VPNへのICMPトラフィックをブロックします。 今日のCiscoACL。 拡張アクセスリスト。 オープンレンジのポート
MikroTikを修正する方法はで学ぶことができます オンラインコース virobnikの所持から。 コースの作者はMikroTik認定トレーナーです。 記事の例については、レポートを読むことができます。
この記事は、ICMPトラフィックを安全にブロックする力を示しています。
ICMP-兄弟へのリンゴ
バガト merezhevі管理者インターネット制御メッセージプロトコル(ICMP)はセキュリティに対する脅威であり、ブロックの責任があることに注意することが重要です。すべてのICMPトラフィックをブロックしないでください。
ICMPトラフィックには、多くの重要な機能があります。 それらの原則として、トラブルシューティングのために、メジャーの正しい操作のために必要な他のもの。 以下は、有罪の貴族についての、ICMPプロトコルに対する倉庫の重要な行為の要約です。 次に、それらをメッシュに通すのに最適な方法を考えます。
エコーアスクとエコークリア
IPv4-エコー要求(Type8、Code0)およびエコー要求(Type0、Code0)
IPv6-エコー要求(Type128、Code0)およびエコー要求(Type129、Code0)
pingは、pingとトラブルシューティングのための最初のツールの1つであることは誰もがよく知っています。 したがって、ICMPパケットの処理を自分でチェックする場合、それは、ホストが表示可能になっているが、ホストがポート80をリッスンしておらず、クライアント要求を強制していないことを意味しますか? DMZが国境にあることが事実上わかっているので、明らかに、他のすべての呼び出しをブロックします。 しかし、フェンスの真ん中でICMPトラフィックをブロックすると、それを助けることはできません。システムを取り除いて、機能不全を突っ込んで修正するという世界的な折りたたみ可能なプロセスを実行します(「逆にしてください。ゲートウェイがフェンス?」、私には何も言わないでください!」)。
歌手からの飲み物の通過を直接許可することもできます。 たとえば、ネットワークからのEchoリクエストがインターネットを通過し、Echoがネットワークからインターネットからサウンドを通過するように設定しますが、その逆はありません。
必要なパケットの断片化(IPv4)/パケットが大きすぎます(IPv6)
IPv4-(Type3、Code4)
IPv6-(Type2、Code0)
ICMPプロトコルのこれらのコンポーネントも重要ですが、TCPプロトコルの一部ではないPath MTU Discovery(PMTUD)の重要なコンポーネントです。 2つのホストがTCP最大セグメントサイズ(MSS)値を、2つの宛先間で通信するための最小のMTUを指示する値に調整できるようにします。 パケットが小さいMaximumTransmissionUnitのバスを通過する途中で、下のバスに運転手または役員がいて、この衝突を示すお金がない場合、トラフィックは目立たなくなります。 チャンネルから何が聞こえているのか理解できません。 言い換えれば、「あなたのために陽気な日が来る」ということです。
断片化しないでください-ICMPは失敗します!
ルーターがこの形式のdzherel転送を今後のICMPパードンでパケット化します:断片化が必要( 断片化が必要)、またはパッケージZanadto the Great( パケットも大きい)。 公式に戻ることができない場合でも、ACKパケットの配信に関する確認があるという事実を解釈することができます( 認めます)転送としての注文の形で/パッケージの再送信用のベストと一緒に使用するので、それらもリリースされます。
このような問題の原因を特定し、TCPハンドシェイク交換プロセス(TCPハンドシェイク)をすばやく修正するのは簡単です。新しいタスクのフラグメントは小さなパケットですが、実際には、データ転送の大量転送です。セッションがハングするため、送信は許しを処理しません。
小包配達のフォローアップルート
トラフィックの転送の参加者がこの問題を回避し、すべてのパケットのパスを勝利に導くのを支援するためのRFC4821拡張レター (経路MTU探索(PLPMTUD)。 この規格では、データの最大の義務を明らかにすることができます (最大伝送ユニット(MTU)、データフレームブロックの最大サイズを段階的に増やすことにより、プロトコルによって1回の反復で送信できます。 (最大セグメントサイズ(MSS)、送信から受信までの直接送信のパスで断片化することなく、パケットの可能な最大サイズを知ること。 Zmenal Zalesniyの機能、BilshostiMerezhevikhのMizhmerzhevikhKeyuchny Polodidle(ICMP)アクセスのプロトコルの背後にある商人との彼の運指vidpovydiのビデオ、最大podomlennyamプロトコルICMPがdzherel送信に変わります、いいですか?
