Puoi imparare come riparare MikroTik su corsi online dal possesso di un virobnik. L'autore del corso è un formatore certificato MikroTik. Per maggiori dettagli, puoi leggere i seguenti articoli.

L'articolo mostra il potere di bloccare il traffico ICMP in modo non sicuro.

ICMP: una mela a un fratello

Bagato amministratori merezhevіÈ importante notare che l'ICMP (Internet Control Message Protocol) è una minaccia per la sicurezza ed è responsabile del blocco di .non bloccare tutto il traffico ICMP!

Il traffico ICMP può avere molte funzioni importanti; come se fossero corretti per la correzione di difetti, altri necessari per il corretto lavoro della misura. Di seguito è riportato un riepilogo degli atti importanti dei magazzini al protocollo ICMP, sui nobili colpevoli. Quindi pensa al modo migliore per farli passare attraverso la tua rete.

Echo chiedi ed Echo cancella

IPv4 - Richiesta Echo (Type8, Code0) e Richiesta Echo (Type0, Code0)
IPv6 - Richiesta eco (Type128, Code0) e Richiesta eco (Type129, Code0)

Sappiamo tutti bene che il ping è uno dei primi strumenti per il ping e la risoluzione dei problemi. Quindi, se controlli da solo l'elaborazione dei pacchetti ICMP, significa che il tuo host è ora disponibile per la visualizzazione, ma se il tuo host non è più in ascolto sulla porta 80 e non sta costringendo il client ad ascoltare? Ovviamente, blocca tutte le altre chiamate, se vuoi davvero che la tua DMZ sia al confine. Ma bloccando il traffico ICMP nel mezzo del tuo recinto, non puoi aiutare l'attacco, porterai il sistema fuori dal processo di ripiegamento dell'overworld per scoprire e correggere i guasti ("Inverti sii gentile, il gateway sul recinto è libero ?”, “No, ma non ti disturbo non mi dici niente!”).

Ricorda, puoi anche consentire il passaggio delle bevande direttamente al cantante; Ad esempio, assicurati che le richieste Echo dalla tua rete vadano a Internet e che Echo suoni da Internet alla tua rete, ma non viceversa.

Frammentazione dei pacchetti necessaria (IPv4)/Pacchetto troppo grande (IPv6)

IPv4 - (Tipo3, Codice4)
IPv6 - (Tipo2, Codice0)

Anche questi componenti del protocollo ICMP sono importanti, ma sono un componente importante di Path MTU Discovery (PMTUD), che non fa parte del protocollo TCP. Consente a due host di regolare il valore della dimensione massima del segmento TCP (MSS) su un valore che corrisponda all'MTU più piccolo tra le due destinazioni. Se ci sarà un'unità di traffico superiore con un'unità di trasmissione massima più piccola in arrivo, quella inferiore avrà il controllo e non avranno i mezzi per rilevare questo numero, quindi il traffico sarà insignificante. Non capirai cosa si sente dal canale; In altre parole, "verranno giorni felici per te".

Non frammentare: l'ICMP fallisce!

Trasmissione di pacchetti IPv4 con il bit impostato Don't Fragment (più di loro!) o pacchetti IPv6 (ricorda che non c'è frammentazione da parte dei router in IPv6), che sono troppo grandi per la trasmissione attraverso l'interfaccia, prima che il router riconosca il pacchetto e forma una conferma del trasferimento al dzherel con le imminenti grazie dell'ICMP: Need Fragmentation ( Frammentazione Obbligatoria), oppure il pacchetto è troppo grande ( Anche i pacchetti grande). Anche se non puoi tornare al funzionario, puoi interpretare il fatto che ci sono conferme sulla consegna dei pacchetti ACK ( Riconoscere) sotto forma di ordine come trasferimento / utilizzo con giubbotto per la ritrasmissione di pacchi, quindi verranno anche rilasciati.

È facile identificare la causa di un tale problema e risolvere rapidamente il processo di scambio di handshake TCP (TCP-handshake) è normale, i frammenti nella nuova attività sono piccoli pacchetti, ma in realtà il trasferimento di massa del trasferimento di dati la sessione si blocca, quindi la trasmissione non si occupa dell'indulto.

Percorso di follow-up per la consegna dei pacchi

Lettera di espansione RFC 4821 per aiutare i partecipanti al trasferimento del traffico ad aggirare questo problema, seguendo vittoriosamente i percorsi di tutti i pacchetti (Scoperta percorso MTU (PLPMTUD). Lo standard consente di rivelare l'obbligo massimo di dati (Unità di trasmissione massima (MTU), che può essere trasmesso dal protocollo in un'iterazione aumentando gradualmente la dimensione massima del blocco del frame di dati (Dimensione massima del segmento (MSS)), Per conoscere la dimensione massima possibile del pacchetto senza alcuna frammentazione sul percorso di trasmissione diretta dalla trasmissione all'accettazione. Цей функціонал зменшує залежність від своєчасного отримання відповідей з помилками протоколу міжмережевих керуючих повідомлень (ICMP) і доступний у більшості мережевих стеків пристроїв і клієнтських операційних систем, на жаль, він не такий ефективний, як безпосереднє отримання даних про максимальне можливе Будь ласка, дозвольте цим повідомленням imposta il protocollo ICMP sulla porta di trasferimento, ok?

Trasporto all'ora del trasferimento dei pacchi

IPv4 - (Tipo11, Codice0)
IPv6 - (Tipo3, Codice0)

Traceroute - uno strumento di base per la risoluzione dei problemi scherma tra due ospiti, che descrivono a quanto pare il modo in pelle croque.

Modifica del pacchetto dall'ora di vita al pacchetto dati per il protocollo IP (Tempo di vivere (TTL) pari 1 , in modo che il primo router abbia inviato un perdono (anche con un indirizzo IP pubblico) sul trasferimento del tempo di vita del pacchetto. Inviamo un pacchetto con TTL 2 e così via. Questa procedura è necessaria per rivelare una skin vuzol sul percorso per il passaggio dei pacchetti.

