MikroTik'i nasıl düzelteceğinizi adresinden öğrenebilirsiniz. çevrimiçi kurslar bir virobnik bulundurmaktan. Kursun yazarı MikroTik sertifikalı eğitmendir. Örnek makaleler için raporu okuyabilirsiniz.

Makale, ICMP trafiğini güvenli olmayan bir şekilde engelleme gücünü gösterir.

ICMP - bir erkek kardeşe elma

bagato merezhevі yöneticileriİnternet Kontrol İletisi Protokolü'nün (ICMP) güvenlik için bir tehdit olduğunu ve .

ICMP trafiğinin birçok önemli işlevi olabilir; Kural olarak, sorun giderme için, diğer önlemin doğru çalışması için gerekli. Aşağıda, suçlu soylular hakkında ICMP protokolüne göre depoların önemli eylemlerinin bir özeti bulunmaktadır. Sonra onları ağınızdan en iyi nasıl geçireceğinizi düşünün.

Yankı sor ve Yankı temizle

IPv4 - Yankı İsteği (Type8, Code0) ve Yankı İsteği (Type0, Code0)
IPv6 - Yankı İsteği (Type128, Code0) ve Yankı İsteği (Type129, Code0)

Ping'in, ping ve sorun giderme için ilk araçlardan biri olduğunu hepimiz iyi biliyoruz. Yani, ICMP paketlerinin işlenmesini kendi başınıza kontrol ederseniz, bu, ana makinenizin artık görüntülenebilir olduğu, ancak ana makinenizin artık 80 numaralı bağlantı noktasını dinlemediği ve istemci isteklerini zorlamadığı anlamına mı geliyor? Açıkçası, DMZ'nizin sınırda olduğunu etkili bir şekilde bildiğiniz için diğer tüm aramaları engelleyin. Ancak, çitinizin ortasında ICMP trafiğini bloke ederek, buna yardım edemezsiniz, dünyayı dolaşıp, arızaları onarmak için dünya çapında daraltılabilir bir süreçle sistemi ortadan kaldıracaksınız (“Ters çevirin, lütfen, ağ geçidini görüyor musunuz? çit?”, bana hiçbir şey söyleme!”).

Unutmayın, doğrudan şarkıcıdan içeceklerin geçişine de izin verebilirsiniz; örneğin, ağınızdan gelen Yankı isteklerinin İnternet üzerinden geçeceği ve İnternet'ten gelen Yankı seslerinin ağınızdan geçeceği, ancak bunun tersi olmayacak şekilde ayarlayın.

Paket Parçalanması Gerekiyor (IPv4) / Paket Çok Büyük (IPv6)

IPv4 - (Tip3, Kod4)
IPv6 - (Tip2, Kod0)

ICMP protokolünün bu bileşenleri de önemlidir, ancak TCP protokolünün bir parçası olmayan Path MTU Discovery'nin (PMTUD) önemli bir bileşenidir. İki ana bilgisayarın, TCP Maksimum Segment Boyutu (MSS) değerini, en küçük MTU'nun iki hedef arasında iletişim kurmasını söyleyecek bir değere ayarlamasına izin verir. Paketler yolda daha küçük Maksimum İletim Birimi olan bir otobüsten geçecekse, alttakinin şoförü veya memuru olacak ve bu çarpışmayı gösterecek paraları olmayacaksa, trafik önemsiz olacaktır. Kanaldan ne işitildiğini anlamayacaksınız; Başka bir deyişle, "mutlu günler senin için gelecek."

Parçalama - ICMP başarısız oluyor!

IPv4 paketlerinin Don't Fragment set biti (bunlardan daha fazlası!) yaklaşan ICMP aflarıyla bu tür dzherel aktarımını paketleyin: Parçalanma Gerekiyor ( Parçalanma Gerekli) veya Büyük Zanadto Paketi ( Paketler de büyük). Bu aflarla dönüş yapamasanız bile, ACK paketlerinin teslimi ile ilgili onayların olduğu gerçeğini yorumlayabilirsiniz ( Kabullenmek) transfer olarak sipariş şeklinde / paketlerin yeniden iletilmesi için bir yelek ile kullanın, çünkü onlar da tanınacaktır.

Böyle bir sorunun nedenini belirlemek ve TCP el sıkışma alışverişini (TCP el sıkışma) hızlı bir şekilde düzeltmek kolaydır, normaldir, yeni görevdeki parçalar küçük paketlerdir, ancak aslında, veri aktarımının toplu aktarımı oturum kilitleniyor, bu nedenle iletim af ile ilgilenmez.

Paket teslimatı için takip rotası

Tüm paketlerin yollarını muzaffer bir şekilde izleyerek bu sorunu aşmak için trafik aktarımında katılımcılara yardımcı olmak için RFC 4821 genişletme mektubu (Yol MTU Keşfi (PLPMTUD). Standart, maksimum veri yükümlülüğünün ortaya çıkarılmasına izin verir (Maksimum İletim Birimi (MTU) veri çerçevesi bloğunun maksimum boyutunda adım adım artışla bir yinelemede protokol tarafından iletilebilen . (Maksimum Segment Boyutu (MSS), İletimden kabule doğrudan iletim yolunda herhangi bir parçalanma olmadan paketin mümkün olan maksimum boyutunu bilmek. Kendi kızartma widovydi Zmenal Zalesniy VID'nin işlevleri, Mizhmerzhevikh Keyuchy Polodidle (ICMP) protokolünün arkasındaki tüccarlarla, Bilshosti Merevyvs bağlantı sistemlerinin erişimlerinin ne yazık ki, maksimumun maksimumu değil, maksimumun maksimumu maksimum podomlennyam protokolü ICMP, dzherel iletimine dönüyor, tamam mı?

Paketlerin transfer saatine ulaşım

IPv4 - (Tip11, Kod0)
IPv6 - (Tip3, Kod0)

Traceroute - sorun giderme için temel bir araç eskrim deri croque yolunu tarif eden iki ev sahibi arasında.

Paketin kullanım süresinden IP protokolü için veri paketine düzenlenmesi (Yaşama zamanı (TTL) eşit 1 , böylece ilk yönlendirici paketin yaşam süresinin aktarımı hakkında (genel bir IP adresi dahil) bir af gönderdi. TTL 2 ile bir paket gönderelim vb. Bu prosedür, paketlerin geçişi için rota üzerinde bir cilt vuzolünü ortaya çıkarmak için gereklidir.

NDP ve SLAAC (IPv6)

Yönlendirici Talep (RS) (Type133, Code0)
Yönlendirici Reklamı (RA) (Type134, Code0)
Komşu Çağrısı (NS) (Type135, Code0)
Komşu Reklamı (NA) (Type136, Code0)
Yönlendirme (Type137, Code0)

Aynı zamanda IPv4, OSI ağ modelinde 2 ve 3 hattı eşleştirmek için IPv4 Adres İzin Protokolü (ARP) kazandı, IPv6 ise Sürdürülebilirlik Algılama Protokolü (NDP) gibi diğer yolu kazandı. NDP, yönlendirici algılama, önek algılama, adres paylaşımı ve daha fazlasını içeren kişisel olmayan işlevler sağlar. NDP'ye ek olarak, StateLess Adres Otomatik Yapılandırması (SLAAC), Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP) konseptine benzer şekilde bir ağ üzerinde dinamik ana bilgisayar yapılandırmasına izin verir (ancak DHCPv6 daha ince ağ iletişimi için kullanılmalıdır).

