тому випадку, якщо ВК простоює протягом певного системою тайм-ауту, відбувається його закриття.
. 2.5 FireWall
Коли Ви з'єднуєте Вашу мережу з Internet або з іншою мережею, фактор забезпечення безпеки доступу в Вашу мережу має критичне значення. Найбільш ефективний спосіб захисту при зв'язку з Internet припускає розміщення брандмауера FireWall між Вашою локальною мережею і Internet. Міжмережеві екрани реалізують механізми контролю доступу з зовнішньої мережі до внутрішньої шляхом фільтрації всього вхідного і вихідного трафіку, пропускаючи лише авторизовані дані.
Існує три основних типи міжмережевих екранів - пакетний фільтр (packet filtering), шлюз на сеансовому рівні (circuit-level gateway) і шлюз на прикладному рівні (application-level gateway). Дуже небагато існуючі міжмережеві екрани можуть бути однозначно віднесені до одного з названих типів. Як правило, МСЕ поєднує в собі функції двох або трьох типів.
Як уже зазначалося, для того, щоб ефективно забезпечувати безпеку мережі, firewall зобов'язаний відстежувати і управляти всім потоком, що проходить через нього. Для прийняття керуючих рішень для TCP/IP-сервісів (тобто передавати, блокувати або відзначати в журналі спроби встановлення з'єднань), firewall повинен отримувати, запам'ятовувати, вибирати і обробляти інформацію, отриману від усіх комунікаційних рівнів і від інших додатків.
Недостатньо просто перевіряти пакети окремо. Інформація про стан з'єднання, отримана з інспекції з'єднань в минулому і інших додатків - головний фактор у прийнятті керуючого рішення при спробі встановлення нового з'єднання. Для прийняття рішення можуть враховуватися як стан з'єднання (отримане з минулого потоку даних), так і стан додатки (отримане з інших додатків).
Отже, керуючі рішення вимагають щоб firewall мав доступ, можливість аналізу та використання наступних речей:
1. Інформація про з'єднаннях - інформація від всіх семи рівнів в пакеті.
2. Історія сполук - інформація, отримана від попередніх з'єднань. Наприклад, що виходить команда PORT сесії FTP повинна бути збережена для того, щоб надалі з його допомогою можна було перевірити вхідне з'єднання FTP data.
. Стани рівня програми - інформація про стан, отримана з інших додатків. Наприклад, аутентифікованим до теперішнього моменту користувачеві можна надати доступ через firewall тільки для авторизованих видів сервісу.
. Маніпулювання інформацією - обчислення різноманітних виразів, заснованих на всіх вищеперелічених факторах.
Найбільш поширеним рішенням для управління брандмауера (брандмауера) netfilter для ядер Linux версій 2.4 і 2.6 є утиліта Iptables. Всупереч дуже поширеній думці, ні iptables, ні netfilter не виробляють маршрутизацію пакетів і ніяк їй не керують. Netfilter тільки фільтрує і модифікує (у тому числі, для NAT) пакети за правилами, заданими адміністратором через утиліту iptables. Для використання утиліти iptables потрібні повноваження супер (root). Іноді під словом iptables мається на увазі і сам міжмережевий екран netfilter.
. 3 Організація захищених каналів зв'язку
. 3.1 Настроювання Firewall
Ця настроювання Iptables розрахована на схему з використанням 2 мережевих інтерфейсів.
Рис 5 брендмауер.
Програма дозволяє задати правила, яким повинні відповідати проходять через брандмауер IP-пакети. Ці правила, як і всі налаштування Linux, записуються в текстовий файл, що знаходиться в папці/etc. Послідовність правил називається ланцюжком (CHAIN). Для одного і того ж мережевого інтерфейсу використовуються кілька ланцюжків. Якщо проходить пакет не відповідає жодному з правил, то виконується дія за замовчуванням.
Для визначень правил використовуються кілька таблиць:
MANGLE
Використовується для зміни заголовка пакета. Допускається виконувати тільки нижчеперелічені дії:
· TOS
· TTL
· MARK
Дія TOS виконує встановлення бітів поля Type of Service в пакеті. Це поле використовується для призначення мережної політики обслуговування пакету, тобто задає бажаний варіант маршрутизації. Однак, слід зауважити, що дана властивість насправді використовується на незначній кількості маршрутизаторів в Інтернеті. Іншими словами, не слід змінювати стан цього поля для пакетів, що йдуть в Інтернет, тому що на роутерах, які таки обслуговують це поле, може бути прийняте неправильне рішення при виборі маршруту.
Дія TTL використовується для установки значення поля TTL (Time To Live) пакета. Є одне непогане застосування...