NDP e SLAAC (IPv6)

Richiesta router (RS) (tipo 133, codice 0)
Annuncio router (RA) (tipo 134, codice 0)
Sollecitazione del vicino (NS) (tipo 135, codice 0)
Annuncio del vicino (NA) (tipo 136, codice 0)
Reindirizzamento (Tipo137, Codice0)

Allo stesso tempo, IPv4 ha vinto IPv4 Address Allow Protocol (ARP) per l'impostazione di 2 e 3 linee nel modello a livelli OSI, IPv6 ha vinto il passaggio successivo, come il Sustainability Detection Protocol (NDP). NDP fornisce funzioni impersonali, tra cui il rilevamento del router, il rilevamento del prefisso, la condivisione degli indirizzi e altro ancora. Crim NDP, StateLess Address AutoConfiguration (SLAAC), consente host configurati dinamicamente in un'unione, simile al concetto DHCP (Dynamic Host Configuration Protocol) (sebbene DHCPv6 sia assegnato per un accodamento più sottile).

Esistono cinque tipi di ICMP per garantire che il protocollo dati IP non sia bloccato al centro della rete (non proteggendo il perimetro esterno) in modo che il protocollo dati IP funzioni correttamente.

Numerazione del tipo ICMP

Il protocollo ICMP (Intermediate Messaging Protocol) contiene molte informazioni identificate dal campo "tipo".

Due parole sullo scambio di merci secche

Sebbene gli avvisi ICMP, simili a quelli descritti nell'articolo, possano essere ancora più corretti, tieni presente che la generazione di tutti gli avvisi richiede un'ora di elaborazione sui router e la generazione di traffico. Apprezzi davvero che stai prendendo 1000 ping al secondo attraverso il tuo firewall nella stessa situazione? Chi vvazhatimetsya tse traffico normale? Forse no. Recinzione passare attraverso misure per questi tipi di traffico ICMP, poiché paghi il costo; questo coccodrillo può aiutarti a difendere la tua rete.

Leggi, doslіdzhuvati quel razumіti

Vrahovyuchi, come discusso da quei pacchetti ICMP "chi bloccanti non bloccati", porta sempre alla truffa, al super-controllo e al razbіzhnosti, proponendo di continuare l'argomento in modo indipendente. Dall'altro lato del navіv riccamente posilan, vvazhu per una maggiore comprensione dei problemi della prossima ora sulla loro lettura. І robiti osvіdomleniya con scho scho più adatto al tuo merezhi.

MikroTik: dove spingere, cosa fare?
Nonostante tutti i suoi vantaggi, i prodotti dell'azienda MikroTik hanno uno svantaggio: molta conoscenza e lungi dall'ottenere informazioni affidabili al riguardo. Si raccomanda di interpretare male la lingua russa, tutto è selezionato, strutturato logicamente - corso video " Nalashtuvannya Proprietà di MikroTik ". Prima che il corso comprende 162 lezioni video, 45 robot da laboratorio, cibo per l'autoverifica e l'astratto. Tutti i materiali sono lasciati senza una linea. La pannocchia del corso può essere visionata gratuitamente chiudendo l'applicazione a lato del corso. L'autore del corso è un formatore certificato MikroTik.

Firewall: la prima linea di difesa di qualsiasi server e novità in arrivo corretto allineamento sdraiarsi, in modo che l'attaccante possa tenersi lontano dai suoi tentativi di penetrare nel sistema. Incendi moderni proponuyut meccanismi impersonali di sicurezza, vikoristuyuchi yakі puoi uccidere "fuori dal mercato" il 99% degli aggressori. E tutto senza la necessità di acquistare un costoso possesso di quel software commerciale.

Il meta principale di tutti gli hacker è la rimozione dell'accesso all'interprete dei comandi del server per sfruttare le sue capacità nei propri interessi. La maggior parte della penetrazione nel "santo dei santi" viene effettuata per l'aiuto di una directory nei servizi o tramite il recupero della password (forza bruta) su uno di essi (ad esempio, ssh).

Scansione delle porte

Per rilevare la presenza di servizi intelligenti sulla macchina, attaccare l'intelligenza dietro l'aiuto di un port scanner e altri sistemi per rilevare le cose cattive. Suona come un port scanner vikoristovuetsya nmap diversi modi e in alcuni casi, mostra le versioni del sistema operativo e dei servizi. Axis è un elenco di flag nmap particolarmente popolari, quindi chiama gli hacker vicoristi:

Flag di nmap, che vengono visualizzati durante la scansione

• -sT - in particolare la scansione TCP per ulteriore aiuto per inviare un messaggio alla porta specificata di quella completa;
• -sS - SYN/ACK-scanning, la chiamata viene lanciata una volta dopo che la richiesta è stata effettuata;
• -sU - scansione UDP;
• -sF - scansione dei pacchetti con alfiere FIN;
• -sX - scansione dei pacchetti con le insegne FIN, PSH e URG inserite;
• -sN – scansione in batch senza impostare gli indicatori.

Il metodo di protezione dalla scansione è semplice e familiare a qualsiasi amministratore di sistema. I vini Polyagaє alla semplice chiusura di tutti i servizi, come se fossero colpevoli, si vede dal confine esterno. Ad esempio, se i servizi ssh, samba e apache sono in esecuzione sulla macchina e dal mondo esterno è possibile vedere solo il server Web con il lato Web aziendale, la schermata intermedia può essere impostata in questo modo:

Installazione di iptables Pochatkove

outif="eth1"
iptables -F
iptables -i $outif -A INPUT \
-m conntrack \
--ctstate ESTABLISHED,RELATED \
-j ACCETTA
iptables -i $outif -A INPUT -p tcp \
--dport 80 -j ACCETTA
iptables -i $outif -P INPUT DROP
iptables -i $outif -P OUTPUT ACCETTA

Pochatkove nalashtuvannya ipfw

outif="rl0"
ipfw aggiungi consenti ip da qualsiasi a qualsiasi \
tramite lo0
ipfw aggiungi consenti ip da me a qualsiasi \
$outif
ipfw add allow tcp from any to me \
stabilito tramite $outif
ipfw aggiungi consenti tcp da qualsiasi 80 \
a me tramite $outif
ipfw add deny ip from any to any \
$outif

Patch Pochatkove pf

outif="rl0"
imposta il salto su lo0
blocca tutto
svenire su $outif da $outif \
a qualsiasi stato di mantenimento
passa su $outif proto da qualsiasi \
alla porta $outif 80

Tutti e tre i set di regole funzionano allo stesso modo: consentono il passaggio di qualsiasi traffico attraverso l'interfaccia di loopback (loopback), consentono l'accettazione di pacchetti già installati quel giorno (quindi, ad esempio, il browser può accettare istantaneamente la richiesta al server remoto ), consentono il trasferimento alla porta 80, bloccando la porta, e consentono qualsiasi connessione al nome. Ad esempio, nelle applicazioni iptables e ipfw, impostiamo esplicitamente le regole per consentire la ricezione di pacchetti già installati (stabiliti), poi nel caso di pf per cui era sufficiente indicare “keep state” nel ruleset, che permette se lasciare o meno z'ednannya.