パッケージの転送時間への輸送
IPv4-(Type11、Code0)
IPv6-(Type3、Code0)
Traceroute-トラブルシューティングのための基本的なツール フェンシング伝えられるところによると、革のクロックムッシュの方法を説明している2人のホストの間。
有効時間からIPプロトコルのデータパケットへのパケットの編集 (存続時間(TTL)同等 1 、そのため、最初のルーターは、パケットの存続期間の転送について(パブリックIPアドレスを含む)恩赦を送信しました。 TTL2などでパケットを送信しましょう。 この手順は、パケットの通過経路上の皮膚のvuzolを明らかにするために必要です。
NDPおよびSLAAC(IPv6)
ルーター要請(RS)(Type133、Code0)
ルーターアドバタイズメント(RA)(Type134、Code0)
近隣要請(NS)(Type135、Code0)
近隣アドバタイズメント(NA)(Type136、Code0)
リダイレクト(Type137、Code0)
同時に、IPv4はOSIメッシュモデルのペアリング2と3でIPv4アドレス許可プロトコル(ARP)を獲得しましたが、IPv6は持続可能性検出プロトコル(NDP)のように他の方法で勝利しました。 NDPは、ルーター検出、プレフィックス検出、アドレス共有などの非個人的な機能を提供します。 NDPに加えて、StateLess Address AutoConfiguration(SLAAC)は、動的ホスト構成プロトコル(DHCP)の概念と同様に、ネットワーク全体で動的ホスト構成を可能にします(ただし、DHCPv6はより微妙なネットワークに使用する必要があります)。
IPデータプロトコルが正しく機能するように、ネットワークの中央で障害のあるブロッキングが発生しないようにする(外周を保護しない)ためのICMPには5つのタイプがあります。
ICMPタイプの番号付け
中間メッセージングプロトコル(ICMP)には、「タイプ」フィールドで識別される多くの情報が含まれています。
| タイプ | 名前 | 仕様 |
|---|---|---|
| 0 | エコー返信 | |
| 1 | 未割り当て | |
| 2 | 未割り当て | |
| 3 | 目的地に到達できません | |
| 4 | ソースクエンチ(非推奨) | |
| 5 | リダイレクト | |
| 6 | 代替ホストアドレス(非推奨) | |
| 7 | 未割り当て | |
| 8 | エコー | |
| 9 | ルーター広告 | |
| 10 | ルーター要請 | |
| 11 | 時間超過 | |
| 12 | パラメータの問題 | |
| 13 | タイムスタンプ | |
| 14 | タイムスタンプの返信 | |
| 15 | 情報リクエスト(非推奨) | |
| 16 | 情報返信(非推奨) | |
| 17 | アドレスマスクリクエスト(非推奨) | |
| 18 | アドレスマスクの返信(非推奨) | |
| 19 | 予約済み(セキュリティ用) | ソロ |
| 20-29 | 予約済み(ロバストネス実験用) | ZSu |
| 30 | Traceroute(非推奨) | |
| 31 | データグラム変換エラー(非推奨) | |
| 32 | モバイルホストリダイレクト(非推奨) | David_Johnson |
| 33 | IPv6 Where-Are-You(非推奨) | |
| 34 | IPv6 I-Am-Here(非推奨) | |
| 35 | モバイル登録リクエスト(非推奨) | |
| 36 | モバイル登録の返信(非推奨) | |
| 37 | ドメイン名リクエスト(非推奨) | |
| 38 | ドメイン名の返信(非推奨) | |
| 39 | スキップ(非推奨) | |
| 40 | Photuris | |
| 41 | Seamobyなどの実験的なモビリティプロトコルで使用されるICMPメッセージ | |
| 42 | 拡張エコー要求 | |
| 43 | 拡張エコー返信 | |
| 44-252 | 未割り当て | |
| 253 | RFC3692スタイルの実験1 | |
| 254 | RFC3692スタイルの実験2 | |
| 255 | 予約済み |
乾物の交換について一言
記事で説明されているものと同様のICMPアラートの方が正しい場合がありますが、すべてのアラートの生成にはルーターで1プロセッサ時間かかり、トラフィックが生成されることに注意してください。 同じ状況でファイアウォールを介して毎秒1000回のpingを実行していることを本当に感謝していますか? Chi vvazhatimetsya tse通常のトラフィック? たぶん、いや。 フェンス 建物を通り過ぎます費用を支払う際の、これらのタイプのICMPトラフィックの対策。 このワニはあなたのネットを守るのに役立ちます。
読んで、そのrazumіtiのdoslіdzhuvati
Vrahovyuchiは、これらの「ブロックするかブロックしない」ICMPパケットで説明されているように、常に詐欺師、スーパーチーク、およびrazbіzhnostiに持ち込みます。このトピックを自分で続けることをお勧めします。 その一方で、豊かなメッセージが向けられています。次に問題を読むのに1時間費やすという問題について、より深く理解することを尊重します。 Іrobitiosvіdomleniyavіbіrschoschoあなたのmerezhiに最も適しています。
MikroTik:どこにプッシュするか、何をするか?
そのすべての利点のために、MikroTik会社の製品には1つのマイナスがあります-多くのroz'ednanoyとїїnalashtuvannyaについての信頼できる情報を得るにはほど遠いです。 ロシア語を誤解し、すべてを選択し、論理的に構造化することをお勧めします-ビデオコース " Nalashtuvannya MikroTikの所有権 "。 コースに162のビデオレッスンが含まれる前に、45 実験用ロボット、自己検証と抽象のための食べ物。 すべての資料は線なしで残されています。 コースの側面にあるアプリケーションを閉じることで、コースの穂軸を無料で見渡すことができます。 コースの作者はMikroTik認定トレーナーです。
ファイアウォール-あらゆるサーバーと着信する新しいサーバーの防御の最前線 正しい位置合わせ横になって、侵入者がシステムに侵入しようとして邪魔にならないようにします。 現代の火は非人格的なセキュリティメカニズムを支持し、vikoristuyuchiyakіは攻撃者の99%を「正しくない」殺すことができます。 そして、高価なソフトウェアや商用ソフトウェアを購入する必要はありません。
すべてのハッカーの主なメタは、サーバー自体の利益のためにサーバーの機能を悪用するために、サーバーのコマンドインタープリターへのアクセスを削除することです。 「至聖所」への浸透のほとんどは、サービスのdirの助けを借りて、またはそれらの1つ(たとえば、ssh)へのパスワード回復(ブルートフォース)を介して行われます。
ポートスキャン
マシン上の競合するサービスの存在を検出するために、ポートスキャナーおよび他のシステムの助けを借りて検出を攻撃し、競合を検出します。 ポートスキャナーのように聞こえるvikoristovuetsyanmap 違う方法場合によっては、OSとサービスのバージョンを表示します。 Axisは、特に人気のあるnmapエンサインのリストであり、バイコリストクラッカーと呼ばれる必要があります。
スキャン時に表示されるnmapのフラグ