IP veri protokolünün doğru şekilde çalışması için IP veri protokolünün ağınızın ortasında bloke edilmemesini (dış çevreyi korumayarak) sağlamak için beş tür ICMP vardır.

ICMP tipi numaralandırma

Ara Mesajlaşma Protokolü (ICMP), "tür" alanı tarafından neyin tanımlandığı hakkında birçok bilgi sağlar.

Kuru mal değişimi hakkında birkaç söz

Makalede açıklananlara benzer ICMP uyarıları daha doğru olsa da, tüm uyarıları oluşturmanın yönlendiricilerinizde bir işlemci saatini aldığını ve trafik oluşturduğunu unutmayın. Aynı durumda güvenlik duvarınız üzerinden saniyede 1000 ping aldığınız için gerçekten minnettar mısınız? Chi vvazhatimetsya tse normal trafik? Belki hayır. Çit binayı geçeceğim maliyeti ödediğiniz için bu tür ICMP trafiği için önlemler; bu timsah ağınızı korumanıza yardımcı olabilir.

Oku, razumіti olan doslіdzhuvati

Vrahovyuchi, ICMP paketlerini “engelleyin veya engellemeyin” tarafından tartışıldığı gibi, her zaman dolandırıcıya, süper yanağa ve razbіzhnosti'ye getirin, bu konuya kendi başınıza devam etmenizi öneririm. Öte yandan, zengin bir mesaj yönlendirildi, sorunların daha iyi anlaşılmasına saygı duyuyorum, sonra onları okumaya bir saat ayırın. І robiti osvіdomleniya, merezhi'niz için en uygun scho scho'dur.

MikroTik: nereye itilir, ne yapılır?
Tüm avantajları için, MikroTik şirketinin ürünlerinde bir eksi var - çok fazla roz'ednanoy ve її nalashtuvannya hakkında güvenilir bilgi almaktan uzak. Rus dilinin yanlış yorumlanması, her şeyin seçilmesi, mantıksal olarak yapılandırılması önerilir - video kursu " Nalaştuvannya MikroTik'in Mülkiyeti ". Kurs öncesi 162 video ders, 45 laboratuvar robotları, kendini doğrulama ve özet için yiyecek. Tüm malzemeler çizgisiz bırakılmıştır. Kursun koçanına, parkur kenarındaki uygulama kapatılarak ücretsiz olarak bakılabilir. Kursun yazarı MikroTik sertifikalı eğitmendir.

Güvenlik duvarı - herhangi bir sunucunun ilk savunma hattı ve gelen yeni doğru hizalama uzanın, böylece bir davetsiz misafir, sisteme girmeye çalışarak yoldan çekilebilsin. Modern yangınlar kişisel olmayan güvenlik mekanizmaları proponoyut, vikoristuyuchi yakі, saldırganların% 99'unu "doğru değil" öldürebilirsiniz. Üstelik pahalı yazılımlar ve ticari yazılımlar satın almaya gerek kalmadan.

Tüm bilgisayar korsanlarının ana metası, yeteneklerini kendi çıkarları doğrultusunda kullanmak için sunucunun komut yorumlayıcısına erişimin kaldırılmasıdır. “Kutsalların kutsalına” sızmanın çoğu, hizmetlerde bir dizin yardımıyla veya bunlardan birine (örneğin, ssh) parola kurtarma (kaba kuvvet) yoluyla yapılır.

bağlantı noktası taraması

Makinede çakışan servislerin varlığını algılamak için, bir bağlantı noktası tarayıcısı ve diğer sistemlerin yardımıyla keşif saldırılarının çakışmaları algılaması. Bir port tarayıcı vikoristovuetsya nmap gibi ses Farklı yollar ve bazı durumlarda, işletim sisteminin ve hizmetlerin sürümlerini gösterin. Axis, vicorist kraker olarak adlandırılması gereken özellikle popüler nmap işaretlerinin bir listesidir:

Tarama sırasında görüntülenen nmap bayrakları

• -sT - özellikle TCP taraması için ek yardım için belirtilen bağlantı noktasına bir mesaj göndermek için tam bir;
• -sS - SYN/ACK taraması, istek yapıldıktan sonra çağrı başlatılır;
• -sU - UDP taraması;
• -sF - FIN işaretiyle paket tarama;
• -sX - FIN, PSH ve URG işaretlerinin takılı olduğu paket tarama;
• -sN - ensigns ayarlamadan toplu tarama.

Taramaya karşı koruma yöntemi basit ve her sistem yöneticisine aşinadır. Polyagaє şarapları, tüm hizmetlerin basit bir şekilde kapatılmasında, sanki suçluymuş gibi, dış sınırdan görülebilir. Örneğin makinede ssh, samba ve apache servisleri çalışıyorsa ve dış dünyadan sadece kurumsal web tarafı olan bir web sunucusu görebiliyorsanız, aracı ekran şu şekilde kurulabilir:

Pochatkove iptables kurulumu

outif="eth1"
iptables -F
iptables -i $outif -A GİRDİ \
-m bağlantı \
--ctstate KURULDU, İLGİLİ \
-j KABUL
iptables -i $outif -A GİRDİ -p tcp \
--dport 80 -j KABUL
iptables -i $outif -P GİRİŞ DROP
iptables -i $outif -P ÇIKIŞ KABUL

Pochatkove nalashtuvannya ipfw

çıkış = "rl0"
ipfw add herhangi birinden herhangi birine ip izin ver \
lo0 aracılığıyla
ipfw ekle benden herhangi bir \'ye ip izin ver
$outif
ipfw add herhangi birinden bana tcp'ye izin ver \
$outif aracılığıyla kuruldu
ipfw add herhangi bir 80'den tcp'ye izin ver \
bana $outif aracılığıyla
ipfw herhangi birinden herhangi birine inkar ipi ekleyin \
$outif

Pochatkove yama pf

çıkış = "rl0"
atlamayı lo0'a ayarla
hepsini engelle
$outif'ten $outif'i dağıtın \
herhangi bir tutma durumuna
herhangi bir \'den $outif proto'sunu iletin
$outif bağlantı noktası 80'e

Her üç kural grubu da aynı şekilde çalışır - herhangi bir trafiğin geri döngü arabirimi (loopback) üzerinden geçişine izin verir, o gün önceden yüklenmiş olan paketlerin kabulüne izin verir (böylece, örneğin tarayıcı uzak sunucuya gelen isteği anında kabul edebilir) ), 80'inci bağlantı noktasının geri dönmesine izin verin, bağlantı noktasını engelleyin ve adla herhangi bir bağlantıya izin verin. Örneğin, iptables ve ipfw uygulamalarında, önceden kurulmuş (kurulu) paketlerin alınmasına izin vermek için kuralları açıkça belirledik, ardından pf durumunda, kural kümesinde "durumu koru" belirtmenin yeterli olduğu durumlarda, izin verir. z'ednannya'da izin günleri olup olmadığı.

