Фільтрація IP: розуміння загальних методів фільтрації IP
У сучасну епоху фільтрація IP стала звичайною практикою. На краще чи на гірше, це виснажливий процес і має різні обмеження для компаній, які використовують цю техніку як основне рішення для визначення кожного користувача та виявлення шахрайських дій.
Однак процес фільтрації IP-адрес є доречним і ефективним у багатьох ситуаціях. Типовим прикладом є потокові сервіси, такі як Netflix, обмежують доступ користувачів до певних заголовків вмісту на основі їхніх IP-адрес.
Це означає, що якщо ви живете в Сполучених Штатах, ви не можете отримати доступ до Netflix Korea або Netflix Japan через фільтрацію IP. Так само неможливо дивитися американський Netflix у Великобританії, Китаї, Канаді, Росії тощо.
Більше того, ІТ-фахівці іноді також хочуть заблокувати певну частину онлайн-трафіку на своєму веб-сайті, щоб дозволити лише певний список IP-адрес або через географічне розташування.
Хоча все це виглядає досить цікаво, ми хотіли б розповісти вам більше про фільтрацію IP. Отже, у посібнику ви дізнаєтеся, що це таке, його загальні прийоми, правила та як ним користуватися. Давайте розпочнемо!
Що таке IP-фільтрація?
Фільтрація IP дозволяє контролювати, який IP-трафік буде дозволено всередині та за межами вашої мережі. Він дозволяє визначати правила, а потім фільтрувати IP-пакети на основі цих встановлених правил.
Іншими словами, IP-фільтрація – це процедура, яка визначає IP-пакети, які будуть оброблені та відкинуті/видалені. Ви можете застосувати кілька критеріїв, щоб визначити, які дані потрібно фільтрувати. Ось кілька прикладів:
- Тип дейтаграми: ICMP Echo Request, SYN/ACK, дані тощо.
- Тип протоколу: UDP, TCP, ICMP тощо.
- Адреса джерела та призначення дейтаграми: звідки вона прийшла і куди прямує.
- Номер сокета: (для UDP/TCP)
Дуже важливо визнати, що фільтрація IP-адрес є засобом мережевого рівня. Він нічого не розуміє про програму, яка використовує мережеві з'єднання, а розуміє самі підключення.
Поширені методи фільтрації IP
Існує три поширені типи методів фільтрації IP. Давайте перевіримо їх нижче:
1 Фільтрація маршруту:
У фільтрації маршрутів деякі маршрути не оголошуються або не розглядаються для включення до локальної бази даних. Фільтри можна застосовувати до маршрутизаторів до фільтрації вихідних даних або після фільтрації вхідних даних.
Існує кілька причин фільтрації маршрутів:
- Такий вид фільтрації гарантує, що використання RFC 1918 (приватний адресний простір) не потрапить у глобальний Інтернет. Обидва ці префікси вимагають блокування фільтрації введення та виведення мережею.
- Оголошення про маршрути, які є нелокальними для сусіда, коли веб-сайт багатосередний, не схожий на той, з якого він був відомий, означає рекламу готовності служити для транзиту. Цього не уникнути, застосувавши фільтрацію вихідних даних до таких маршрутів.
- Провайдер Інтернет-послуг зазвичай виконує фільтрацію вхідних даних на маршрутах, виявлених від споживача, щоб обмежити його IP-адресою, фактично призначеною цьому споживачу. Таким чином, захоплення IP-адреси стає досить складним.
У деяких випадках в маршрутизаторах недостатньо основної пам’яті для перенесення всієї глобальної таблиці BGP. Завдяки фільтрації вхідних даних за довжиною префікса, кількістю AS або комбінацією того і іншого, локальна база даних маршрутів обмежується підмножиною глобальної таблиці. Однак ця практика не рекомендується.
Префікси IPv4 також блокуються деякими мережами, які зберігаються в регіональних Інтернет-реєстрах (RIR) і не делеговані жодній мережі. Ця техніка вимагає регулярного оновлення фільтра маршрутизатора. Але краще не виконувати такого роду фільтрацію маршрутизатора, якщо у вас немає надійного й автоматизованого інструменту для перевірки баз даних RIR.
2 Фільтрація брандмауера:
Брандмауер — це програмне забезпечення, пристрій або кілька пристроїв, розроблені для відмови або дозволу передачі мережі доступу на основі набору правил для захисту мереж від несанкціонованого доступу, дозволяючи при цьому легальний трафік. Різні маршрутизатори, що передають дані між мережами, містять компоненти брандмауера і можуть виконувати необхідні функції маршрутизації.
Нижче наведено основні типи брандмауерів:
- Брандмауери прикладного рівня: цей тип брандмауера працює на прикладному рівні стеку IP/TCP. Він перехоплює всі IP-пакети, що надходять до програми або від неї, і відкидає небажаний трафік за межі доступу до захищених машин/пристроїв без жодного підтвердження відправнику. Критерії перевірки додатково додають додаткову затримку для пересилання пакетів до місця призначення.
