Иллюстрированный самоучитель по Secure Web


Фильтрация пакетов - часть 4


Контрмеры: защита от туннелирования трафика ICMP и UDP


Предотвращение


Для зашиты от атак такого типа можно полностью запретить доступ по протоколу 1СМР через брандмауэр или обеспечить управляемую избирательную передачу ICMP-пакетов. Например, следующий список ACL брандмауэров Cisco позволит полностью запретить передачу административных данных ICMP за пределы подсети 172.29.10.0 (демилитаризованной зоны).

access-list 101 permit icmp any 172.29.10.0 0.255.255.255 8!

echo access-list 101 permit icmp any 172.29.10.0 0.255.255.255 0!

echo-reply access-list 102 deny ip any any log!

запретить, иначе регистрировать все события

Если ваш провайдер услуг Internet отслеживает работоспособность компьютеров, расположенных позади брандмауэра, с помощью утилиты ping (чего мы не советуем делать), то такие списки ACL нарушат этот процесс. Уточните у своего провайдера, применяет ли он эту утилиту.





Начало  Назад  Вперед