...
🧠 Blogi on omistettu VPN: n ja turvallisuuden, internetin tietosuojan aiheelle. Puhumme ajankohtaisista trendeistä ja uutisista, jotka liittyvät suojeluun.
Datan suojeluVPN ja yksityisyysVPN tietokoneille

IP-suodatus: IP-osoitteen yleisten suodatustekniikoiden ymmärtäminen

25
Sisältö
Mikä on IP-suodatus?
Yleiset IP-suodatustekniikat
1 Reitin suodatus:
2 Palomuurisuodatus:
3 Sähköpostin suodatus:
TCP/IP-reitityssuodatinsäännöt
IP-reitittimen perussyntaksi ja säännöt
IP-reitityssuodatinsäännön asetukset
Milloin ja miten GeoIP-suodatusta käytetään
UKK – IP-suodatus
Johtopäätös

IP-suodatuksesta on tullut yleinen käytäntö nykyaikana. Paremmin tai huonommin se on työläs prosessi, ja sillä on useita rajoituksia yrityksille, jotka käyttävät tätä tekniikkaa ensisijaisena ratkaisuna kunkin käyttäjän määrittämiseen ja vilpillisen toiminnan seulomiseen.

IP-osoitteiden suodatusprosessi on kuitenkin asianmukainen ja tehokas useissa tilanteissa. Yleinen esimerkki ovat suoratoistopalvelut, kuten Netflix , rajoittavat käyttäjien pääsyä tiettyihin sisältönimikkeisiin heidän IP-osoitteidensa perusteella.

Tämä tarkoittaa, että jos asut Yhdysvalloissa, et voi käyttää Netflix Koreaa tai Netflix Japania IP-suodatuksen vuoksi. Samoin amerikkalaisen Netflixin katsominen Isossa-Britanniassa, Kiinassa, Kanadassa, Venäjällä ja muissa maissa on yhtä mahdotonta.

Lisäksi IT-ammattilaiset haluavat joskus myös estää tietyn verkkoliikenteen osajoukon verkkosivustolleen salliakseen vain tietyn IP-osoitteiden luettelon tai maantieteellisen sijainnin vuoksi.

Vaikka tämä kaikki vaikuttaa varsin mielenkiintoiselta, haluaisimme kertoa sinulle lisää IP-suodatuksesta. Joten oppaassa opit, mikä se on, sen yleiset tekniikat, säännöt ja kuinka sitä käytetään. Aloitetaan!

Mikä on IP-suodatus?

IP-suodatuksen avulla voit hallita, mikä IP-liikenne sallitaan verkossasi ja sen ulkopuolella. Sen avulla voit määrittää sääntöjä ja sitten suodattaa IP-paketteja näiden asetettujen sääntöjen perusteella.

Toisin sanoen IP-suodatus on prosessi, joka määrittää IP-paketit, jotka käsitellään ja hylätään/poistetaan. Voit käyttää useita ehtoja määrittääksesi, mitkä tiedot haluat suodattaa. Tässä on muutama esimerkki:

  • Datagrammin tyyppi: ICMP Echo Request, SYN/ACK, data ja paljon muuta.
  • Protokollatyyppi: UDP, TCP, ICMP ja paljon muuta.
  • Datagrammin lähde- ja kohdeosoite: mistä se tuli ja minne se on menossa.
  • Vastakkeen numero: (UDP/TCP)

On varsin merkittävää tunnustaa, että IP-osoitteiden suodatus on verkkokerroksen ominaisuus. Se ei ymmärrä verkkoyhteyksiä käyttävästä sovelluksesta mitään, vaan itse yhteydet.

Yleiset IP-suodatustekniikat

IP-suodatustekniikoita on kolme yleistä. Katsotaanpa niitä alla:

1 Reitin suodatus:

Reittisuodatuksessa kaikkia reittejä ei ilmoiteta tai niitä ei harkita sisällytettäviksi paikalliseen tietokantaan. Suodattimia voidaan käyttää reitittimissä ennen lähtösuodatusta tai tulosuodatuksen jälkeen.

Reitin suodattamiseen on useita syitä:

  • Tällainen suodatus varmistaa, että RFC 1918:n (yksityinen osoiteavaruus) käyttö ei vuoda globaaliin Internetiin. Molemmat etuliitteet edellyttävät verkon estämistä tulo- ja lähtösuodatuksessa.
  • Ei-paikallisten reittien ilmoittaminen naapurille, kun verkkosivusto on monikotimainen, poikkeaa siitä, josta se tunnettiin, tarkoittaa palveluvalmiuden mainostamista kauttakulkua varten. Tätä ei voi välttää käyttämällä lähtösuodatusta tällaisilla reiteillä.
  • Internet-palveluntarjoaja tyypillisesti suorittaa syötesuodatuksen kuluttajalta löytämille reiteille rajoittaakseen sen tälle kuluttajalle tosiasiallisesti osoitettuun IP-osoitteeseen. Tällä tavalla IP-osoitteen kaappauksesta tulee melko vaikeaa.

