WinRoute FireWall
Верификация пакетов
Верификация пакетов
Некоторые сетевые службы используют механизм безопасности, основанный на IP-адресе клиента, например в случае rlogin и NFS (Network File System). Взломщик может обойти этот механизм, используя подделку IP, технику, основанную на фальсификации IP-адреса источника (а вы говорите: "Фальсифицированная водка" :) Такая атака обычно комбинируется с TCP SYN флудингом или с рутингом источника. Взломщик может подвергнуть опасности правильное выполнение служб или даже получить несанкционированный доступ к ним.
Верификация производится по прибытии пакета. Существует возможность определить, какие IP-адреса могут возникать в пакетах, полученных по каждому интерфейсу. Пакеты с адресом источника, отличающимся от разрешенных, игнорируются, и (опционально), записывается лог этих пакетов.
Метод настройки верификации в WinRoute показан ниже:
- Для каждого интерфейса мы определяем, что адрес источника входящих пакетов должен лежать в интервале адресов подключенной напрямую подсети. Если за роутером находятся другие сетевае сегменты, необходимо создать поименованную группу адресов для этих сегментов. Затем мы можем определить, что прохождение разрешено только для пакетов из подключенной напрямую сети или разрешенной поименованной группы адресов.
- Очевидно, что невозможно поименовать адреса всех пакетов, приходящих на интерфейс, подключенный к Интернет. Пакету разрешено прохождение, если адрес его источника входит в число таковых, разрешенных для интерфейса, ведущего в защищенную ЛВС. Так что разрешается любой адрес, отличный от адресов, разрешенных для интерфейсов ЛВС. Это гарантирует блокирование пакетов с подделанным адресом источника (пакеты, выглядящие как посланные компьютером, входящим в ЛВС).
Содержание раздела
