MikroTik-ის დაფიქსირება შეგიძლიათ ისწავლოთ აქ ონლაინ კურსებივირობნიკის მფლობელობიდან. კურსის ავტორია MikroTik-ის სერტიფიცირებული ტრენერი. შეგიძლიათ წაიკითხოთ ანგარიში სტატიების მაგალითებისთვის.

სტატიაში ნაჩვენებია ICMP ტრაფიკის არაუსაფრთხო დაბლოკვის ძალა.

ICMP - ვაშლი ძმას

ბაგატო merezhevі ადმინისტრატორებიმნიშვნელოვანია აღინიშნოს, რომ ინტერნეტის კონტროლის შეტყობინებების პროტოკოლი (ICMP) საფრთხეს უქმნის უსაფრთხოებას და მისი დაბლოკვის დამნაშავეა. ნუ დაბლოკავთ ყველა ICMP ტრაფიკს!

ICMP ტრაფიკს შეიძლება ჰქონდეს ბევრი მნიშვნელოვანი ფუნქცია; მათი წესით, პრობლემების აღმოსაფხვრელად, სხვა აუცილებელი ღონისძიების სწორი მუშაობისთვის. ქვემოთ მოცემულია საწყობების მნიშვნელოვანი აქტების შეჯამება ICMP პროტოკოლით, დამნაშავე დიდებულების შესახებ. შემდეგ იფიქრეთ იმაზე, თუ როგორ უკეთესად გაატაროთ ისინი თქვენს ქსელში.

ეხო იკითხე და ეხო გარკვევით

IPv4 - Echo მოთხოვნა (Type8, Code0) და Echo მოთხოვნა (Type0, Code0)
IPv6 - Echo მოთხოვნა (Type128, Code0) და Echo მოთხოვნა (Type129, Code0)

ჩვენ ყველამ კარგად ვიცით, რომ ping არის ერთ-ერთი პირველი ინსტრუმენტი პინგინგისა და პრობლემების აღმოსაფხვრელად. ასე რომ, თუ თქვენ დამოუკიდებლად ამოწმებთ ICMP პაკეტების დამუშავებას, ნიშნავს თუ არა ეს, რომ თქვენი ჰოსტი ახლა ხელმისაწვდომია ჩვენებისთვის, მაგრამ თქვენი ჰოსტი აღარ უსმენს 80 პორტს და არ აიძულებს კლიენტის მოთხოვნას? ცხადია, დაბლოკეთ ყველა სხვა ზარი, რადგან თქვენ იცით, რომ თქვენი DMZ საზღვარზე იყო. მაგრამ ICMP ტრაფიკის დაბლოკვით თქვენი ღობის შუაგულში, თქვენ ამას ვერ დაეხმარებით, თქვენ წაართმევთ სისტემას მიმოქცევის და გაუმართაობის აღმოფხვრის უნივერსალური პროცესით („გააბრუნეთ, გთხოვთ, ხედავთ კარიბჭეს ღობე?”, არაფერი მითხრათ!”).

დაიმახსოვრეთ, თქვენ ასევე შეგიძლიათ დაუშვათ სასმელების გავლა მომღერლისგან პირდაპირ; მაგალითად, დააყენეთ ისე, რომ თქვენი ქსელიდან Echo-ს მოთხოვნები გაიაროს ინტერნეტით და Echo ხმები ინტერნეტიდან თქვენი ქსელიდან, მაგრამ არა პირიქით.

საჭიროა პაკეტის ფრაგმენტაცია (IPv4) / პაკეტი ძალიან დიდი (IPv6)

IPv4 - (Type3, Code4)
IPv6 - (Type2, Code0)

ICMP პროტოკოლის ეს კომპონენტები ასევე მნიშვნელოვანია, მაგრამ არის Path MTU Discovery-ის (PMTUD) მნიშვნელოვანი კომპონენტი, რომელიც არ არის TCP პროტოკოლის ნაწილი. საშუალებას აძლევს ორ ჰოსტს დაარეგულიროს TCP სეგმენტის მაქსიმალური ზომა (MSS) მნიშვნელობა იმ მნიშვნელობამდე, რომელიც აცნობებს უმცირეს MTU-ს დაუკავშირდეს ორ დანიშნულებას შორის. თუ გზად პაკეტები გაივლიან ავტობუსს, რომელსაც აქვს პატარა მაქსიმალური გადაცემის ერთეული, ქვედას ეყოლება მძღოლი ან ოფიცერი და მათ არ ექნებათ ფული ამ შეჯახების საჩვენებლად, მოძრაობა შეუმჩნეველი იქნება. ვერ გაიგებთ რა ისმის არხიდან; სხვა სიტყვებით რომ ვთქვათ, "მხიარული დღეები მოვა შენთვის".

ნუ ფრაგმენტირებ - ICMP მარცხდება!

IPv4 პაკეტების გადაცემა Don't Fragment set ბიტით (მეტი მათგანი!) ან IPv6 პაკეტებით (გახსოვდეთ, რომ არ არის ფრაგმენტაცია მარშრუტიზატორების მიერ IPv6-ში), რომლებიც ძალიან დიდია ინტერფეისით გადაცემისთვის, სანამ როუტერი ამოიცნობს შეფუთეთ dzherel-ის გადაცემის ეს ფორმა მომავალი ICMP შეწყალებით: საჭიროა ფრაგმენტაცია ( ფრაგმენტაცია საჭიროა), ან პაკეტი ზანადტო დიდი ( პაკეტებიცდიდი). მაშინაც კი, თუ ამ შეწყალებით ვერ შეტრიალდებით, შეგიძლიათ განმარტოთ ის ფაქტი, რომ არსებობს დადასტურებები ACK პაკეტების მიწოდების შესახებ ( აღიარე) შეკვეთის სახით გადაცემის სახით / გამოიყენეთ იგი ჟილეტით პაკეტების ხელახალი გადაცემისთვის, რადგან ისინი ასევე იქნება აღიარებული.

მარტივია ასეთი პრობლემის მიზეზის დადგენა და სწრაფად გამოსწორება TCP ხელის ჩამორთმევის პროცესი (TCP-ხელის ჩამორთმევა) ნორმალურია, ახალ დავალებაში ფრაგმენტები არის პატარა პაკეტები, მაგრამ, ფაქტობრივად, მონაცემთა გადაცემის მასობრივი გადაცემა. სხდომა ჩერდება, ამიტომ გადაცემა არ ზრუნავს შეწყალებაზე.

პაკეტის მიტანის შემდგომი მარშრუტი

RFC 4821 გაფართოების წერილი, რათა დაეხმაროს მონაწილეებს ტრაფიკის გადაცემაში, გადალახონ ეს პრობლემა, გამარჯვებით მიჰყვნენ ყველა პაკეტის ბილიკებს (გზა MTU აღმოჩენა (PLPMTUD). სტანდარტი საშუალებას იძლევა გამოავლინოს მონაცემთა მაქსიმალური ვალდებულება (მაქსიმალური გადაცემის ერთეული (MTU), რომელიც შეიძლება გადაიცეს პროტოკოლით ერთ გამეორებაში მონაცემთა ჩარჩოს ბლოკის მაქსიმალური ზომის ეტაპობრივი გაზრდით (სეგმენტის მაქსიმალური ზომა (MSS), იცოდეთ პაკეტის მაქსიმალური შესაძლო ზომა ყოველგვარი ფრაგმენტაციის გარეშე პირდაპირი გადაცემის გზაზე გადაცემიდან მიღებამდე. Zmenal Zalesniy-ის ფუნქციები, მისი თითების vidpovydi ვიდიდი ვაჭრებთან Mizhmerzhevikh Keyuchny Polodidle (ICMP) წვდომის ბილშოსტი მერეჟევიხის პროტოკოლის მიღმა, არის მაქსიმალური პოდომლენის პროტოკოლი ICMP გადახვევა dzherel გადაცემაზე, კაი?

ტრანსპორტირება ამანათის გადაცემის საათამდე

IPv4 - (Type11, Code0)
IPv6 - (Type3, Code0)

Traceroute - ძირითადი ინსტრუმენტი პრობლემების მოსაგვარებლად ფარიკაობაორ მასპინძელს შორის, რომლებიც გადმოცემით აღწერენ ტყავის კროკის გზას.

პაკეტის რედაქტირება სიცოცხლის საათიდან მონაცემთა პაკეტამდე IP პროტოკოლისთვის (ცხოვრების დრო (TTL)თანაბარი 1 , ასე რომ პირველმა როუტერმა გამოაგზავნა შეწყალება (მათ შორის საჯარო IP მისამართით) პაკეტის სიცოცხლის დროის გადაცემის შესახებ. მოდით გავუგზავნოთ პაკეტი TTL 2-ით და ასე შემდეგ. ეს პროცედურა აუცილებელია იმისათვის, რომ გამოვლინდეს კანის ვუზოლი პაკეტების გავლის გზაზე.