Zagalom, un tale schema per la difesa dei servizi di fusione sotto forma di scansione che la penetrazione funziona miracolosamente, ma possiamo stare lontani e riparare il fuoco in modo che i diaconi vedano la scansione nel fuoco non potrebbe essere vikonan. Tecnicamente, non possiamo generare alcun tipo di scansione sonica (alfieri nmap "-sT", "-sS" e "-sU") solo perché non c'è nulla di criminale al mondo, ma tipi di scansione non standard, come "-sN", " -sF" e "-sX" generano pacchetti che non potrebbero essere creati da aggiunte legali.

A quello, senza un accenno di sumnivu, gli diamo così la metà del tempo.

Metodi per combattere le specie esotiche di scansione

# Fence FIN-scan
Linux > iptables -A INPUT -p tcp \
-m tcp \
--tcp-flags FIN,ACK FIN -j DROP
FreeBSD>
non stabilito tcpflags fin
# Recinzione X-scan
Linux>
--tcp-flags FIN,SYN,RST,PSH,ACK,URG
FIN,SYN,RST,PSH,ACK,URG\
-j GOCCIA
FreeBSD> ipfw aggiungi rifiuta tcp da any a any \
tcpflags fin, syn, rst, psh, ack, urg
# Fence N-scan
Linux > iptables -A INPUT -p tcp -m tcp \
--tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE --j DROP
FreeBSD> ipfw aggiungi rifiuta tcp da any a any \
tcpflags !fin, !syn, !rst, !psh, !ack, !urg
In OpenBSD, tutte le righe possono essere sostituite da una semplice scrittura sulla pannocchia
/etc/pf.conf:
strofinare in tutto

La direttiva scrub attiva il meccanismo di normalizzazione dei pacchetti, in caso di frammentazione, i pacchetti vengono eliminati e i pacchetti con una combinazione di flag non valida vengono eliminati. Una crema di scrub di modelli di scansione esotici ti consente di proteggerti dall'inganno dei sistemi di rilevamento delle intrusioni (invio di pacchetti altamente frammentati) e da altri tipi di attacchi DoS.

Per sovrascrivere la scansione SYN/ACK avviata con l'aiuto di "-sS" nmap ensign, possiamo sovrascrivere il metodo passivo OS fingerprint disponibile sui firewall pf e iptables/netfilter (a partire dalla versione 1.4.6). L'ora della scansione sonica (alfiere "-sT") nmap vicorist standard socket interface sistema operativo Pertanto, una tale scansione potrebbe non essere vista in alcun modo nel flusso di pacchetti in sospeso (di seguito, possiamo esaminare i dettagli della sua identità), tuttavia, quando nmap scansionato da SYN / ACK forma i pacchetti da solo, quindi la puzza potrebbe essere diverso, se vedi i loro colli. Il metodo di identificazione passiva del sistema operativo consente di identificare i pacchetti e di eliminarli per l'aiuto delle regole standard del firewall:

OpenBSD> blocco rapido da qualsiasi sistema operativo NMAP
Linux > iptables -I INPUT -p tcp -m osf --genre NMAP \
-j GOCCIA

Il modulo osf del firewall iptables/netfilter base widbitkit, selezionato e aggiornato dai rivenditori di OpenBSD (/etc/pf.os), è colpa della regola portare le regole agli stessi risultati. Questi sono anche quelli che permettono di contrastare efficacemente la funzione assegnata all'OS dall'utility nmap (alfiere "-O").

Ora la mia protezione potrebbe essere sotto forma delle immagini utilizzate della scansione, ad eccezione di quella standard e dello stupido "-sT". Come uscirne? Davvero, è semplice. Il fatto della scansione delle porte è facile da riconoscere semplicemente analizzando i log del firewall. Come se in un breve periodo di tempo ci fossero connessioni impersonali a porte diverse, significa che siamo stati scansionati. È troppo spostare questa idea sulle regole del firewall. Per iptables esiste una ricetta autorevole che blocca tutti coloro che bussano a una porta non funzionante:

Lotta contro le scansioni aiuta iptables

# Ricontrollo per bussare a un porto non funzionante (10 all'anno)

--seconds 3600 --hitcount 10 --rttl -j RETURN
# Un altro controllo per aver bussato a un porto non funzionante (2 per una nota)
iptables -A INPUT -m recente --rcheck \
--seconds 60 --hitcount 2 --rttl -j RETURN
# Inseriamo tranquillamente l'indirizzo, chi bussa alla lista
iptables -A INPUT -m recente --set
# Vediamo i pacchetti di tutti coloro che hanno superato il limite
numero di connessioni
iptables -P INPUT -j DROP

Installando il pacchetto xtables-addons, destinato al progetto patch-omatic, avremo accesso al modulo PSD (Port Scan Detect), implementato a immagine e somiglianza del demone scanlogd. Le prime file di baffi possono essere facilmente sostituite da una semplice regola:

# iptables -A INPUT -m psd -j DROP

Sfortunatamente, i filtri di pacchetti ipfw e pf non hanno nulla di simile, ma non è così, quindi la scansione delle porte è buona contro il demone PortSentry e lo stesso scanlogd.