Joissakin tapauksissa reitittimissä ei ole tarpeeksi päämuistia koko globaalin BGP-taulukon kuljettamiseen. Etuliitteen pituuden, AS-määrän tai molempien yhdistelmän syötesuodatuksen avulla paikallinen reittitietokanta rajoittuu globaalin taulukon osajoukkoon. Tätä käytäntöä ei kuitenkaan suositella.

IPv4-etuliitteet estävät myös jotkin verkot, jotka ovat alueellisissa Internet-rekistereissä (RIR) ja joita ei ole delegoitu mihinkään verkkoon. Tämä tekniikka vaatii säännöllisen päivityksen reitittimen suodattimeen. Mutta on parasta olla suorittamatta tällaista reitittimen suodatusta, ellei sinulla ole luotettavaa ja automatisoitua työkalua RIR-tietokantojen tarkistamiseen.

2 Palomuurisuodatus:

Palomuuri on ohjelmisto, laite tai useita laitteita, jotka on kehitetty estämään tai sallimaan pääsy verkkoon sääntöjen perusteella suojatakseen verkkoja luvattomalta käytöltä ja sallimalla laillisen liikenteen läpikulku. Erilaiset verkkojen välillä dataa välittävät reitittimet sisältävät palomuurin osia ja voivat suorittaa tarvittavia reititystoimintoja.

Seuraavat ovat palomuurien perustyypit:

  • Sovelluskerroksen palomuurit: Tällainen palomuuri toimii IP/TCP-pinon sovellustasolla. Se sieppaa kaikki IP-paketit, jotka kulkevat sovellukseen tai siitä ja pudottaa ei-toivotun liikenteen ulkopuolelta suojatuille koneille/laitteille ilman kuittausta lähettäjälle. Tarkastuskriteerit lisäävät lisäksi ylimääräistä latenssia pakettien välittämiseen määränpäähän.
  • Välityspalvelinpalvelut: Nämä toimivat omistetuilla laitteistoilla tai yleiskäyttöisillä koneilla ohjelmistoina, jotka vastaavat syöttöpaketteihin ja estävät muut. Tässä tapauksessa vaarantunut sisäinen järjestelmä ei johtaisi tietoturvaloukkaukseen, mutta IP-huijauksen kaltaiset tekniikat voivat siirtää paketteja toiseen verkkoon.
  • Pakettisuodattimet tai verkkokerroksen palomuurit: Toimiessaan TCP/IP-protokollapinossa tämä palomuuri ei salli pakettien kulkemista sen läpi, elleivät ne vastaa oletus- tai järjestelmänvalvojan asettamia sääntöjä. Palomuurit voivat nykyään suodattaa liikennettä pakettien ominaisuuksien, kuten lähdeportin, lähde- ja kohde-IP-osoitteen jne. perusteella. Ne voivat myös suodattaa TTL-arvojen, protokollien ja lähettäjän verkkoblokin perusteella.
  • Verkko-osoitteiden käännös (NAT):  RFC 1918:n määritelmän mukaan NAT mahdollistaa suojattujen laitteiden IP-osoitteiden piilottamisen numeroimalla ne yksityisellä osoitealueella olevilla osoitteilla.
  • Pakollinen MAC-hiekkalaatikko tai suodatus:  Se suojaa haavoittuvia palveluita sallimalla tai estämällä pääsyn tiettyjen laitteiden MAC-osoitteiden perusteella, joilla on oikeus muodostaa yhteys tiettyyn verkkoon.

3 Sähköpostin suodatus:

Tämäntyyppinen IP-suodatus sisältää saapuvien sähköpostien automaattisen ja manuaalisen käsittelyn, niiden järjestämisen ennalta asetettujen kriteerien mukaan sekä virusten ja roskapostin poistamisen. Tämä suodatin mahdollistaa vain puhtaiden viestien toimittamisen käyttäjälle sen postilaatikossa.

Jotkut näistä suodattimista voivat myös muokata viestejä, kuten poistaa haitalliset linkit käytöstä ennen kuin käyttäjät napsauttavat niitä. Muutamat organisaatiot tarkastavat kaikki lähtevät sähköpostit varmistaakseen, noudattavatko heidän työntekijänsä lain vaatimuksia.