NDP და SLAAC (IPv6)

როუტერის მოთხოვნა (RS) (Type133, Code0)
როუტერის რეკლამა (RA) (Type134, Code0)
მეზობლის შუამდგომლობა (NS) (Type135, Code0)
მეზობელი რეკლამა (NA) (Type136, Code0)
გადამისამართება (Type137, Code0)

ამავდროულად, IPv4-მა მოიგო IPv4 მისამართის დაშვების პროტოკოლი (ARP) 2-ისა და 3-ის დაწყვილებისთვის OSI mesh მოდელში, IPv6-მა მოიგო სხვა გზა, ისევე როგორც მდგრადობის გამოვლენის პროტოკოლი (NDP). NDP უზრუნველყოფს უპიროვნო ფუნქციებს, მათ შორის როუტერის აღმოჩენას, პრეფიქსის აღმოჩენას, მისამართების გაზიარებას და სხვა. NDP-ის გარდა, StateLess Address AutoConfiguration (SLAAC) იძლევა დინამიური ჰოსტის კონფიგურაციის საშუალებას ქსელში, დინამიური ჰოსტის კონფიგურაციის პროტოკოლის (DHCP) კონცეფციის მსგავსი (თუმცა DHCPv6 უნდა იყოს გამოყენებული უფრო დახვეწილი ქსელისთვის).

არსებობს ხუთი ტიპის ICMP, რათა უზრუნველყოს, რომ არ მოხდეს გაუმართავი დაბლოკვა თქვენი ქსელის შუაში (არ იცავს გარე პერიმეტრს), რათა IP მონაცემთა პროტოკოლი სწორად ფუნქციონირებდეს.

ICMP ტიპის ნუმერაცია

შუალედური შეტყობინებების პროტოკოლი (ICMP) შეიცავს უამრავ ინფორმაციას, რომელიც იდენტიფიცირებულია "ტიპის" ველით.

ორიოდე სიტყვა მშრალი საქონლის გაცვლის შესახებ

მიუხედავად იმისა, რომ ICMP გაფრთხილებები, სტატიაში აღწერილის მსგავსი, შეიძლება იყოს უფრო სწორი, გახსოვდეთ, რომ ყველა გაფრთხილების გენერირებას პროცესორის საათი სჭირდება თქვენს მარშრუტიზატორებზე და წარმოქმნის ტრაფიკს. ნამდვილად აფასებთ, რომ იმავე სიტუაციაში იღებთ 1000 პინგს წამში თქვენი ფირვოლიდან? Chi vvazhatimetsya tse ნორმალური მოძრაობა? Შეიძლება არა. ღობე კორპუსს გავუვლიზომები ამ ტიპის ICMP ტრაფიკისთვის, რადგან თქვენ იხდით ღირებულებას; ეს კროკი დაგეხმარებათ თქვენი ბადის დაცვაში.

წაიკითხეთ, doslіdzhuvati რომ razumіti

Vrahovyuchi, როგორც ეს „დაბლოკე თუ არ დაბლოკე“ ICMP პაკეტები განიხილეს, ყოველთვის მოუტანე თაღლითს, სუპერლოყს და რაზბჟნოსტს, მე გირჩევთ, ეს თემა დამოუკიდებლად გააგრძელოთ. მეორე მხრივ, მდიდარი მესიჯია მიმართული, მე პატივს ვცემ პრობლემების უკეთ გააზრებას შემდეგ საათს ვატარებ მათ კითხვაზე. І robiti osvіdomleniya vіbіr scho scho ყველაზე შესაფერისი თქვენი merezhi.

MikroTik: სად დააყენებს, რა უნდა გააკეთოს?
ყველა მისი უპირატესობის მიუხედავად, MikroTik-ის პროდუქტებს აქვთ ერთი მინუსი - ბევრი roz'ednanoy და შორს არის სანდო ინფორმაციის მიღება її nalashtuvannya-ს შესახებ. რეკომენდირებულია რუსული ენის არასწორად ინტერპრეტაცია, ყველაფერი შერჩეული, ლოგიკურად სტრუქტურირებული - ვიდეო კურსი " ნალაშტუვანია MikroTik-ის საკუთრება ". კურსი მოიცავს 162 ვიდეო გაკვეთილს, 45 ლაბორატორიული რობოტები, საკვები თვითშემოწმებისთვის და აბსტრაქტული. ყველა მასალა რჩება ხაზის გარეშე. კურსის კობი შეიძლება დაათვალიეროთ ფასის გარეშე, კურსის გვერდზე აპლიკაციის დახურვით. კურსის ავტორია MikroTik-ის სერტიფიცირებული ტრენერი.

Firewall - ნებისმიერი სერვერის დაცვის პირველი ხაზი და შემომავალი ახალი სწორი განლაგებადაწექით ისე, რომ თავდამსხმელი გზიდან გადაიჩეხოს და ცდილობს სისტემაში შეღწევას. თანამედროვე ხანძარი proponuyut უპიროვნო უსაფრთხოების მექანიზმებს, vikoristuyuchi yakі შეგიძლიათ მოკლათ "არასწორად" თავდამსხმელთა 99%. და ეს ყველაფერი ძვირადღირებული პროგრამული უზრუნველყოფის და კომერციული პროგრამული უზრუნველყოფის შეძენის საჭიროების გარეშე.

ყველა ჰაკერის მთავარი მეტა არის სერვერის ბრძანების თარჯიმანზე წვდომის მოხსნა, რათა გამოიყენოს მისი შესაძლებლობები საკუთარი ინტერესებისთვის. „წმიდათა წმიდაში“ შეღწევის უმეტესი ნაწილი კეთდება სამსახურში დირექტორის დახმარებით, ან პაროლის აღდგენის (უხეში ძალის) მეშვეობით ერთ-ერთ მათგანზე (მაგალითად, ssh).

პორტის სკანირება

მოწყობილობაზე კონფლიქტური სერვისების არსებობის დასადგენად, აღმოჩენის შეტევა პორტის სკანერის და სხვა სისტემების დახმარებით კონფლიქტების აღმოსაჩენად. ჟღერს პორტის სკანერი vikoristovuetsya nmap სხვადასხვა გზებიდა ზოგიერთ შემთხვევაში, აჩვენეთ OS და სერვისების ვერსიები. Axis არის განსაკუთრებით პოპულარული nmap ნიშნების სია, რომელსაც უნდა ეწოდოს ვიკორისტული კრეკერი:

nmap-ის დროშები, რომლებიც ნაჩვენებია სკანირებისას

• -sT - განსაკუთრებით TCP-სკანირება დამატებითი დახმარებისთვის შეტყობინების გაგზავნის მითითებულ პორტში, რომ დასრულებულია;
• -sS - SYN/ACK-სკანირება, ზარი იწყება ერთხელ მოთხოვნის განხორციელების შემდეგ;
• -sU - UDP სკანირება;
• -sF - პაკეტის სკანირება FIN ნიშნით;
• -sX - პაკეტის სკანირება FIN, PSH და URG ნიშნებით ჩასმული;
• -sN – ჯგუფური სკანირება ნიშნების დაყენების გარეშე.

სკანირებისგან დაცვის მეთოდი მარტივი და ნაცნობია ნებისმიერი სისტემის ადმინისტრატორისთვის. Polyagaє ღვინოები ყველა სერვისის უბრალო გათიშვისას, თითქოს ისინი დამნაშავეები იყვნენ, ეს ჩანს გარე საზღვრიდან. მაგალითად, თუ მოწყობილობაზე მუშაობს ssh, samba და apache სერვისები და გარე სამყაროდან შეგიძლიათ ნახოთ მხოლოდ ვებ სერვერი კორპორატიული ვებგვერდით, მაშინ შუამავალი ეკრანი შეიძლება დაყენდეს ასე:

Pochatkove iptables-ის დაყენება

outif = "eth1"
iptables -F
iptables -i $outif -A INPUT \
-მ კონტრაკ \
--ctstate ESTABLISHED,related \
-ჯ მიიღე
iptables -i $outif -A INPUT -p tcp \
--dport 80 -j ACCEPT
iptables -i $outif -P INPUT DROP
iptables -i $outif -P OUTPUT ACCEPT

Pochatkove nalashtuvannya ipfw

outif = "rl0"
ipfw დაამატეთ ip-ის დაშვება ნებისმიერიდან ნებისმიერზე \
lo0-ის მეშვეობით
ipfw დაამატეთ ip ჩემგან ნებისმიერ \
$outif
ipfw დაამატეთ დაუშვით tcp ნებისმიერიდან ჩემთვის \
დაარსდა $outif-ის მეშვეობით
ipfw დაამატეთ დაშვება tcp ნებისმიერი 80 \
ჩემთვის $outif-ის საშუალებით
ipfw დაამატეთ უარყოფა ip ნებისმიერიდან ნებისმიერ \
$outif