- -sT-特にTCPスキャンを実行して、そのポートの指定されたポートにメッセージを送信するための追加のヘルプを完了します。
- -sS-SYN / ACKスキャン。要求が行われた後、呼び出しが1回開始されます。
- -sU-UDPスキャン。
- -sF-FINエンサインを使用したパケットスキャン。
- -sX-FIN、PSH、およびURGエンサインが挿入されたパケットスキャン。
- -sN –エンサインを設定せずにバッチスキャン。
スキャンから保護する方法はシンプルで、システム管理者にはなじみがあります。 すべてのサービスを単純にシャットダウンしたPolyagaєワインは、まるで有罪であるかのように、外側の境界から見ることができます。 たとえば、ssh、samba、およびapacheサービスがマシン上で実行されており、外部からは企業のWeb側のWebサーバーしか表示できない場合、中間画面は次のように設定できます。
Pochatkoveiptablesのセットアップ
outif = "eth1"
iptables -F
iptables -i $ outif -A INPUT \
-m conntrack \
--ctstate ESTABLISHED、RELATED \
-j受け入れる
iptables -i $ outif -A INPUT -p tcp \
--dport 80 -j ACCEPT
iptables -i $ outif -P INPUT DROP
iptables -i $ outif -P OUTPUT ACCEPT
Pochatkove nalashtuvannya ipfw
outif = "rl0"
ipfw add allow ip from any to any \
lo0経由
ipfw add allow ip from me to any \
$ outif
ipfw add allow tcp from any to me \
$outifを介して確立
ipfw add allow tcp from any 80 \
$outif経由で私に
ipfw add deny ip from any to any \
$ outif
Pochatkoveパッチングpf
outif = "rl0"
lo0にスキップを設定
すべてをブロックする
$outifから$outifを渡す\
任意のキープ状態に
任意の\から$outifプロトを渡します
$outifポート80へ
3つのルールセットはすべて同じように機能します-ループバックインターフェイス(ループバック)を介したトラフィックの通過を許可し、その日にすでにインストールされているパケットの受け入れを許可します(たとえば、ブラウザーはリモートサーバーへの要求を即座に受け入れることができます)、80番目のポートの戻りを許可し、ポートをブロックし、名前への接続を許可します。 敬意を表すために、iptablesおよびipfwアプリケーションでは、すでにインストールされている(確立されている)パケットの受信を許可するルールを明示的に設定しているため、pfの場合は、ルールセットで「状態を維持」を示すだけで十分です。 z'ednannyaの休日があるかどうかを許可します。
ザガロム、スキャンとペネトレーションの形でマージサービスを防御するためのこのようなスキームは良い習慣ですが、距離を保ち、火を修正して、火の中のスキャンがビコナンではないことを非難者が見ることができるようにすることができます。 技術的には、犯罪者がいない人のためだけに、あらゆる種類のソニックスキャン(nmap "-sT"、 "-sS"、 "-sU"を表す)を生成することはできませんが、次のような非標準タイプのスキャンを生成することはできません。 「-sN」、「-sF」、および「-sX」は、法的な補遺では作成できなかったパッケージを生成します。
それに、sumnivuのヒントなしで、私たちはそれを半分の時間与えます。
スキャンの外来種と戦うための方法
#フェンスFIN-スキャン
Linux> iptables -A INPUT -p tcp \
-m tcp \
--tcp-フラグFIN、ACK FIN -j DROP
FreeBSD>
確立されていないtcpflagsfin
#フェンスXスキャン
Linux>
--tcp-フラグFIN、SYN、RST、PSH、ACK、URG
FIN、SYN、RST、PSH、ACK、URG \
-jドロップ
FreeBSD> ipfw add require tcp from any to any \
tcpflags fin、syn、rst、psh、ack、urg
#フェンスN-スキャン
Linux> iptables -A INPUT -p tcp -m tcp \
--tcp-フラグFIN、SYN、RST、PSH、ACK、URGNONE --j DROP
FreeBSD> ipfw add require tcp from any to any \
tcpflags!fin、!syn、!rst、!psh、!ack、!urg
OpenBSDでは、すべての行を穂軸への単純な書き込みで置き換えることができます
/etc/pf.conf:
すべてをこすります
scrubディレクティブは、フラグメント化されたパケットが拒否され、フラグの無効な組み合わせを持つパケットが拒否されるパケット正規化メカニズムをアクティブにします。 エキゾチックなスキャンパターンスクラブのクリームを使用すると、侵入検知システム(非常に断片化されたパケットを圧倒する)やその他のタイプのDoS攻撃を詐欺して欺くことができます。
「-sS」nmapエンサインを使用して開始されたSYN/ACKスキャンをオーバーライドするために、pfファイアウォールおよびiptables / netfilter(バージョン1.4.6以降)で使用可能なパッシブOSフィンガープリント方式をオーバーライドできます。 ソニックスキャンの時間(「-sT」と表記) オペレーティング·システムしたがって、このようなスキャンは未処理のパケットのストリームではまったく見られない可能性があります(以下では、そのIDの詳細を確認できます)が、SYN / ACKでスキャンされたnmapの場合、パケットは独立して形成されるため、悪臭を放ちますあなたが彼らの首を見れば、違うかもしれません。 パッシブOS指定方法を使用すると、標準のファイアウォールルールを利用して、パケットを識別して破棄できます。
OpenBSD>任意のOSNMAPからすばやくブロック
Linux> iptables -I INPUT -p tcp -m osf --genre NMAP \
-jドロップ
iptables / netfilterファイアウォールのosfモジュールは、OpenBSD小売業者(/etc/pf.os)を選択して更新しました。 これらは、nmapユーティリティ(「-O」の記号)によってOSに割り当てられた機能に効果的に対抗できるものでもあります。
今、私の保護は、標準的なものと愚かな「-sT」を除いて、スキャンの使用された画像の形であるかもしれません。 それから抜け出す方法は? 本当に、それは簡単です。 ポートスキャンの事実は、ファイアウォールログを分析するだけで簡単に認識できます。 短期間であるかのように、さまざまなポートで非個人的な接続がありました。これは、スキャンされたことを意味します。 このアイデアをファイアウォールルールに移すのは多すぎます。 iptablesの場合、機能していないポートをノックするすべての人をブロックする信頼できるレシピがあります。
スキャンと戦う iptablesを助ける
