...
🧠 Blogi on pühendatud VPN-i ja turvalisuse, andmete privaatsuse teemale Internetis. Räägime praegustest kaitsega seotud trendidest ja uudistest.
AndmekaitseVPN arvutiteleVPN ja privaatsus

IP-filtreerimine: IP-aadressi filtreerimise levinumate tehnikate mõistmine

40
Sisu
Mis on IP-filtreerimine?
Levinud IP-filtreerimistehnikad
1 Marsruudi filtreerimine:
2 Tulemüüri filtreerimine:
3 Meili filtreerimine:
TCP/IP marsruudifiltri reeglid
IP-marsruudi filtri põhisüntaks ja reeglid
IP-marsruudi filtri reegli valikud
Millal ja kuidas GeoIP-filtreerimist kasutada
KKK – IP-filtreerimine
Järeldus

IP-filtreerimine on tänapäeval muutunud tavapäraseks tavaks. Paremal või halvemal juhul on see tüütu protsess ja sellel on mitmesuguseid piiranguid ettevõtetele, kes kasutavad seda tehnikat peamise lahendusena iga kasutaja tuvastamiseks ja petturliku käitumise väljasõelumiseks.

IP-aadresside filtreerimise protsess on aga asjakohane ja tõhus mitmes olukorras. Levinud näide on voogedastusteenused, nagu Netflix , piiravad kasutaja juurdepääsu konkreetsetele sisupealkirjadele nende IP-aadresside alusel.

See tähendab, et kui elate Ameerika Ühendriikides, ei saa te IP-filtreerimise tõttu juurdepääsu Netflix Koreale ega Netflix Japanile. Samamoodi on võimatu vaadata Ameerika Netflixi Ühendkuningriigis, Hiinas, Kanadas, Venemaal ja mujal.

Lisaks soovivad IT-spetsialistid mõnikord blokeerida oma veebisaidi võrguliikluse teatud alamhulka, et lubada ainult teatud IP-de loendit või geograafilise asukoha tõttu.

Kuigi see kõik tundub üsna huvitav, tahaksime teile IP-filtrimise kohta rohkem rääkida. Seega saate juhendist teada, mis see on, selle levinud tehnikad, reeglid ja kuidas seda kasutada. Alustame!

Mis on IP-filtreerimine?

IP-filtreerimine võimaldab teil kontrollida, milline IP-liiklus teie võrgus ja sellest väljas on lubatud. See võimaldab teil määratleda reegleid ja seejärel nende seatud reeglite alusel IP-pakette filtreerida.

Teisisõnu, IP-filtreerimine on protseduur, mis määrab IP-paketid, mida töödeldakse ja ära visatakse/kustutatakse. Saate rakendada mitut kriteeriumi, et määrata, milliseid andmeid soovite filtreerida. Siin on mõned näited.

  • Datagrammi tüüp: ICMP Echo Request, SYN/ACK, andmed ja palju muud.
  • Protokolli tüüp: UDP, TCP, ICMP ja palju muud.
  • Datagrammi allika ja sihtkoha aadress: kust see tuli ja kuhu see läheb.
  • Pistikupesa number: (UDP/TCP jaoks)

On üsna oluline tunnistada, et IP-aadressi filtreerimine on võrgukihi vahend. See ei saa võrguühendusi kasutavast rakendusest midagi aru, küll aga ühendustest endast.

Levinud IP-filtreerimistehnikad

IP-filtreerimistehnikaid on kolm levinumat tüüpi. Vaatame neid allpool:

1 Marsruudi filtreerimine:

Marsruudi filtreerimisel ei kuulutata mõnda marsruuti välja ega kaaluta nende lisamist kohalikku andmebaasi. Filtreid saab rakendada ruuteritele enne väljundi filtreerimist või pärast sisendi filtreerimist.

Marsruudi filtreerimisel on mitu põhjust.

  • Selline filtreerimine tagab, et RFC 1918 (privaatne aadressiruum) kasutamine ei lekiks ülemaailmsesse Internetti. Mõlemad prefiksid nõuavad sisendi ja väljundi filtreerimise blokeerimist võrgu poolt.
  • Naabrile mittekohalike marsruutide teatamine, kui veebisait on mitme koduga, mis erineb sellest, mille järgi see oli teada, ulatub transiidiks teenindamise valmiduse reklaamimiseni. Seda ei saa vältida sellistel marsruutidel väljundfiltri rakendamisega.
  • Interneti-teenuse pakkuja teostab tavaliselt tarbija avastatud marsruutidel sisendi filtreerimist, et piirata seda sellele tarbijale tegelikult määratud IP-ga. Nii muutub IP-aadressi kaaperdamine üsna keeruliseks.