Zagalom, hizmetlerin birleştirilmesini tarama ve sızma şeklinde savunmak için böyle bir plan iyi bir uygulamadır, ancak mesafeyi koruyabilir ve yangını düzeltebiliriz, böylece deacians yangındaki taramayı görebilir ve vikonan olamaz. Teknik olarak, herhangi bir tür sonik tarama üretemiyoruz (ensigns nmap "-sT", "-sS" ve "-sU") sadece içinde suç unsuru olmayan, ancak standart olmayan tarama türleri gibi. "-sN", " -sF" ve "-sX", yasal ekler tarafından oluşturulamayan paketler üretir.

Bunun için, bir ipucu olmadan, ona zamanın yarısını veriyoruz.

Egzotik tarama türleriyle mücadele yöntemleri

# Çit FIN taraması
Linux > iptables -A GİRDİ -p tcp \
-m tcp \
--tcp-flags FIN,ACK FIN -j DROP
ÜcretsizBSD>
kurulmamış tcpflags fin
# Çit X-taraması
linux>
--tcp-flags FIN,SYN,RST,PSH,ACK,URG
FIN,SYN,RST,PSH,ACK,URG\
-j BIRAK
FreeBSD> ipfw, herhangi birinden herhangi birine reddetme tcp'sini ekleyin \
tcpflags fin, syn, rst, psh, ack, urg
# Çit N-taraması
Linux > iptables -A GİRDİ -p tcp -m tcp \
--tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE --j DROP
FreeBSD> ipfw, herhangi birinden herhangi birine reddetme tcp'sini ekleyin \
tcpflags !fin, !syn, !rst, !psh, !ack, !urg
OpenBSD'de, tüm satırlar koçanın üzerine basit bir yazı ile değiştirilebilir
/etc/pf.conf:
hepsini fırçala

Fırçalama yönergesi, parçalanmış paketlerin reddedildiği ve geçersiz bir bayrak kombinasyonuna sahip paketlerin reddedildiği paket normalleştirme mekanizmasını etkinleştirir. Egzotik tarama desenlerinden oluşan bir krem, izinsiz giriş tespit sistemlerini (ağır şekilde parçalanmış paketlere üstün gelir) ve diğer DoS saldırı türlerini dolandırmanıza ve aldatmanıza olanak tanır.

"-sS" nmap ensign yardımıyla başlatılan SYN/ACK taramasını geçersiz kılmak için, pf güvenlik duvarlarında ve iptables/netfilter'de (versiyon 1.4.6'dan başlayarak) bulunan pasif OS parmak izi yöntemini geçersiz kılabiliriz. Sonik taramanın saati ("-sT" işareti) işletim sistemi Bu nedenle, böyle bir tarama, olağanüstü paketlerin akışında hiçbir şekilde görülmeyebilir (aşağıda, kimliğinin ayrıntılarına bakabiliriz), ancak SYN / ACK tarandığında nmap, paketler bağımsız olarak oluşturulur, bu nedenle pis koku boyunlarını görürseniz farklı olabilir. Pasif işletim sistemi tanımlama yöntemi, paketleri tanımlamanıza ve bunları standart güvenlik duvarı kurallarının yardımıyla atmanıza olanak tanır:

OpenBSD> herhangi bir işletim sistemi NMAP'sinden hızlı bir şekilde engelleyin
Linux > iptables -I INPUT -p tcp -m osf --genre NMAP \
-j BIRAK

iptables/netfilter güvenlik duvarının osf modülü, OpenBSD satıcılarını (/etc/pf.os) seçti ve güncelledi. Bunlar aynı zamanda nmap yardımcı programı ("-O" işareti) tarafından işletim sistemine atanan işleve etkili bir şekilde karşı çıkmanıza izin verenlerdir.

Şimdi korumam, standart ve aptal "-sT" hariç, taramanın kullanılmış görüntüleri şeklinde olabilir. Ondan nasıl çıkılır? Gerçekten, bu basit. Güvenlik duvarı günlüklerini basitçe analiz ederek bağlantı noktası taraması gerçeğini anlamak kolaydır. Sanki kısa bir süre içinde, farklı limanlarda kişisel olmayan bağlantılar vardı - bu, tarandığımız anlamına geliyor. Bu fikri güvenlik duvarı kurallarına kaydırmak çok fazla. iptables için, çalışmayan bir bağlantı noktasını çalan herkesi engelleyen yetkili bir tarif var:

Taramalara karşı savaşın iptables yardım

# Çalışmayan bir limanda vuruntu olup olmadığını yeniden kontrol etme (yılda 10)

--saniye 3600 --hitcount 10 --rttl-j DÖNÜŞ
# Çalışmayan bir bağlantı noktasını çalmak için başka bir yeniden kontrol (bir not için 2)
iptables -A GİRİŞ -m en son --rcheck \
--saniye 60 --hitcount 2 --rttl-j DÖNÜŞ
# Adrese girmek sessiz, listeyi kim çalıyor
iptables -A INPUT -m en son --set
# Limiti aşanların paketlerini görelim
bağlantı sayısı
iptables -P INPUT -j DROP

Patch-omatic projesine yönelik xtables-addons paketini kurarak, scanlogd arka plan programının görüntü ve benzerliğinden sonra uygulanan PSD (Port Scan Detect) modülüne erişim sağlayacağız. Bıyık ön sıraları basit bir kuralla kolayca değiştirilebilir:

# iptables -A GİRDİ -m psd -j DROP

Ne yazık ki, ipfw ve pf paket filtrelerinde benzer bir şey yoktur, ancak yoktur, bu nedenle port taraması PortSentry arka plan programı ve aynı scanlogd'ye karşı iyidir.

Çit Icmp güncellemesi

Ana bilgisayar hakkında ek bilgiler görebilmeniz veya çeşitli kötü niyetli eylemlerin (örneğin, yönlendirme tablolarını değiştirme) üstesinden gelmeyi deneyebilmeniz için ICMP güncellemelerini engellemek iyi bir uygulamadır. Aşağıda, olası ICMP uyarı türlerinin listesini içeren bir tablo bulunmaktadır:

Tipi ICMP istemi

• 0 - yankı yanıtı (yankı yanıtı, ping)
• 3 - ulaşılamaz hedef
• 4 - kaynak söndürme
• 5 - yönlendirme (yönlendirme)
• 8 - yankı isteği (yankı isteği, ping)
• 9 - yönlendirici reklamı
• 10 - yönlendirici talebi
• 11 - yaşam süresi aşıldı
• 12 - IP başlığı bozuk (yanlış IP paketi başlığı)
• 13 - zaman damgası isteği (saatin değerini isteyin)
• 14 - zaman damgası yanıtı
• 15 - bilgi talebi
• 16 - bilgi yanıtı
• 17 - adres maskesi talebi
• 18 - adres maskesi yanıtı

Bir bahçıvan olarak, bir ICMP bilgisi olması durumunda, onu ifşa etmeden önce ana bilgisayar hakkındaki bilgileri getirebilir veya diğer durumlarda, yönlendirme tablosunun değiştirilmesine kadar getirebilirsiniz, bu nedenle onu korumanız gerekir.