Aggiornamento di Fence Icmp

È inoltre consigliabile bloccare l'aggiornamento ICMP, in modo da poter visualizzare informazioni aggiuntive sull'host o utilizzarle per contrastare altre attività dannose (ad esempio, la modifica delle tabelle di instradamento). Di seguito è riportata una tabella con un elenco di possibili tipi di avviso ICMP:

Prompt Tipi ICMP

• 0 - risposta eco (risposta eco, ping)
• 3 - destinazione irraggiungibile
• 4 - estinzione della sorgente
• 5 - reindirizzamento (reindirizzamento)
• 8 - richiesta eco (richiesta eco, ping)
• 9 - annuncio del router
• 10 - sollecitazione del router
• 11 - time-to-live superato
• 12 - Intestazione IP errata (intestazione pacchetto IP errata)
• 13 - richiesta marca temporale (richiedere il valore dell'ora)
• 14 - risposta timestamp
• 15 - richiesta informazioni
• 16 - risposta informativa
• 17 - richiesta maschera indirizzo
• 18 - risposta maschera indirizzo

In qualità di bachish, in caso di notifica ICMP, puoi portare alla comunicazione le informazioni sull'host o, in altri casi, portare alla modifica della tabella di instradamento, quindi è necessario recintarla.

Chiama a zovnishhnіy svіt consente le notifiche ICMP 0, 3, 4, 11 e 12, ma accetta come input solo 3, 8 e 12. L'asse è implementato anche in diversi firewall:

Aggiornamento ICMP non sicuro di Fence

Linux > iptables -A INPUT -p icmp \
-icmp-tipo 3,8,12 -j ACCETTA
Linux > iptables -A OUTPUT -p icmp\
-icmp-type 0,3,4,11,12 -j ACCETTA
FreeBSD> ipfw aggiungi consenti icmp \
da qualsiasi a $outif in \
tramite $outif icmptype 3,8,12
FreeBSD> ipfw aggiungi consenti icmp \
da $outif a qualsiasi out \
tramite $outif icmptype 0,3,4,11,12
OpenBSD> passa in inet proto icmp \
da qualsiasi a $outif \
icmp-type ( 3, 8, 12 ) mantiene lo stato
OpenBSD> pass out inet proto icmp \
$outif a qualsiasi \
tipo icmp ( 0, 3, 4, 11, 12 ) \
mantenere lo stato

A pagamento, puoi bloccare tutto il traffico ICMP, comprese le richieste ping, oppure puoi verificare la correttezza del robot.

forza bruta

Avendo scoperto informazioni su nei porti critici Sistema operativo, attaccante per cercare di penetrare nel sistema, che può basarsi sullo sfruttamento di server remoti nei servizi o sulla selezione di password. Il firewall non può aiutarci a fermare i servizi malvagi, è facile hackerare le password. Per questo motivo è possibile scambiare più pacchetti arrivati ​​alla macchina dallo stesso indirizzo IP. L'asse può essere zrobiti per l'aiuto di iptables:

Difensore della forza bruta per l'aiuto di iptables

# Lance per aver ricontrollato z'ednan
iptables -N brute_check
# Indirizzi di blocco, solitamente per 60
secondi in іnіtsіyuvav più di 2 giorni

--update --secondi 60 \
--hitcount 3 -j GOCCIA
# Yakshcho nі - è permesso a zadnannya quello
aggiungere l'indirizzo all'elenco
iptables -A brute_check -m recente \
--set -j ACCETTA
# Pulisci il cordino di INGRESSO
iptables -F INPUT
# Brute_check
tutti coloro che stanno cercando di connettersi a
porto 22

--ctstate NUOVO -p tcp \
--dport 22 -j brute_check
iptables -P INPUT DROP

Quelli stessi possono essere robiti in z vikoristannyam pf:

Difensore della forza bruta per aiuto pf

# Crea una tabella per i bruteforcer
tavolo persistere
# Bloccando tutti coloro che hanno consumato prima di lei
blocco in rapido da
# Inserisci nella tabella dei bruteforcers tutti coloro che avviano più di due ordini sulla porta 22 del whilin
passare $ext_if inet proto tcp a $outif \
porta 22 flag S/SA mantieni stato \
(max-src-conn-rate 60/2, \ sovraccarico sciacquone)

Il firewall ipfw non ha funzionalità sufficienti per contrastare efficacemente i brute force, motivo per cui è colpa di strumenti vittoriosi di livello superiore, come moduli PAM speciali, sistemi che rilevano intrusioni e programmi su sshguard.

Spoofing

Lo spoofing (spoofing dell'indirizzo del gestore pacchetti) può essere utilizzato per creare attacchi DoS o bypassare il firewall. Per la prima volta, lo spoofing offre un grande vantaggio all'attaccante, quindi semplifica la reazione all'attacco (i pacchetti che arrivano con indirizzi proxy completamente diversi non sono così facili da classificare e bloccare) e ritarda il processo di chiusura di nuovi z 'ednannya vіdbuvaєtsya solo dopo la fine del timeout). Lo spoofing, utilizzato per aggirare il sistema, è meno insicuro e più controllabile.

Per dosare spesso, bloccando i servizi di chiamata dell'host, gli amministratori di sistema li privano dell'indirizzo consentito per l'intervallo di canto (ad esempio, per connettersi alla propria macchina domestica). Dopo aver calcolato uno di questi indirizzi, l'aggressore può formare un pacchetto, indicando quell'indirizzo come ritorno, e in questo modo passare attraverso il firewall. Puoi indovinare i numeri e la sequenza dei pacchetti TCP e scoprire in modo che il servizio che si fida dell'indirizzo di ritorno, avendo trovato le informazioni necessarie. È ancora più importante nell'attuazione dell'attacco, come se potesse essere un fakhivtsy letterato, e se si tratta del protocollo UDP, allora il potere e il coolhacker sono incatenati.

Fortunatamente, è facile difendersi da tali attacchi. Basta non rovinare i servizi non protetti nel mondo esterno, e in caso di forte necessità di sconfiggere i sistemi dei servizi stessi (ad esempio, i certificati ssh) o il meccanismo di "bussare al porto" (sul nuovo uno è descritto nell'esempio dell'articolo).

La situazione diventa più collassabile, se c'è un ponte reticolare sulla destra, che podіlyaє vnutrishnyu e zvnіshnіshnu merezhi (o due merezha locali). Dovіrchi vіdnosinі vіdnosіnі linee locali- zvichayna a destra. Servizi alla portata di tutti, nessuna autenticazione, cifratura, ecc. - solo uno shmatochok di pizzo per un ladro. Perebuvaya al confine esterno, puoi riconoscere la maschera del confine interno e formare pacchetti con uno speciale indirizzo di ritorno, che ti darà accesso a tutte le risorse dell'area locale. È vero che la situazione non è sicura, ma è facile risparmiare denaro per l'aiuto della corretta impostazione del firewall o del sistema operativo.