პოჩატკოვის დაყენება pf

outif = "rl0"
დააყენეთ გამოტოვება lo0-ზე
დაბლოკოს ყველა
გადაცემა $outif-ზე $outif-დან \
ნებისმიერ შენარჩუნება სახელმწიფოს
$outif პროტოს გადაცემა ნებისმიერი \
$outif პორტში 80

წესების სამივე კომპლექტი ერთნაირად მუშაობს - ისინი საშუალებას აძლევს ნებისმიერი ტრაფიკის გავლას loopback ინტერფეისის მეშვეობით (loopback), იძლევიან დღეს უკვე დაინსტალირებული პაკეტების მიღებას (ასე რომ, მაგალითად, ბრაუზერს შეუძლია მყისიერად მიიღოს მოთხოვნა დისტანციურზე. სერვერზე), დაუშვით 80-ე პორტში გადატანა, დაბლოკეთ პორტი და დაუშვით ნებისმიერი კავშირი სახელთან. პატივისცემის გამოსახატავად, რადგან iptables-სა და ipfw აპლიკაციებში ჩვენ ცალსახად ვადგენთ წესებს უკვე დაინსტალირებული (დადგენილი) პაკეტების მიღების დასაშვებად, მაშინ pf-ის შემთხვევაში საკმარისი იყო წესების ნაკრების მითითება "შენარჩუნების მდგომარეობა", რომელიც საშუალებას იძლევა, არის თუ არა დასვენების დღეები.

ზაგალომ, შერწყმის სერვისების დაცვის ასეთი სქემა სკანირებისა და შეღწევის სახით კარგი პრაქტიკაა, მაგრამ ჩვენ შეგვიძლია დავიცვათ დისტანცია და დავაფიქსიროთ ცეცხლი ისე, რომ დეკაცებმა დაინახონ, რომ ცეცხლში სკანირება არ შეიძლება იყოს ვიკონანი. ტექნიკურად, ჩვენ ვერ შევქმნით რაიმე სახის ხმოვან სკანირებას (ნიშნებს nmap "-sT", "-sS" და "-sU") მხოლოდ მათთვის, ვისაც არაფერი აქვს დანაშაულებრივი, მაგრამ არასტანდარტული ტიპის სკანირება, როგორიცაა "-sN", " -sF" და "-sX" ქმნიან პაკეტებს, რომლებიც ვერ შეიქმნა ლეგალური დამატებებით.

ამას, სუმნივუს მინიშნების გარეშე, ჩვენ ვაძლევთ ასე ნახევარ დროს.

სკანირების ეგზოტიკური სახეობების წინააღმდეგ ბრძოლის მეთოდები

# ღობის FIN-სკანირება
Linux > iptables -A INPUT -p tcp \
-m tcp \
--tcp-flags FIN, ACK FIN -j DROP
FreeBSD>
არ არის დადგენილი tcpflags fin
# ღობის X-სკანირება
ლინუქსი>
--tcp-დროშები FIN,SYN,RST,PSH,ACK,URG
FIN,SYN,RST,PSH,ACK,URG\
-ჯ ვარდნა
FreeBSD> ipfw დაამატეთ reject tcp ნებისმიერიდან ნებისმიერ \
tcpflags fin, syn, rst, psh, ack, urg
# ღობის N-სკანირება
Linux > iptables -A INPUT -p tcp -m tcp \
--tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE --j DROP
FreeBSD> ipfw დაამატეთ reject tcp ნებისმიერიდან ნებისმიერ \
tcpflags !fin, !syn, !rst, !psh, !ack, !urg
OpenBSD-ში ყველა სტრიქონი შეიძლება შეიცვალოს კობზე მარტივი ჩაწერით
/etc/pf.conf:
სკრაბი ყველაფერში

სკრაბის დირექტივა ააქტიურებს პაკეტების ნორმალიზაციის მექანიზმს, რომლის დროსაც ფრაგმენტული პაკეტები უარყოფილია, ხოლო პაკეტები, რომლებსაც აქვთ დროშების არასწორი კომბინაცია, უარყოფილია. ეგზოტიკური სკანირების შაბლონების სკრაბი საშუალებას გაძლევთ მოატყუოთ და მოატყუოთ შეჭრის აღმოჩენის სისტემები (ძლიერად ფრაგმენტული პაკეტების გადალახვა) და სხვა სახის DoS შეტევები.

"-sS" nmap ნიშნით დაწყებული SYN/ACK სკანირების უგულებელყოფის მიზნით, ჩვენ შეგვიძლია გავაუქმოთ პასიური OS თითის ანაბეჭდის მეთოდი, რომელიც ხელმისაწვდომია pf firewalls-ზე და iptables/netfilter-ზე (დაწყებული ვერსიიდან 1.4.6). ხმოვანი სკანირების საათი (აღნიშვნა "-sT") ოპერაციული სისტემამაშასადამე, ასეთი სკანირება შეიძლება არანაირად არ ჩანდეს გამოჩენილი პაკეტების ნაკადში (ქვემოთ განვიხილავთ მისი იდენტურობის მონაცემებს), თუმცა, როდესაც SYN / ACK სკანირებული nmap პაკეტებს თავისთავად აყალიბებს, ამიტომ სუნი შეიძლება განსხვავებული იყოს, თუ ხედავთ მათ კისერს. პასიური OS-ის იდენტიფიკაციის მეთოდი საშუალებას გაძლევთ ამოიცნოთ პაკეტები და გადააგდოთ ისინი სტანდარტული firewall წესების დახმარებით:

OpenBSD> დაბლოკეთ სწრაფად ნებისმიერი OS NMAP-დან
Linux > iptables -I INPUT -p tcp -m osf --ჟანრი NMAP \
-ჯ ვარდნა

iptables/netfilter firewall-ის osf მოდულმა აირჩია და განაახლა OpenBSD საცალო ვაჭრობა (/etc/pf.os). ეს არის ასევე ის, რაც საშუალებას გაძლევთ ეფექტურად დაუპირისპირდეთ OS-სთვის მინიჭებულ ფუნქციას nmap უტილიტის მიერ (აღნიშვნა "-O").

ახლა ჩემი დაცვა შეიძლება იყოს სკანირების გამოყენებული სურათების სახით, გარდა სტანდარტულისა და სულელური "-sT". როგორ გამოვიდეთ მისგან? მართლაც, ეს მარტივია. პორტის სკანირების ფაქტის ამოცნობა მარტივია ბუხარლის ჟურნალების უბრალოდ ანალიზით. თითქოს უმოკლეს დროში სხვადასხვა პორტში იყო უპიროვნო კავშირები - ეს ნიშნავს, რომ სკანირებულები ვიყავით. ძალიან ბევრია ამ იდეის გადატანა firewall-ის წესებზე. iptables-ისთვის არსებობს ავტორიტეტული რეცეპტი, რომელიც ბლოკავს ყველას, ვინც აკაკუნებს არასამუშაო პორტზე:

სკანირების წინააღმდეგ ბრძოლა დაეხმარეთ iptables

# არასამუშაო პორტში დაკაკუნების ხელახალი შემოწმება (წელიწადში 10)

--წამი 3600 --დარტყმების რაოდენობა 10 --rttl-j RETURN
# კიდევ ერთი შემოწმება არასამუშაო პორტზე დაკაკუნებისთვის (2 შენიშვნისთვის)
iptables -A INPUT -m ბოლო --rcheck \
--წამი 60 --დარტყმების რაოდენობა 2 --rttl-j RETURN
# მისამართის შეყვანა მშვიდია, ვინ აკაკუნებს სიაში
iptables -A INPUT -m ბოლო --set
# ვნახოთ ყველა იმ პაკეტები, ვინც გადააჭარბა ლიმიტს
კავშირების რაოდენობა
iptables -P INPUT -j DROP

xtables-addons პაკეტის ინსტალაციით, რომელიც მიმართულია patch-omatic პროექტზე, ჩვენ გვექნება წვდომა PSD (Port Scan Detect) მოდულზე, რომელიც დანერგილია scanlogd დემონის გამოსახულების და მსგავსების შემდეგ. ულვაშის წინა რიგები მარტივად შეიძლება შეიცვალოს მარტივი წესით:

# iptables -A INPUT -m psd -j DROP

სამწუხაროდ, ipfw და pf პაკეტის ფილტრებს მსგავსი არაფერი აქვთ, მაგრამ არა, ამიტომ პორტის სკანირება კარგია PortSentry დემონისა და იგივე scanlogd-ის წინააღმდეგ.