Sähköpostisuodattimet toimivat useilla eri tavoilla, kuten hakusanalla, tyypillisellä lausekkeella tai lähettäjän sähköpostitunnuksella. Muut edistyneet ratkaisut käyttävät asiakirjojen luokittelutekniikoita, jotka perustuvat tilastoihin, IP-maineeseen ja sähköpostin analysointialgoritmeihin estämään viestejä pääsemästä suojattuun postilaatikkoon.

Tämä suodatustyyppi voi olla ongelma, kun mustalla listalla oleva IP-osoite siirretään toiseen verkkoon. Verkko on saattanut estää sähköpostiliikenteen vastaanottamisen mustalla listalla olevilta IP-osoitteilta ja vaatisi ottamaan yhteyttä useisiin mustan listan ylläpitäjiin osoitteen poistamiseksi.

TCP/IP-reitityssuodatinsäännöt

Pääset TCP/IP-reittisuodattimen muokkausikkunaan napsauttamalla TCP/IP-suodatuksen päävalintaikkunaa > valitse reitittimen suodattimien painike. Reitin suodatuksen sääntöjä sovelletaan laitteessa maailmanlaajuisesti ilman, että ne liittyvät mihinkään rajapintaan. Mutta ne voidaan rajoittaa käyttöliittymään käyttämällä säännön to- ja from-määritteitä .

Koska säännöt määritetään ennen sovellusta, laite ei järjestä sääntöjoukkoja uudelleen. Niitä sovelletaan siinä järjestyksessä, jossa ne on kirjoitettu. VPN 5000 Managerin avulla, kun eri suodatinsarjat valitaan, ne ketjutetaan laitteessa ensimmäisestä viimeiseen.

Verkkoa ei sisällytettäisi tulon tai lähdön reititystaulukkoon, jos säännöt eivät sitä nimenomaisesti salli. Jotta kaikkia muita verkkonumeroita ei suodateta, viimeisen säännön on oltava: sallia 0.0.0.0.

Koska staattisia ja suoria reittejä ei vastaanoteta rajapinnan kautta ja ne konfiguroidaan laitteessa, ne asennetaan aina eikä niitä voi suodattaa.

Managerilla aiemmin määritettyjä sääntöjä voidaan tarkastella tai muokata komentoriviliittymän kautta. Managerista ladatut säännöt ovat salattuja.

Sääntöjoukkoa, joka on luotu TCP/IP-reitityssuodattimen muokkausikkunan avulla, voidaan soveltaa valintaikkunan avattavien valikkojen kautta.

IP-reitittimen perussyntaksi ja säännöt

Jokaisen kommenttirivin ja IP-osoitteen tulee sisältää vähintään toiminto suodatinsarjassa. Nämä komponentit yhdessä määrittävät suodatussäännön, jota kone/laite myöhemmin noudattaa verkon reitityspakettien lähettämisessä ja vastaanottamisessa.

Reitittimen suodattimen rivien tulee alkaa lupa-/kieltäytymistoimilla ja kommenttiosoittimella: #

  • Lupa -alkuiset rivit määrittävät, että kaikki ehdot täyttävien reitityspakettien tietojen tulee olla osa IP-reititystaulukkoa.
  • Deny- alkuiset rivit määrittävät, että kaikki ehdot täyttävien pakettien tiedot eivät saa olla osa IP-reititystaulukkoa.
  • # -kirjaimella alkavat rivit osoittavat, että rivillä oleva teksti on itse asiassa kommentti ja se on jätettävä huomiotta.

Jokaisen lupa- tai kieltokirjalla alkavan rivin jälkeen tulee olla IP-osoite. Tämä osoite voidaan määrittää eri tavoin.

  • Osoitteet voidaan ilmaista piste-desimaalimuodossa. Jos oikeanpuoleiset komponentit ovat 0, niitä käsitellään jokerimerkeinä.
  • Voidaan käyttää myös tekijöihin jaettua muotoa, jossa komponenttijoukot korvataan IP-osoitteiksi. Nämä IP-osoitteet on muotoiltu muodossa #.#.#.{#,#,…}. Kerroinjoukkojen on oltava osoitteen lopussa. Mikä tahansa tekijäjoukon paikan jälkeen esiintyvä komponentti oletetaan 0:ksi.
  • Heksadesimaalilukuja voidaan käyttää myös IP-osoitteen määrittämiseen.

Osoitteiden lopussa voi olla valinnainen kenttä /bits. Tämä ilmaisee tärkeimmällä alkavien bittien määrän, jonka laite/laite ottaa huomioon, kun osoitetta verrataan reitityspaketin suodatinsääntöön.

IP-reitityssuodatinsäännön asetukset

Ajo-ohjeet määritetään yleensä joko molemmilla tai sisään ja ulos. Jos suuntaa ei ole määritetty, oletus on molemmat.