Mõnel juhul on ruuterites ebapiisav põhimälu kogu globaalse BGP-tabeli kandmiseks. Prefiksi pikkuse, AS-i arvu või mõlema kombinatsiooni põhjal sisendfiltreerimise kaudu piirdub kohalik marsruudi andmebaas globaalse tabeli alamhulgaga. Seda praktikat ei soovitata siiski kasutada.

IPv4 eesliiteid blokeerivad ka mõned võrgud, mida hoitakse piirkondlikes Interneti-registrites (RIR) ja mida pole delegeeritud ühelegi võrgule. See meetod nõuab ruuteri filtri regulaarset värskendamist. Kuid parem on seda tüüpi ruuteri filtreerimist mitte teha, kui teil pole RIR-andmebaaside kontrollimiseks usaldusväärset ja automatiseeritud tööriista.

2 Tulemüüri filtreerimine:

Tulemüür on tarkvara, seade või mitu seadet, mis on välja töötatud selleks, et keelata või võimaldada juurdepääsu võrgule edastust reeglistiku alusel, et kaitsta võrke volitamata juurdepääsu eest, võimaldades samal ajal seadusliku liikluse läbimist. Erinevad võrkude vahel andmeid edastavad ruuterid sisaldavad tulemüüri komponente ja suudavad täita vajalikke marsruutimisfunktsioone.

Järgmised on tulemüüride põhitüübid.

  • Rakenduskihi tulemüürid: seda tüüpi tulemüür töötab IP/TCP-virna rakendustasandil. See peatab kõik IP-paketid, mis liiguvad rakendusse või sealt, ning eemaldab soovimatu liikluse, et see jõuaks kaitstud masinateni/seadmeteni ilma saatjale kinnituseta. Kontrollikriteeriumid lisavad lisaks täiendavat latentsust pakettide sihtkohta suunamisel.
  • Puhverserveri teenused: need töötavad spetsiaalsetes riistvaraseadmetes või üldotstarbelistes masinates tarkvarana, reageerides sisendpakettidele, blokeerides samal ajal teised. Ohustatud sisesüsteem ei too sel juhul kaasa turvarikkumist, kuid sellised tehnikad nagu IP-võltsimine võivad pakette teise võrku üle kanda.
  • Paketifiltrid või võrgukihi tulemüürid: TCP/IP-protokolli virnaga töötades ei luba see tulemüür pakette läbida, välja arvatud juhul, kui need vastavad vaikimisi või administraatori määratud reeglitele. Tänapäeval saavad tulemüürid filtreerida liiklust selliste pakettide atribuutide alusel nagu lähteport, lähte- ja sihtkoha IP-aadress jne. Samuti saavad nad filtreerida TTL väärtuste, protokollide ja algataja võrguploki alusel.
  • Võrguaadressi tõlkimine (NAT):  RFC 1918 definitsiooni kohaselt võimaldab NAT varjata kaitstud seadmete IP-aadresse, nummerdades need privaatses aadressivahemikus olevate aadressidega.
  • Kohustuslik juurdepääsukontrolli (MAC) liivakast või filtreerimine:  see kaitseb haavatavaid teenuseid, lubades või keelates juurdepääsu konkreetsete seadmete MAC-aadresside alusel, millel on luba teatud võrguga ühenduse loomiseks.

3 Meili filtreerimine:

Seda tüüpi IP-filtreerimine hõlmab sissetulevate e-kirjade automaatset ja käsitsi töötlemist, nende organiseerimist eelseadistatud kriteeriumide järgi ning viiruste ja rämpsposti eemaldamist. See filter võimaldab kasutajale postkastis edastada ainult puhtad sõnumid.

Mõned neist filtritest saavad ka sõnumeid redigeerida, näiteks desaktiveerida pahatahtlikud lingid enne, kui kasutajad neil klõpsavad. Mõned organisatsioonid kontrollivad kõiki väljaminevaid kirju, et jälgida, kas nende töötajad täidavad seaduse nõudeid.

