Главная » 2014 » Март » 23 » Защита внешних узлов от спуфинга

16:57
Защита внешних узлов от спуфинга

Для защиты внешних узлов от спуфинга внешних адресов можно использовать ключевое слово anti spoof: antispoof quick for $INT_IF inet Далее нам необходимо блокировать любые пакеты со входа или выхода внешне- го интерфейса, имеющего немарш рутазируемый IP-адрес RFC 1918. Такие паке- ты, если не указаны позднее явно, будут «отловлены» нашей политикой отказа (deny policy). Однако если использовать правило, специально соответствующее этим пакетам, и использовать ключевое слово quick, мы сможем повысить произ- водительность добавлением следующего правила: block drop quick on $EXT_IF from any to

Если необходимо сделать так, чтобы трафик нашей сети предназначался для web- сервера с адресом 192.168.1.20, то необходимо использовать следующее правило: pass in on $EXT_IF proto tcp from any to 192.168.1.20 port 80 \ modulate state flags S/SA Это позволит пакетам попадать на 80-й TCP-порт на сервере 192.168.1.20, только если они установят новое соединение (так как установлен флаг SYN) и введут соединение в таблицу состояния.

Ключевое слово modulate гарантирует, что для сессии будет сгенерирован высококачественный начальный порядковый номер (initial sequence number), который важен, если операционная система, используемая на любом конце соединения, использует неудовлетворительный алго- ритм генерации ISN. Подобным образом для передачи трафика на сервер и от сервера электронной почты, имеющего адрес 192.168.1.21, можно воспользоваться следующим правилом: pass in on $EXT_IF proto tcp from any to 192.168.1.21 \ port { smtp. рорЗ. imap2, imaps } modulate state flags S/SA Обратите внимание на то, что в правиле может указываться несколько портов, разделенных запятыми и заключенных в фигурные скобки.

Кроме того, можно использовать имя службы (определенной в /etc/services), а не указывать номер порта службы. Для включения трафика к DNS-серзеру, имеющему адрес 192.168.1.18, необходимо добавить следующее правило: pass in on $EXT_IF proto tcp from any to 192.168.1.18 port 53 \ modulate state flags S/SA При этом межсетевой экран по-прежнему осуществляет блокировку UDP DNS- трафика. Для его включения добавьте следующее правило: pass in on $EXT__IF proto udp from any to 192.168.1.18 port 53 \ keep state Обратите внимание на то, что, хотя это правило для UDP-пакетов, мы все равно используем ключевое слово state. В этом случае PF будет отслеживать соединение, используя IP-адреса источника и пункта назначения, а также пары портов.

источник: Локхарт Э. Антихакинг в сети. Трюки.

Категория: Безопасность | Просмотров: 1088 | Добавил: george27 | Рейтинг: 5.0/1
Всего комментариев: 0
Имя *:
Email:
Код *:

Похожие темы:

Последнее в Блоге

80% пользователей Windows-смартфонов лишатся приложения Skype80% пользователей Windows-смартфонов лишатся приложения Skype
Microsoft переманивает пользователей Chrome на EdgeMicrosoft переманивает пользователей Chrome на Edge
RuInsta — инстаграм для компьютера на ОС Windows 10RuInsta — инстаграм для компьютера на ОС Windows 10
Защитные чехлы для дорогих смартфонов (Lumia, iPhone, Samsung)Защитные чехлы для дорогих смартфонов (Lumia, iPhone, Samsung)