şu saatte arayın: zovnishhnіy svіt ICMP bildirimleri 0, 3, 4, 11 ve 12'ye izin verir, ancak giriş olarak yalnızca 3, 8 ve 12'yi kabul eder.Eksen farklı güvenlik duvarlarında da uygulanır:

Güvenli olmayan ICMP güncellemesi

Linux > iptables -A GİRDİ -p icmp \
-icmp-type 3,8,12 -j KABUL
Linux > iptables -A ÇIKIŞ -p icmp\
-icmp-type 0,3,4,11,12 -j KABUL
FreeBSD> ipfw ekle icmp'ye izin ver \
herhangi birinden $outif'e \ in
$outif icmptype 3,8,12 aracılığıyla
FreeBSD> ipfw ekle icmp'ye izin ver \
$outif'ten herhangi bir çıkışa \
$outif icmptype 0,3,4,11,12 aracılığıyla
OpenBSD> inet proto icmp'ye geçiş \
herhangi birinden $outif'e \
icmp tipi ( 3, 8, 12 ) durumu koru
OpenBSD> inet proto icmp'yi dağıtın \
$outif'ten herhangi bir \'ye
icmp türü ( 0, 3, 4, 11, 12 ) \
durumu koru

Ücret karşılığında ping istekleri dahil tüm ICMP trafiğini engelleyebilir veya robotun doğruluğunu kontrol edebilirsiniz.

kaba kuvvet

hakkında bilgi edindikten sonra kritik limanlarda Bu işletim sisteminde, cracker, servislerdeki uzak sunucuların istismarına veya parola seçimine bağlı olarak sisteme sızmaya çalışabilir. Güvenlik duvarının kötü hizmetlerini durdurmanıza yardımcı olamayız, parola kaba kuvvet işlemini kırmak kolaydır. Bu nedenle aynı IP adresinden makineye gelen bir takım paketleri değiş tokuş etmek mümkündür. Eksen iptables yardımı için zrobiti olabilir:

iptables yardımı için kaba kuvvet savunucusu

# z'ednan'ı yeniden kontrol etmek için mızrak
iptables -N brute_check
# Engelleme adresleri, genellikle 60
saniyeler 2 günden fazla oldu

--güncelleme --saniye 60 \
--hitcount 3 -j DROP
# Yakshcho nі - zadnannya'ya izin verilir
adresi listeye ekleyin
iptables -A brute_check -m en son \
--set -j KABUL
# INPUT kordonunu temizleyin
iptables -F GİRİŞİ
# Brute_check
bağlanmaya çalışan herkes
22 numaralı bağlantı noktası

--ctstate YENİ -p tcp \
--dport 22 -j brute_check
iptables -P GİRİŞ DURUMU

Bunlar aynı olabilir robiti і z vikoristannyam pf:

Yardım pf için kaba kuvvet savunucusu

# Bruteforcers için bir tablo oluşturun
tablo ısrar etmek
# Kendisinden önce tüketen herkesi bloklamak
hızlı bir şekilde engelle
# 22. limanda ikiden fazla emir başlatan herkesi kaba kuvvetler masasına koyun
$ext_if inet volume tcp'sini $outif'e iletin \
bağlantı noktası 22 bayrakları S/SA durumu koru \
(max-src-conn-rate 60/2, \ aşırı yük floş)

ipfw güvenlik duvarı, etkili kaba kuvvet önleyiciler için yeterli işlevselliğe sahip değildir, bu nedenle özel PAM modülleri, izinsiz girişleri algılayan sistemler ve sshguard'daki programlar gibi daha yüksek düzeydeki muzaffer araçlar için suçlanır.

yanıltma

Sahtekarlık (paket yöneticisinin adresinin sahteciliği), DoS saldırıları oluşturmak veya güvenlik duvarını atlamak için kullanılabilir. İlk durumda, spoofing saldırgana büyük bir avantaj sağlar, ancak saldırıya verilen tepkiyi daha da kötüleştirir (tamamen farklı proxy adresleri ile gelen paketlerin sınıflandırılması ve engellenmesi o kadar kolay değildir) ve yeni kapatma sürecini geciktirir. 'Gün ancak zaman aşımının bitiminden sonra görülür). Sistemi baypas etmek için kullanılan sızdırma, daha az güvensiz ve daha kontrol edilebilir.

Sık sık, ana bilgisayarın arama hizmetlerini engelleyerek, sistem yöneticileri onları şarkı aralığı için izin verilen adresten mahrum bırakır (örneğin, kendi ev makinelerine bağlanmak için). Saldırgan, bu adreslerden birini hesapladıktan sonra, bu adresi geri dönüş olarak belirten bir paket oluşturabilir ve bu şekilde güvenlik duvarından "kayabilir". TCP paketlerinin sayılarını ve sırasını tahmin edebilir ve hizmetin dönüş adresine güvendiğini, gerekli bilgileri bulduğunu öğrenebilirsiniz. Yetkin bir uzman tarafından yenilebileceğinden ve eğer UDP protokolü ile ilgiliyse, o zaman güç ve coolhacker zincirlendiği için saldırının uygulanmasında da önemlidir.

Neyse ki, bu tür saldırılara karşı savunmak kolaydır. Dış dünyadaki korumasız hizmetleri bozmamak ve hizmetlerin sistemlerini (örneğin, ssh sertifikaları) veya “limanda koklama” mekanizmasını (yeni hakkında) korumak için keskin bir ihtiyaç olması durumunda yeterlidir. biri makale örneğinde açıklanmıştır).

Sağda iç ve dış makasları (veya iki yerel makası) bölen bir makas köprüsü varsa durum katlanabilir hale gelir. Dovіrchi vіdnosinі vіdnosіnі yerel hatlar- sağda zvichayna. Herkese açık hizmetler, kimlik doğrulama, şifreleme vb. - sadece bir hırsız için dantelli bir shmatochok. Dış sınırda Perebuvayuyuschy, iç sınırın maskesini tanıyabilir ve yerel bölgenin tüm kaynaklarına erişmenizi sağlayacak özel bir dönüş adresiyle paketler oluşturabilirsiniz. Durumun güvensiz olduğu doğrudur, ancak güvenlik duvarının veya işletim sisteminin doğru ayarlanması yardımı için paradan tasarruf etmek kolaydır.