Meilifiltrid töötavad erinevatel meetoditel, näiteks märksõna, tüüpilise väljendi või saatja meili ID vastendamisel. Teised täiustatud lahendused kasutavad dokumentide klassifitseerimise tehnikaid, mis põhinevad statistikal, IP mainel ja meilianalüüsi algoritmidel, et takistada kirjade jõudmist turvalistesse postkastidesse.

See filtreerimistüüp võib olla probleem, kui musta nimekirja kantud IP-aadress edastatakse teise võrku. Võrk võib olla blokeerinud kirjaliikluse vastuvõtmise musta nimekirja kantud IP-delt ja aadressi eemaldamiseks oleks vaja ühendust võtta erinevate musta nimekirja hooldajatega.

TCP/IP marsruudifiltri reeglid

TCP/IP marsruudifiltri redaktori akna avamiseks klõpsake dialoogiboksis Main TCP/IP Filtering > valige ruuteri filtrite nupp. Marsruudi filtreerimise reegleid rakendatakse seadmes globaalselt, ilma et need oleksid seotud ühegi liidesega. Kuid neid saab piirata liidesega, kasutades reeglis modifikaatoreid to ja from .

Kuna reeglid määratakse enne rakendamist, ei korralda seade reeglikomplekte ümber. Neid rakendatakse nende kirjutamise järjekorras. VPN 5000 Manageri kasutades ühendatakse need erinevate filtrikomplektide valimisel seadmes esimesest viimaseni.

Võrku ei kaasata sisendi või väljundi marsruutimistabelisse, kui see pole reeglitega selgesõnaliselt lubatud. Kõigi teiste võrgunumbrite mittefiltreerimise lubamiseks peab viimane reegel olema: luba 0.0.0.0.

Kuna staatilisi ja otseseid marsruute ei võeta vastu liidese kaudu ja need on seadmes konfigureeritud, on need alati installitud ja neid ei saa filtreerida.

Halduri abil eelnevalt määratud reegleid saab kontrollida või redigeerida käsurea liidese kaudu. Haldurist alla laaditud reeglid on krüpteeritud.

TCP/IP marsruudifiltri redigeerimisakna abil loodud reeglite komplekti saab rakendada dialoogiboksi rippmenüüde kaudu.

IP-marsruudi filtri põhisüntaks ja reeglid

Iga kommentaaririda ja IP-aadress peavad sisaldama filtrikomplektis vähemalt toimingut. Need komponendid koos määravad filtrireegli, mida masin/seade hiljem võrgu marsruutimispakettide saatmisel ja vastuvõtmisel järgib.

Ruuteri filtri read peaksid algama lubamis-/keelamistoimingute ja kommentaarinäidikuga: #

  • Lubaga algavad read täpsustavad, et kõikidele tingimustele vastavate marsruutimispakettide teave peaks olema osa IP-marsruutimistabelist.
  • Keelaga algavad read täpsustavad, et kõikidele tingimustele vastavate pakettide teave ei tohiks olla osa IP-marsruutimistabelist.
  • # -ga algavad read täpsustavad, et real olev tekst on tegelikult kommentaar ja seda tuleb ignoreerida.

Igale reale, mis algab sõnadega luba või keelamine, peaks järgnema IP-aadress. Seda aadressi saab määrata mitmel viisil.

  • Aadresse saab näidata punktidega kümnendsüsteemis. Kui parempoolseimad komponendid on 0, käsitletakse neid metamärkidena.
  • Samuti saab kasutada faktoriseeritud vormingut, kus komponentide komplektid asendatakse IP-aadressidega. Need IP-aadressid on vormindatud kujul #.#.#.{#,#,…}. Tegurikomplektid peavad asuma aadressi lõpus. Mis tahes komponent, mis asub pärast faktorite komplekti asukohta, on 0.
  • Kuueteistkümnendsüsteemi numbreid saab kasutada ka IP-aadressi määramiseks.

Aadresside lõpus võib olla valikuline väli /bits. See näitab kõige olulisemaga algavate bittide arvu, mida seade/seade arvestab, kui aadressi võrreldakse marsruutimispaketi filtrireegliga.

IP-marsruudi filtri reegli valikud

Juhised määratakse tavaliselt mõlema või sisse- ja väljasõidujuhistega. Kui suunda pole määratud, on eelduseks mõlemad.