Per cui è sufficiente recintare il passaggio dei pacchetti, gli indirizzi di ritorno di questi dovrebbero essere passati alla frontiera interna dall'interfaccia esterna:

Linux > iptables -A INPUT -i $outif \
-s 192.168.1.0/24 -j NEGA
FreeBSD> ipfw aggiungi negare ip da \
192.168.1.0/24 a qualsiasi tramite $outif
OpenBSD> blocca su $outif da \
192.168.1.0/24 a qualsiasi

In alternativa a un attacco aggiuntivo, puoi (e devi) battere le direttive speciali ipfw e pf e modificare il kernel Linux:

Linux > echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
FreeBSD> ipfw aggiungi negare ip
OpenBSD> antispoof rapido per $ext_if

Qi tre squadre portano agli stessi risultati. Tutti i pacchetti, avvolgenti i cui indirizzi sono adatti a masse di un'altra interfaccia, vengono respinti.

Tariffe IPTABLES

Ad esempio, possiamo esaminare alcune delle possibilità di iptables / netfilter, che possono intimidire l'attacco del server attraverso la penetrazione. Torniamo al meccanismo lontano keruvannya firewall, che otrimav im'ya "bussare al porto" (bussare al porto). L'essenza dello yoga sta nel fatto che zmusiti firewall vykonuvat pevnі dії dopo la connessione alla porta specificata. Di seguito è riportato un insieme di regole che aprono la porta SSH per 10 secondi dopo aver “bussato” alla porta 27520:

iptables e bussare alla porta
# Lancia per la riconciliazione della chiamata alla porta che si sta proteggendo
iptables -N bussa
# È consentito chiudere
10 secondi
iptables -A knock -m recente --rcheck --seconds 10 \
-j ACCETTA
# Cancella INPUT
iptables -F INPUT
# È consentito fare tutto ciò che dovrebbe essere fatto in passato
iptables -A INPUT -m conntrack \
--ctstate ESTABLISHED,RELATED -j ACCETTA
# Prova a controllare se la porta 22 è corretta
bussare

-p tcp --dport 22 -j knock
# Inseriamo l'indirizzo di colui che bussa alla porta 27520 della lista
iptables -A INPUT -m conntrack --ctstate NUOVO \
-p tcp --dport 27520 -m recente --set
# Quando bussi alle porte esterne, puoi vedere l'indirizzo dall'elenco
iptables -A INPUT -m conntrack --ctstate NUOVO -p tcp \
-m multiporta --dport 27519,27521 -m recente --remove
# Proteggere tutto
iptables -P INPUT DROP

La terza regola è aggiungere l'indirizzo di chi compare nell'elenco. Proprio come la stessa macchina funzionerà per 10 secondi dopo che il bussare arriva alla 22a porta, la connessione verrà installata. Regola Peredostanne - zahist sotto forma di "bussare con la forza bruta". Se l'attaccante tenta di strillare in sequenza a tutte le porte, si spera che una di esse apra la 22a porta, seguendo la stessa regola, e il primo indirizzo verrà visualizzato dall'elenco non appena sarà abituato a quello nuovo.

Un'altra variazione di iptables è espansa nel pacchetto xtables-addons (patch-o-matic) e si chiama TARPIT. Tse diya (anche, come ACCEPT o DENY), come "pіdvіshuє" zadnannya, non permettendo alla parte attaccante di chiuderlo. Successivamente, pacchetti come questo vengono prelevati da TARPIT, verrà installato, tuttavia l'espansione sarà zero, per qualche motivo la macchina non può elaborare i dati, utilizzando le sue risorse, e la chiusura verrà chiusa solo dopo la fine del timeout. TARPIT può essere sconfitto in situazioni di emergenza per un attacco DoS:

# iptables -A INPUT -p tcp -m tcp -dport 80 -j TARPIT

Ma per l'introduzione di un attaccante in Oman e la lotta contro gli scanner
porte (solo per TCP-scan, "-sT"):

# iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCETTA
# iptables -A INPUT -p tcp -m tcp --dport 25 -j ACCETTA
# iptables -A INPUT -p tcp -m tcp -j TARPIT

Queste regole creano la visibilità del sistema, in modo tale da rovinare tutto, ma per un'ora prova a connetterti a qualcuno di essi (crim 80 e 25) per “deviare”. Lo stesso risultato, ma senza giorni "cadenti", puoi chiedere aiuto a DELUDE, poiché è corretto confermare tutti i tentativi di avviare l'ordine e inviare il pacco RST alla consegna dei pacchi. Per fuorviare ancora di più l'attaccante, puoi vicorare il CAOS, come un modo per attivare una delle due descrizioni sopra descritte.

Visnovki

Se riesco a ottenere una conoscenza sufficiente e leggere attentamente la documentazione, puoi creare anche un bastione militante, che non è così facile da raggiungere. I firewall moderni, in particolare pf e iptables, possono proteggerti in modo impersonale da ospiti indesiderati, quindi puoi farlo in modo assolutamente gratuito.

Collegamenti

• sf.net/projects/sentrytools - PortSentry
• www.openwall.com/scanlogd - scanlogd

La lotta per la confisca delle risorse

Se scegli di utilizzare TARPIT, aggiungi la regola successiva alla configurazione, altrimenti "abbassa" il giorno per aggiungere risorse durante l'elaborazione del sottosistema conntrack:

# iptables -t raw -I PREROUTING -p tcp --dport 25 -j NOTRACK

Di nuovo, continuiamo a capire l'ACL. Questa volta abbiamo estensioni ACL. La topologia è tratta dall'articolo in prima pagina, sono d'accordo, l'hai fatto a fondo. In caso contrario, ti consiglio di leggerlo, in modo che i materiali di questi articoli siano sensati.