#機能していないポートでのノッキングの再チェック(年間10回)
--seconds 3600 --hitcount10--rttl-j戻り値
#機能していないポートをノックするための別の再チェック(メモは2)
iptables -AINPUT-m最近--rcheck\
--秒60--hitcount2-rttl-j戻り値
#住所の入力は静かで、リストをノックします
iptables -A INPUT-m最近の--set
#制限を超えたすべての人のパケットを見てみましょう
接続数
iptables -P INPUT -j DROP
patch-omaticプロジェクトを対象としたxtables-addonsパッケージをインストールすることにより、scanlogdデーモンのイメージと類似性の後に実装されたPSD(Port Scan Detect)モジュールにアクセスできるようになります。 口ひげの最前列は、簡単なルールで簡単に置き換えることができます。
#iptables -A INPUT -m psd -j DROP
残念ながら、パケットフィルタipfwとpfには類似したものはありませんが、そうではないため、ポートスキャンはPortSentryデーモンと同じscanlogdに対して有効です。
フェンスIcmp-更新
ICMP更新をブロックして、ホストに関する追加情報を確認したり、さまざまな悪意のあるアクション(ルーティングテーブルの変更など)を克服したりできるようにすることをお勧めします。 以下は、可能なICMPアラートタイプのリストの表です。
TipiICMPプロンプト
- 0-エコー応答(echo-reply、ping)
- 3-目的地に到達できません
- 4-ソースクエンチ
- 5-リダイレクト(リダイレクト)
- 8-エコー要求(エコー要求、ping)
- 9-ルーターアドバタイズメント
- 10-ルーターの要請
- 11-存続時間が超過しました
- 12-IPヘッダーが正しくありません(間違ったIPパケットヘッダー)
- 13-タイムスタンプリクエスト(時間の値をリクエスト)
- 14-タイムスタンプ応答
- 15-情報リクエスト
- 16-情報の返信
- 17-アドレスマスクリクエスト
- 18-アドレスマスクの返信
気まぐれなことに、ICMP情報の場合は、ホストに関する情報を公開する前に表示することができます。それ以外の場合は、ルーティングテーブルの変更に持ち込むことができるため、ホストを保護する必要があります。
で呼び出す zovnishhnіysvіt ICMP通知0、3、4、11、および12を許可しますが、入力として3、8、および12のみを受け入れます。軸はさまざまなファイアウォールにも実装されています。
フェンスの安全でないICMP-更新
Linux> iptables -A INPUT -p icmp \
-icmp-type 3,8,12 -j ACCEPT
Linux> iptables -A OUTPUT -p icmp \
-icmp-type 0,3,4,11,12 -j ACCEPT
FreeBSD> ipfw add allow icmp \
から$outifin \
$ outificmptype3,8,12経由
FreeBSD> ipfw add allow icmp \
$outifから任意のoutへ\
$ outificmptype0,3,4,11,12経由
OpenBSD> inetprotoicmpを渡す\
任意から$outif\
icmp-type(3、8、12)状態を維持
OpenBSD> inetprotoicmpを渡す\
$outifから任意の\
icmp-type(0、3、4、11、12)\
状態を保つ
有料で、ping要求を含むすべてのICMPトラフィックをブロックしたり、ロボットによる測定の正確さを確認したりできます。
強引な
についての情報を見つけた 重要なポートでそのOSの場合、クラッカーはシステムへの侵入を試みることができます。これは、サービスでのリモートサーバーの悪用、またはパスワードの選択に基づく可能性があります。 ファイアウォールの邪悪なサービスを阻止するのを手伝うことはできません。パスワードブルートフォースプロセスをハッキングするのは簡単です。 このため、同じIPアドレスから本機に届いた多数のパッケージを交換することができます。 軸はiptablesの助けを借りてzrobitiにすることができます:
iptablesヘルプのブルートフォースディフェンダー
#z'ednanを再チェックするためのランス
iptables -N brute_check
#ブロックアドレス、通常60
2日以上の秒
--update --seconds 60 \
--ヒットカウント3-jドロップ
#Yakshchonі-それはzadnannyaすることが許可されています
リストにアドレスを追加します
iptables -Abrute_check-m最近\
--set -j ACCEPT
#INPUTストラップをクリーンアップします
iptables -F INPUT
#Brute_check
接続しようとしているすべての人
ポート22
--ctstate NEW -p tcp \
--dport 22 -j brute_check
iptables -P INPUT DROP
それらの同じものはrobitiіzvikoristannyampfである可能性があります:
助けのためのブルートフォースディフェンダー
#bruteforcersのテーブルを作成する
テーブル
#彼女の前に消費したすべての人をブロックする
からすばやくブロック
#ホイリンの22番目のポートで2つ以上の注文を開始したすべての人をbruteforcersテーブルに入れます
$ ext_if inetvolumetcpを$outifに渡します\
ポート22フラグS/SAは状態を維持します\
(max-src-conn-rate 60/2、\オーバーロード
ipfwファイアウォールには、効果的な反ブルートフォーサーのための十分な機能がありません。そのため、特別なPAMモジュール、侵入を検出するシステム、sshguard上のプログラムなど、より高いレベルの勝利ツールのせいになっています。
なりすまし
なりすまし(パケットマネージャのアドレスのなりすまし)を使用して、DoS攻撃を作成したり、ファイアウォールをバイパスしたりできます。 最初のケースでは、なりすましは攻撃者に大きな利点をもたらしますが、攻撃への反応を悪化させ(プロキシのアドレスが完全に異なるパケットは分類とブロックがそれほど簡単ではありません)、新しいものを閉じるプロセスを遅らせます'その日はタイムアウトの終了後にのみ表示されます)。 システムをバイパスするために使用されるなりすましは、安全性が低く、制御しやすくなります。
多くの場合、ホストの呼び出しサービスをブロックして、システム管理者は、歌の範囲に許可されているアドレスを奪います(たとえば、自分のホームマシンに接続するため)。 これらのアドレスの1つを計算すると、攻撃者はパケットを形成し、そのアドレスをリターンとして記述し、このようにしてファイアウォールを「すり抜ける」ことができます。 TCPパケットの数と順序を推測し、必要な情報を見つけて、差出人アドレスを信頼するサービスが見つかるようにすることができます。 有能なスペシャリストが攻撃を打ち負かすことができるため、攻撃の実装においても重要です。UDPプロトコルに関する場合は、パワーとクールハッカーが連鎖します。