Paketlerin geçişini engellemenin yeterli olduğu durumlarda, bunların dönüş adresleri dış arayüzden iç sınıra iletilmelidir:

Linux > iptables -A GİRDİ -i $outif \
-s 192.168.1.0/24 -j REDDET
FreeBSD> ipfw \'den inkar ipini ekleyin
$outif yoluyla herhangi birine 192.168.1.0/24
OpenBSD>\'den $outif'i engelle
192.168.1.0/24 herhangi birine

Ek bir saldırıya alternatif olarak, ipfw ve pf özel yönergelerini yenebilir (ve yapmanız gerekir) ve Linux çekirdeğini değiştirebilirsiniz:

Linux > yankı 1 > /proc/sys/net/ipv4/conf/all/rp_filter
FreeBSD> ipfw ne olursa olsun inkar ipini ekle
OpenBSD> $ext_if için hızlı antispoof

Qi üç takım aynı sonuçlara yol açar. Adresleri başka bir arabirimin yığınları için uygun olan tüm paketler reddedilir.

IPTABLES oranları

Örneğin, sunucunun penetrasyon yoluyla saldırması için göz korkutucu olabilen iptables/netfilter'ın bazı olasılıklarına bakabiliriz. Mekanizmaya geri dönelim uzaktan bakım otrimav im'ya "bağlantı noktasını çalan" güvenlik duvarı (port çalma). Yoganın özü, zmusiti güvenlik duvarının belirtilen bağlantı noktasına bağlandıktan sonra vykonuvat pevnіd olduğu gerçeğidir. Aşağıda, 27520 numaralı bağlantı noktasında "vurulduktan" sonra SSH bağlantı noktasını 10 saniye boyunca açan bir dizi kural yer almaktadır:

iptables ve port çalma
# Korunan limana yapılan çağrının mutabakatı için mızrak
iptables -N vuruş
# Kapanmasına izin verilir
10 saniye
iptables -A vuruş -m en son --rcheck --saniye 10 \
-j KABUL
# GİRİŞİ Temizle
iptables -F GİRİŞİ
# Geçmişte yapılması gereken her şeyi yapmak caizdir
iptables -A GİRİŞ -m bağlantı\
--ctstate KURULDU, İLGİLİ -j KABUL
# 22 numaralı bağlantı noktasının doğru olup olmadığını kontrol etmeye çalışın
vurmak

-p tcp --dport 22 -j vuruş
# 27520. porta tıklayan adresi listeye giriniz
iptables -A GİRİŞ -m bağlantı --ctstate YENİ \
-p tcp --dport 27520 -m en son --set
# Portu tıkladığınızda listeden adresi görebilirsiniz
iptables -A GİRİŞ -m bağlantı --ctstate YENİ -p tcp \
-m çoklu bağlantı noktası --dport 27519,27521 -m en son --remove
# Her şeyi korumak
iptables -P GİRİŞ DURUMU

Üçüncü kural, listeye girenin adresini eklemektir. Nasıl ki aynı makine vuruntu 22. porta geldikten sonra 10 saniye çalışacaksa bağlantı kurulur. Peredostane kuralı - "bir vuruş kırma" şeklinde zahist. Saldırgan tüm portlarda sırayla gıcırtı yapmaya çalışırsa, umarız bunlardan biri aynı kuralı takip ederek 22. portu açar ve yeni adresten hemen sonra listeden ilk adres görünür.

iptables'ın diğer varyasyonları xtables-addons (patch-o-matic) paketinde genişletilmiştir ve TARPIT olabilir. Tse diya (kendisi, KABUL veya REDDET gibi), saldırıyı “kaldırmak”, saldıran tarafın onu kapatmasına izin vermemek gibi. Daha sonra aynı türdeki paketler TARPIT'ten alınır, ancak kurulacak, ancak genişleme sıfır olacak, nedense makine kaynakları kullanarak verileri kullanamayacak ve kapanış gerçekleşecek. sadece zaman aşımının bitiminden sonra kapatılır. Bir DoS saldırısı için acil durumlarda TARPIT yenilebilir:

# iptables -A GİRİŞ -p tcp -m tcp -dport 80 -j TARPIT

Ancak bir saldırganın Umman'a girmesi ve tarayıcılara karşı mücadele için
bağlantı noktaları (yalnızca TCP taraması için, "-sT"):

# iptables -A INPUT -p tcp -m tcp --dport 80 -j KABUL
# iptables -A INPUT -p tcp -m tcp --dport 25 -j KABUL
# iptables -A GİRDİ -p tcp -m tcp -j TARPIT

Bu kurallar, her şeyi mahvedecek şekilde sistemin görünürlüğünü yaratır, ancak bir saat boyunca bunlardan herhangi birine bağlanmaya çalışın (suç 80 ve 25), “beklemede” kalacaklardır. Aynı sonucu, “sarkma” günleri olmadan bile, DELUDE'un yardımına, siparişi başlatmak için tüm girişimleri doğru bir şekilde nasıl onaylayacağınıza veya RST paketini paketlerin teslimatına nasıl göndereceğinize ulaşabilirsiniz. Saldırganı daha da yanıltmak için, yukarıda açıklanan iki açıklamadan birini etkinleştirmenin bir yolu olarak CHAOS'u destekleyebilirsiniz.

Vişnovki

Yeterince bilgi edinebilir ve belgeleri dikkatlice okuyabilirsem, geçinmek o kadar kolay olmayacak kadar militan bir kale bile oluşturabilirsiniz. Modern güvenlik duvarları ve özellikle pf ve iptables, sizi kişisel olmayan bir şekilde kötü misafirlere karşı koruyabilir, böylece bunu tamamen ücretsiz yapabilirsiniz.

Bağlantılar

• sf.net/projects/sentrytools - PortSentry
• www.openwall.com/scanlogd - scanlogd

Kaynaklar sarmalı için mücadele

TARPIT kullanmayı seçerseniz, aşağıdaki kuralı yapılandırmaya eklemelisiniz, aksi takdirde bağlantı alt sistemini işlerken kaynak eklemek için günü "sarkın":

# iptables -t raw -I PREROUTING -p tcp --dport 25 -j NOTRACK

Yine, ACL'yi anlamaya devam edelim. İlk kez ACL uzantılarımız var. Topoloji ön yazıdan alınmıştır, katılıyorum, iyice yapmışsınız. Böyle değilse, bu makalelerin malzemelerinin mantıklı olması için okumanızı tavsiye ederim.

Bu tür ACL uzantılarının olduğu gerçeğiyle başlayalım. ACL uzantıları, gerel adresi gibi, protokolü, tanıma ve bağlantı noktasının adresini belirtir. Ve ayrıca protokolün özel parametreleri. Popolar üzerinde çalışmak en iyisidir, bunun için öne koyarak yeni bir görev oluşturacağız. Bu arada, öncelikler için trafiğin dağılımıyla kim ilgilenmek isterse, Raju ekseni QoS Sınıflandırma ve İşaretleme İngilizce olsa da iyi bir makaledir. Şimdilik görevimize dönelim:

Müdür.

1. 192.168.0.0/24 bağlantısındaki düğümlerden sunucuya yankı isteklerine izin verin.
2. Sunucudan - dahili ağdan yankı isteği.
3. 192.168.0.11 düğümünden sunucuya WEB erişimine izin verin.
4. 192.168.0.13 düğümünden sunucuya FTP erişimine izin verin.