Cominciamo dal fatto che tali estensioni ACL. Le estensioni ACL consentono, come l'indirizzo del gerel, di specificare il protocollo, l'indirizzo del riconoscimento e la porta. E anche parametri speciali del protocollo. È meglio studiare sui mozziconi, formeremo un nuovo compito per questo, mettendolo davanti. A proposito, chiunque voglia occuparsi della distribuzione del traffico per priorità, Raju axis QoS Classification and Marking è un buon articolo, anche se in inglese. Bene, per ora, passiamo al nostro compito:

Gestore.

1. Consenti richieste eco dai nodi nel collegamento 192.168.0.0/24 al server.
2. Dal server - richiesta eco dalla rete interna.
3. Consenti l'accesso WEB al server dal nodo 192.168.0.11.
4. Consenti l'accesso FTP dal nodo 192.168.0.13 al server.

Compito complesso. Complesso Virishuvatimemo її tezh. Diamo un'occhiata alla sintassi ACL estesa.

Opzioni ACL estese

<номер от 100 до 199> <действие permit, deny> <протокол> <источник> <порт> <назначение> <порт> <опции>

È meno probabile che i numeri di porta vengano specificati per i protocolli TCP / UDP, capisco. Posso anche fare da madre al luogo dell'attaccamento eq(Il numero di porta è uguale a quello assegnato), gt/lt(numero di porta maggiore/minore di quello assegnato), neq(Il numero di porta non è uguale a quello specificato), gamma(Gamma di porte).

Nomi LCA

Prima del discorso, gli elenchi di accesso possono essere non solo numerati, ma anche nominati! Forse, ogni modo andrà bene per te. Questa volta lo facciamo noi stessi. I comandi sono impostati nel contesto della configurazione globale e la sintassi è simile a questa:

Router(config)#elenco di accesso ip esteso<имя>

Otzhe, iniziamo a formulare le regole.

1. Ping consentiti dal confine 192.168.0.0/24 al server. Otzhe, eco- chiedi - lo stesso protocollo ICMP, poiché l'indirizzo del dzherel è scelto dal nostro indirizzo, l'indirizzo assegnato è l'indirizzo del server, il tipo di notifica è sull'interfaccia di input eco, all'uscita - eco-risposta. Router (config) # ip access-list estesa INT_IN Router (config-ext-nacl) LCA. Così chiamato carta jolly-Maschera. Viene contato mentre la maschera è avvolta. Tobto. 255.255.255.255 - maschera dmerezhі. La nostra mente ha una pidcity 255.255.255.0 , dopo aver visto 0.0.0.255 . Non credo che questa regola abbia bisogno di chiarimenti? Protocollo icmp, indirizzi dzherel - pіdmerezh 192.168.0.0/24 , indirizzi riconosciuti - host 10.0.0.100, tipo di avviso - eco(Richiesta). Prima del discorso, non importa ricordarlo host 10.0.0.100 equivalentemente 10.0.0.100 0.0.0.0 Regola .Zastosovuєmo tse sull'interfaccia. Router(config)#int fa0/0
   Router(config-if)#ip access-group INT_IN in Beh, forse è così. Ora, come invertire i ping: è facile ricordare che tutto funziona bene. Qui, è vero, ci aspetta una sorpresa, come una scheggia delle tre. Fino a quando non lo rivelerò. Chiunque abbia indovinato, ben fatto!
2. Dal server: blocchiamo tutte le richieste di eco dalla rete interna (192.168.0.0/24). Assegniamo una nuova convenzione di denominazione, INT_OUT e la cambiamo nell'interfaccia più vicina al server.
   Router(config)#elenco di accesso ip esteso INT_OUT
   Router(config-ext-nacl)#deny icmp host 10.0.0.100 192.168.0.0 0.0.0.255 echo
   Router(config-ext-nacl)#exit
   Router(config)#int fa0/1
   Router(config-if)#ip gruppo di accesso INT_OUT in
   Lascia che ti spieghi cosa siamo stati derubati. Abbiamo creato un elenco di estensioni per l'accesso ai nomi INT_OUT, abbiamo bloccato il protocollo. icmp con tipo eco dall'ospite 10.0.0.100 sul pіdmerezhu 192.168.0.0/24 era bloccata sull'interfaccia di input fa0/1, poi. più vicino al server. Sto cercando di inviare ping dal server.
   SERVER>ping 192.168.0.11
   Pinging 192.168.0.11 con 32 byte di dati:
   
   Risposta da 10.0.0.1: host di destinazione irraggiungibile.
   Risposta da 10.0.0.1: host di destinazione irraggiungibile.
   Risposta da 10.0.0.1: host di destinazione irraggiungibile.
   Statistiche ping per 192.168.0.11:
   Pacchetti: inviati = 4, ricevuti = 0, persi = 4 (perdita del 100%)
   Bene, ha funzionato come un prossimo. Per coloro che non sanno come inviare ping, fare clic sui nodi per chiamarci, ad esempio i server. Vai alla scheda Desktop (stile di lavoro), lì Prompt dei comandi (riga dei comandi). E ora obіtsyany scherzo. Prova a eseguire il ping dall'host, come il primo punto. PC>ping 10.0.0.100
   Pinging 10.0.0.100 con 32 byte di dati:
   Tempo scaduto per la richiesta.
   Tempo scaduto per la richiesta.
   Tempo scaduto per la richiesta.
   Tempo scaduto per la richiesta.

   Accetta una volta. Tutto ha funzionato alla grande! Perché si è fermato? Tse obіtsyany sorpresa. Lascia che ti spieghi qual è il problema. Quindi, la prima regola non è andata da nessuna parte. Ti consente effettivamente di inviare echo al server vuzol. Ale de ha permesso il passaggio di eco-recensioni? Yogo è stupido! Chiediamo una richiesta, ma non possiamo accettare una richiesta! Perché ha funzionato tutto prima? Quindi non avevamo ACL sull'interfaccia fa0/1. E se non c'è ACL, allora tutto è permesso. Vieni a creare una regola per consentire la ricezione delle voci icmp.

   Dodamo alla lista INT_OUT

   Quelli dodamo i alla lista INT_IN.

   Router(config-ext-nacl)#permit icmp host 10.0.0.100 192.168.0.0 0.0.0.255 echo-reply

   Asse ora non prichepitisya. Tutto sta andando alla grande!

