Защита сайтов Киева от IР-спуфинга
15.10.2019Имеется множество хороших правил, соблюдая которые можно избежать как атак подменой IP-адреса, так и других типов IP-спуфинга. Способы защиты сайтов Киева, описываемые далее, не относятся к взаимоисключающим или самодостаточным сценариям. Для защиты своей сети вы должны использовать все нижеследующие способы обороны.
Прежде всего, нужно удостовериться, что первоначальные порядковые номера, генерируемые вашими TCP-стеками, труднопредсказуемы. Для этого установите самый последний набор патчей безопасности от изготовителя операционной системы. Сайты Киева можно проверить на предсказуемость порядковых номеров путем сканирования системы при помощи сканера Nmap. Если Nmap показывает, что порядковые номера легко предугадать, вам определенно следует подумать об обновлении своей системы. Если проведенное обновление не устраняет предсказуемости порядковых номеров, обратитесь с данной проблемой к изготовителю операционной системы. Кроме того, на UNIX-системах, в частности, избегайте г-команд - самого слабого места, пользуясь их защищенными аналогами, подобными SSH, или даже виртуальной частной сетью для безопасного доступа.
Точно так же при оценке предложений продавцов программного обеспечения или создании собственных программ вы должны удостовериться в том, что соответствующее приложение не применяет IP-адреса для идентификации. Идентификация должна основываться на паролях, криптографических методах (типа инфраструктур открытого ключа или Kerberos) или других методах, которые могут «привязать» сеанс к отдельному пользователю. На граничных маршрутизаторах и брандмауэрах, соединяющих вашу организацию с Internet и бизнес-партнерами, нужно установить «противообманные» пакетные фильтры. «Противообманный» фильтр очень прост: фильтрующее устройство сбрасывает все пакеты, входящие с интерфейса, у которых исходный адрес сети на другом интерфейсе. Эти пакеты указывают как минимум на неправильную настройку, а возможно, и на атаку спуфингом.
При установке «противообманных» фильтров на Internet-шлюзе вы должны поставить как входные, так и выходные фильтры. Входные фильтры - очевидная потребность, потому что вы вряд ли желаете, чтобы кто-то присылал обманные пакеты на любой из сайтов Киева. Хотя выходные фильтры встречаются гораздо реже, они критически важны для DMZ-сетей Internet. Вы же не хотите, чтобы в случае захвата атакующим какой-либо системы в вашей DMZ (например, сетевого Internet- сервера или сервера DNS) он имел возможность продолжить атаку против других организаций при помощи обманных адресов. Поэтому настройте маршрутизатор или брандмауэр, фильтрующие трафик для DMZ, так, чтобы сбрасывать исходящие пакеты, отправленные не с адресов DMZ. Несомненно, в данном случае вы не повышаете безопасность собственного узла, а помогаете предотвратить атаки против других, будучи, таким образом, хорошим гражданином и снижая свою потенциальную ответственность перед законом.
