IP-фильтрация: общие методы фильтрации IP-адресов

IP-фильтрация стала обычной практикой в ​​наши дни. Хорошо это или плохо, но это утомительный процесс и имеет различные ограничения для компаний, которые используют этот метод в качестве основного решения для определения каждого пользователя и выявления мошеннического поведения.

Однако процесс фильтрации IP-адресов уместен и эффективен во многих ситуациях. Типичным примером являются потоковые сервисы, такие как Netflix, которые ограничивают доступ пользователей к определенным заголовкам контента на основе их IP-адресов.

Это означает, что если вы живете в Соединенных Штатах, вы не можете получить доступ к Netflix Korea или Netflix Japan из-за IP-фильтрации. Точно так же невозможно смотреть американский Netflix в Великобритании, Китае, Канаде, России и других странах.

Кроме того, ИТ-специалисты иногда также хотят заблокировать определенное подмножество онлайн-трафика на свой веб-сайт, чтобы разрешить только определенный список IP-адресов или из-за географического местоположения.

Хотя все это кажется довольно интересным, мы хотели бы рассказать вам больше об IP-фильтрации. Итак, в руководстве вы узнаете, что это такое, общие приемы, правила и способы его использования. Давайте начнем!

---

Что такое IP-фильтрация?

IP-фильтрация позволяет вам контролировать, какой IP-трафик будет разрешен внутри и вне вашей сети. Это позволяет вам определять правила, а затем фильтровать IP-пакеты на основе этих установленных правил.

Другими словами, IP-фильтрация — это процедура, определяющая IP-пакеты, которые будут обрабатываться и отбрасываться/удаляться. Вы можете применить несколько критериев, чтобы указать, какие данные вы хотите отфильтровать. Вот несколько примеров:

• Тип дейтаграммы: эхо-запрос ICMP, SYN/ACK, данные и т. д.
• Тип протокола: UDP, TCP, ICMP и другие.
• Адрес источника и получателя дейтаграммы: откуда она пришла и куда направляется.
• Номер сокета: (для UDP/TCP)

Очень важно признать, что фильтрация IP-адресов является средством сетевого уровня. Он ничего не понимает в приложении, использующем сетевые соединения, кроме самих соединений.

---

Общие методы IP-фильтрации

Существует три распространенных метода IP-фильтрации. Давайте проверим их ниже:

1 Фильтрация маршрута:

При фильтрации маршрутов некоторые маршруты не объявляются или не рассматриваются для включения в локальную базу данных. Фильтры можно применять к маршрутизаторам до фильтрации вывода или после фильтрации ввода.

Существует несколько причин для фильтрации маршрутов:

• Этот тип фильтрации гарантирует, что использование RFC 1918 (частное адресное пространство) не просочится в глобальный Интернет. Оба эти префикса требуют блокировки при входной и выходной фильтрации сетью.
• Объявление маршрутов, которые не являются локальными для соседа, когда веб-сайт является многосетевым, отличным от того, из которого он был известен, равносильно объявлению о готовности служить для транзита. Этого нельзя избежать, применяя фильтрацию вывода на таких маршрутах.
• Поставщик интернет-услуг обычно выполняет входную фильтрацию маршрутов, обнаруженных у потребителя, для ограничения его IP-адресом, фактически назначенным этому потребителю. Таким образом, перехват IP-адреса становится довольно сложным.

В некоторых случаях в маршрутизаторах недостаточно оперативной памяти для хранения всей глобальной таблицы BGP. Благодаря входной фильтрации по длине префикса, количеству AS или их комбинации локальная база данных маршрутов ограничивается подмножеством глобальной таблицы. Однако такая практика не рекомендуется.

Префиксы IPv4 также блокируются некоторыми сетями, которые хранятся в региональных интернет-реестрах (RIR) и не делегированы ни одной сети. Этот метод требует регулярного обновления фильтра маршрутизатора. Но лучше не выполнять такого рода фильтрацию маршрутизатора, если у вас нет надежного и автоматизированного инструмента для проверки баз данных RIR.

2 Фильтрация брандмауэра:

Брандмауэр — это программное обеспечение, устройство или несколько устройств, разработанных для запрета или разрешения передачи данных по сети на основе набора правил для защиты сетей от несанкционированного доступа при разрешении прохождения законного трафика. Различные маршрутизаторы, передающие данные между сетями, содержат компоненты брандмауэра и могут выполнять необходимые функции маршрутизации.