Karmaşık görev. Virishuvatimemo її tezh kompleksi. Genişletilmiş ACL sözdizimine bir göz atalım.

Genişletilmiş ACL Seçenekleri

<номер от 100 до 199> <действие permit, deny> <протокол> <источник> <порт> <назначение> <порт> <опции>

Anladığım kadarıyla TCP / UDP protokolleri için port numaralarının belirtilmesi daha az olası. Ben de ekin yerine anne olabilirim eşdeğer(Port numarası atanan numaraya eşittir), gt/lt(port numarası atanandan daha yüksek/düşük), neq(Port numarası belirtilen ile aynı değil), Aralık(Port aralığı).

ACL adları

Konuşmadan önce, erişim listeleri sadece numaralandırılamaz, aynı zamanda isimlendirilebilir! Muhtemelen, her yol sizin için iyi olacaktır. Bu sefer kendimiz yapıyoruz. Komutlar, genel yapılandırma bağlamında ayarlanır ve sözdizimi şöyle görünür:

Router(config)#ip erişim listesi genişletildi<имя>

Otzhe, kuralları formüle etmeye başlıyoruz.

1. Sınırdan izin verilen pingler 192.168.0.0/24 sunucuya. otze, Eko- sor - aynı protokol ICMP, dzherel adresi adresimiz tarafından seçildiğinden, atanan adres sunucunun adresidir, bildirim türü giriş arayüzündedir. Eko, çıkışta - yankı-cevap. Router(config)#ip access-list genişletilmiş INT_IN Router(config-ext-nacl)#permit icmp 192.168.0.0 0.0.0.255 host 10.0.0.100 echo Yani, tse çip EKL. Lafta joker-Maske. Maske etrafına sarılmış olarak sayılır. Tobto. 255.255.255.255 - dmerezhі maskesi. aklımızın bir pidcity vardır 255.255.255.0 , gördükten sonra 0.0.0.255 .Sanırım bu kural açıklama gerektirmez? Protokol icmp, adresleri dzherel - pіdmerezh 192.168.0.0/24 , tanınan adresler - ev sahibi 10.0.0.100, uyarı tipi - Eko(Rica etmek). Konuşmadan önce, bunu hatırlamak önemli değil ev sahibi 10.0.0.100 eşit olarak 10.0.0.100 0.0.0.0 Arayüzde .Zastosovuєmo tse kuralı. Yönlendirici(yapılandırma)#int fa0/0
   Router(config-if)#ip access-group INT_IN içinde Şey, belki öyle. Şimdi, pingleri nasıl tersine çevirebiliriz - her şeyin iyi çalıştığını hatırlamak kolaydır. Burada, doğru, saat üçte bir kıymık gibi bir sürprizle karşı karşıyayız. Ben ifşa edene kadar. Kim tahmin ettiyse - aferin!
2. Sunucudan - dahili ağdan gelen tüm yankı isteklerini engelleriz (192.168.0.0/24). INT_OUT adında yeni bir adlandırma kuralı atadık ve onu sunucuya en yakın arayüze değiştiriyoruz.
   Router(config)#ip erişim listesi genişletilmiş INT_OUT
   Yönlendirici(config-ext-nacl)#deny icmp ana bilgisayar 10.0.0.100 192.168.0.0 0.0.0.255 yankı
   Yönlendirici(config-ext-nacl)#exit
   Yönlendirici(yapılandırma)#int fa0/1
   Yönlendirici(config-if)#ip erişim grubu INT_OUT içinde
   Ne soyulduğumuzu açıklayayım. INT_OUT adlarına erişim için bir uzantı listesi oluşturduk, protokolü engelledik. icmp tipi ile Eko ev sahibinden 10.0.0.100 pіdmerezhu üzerinde 192.168.0.0/24 giriş arayüzünde takılı kaldı fa0/1, o zamanlar. sunucuya en yakın göndermeye çalışıyorum ping atmak sunucudan.
   SUNUCU>ping 192.168.0.11
   32 bayt veri ile 192.168.0.11'e ping atmak:
   
   10.0.0.1'den yanıt: Hedef ana bilgisayara ulaşılamıyor.
   10.0.0.1'den yanıt: Hedef ana bilgisayara ulaşılamıyor.
   10.0.0.1'den yanıt: Hedef ana bilgisayara ulaşılamıyor.
   192.168.0.11 için ping istatistikleri:
   Paketler: Gönderilen = 4, Alınan = 0, Kayıp = 4 (%100 kayıp)
   Bir sonraki gibi çalıştı. Ping göndermeyi bilmeyenler için - örneğin sunucular gibi bizi aramak için düğümlere tıklayın. Masaüstü sekmesine (Çalışma stili) gidin, orada Komut İstemi (Komut satırı). Ve şimdi çok komik bir şaka. İlk nokta gibi ana bilgisayardan ping yapmayı deneyin. PC>ping 10.0.0.100
   32 bayt veri ile 10.0.0.100 ping işlemi:
   İstek zaman aşımına uğradı.
   İstek zaman aşımına uğradı.
   İstek zaman aşımına uğradı.
   İstek zaman aşımına uğradı.

   Seni bir kez balta. Her şey harika çalıştı! Neden durdu? Şaşırtıcı bir sürpriz. Sorunun ne olduğunu açıklayayım. Yani, ilk kural hiçbir yere gitmedi. Etkili bir şekilde sunucu vuzol'e yankı göndermenize izin verir. Ale de eko-incelemelerin geçişine izin verdi mi? Yogo bilmiyor! Bir istek istiyoruz ama bir isteği kabul edemiyoruz! Neden her şey daha önce çalıştı? O zaman arayüzde ACL yoktu fa0/1. ACL yoksa, her şeye izin verilir. icmp-seslerinin alınmasına izin vermek için bir kural oluşturmanız gerekecek.

   Dodamo'dan INT_OUT listesine

   Bu dodamo i INT_IN listesine.

   Router(config-ext-nacl)#permit icmp host 10.0.0.100 192.168.0.0 0.0.0.255 echo-cevap

   Eksen şimdi prichepitisya değil. Her şey harika gidiyor!

3. *.11 düğümünden sunucuya WEB erişimine izin verilir.Aynısını yapın! Burada, 4. seviyenin (TCP, UDP) protokollerini takip ettikleri için bir üçlü asalet gereklidir. İstemci bağlantı noktası 1024'ten fazla ve hizmete yönelik sunucu bağlantı noktası olarak seçilmiştir. WEB için - 80 numaralı bağlantı noktası (http protokolü). Peki ya WEB sunucu sürücüsü? Perde arkasında, WEB servisi sunucuda zaten kuruludur, düğümün ayarlarına bakabilirsiniz. Saygı gösterin ki bir kene olsun. Ve herhangi bir düğümün "Masaüstü"ndeki "Web Tarayıcısı" kısayolunu seçerek sunucuya bağlanabilirsiniz. Zvichayno, aynı zamanda erişim olmayacak. Yönlendirici arayüzlerimizdeki parçalar ACL'leri asar ve bunlarda erişim için herhangi bir kural yoktur. Pekala, hadi yapalım. INT_IN erişim listesine (arayüzde bulunan) fa0/0) kuralı ekleyin: Router(config-ext-nacl)#permit tcp host 192.168.0.11 gt 1024 host 10.0.0.100 eq 80 Düğümümüzden (önceki port, > 1024) sunucu adresine, porta TCP protokolüne izin vermek için.

