NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Teardrop - это атака перекрытия фрагментов. Множество IP-стеков показали неустойчивую работу (чрезмерное истощение ресурсов или сбои), подвергнувшись перекрытию фрагментов. NetDefendOS обеспечивает защиту от атак перекрытия фрагментации. Перекрывающимся фрагментам не разрешено проходить через систему. Teardrop и похожие атаки регистрируются в журналах NetDefendOS как отброшенные пакеты с указанием на правило «IllegalFrags». IP-адрес отправителя может быть подделан. 6.6.5. Атаки Land и LaTierra Атаки Land и LaTierra работают, отправляя пакет компьютеру-жертве и заставляя его отвечать самому себе, что, в свою очередь, генерирует еще один ответ самому себе, и т.д. Это вызовет либо остановку работы компьютера, либо повреждение. Атака осуществляется за счет использования IP-адреса компьютера-жертвы в поле Source и Destination. NetDefendOS обеспечивает защиту от атаки Land, применяя защиту от IP-спуфинга ко всем пакетам. В настройках по умолчанию, NetDefendOS будет просто сравнивать входящие пакеты с содержанием таблицы маршрутизации; если пакет приходит на интерфейс, который отличается от интерфейса, ожидаемого системой, пакет будет отброшен. Атаки Land и LaTierra регистрируются в журналах NetDefendOS как отброшенные пакеты с указанием на правило «AutoAccess» по умолчанию, или, если в настройках содержатся Правила доступа пользователя, с указанием на правило Правило доступа, отбросившее пакет. В данном случае IP-адрес отправителя не представляет интереса, так как он совпадает с IP-адресом получателя. 6.6.6. Атака WinNuke Принцип действия атаки WinNuke заключается в подключении к TCP-службе, которая не умеет обрабатывать «out-of-band» данные (TCP сегменты с набором битов URG), но все же принимает их. Это обычно зацикливает службу, что приводит к потреблению всех ресурсов процессора. Одной из таких служб была NetBIOS через службу TCP/IP на WINDOWS-машинах, которая и дала имя данной сетевой атаке. NetDefendOS обеспечивает защиту двумя способами: • Благодаря использованию политики для входящего трафика количество атак значительно сокращается. Только открытые и публичные службы могут стать жертвами атак. • Удаление по умолчанию битов URG из всех сегментов TCP, проходящих через систему (настраивается через Advanced Settings> TCP> TCPUrg). Как правило, атаки WinNuke регистрируются в журналах NetDefendOS как отброшенные пакеты с указанием на правило, запрещающим попытку соединения. Для соединений, разрешенных в системе, появляется запись категории «TCP» или «DROP» (в зависимости от настройки TCPUrg), с именем правила «TCPUrg». IP-адрес отправителя может быть не поддельным; «троекратное рукопожатие» должно быть полностью выполнено до момента отправки сегментов «out-of-band». 6.6.7. Атаки с эффектом усиления: Smurf, Papasmurf, Fraggle Эта категория атак использует некорректно настроенные сети, которые усиливают поток пакетов и отправляют его на конечный узел. Целью является чрезмерное использование полосы пропускания, 322
потребление всего потенциала Интернет-соединения жертвы. Атакующий с широкой полосой пропускания может не использовать эффект усиления для того, чтобы полностью занять всю полосу пропускания жертвы. Тем не менее, эти атаки позволяют атакующим с меньшей полосой пропускания, чем у жертвы, использовать усиление, чтобы занять полосу пропускания жертвы. • «Smurf» и «Papasmurf» отправляют echo-пакеты ICMP по адресу широковещательной рассылки открытых сетей с несколькими компьютерами, выдавая IP-адрес источника за адрес жертвы. Далее все компьютеры в открытой сети «отвечают» жертве. • «Fraggle» базирауется на «Smurf», но использует echo-пакеты UDP и отправляет их на порт 7. В основном, атака «Fraggle» получает меньше факторов усиления, так как служба echo активирована у небольшого количества хостов в сети Интернет. Атаки Smurf регистрируются в журналах NetDefendOS как множество отброшенных пакетов ICMP Echo Reply. Для перегрузки сетей используется поддельный IP-адрес. Также атаки Fraggle отображаются в журналах NetDefendOS как большое количество отброшенных пакетов (или разрешенных пакетов в зависимости от политики). Для