2020-04-12
261
Для затруднения действий злоумышленников при определении конфигурации сети необходимо запретить объявление «закрытых» сетей в обновлениях маршрутной информации.
Решение этой задачи состоит из следующих этапов:
1. Формирование списка доступа, запрещающего заданные сети.
2. Применение этого списка в подрежиме конфигурации протокола маршрутизации к исходящему интерфейсу.
Настройка запрета обработки маршрутов, указанных в обновлениях
Кроме запрета отправления маршрутной информации, необходимо еще запретить обработку обновлений маршрутов, которые могут оказаться фиктивными. Надо установить список доступа, который разрешает использовать обновления маршрутизации, исходящие только от маршрутизаторов сети, информация о которых имеется в таблице маршрутизации данного маршрутизатора.
Для обеспечения этого необходимо:
1. Сформировать список доступа разрешающий получение обновлений от надежного внешнего источника.
2. Применение этого списка в подрежиме конфигурации протокола маршрутизации к входящему интерфейсу.
|
|
|
Замечание. Протоколы маршрутизации OSPF и IS-IS эту функцию не поддерживают.
Настройка фильтрации входящего сетевого трафика.
Для предотвращения атак с использованием фальсифицированных внутренних адресов сети необходимо настроить маршрутизатор так, чтобы он не принимал на внешний интерфейс пакеты с адресами от внутренних источников. Кроме этого можно запретить адреса из диапазонов 10., 172.16 – 31, 192.168.
Но при этом необходимо разрешить трафик для внутренних сетей, если он был инициирован из самой сети (протокол TCP). Если в строке списка доступа установить опцию established, то заголовки пакетов TCP будут проверяться по битам ACK и RST.
Технология защиты ААА