   І, razumіlo, zvorotne kuralı, INT_OUT listesine (arayüzde olan) fa0/1):

   Router(config-ext-nacl)#permit tcp host 10.0.0.100 eq 80 host 192.168.0.11 kuruldu

   buna izin verilir TCP limandan 80 sunucu başına sunucu *.11 , ve z'ednannya zaten kurulabilir! değiştirebilirsiniz kurulmuş böyle söyle gt1024, pratsyuvati çok çok iyi olacak. Ale sens trochi inshiy.

   Yorumlarda tavsiye verin, ne güvende olacaksınız?

4. *.13 düğümünden sunucuya FTP erişimine izin verilir. Kesinlikle katlanabilir bir şey yok! FTP protokolü ile birlikte nasıl çalışacağı seçilir. ACL'nin kesin (keskin nişancı) kuralları oluşturulduğunda parçaları daha da iyi olan robotların ve çeşitli protokollerin geleceğine bir dizi makale ayırmayı planlıyorum. Şimdilik: Dії sunucu ve istemci:+ İstemci bir çağrı yüklemeye çalışır ve sunucunun 21. bağlantı noktasındaki paketi (robotun pasif modda çalışacağı mesajını içeren) X bağlantı noktasından (X > 1024, farklı bir bağlantı noktası) geçersiz kılar Veri kanalı Y (Y > 1024) TCP paket başlığından çıkarılmış, X istemci bağlantı noktasına. Öyle gibi. Kulağa hoş geliyor ama büyümek daha gerekli! Kuralları INT_IN listesine ekliyoruz:

   tcp ana bilgisayarına izin ver 192.168.0.13 gt 1024 ana bilgisayar 10.0.0.100 eq 21
   tcp ana bilgisayarına izin ver 192.168.0.13 gt 1024 ana bilgisayar 10.0.0.100 gt 1024

   Ve INT_OUT listesine kuralları ekliyoruz:

   tcp ana bilgisayarına izin ver 10.0.0.100 eq ftp ana bilgisayarı 192.168.0.13 gt 1024
   tcp ana bilgisayarına izin ver 10.0.0.100 gt 1024 ana bilgisayar 192.168.0.13 gt 1024

   Ekip tarafından komut satırından doğrulayın ftp 10.0.0.100, oblіkovymi danimi için yetkiyi kaldır cisco: cisco(sunucudan alınmış) komutu oraya giriyoruz yön Ve verilen komutların başarıyla iletilmesi daha iyidir.

Eksen yaklaşık olarak ve genişletilmiş erişim listesine değer olan her şeydir.

Yine, kurallarımıza bakın:

Yönlendirici#sh erişimi
Genişletilmiş IP erişim listesi INT_IN
icmp'ye izin ver 192.168.0.0 0.0.0.255 ana bilgisayar 10.0.0.100 yankı (17 eşleşme(ler))
icmp ana bilgisayarına izin ver 10.0.0.100 192.168.0.0 0.0.0.255 yankı yanıtı
tcp ana bilgisayarına izin ver 192.168.0.11 gt 1024 ana bilgisayar 10.0.0.100 eq www (36 eşleşme)
tcp ana bilgisayarına izin ver 192.168.0.13 gt 1024 ana bilgisayar 10.0.0.100 eq ftp (40 eşleşme)
tcp ana bilgisayarına izin ver 192.168.0.13 gt 1024 ana bilgisayar 10.0.0.100 gt 1024 (4 eşleşme(ler))
Genişletilmiş IP erişim listesi INT_OUT
icmp ana bilgisayarını reddet 10.0.0.100 192.168.0.0 0.0.0.255 yankı (4 eşleşme(ler))
icmp ana bilgisayarına izin ver 10.0.0.100 192.168.0.0 0.0.0.255 yankı yanıtı (4 eşleşme(ler))
tcp ana bilgisayarına izin ver 10.0.0.100 eq www ana bilgisayar 192.168.0.11 kuruldu (3 eşleşme(ler))
tcp ana bilgisayarına izin ver 10.0.0.100 eq ftp ana bilgisayarı 192.168.0.13 gt 1024 (16 eşleşme(ler))
tcp ana bilgisayarına izin ver 10.0.0.100 gt 1024 ana bilgisayar 192.168.0.13 gt 1024 (3 eşleşme(ler))

Bilgisayar pidini nasıl yapılandırabilirim keruvannyam Windows 2000/XP/2003, Ping paketlerini engelliyor mu? Windows 2000/XP/2003, IPSec (IP Güvenliği) adı verilen bir IP güvenlik mekanizması sunabilir. IPSec, bir ağ üzerinden iletilirken tek tek TCP / IP paketlerinin korunması için ayrılan bir protokoldür.

Ancak, IPsec eklentisinin işlevselliği, şifreleme parçaları gibi ayrıntılara girmeyeceğiz, IPSec ayrıca sunucunuzu veya işletim istasyonunuzu bir güvenlik duvarına benzer bir mekanizma ile koruyabilir.

Tek bir bilgisayarda PING'i engelleme

Bilgisayardan ve yeni bir bilgisayarda tüm PING paketlerini engellemek için, tüm ICMP trafiğini engellemek için bir IPSec ilkesi oluşturmanız gerekir. İlk kez, bilgisayarınızı ICMP isteğinde açın:

Tek bir bilgisayar kurmak için aşağıdaki adımları tamamlamamız gerekiyor:

yapılandırılabilirIP Filtre Listeleri ve Filtre Eylemleri

1. MMC penceresini açın (Başlat > Çalıştır > MMC).
2. IP Güvenliği ve İlke Yönetimi ek bileşenini ekleyin.

1. Viberіt, ne tür bir bilgisayar bude cheruvatisya siyaset tsієyu - bizce tüm yerel bilgisayar. Kapat'a ve ardından Tamam'a basın.

1. MMC konsolunun sol yarısındaki IP Güvenlik Politikalarına sağ tıklayın. IP Filtre Listelerini Yönet ve Eylemleri Filtrele'yi seçin.

1. ICMP için bir IP filtresi yapılandırmanız veya oluşturmanız gerekmez (protokol, bu durumda PING kullanılır), ancak böyle bir filtre zaten kilitleme için kullanılır - Tüm ICMP Trafiği.

Ancak, kaç adet katlanabilir IP filtreniz olduğunu, örneğin bilgisayarınızı gerekli IP'den alacağını ve bunlardan kaç tanesini yapılandırabilirsiniz. IPSec'e adanmış gelecek makalelerden birinde, IP filtrelerinin oluşturulması hakkında rapor veriyoruz, güncellemeleri takip ediyoruz.

