Δυνατότητες ασφαλείας της Κοινόχρηστης σύνδεσης στο Internet (Internet Connection Sharing)

Περίληψη

Αυτό το άρθρο περιγράφει τις δυνατότητες ασφαλείας της Κοινόχρηστης σύνδεσης στο Internet (Internet Connection Sharing (ICS)). Αν και η Κοινόχρηστη σύνδεση στο Internet (ICS) δεν θα πρέπει να θεωρείται τείχος προστασίας για λόγους ασφαλείας, μπορείτε να τη χρησιμοποιήσετε για να δημιουργήσετε ένα αρκετά ασφαλές περιβάλλον, διατηρώντας όλες τις δυνατότητες της σύνδεσης στο Internet.

Περισσότερες πληροφορίες

Η Κοινόχρηστη σύνδεση στο Internet (ICS) χρησιμοποιεί την τεχνολογία μετάφρασης διευθύνσεων δικτύου (NAT), για τη δρομολόγηση πακέτων TCP/IP μεταξύ δύο δικτύων. Η Κοινόχρηστη σύνδεση στο Internet (ICS) συνδέει ένα εσωτερικό δίκτυο (συνήθως ένα τοπικό οικιακό δίκτυο μικρού μεγέθους) με ένα εξωτερικό δίκτυο (συνήθως το Internet). Η Κοινόχρηστη σύνδεση στο Internet (ICS) συσχετίζει έναν αριθμό θύρας TCP/UDP με μια συγκεκριμένη διεύθυνση πρωτοκόλλου Internet (IP) στο εσωτερικό δίκτυο. Ο αριθμός θύρας που συσχετίζεται με τη διεύθυνση IP καταχωρείται σε έναν πίνακα.

Για παράδειγμα, η διεύθυνση IP για τον εσωτερικό προσαρμογέα της Κοινόχρηστης σύνδεσης στο Internet (ICS) είναι 192.168.0.1 και ο εξωτερικός προσαρμογέας της Κοινόχρηστης σύνδεσης στο Internet (ICS) έχει τη διεύθυνση IP 156.59.23.100, η οποία εκχωρείται από την υπηρεσία παροχής Internet (ISP). Ο υπολογιστής-πελάτης στέλνει ένα πακέτο TCP/IP σε μια ιστοσελίδα με διεύθυνση 131.125.13.1 στο Internet, στη θύρα 80. Αυτό το πακέτο περιέχει τις ακόλουθες πληροφορίες:
Destination IP address= 131.125.13.1 (η διεύθυνση προορισμού Internet)
Source IP address= 192.168.0.2
Destination port= 80
Source port= 2000 (Ορίζεται από το πρόγραμμα)
Επειδή η διεύθυνση 131.125.13.1 δεν είναι τοπική στην περιοχή διευθύνσεων 192.168.0.x, το πακέτο αποστέλλεται στον υπολογιστή με την Κοινόχρηστη σύνδεση στο Internet (ICS) και λειτουργεί ως προεπιλεγμένη πύλη. Ο υπολογιστής με την Κοινόχρηστη σύνδεση στο Internet (ICS) δημιουργεί ένα νέο πακέτο, το οποίο στη συνέχεια αποστέλλεται στην ιστοσελίδα με διεύθυνση 131.125.13.1. Το πακέτο αυτό περιέχει τις εξής πληροφορίες:
Destination IP address= 131.125.13.1
Destination IP address= 156.59.23.100 (Πρόκειται για μια διεύθυνση IP η οποία εκχωρείται στον εξωτερικό προσαρμογέα της Κοινόχρηστης σύνδεσης στο Internet (ICS) από την υπηρεσία παροχής Internet (ISP))
Destination port= 80
Source port= 3000
Σημειώστε ότι οι τιμές για τη διεύθυνση IP προέλευσης και τη θύρα προέλευσης έχουν αλλάξει. Με άλλα λόγια, η θύρα 3000 αντιστοιχίζεται στη διεύθυνση IP 192.168.0.2 μέχρι τον τερματισμό της σύνδεσης. Η αντιστοίχιση της θύρας καταγράφεται σε έναν πίνακα. Μετά την απόκριση της ιστοσελίδας, ο υπολογιστής με την Κοινόχρηστη σύνδεση στο Internet (ICS) λαμβάνει ένα πακέτο, το οποίο περιέχει τις ακόλουθες πληροφορίες:
Destination IP address= 156.59.23.100
Source IP address= 131.125.13.1
Destination port= 3000
Source port= 80
Ο υπολογιστής με την Κοινόχρηστη σύνδεση στο Internet (ICS) μεταφράζει στη συνέχεια το πακέτο και διανέμει ένα νέο πακέτο στη διεύθυνση IP 192.168.0.2 του υπολογιστή-πελάτη από την οποία προέρχεται το αρχικό πακέτο. Η Κοινόχρηστη σύνδεση στο Internet (ICS) εντοπίζει ότι η θύρα 3000 έχει αντιστοιχιστεί στη διεύθυνση IP, επειδή οι σχετικές πληροφορίες καταχωρούνται στον πίνακα αντιστοίχισης θυρών. Το πακέτο που αποστέλλεται στον υπολογιστή-πελάτη περιέχει τις παρακάτω πληροφορίες:
Destination IP address= 192.168.0.2
Source IP address= 131.125.13.1
Destination port= 2000
Source port= 80
Σημειώστε ότι η θύρα και η διεύθυνση IP προορισμού έχουν αντικατασταθεί από τη διεύθυνση IP και τον αριθμό θύρας που χρησιμοποιούνται από τον υπολογιστή-πελάτη από τον οποίο προέρχεται το πακέτο. Εξαιτίας αυτής της μεταφραστικής διαδικασίας, το Internet αντιμετωπίζει το τοπικό δίκτυο (όλους τους υπολογιστές-πελάτες) που βρίσκεται πίσω από τον υπολογιστή με την Κοινόχρηστη σύνδεση στο Internet (ICS) (συμπεριλαμβανομένου του υπολογιστή με την Κοινόχρηστη σύνδεση στο Ιnternet (ICS)) ως μία διεύθυνση IP.