ღობე Icmp-განახლება

კარგი პრაქტიკაა ICMP-ის განახლებების დაბლოკვა, რათა იხილოთ დამატებითი ინფორმაცია ჰოსტის შესახებ, ან შეგიძლიათ სცადოთ სხვადასხვა მავნე ქმედებების დაძლევა (მაგალითად, მარშრუტიზაციის ცხრილების შეცვლა). ქვემოთ მოცემულია ცხრილი ICMP გაფრთხილების შესაძლო ტიპების ჩამონათვალით:

Tipi ICMP მოთხოვნა

• 0 - ექო პასუხი (ექო-პასუხი, პინგი)
• 3 - დანიშნულების ადგილი მიუწვდომელია
• 4 - წყაროს ჩაქრობა
• 5 - გადამისამართება (გადამისამართება)
• 8 - ექო მოთხოვნა (ექო მოთხოვნა, პინგი)
• 9 - როუტერის რეკლამა
• 10 - როუტერის შუამდგომლობა
• 11 - გადააჭარბა სიცოცხლის ხანგრძლივობას
• 12 - IP სათაური ცუდი (არასწორი IP პაკეტის სათაური)
• 13 - დროის ანაბეჭდის მოთხოვნა (მოითხოვეთ საათის ღირებულება)
• 14 - დროის ანაბეჭდის პასუხი
• 15 - ინფორმაციის მოთხოვნა
• 16 - ინფორმაციის პასუხი
• 17 - მისამართის ნიღბის მოთხოვნა
• 18 - მისამართის ნიღბის პასუხი

როგორც ბაჩიში, ICMP-ის ინფორმაციის შემთხვევაში, თქვენ შეგიძლიათ გამოაქვეყნოთ ინფორმაცია მასპინძლის შესახებ მის გამჟღავნებამდე, ან სხვა შემთხვევაში, მიიყვანოთ იგი მარშრუტიზაციის ცხრილის მოდიფიკაციამდე, ასე რომ თქვენ უნდა დაიცვათ იგი.

დაურეკეთ zovnishhnіy svіtდაუშვით ICMP შეტყობინებები 0, 3, 4, 11 და 12, მაგრამ მიიღეთ მხოლოდ 3, 8 და 12 შეყვანის სახით. ღერძი ასევე დანერგილია სხვადასხვა ფეიერვოლებში:

ღობე დაუცველი ICMP-განახლება

Linux > iptables -A INPUT -p icmp \
-icmp-ტიპი 3,8,12 -j ACCEPT
Linux > iptables -A OUTPUT -p icmp \
-icmp ტიპის 0,3,4,11,12 -j ACCEPT
FreeBSD> ipfw დაამატეთ დაუშვით icmp \
ნებისმიერიდან $outif-მდე \
$outif icmptype 3,8,12 მეშვეობით
FreeBSD> ipfw დაამატეთ დაუშვით icmp \
$outif-დან ნებისმიერ გარეთ \
$outif icmptype 0,3,4,11,12 მეშვეობით
OpenBSD> გავლა inet proto icmp-ში \
ნებისმიერიდან $outif-მდე \
icmp-type ( 3, 8, 12 ) მდგომარეობის შენარჩუნება
OpenBSD> გაუშვით inet proto icmp \
$outif-დან ნებისმიერ \
icmp-type ( 0, 3, 4, 11, 12 ) \
სახელმწიფოს შენარჩუნება

საფასურის სანაცვლოდ, შეგიძლიათ დაბლოკოთ ICMP ტრაფიკი, პინგის მოთხოვნების ჩათვლით, ან შეგიძლიათ შეამოწმოთ რობოტის სისწორე.

უხეში ძალა

რომ შეიტყო ინფორმაცია კრიტიკულ პორტებშირომ OS, კრეკერს შეუძლია სცადოს სისტემაში შეღწევა, რაც შეიძლება დაფუძნებული იყოს სერვისებში დისტანციური სერვერების ექსპლუატაციაზე, ან პაროლების არჩევაზე. ჩვენ ვერ დაგეხმარებით Firewall-ის ბოროტი სერვისების შეჩერებაში, მარტივია პაროლის უხეში ძალის პროცესის გატეხვა. ამ მიზეზით, შესაძლებელია რამდენიმე პაკეტის გაცვლა, რომლებიც მოვიდა მანქანაში იმავე IP მისამართიდან. ღერძი შეიძლება იყოს zrobiti iptables-ის დახმარებით:

უხეში ძალის დამცველი iptables-ისთვის დახმარება

# ლანსი ზედნანის ხელახალი შემოწმებისთვის
iptables -N brute_check
# მისამართების დაბლოკვა, ჩვეულებრივ 60
წამში vіn іnіtsіyuvav 2 დღეზე მეტი ხნის განმავლობაში

--განახლება --წამი 60 \
--hitcount 3 -j DROP
# Yakshcho nі - ეს ნებადართულია zadnannya რომ
დაამატეთ მისამართი სიაში
iptables -A brute_check -m ბოლო \
--set -j ACCEPT
# გაასუფთავეთ INPUT სამაგრი
iptables -F INPUT
# უხეში_შემოწმება
ყველა, ვინც ცდილობს დაუკავშირდეს
პორტი 22

--ctstate NEW -p tcp \
--dport 22 -j brute_check
iptables -P INPUT DROP

იგივე შეიძლება იყოს robiti і z vikoristannyam pf:

უხეში ძალის დამცველი დახმარებისთვის pf

# შექმენით ცხრილი ბრუტფორსერებისთვის
მაგიდა გაგრძელდეს
# ბლოკავს ყველას, ვინც მოიხმარა მანამდე
სწრაფად დაბლოკვა
# ბრუტფორსერების ცხრილში ჩადეთ ყველა ის, ვინც იწყებს ორზე მეტ შეკვეთას 22-ე პორტზე whilin-ზე
გადასცეს $ext_if inet volume tcp $outif \
პორტი 22 flags S/SA შეინახეთ მდგომარეობა \
(max-src-conn-rate 60/2, \ გადატვირთვა ფლეში)

ipfw firewall-ს არ აქვს საკმარისი ფუნქციონირება ეფექტური ანტი-bruteforcer-ებისთვის, რის გამოც ის არის დამნაშავე უფრო მაღალი დონის გამარჯვებული ინსტრუმენტებისთვის, როგორიცაა სპეციალური PAM მოდულები, სისტემები, რომლებიც აღმოაჩენენ შეჭრას და პროგრამებს sshguard-ზე.

გაფუჭება

გაფუჭება (პაკეტების მენეჯერის მისამართის გაყალბება) შეიძლება გამოყენებულ იქნას DoS შეტევების შესაქმნელად ან ფაირვოლზე გვერდის ავლით. პირველ შემთხვევაში, გაყალბება დიდ უპირატესობას ანიჭებს თავდამსხმელს, მაგრამ აუარესებს რეაქციას შეტევაზე (პაკეტები, რომლებსაც აქვთ პროქსის სრულიად განსხვავებული მისამართები, არც ისე ადვილია კლასიფიცირება და დაბლოკვა) და აჭიანურებს ახლის დახურვის პროცესს. დღე ჩანს მხოლოდ ტაიმაუტის დასრულების შემდეგ). გაფუჭება, რომელიც გამოიყენება სისტემის გვერდის ავლით, ნაკლებად დაუცველი და უფრო კონტროლირებადია.

ხშირად დოზით, ბლოკავს მასპინძლის დარეკვის სერვისებს, სისტემის ადმინისტრატორები ართმევენ მათ მისამართს, რომელიც დაშვებულია სასიმღერო დიაპაზონისთვის (მაგალითად, საკუთარი სახლის აპარატთან დასაკავშირებლად). ერთ-ერთი ამ მისამართის გამოთვლის შემდეგ, თავდამსხმელს შეუძლია შექმნას პაკეტი, რომელშიც მითითებულია ეს მისამართი, როგორც დაბრუნების, და ამ გზით "გადაიჩეხო" ფაირვოლში. თქვენ შეგიძლიათ გამოიცნოთ TCP პაკეტების ნომრები და თანმიმდევრობა და გაარკვიოთ, რომ სერვისი, რომელიც ენდობა მისამართს, იპოვა საჭირო ინფორმაცია. ასევე მნიშვნელოვანია შეტევის განხორციელებაში, რადგან მას შეუძლია კომპეტენტური სპეციალისტის ცემა, ხოლო თუ საუბარია UDP პროტოკოლზე, მაშინ ძალა და ქულჰაკერი ჯაჭვულია.

საბედნიეროდ, ასეთი თავდასხმებისგან დაცვა ადვილია. საკმარისია არ გააფუჭოთ დაუცველი სერვისები გარე სამყაროში და მკვეთრი აუცილებლობის შემთხვევაში დავიცვათ თავად სერვისების სისტემები (მაგალითად, ssh სერთიფიკატები) ან „პორტში ჩახშობის“ მექანიზმი (ახლის შესახებ. ერთი აღწერილია სტატიის მაგალითში).

