Application Layer Filtering (ALF): Что это такое и как это помогает безопасности?

Published on Февраль 5, 2009 by   ·   Комментариев нет

ALF – это не сокращение имени Альфред, а аббревиатура Application Layer Filtering – новое слово в одной из сфер безопасности: технологии firewall. Продавцы систем безопасности стремятся снабдить свои продукты ALF и усовершенствовать ALF для большей конкурентоспособности. Но что же такое ALF, и является ли она обязательной для firewall или всего лишь красивый маркетинговый ход?

В данной статье мы познакомимся с технологией ALF, посмотрим, как она находит свое отражение в современных средствах безопасности, увидим преимущества и недостатки этого компонента.

Какие уровни вы фильтруете?

Попросту говоря, firewall предназначен для отсечения определенного трафика, проходящего из внешней сети, чаще всего Интернета, во внутреннюю сеть. Это дает возможность администраторам контролировать поступающую в локальную сеть информацию и обезопасить ее от нежелательных данных. Кроме фильтрации входящего трафика firewall может ограничить выход определенных данных из локальной сети во внешнюю (контроль исходящего трафика), ограничивая возможность пользователей отправлять данные в определенные места.

Традиционная система защиты firewall использует пакетную фильтрацию, работающую на сетевом уровне сетевой модели OSI. Современные системы защиты firewall используют усовершенствованную версию, называемую адресной пакетной фильтрацией. Такой вид пакетной фильтрации позволяет разрешать или блокировать трафик на основе IP адреса источника или места назначения или TCP источника или места назначения и номеров портов UDP, а также состояния связи. Динамическая пакетная фильтрация позволяет открывать и закрывать порты firewall в случае необходимости, в то время как в статической пакетной фильтрации открытие и закрытие портов производится вручную.

С помощью пакетной фильтрации можно установить критерии, на основе которых определенные пакеты данных разрешаются или блокируются:

  • Блокировка или разрешение трафика, отправленного с определенного IP адреса источника
  • Блокировки или разрешение трафика, отправленного для определенного IP адреса места назначения
  • Блокировки или разрешение трафика, использующего определенный порт TCP или UDP

Так как различные приложения используют «известные» порты для связи, то можно использовать пакетную фильтрацию для блокировки связи FTP (блокировка порта 20) или Telnet (блокировка порта 23), или SMTP (блокировка порта 25).

Фильтрация другого уровня осуществляется с помощью шлюзов уровней каналов связи. Фильтрация каналов связи проверяет данные, проходящие во время подтверждения связи TCP для определения ее правомерности.

Единственное чего нельзя добиться с помощью пакетной фильтрации и фильтрации каналов связи — так это проверки и блокировки данных на основе их содержания. Для этого необходима фильтрация приложения. И здесь вступает в игру ALF.

Работа ALF

Фильтрация ALF превосходит пакетную фильтрацию и предоставляет большую точность контроля данных входящих и исходящих из сети. ВВ то время как пакетная фильтрация может полностью разрешить или блокировать определенный вид трафика, например, FTP, фильтрация ALF может выбирать определенные сообщения FTP и определять правомерность данных сообщений.

ALF – это более продвинутая технология. Она предназначена для обнаружения определенной информации не только в заголовках сообщений, но и в самом теле. Она может быть настроена на поиск определенный слов и фраз в сообщениях и блокировать сообщения на этой основе. Таким, образом, с помощью ALF можно предотвращать сетевые атаки или ограничивать возможность пользователей отправлять определенную информацию корреспондентам вне сети.

Преимущества ALF

Давайте посмотрим, как это выглядит на практике. Для примера возьмем блокировку спама. Система защиты firewall является первой преградой на пути проникновения спама вместе с хорошей программой фильтрации спама на сервере и/или антиспамовскими утилитами на стороне клиента. Традиционные системы защиты firewall, использующие пакетную фильтрацию, должны знать IP адреса источники всех спамеров или использовать блокировку почтовых протоколов, которыми пользуются спамеры. Это не очень практично.

С помощью ALF можно блокировать сообщения на уровне firewall на основе ключевых слов, что делает firewall мощным оружием в вашей стратегии борьбы со спамом. Выполняя первоначальную фильтрацию на уровне firewall? Можно снять часть нагрузки с сервера, на котором установлено основное программное обеспечение по фильтрации спама.

Примечание: Следует соблюдать осторожность при использовании ALF для блокировки спама на основе ключевых слов, так как можно заблокировать сообщения, которые спамом не являются. Вы можете провести основную фильтрацию на основе ключевых слов на уровне сервера или клиента, где антиспамовское программное обеспечение поможет создать «белый список» отправителей, чьи сообщения будут всегда разрешены вне зависимости, содержат ли они «спамовские» ключевые слова. Фильтрация на основе ключевых слов в firewall должна быть ограничена только теми словами, которые никогда не появляются в нормальных сообщениях.

Что еще можно сделать с помощью ALF? Самое важное заключается в том, что, проверяя содержание информации, ALF может предотвратить атаки, использующие протоколы уровня приложений, включая:

  • Буферы переполнения SMTP, POP3 и DNS
  • Атаки web-серверов, основанные на информации, содержащейся в заголовках и запросах HTML
  • Код атак, спрятанный в туннелях SSL

ALF может проверять определенные команды в протоколах уровня приложений. Например, команда HTTP:GET может быть блокирована, в то время как команда HTTP:POST – разрешена.

ALF вместе с фильтрацией более низких уровней предоставляет высочайший уровень защиты.

Недостатки ALF

Основной недостаток заключается в том, что фильтрация ALF влияет на производительность. Проверка содержания пакетов требует времени и влияет таким образом на производительность. Для ALF необходимо более мощное оборудование, чем для традиционных систем защиты firewall.

Другим неоспоримым недостатком являются административные издержки. ALF усложняет систему: существует вероятность установки неправильных настроек, которые могут привести к проблемам с доступом. Неправильное использование ALF может вызвать блокировку того. Чего вы совершенно не хотели блокировать.

Где взять ALF?

Все больше и больше производителей систем защиты firewall и VPN включают ALF в свои продукты. Их часто называют адресными многоуровневыми системами защиты firewall. Они включают в себя такие функции как CheckPoint, Cisco и сервер ISA. Сервер ISA, в частности, предлагает достаточно недорогую фильтрацию ALF. Для более подробного описания работы ALF на сервере ISA 2000 пройдите по ссылке http://www.isaserver.org/articles/spamalfkit.html.

Источник  www.windowsecurity.com


Смотрите также:

Tags: , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]