1. Filtre Listelerini ve Filtre eylemlerini Yönet penceresinde, filtrelerinizi gözden geçirin ve yine de Filtre Eylemlerini Yönet sekmesine tıklayın. Şimdi şarkı trafiğini engelleyen filtre için bir mesaj eklememiz gerekiyor, Ekle'ye basın.

1. İlk başta vіknі vіknі vіtanny vіtannya Next'i zorluyor.
2. Filtre Eylem Adı alanına Engelle yazın ve İleri'ye basın.

1. Filtre Eylemi Genel Seçenekler için Engelle'yi ve ardından İleri'yi seçin.

1. IP Filtre Listelerini ve Filtre eylemlerini Yönet penceresine geri dönün ve filtrelerinizi gözden geçirin ve diğer her şey varsa Kapat'a tıklayın. Filtreler ekleyebilir ve istediğiniz zaman filtreler ekleyebilirsiniz.

Bir sonraki adım, IPSec politikasını ve її zastosuvannya'yı yapılandırmak olacaktır.

IPSe ilkesini yapılandırma

1. Aynı MMC konsolunda, IP Güvenlik İlkeleri'ne sağ tıklayın ve IP Güvenlik İlkesi Oluştur'u seçin.

1. İleri'ye basarak ustanın karşılamasını atlayın.
2. IP Güvenlik Politikası Adı alanı için geçerli bir ad girin, örneğin “PING Engelle”. İleri'ye basın

1. Güvenli bağlantı isteği için Varsayılan Yanıt Kuralını Etkinleştir onay kutusunun işaretini kaldırın. İleri'ye basın

1. Yetkiyi değiştirmek için onay kutusunu ayarlayın ve Bitir'e tıklayın.

1. Yeni IPSec ilkesine IP filtreleri ve diğer filtreleri eklememiz gerekiyor. Vіknі Yeni politika IPSec Basın Ekle

1. İleri düğmesine basın.
2. Tünel Bitiş Noktasında, seçilen promosyon değerine geçin ve İleri'ye tıklayın.

İşletim sisteminde ping ping'i engellemek, saldırıların ICMP paketlerinin taşmasını önleyebilir ve daha fazla sistem kazanır qiu hizmetiçevrimiçi izleme (sistem izleme). "Unix/Linux'ta Blok Ping (ICMP)" başlığımda, bunu nasıl devre dışı bırakabileceğinizi anlatacağım.

Sunucu sürekli yapıştığı için sunucuda PING'i engellemek doğrudur DOS saldırısı PING işlevinin yardımı için. IPTable'ları kullanırken, sunucuya ICMP paketlerine ping atabiliriz (PING getir). Koçandan önce Linux'ta Iptables olanlar hakkında bilgi sahibi olmak gerekir. Iptables, gelen ve giden paketleri kontrol etmek için bir dizi kurala sahip bir çapraz ekran sistemidir. Iptables'ı kilitlemek için herhangi bir kural olmadan kurallar oluşturabilir, ekleyebilir, düzenleyebilirsiniz.

Ping vicorist ve iptables'ı etkinleştirme

Paketler tarafından ICMP kurallarının oluşturulması için gerekli olan iptables içindeki bazı parametrelerin açıklaması:

C: Kurallar ekleyin.
-D: Tablolardan kuralı göster.
-p: Protokol belirtme seçeneği (de icmp).
-icmp-type: Türü belirtme seçeneği.
-J: Lancet'e atla.

Aşağıda ilk izmaritleri işaret edeceğim.

Pardon hakkında bildirim almak için sunucuda PING nasıl engellenir?
Bu şekilde, Hedef Bağlantı Noktasına Ulaşılamıyor affı hakkında bir uyarı ile PING'yi sık sık engelleyebilirsiniz. PING'in af bildirimlerini göstermesini engellemek için sonraki Iptables kurallarını ekleyin:

# iptables -A INPUT -p icmp --icmp-type echo-request -j REJECT

engellemek sunucuda PINGözür dilemeden.
ІPTables için bu muzaffer takım için:

# iptables -A OUTPUT -p icmp --icmp-type echo-request -j DROP # iptables -A INPUT -p icmp --icmp-type echo-reply -j DROP

Sunucudaki tüm gelen ve giden ICMP paketlerini engelleyin.

iptables aracılığıyla Ping vicorist'e izin ver

Sunucuda ping'i engellediniz ve nasıl geri döneceğinizi bilmiyorsunuz. O zaman size nasıl büyüyeceğinizi hemen söyleyeceğim. Ve savaşmak için, saldırgan kuralı IPtables'a ekleyerek:

# iptables -A INPUT -p icmp --icmp-type echo-request -j KABUL # iptables -A OUTPUT -p icmp --icmp-type echo-reply -j KABUL

Bunlar, ICMP paketlerinin sunucudan yenisine geçişine izin veren kurallardır.

Çekirdek parametreleriyle Ping'i Engelleme

Ayrıca çekirdek parametreleriyle ayrım gözetmeksizin ping'i engelleyebiliriz. Ping timchasovo veya postiyno'da vіdpovіdі'yı engelleyebilirsiniz ve aşağıda bir tse robiti olarak gösterilmiştir.

Zaman Engelleme Ping
Timchasovo vidpovidі'yı ping'de engelleyebilirsiniz, vikoristovuyuchi takıma saldırır

# yankı "1" >

Bu komutun engellemesini kaldırmak için şunu izleyin:

# echo 0 >>proc/sys/net/ipv4/icmp_echo_ignore_all

Zaboroniti Ping vzagalі
ping pіdpovidі dodayuchi engelleyebilirsiniz saldırgan parametre içinde yapılandırma dosyası:

# vim /etc/sysctl.conf

І yaz:

[...] net.ipv4.icmp_echo_ignore_all = 1 [...]

sysctl korsanları, ping saati için çekirdek parametrelerini değiştirir, bu parametrelerden biri ping arka plan programı (ping arka plan programı) olarak ayarlanabilir, ping'i etkinleştirmek istiyorsanız, ping arka plan programını yapmanız yeterlidir:

# sysctl -w net.ipv4.icmp_echo_ignore_all=1

Şimdi makineye ping atmaya çalışın, bununla ilgili günlük rapor yok, neden olmasın? Ping'i yeniden etkinleştirmek için döndürün:

# sysctl -w net.ipv4.icmp_echo_ignore_all=0

W ensign galip geldi, bu yüzden bazı ayarları değiştirmeniz gerekiyor.

Şimdi sistemi yeniden başlatmadan kurulumları rastgele dondurma komutuyla devam edelim:

# sysctl -p

# sysctl --system

Eksen en son yapılandırmam:

# cd /usr/local/src && wget http://website/wp-content/uploads/files/sysctl_conf.txt

ve sonra vikonati yapabilirsiniz:

# cp /usr/local/src/sysctl_conf.txt /etc/sysctl.conf

Benim için “Unix/Linux'ta Blok Ping (ICMP) yanıtları” konusu tamamlandı.