3. È consentito l'accesso WEB al server dal nodo *.11 Fai lo stesso! Qui, è vero, è richiesto un trio di nobiltà, in quanto utilizzati dai protocolli di 4° livello (TCP, UDP). La porta del client viene scelta per essere superiore a 1024 e la porta del server è per il servizio. Per WEB - porta 80 (protocollo http). E per quanto riguarda l'unità del server WEB? Dietro la promozione, il servizio WEB è già installato sul server, puoi guardare nelle impostazioni del nodo. Mostra rispetto, in modo che ci fosse un segno di spunta. E puoi connetterti al server selezionando il collegamento "Web Browser" sul "Desktop" di qualsiasi nodo. Zvichayno Bene, allo stesso tempo l'accesso non sarà. I frammenti sulle nostre interfacce del router bloccano gli ACL e non ci sono regole per l'accesso in essi. Bene, facciamolo. L'elenco di accesso è INT_IN (che si trova sull'interfaccia fa0/0) aggiungere la regola: Router(config-ext-nacl)#permit tcp host 192.168.0.11 gt 1024 host 10.0.0.100 eq 80 Per consentire il protocollo TCP dal nostro host (la porta è maggiore di 1024) all'indirizzo del server.

   І, razumіlo, regola zvorotne, alla lista INT_OUT (che si trova sull'interfaccia fa0/1):

   Router(config-ext-nacl)#permit tcp host 10.0.0.100 eq 80 host 192.168.0.11 stabilito

   Questo è permesso TCP dal porto 80 server per host *.11 , e z'ednannya può già essere installato! Puoi sostituire stabilito dillo così GT 1024 pratsyuvati sia così molto buono. Ale sens trochi іnshiy.

   Nei commenti, dai consigli, cosa sarai al sicuro?

4. È consentito l'accesso FTP dal nodo *.13 al server. Non c'è assolutamente nulla di pieghevole! Viene scelto come funziona in combinazione con il protocollo FTP. Ho intenzione di dedicare un'intera serie di articoli al futuro dei robot e dei vari protocolli, i cui frammenti sono ancora migliori quando vengono create le regole esatte (da cecchino) dell'ACL. Bene, per ora: Dії server e client:+ Il client tenta di installare una chiamata e sovrascrive il pacchetto (in cui si trova la chiamata, che il robot lavorerà in modalità passiva) sulla 21a porta del server dalla sua porta X (X > 1024, una porta diversa) Concesso canale dati Y (Y > 1024) alla porta client X, omesso dall'intestazione del pacchetto TCP. Così. È trochy suonare bene, ma è più necessario crescere! Aggiungiamo le regole all'elenco INT_IN:

   permesso tcp host 192.168.0.13 gt 1024 host 10.0.0.100 eq 21
   permesso tcp host 192.168.0.13 gt 1024 host 10.0.0.100 gt 1024

   E alla lista INT_OUT aggiungiamo le regole:

   permesso host tcp 10.0.0.100 eq host ftp 192.168.0.13 gt 1024
   permesso tcp host 10.0.0.100 gt 1024 host 192.168.0.13 gt 1024

   Verifica dalla riga di comando, dal team FTP 10.0.0.100, revocare l'autorizzazione per oblіkovymi danimi cisco:cisco(preso dal server), inseriamo lì il comando dir Ed è meglio che i comandi dati vengano trasmessi con successo.

L'asse è approssimativamente e tutto ciò che vale l'elenco di accesso esteso.

Ancora una volta, guarda le nostre regole:

Accesso router#sh
Elenco di accesso IP degli interni INT_IN
permit icmp 192.168.0.0 0.0.0.255 host 10.0.0.100 echo (17 corrispondenze)
permesso icmp host 10.0.0.100 192.168.0.0 0.0.0.255 eco-risposta
permit tcp host 192.168.0.11 gt 1024 host 10.0.0.100 eq www (36 corrispondenze)
permit tcp host 192.168.0.13 gt 1024 host 10.0.0.100 eq ftp (40 corrispondenze)
permit tcp host 192.168.0.13 gt 1024 host 10.0.0.100 gt 1024 (4 corrispondenze)
Elenco di accesso IP degli interni INT_OUT
deny icmp host 10.0.0.100 192.168.0.0 0.0.0.255 echo (4 corrispondenze)
permit icmp host 10.0.0.100 192.168.0.0 0.0.0.255 echo-reply (4 corrispondenze)
permit tcp host 10.0.0.100 eq www host 192.168.0.11 stabilito (3 corrispondenze)
permit tcp host 10.0.0.100 eq ftp host 192.168.0.13 gt 1024 (16 corrispondenze)
permit tcp host 10.0.0.100 gt 1024 host 192.168.0.13 gt 1024 (3 corrispondenze)

Come posso configurare il pid del computer keruvannyam Windows 2000/XP/2003 che bloccano i pacchetti Ping? Windows 2000/XP/2003 potrebbe introdurre un meccanismo di sicurezza IP chiamato IPSec (IP Security). IPSec è un protocollo, splitting per la protezione dei singoli pacchetti TCP/IP quando vengono trasmessi attraverso una rete.

Tuttavia, non entreremo nei dettagli sulla funzionalità del componente aggiuntivo IPsec, frammenti di crittografia, IPSec può anche proteggere il tuo server o la tua stazione operativa con un meccanismo simile a un firewall.

Blocco del PING su un singolo computer

Per bloccare tutti i pacchetti PING dal computer e su un nuovo computer, è necessario creare un criterio IPSec per bloccare tutto il traffico ICMP. Per la prima volta, accendi il tuo computer su richiesta ICMP:

Per configurare un singolo computer, dobbiamo completare i seguenti passaggi:

ConfigurabileElenchi di filtri IP e azioni di filtro

1. Aprire la finestra MMC (Start > Esegui > MMC).
2. Aggiungere lo snap-in Sicurezza IP e gestione dei criteri.

1. Scegli quale computer gestire con la tua polizza: il nostro ha un intero computer locale. Premere Chiudi, quindi premere OK.

1. Fare clic con il pulsante destro del mouse su Criteri di sicurezza IP nella metà sinistra della console MMC. Selezionare Gestisci elenchi filtri IP e azioni filtro.

1. Non è necessario configurare o creare un filtro IP per ICMP (il protocollo per cui funziona PING), ma tale filtro è già utilizzato per bloccare - Tutto il traffico ICMP.