幸いなことに、そのような攻撃から防御するのは簡単です。 外界の保護されていないサービスを台無しにしないで十分であり、サービス自体のシステム(たとえば、ssh証明書)または「ポートでのスニッフィング」のメカニズム(新しいものについて)を保護する必要がある場合は、 1つは記事の例で説明されています)。
右側にトラス橋があり、内側と外側のトラス(または2つのローカルトラス)を分割している場合、状況は折りたたむことができます。 Dovіrchivіdnosinіvіdnosіnі ローカルライン-右側のzvichayna。 すべての人が利用できるサービス、認証、暗号化などはありません。 -泥棒のためのただのレースのshmatochok。 外側の境界にあるPerebuvayuyuschyでは、内側の境界のマスクを認識し、特別な差出人住所でパケットを形成できます。これにより、ローカルエリアのすべてのリソースにアクセスできます。 確かに状況は安全ではありませんが、ファイアウォールまたはOSの正しい設定の助けを借りてお金を節約するのは簡単です。
パケットの通過を阻止するだけで十分な場合、これらのリターンアドレスは、外部インターフェイスから内部境界に渡される必要があります。
Linux> iptables -A INPUT -i $ outif \
-s 192.168.1.0/24 -j DENY
FreeBSD> ipfw add deny ip from \
192.168.1.0/24から$outif経由で
OpenBSD>\から$outifにブロックイン
192.168.1.0/24から任意の
追加の攻撃の代わりに、特別なディレクティブipfwとpfを打ち負かし、Linuxカーネルを微調整することができます(そしてそうする必要があります)。
Linux> echo 1> / proc / sys / net / ipv4 / conf / all / rp_filter
FreeBSD> ipfw add deny ip
OpenBSD>$ext_ifのアンチスプーフィングクイック
チー3チームは同じ結果につながります。 アドレスをラップして別のインターフェイスのマスに適しているすべてのパケットは拒否されます。
IPTABLESレート
たとえば、侵入によるサーバーの攻撃を脅かす可能性のあるiptables/netfilterの可能性のいくつかを見ることができます。 メカニズムに戻りましょう リモートケア otrimav im'yaが「ポートをノックする」(ポートノック)ファイアウォール。 ヨガの本質は、指定されたポートに接続した後、zmusitiファイアウォールvykonuvatpevnіdіїが行われるという事実にあります。 以下は、ポート27520で「ノック」した後10秒間SSHポートを開く一連のルールです。
iptablesとポートノッキング
#保護されているポートへの呼び出しを調整するためのランス
iptables-Nノック
#閉じることができます
10秒
iptables-ノック-m最近--rcheck--seconds10 \
-j受け入れる
#INPUTをクリア
iptables -F INPUT
#過去に行われるべきことはすべて行うことができます
iptables -A INPUT -m conntrack \
--ctstate ESTABLISHED、RELATED -j ACCEPT
#ポート22が正しいかどうかを確認してみてください
ノック
-p tcp --dport22-jノック
#27520番目のポートをノックしているアドレスをリストに入力します
iptables -A INPUT -m conntrack --ctstate NEW \
-p tcp --dport 27520-m最近の--set
#ポートをノックすると、リストからアドレスを確認できます
iptables -A INPUT -m conntrack --ctstate NEW -p tcp \
-m multiport --dport 27519,27521-m最近--remove
#すべてを保護する
iptables -P INPUT DROP
3番目のルールは、リストにヒットした人のアドレスを追加することです。 ノックが22番目のポートに上がった後、同じマシンが10秒間実行されるのと同じように、接続がインストールされます。 ペレドスタンヌのルール-「ノックを破る」という形のザヒスト。 攻撃者がすべてのポートで順番に鳴き声を上げようとすると、同じルールに従って、そのうちの1つが22番目のポートを開き、新しいアドレスの直後に最初のアドレスがリストに表示されることを願っています。
iptablesの他のバリエーションは、xtables-addons(patch-o-matic)パッケージで拡張されており、TARPITの場合があります。 Tse diya(ACCEPTやDENYなど)は、攻撃側が攻撃を閉じることを許可せずに、攻撃を「持ち上げる」ようなものです。 その後、同じタイプのパケットがTARPITから取得されますが、インストールされますが、拡張はゼロになります。何らかの理由で、マシンはそのリソースを使用してデータを引き換えることができなくなり、クロージングはタイムアウトの終了後にのみ閉じられます。 TARPITは、DoS攻撃の緊急事態で打ち負かされる可能性があります。
#iptables -A INPUT -p tcp -m tcp -dport 80 -j TARPIT
しかし、オマーンへの攻撃者の紹介とスキャナーとの戦いのために
ポート(TCPスキャン、「-sT」の場合のみ):
#iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
#iptables -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
#iptables -A INPUT -p tcp -m tcp -j TARPIT
これらのルールは、すべてを台無しにするような方法でシステムの可視性を作成しますが、1時間の間、それらのいずれかに接続しようとすると(crim 80および25)、「保留」されます。 同じ結果で、「たるみ」の日がなくても、DELUDEの助けを借りて、注文を開始するすべての試みを正しく確認する方法、またはRSTパッケージをパッケージの配信に送信することができます。 攻撃者をさらに誤解させるために、上記の2つの説明のいずれかをアクティブにする方法として、CHAOSを振動させることができます。
ヴィスノフキ
私が十分な知識を得て、ドキュメントを注意深く読むことができれば、それがうまくやっていくのがそれほど簡単でなくなるまで、あなたは過激な要塞さえ作成することができます。 最新のファイアウォール、特にpfとiptablesは、悪意のあるゲストから非人道的に保護できるため、完全に無料で実行できます。
リンク
- sf.net/projects/sentrytools-PortSentry
- www.openwall.com/scanlogd-scanlogd
資源のスパイラルのための戦い
TARPITを使用する場合は、次のルールを構成に追加する必要があります。追加しない場合は、conntrackサブシステムを処理するときにリソースを追加する日を「サグ」します。
#iptables -t raw -I PREROUTING -p tcp --dport 25 -j NOTRACK
繰り返しになりますが、ACLを理解し続けましょう。 初めて、ACL拡張機能があります。 トポロジーは前の記事から取られています、私は同意します、あなたはそれを徹底的に行いました。 そうでない場合は、これらの記事の資料が適切であるように、それを読むことをお勧めします。
