Главная » 2014 » Март » 23 » Межсетевой экран PacketFilter ОС OpenBSD ч.3

16:43
Межсетевой экран PacketFilter ОС OpenBSD ч.3

При такой установке любое TCP-соединение, которое простаивает более 20 с, будет автоматически сброшено. PF также может оптимизировать производительность аппаратного обеспече- ния на низком уровне, корректируя использование памяти в зависимости от количества одновременно хранимых состояний либо от количества фрагментов, которые могут размещаться в памяти для повторной сборки. Например, устано- вив количество состояний равным 2000, а количество элементов, используемых восстановителем фрагментов, — 15 000, в файл pf.conf необходимо поместить: set limit states 20000 set limit frags 15000 Можно также указать эти настройки в одной строке: set limit { states 20000, frags 15000 }

Двигаясь дальше, можно увидеть, что в следующем разделе представлены прави- ла нормализации трафика. Правила этого типа гарантируют, что пакеты, пере- даваемые через межсетевой экран, удовлетворяют критерию независимо от фрагментации, IP-идентификаторов, минимального времени жизни TTL и других атрибутов TCP-дейтаграммы. Правила этого раздела имеют префикс в виде клю- чевого слова scrub. В общем случае помещение этого ключевого слова полезно. Однако при необходимости можно достичь еще большей детализации, указывая, что необходимо нормализовать и как выполнить нормализацию. Поскольку имеется возможность использовать общий синтаксис правил фильтрации PF для определения типов пакетов, которые будут соответствовать scrub-правилу, мы в большей степени сможем нормализовать пакеты.

NAT-серверОдна из наиболее интересных возможностей заключается в случайном распределении всех IP-идентификаторов в пакетах, выходящих из сети во внешний мир. Это гарантирует, что пассивные методы определения операционной системы, основанные на IP-идентификаторах, потерпят неудачу, пытаясь распознать операционную систему сети, защищенной межсетевым экраном. Так как эти методы опираются на анализ того, как узловая операционная система осуществляет инкрементацию IP-идентификаторов в исходящих пакетах, а наш межсетевой экран гарантирует, что все идентификаторы в пакетах, выходящих из сети, совершенно случайны, то очень сложно найти их совпадение с известным шаблоном ОС. Это также поможет предотвратить перечисление машин в среде, транслирующей сетевые адреса (network address translated, NAT).

На заметку: Если Вас интересует срочный выкуп автомобилей в в Санкт-Петербурге, тогда рекомендуем посетить интернет-сайт http://www.autovykup-spb.ru/.

При использовании обычных IP-идентификаторов кто-либо за пределами сети может выполнить статистический анализ идентификаторов, выпускаемых NAT-шлюзом, для подсчета числа машин в частной сети. Использование случайных IP-идентификаторов позволяет избежать подобного типа атак. Для разрешения генерации в интерфейсе случайных IP-идентификаторов по- местите в файл /etc/pf.conf следующую строку: scrub out on deO all random-id Кроме того, директиву scrub можно использовать для повторного воссоединения дефрагментированных пакетов перед перенаправлением их к пункту назначения. Это поможет предотвратить «ускользание» специально фрагментированных па- кетов (например, накладывающихся) от систем обнаружения.

источник: Локхарт Э. Антихакинг в сети. Трюки.

 

Категория: Безопасность | Просмотров: 852 | Добавил: george27 | Рейтинг: 4.0/1

Похожие темы:

Последнее в Блоге

Как выбрать ноутбук? На что обратить внимание при выборе ноутбука?Как выбрать ноутбук? На что обратить внимание при выборе ноутбука?
Компактный ноутбук от Lenovo бюджетной серии IdeaPad 100-14Компактный ноутбук от Lenovo бюджетной серии IdeaPad 100-14
Обзор игрового ноутбука Acer Predator 17XОбзор игрового ноутбука Acer Predator 17X
Аркадный симулятор Smashy Road: теперь и Windows может похвастаться игрой WantedАркадный симулятор Smashy Road: теперь и Windows может похвастаться игрой Wanted