Главная » 2014 » Март » 23 » Защита внешних узлов от спуфинга

16:57
Защита внешних узлов от спуфинга

Для защиты внешних узлов от спуфинга внешних адресов можно использовать ключевое слово anti spoof: antispoof quick for $INT_IF inet Далее нам необходимо блокировать любые пакеты со входа или выхода внешне- го интерфейса, имеющего немарш рутазируемый IP-адрес RFC 1918. Такие паке- ты, если не указаны позднее явно, будут «отловлены» нашей политикой отказа (deny policy). Однако если использовать правило, специально соответствующее этим пакетам, и использовать ключевое слово quick, мы сможем повысить произ- водительность добавлением следующего правила: block drop quick on $EXT_IF from any to

Если необходимо сделать так, чтобы трафик нашей сети предназначался для web- сервера с адресом 192.168.1.20, то необходимо использовать следующее правило: pass in on $EXT_IF proto tcp from any to 192.168.1.20 port 80 \ modulate state flags S/SA Это позволит пакетам попадать на 80-й TCP-порт на сервере 192.168.1.20, только если они установят новое соединение (так как установлен флаг SYN) и введут соединение в таблицу состояния.

Ключевое слово modulate гарантирует, что для сессии будет сгенерирован высококачественный начальный порядковый номер (initial sequence number), который важен, если операционная система, используемая на любом конце соединения, использует неудовлетворительный алго- ритм генерации ISN. Подобным образом для передачи трафика на сервер и от сервера электронной почты, имеющего адрес 192.168.1.21, можно воспользоваться следующим правилом: pass in on $EXT_IF proto tcp from any to 192.168.1.21 \ port { smtp. рорЗ. imap2, imaps } modulate state flags S/SA Обратите внимание на то, что в правиле может указываться несколько портов, разделенных запятыми и заключенных в фигурные скобки.

Кроме того, можно использовать имя службы (определенной в /etc/services), а не указывать номер порта службы. Для включения трафика к DNS-серзеру, имеющему адрес 192.168.1.18, необходимо добавить следующее правило: pass in on $EXT_IF proto tcp from any to 192.168.1.18 port 53 \ modulate state flags S/SA При этом межсетевой экран по-прежнему осуществляет блокировку UDP DNS- трафика. Для его включения добавьте следующее правило: pass in on $EXT__IF proto udp from any to 192.168.1.18 port 53 \ keep state Обратите внимание на то, что, хотя это правило для UDP-пакетов, мы все равно используем ключевое слово state. В этом случае PF будет отслеживать соединение, используя IP-адреса источника и пункта назначения, а также пары портов.

источник: Локхарт Э. Антихакинг в сети. Трюки.

Категория: Безопасность | Просмотров: 1186 | Добавил: george27 | Рейтинг: 5.0/1
Всего комментариев: 0
Имя *:
Email:
Код *:

Похожие темы:

Последнее в Блоге

Как выбрать ноутбук? На что обратить внимание при выборе ноутбука?Как выбрать ноутбук? На что обратить внимание при выборе ноутбука?
Компактный ноутбук от Lenovo бюджетной серии IdeaPad 100-14Компактный ноутбук от Lenovo бюджетной серии IdeaPad 100-14
Обзор игрового ноутбука Acer Predator 17XОбзор игрового ноутбука Acer Predator 17X
Аркадный симулятор Smashy Road: теперь и Windows может похвастаться игрой WantedАркадный симулятор Smashy Road: теперь и Windows может похвастаться игрой Wanted