そのようなACL拡張という事実から始めましょう。 ACL拡張機能を使用すると、gerelのアドレスなど、プロトコル、認識のアドレス、およびポートを指定できます。 また、プロトコルの特別なパラメータ。 お尻について勉強するのが一番です。そのための新しいタスクを作成し、それを前面に出します。 ちなみに、優先順位のトラフィックの分散を管理したい人は誰でも、英語ではありますが、Raju軸のQoS分類とマーキングは良い記事です。 さて、今のところ、私たちのタスクに目を向けましょう:
マネジャー。
- リンク192.168.0.0/24のノードからサーバーへのエコー要求を許可します。
- サーバーから-内部ネットワークからのecho-request。
- ノード192.168.0.11からサーバーへのWEBアクセスを許可します。
- ノード192.168.0.13からサーバーへのFTPアクセスを許可します。
複雑なタスク。 Virishuvatimemoїїtezh複合体。 拡張ACL構文を見てみましょう。
拡張ACLオプション
<номер от 100 до 199> <действие permit, deny> <протокол> <источник> <порт> <назначение> <порт> <опции>
TCP / UDPプロトコルでは、ポート番号が指定される可能性は低いと思います。 アタッチメントの場所を母にすることもできます eq(ポート番号は割り当てられたものと同じです)、 gt / lt(割り当てられたポート番号よりも大きい/小さい)、 neq(ポート番号は指定したものと同じではありません)、 範囲(ポートの範囲)。
ACL名
スピーチの前に、アクセスリストに番号を付けるだけでなく、名前を付けることもできます。 おそらく、あらゆる方法があなたにとって良いでしょう。 今回は自分たちでやっています。 コマンドはグローバル構成のコンテキストで設定され、構文は次のようになります。
Router(config)#ip access-list extended<имя>
Otzhe、私たちはルールを策定し始めます。
- 国境からのpingを許可 192.168.0.0/24
サーバーに。 Otzhe、 エコー-質問-同じプロトコル ICMP、dzherelのアドレスは私たちのアドレスによって選択されるため、割り当てられたアドレスはサーバーのアドレスであり、通知のタイプは入力インターフェイスにあります エコー、出口で- エコー返信。 Router(config)#ip access-list extended INT_IN Router(config-ext-nacl)#permit icmp 192.168.0.0 0.0.0.255 host 10.0.0.100 echo だから、tseチップ ACL。 いわゆる ワイルドカード-マスク。 マスクが巻かれていると数えられます。 トブト。 255.255.255.255
--dmerezhіマスク。 私たちの心には勇気があります 255.255.255.0
、見た後 0.0.0.255
。このルールは説明を必要としないと思いますか? プロトコル icmp、dzherelに対応-pіdmerezh 192.168.0.0/24
、認識されたアドレス- ホスト10.0.0.100、アラートタイプ– エコー(リクエスト)。 スピーチの前に、それを覚えておくことは重要ではありません ホスト10.0.0.100同等に 10.0.0.100 0.0.0.0
インターフェイスの.Zastosovuєmotseルール。 Router(config)#int fa0 / 0
Router(config-if)#ip access-group INT_IN inええと、多分そうでしょう。 さて、pingを元に戻す方法-すべてがうまく機能していることを覚えておくのは簡単です。 ここで、それは本当です、私たちは3時の破片のように1つの驚きに直面しています。 私がそれを明らかにするまで。 誰が推測したか-よくやった! - サーバーから-内部ネットワーク(192.168.0.0/24)からのエコーに対するすべての要求をブロックします。 新しい命名規則INT_OUTを割り当て、サーバーに最も近いインターフェースに変更します。
Router(config)#ip access-list extended INT_OUT
Router(config-ext-nacl)#deny icmp host 10.0.0.100 192.168.0.0 0.0.0.255 echo
Router(config-ext-nacl)#exit
Router(config)#int fa0 / 1
Router(config-if)#ip access-group INT_OUT in
私たちが奪われたものを説明させてください。 INT_OUT名にアクセスするための拡張リストを作成し、プロトコルをブロックしました。 icmpタイプ付き エコーホストから 10.0.0.100 pіdmerezhuに 192.168.0.0/24 彼女は入力インターフェースで立ち往生していた fa0 / 1、 それから。 サーバーに最も近い。 送信しようとしています pingサーバーから。
SERVER> ping 192.168.0.11
32バイトのデータで192.168.0.11にpingを実行します。
10.0.0.1からの応答:宛先ホストに到達できません。
10.0.0.1からの応答:宛先ホストに到達できません。
10.0.0.1からの応答:宛先ホストに到達できません。
192.168.0.11のping統計:
パケット:送信= 4、受信= 0、紛失= 4(100%の損失)
さて、それは次のようにうまくいきました。 pingの送信方法がわからない場合は、ノードをクリックして、サーバーなどに電話してください。 [デスクトップ]タブ(作業スタイル)に移動し、そこにコマンドプロンプト(コマンド行)があります。 そして今、obіtsyany冗談。 最初のポイントのように、ホストからpingを実行してみてください。 PC> ping 10.0.0.100
32バイトのデータで10.0.0.100にpingを実行します。
リクエストはタイムアウトしました。
リクエストはタイムアウトしました。
リクエストはタイムアウトしました。
リクエストはタイムアウトしました。一度斧してください。 すべてがうまくいきました! なぜ止まったのですか? Tseobіtsyany驚き。 問題が何であるかを説明させてください。 したがって、最初のルールはどこにも行きませんでした。 これにより、効果的にサーバーvuzolにエコーを送信できます。 Ale deはエコーレビューの通過を許可しましたか? よごわからない! お願いしますが、お受けできません! なぜすべてが早く機能したのですか? 次に、インターフェイスにACLがありませんでした fa0 / 1。 また、ACLがない場合は、すべてが許可されます。 icmp-voiceの受信を許可するルールを作成する必要があります。
DodamoからINT_OUTリストへ
それらのdodamoiはリストINT_INにあります。
Router(config-ext-nacl)#permit icmp host 10.0.0.100 192.168.0.0 0.0.0.255 echo-reply
Axisはprichepitisyaではなくなりました。 すべてが順調に進んでいます!
