisMInitializeWrapperкотораявозвращаетNdisWrapperHandle;вызываетNdisIMRegisterLayeredMiniport,чтобызарегистрировать свои точки входа MiniportXxx;вызывает NdisRegisterProtocol, что бы зарегистрировать своиточки входа ProtocolXxx;вызываетNdisIMAssociateMiniport,чтобыинформироватьбиблиотеку NDIS о том, что определённые раньше интерфейсы нижнего иверхнего уровня принадлежат одному и тому же промежуточному драйверу.Более подробно стоит рассмотреть функцию FireWallInit.
Она вызываетсясамой первой, вследствие чего в ней доступны стандартные функции ядра. Этафункция загружает начальные настройки драйвера, ещё до того, как он начнетвыполнять свою работу. Для этого она вызывает функцию ReadSettings,которая и загружает данные из файла.Загрузка осуществляется из файла, который имеет чётко заданнуюструктуру (Рисунок 3.2). Заголовок содержит информацию о хранящихсяданных в файле. Поле Sign определяет, действительно ли данный файлявляется файлом настройки и всегда должно быть равно 0x5746794D (ANSIстрока«MyFW»).Следующиедваполя(NumPraviloIPTablebиOffsetPraviloIPTable) отвечают за таблицу правил, первое определяетколичество правил, а второе за смещение в байтах от начала файла,указывающее, где хранится таблица правил. Следующие четыре поляопределяют список имён хостов и список URL.
Поля HostTableDataSize и23URLTableDataSize соответственно определяют размер списков в байтах.Элементы списка разделяются нулевыми байтами, а сам список заканчиваетсянулевойстрокой.ПоляOffsetHostTableDataиOffsetURLTableDataсоответственно определяют смещение списков в байтах от начала файла.На рисунке 3 отображена общая структура файла настроек.СписокСписокзапрещённых запрещённыхURLимён хостовТаблицаправилЗаголовокОбщая структура файлафайла настроекSign(32 бита)NumPraviloIPTable(32 бита)OffsetPraviloIPTable(32 бита)HostTableDataSize(32 бита)OffsetHostTableData(32 бита)URLTableDataSize(32 бита)OffsetURLTableData(32 бита)Правило 1Правило 2...Правило NИмя хоста 1Имя хоста 2...Последнее Имя хостаНБURL 1URL 2...Последний URLНБНБНБ...НБНБНБ...НБРисунок 3.2 – Общая структура файла настроек. НБ – нулевой байт.Такая структура позволяет достаточно просто загружать настройкидрайвера и упрощает его написание.243.3 Механизм передачи информации на уровень пользователяВ ОС Windows невозможно напрямую вызывать функции из драйвера.
Дляобщения программ и драйверов предусмотрена специальная система Пакетовзапроса ввода-вывода (I/O Request Packet, IRP).На пользовательском уровне для обращения к драйверу необходимо,открыть драйвер с помощью функции CreateFile, после чего воспользоватьсяфункциейDeviceIoControlдляпередачиинформациивдрайвер.DeviceIoControl в качестве параметров принимает:А) Код операции – этот код определяет, какая функция в драйвере будетвызвана. Код операции имеет строго определённый формат (Рисунок 4). длязадания кода используется макрос CNL_CODE(DeviceType, Function, Method,Access).Четыре части макроса служат следующим целям:поле DeviceType — это 16-битный идентификатор типа устройства. Вфайле ntddk.h перечислен ряд типов устройств, в символьном видепредставленныхконстантамиFILE_DEVICE_*.Microsoftрезервируетдиапазон с 0x0000 по 0x7FFF для внутреннего использования, а диапазон0x8000-0xFFFF доступен для разработчиков.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