  • Reittisuodatinsääntöjä, jotka merkitsevät sisään, sovelletaan vain laitteeseen tuleviin reitityspaketteihin.

  • Reittisuodatinsääntöjä, jotka ilmaisevat ulos, sovelletaan vain laitteelta lähetettäviin reitityspaketteihin.

  • Reittisuodatinsääntöjä, jotka osoittavat molempia, sovelletaan reitityspaketteihin molempiin suuntiin.

Milloin ja miten GeoIP-suodatusta käytetään

Jos omistat yrityksen Yhdysvalloissa, eikä sinulla ole mitään syytä hyväksyä verkkoviestintää muista maista ympäri maailmaa, maanlaajuinen geoIP-suodatus on järkevää. Mutta jos olet tekemisissä asiakkaiden kanssa ulkomailla, sinun on harkittava viisaasti, ketä sinun pitää estää.

Vaikka asia ei olisikaan asiakkaalle, saatat käyttää Yhdysvaltojen ulkopuolella isännöityä verkkopalvelua tai ohjelmistoa, kuten verkkopalvelua tai webmailia. Joten sinun on sallittava niiden kulkea myös palomuurisi läpi.

Saattaa kuitenkin olla, että useista maista sinulla ei ole todellista syytä hyväksyä yhteyksiä. GeoIP-suodatuksen avulla voit helposti estää valtioita, joilla on näyttöä haitallisesta Internet-liikenteestä. IP-osoitteiden leikkaaminen maista näyttää tehokkaalta ja vaivattomalta, mutta geoIP-asetusten säätäminen on älykkäämpi vaihtoehto.

Saatat estää vain IP-osoitteen tai luettelon IP-osoitteista, joiden tiedetään olevan haitallisia. Mutta jos estät koko maan, voit tehdä poikkeuksia ja luoda palomuuriisi sääntöjä, jotka sallivat sallittujen IP-osoitteiden kulkemisen järjestelmäsi läpi.

Tällainen säätäminen voi olla hyödyllistä, jos henkilökuntasi on lähdössä ulkomaille liiketoimintaa varten. Voit myös väliaikaisesti poistaa eston maassa, jossa he vierailevat, tai lisätä heidän IP-osoitteensa sallittujen luetteloon.

UKK – IP-suodatus

IP-suodatus on parempi kuin ei mitään. Siinä on kuitenkin kaksi ongelmaa: IP-osoitteita voidaan huijata. Jos jokin sisäinen instrumentti/kone vaarantuu, pahantahtoinen toimija voi käyttää sitä välityspalvelimena tai hyppyisäntänä hyökätäkseen järjestelmääsi.

IPFilter tai ipf on avoimen lähdekoodin ohjelmistopaketti, joka tarjoaa NAT- ja palomuuripalvelut useille käyttöjärjestelmille, kuten Unixille. Darren Reed on ohjelmiston ylläpitäjä ja kirjoittaja. IPFilter on tilallinen palomuuri, joka tukee IPv4- ja IPv6-protokollia.

internet.com webopedia määrittelee pakettien suodatuksen saapuvien ja lähtevien IP-pakettien tutkimiseksi verkkoon pääsyn hallitsemiseksi, pysäyttäen tai sallien niiden kulkea lähde- tai kohde-IP-osoitteen perusteella.

Johtopäätös

Tämä lopettaa oppaamme, joka kertoi sinulle kaikki perusasiat, jotka sinun tulee tietää IP-suodatuksesta. Vaikka IP-osoitteiden suodatus saattaa sisältää joitakin sudenkuoppia, se on todella hyödyllistä nykyaikana.

Se estää yhteydet ja säästää sinut haitallisilta toimijoilta ja linkeiltä käyttämällä useita suodatustyyppejä ja tekniikoita. Se myös estää mustalla listalla olevia IP-osoitteita pääsemästä verkkoosi ja aiheuttamasta sinulle vahinkoa.

Meidän on kuitenkin toistettava, että geoIP-suodatuksen suhteen on aina parempi vaihtoehto säätää suodatinasetuksia sen sijaan, että estetään kaikki ulkomailta tulevat yhteydet.

Toivomme, että pidit IP-suodatusoppaastamme. Voit vapaasti kommentoida, jos sinulla on kysyttävää.

saatat pitää myös Lisää kirjoittajalta
Lisää merkintöjä

PIA VPN Reddit – (Redditorsin aidot kommentit)

Yksityisen Internet-yhteyden asentaminen Kodille…

Kuinka peruuttaa ipVanish ja saada hyvitys [2020 Guide]

1 of 449

Tämä verkkosivusto käyttää evästeitä parantaakseen käyttökokemustasi. Oletamme, että olet kunnossa, mutta voit halutessasi kieltäytyä. Hyväksyä Lisätietoja