- ノード*.11からサーバーへのWEBアクセスが許可されます。同じようにしてください。 ここでは、第4レベル(TCP、UDP)のプロトコルに従うため、3人の貴族が必要です。 クライアントポートは1024を超えるように選択され、サーバーポートはサービスに接続されます。 WEBの場合-ポート80(httpプロトコル)。 そして、WEBサーバードライブはどうですか? 舞台裏では、WEBサービスはすでにサーバーにインストールされており、ノードの設定を確認できます。 ダニがあったように、敬意を表してください。 また、任意のノードの「デスクトップ」にあるショートカット「Webブラウザ」を選択することでサーバーに接続できます。 Zvichayno、同時にアクセスはできません。 ルーターインターフェースのシャードはACLをハングさせ、アクセスのルールはありません。 さて、作りましょう。 INT_INアクセスリスト(インターフェイス上にあります) fa0 / 0)ルールを追加します。Router(config-ext-nacl)#permit tcp host 192.168.0.11 gt 1024 host 10.0.0.100 eq 80ノード(前のポート、> 1024)からサーバーアドレス、ポートへのTCPプロトコルを許可します。
І、razumіlo、zvorotneルール、リストINT_OUT(これはインターフェース上にあります) fa0 / 1):
Router(config-ext-nacl)#permit tcp host 10.0.0.100 eq 80host192.168.0.11が確立されました
それは許可されています TCP港から 80 ホストごとのサーバー *.11 、およびz'ednannyaはすでにインストールできます! 交換できます 設立そのように言う gt 1024、pratsyuvatiはとても良いでしょう。 Alesenstrochiіnshiy。
コメントで、アドバイスをしてください、あなたは何を安全にしますか?
- *.13ノードからサーバーへのFTPアクセスが許可されます。 折り畳み式のものは絶対にありません! FTPプロトコルと組み合わせてどのように機能するかが選択されます。 記事のサイクル全体をロボットとさまざまなプロトコルの未来に捧げる予定です。ACLの正確な(狙撃)ルールを作成する場合、シャードはさらに優れています。 さて、今のところ: サーバーとクライアント:+クライアントはコールをインストールしようとし、サーバーのポートX(X> 1024、別のポート)から21番目のポートでパケット(ロボットがパッシブモードで動作するというメッセージを含む)をオーバーライドします。許可されたデータチャネルY (Y> 1024)クライアントポートXへ。TCPパケットヘッダーから省略されます。 そのようです。 良い音を出すのは厄介ですが、成長する必要があります。 INT_INリストにルールを追加します。
tcpホスト192.168.0.13gt1024ホスト10.0.0.100eq21を許可する
tcpホスト192.168.0.13gt1024ホスト10.0.0.100gt1024を許可しますそして、INT_OUTリストにルールを追加します。
tcpホスト10.0.0.100eqftpホスト192.168.0.13gt1024を許可します
tcpホストを許可する10.0.0.100gt1024ホスト192.168.0.13gt1024チームによるコマンドラインからの確認 ftp 10.0.0.100、oblіkovymidanimiの許可を取り消す cisco:cisco(サーバーから取得)、そこにコマンドを入力します dirそして、与えられたコマンドが正常に送信される方が良いです。
軸はおおよそであり、拡張アクセスリストに値するすべてのものです。
繰り返しますが、私たちのルールを見てください:
Router#shアクセス
拡張IPアクセスリストINT_IN
permit icmp 192.168.0.0 0.0.0.255 host 10.0.0.100 echo(17 match(es))
icmp host 10.0.0.100 192.168.0.00.0.0.255echo-replyを許可する
tcpホスト192.168.0.11gt1024ホスト10.0.0.100eqwww(36一致)を許可する
tcpホスト192.168.0.13gt1024ホスト10.0.0.100eqftp(40一致)を許可する
tcpホストを許可する192.168.0.13gt1024ホスト10.0.0.100gt1024(4つの一致)
拡張IPアクセスリストINT_OUT
icmpホストを拒否10.0.0.100192.168.0.00.0.0.255エコー(4つの一致)
icmp host 10.0.0.100 192.168.0.0 0.0.0.255 echo-replyを許可します(4つの一致)
tcpホスト10.0.0.100eqwwwホスト192.168.0.11が確立されていることを許可します(3つの一致)
tcpホスト10.0.0.100eqftpホスト192.168.0.13gt1024(16一致)を許可する
tcpホストを許可する10.0.0.100gt1024ホスト192.168.0.13gt1024(3つの一致)
コンピューターのpidを構成するにはどうすればよいですか keruvannyam Windows 2000 / XP / 2003がPingパケットをブロックしていますか? Windows 2000 / XP / 2003は、IPSec(IPセキュリティ)と呼ばれるIPセキュリティメカニズムを導入する場合があります。 IPSecはプロトコルであり、個々のTCP/IPパケットがネットワークを介して送信されるときにそれらを保護するために分割されます。
ただし、IPsecアドオンの機能、暗号化のシャードについては詳しく説明しません。IPSecは、ファイアウォールと同様のメカニズムでサーバーまたはオペレーティングステーションを保護することもできます。
1台のコンピューターでPINGをブロックする
コンピューターおよび新しいコンピューターからのすべてのPINGパケットをブロックするには、すべてのICMPトラフィックをブロックするIPSecポリシーを作成する必要があります。 初めて、コンピュータのICMP要求をオンにします。
1台のコンピューターをセットアップするには、次の手順を実行する必要があります。
構成可能IPフィルターリストとフィルターアクション
- MMCウィンドウを開きます([スタート]>[実行]>[MMC])。
- IPセキュリティおよびポリシー管理スナップインを追加します。
- Viberіt、どのようなコンピュータがcheruvatisyatsієyuの政治を批判しているのか-私たちの意見では、ローカルコンピュータ全体。 [閉じる]を押してから、[OK]を押します。
- MMCコンソールの左半分にある[IPセキュリティポリシー]を右クリックします。 [IPフィルターリストの管理]と[フィルターアクション]を選択します。
- ICMP用のIPフィルター(プロトコル、この場合はPINGが使用されます)を構成または作成する必要はありませんが、そのようなフィルターは既にロックに使用されています-すべてのICMPトラフィック。