- Проксі-сервіси: вони працюють на спеціалізованих апаратних пристроях або на машинах загального призначення як програмне забезпечення, реагуючи на вхідні пакети, блокуючи інші. Зламана внутрішня система в цьому випадку не призведе до порушення безпеки, однак такі методи, як спуфінг IP, можуть передавати пакети в іншу мережу.
- Фільтри пакетів або брандмауери мережевого рівня: під час роботи зі стеком протоколів TCP/IP цей брандмауер не дозволяє пакетам проходити через нього, якщо вони не відповідають правилам, встановленим за замовчуванням або адміністратором. Сьогодні брандмауери можуть фільтрувати трафік на основі таких атрибутів пакетів, як порт джерела, IP-адреса джерела та призначення тощо. Вони також можуть фільтрувати на основі значень TTL, протоколів і мережевого блоку відправника.
- Трансляція мережевих адрес (NAT): як визначено RFC 1918, NAT дозволяє приховувати IP-адреси захищених пристроїв, нумеруючи їх адресами, присутніми в діапазоні приватних адрес.
- Обов’язковий контроль доступу (MAC) «пісочниця» або фільтрація: він захищає вразливі послуги, дозволяючи або забороняючи доступ на основі MAC-адрес конкретних пристроїв, які мають дозвіл підключатися до певної мережі.
3 Фільтрування електронної пошти:
Цей тип фільтрації IP передбачає автоматичну й ручну обробку вхідних листів, упорядкування їх за попередньо встановленими критеріями та видалення вірусів та спаму. Цей фільтр дозволяє лише чисті повідомлення доставлятися користувачеві в його папку "Вхідні".
Деякі з цих фільтрів також можуть редагувати повідомлення, наприклад, деактивувати шкідливі посилання до того, як користувачі натиснуть на них. Деякі організації перевіряють всі вихідні листи на предмет дотримання їх співробітниками вимог законодавства.
Фільтри електронної пошти працюють за допомогою різних методів, таких як відповідність ключовому слову, типовому виразу або ідентифікатору електронної пошти відправника. Інші передові рішення використовують методи класифікації документів на основі статистичних даних, репутації IP -адреси та алгоритмів аналізу електронної пошти, щоб запобігти потраплянню повідомлень до безпечних поштових скриньок.
Цей тип фільтрації може бути проблемою, коли IP-адреса з чорного списку передається в іншу мережу. Мережа, можливо, заблокувала отримання поштового трафіку з IP-адрес із чорного списку, і для видалення адреси потрібно буде зв’язатися з різними розпорядниками чорного списку.
Правила фільтрації маршрутів TCP/IP
Щоб отримати доступ до вікна редактора фільтрів маршрутів TCP/IP, клацніть діалогове вікно Основна фільтрація TCP/IP > виберіть кнопку фільтрів маршрутизатора. Правила фільтрації маршрутів застосовуються в пристрої глобально, не пов’язуючи їх з будь-яким інтерфейсом. Але їх можна обмежити інтерфейсом за допомогою модифікаторів to та from у правилі.
Оскільки правила вказуються до застосування, пристрій не змінює порядок наборів правил. Вони застосовуються в тому порядку, в якому вони написані. Використовуючи VPN 5000 Manager, коли вибрано різні набори фільтрів, вони будуть об’єднані в пристрої від першого до останнього.
Мережа не буде включена в таблицю маршрутизації на вході чи виході, якщо це явно не дозволено правилами. Щоб дозволити не фільтрувати всі інші номери мережі, останнє правило має бути таким: дозволити 0.0.0.0.
Оскільки статичні та прямі маршрути не отримуються через інтерфейс і налаштовуються в пристрої, вони завжди встановлені та не можуть бути відфільтровані.
Правила, визначені раніше за допомогою Менеджера, можна переглянути або відредагувати через інтерфейс командного рядка. Правила, завантажені з Менеджера, зашифровані.
Набір правил, створених за допомогою вікна редактора фільтра маршрутів TCP/IP, можна застосувати за допомогою спадних меню діалогового вікна.
Основний синтаксис і правила фільтра IP-маршруту
Кожен рядок коментаря та IP-адреса повинні містити принаймні дію у наборі фільтрів. Ці компоненти разом визначають правило фільтрації, якого пізніше дотримується машина/пристрій для надсилання та отримання пакетів мережевої маршрутизації.
Рядки у фільтрі маршрутизатора повинні ініціюватися діями дозволу/заборони та індикатором коментаря: #
- Рядки, що починаються з дозволу, вказують, що інформація з пакетів маршрутизації, які відповідають усім умовам, повинна бути частиною таблиці маршрутизації IP.
