Параметры защиты, реализованные в механизме NAT

В дополнительных настройках 20-го и более поздних выпусков программного комплекса WinRoute имеется меню средств защиты механизма преобразования сетевых адресов (NAT), среди которых следует отметить режим соблюдения тишины. Режим соблюдения тишины означает, что при получении определенных запросов WinRoute просто "игнорирует" такие пакеты, при этом Ваша сеть становится как бы невидимой для окружающего мира.

Входящие по ICMP эхо-запросы:

Протокол управления сообщениями в Интернете (Internet Control Message Protocol, сокращенно ICMP) применяется при направлении простых запросов на получение информации (называемых эхо-тестированием, или pinging, IP-адресов; пример - команда ping 206.86.211.32). Когда любой удаленный компьютер направить эхо-запрос головной машине WinRoute, параметры защиты, реализованные в механизме NAT, могут отреагировать двумя способами:

При выборе параметра "отправлять эхо-ответ по протоколу ICMP" на направивший запрос компьютер отправляется ответ.

При выборе параметра "игнорировать запрос (режим соблюдения тишины)" датаграмма будет проигнорирована, что создает впечатление ее потери в информационных потоках. При этом запрашивающая сторона получает ответ “узел адресата недоступен”.

Входящие пакеты, данные о которых в таблице NAT не зарегистрированы:

Программный комплекс WinRoute подвергает проверке весь трафик, входящий в локальную сеть и исходящий из нее. Независимо от того, преобразуются ли адреса конкретного пакета, WinRoute обязательно подвергнет его досмотру и регистрации в таблице NAT таких его параметров, как номер порта и IP-адрес. Это делается для того, чтобы по получении ответного пакета маршрутизатор WinRoute смог бы определить его правильный маршрут, сравнив указанные в пакете данные с информацией, зарегистрированной в таблице NAT. Если же данный пакет не был инициирован (т.е. не является ответом на исходящий пакет), WinRoute всё равно сравнивает его данные с информацией, зарегистрированной в таблице NAT, чтобы констатировать сам факт отсутствия инициирования. И если таблица распределения портов не была создана, WinRoute не сможет направить такой пакет кому бы то ни было в пределах локальной сети.

При активизированном параметре "отправлять запрещающий пакет" входящий пакет просто вернется к отправителю с пометкой о невозможности установить соединение.

При активизированном параметре "игнорировать пакет (режим соблюдения тишины)" входящий пакет будет уничтожен, и никакого ответа направлено не будет. Таким образом создается впечатление, что узел WinRoute и, соответственно, защищенная им ЛВС просто не существуют.

Пакеты, входящие по протоколу UDP:

Некоторые приложения, использующие протокол пользовательских датаграмм (User Datagram Protocol, сокращенно UDP), требуют от пользователя направления пакетов на центральный сервер по протоколу UDP. Программный комплекс WinRoute регистрирует данные отправителя и адресата всех исходящих UDP-пакетов, направляемых на сервер, указанный приложением-отправителем. В ряде случаев такой сервер перенаправляет IP-адрес и номер порта пользователя другому компьютеру, который, в свою очередь, передает пользователю запрошенную им информацию в виде UDP-пакета. При этом даже если IP-адрес такого случайно выбранного компьютера не совпадает с адресом сервера, он, тем не менее, способен направлять UDP-пакеты в Вашу сеть, поскольку сервер сообщает ему IP-адрес и номер порта пользователя.

Как видно из этого примера, активизация параметра "допускается к преобр. адресов с любым IP-адресом отправителя" приведет к тому, что WinRoute будет пропускать все входящие UDP-пакеты.

В целях повышения уровня безопасности можно активизировать параметр "допускается к преобразованию адресов при условии, что IP-адрес отправителя зарегистрирован при отправке первого исходящего пакета за пределы ЛВС". В этом случае WinRoute будет пропускать только UDP-пакеты, исходящие из центрального сервера.

Параметры ведения журнала NAT:

К средствам обеспечения повышенной безопасности принадлежит возможность записи данных пакетов, входящих в пределы локальной сети, но при этом не инициированных с какого-либо узла в составе ЛВС. Такая возможность, чрезвычайно полезная при определении источника возникших проблем, применяется, как правило, в сетях, использующих Web, FTP, DNS или другие серверы за пределами зоны, защищенной WinRoute.

Протоколирование входящих пакетов, данные которых в таблице NAT не зарегистрированы:

В программном комплексе WinRoute предусмотрены два варианта протоколирования TCP-пакетов, данные которых не зарегистрированы в таблице NAT.

При выборе параметра "регистрировать только пакеты с символом синхронизации" данные TCP-пакеты регистрируются только в случае установки связи между отправителем и адресатом.

Параметр "регистрировать все TCP-пакеты" предусматривает запись данных всех входящих TCP-адресов независимо от того, была ли установлена связь, или нет. Поскольку символы синхронизации не применяются в UDP-пакетах, активизация их протоколирования предусматривает регистрацию всех таких не инициированных из локальной сети пакетов.

Запись в файл или регистрация в окне:

При выборе параметра "регистрировать в окне защиты" записанные данные можно просматривать в окне управляющего приложения WinRoute, указав в нем интересующий Вас протокол безопасности.

При выборе параметра "записывать в файл защиты" WinRoute сохранит данные в протоколе безопасности, файл которого размещается в папке журналов корневого каталога WinRoute Pro (обычно c:/Program Files/WinRoute Pro/Logs).

NAT Security Options