ვითარება დასაკეცი ხდება, თუ მარჯვნივ არის ფერმების ხიდი, რომელიც ყოფს შიდა და გარე ფერმებს (ან ორ ადგილობრივ ფერმას). Dovіrchi vіdnosinі vіdnosіnі ადგილობრივი ხაზები- ზვიჩაინა მარჯვნივ. სერვისები ხელმისაწვდომია ყველასთვის, არ არის ავტორიზაცია, დაშიფვრა და ა.შ. - მხოლოდ მაქმანებიანი შმატოჩოკი მძარცველისთვის. გარე საზღვარზე შეგიძლიათ ამოიცნოთ შიდა საზღვრის ნიღაბი და შექმნათ პაკეტები სპეციალური დაბრუნების მისამართით, რაც მოგცემთ წვდომას ადგილობრივი ტერიტორიის ყველა რესურსზე. მართალია, სიტუაცია სახიფათოა, მაგრამ ფულის დაზოგვა ადვილია firewall-ის ან OS-ის სწორი დაყენებისთვის.

რისთვისაც საკმარისია პაკეტების გავლის შემოღობვა, მათი დაბრუნების მისამართები უნდა გადავიდეს შიდა საზღვარზე გარე ინტერფეისიდან:

Linux > iptables -A INPUT -i $outif \
-s 192.168.1.0/24 -j უარყო
FreeBSD> ipfw დაამატეთ უარყოფის IP-დან \
192.168.1.0/24 ნებისმიერის მეშვეობით $outif
OpenBSD> დაბლოკვა $outif-ზე \-დან
192.168.1.0/24 ნებისმიერს

როგორც დამატებითი შეტევის ალტერნატივა, შეგიძლიათ (და გჭირდებათ) დაამარცხოთ სპეციალური დირექტივები ipfw და pf და შეცვალოთ Linux ბირთვი:

Linux > echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
FreeBSD> ipfw დაამატეთ უარყოფა IP რაც არ უნდა იყოს
OpenBSD> სწრაფი ანტისპუფი $ext_if-ად

Qi სამი გუნდი ერთსა და იმავე შედეგებამდე მივყავართ. ყველა პაკეტი, რომლის მისამართების შეფუთვა შესაფერისია სხვა ინტერფეისის მასებისთვის, უარყოფილია.

IPTABLES ტარიფები

მაგალითად, ჩვენ შეგვიძლია გადავხედოთ iptables / netfilter-ის ზოგიერთ შესაძლებლობებს, რომლებიც შეიძლება იყოს დამაშინებელი სერვერის შეტევისთვის შეღწევის გზით. დავუბრუნდეთ მექანიზმს დისტანციური მოვლა firewall, რომელიც otrimav im'ya "დაარტყა პორტში" (პორტის დარტყმა). იოგას არსი იმაშია, რომ zmusiti firewall vykonuvat pevnі dії მითითებულ პორტთან დაკავშირების შემდეგ. ქვემოთ მოცემულია წესების ნაკრები, რომელიც ხსნის SSH პორტს 10 წამის განმავლობაში 27520 პორტზე „დაკაკუნების“ შემდეგ:

iptables და პორტის დარტყმა
# ლანსი პორტში ზარის შესაჯერებლად, რომელიც დაცულია
iptables -N დაარტყა
# დასაშვებია დახურვა
10 წამი
iptables -A knock -m ბოლო --rcheck --წამი 10 \
-ჯ მიიღე
# INPUT-ის გასუფთავება
iptables -F INPUT
# დასაშვებია ყველაფრის გაკეთება, რაც უნდა გაკეთდეს წარსულში
iptables -A INPUT -m conntrack \
--ctstate ESTABLISHED,RELATED -j ACCEPT
# სცადეთ შეამოწმოთ სწორია თუ არა პორტი 22
დაარტყა

-p tcp --dport 22 -j knock
# შეიყვანეთ მისამართი, რომელიც დააკაკუნებს სიის 27520-ე პორტს
iptables -A INPUT -m conntrack --ctstate NEW \
-p tcp --dport 27520 -m ბოლო --set
# როდესაც პორტზე დააკაკუნებ, შეგიძლიათ იხილოთ მისამართი სიიდან
iptables -A INPUT -m conntrack --ctstate NEW -p tcp \
-m multiport --dport 27519,27521 -m ბოლო -- ამოღება
# ყველაფრის დაცვა
iptables -P INPUT DROP

მესამე წესი არის სიაში მოხვედრილის მისამართის დამატება. ისევე, როგორც იგივე მანქანა იმუშავებს 10 წამის განმავლობაში მას შემდეგ, რაც დარტყმა მიაღწევს 22-ე პორტს, კავშირი დამონტაჟდება. პერედოსტანის წესი - ზაჰისტი "კაკუნის დამსხვრევის" სახით. თუ თავდამსხმელი შეეცდება ყველა პორტში თანმიმდევრულად წივილს, იმედია ერთ-ერთი მათგანი გახსნის 22-ე პორტს იგივე წესის დაცვით და პირველი მისამართი გამოჩნდება სიიდან ახლის შემდეგ.

iptables-ის სხვა ვარიაციები გაფართოებულია xtables-addons (patch-o-matic) პაკეტში და შეიძლება იყოს TARPIT. Tse diya (ისეთი, როგორიცაა ACCEPT ან DENY), მოსწონს შეტევის „აწევა“ და არ მისცეს თავდამსხმელ მხარეს დახუროს იგი. ამის შემდეგ, იგივე ტიპის პაკეტები აღებულია TARPIT-დან, მაგრამ დაინსტალირდება, თუმცა გაფართოება იქნება ნულოვანი, რატომღაც მანქანა ვერ შეძლებს მონაცემთა გამოსყიდვას თავისი რესურსების გამოყენებით და დახურვა მოხდება. დაიხურა მხოლოდ ტაიმაუტის დასრულების შემდეგ. TARPIT შეიძლება სცემეს გადაუდებელ სიტუაციებში DoS შეტევისთვის:

# iptables -A INPUT -p tcp -m tcp -dport 80 -j TARPIT

მაგრამ ომანში თავდამსხმელის შეყვანისთვის და სკანერებთან ბრძოლისთვის
პორტები (მხოლოდ TCP-სკანირებისთვის, "-sT"):

# iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
# iptables -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
# iptables -A INPUT -p tcp -m tcp -j TARPIT

ეს წესები ქმნის სისტემის ხილვადობას ისე, რომ აფუჭებს ყველაფერს, მაგრამ ერთი საათის განმავლობაში სცადეთ რომელიმე მათგანთან დაკავშირება (კრიმინალი 80 და 25) ისინი დარჩებიან „შეჩერებული“. იგივე შედეგი, თუნდაც "ჩამოვარდნილი" დღეების გარეშე, შეგიძლიათ მიაღწიოთ DELUDE-ს დახმარებას, როგორ სწორად დაადასტუროთ შეკვეთის ინიცირების ყველა მცდელობა, ან გაგზავნოთ RST-პაკეტი პაკეტების მიწოდებაზე. თავდამსხმელის კიდევ უფრო შეცდომაში შეყვანისთვის, შეგიძლიათ დაამარცხოთ CHAOS, როგორც ზემოთ აღწერილი ორი აღწერილობიდან ერთ-ერთის გააქტიურების საშუალება.

ვისნოვკი

თუ მე შევძლებ საკმარის ცოდნას და გააზრებულად წავიკითხავ დოკუმენტაციას, თქვენ შეგიძლიათ შექმნათ თუნდაც მებრძოლი ბასტიონი, სანამ ასე ადვილი არ იქნება ერთმანეთთან ურთიერთობა. თანამედროვე ფეიერვოლებს, განსაკუთრებით pf და iptable-ებს შეუძლიათ თქვენი დაცვა არაპიროვნულად ცუდი სტუმრებისგან, ასე რომ თქვენ შეგიძლიათ ამის გაკეთება სრულიად უფასოდ.

ბმულები

• sf.net/projects/sentrytools - PortSentry
• www.openwall.com/scanlogd - scanlogd

ბრძოლა რესურსების სპირალისთვის

თუ აირჩევთ TARPIT-ის გამოყენებას, დაამატეთ შემდეგი წესი კონფიგურაციაში, წინააღმდეგ შემთხვევაში „გადაიჩეხეთ“ რესურსების დასამატებლად კონტრაქტის ქვესისტემის დამუშავებისას:

# iptables -t raw -I PREROUTING -p tcp --dport 25 -j NOTRACK

კიდევ ერთხელ, მოდით გავაგრძელოთ ACL-ის გაგება. პირველად გვაქვს ACL გაფართოებები. ტოპოლოგია აღებულია წინა სტატიიდან, გეთანხმები, საფუძვლიანად გააკეთე. თუ ეს ასე არ არის, მაშინ გირჩევთ, წაიკითხოთ, რათა ამ სტატიების მასალები გონივრული იყოს.