- Рядки, які починаються з deny, вказують, що інформація з пакетів, які відповідають усім умовам, не повинна бути частиною таблиці IP-маршрутизації.
- Рядки, які починаються з #, вказують, що текст, присутній у рядку, насправді є коментарем і його потрібно ігнорувати.
За кожним рядком, що починається з дозволу або заборони, має слідувати IP-адреса. Цю адресу можна вказати різними способами.
- Адреси можна вказувати в десятковому вигляді з крапками. Якщо крайні праві компоненти мають значення 0, вони розглядаються як підстановочні знаки.
- Формат, який розкладається на фактори, також може використовуватися, коли набори компонентів замінюються IP-адресами. Ці IP-адреси відформатовано як #.#.#.{#,#,…}. Набори факторів повинні бути в кінці адреси. Будь-який компонент, присутній після позиції набору факторів, приймається як 0.
- Шістнадцяткові числа також можна використовувати для визначення IP-адреси.
Наприкінці адреси можуть мати додаткове поле /bits. Це вказує кількість бітів, що починаються з найважливіших, які будуть розглянуті приладом/пристроєм, коли адреса порівнюється з правилом фільтра в пакеті маршрутизації.
Параметри правила фільтрації IP-маршруту
Напрямки зазвичай визначаються або обома, або за допомогою входу і виходу. Якщо напрямок не вказано, припущення обидва.
Правила фільтрації маршруту, що позначають в, застосовуються до маршрутизації пакетів, які надходять лише на пристрій.
Правила фільтрації маршруту, що позначають вихід, застосовуються до пакетів маршрутизації, які надсилаються лише з пристрою.
Правила фільтрації маршрутів, які вказують обидва, застосовуються до маршрутизації пакетів в обох напрямках.
Коли і як використовувати фільтрацію GeoIP
Якщо ви володієте бізнесом у Сполучених Штатах, і у вас немає причин приймати онлайн-повідомлення з інших країн по всьому світу, тоді має сенс фільтрація geoIP у всій країні. Але, якщо ви маєте справу з клієнтами за кордоном, то вам потрібно розумно подумати, кого вам потрібно заблокувати.
Навіть якщо роботи з клієнтами не так, ви можете використовувати онлайн-сервіс або програмне забезпечення, розміщене за межами США, наприклад веб-хостинг або веб-пошту. Отже, вам також доведеться дозволити їм пройти через ваш брандмауер.
Однак може бути багато країн, з яких у вас немає реальних причин приймати з’єднання. За допомогою фільтрації geoIP ви можете легко заблокувати країни, які мають досвід створення шкідливого інтернет-трафіку. Відрізання IP-адрес у країнах здається ефективним і безпроблемним, але налаштувати параметри geoIP є розумнішим варіантом.
Ви можете заблокувати лише IP або список IP-адрес, які, як відомо, є шкідливими. Але якщо ви все-таки заблокуєте цілу країну, ви можете зробити деякі винятки та створити правила у своєму брандмауері, які дозволять IP-адресам із білого списку проходити через вашу систему.
Таке налаштування може бути дуже корисним, якщо ваші співробітники їдуть за кордон з діловими цілями. Ви також можете тимчасово розблокувати країну, яку вони відвідують, або додати їх IP-адреси в білий список.
Поширені запитання – IP-фільтрація
IP-фільтрація краще, ніж не мати нічого. Однак у нього є дві проблеми: IP-адреси можуть бути підроблені. Якщо будь-який внутрішній інструмент/машина зламано, зловмисник може використовувати його як проксі -сервер або хост для атаки на вашу систему.
IPFilter або ipf — це пакет програмного забезпечення з відкритим вихідним кодом, який пропонує послуги NAT та брандмауера для кількох операційних систем, таких як Unix. Даррен Рід — розробник і автор програмного забезпечення. IPFilter — це брандмауер із збереженням стану, який підтримує протоколи IPv4 та IPv6.
internet.com webopedia визначає фільтрацію пакетів як перевірку вхідних і вихідних IP-пакетів для контролю доступу до мережі, зупинення або пропуску на основі IP-адреси джерела або призначення.
Висновок
На цьому завершується наш посібник, який інформує вас про всі основи, які вам потрібно знати про фільтрацію IP. Хоча це може мати кілька підводних каменів, фільтрація IP-адрес дійсно дуже корисна в сучасну епоху.
Він блокує з’єднання та захищає вас від зловмисників і посилань, використовуючи різноманітні типи та методи фільтрації. Це також запобігає потраплянню IP-адрес із чорного списку у вашу мережу та завданню вам будь-якої шкоди.
Однак ми повинні повторити, що коли справа доходить до фільтрації geoIP, завжди краще змінити налаштування фільтра, а не блокувати всі з’єднання з-за кордону.
Сподіваємося, вам сподобався наш посібник із фільтрації IP-адресів. Не соромтеся залишати коментарі у разі виникнення питань.