Ниже приведены основные виды межсетевых экранов:

• Брандмауэры прикладного уровня. Этот тип брандмауэра работает на прикладном уровне стека IP/TCP. Он перехватывает все IP-пакеты, идущие к приложению или от него, и отбрасывает нежелательный трафик извне, чтобы он не достигал защищенных машин/устройств без какого-либо подтверждения отправителю. Критерии проверки дополнительно увеличивают задержку при пересылке пакетов к месту назначения.
• Прокси-сервисы: они работают на выделенных аппаратных устройствах или на машинах общего назначения в качестве программного обеспечения, отвечая на входные пакеты и блокируя другие. Скомпрометированная внутренняя система в этом случае не приведет к нарушению безопасности, однако такие методы, как подмена IP-адреса, могут передавать пакеты в другую сеть.
• Пакетные фильтры или брандмауэры сетевого уровня. При работе со стеком протоколов TCP/IP этот брандмауэр не пропускает через себя пакеты, если они не соответствуют правилам, установленным по умолчанию или администратором. В наши дни брандмауэры могут фильтровать трафик на основе атрибутов пакетов, таких как исходный порт, IP-адрес источника и получателя и т. д. Они также могут фильтровать на основе значений TTL, протоколов и сетевого блока отправителя.
• Преобразование сетевых адресов (NAT).  Как определено в RFC 1918, NAT позволяет скрывать IP-адреса защищенных устройств, нумеруя их с адресами, присутствующими в диапазоне частных адресов.
• Песочница или фильтрация обязательного контроля доступа (MAC):  защищает уязвимые службы, разрешая или запрещая доступ на основе MAC-адресов определенных устройств, которым разрешено подключаться к определенной сети.

3 Фильтрация электронной почты:

Этот тип IP-фильтрации включает в себя автоматическую и ручную обработку входящих сообщений электронной почты, организацию их по заданным критериям и удаление вирусов и спама. Этот фильтр позволяет доставлять пользователю в папку «Входящие» только чистые сообщения.

Некоторые из этих фильтров также могут редактировать сообщения, например деактивировать вредоносные ссылки до того, как пользователи фактически нажмут на них. Несколько организаций проверяют всю исходящую корреспонденцию на предмет соблюдения их сотрудниками требований закона.

Фильтры электронной почты работают с помощью различных методов, таких как сопоставление ключевого слова, типичного выражения или идентификатора электронной почты отправителя. В других передовых решениях используются методы классификации документов, основанные на статистике, репутации IP -адресов и алгоритмах анализа электронной почты, чтобы предотвратить попадание сообщений в защищенные почтовые ящики.

Этот тип фильтрации может быть проблемой, когда IP-адрес из черного списка передается в другую сеть. Сеть могла заблокировать получение почтового трафика от IP-адресов, внесенных в черный список, и для исключения адреса из этого списка потребуется обратиться к различным специалистам, поддерживающим черный список.

---

Правила фильтрации маршрутов TCP/IP

Для доступа к окну редактора фильтров маршрутов TCP/IP щелкните диалоговое окно Main TCP/IP Filtering > выберите кнопку фильтров маршрутизатора. Правила фильтрации маршрутов применяются в устройстве глобально, без привязки к какому-либо интерфейсу. Но их можно ограничить интерфейсом, используя модификаторы to и from в правиле.

Поскольку правила задаются до применения, устройство не меняет порядок наборов правил. Они применяются в том порядке, в котором они написаны. При использовании диспетчера VPN 5000 при выборе различных наборов фильтров они будут объединены в устройство от первого к последнему.

Сеть не будет включена в таблицу маршрутизации на входе или выходе, если это явно не разрешено правилами. Чтобы все остальные сетевые номера не подвергались фильтрации, окончательное правило должно быть таким: разрешить 0.0.0.0.

Поскольку статические и прямые маршруты не принимаются через интерфейс и настраиваются в устройстве, они всегда устанавливаются и не могут быть отфильтрованы.

Правила, заданные ранее с помощью Менеджера, можно просмотреть или отредактировать через интерфейс командной строки. Правила, загруженные из Менеджера, зашифрованы.

Набор правил, созданный с помощью окна редактора фильтра маршрутов TCP/IP, можно применить с помощью раскрывающихся меню в диалоговом окне.

Базовый синтаксис и правила фильтрации IP-маршрутов

Каждая строка комментария и IP-адрес должны включать как минимум действие в наборе фильтров. Вместе эти компоненты задают правило фильтрации, которому позже следует машина/устройство для отправки и получения пакетов сетевой маршрутизации.

Строки в фильтре маршрутизатора должны начинаться с действий «разрешить/запретить» и индикатором комментария: #

• Строки, начинающиеся с разрешения, указывают, что информация из пакетов маршрутизации, отвечающих всем условиям, должна быть частью таблицы IP-маршрутизации.
• Строки, начинающиеся с deny, указывают, что информация из пакетов, удовлетворяющих всем условиям, не должна быть частью таблицы IP-маршрутизации.
• Строки, начинающиеся с #, указывают, что текст, присутствующий в строке, на самом деле является комментарием и его следует игнорировать.