დავიწყოთ იმით, რომ ასეთი ACL გაფართოებები. ACL გაფართოებები იძლევა საშუალებას, როგორიცაა გერლის მისამართი, მიუთითოთ პროტოკოლი, ამოცნობის მისამართი და პორტი. ასევე პროტოკოლის სპეციალური პარამეტრები. უმჯობესია კონდახებზე შესწავლა, ამისთვის ახალ დავალებას შევქმნით, წინ დავაყენებთ. სხვათა შორის, ვისაც სურს იზრუნოს ტრაფიკის განაწილებაზე პრიორიტეტებისთვის, რაჯუს ღერძი QoS კლასიფიკაცია და მარკირება კარგი სტატიაა, თუმცა ინგლისური. კარგი, ახლა მოდით მივმართოთ ჩვენს ამოცანას:

მენეჯერი.

1. 192.168.0.0/24 ბმულის კვანძებიდან სერვერის ექო მოთხოვნების დაშვება.
2. სერვერიდან - ექო მოთხოვნა შიდა ქსელიდან.
3. დაუშვით WEB წვდომა სერვერზე კვანძიდან 192.168.0.11.
4. დაუშვით FTP წვდომა კვანძიდან 192.168.0.13 სერვერზე.

კომპლექსური დავალება. Virishuvatimemo її tezh კომპლექსი. მოდით შევხედოთ გაფართოებულ ACL სინტაქსს.

გაფართოებული ACL პარამეტრები

<номер от 100 до 199> <действие permit, deny> <протокол> <источник> <порт> <назначение> <порт> <опции>

პორტის ნომრები ნაკლებად სავარაუდოა მითითებული TCP/UDP პროტოკოლებისთვის, მესმის. ასევე შემიძლია დანართის ადგილის დედა ეკვ(პორტის ნომერი უდრის მინიჭებულს), გტ/ლტ(პორტის ნომერი მითითებულზე მაღალი/დაბალი), ნეკ(პორტის ნომერი არ არის იგივე, რაც მითითებული), დიაპაზონი(პორტების დიაპაზონი).

ACL სახელები

გამოსვლამდე წვდომის სიები შეიძლება იყოს არა მხოლოდ დანომრილი, არამედ დასახელებულიც! შესაძლოა, ყველა გზა კარგი იქნება თქვენთვის. ამჯერად ამას ჩვენ თვითონ ვაკეთებთ. ბრძანებები დაყენებულია გლობალური კონფიგურაციის კონტექსტში და სინტაქსი ასე გამოიყურება:

როუტერი(კონფიგურაცია)#ip წვდომის სია გაფართოვდა<имя>

სხვათა შორის, ჩვენ ვიწყებთ წესების ჩამოყალიბებას.

1. ნებადართული პინგები საზღვრიდან 192.168.0.0/24 სერვერზე. ოტჟე, ექო- იკითხე - იგივე ოქმი ICMP dzherel-ის მისამართად ვირჩევთ ჩვენს მისამართს, მინიჭებული მისამართი არის სერვერის მისამართი, შეტყობინების ტიპი არის შეყვანის ინტერფეისზე ექოგასასვლელში - ექო-პასუხი. Router(config)#ip access-list გაფართოებული INT_IN როუტერი(config-ext-nacl)#permit icmp 192.168.0.0 0.0.0.255 ჰოსტი 10.0.0.100 echo ასე რომ, ცე ჩიპი ACL. Ე. წ wild card-ნიღაბი. ის ითვლება, როგორც ნიღაბი შემოხვეული. ტობტო. 255.255.255.255 - dmerezhі ნიღაბი. ჩვენს გონებას სიგიჟე აქვს 255.255.255.0 , ნახვის შემდეგ 0.0.0.255 .მგონი ეს წესი არ საჭიროებს ახსნას? Ოქმი icmp, მიმართავს dzherel - pіdmerezh 192.168.0.0/24 , აღიარებული მისამართები - მასპინძელი 10.0.0.100, გაფრთხილების ტიპი - ექო(მოთხოვნა). გამოსვლის წინ, არ აქვს მნიშვნელობა ამის გახსენებას მასპინძელი 10.0.0.100ექვივალენტურად 10.0.0.100 0.0.0.0 .Zastosovuєmo tse წესი ინტერფეისზე. როუტერი(კონფიგურაცია)#int fa0/0
   Router(config-if)#ip access-group INT_IN in კარგად, შეიძლება ასეც იყოს. ახლა, როგორ შევაბრუნოთ პინგები - ადვილია გახსოვდეთ, რომ ყველაფერი კარგად მუშაობს. აი, მართალია, ერთი სიურპრიზი გველოდება, როგორც სამი საათის ნატეხი. სანამ არ გავამჟღავნებ. ვინც გამოიცანით - კარგად!
2. სერვერიდან - ჩვენ ვბლოკავთ ყველა მოთხოვნას ექოზე შიდა ქსელიდან (192.168.0.0/24). ჩვენ ვანიჭებთ ახალ სახელების კონვენციას, INT_OUT და ვცვლით მას სერვერთან ყველაზე ახლოს ინტერფეისით.
   Router(config)#ip access-list გაფართოებული INT_OUT
   როუტერი(config-ext-nacl)#უარი icmp ჰოსტი 10.0.0.100 192.168.0.0 0.0.0.255 ეხო
   როუტერი(config-ext-nacl)#exit
   როუტერი(კონფიგურაცია)#int fa0/1
   Router(config-if)#ip access-group INT_OUT in
   ნება მომეცით აგიხსნათ, რა გაგვიპარეს. ჩვენ შევქმენით გაფართოების სია INT_OUT სახელებზე წვდომისთვის, ჩვენ დავბლოკეთ პროტოკოლი. icmpტიპით ექომასპინძლისგან 10.0.0.100 pіdmerezhu-ზე 192.168.0.0/24 იგი ჩარჩენილი იყო შეყვანის ინტერფეისზე fa0/1, მაშინ. სერვერთან ყველაზე ახლოს. გაგზავნას ცდილობს პინგისერვერიდან.
   სერვერი>პინგ 192.168.0.11
   Pinging 192.168.0.11 32 ბაიტი მონაცემებით:
   
   პასუხი 10.0.0.1-დან: დანიშნულების ჰოსტი მიუწვდომელია.
   პასუხი 10.0.0.1-დან: დანიშნულების ჰოსტი მიუწვდომელია.
   პასუხი 10.0.0.1-დან: დანიშნულების ჰოსტი მიუწვდომელია.
   პინგ სტატისტიკა 192.168.0.11-ისთვის:
   პაკეტები: გაგზავნილი = 4, მიღებული = 0, დაკარგული = 4 (100% ზარალი)
   ისე, ეს გამოიმუშავა, როგორც შემდეგი. ვინც არ იცის პინგების გაგზავნა - დააწკაპუნეთ კვანძებზე, რომ დაგვირეკოთ, მაგალითად, სერვერებზე. გადადით Desktop ჩანართზე (სამუშაო სტილი), იქ Command Prompt (Command row). ახლა კი obіtsyany ხუმრობა. სცადეთ პინგი მასპინძლისგან, როგორც პირველი პუნქტი. PC>ping 10.0.0.100
   Pinging 10.0.0.100 32 ბაიტი მონაცემებით:
   მოთხოვნა ამოიწურა.
   მოთხოვნა ამოიწურა.
   მოთხოვნა ამოიწურა.
   მოთხოვნა ამოიწურა.

   ნაჯახი ერთხელ. ყველაფერი მშვენივრად გამოვიდა! რატომ შეჩერდა? Tse obіtsyany სიურპრიზი. ნება მომეცით აგიხსნათ რა არის პრობლემა. ასე რომ, პირველი წესი არსად წავიდა. ის ეფექტურად საშუალებას გაძლევთ გაგზავნოთ ექო სერვერზე vuzol. ალე დემ დაუშვა ექო-მიმოხილვების გავლა? იოგომ არ იცის! ჩვენ ვითხოვთ თხოვნას, მაგრამ ჩვენ ვერ მივიღებთ მოთხოვნას! რატომ მუშაობდა ყველაფერი ადრე? მაშინ ჩვენ არ გვქონდა ACL ინტერფეისზე fa0/1. და თუ არ არის ACL, მაშინ ყველაფერი ნებადართულია. თქვენ უნდა შექმნათ წესი, რომელიც საშუალებას მოგცემთ მიიღოთ icmp-ხმები.

   დოდამო INT_OUT სიაში

   ეს Dodamo i სიაში INT_IN.

   როუტერი(config-ext-nacl)#permit icmp host 10.0.0.100 192.168.0.0 0.0.0.255 ექო-პასუხი

   Axis ახლა არ prichepitisya. ყველაფერი მშვენივრად მიდის!