  • Sisse tähistavad marsruudifiltri reeglid rakendatakse ainult seadmesse tulevatele marsruutimispakettidele.

  • Marsruudifiltri reegleid, mis tähistavad välja, rakendatakse ainult seadmest saadetavatele marsruutimispakettidele.

  • Marsruudifiltri reegleid, mis näitavad mõlemat, rakendatakse mõlemas suunas marsruutimise pakettidele.

Millal ja kuidas GeoIP-filtreerimist kasutada

Kui teil on Ameerika Ühendriikides ettevõte ja teil pole mingit põhjust võrgusuhtlust teistest riikidest üle maailma vastu võtta, on üleriigiline geoIP-filtreerimine mõistlik. Kui aga tegeled klientidega välismaal, siis pead targalt läbi mõtlema, keda blokeerida.

Isegi kui klienditeenindus pole nii, võite kasutada väljaspool USA-d hostitud võrguteenust või tarkvara, näiteks veebimajutust või veebimeili. Seega peaksite lubama neil ka teie tulemüürist läbi pääseda.

Siiski võib olla palju riike, kust teil pole tegelikku põhjust ühenduste vastuvõtmiseks. GeoIP-filtreerimise abil saate hõlpsasti blokeerida riike, kellel on registreeritud pahatahtliku Interneti-liikluse päritolu. Riikide IP-de ära lõikamine tundub tõhus ja probleemivaba, kuid geoIP-seadete kohandamine on nutikam valik.

Võite blokeerida ainult IP või IP-aadresside loendi, mis teadaolevalt on pahatahtlikud. Kui aga jätkate ja blokeerite terve riigi, saate teha mõned erandid ja luua tulemüüris reeglid, mis lubavad valgesse nimekirja kantud IP-del teie süsteemi läbida.

Selline kohandamine võib olla väga kasulik, kui teie töötajad lähevad ärilistel eesmärkidel välismaale. Samuti saate ajutiselt deblokeerida nende külastatava riigi või lisada nende IP-aadressid lubatud loendisse.

KKK – IP-filtreerimine

IP-filtreerimine on parem kui mitte millegi puudumine. Sellel on aga kaks probleemi: IP-sid saab võltsida. Kui mõni sisemine instrument/masin satub ohtu, võib pahatahtlik tegutseja kasutada seda puhverserveri või hüppehostina teie süsteemi ründamiseks.

IPFilter või ipf on avatud lähtekoodiga tarkvarapakett, mis pakub NAT-i ja tulemüüriteenuseid mitmele operatsioonisüsteemile, nagu Unix. Darren Reed on tarkvara hooldaja ja autor. IPFilter on olekupõhine tulemüür, mis toetab IPv4 ja IPv6 protokolle.

internet.com webopedia defineerib pakettide filtreerimist kui sissetulevate ja väljaminevate IP-pakettide uurimist, et kontrollida juurdepääsu võrgule, peatada või lasta neil läbida allika või sihtkoha IP-aadressi alusel.

Järeldus

Sellega lõpeb meie juhend, mis andis teile teada kõik põhitõed, mida peate IP-filtreerimise kohta teadma. Ehkki sellega võib kaasneda mõningaid lõkse, on IP-aadressi filtreerimine tänapäeva ajastul üsna kasulik.

See blokeerib ühendused ja säästab teid pahatahtlike osalejate ja linkide eest, kasutades oma mitut filtreerimistüüpi ja -tehnikaid. Samuti takistab see musta nimekirja kantud IP-aadresside sattumist teie võrku ja teile kahju tekitamist.

Peame aga kordama, et geoIP-filtreerimise puhul on alati parem valik oma filtrisätteid kohandada, selle asemel, et blokeerida kõik välismaised ühendused.

Loodame, et teile meeldis meie IP-filtreerimise juhend. Küsimuste korral kommenteerige julgelt.

Sulle võib ka meeldida Veel autorilt
Veel lugusid

PIA VPN Reddit – (Redditori autentsed kommentaarid)

Kuidas installida Kodi privaatne Interneti-juurdepääs…

Kuidas ipVanishist tühistada ja raha tagasi saada…

1 kohta 446

See veebisait kasutab teie kasutuskogemuse parandamiseks küpsiseid. Eeldame, et olete sellega rahul, kuid saate soovi korral loobuda. Nõustu Loe rohkem