За каждой строкой, начинающейся с разрешения или запрета, должен следовать IP-адрес. Этот адрес может быть указан различными способами.

• Адреса могут быть указаны в точечно-десятичной системе счисления. Если крайние правые компоненты равны 0, они рассматриваются как подстановочные знаки.
• Факторизованный формат также может использоваться, когда наборы компонентов заменяются IP-адресами. Эти IP-адреса имеют формат #.#.#.{#,#,…}. Наборы факторов должны быть в конце адреса. Любой компонент, присутствующий после позиции набора факторов, принимается равным 0.
• Шестнадцатеричные числа также могут использоваться для указания IP-адреса.

Адреса могут иметь в конце необязательное поле /bits . Указывает количество битов, начиная с самого важного, которое будет учитываться инструментом/устройством при сравнении адреса с правилом фильтрации в пакете маршрутизации.

Параметры правила фильтрации IP-маршрутов

Направления обычно задаются либо обоими, либо входом и выходом. Если направление не указано, предполагается оба варианта.

• Правила фильтрации маршрутов, обозначающие in, применяются только к маршрутизирующим пакетам, поступающим на устройство.

• Правила фильтрации маршрутов, обозначающие выход, применяются к маршрутизируемым пакетам, отправляемым только с устройства.

• Правила фильтрации маршрутов, указывающие, что оба применяются к маршрутизации пакетов в обоих направлениях.

Когда и как использовать фильтрацию GeoIP

Если у вас есть бизнес в Соединенных Штатах, и у вас нет причин принимать онлайн-сообщения из других стран по всему миру, тогда фильтрация по геоIP по всей стране имеет смысл. Но, если вы имеете дело с клиентами за границей, то нужно хорошо подумать, кого вам нужно заблокировать.

Даже если дело обстоит не с клиентами, возможно, вы используете онлайн-сервис или программное обеспечение, размещенное за пределами США, например веб-хостинг или веб-почту. Таким образом, вы также должны разрешить им проходить через ваш брандмауэр.

Однако может быть много стран, из которых у вас нет реальной причины принимать подключения. С помощью фильтрации по геоIP-адресу вы можете легко заблокировать страны, имеющие послужной список исходящего вредоносного интернет-трафика. Отключение IP-адресов от стран кажется эффективным и беспроблемным, но настройка параметров геоIP — более разумный вариант.

Вы можете заблокировать только IP-адрес или список IP-адресов, которые, как известно, являются вредоносными. Но если вы все же заблокируете всю страну, вы можете сделать некоторые исключения и создать правила в своем брандмауэре, которые разрешают IP-адресам из белого списка проходить через вашу систему.

Такая настройка может оказаться весьма полезной, если ваши сотрудники уезжают за границу с деловыми целями. Вы также можете временно разблокировать страну, которую они посещают, или внести их IP-адреса в белый список.

---

Часто задаваемые вопросы — IP-фильтрация

IP-фильтрация лучше, чем ничего. Однако у него есть две проблемы: IP-адреса могут быть подделаны. Если какой-либо внутренний инструмент/компьютер скомпрометирован, злоумышленник может использовать его в качестве прокси -сервера или узла перехода для атаки на вашу систему.

IPFilter или ipf — это программный пакет с открытым исходным кодом, который предлагает услуги NAT и брандмауэра для нескольких операционных систем, таких как Unix. Даррен Рид — специалист по сопровождению и автор программного обеспечения. IPFilter — межсетевой экран с отслеживанием состояния, поддерживающий протоколы IPv4 и IPv6.

Internet.com webopedia определяет фильтрацию пакетов как проверку входящих и исходящих IP-пакетов для управления доступом к сети, останавливая или пропуская их в зависимости от исходного или конечного IP-адреса.

---

Вывод

На этом наше руководство заканчивается, в котором вы рассказали все основы, которые вам нужно знать об IP-фильтрации. Хотя фильтрация IP-адресов может иметь несколько подводных камней, она действительно очень полезна в современную эпоху.

Он блокирует соединения и защищает вас от злоумышленников и ссылок, используя несколько типов и методов фильтрации. Это также предотвращает попадание IP-адресов из черного списка в вашу сеть и причинение вам какого-либо ущерба.

Тем не менее, мы должны повторить, что когда дело доходит до фильтрации по геоIP, всегда лучше настроить параметры фильтра, чем блокировать все подключения из-за границы.

Мы надеемся, что вам понравилось наше руководство по IP-фильтрации. Не стесняйтесь комментировать в случае возникновения каких-либо вопросов.