3. WEB-წვდომა სერვერზე *.11 კვანძიდან დასაშვებია. იგივე გააკეთე! აქ, მართალია, საჭიროა კეთილშობილების ტრიო, რადგან ისინი იცავენ მე-4 დონის პროტოკოლებს (TCP, UDP). კლიენტის პორტი არჩეულია 1024-ზე მეტი, ხოლო სერვერის პორტი სერვისისთვის. WEB-სთვის - პორტი 80 (http პროტოკოლი). და რაც შეეხება WEB სერვერის დისკს? კულისებში WEB სერვისი უკვე დაინსტალირებულია სერვერზე, შეგიძლიათ იხილოთ კვანძის პარამეტრებში. პატივისცემა გამოიჩინეთ ისე, რომ ტკიპა იყო. და თქვენ შეგიძლიათ სერვერთან დაკავშირება ნებისმიერი კვანძის "Desktop"-ზე მალსახმობის "ვებ ბრაუზერის" არჩევით. ზვიჩაინო, ამავე დროს წვდომა არ იქნება. ჩვენს როუტერის ინტერფეისებზე ფრაგმენტები ჩამოკიდებულია ACL-ებზე და მათში წვდომის წესები არ არსებობს. კარგი, მოდი მოვახერხოთ. INT_IN წვდომის სიაში (რომელიც არის ინტერფეისში fa0/0) დაამატე წესი: Router(config-ext-nacl)#permit tcp host 192.168.0.11 gt 1024 host 10.0.0.100 eq 80 რომ დაუშვას TCP პროტოკოლი ჩვენი ჰოსტიდან (პორტი ზემოთ, > 1024) სერვერის მისამართზე, პორტში.

   І, razumіlo, zvorotne წესი, სიაში INT_OUT (რომელიც არის ინტერფეისში fa0/1):

   როუტერი(config-ext-nacl)#permit tcp ჰოსტი 10.0.0.100 eq 80 ჰოსტი 192.168.0.11 შეიქმნა

   ეს დასაშვებია TCPპორტიდან 80 სერვერი თითო ჰოსტზე *.11 , და z'ednannya უკვე შეიძლება დაინსტალირდეს! შეგიძლიათ შეცვალოთ შეიქმნათქვი ასე gt 1024, პრაციუვატი ძალიან კარგი იქნება. Ale sens trochi іnshiy.

   კომენტარებში მიეცით რჩევა, რით იქნებით დაცული?

4. დაშვებულია FTP წვდომა *.13 კვანძიდან სერვერზე. დასაკეცი აბსოლუტურად არაფერია! არჩეულია როგორ მუშაობს FTP პროტოკოლთან ერთად. ვგეგმავ სტატიების მთელი სერიის მივუძღვნა რობოტების მომავალს და სხვადასხვა პროტოკოლებს, რომელთა ნამსხვრევები კიდევ უკეთესია, როცა იქმნება ACL-ის ზუსტი (სნაიპერული) წესები. კარგი, ჯერჯერობით: სხვა სერვერი და კლიენტი:+ კლიენტი ცდილობს დააინსტალიროს ზარი და უგულებელყოფს პაკეტს (რომელიც შეიცავს შეტყობინებას, რომ რობოტი იმუშავებს პასიურ რეჟიმში) სერვერის 21-ე პორტზე მისი X პორტიდან (X > 1024, სხვა პორტი) მინიჭებული მონაცემთა არხი Y (Y > 1024) კლიენტის X პორტში, გამოტოვებული TCP პაკეტის სათაურიდან. Ამის მსგავსად. ტროშია, რომ კარგად ჟღერდეს, მაგრამ უფრო აუცილებელია, რომ გაიზარდო! ჩვენ ვამატებთ წესებს INT_IN სიაში:

   permit tcp host 192.168.0.13 gt 1024 ჰოსტი 10.0.0.100 eq 21
   ნებართვა tcp ჰოსტი 192.168.0.13 gt 1024 ჰოსტი 10.0.0.100 gt 1024

   და INT_OUT სიას ვამატებთ წესებს:

   permit tcp host 10.0.0.100 eq ftp host 192.168.0.13 gt 1024
   permit tcp host 10.0.0.100 gt 1024 host 192.168.0.13 gt 1024

   გადაამოწმეთ ბრძანების ხაზიდან, გუნდის მიერ ftp 10.0.0.100, deauthorize for oblіkovymi danimi ცისკო: ცისკო(სერვერიდან აღებული), იქ შევიყვანთ ბრძანებას რეჟდა უკეთესია, რომ მოცემული ბრძანებები წარმატებით გადაიცეს.

ღერძი არის დაახლოებით და ყველაფერი, რაც ღირს გაფართოებული წვდომის სიაში.

კიდევ ერთხელ გადახედეთ ჩვენს წესებს:

როუტერ #შ წვდომა
გაფართოებული IP წვდომის სია INT_IN
ნებართვა icmp 192.168.0.0 0.0.0.255 მასპინძელი 10.0.0.100 ექო (17 მატჩ(ებ)ი)
permit icmp host 10.0.0.100 192.168.0.0 0.0.0.255 echo-reply
permit tcp host 192.168.0.11 gt 1024 host 10.0.0.100 eq www (36 მატჩ(ები))
permit tcp host 192.168.0.13 gt 1024 host 10.0.0.100 eq ftp (40 მატჩ(ები))
permit tcp host 192.168.0.13 gt 1024 host 10.0.0.100 gt 1024 (4 მატჩ(ები))
გაფართოებული IP წვდომის სია INT_OUT
უარყოფა icmp მასპინძელი 10.0.0.100 192.168.0.0 0.0.0.255 echo (4 მატჩ(ებ)ი)
permit icmp host 10.0.0.100 192.168.0.0 0.0.0.255 echo-reply (4 მატჩ(ები))
ნებართვა tcp მასპინძელი 10.0.0.100 eq www მასპინძელი 192.168.0.11 შეიქმნა (3 მატჩ(ები))
permit tcp host 10.0.0.100 eq ftp host 192.168.0.13 gt 1024 (16 მატჩ(ებ)ი)
permit tcp host 10.0.0.100 gt 1024 host 192.168.0.13 gt 1024 (3 მატჩ(ები))

როგორ შემიძლია კომპიუტერის pid-ის კონფიგურაცია keruvannyam Windows 2000/XP/2003 ბლოკავს პინგ პაკეტებს? Windows 2000/XP/2003 შეიძლება შემოიღოს IP უსაფრთხოების მექანიზმი, სახელწოდებით IPSec (IP Security). IPSec არის პროტოკოლი, რომელიც იყოფა ინდივიდუალური TCP/IP პაკეტების დასაცავად, როდესაც ისინი გადაიცემა ქსელში.

თუმცა, ჩვენ დეტალურად არ განვიხილავთ IPsec დანამატის ფუნქციონალურობას, დაშიფვრის ნაწილებს, IPSec-ს ასევე შეუძლია დაიცვას თქვენი სერვერი ან ოპერაციული სადგური firewall-ის მსგავსი მექანიზმით.

PING-ის დაბლოკვა ერთ კომპიუტერზე

კომპიუტერიდან და ახალ კომპიუტერზე ყველა PING პაკეტის დასაბლოკად, თქვენ უნდა შექმნათ IPSec პოლიტიკა მთელი ICMP ტრაფიკის დასაბლოკად. პირველად ჩართეთ თქვენი კომპიუტერი ICMP მოთხოვნით:

ერთი კომპიუტერის დასაყენებლად, ჩვენ უნდა შეავსოთ შემდეგი ნაბიჯები:

კონფიგურირებადიIP ფილტრების სიები და ფილტრის მოქმედებები

1. გახსენით MMC ფანჯარა (დაწყება > გაშვება > MMC).
2. დაამატეთ IP უსაფრთხოებისა და პოლიტიკის მენეჯმენტის snap-in.

1. Viberіt, რა სახის კომპიუტერი bude cheruvatisya tsієyu პოლიტიკა - ჩვენი აზრით, მთელი ადგილობრივი კომპიუტერი. დააჭირეთ დახურვას, შემდეგ დააჭირეთ OK.

1. დააწკაპუნეთ მარჯვენა ღილაკით IP უსაფრთხოების პოლიტიკაზე MMC კონსოლის მარცხენა ნახევარში. აირჩიეთ IP ფილტრების სიების და ფილტრის მოქმედებების მართვა.

1. თქვენ არ გჭირდებათ IP ფილტრის კონფიგურაცია ან შექმნა ICMP-სთვის (პროტოკოლი, ამ შემთხვევაში გამოიყენება PING), მაგრამ ასეთი ფილტრი უკვე გამოიყენება ჩაკეტვისთვის - All ICMP Traffic.

თუმცა, შეგიძლიათ დააკონფიგურიროთ რამდენი დასაკეცი IP ფილტრი გაქვთ, მაგალითად, მიიღოთ თქვენი კომპიუტერი საჭირო IP-დან და რამდენი მათგანი. IPSec-ისადმი მიძღვნილ ერთ-ერთ მომავალ სტატიაში ჩვენ ვახსენებთ IP ფილტრების შექმნას, მიჰყევით განახლებებს.