Υπάρχουν μόνο δύο τρόποι με τους οποίους ένα πακέτο από το Internet μπορεί να φτάσει σε έναν υπολογιστή-πελάτη που βρίσκεται πίσω από έναν υπολογιστή με Κοινόχρηστη σύνδεση στο Internet (ICS):
  • O υπολογιστής με την Κοινόχρηστη σύνδεση στο Internet (ICS) μεταφράζει ένα εισερχόμενο πακέτο και, με βάση τον πίνακα μετάφρασης, αποστέλλει ένα νέο πακέτο στον υπολογιστή-πελάτη. Ο υπολογιστής-πελάτης θα πρέπει πρώτα να στείλει ένα πακέτο (πραγματοποιώντας έτσι μια αντιστοίχιση θύρας), πριν να μπορέσει να κάνει λήψη ενός πακέτου από το Internet μέσω ενός υπολογιστή με Κοινόχρηστη σύνδεση στο Internet (ICS).
  • Oι παράμετροι του υπολογιστή με την Κοινόχρηστη σύνδεση στο Internet (ICS) ρυθμίζονται ώστε να κατευθύνουν όλη την εισερχόμενη κίνηση μιας συγκεκριμένης θύρας σε έναν συγκεκριμένο υπολογιστή-πελάτη. Η μέθοδος αυτή απαιτεί την αλλαγή της προεπιλεγμένης ρύθμισης παραμέτρων. Για πρόσθετες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
    231162 Τρόπος αντιστοίχισης μιας θύρας στην "Κοινόχρηστη σύνδεση στο Internet" (ICS) χρησιμοποιώντας ένα αρχείο .inf
    Για πρόσθετες πληροφορίες σχετικά με τη μετάφραση διευθύνσεων δικτύου (Network Address Translation), ανατρέξτε στην αίτηση για σχόλια RFC 1631.
Στον υπολογιστή με την Κοινόχρηστη σύνδεση στο Internet (ICS) δεν εφαρμόζεται αποκλεισμός στις θύρες 1-1024, με εξαίρεση τις θύρες TCP 135 και UDP 139. Ο αποκλεισμός αυτών των θυρών αποτρέπει τη λειτουργία των αιτήσεων για κοινή χρήση αρχείων και εκτυπωτών (αιτήσεις SMB) στον εξωτερικό προσαρμογέα. Το γεγονός αυτό επηρεάζει τα εισερχόμενα και εξερχόμενα πακέτα TCP/IP στον υπολογιστή με την Κοινόχρηστη σύνδεση στο Internet (ICS) με τους εξής τρόπους:
  • Οποιοδήποτε πακέτο αποστέλλεται από τον υπολογιστή με την Κοινόχρηστη σύνδεση στο Internet (ICS) ή λαμβάνεται από το Internet με χρήση μιας θύρας μεγαλύτερης από τη θύρα 1024, απαιτεί μετάφραση ακριβώς όπως και οποιοσδήποτε άλλος υπολογιστής-πελάτης ο οποίος βρίσκεται πίσω από τον υπολογιστή με την Κοινόχρηστη σύνδεση στο Internet (ICS). Για παράδειγμα, ένα πακέτο με προέλευση τον υπολογιστή με την Κοινόχρηστη σύνδεση στο Internet (ICS) και το αντίστοιχο πακέτο ανταπόκρισης στη θύρα 5000 θα πρέπει να υποβληθούν στη διαδικασία μετάφρασης που περιγράφηκε παραπάνω στο παρόν άρθρο.
