Транспортный уровень

Использование свойств транспортных протоколов создает наиболее эффективную преграду деятельности злоумышленника. Здесь для защиты используются признаки, содержащиеся в заголовках сегментов транспортного протокола. Сегмент — блок данных с которыми работает транспортный протокол. Этими признаками являются тип транспортного протокола, номер порта и флаг синхронизации соединения.

Если средствами канального уровня можно защитить аппаратуру компьютерной сети, а протоколы сетевого уровня позволяют разграничить доступ к отдельным хостам и подсетям, то транспортный протокол используется как средство коммуникации сетевых приложений, функционирующих на платформе отдельных узлов. Любое сетевое приложение использует транспортный протокол для доставки обрабатываемых данных. Причем у каждого класса приложений имеется специфический номер транспортного порта. Это свойство может быть использовано злоумышленником для атаки на конкретный сетевой сервис или службу, либо администратором сети для защиты сетевых сервисов и служб.

Администратор формирует политику защиты сети средствами транспортного уровня в виде ведомости соответствия хостов, используемых ими сетевых адресов и доверенных приложений, функционирующих на платформах этих хостов. Формализованная запись этой ведомости представляет собой табличную структуру, содержащую:

– перечень узлов, их символьные имена;

– соответствующие этим узлам сетевые адреса;

– перечень используемых каждым узлом транспортных протоколов;

– перечень сетевых приложений, функционирующих в каждом узле и соответствующие этим приложениям порты транспортного протокола;

– по каждому сетевому приложению необходимо установить, является ли оно потребителем или поставщиком ресурса, т.е. разрешено ли ему инициировать исходящие соединения или принимать входящие.

На данном уровне необходимо организовать списки доступа (ACCESS – листы) аналогичные листам доступа на сетевом уровне, однако, здесь можно указывать не адреса сетей, а адреса конкретных сервисов. Например:

[Разрешить адресу IP - 1 сервиса Service - 1

к адресу IP - 4 сервиса Service - 1]

[Разрешить адресу IP - 2 сервиса Service - 1

к адресу IP - 5 сервиса Service -1]

[Разрешить адресу IP-3 сервиса Service - 1

к адресу IP - 5 сервиса Service - 1]

[Остальное запретить]

Такие списки доступа можно настроить на серверах.

Рекомендация – использовать межсетевое экраны (ПО, реализующие функцию фильтрации трафика в соответствии с правилами политики безопасности сети средствами транспортного уровня). Как правило, данное программное обеспечение функционирует на платформе маршрутизатора, управляющего информационными потоками узлов различных сетей.