ただし、たとえば、正しいIPからコンピューターをフェッチするなどの折りたたみ可能なIPフィルターの数と、それらの数を構成できます。 IPSec専用の今後の記事の1つで、IPフィルターの作成について報告し、更新に従います。
- [フィルターリストとフィルターアクションの管理]ウィンドウで、フィルターを確認し、[フィルターアクションの管理]タブをクリックします。 次に、曲のトラフィックをブロックしているフィルターのメッセージを追加する必要があります。[追加]を押します。
- 最初にvіknіvіknіvіtannyvіtannyaはNextをプッシュしています。
- 「フィルターアクション名」フィールドに「ブロック」と入力し、「次へ」を押します。
- [フィルターアクションの一般オプション]で[ブロック]を選択し、次に[次へ]を選択します。
- [IPフィルターリストとフィルターアクションの管理]ウィンドウに戻り、フィルターを確認します。それ以外の場合は、[閉じる]をクリックします。 フィルタはいつでも追加でき、フィルタにはdіїを追加できます。
次のステップは、IPSecポリシーとїїzastosuvannyaを構成することです。
IPSeポリシーの構成
- 同じMMCコンソールで、[IPセキュリティポリシー]を右クリックし、[IPセキュリティポリシーの作成]を選択します。
- [次へ]を押して、マスターの歓迎をスキップします。
- [IPセキュリティポリシー名]フィールドに、「BlockPING」などの有効な名前を入力します。 次へを押す
- 安全な接続要求の場合は、[デフォルトの応答ルールをアクティブにする]チェックボックスをオフにします。 PressNext
- チェックボックスを設定して権限を変更し、「終了」をクリックします。
- 新しいIPSecポリシーにIPフィルターやその他のフィルターを追加する必要があります。 Vіknі 新しいポリシー IPSecプレス追加
- [次へ]ボタンを押します。
- トンネルエンドポイントで、選択したプロモーション値に切り替えて、[次へ]をクリックします。
OSでpingpingをブロックすると、攻撃によるICMPパケットのフラッディングを防ぐことができ、より多くのシステムが勝ちます qiuサービスオンライン監視(システム監視)。 私のトピック「Unix/LinuxでのBlockPing(ICMP)」では、それを無効にする方法を説明します。
サーバーは常にスタックしているため、サーバーでPINGをブロックすることは正しいです。 DoS攻撃 PING機能の助けを借りて。 IPTablesを使用する場合、サーバーにICMPパケットをping(PINGをフェッチ)するだけです。 穂軸の前に、LinuxでIptablesを持っている人について知る必要があります。 Iptablesは、着信パケットと発信パケットを制御するための一連のルールを備えたクロススクリーンシステムです。 Iptablesをロックするために、ルールなしで、ルールを作成、追加、編集できます。
Pingvicoristとiptablesを有効にする
パケットによるICMPルールの作成に必要なiptablesのいくつかのパラメーターの説明:
A:ルールを追加します。
-D:テーブルからルールを表示します。
-p:プロトコルを指定するオプション(de icmp)。
-icmp-type:タイプを指定するオプション。
-J:ランセットにジャンプします。
以下に最初のお尻を指摘します。
サーバーでPINGをブロックして、許しについての通知を受け取るにはどうすればよいですか?
このようにして、宛先ポート到達不能の許しについての警告でPINGをブロックできることがよくあります。 次のIptablesルールを追加して、PINGがパードン通知を表示しないようにします。
#iptables -A INPUT -p icmp --icmp-type echo-request -j REJECT
ブロック サーバーでのPING許しに言及せずに。
ІPTablesのこの勝利チームの場合:
#iptables -A OUTPUT -p icmp --icmp-type echo-request -j DROP#iptables -A INPUT -p icmp --icmp-type echo-reply -j DROP
サーバー上のすべての着信および発信ICMPパケットをブロックします。
iptablesを介してPingバイコリストを許可する
サーバーでpingをブロックしていて、元に戻す方法がわかりません。 それでは、成長の仕方をすぐにお話しします。 そして反撃するために、IPtablesに攻撃的なルールを追加します:
#iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT#iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
これらは、サーバーから新しいパケットへのICMPパケットの通過を許可するためのルールです。
カーネルパラメータを使用したPingのブロック
カーネルパラメータを使用して、pingを無差別にブロックすることもできます。 ping timchasovoまたはpostiynoでvіdpovіdіをブロックできます。これは、tserobitiとして以下に示されています。
タイムブロッキングPing
あなたはpingでtimchasovovidpovidіをブロックすることができます、vikoristovuyuchiはチームを攻撃します
#echo "1">
このコマンドのブロックを解除するには、次の手順に従います。
#echo 0> / proc / sys / net / ipv4 / icmp_echo_ignore_all
ZaboronitiPingvzagalі
pingpіdpovidіdodayuchiをブロックできます 攻撃的なパラメータの 構成ファイル:
#vim /etc/sysctl.conf
І書き込み:
[...] net.ipv4.icmp_echo_ignore_all = 1 [...]
sysctlは、ping時間のカーネルパラメーターを変更するためにハッキングします。これらのパラメーターの1つをpingデーモン(pingデーモン)に設定できます。pingを有効にする場合は、pingデーモンを実行するだけです。
#sysctl -w net.ipv4.icmp_echo_ignore_all = 1
今度はマシンにpingを実行してみてください。毎日のレポートはありませんが、なぜですか? pingを再度有効にするには、次のようにひねります。
#sysctl -w net.ipv4.icmp_echo_ignore_all = 0
W ensignは勝利を収めているため、いくつかの設定を変更する必要があります。
次に、システムを再起動せずにインストールをランダムにフリーズするコマンドを実行してみましょう。
#sysctl -p
#sysctl --system
私の最新の設定を軸にします:
#cd / usr / local / src && wget http://website/wp-content/uploads/files/sysctl_conf.txt
そして、あなたはvikonatiすることができます:
#cp /usr/local/src/sysctl_conf.txt /etc/sysctl.conf
私の場合、トピック「Unix / LinuxでのBlockPing(ICMP)応答」は完了しています。
