Политики безопасности компании при работе в Интернет
Шрифт:
Настройки безопасности на уровне интерфейса. Для предупреждения использования интерфейса как усилителя при проведении атаки типа «отказ в обслуживании», например smurf, надо отключить маршрутизацию пакетов на broadcast-адpеса. По умолчанию маршрутизатор не пропускает широковещательных сообщений с IP-адресом приемника 255.255.255.255. Для того чтобы ограничить негативное влияние направленных широковещательных сообщений на определенные сети, необходимо использовать эту команду:
no ip directed-broadcast
Чтобы
no ip unreachable
no ip mask-reply
no ip redirect
Для уменьшения проблем, вызываемых пакетами с неправильными или подмененными IP-адресами, а также с исходными IP-адресами, которые не могут быть проверены, используется функция Unicast RPF:
ip cef
interface hssi2/0
ip verify unicast reverse-path
Конфигурирование функции TCP Intercept. Функция TCP Intercept помогает предупредить атаки типа SYN Flood путем прерывания и проверки ТСР-соединений. В режиме Intercept программное обеспечение прерывает пакеты синхронизации TCP SYN от клиентов к серверам, совпадающие с расширенным списком контроля доступа. Осуществляются проверки, и попытки достичь сервер с несуществующих (неотвечающих) компьютеров пресекаются. Включение функции TCP Intercept:
access-list 110 permit tcp any 70.70.70.0 0.0.0.255
ip tcp intercept list 110
Конфигурирование BGP. BGP v. 4 используется для обмена информацией о маршрутизации и политиках с маршрутизаторами интернет-провайдера. Так как уже существуют атаки, направленные против протокола BGP, то необходимо обеспечить надлежащий уровень защиты.
Для защиты используем возможность BGP аутентифицироваться с помощью MD5:
router bgp 5500 (здесь 5500 – номер автономной системы)
neighbor 70.70.1.2 password F!$asB!
ip as-path access-list 30 permit
router bgp 5500
neighbor 70.70.1.2 filter-list 30
Этот фильтр гарантирует, что маршрутизатор сможет принимать трафик только из определенной автономной системы. Также используется список контроля доступа на входящий трафик, разрешающий трафик по TCP 179 только от маршрутизаторов интернет-провайдера.
Маршрут «черная дыра». Для увеличения производительности маршрутизатора при запрещении пакетов с недостижимыми адресами назначения используется статический маршрут в null. Кроме этого данная конфигурация позволит предупредить простейшие атаки типа «отказ в обслуживании». Такая конфигурация стала возможной благодаря тому, что для получения маршрутов используется BGP. Маршрут должен иметь наивысший вес, то есть маршрутизатор никогда не будет запрещать любой легитимный трафик. Также необходимо отключить ICMP Unreachable на null-интерфейсе:
ip route 0.0.0.0 0.0.0.0 null 0 255
interface NullO
no icmp unreachables
Конфигурирование списков контроля доступа. На пограничных маршрутизаторах очень хорошо фильтровать ненужный входящий трафик, уменьшая, таким образом, нагрузку на внешние межсетевые экраны и уменьшая размеры журналов на внутренних устройствах. Пограничные маршрутизаторы также защищают внешние межсетевые экраны.
Для ограничения трафика используются расширенные списки контроля доступа. Используется новая возможность компилирования списков контроля доступа Turbo ACL, которая существенно увеличивает производительность обработки списков контроля доступа. К сожалению, эта функция не работает с рефлексивными списками контроля доступа и с СВАС (Context-Based Access Control). Для включения этой функциональности требуется всего одна команда:
access-list compiled
Сконфигурированы два списка контроля доступа – для входящего и исходящего трафика.
Список контроля доступа для входящего трафика. Блокируется трафик с недействительными адресами, без исходного адреса, направленный на «опасные» порты – NetBIOS, SNMP, TFTP, syslog, направленный в сеть между внешними маршрутизаторами и внешними межсетевыми экранами, направленный на диапазон адресов, используемых для multicast:
no ip extended Ingress
ip access-list extended Ingress
deny ip host any 255.255.255.255
deny ip host 0.0.0.0 any
Сети 70.0.0.0/8 и 90.0.0.0/8 также зарезервированы I ANA, но не включены сюда из-за нашего первоначального предположения:
Блокирование опасного трафика:
deny udp any any range 161 162
deny udp any any eq 69
deny tcp any any range 135 139
deny udp any any range 135 139
deny tcp any any eq 445
deny udp any any eq 514
permit tcp host 70.70.1.2 host 70.70.1.1 eq 79
permit tcp host 90.90.1.2 host 90.90.1.1 eq 79
deny ip any 70.70.70.16 0.0.0.15
permit tcp any 70.70.70.0 0.0.0.255 established
permit udp any 70.70.70.0 0.0.0.255
permit icmp any 70.70.70.0 0.0.0.255 source-quench
deny ip any any