Иллюстрированный самоучитель по Secure Web
защита от туннелирования трафика ICMP
Контрмеры: защита от туннелирования трафика ICMP и UDP
Предотвращение
Для зашиты от атак такого типа можно полностью запретить доступ по протоколу 1СМР через брандмауэр или обеспечить управляемую избирательную передачу ICMP-пакетов. Например, следующий список ACL брандмауэров Cisco позволит полностью запретить передачу административных данных ICMP за пределы подсети 172.29.10.0 (демилитаризованной зоны).
access-list 101 permit icmp any 172.29.10.0 0.255.255.255 8!
echo access-list 101 permit icmp any 172.29.10.0 0.255.255.255 0!
echo-reply access-list 102 deny ip any any log!
запретить, иначе регистрировать все события
Если ваш провайдер услуг Internet отслеживает работоспособность компьютеров, расположенных позади брандмауэра, с помощью утилиты ping (чего мы не советуем делать), то такие списки ACL нарушат этот процесс. Уточните у своего провайдера, применяет ли он эту утилиту.