перегрузки сетей используется поддельный IP-адрес. В настройках по умолчанию, NetDefendOS отбрасывает пакеты, отправленные по адресу широковещательной рассылки усиливающей сети (настраивается через Advanced Settings > IP > DirectedBroadcasts). С точки зрения политики для входящего трафика, любая незащищенная сеть может также стать усиливающией. Защита на стороне компьютера-жертвы Smurf и похожие атаки являются атаками, расходующими ресурсы, так как они используют потенциал Интернет-соединения. В общем случае, межсетевой экран представляет собой «узкое место» в сети и не может обеспечить достаточную защиту против этого типа атак. Когда пакеты доходят до межсетевого экрана, ущерб уже нанесен. Тем не менее, система NetDefendOS может помочь в снятии нагрузки с внутренних серверов, делая их доступными для внутренней службы, или, возможно, службы через вторичное Интернетсоединение, которое не является целью атаки. • Типы flood-атак Smurf и Papasmurf будут рассматриваться как ответы ICMP Echo на стороне жертвы. Пока используются правила FwdFast, таким пакетам не будет разрешено инициировать новые соединения, независимо от того, существуют ли правила, разрешающие прохождение пакетов. • Пакеты Fraggle могут прийти на любой UDP-порт назначения, который является мишенью атакующего. В этой ситуации может помочь увеличение ограничений в наборе правил. Встроенная функция Traffic Shaping также помогает справляться с некоторыми flood-атаками на защищенные серверы. 6.6.8. Атаки TCP SYN Flood Принцип работы атак TCP SYN Flood заключается в отправке большого количества пакетов TCP SYN на указанный порт и игнорировании пакетов SYN ACK, отправленных в ответ. Это позволит ограничить локальные ресурсы TCP-стека на Web-сервере жертвы, таким образом, что он не сможет ответить на большое количество пакетов SYN, пока не истечет определенный таймаут существующих полуоткрытых соединений. Система NetDefendOS обеспечивает защиту от flood-атак TCP SYN, если опция SYN Flood Protection активирована в объекте службы, связанным с правилом в наборе IP-правил. Опция также иногда упоминается как SYN Relay. Защита от flood-атак включается автоматически в предварительно определенных службах http-in, https-in, smtp-in и ssh-in. Если новый пользовательский объект службы определяется администратором, то опция защиты от flood-атак может быть включена или отключена по желанию. 323
- Page 271 and 272: в IP-сетях. Стандарт
- Page 273 and 274: определенном сцена
- Page 275 and 276: • Destination Interface: core •
- Page 277 and 278: • Source Network: lannet • Dest
- Page 279 and 280: 2. Введите: • Name: H323In
- Page 281 and 282: Привратник H.323 расп
- Page 283 and 284: 3. Нажмите OK Пример 6
- Page 285 and 286: банковским услугам
- Page 287 and 288: Шифровка, поддержи
- Page 289 and 290: Web-интерфейс 1. Зайд
- Page 291 and 292: 7. Нажмите OK Продолж
- Page 293 and 294: отдельная подписка
- Page 295 and 296: и поможет избежать
- Page 297 and 298: 4. С этого момента п
- Page 299 and 300: Категория 10: Игры Web
- Page 301 and 302: Категория 22: Клубы
- Page 303 and 304: Пример 6.18. Отправка
- Page 305 and 306: 6.4.2. Реализация Пот
- Page 307 and 308: 6.4.6. Функции Антиви
- Page 309 and 310: коммутаторах, так к
- Page 311 and 312: 6.5.2. Система IDP и уст
- Page 313 and 314: 3. Это изменение нас
- Page 315 and 316: NetDefendOS автоматичес
- Page 317 and 318: Списки групп IDP Спи
- Page 319 and 320: Правила IDP: 1. Зайдит
- Page 321: от атак DoS. 6.6.2. Меха
- Page 325 and 326: 6.7. «Черный список»
- Page 327 and 328: Глава 7. Преобразов
- Page 329 and 330: пулы». IP-адрес исто
- Page 331 and 332: 4. Удостоверьтесь, ч
- Page 333 and 334: ситуации, когда мно
- Page 335 and 336: 7.4. SAT 2. Затем введит
- Page 337 and 338: Рисунок 7.4. Роль зон
- Page 339 and 340: • Service: http • Source Interf
- Page 341 and 342: 10.0.0.3:1038 => 195.55.66.77:80
- Page 343 and 344: Создайте соответст
- Page 345 and 346: • При обращении к п
- Page 347 and 348: Изменить сложившую
- Page 349 and 350: • Создать IP-правил
- Page 351 and 352: Система NetDefendOS може
- Page 353 and 354: значение SAMAccountName (в
- Page 355 and 356: Аутентификация LDAP-