1. ფილტრების სიების და ფილტრების მოქმედებების მართვის ფანჯარაში გადახედეთ თქვენს ფილტრებს და კვლავ დააწკაპუნეთ ფილტრის მოქმედებების მართვაზე. ახლა ჩვენ უნდა დავამატოთ შეტყობინება ფილტრისთვის, რომელიც ბლოკავს სიმღერის ტრაფიკს, დააჭირეთ დამატება.

1. პირველ vіknі vіknі vіtanny vіtannya უბიძგებს შემდეგი.
2. ფილტრის მოქმედების სახელის ველში შეიყვანეთ დაბლოკვა და დააჭირეთ შემდეგი.

1. ფილტრის მოქმედების ზოგადი ოფციებისთვის აირჩიეთ დაბლოკვა, რის შემდეგაც აირჩიეთ შემდეგი.

1. დაბრუნდით IP ფილტრების სიების და ფილტრის მოქმედებების მართვის ფანჯარაში და გადახედეთ თქვენს ფილტრებს და თუ ყველაფერი სხვაა, დააჭირეთ დახურვას. შეგიძლიათ ნებისმიერ დროს დაამატოთ ფილტრები და ფილტრები.

შემდეგი ნაბიჯი იქნება IPSec პოლიტიკის კონფიგურაცია და її zastosuvannya.

IPse პოლიტიკის კონფიგურაცია

1. იმავე MMC კონსოლში დააწკაპუნეთ მარჯვენა ღილაკით IP უსაფრთხოების პოლიტიკაზე და აირჩიეთ შექმენით IP უსაფრთხოების პოლიტიკა.

1. გამოტოვეთ ოსტატის მისალმება შემდეგი დაჭერით.
2. IP უსაფრთხოების პოლიტიკის სახელის ველში შეიყვანეთ სწორი სახელი, მაგალითად „PING PING“. დააჭირეთ შემდეგი

1. უსაფრთხო კავშირის მოთხოვნისთვის, მოხსენით ჩამრთველი Active the Default Response Rule ჩამრთველი. დააჭირეთ შემდეგი

1. დააყენეთ ჩამრთველი ავტორიტეტის შესაცვლელად და დააწკაპუნეთ Finish.

1. ჩვენ უნდა დავამატოთ IP ფილტრები და სხვა ფილტრები ახალ IPSec პოლიტიკაში. Vіknі ახალი პოლიტიკა IPSec დააჭირეთ დამატება

1. დააჭირეთ ღილაკს შემდეგი.
2. გვირაბის ბოლო წერტილში გადახვიდეთ არჩეულ სარეკლამო ღირებულებაზე და დააწკაპუნეთ შემდეგი.

პინგ პინგის დაბლოკვა OS-ში შეიძლება თავიდან აიცილოს შეტევები ICMP პაკეტების დატბორვისგან და მეტი სისტემა გაიმარჯვოს qiu სერვისიონლაინ მონიტორინგი (სისტემის მონიტორინგი). ჩემს თემაში "Block Ping (ICMP) Unix/Linux-ზე", მე გეტყვით, როგორ შეგიძლიათ გამორთოთ იგი.

სერვერზე PING-ის დაბლოკვა სწორია, რადგან სერვერი მუდმივად ჩერდება DoS შეტევა PING ფუნქციის დასახმარებლად. IPTables-ის გამოყენებისას, ჩვენ შეგვიძლია უბრალოდ სერვერზე გადავიტანოთ ICMP პაკეტები (გამოიტანოთ PING). სანამ cob, აუცილებელია იცოდეთ მათ შესახებ, ვისაც აქვს Iptables Linux-ში. Iptables არის ჯვარედინი ეკრანის სისტემა, წესების ნაკრებით შემომავალი და გამავალი პაკეტების კონტროლისთვის. Iptables-ის ჩაკეტვისთვის, ყოველგვარი წესების გარეშე, შეგიძლიათ შექმნათ, დაამატოთ, დაარედაქტიროთ წესები.

Ping vicorist და iptables-ის ჩართვა

ზოგიერთი პარამეტრის ახსნა iptables-ში, რომლებიც აუცილებელია ICMP წესების პაკეტებით შესაქმნელად:

პასუხი: დაამატეთ წესები.
-D: წესის ჩვენება ცხრილებიდან.
-p: პროტოკოლის მითითების ვარიანტი (de icmp).
-icmp-type: ტიპის განსაზღვრის ვარიანტი.
-ჯ: გადახტე ლანცეტზე.

ქვემოთ აღვნიშნავ საწყის კონდახებს.

როგორ დავბლოკოთ PING სერვერზე შეწყალების შესახებ შეტყობინების მისაღებად?
ამ გზით, თქვენ შეგიძლიათ ხშირად დაბლოკოთ PING გაფრთხილებით დანიშნულების პორტის მიუწვდომელი შეწყალების შესახებ. დაამატეთ შემდეგი Iptables წესები, რათა დაბლოკოთ PING შეწყალების შეტყობინებების ჩვენება:

# iptables -A INPUT -p icmp --icmp ტიპის echo-მოთხოვნა -j უარყო

ბლოკი PING სერვერზეშეწყალების ხსენების გარეშე.
ІPTables-ის ამ გამარჯვებული გუნდისთვის:

# iptables -A OUTPUT -p icmp --icmp ტიპის echo-მოთხოვნა -j DROP # iptables -A INPUT -p icmp --icmp-ტიპის ექო-პასუხი -j DROP

დაბლოკეთ ყველა შემომავალი და გამავალი ICMP პაკეტი სერვერზე.

Ping vicorist-ის დაშვება iptables-ით

თქვენ დაბლოკეთ ping სერვერზე და არ იცით როგორ დაბრუნდეთ. მაშინვე გეტყვით, როგორ გაიზარდოთ. და საპასუხოდ, დაამატეთ თავდასხმის წესი IPtables-ში:

# iptables -A INPUT -p icmp --icmp ტიპის echo-მოთხოვნა -j ACCEPT # iptables -A OUTPUT -p icmp --icmp ტიპის ექო-პასუხი -j ACCEPT

ეს არის წესები, რომლებიც საშუალებას იძლევა ICMP პაკეტების სერვერიდან ახალზე გადასვლა.

პინგის დაბლოკვა ბირთვის პარამეტრებით

ჩვენ ასევე შეგვიძლია დაბლოკოს ping განურჩევლად ბირთვის პარამეტრებით. შეგიძლიათ დაბლოკოთ vіdpovіdі ping timchasovo-ზე ან postiyno-ზე და ეს ნაჩვენებია ქვემოთ, როგორც tse robiti.

დროის ბლოკირების პინგი
თქვენ შეგიძლიათ დაბლოკოთ timchasovo vidpovidі პინგზე, vikoristovuyuchi შეუტიეთ გუნდს

# ექო "1" >

ამ ბრძანების განსაბლოკად, მიჰყევით შემდეგს:

# echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all

Zaboroniti Ping vzagalі
შეგიძლიათ დაბლოკოთ ping pіdpovidі dodayuchi შეტევითი პარამეტრი in კონფიგურაციის ფაილი:

# vim /etc/sysctl.conf

ვწერ:

[...] net.ipv4.icmp_echo_ignore_all = 1 [...]

sysctl ჰაკერებს ბირთვის პარამეტრების შესაცვლელად პინგ საათისთვის, ერთ-ერთი ამ პარამეტრის დაყენება შესაძლებელია ping daemon-ზე (ping daemon), თუ გსურთ პინგის ჩართვა, მაშინ უბრალოდ უნდა გააკეთოთ ping daemon:

# sysctl -w net.ipv4.icmp_echo_ignore_all=1

ახლა სცადეთ აპარატის პინგირება, მასზე ყოველდღიური ანგარიშები არ არის, რატომაც არა? პინგის ხელახლა ჩასართავად, გადაატრიალეთ:

# sysctl -w net.ipv4.icmp_echo_ignore_all=0

W ნიშანი არის გამარჯვებული, ასე რომ თქვენ უნდა შეცვალოთ რამდენიმე პარამეტრი.

ახლა მოდით გავაგრძელოთ ბრძანება ინსტალაციების შემთხვევით გაყინვის შესახებ სისტემის გადატვირთვის გარეშე:

# sysctl -გვ

# sysctl -- სისტემა

ჩემი უახლესი კონფიგურაციის ღერძი:

# cd /usr/local/src && wget http://website/wp-content/uploads/files/sysctl_conf.txt

და შემდეგ შეგიძლიათ ვიკონატი:

# cp /usr/local/src/sysctl_conf.txt /etc/sysctl.conf

ჩემთვის დასრულებულია თემა "Ping Ping (ICMP) პასუხები Unix/Linux-ში".