Tuttavia, puoi impostare un filtro IP pieghevole in modo permanente, ad esempio recuperare il tuo computer dall'IP corretto, ad esempio alcuni di essi. In uno dei prossimi articoli dedicati a IPSec, segnaliamo la creazione di filtri IP, rimanete sintonizzati per gli aggiornamenti.

1. Nella finestra Gestisci elenchi filtri IP e azioni filtro, controlla i filtri e fai ancora clic sulla scheda Gestisci azioni filtro. Ora dobbiamo aggiungere un messaggio per il filtro, che blocca il traffico di brani, premi Aggiungi.

1. Al primo vіknі vіknі vіtanny vіtannya sta spingendo Avanti.
2. Nel campo Nome azione filtro immettere Blocca e premere Avanti.

1. Per Opzioni generali azione filtro selezionare Blocca, quindi selezionare Avanti.

1. Torna alla finestra Gestisci elenchi di filtri IP e azioni di filtro e rivedi i tuoi filtri e, se tutto il resto, fai clic su Chiudi. Puoi aggiungere filtri e creare filtri in qualsiasi momento.

Il prossimo passo sarà configurare la politica IPSec e її zastosuvannya.

Configurazione del criterio IPSe

1. Nella stessa console MMC, fare clic con il pulsante destro del mouse su Criteri di sicurezza IP e selezionare Crea criterio di sicurezza IP.

1. Salta il benvenuto del master premendo Avanti.
2. Per il campo IP Security Policy Name, inserire un nome valido, ad esempio "Block PING". Premere Avanti

1. Per la richiesta di connessione sicura, deseleziona la casella di controllo Attiva la regola di risposta predefinita. Premere Avanti

1. Impostare la casella di controllo per modificare l'autorizzazione e fare clic su Fine.

1. Dobbiamo aggiungere filtri IP e altri filtri al nuovo criterio IPSec. Vіknі nuova politica IPSec Premere Aggiungi

1. Premere il pulsante Avanti.
2. All'endpoint del tunnel, passa al valore promozionale selezionato e fai clic su Avanti.

Il blocco del ping ping nel sistema operativo può impedire agli attacchi di inondare i pacchetti ICMP e vincere più sistemi qiu servizio monitoraggio online (monitoraggio del sistema). Nel mio argomento "Block Ping (ICMP) su Unix/Linux", ti dirò come disabilitarlo.

Il blocco del PING sul server è corretto, poiché il server si blocca costantemente Attacco DOS per l'aiuto della funzione PING. Quando utilizziamo IPTables, possiamo semplicemente eseguire il ping dei pacchetti ICMP (fetch PING) al server. Prima della pannocchia, è necessario conoscere coloro che hanno Iptables in Linux. Iptables è un sistema cross-screen con una serie di regole per controllare i pacchetti in entrata e in uscita. Per bloccare Iptables, senza alcuna regola, puoi creare, aggiungere, modificare le regole.

Abilitazione di Ping vicorist e iptables

Spiegazione di alcuni parametri in iptables necessari per la creazione delle regole di controllo dei pacchetti ICMP:

A: Aggiungi regole.
-D: mostra la regola dalle tabelle.
-p: opzione per specificare il protocollo (de icmp).
-icmp-type: opzione per specificare il tipo.
-J: Salta sulla lancetta.

Di seguito indicherò i mozziconi iniziali.

Come bloccare il PING sul server per ricevere la notifica dell'indulto?
In questo modo, è spesso possibile bloccare il PING con un avviso sull'indulto Porta di destinazione irraggiungibile. Aggiungi le prossime regole di Iptables per impedire a PING di mostrare le notifiche di grazia:

# iptables -A INPUT -p icmp --icmp-type echo-request -j REJECT

bloccare PING sul server senza alcun richiamo alle grazie.
Per questa squadra vittoriosa per ІPTables:

# iptables -A OUTPUT -p icmp --icmp-type echo-request -j DROP # iptables -A INPUT -p icmp --icmp-type echo-reply -j DROP

Blocca tutti i pacchetti ICMP in entrata e in uscita sul server.

Consenti Ping vicorist tramite iptables

Hai bloccato il ping sul server e non sai come tornare indietro. Allora ti dirò subito come crescere. E per reagire, aggiungendo la seguente regola in IPtables:

# iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT # iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

Queste sono le regole per consentire il passaggio dei pacchetti ICMP dal server a quello nuovo.

Blocco del ping con i parametri del kernel

Possiamo anche bloccare le risposte al ping indiscriminatamente con i parametri del kernel. Puoi bloccare vіdpovіdі su ping timchasovo o postiyno, ed è mostrato di seguito, come tse robiti.

Ping di blocco del tempo
Puoi bloccare timchasovo vidpovidі su ping, vikoristovuyuchi attacca la squadra

# echo "1" >

Per sbloccare questo comando, segui questo:

# echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all

Zaboroniti Ping vzagalі
Puoi bloccare il ping pіdpovidі dodayuchi parametro offensivo in file di configurazione:

# vim /etc/sysctl.conf

І scrivere:

[...] net.ipv4.icmp_echo_ignore_all = 1 [...]

sysctl hack per modificare i parametri del kernel per l'ora dell'orologio, uno di questi parametri può essere "ping daemon" (ping daemon), se vuoi abilitare il ping, allora devi solo incolpare il demone ping:

# sysctl -w net.ipv4.icmp_echo_ignore_all=1

Ora prova a eseguire il ping della macchina, non ci sono rapporti giornalieri su di essa, perché no? Per riattivare il ping, ruotare:

# sysctl -w net.ipv4.icmp_echo_ignore_all=0

W ensign è vittorioso, quindi è necessario modificare alcune impostazioni.

Ora, attacchiamo il comando, in modo che tu possa negligentemente zastosuvay nalashtuvannya senza riavviare il sistema:

# sysctl -p

# sysctl --system

Asse la mia ultima configurazione:

# cd /usr/local/src && wget http://website/wp-content/uploads/files/sysctl_conf.txt

e poi puoi vikonati:

# cp /usr/local/src/sysctl_conf.txt /etc/sysctl.conf

Per me, l'argomento "Block Ping (ICMP) su Unix/Linux" è completo.