- Page 357 and 358: (на большинстве LDAP-
- Page 359 and 360: • Terminator IP Терминир
- Page 361 and 362: # Действие Интерфей
- Page 363 and 364: 3. Нажмите OK 4. Повто
- Page 365 and 366: LoginSuccess, а затем - на
- Page 367 and 368: Глава 9. VPN В данной
- Page 369 and 370: клиенты и филиалы о
- Page 371 and 372: • Укажите IP-правил
потребление всего потенциала Интернет-соединения жертвы. Атакующий с широкой полосой<br />
пропускания может не использовать эффект усиления для того, чтобы полностью занять всю полосу<br />
пропускания жертвы. Тем не менее, эти атаки позволяют атакующим с меньшей полосой<br />
пропускания, чем у жертвы, использовать усиление, чтобы занять полосу пропускания жертвы.<br />
• «Smurf» и «Papasmurf» отправляют echo-пакеты ICMP по адресу широковещательной рассылки<br />
открытых сетей с несколькими компьютерами, выдавая IP-адрес источника за адрес жертвы. Далее<br />
все компьютеры в открытой сети «отвечают» жертве.<br />
• «Fraggle» базирауется на «Smurf», но использует echo-пакеты UDP и отправляет их на порт 7. В<br />
основном, атака «Fraggle» получает меньше факторов усиления, так как служба echo активирована у<br />
небольшого количества хостов в сети Интернет.<br />
Атаки Smurf регистрируются в журналах NetDefendOS как множество отброшенных пакетов ICMP<br />
Echo Reply. Для перегрузки сетей используется поддельный IP-адрес. Также атаки Fraggle<br />
отображаются в журналах NetDefendOS как большое количество отброшенных пакетов (или<br />
разрешенных пакетов в зависимости от политики). Для перегрузки сетей используется поддельный<br />
IP-адрес.<br />
В настройках по умолчанию, NetDefendOS отбрасывает пакеты, отправленные по адресу<br />
широковещательной рассылки усиливающей сети (настраивается через Advanced Settings > IP ><br />
DirectedBroadcasts). С точки зрения политики для входящего трафика, любая незащищенная сеть<br />
может также стать усиливающией.<br />
Защита на стороне компьютера-жертвы<br />
Smurf и похожие атаки являются атаками, расходующими ресурсы, так как они используют<br />
потенциал Интернет-соединения. В общем случае, межсетевой экран представляет собой «узкое<br />
место» в сети и не может обеспечить достаточную защиту против этого типа атак. Когда пакеты<br />
доходят до межсетевого экрана, ущерб уже нанесен.<br />
Тем не менее, система NetDefendOS может помочь в снятии нагрузки с внутренних серверов, делая<br />
их доступными для внутренней службы, или, возможно, службы через вторичное Интернетсоединение,<br />
которое не является целью атаки.<br />
• Типы flood-атак Smurf и Papasmurf будут рассматриваться как ответы ICMP Echo на стороне<br />
жертвы. Пока используются правила FwdFast, таким пакетам не будет разрешено инициировать<br />
новые соединения, независимо от того, существуют ли правила, разрешающие прохождение пакетов.<br />
• Пакеты Fraggle могут прийти на любой UDP-порт назначения, который является мишенью<br />
атакующего. В этой ситуации может помочь увеличение ограничений в наборе правил.<br />
Встроенная функция Traffic Shaping также помогает справляться с некоторыми flood-атаками на<br />
защищенные серверы.<br />
6.6.8. Атаки TCP SYN Flood<br />
Принцип работы атак TCP SYN Flood заключается в отправке большого количества пакетов TCP<br />
SYN на указанный порт и игнорировании пакетов SYN ACK, отправленных в ответ. Это позволит<br />
ограничить локальные ресурсы TCP-стека на Web-сервере жертвы, таким образом, что он не сможет<br />
ответить на большое количество пакетов SYN, пока не истечет определенный таймаут<br />
существующих полуоткрытых соединений.<br />
Система NetDefendOS обеспечивает защиту от flood-атак TCP SYN, если опция SYN Flood Protection<br />
активирована в объекте службы, связанным с правилом в наборе IP-правил. Опция также иногда<br />
упоминается как SYN Relay.<br />
Защита от flood-атак включается автоматически в предварительно определенных службах http-in,<br />
https-in, smtp-in и ssh-in. Если новый пользовательский объект службы определяется<br />
администратором, то опция защиты от flood-атак может быть включена или отключена по желанию.<br />
323