  • Οποιοδήποτε πακέτο αποστέλλεται από τον υπολογιστή με την Κοινόχρηστη σύνδεση στο Ιnternet (ICS) ή λαμβάνεται από το Internet με χρήση της θύρας 1024 ή μικρότερης αποστέλλεται κατευθείαν στο Internet ή στο πρόγραμμα του υπολογιστή με την Κοινόχρηστη σύνδεση στο Internet (ICS) χωρίς να μεταφραστεί. Για παράδειγμα, όταν ανοίγετε την κεντρική σελίδα σε έναν υπολογιστή με Κοινόχρηστη σύνδεση στο Internet (ICS), ένα πακέτο αποστέλλεται στη θύρα 80 και από εκεί αποστέλλεται κατευθείαν στο Internet, χωρίς να μεταφραστεί. Επιπλέον, ένα πακέτο που λαμβάνεται από τον υπολογιστή με την Κοινόχρηστη σύνδεση στο Internet (ICS) στη θύρα 80 αποστέλλεται κατευθείαν στο πρόγραμμα του υπολογιστή με την Κοινόχρηστη σύνδεση στο Internet (ICS) που ακροάται ενεργά τη θύρα 80 (για παράδειγμα, ένας διακομιστής Web). Για άμεση απόκριση του υπολογιστή με την Κοινόχρηστη σύνδεση στο Internet (ICS) σε μια αίτηση η οποία αποστέλλεται στη θύρα 1024 ή μικρότερη, το πρόγραμμα θα πρέπει να ακροάται για πακέτα στην ίδια θύρα με αυτή στην οποία αποστέλλεται η αίτηση. Από προεπιλογή, ο υπολογιστής με την Κοινόχρηστη σύνδεση στο Internet (ICS) δεν αποκρίνεται στις αιτήσεις SMB (Server Message Block) στις θύρες 135 και 139, επειδή αυτές οι θύρες αποκλείονται.
Η Κοινόχρηστη σύνδεση στο Internet (ICS) δεν καταργεί τη σύνδεση της κοινής χρήσης αρχείων και εκτυπωτών με τον εξωτερικό προσαρμογέα του υπολογιστή με την Κοινόχρηστη σύνδεση στο Internet (ICS). Το Δίκτυο μέσω Τηλεφώνου (Dial-Up Networking (DUN)) αποσυνδέει την κοινή χρήση αρχείων και εκτυπωτών από τον προσαρμογέα τηλεφωνικών κλήσεων, ενώ, από προεπιλογή, οι προσαρμογείς Ethernet (για συνδέσεις DSL και συνδέσεις μέσω καλωδιακού μόντεμ) δεν αποσυνδέουν την κοινή χρήση αρχείων και εκτυπωτών. Από προεπιλογή, οι θύρες 135 και 139 του υπολογιστή με Κοινόχρηστη σύνδεση στο Internet (ICS) αποκλείονται στον εξωτερικό προσαρμογέα, ώστε να αποτρέπεται η πρόσβαση σε κοινόχρηστα στοιχεία και εκτυπωτές στο τοπικό δίκτυο από απομακρυσμένους υπολογιστές στο Internet. Ο αποκλεισμός αυτών των θυρών δεν επηρεάζει τη δυνατότητα του υπολογιστή με Κοινόχρηστη σύνδεση στο Internet (ICS) να κάνει κοινή χρήση αρχείων και εκτυπωτών με άλλους υπολογιστές στο τοπικό δίκτυο (LAN). Η κατάργηση του αποκλεισμού αυτών των θυρών εκθέτει τους εκτυπωτές και τα κοινόχρηστα στοιχεία του τοπικού δικτύου στο Internet και δεν συνιστάται.
Ιδιότητες

Αναγνωριστικό άρθρου: 241570 - Τελευταία αναθεώρηση: 29 Δεκ 2004 - Αναθεώρηση: 1

Σχόλια