4.10.1. Фильтрация пакетов
4.10.1. Фильтрация пакетов
Итак, основной, но не единственной задачей сетевого экрана является фильтрация пакетов. В Linux уже встроен Firewall, и вам его не надо устанавливать отдельно. Точнее сказать, их даже два: iptables и ipchains. Они позволяют контролировать трафик, который проходит сквозь компьютер по протоколам TCP (Transmission Control Protocol, протокол управления передачей), UDP (User Data Protocol, пользовательский протокол данных) и ICMP (Internet Control Message Protocol, протокол управляющих сообщений в сети Интернет). Так как TCP является транспортом для всех основных протоколов Интернета: FTP (File Transfer Protocol, протокол передачи файлов), HTTP (Hypertext Transfer Protocol, протокол передачи гипертекстовых файлов), POP3 (Post Office Protocol, почтовый протокол) и др., то фильтрация TCP позволяет защищать все эти сервисы.
Все запросы, которые поступают из Интернета или направляются туда, проходят через сетевой экран, который проверяет их по внутренним правилам. И если соответствие установлено, то пакет пропускается. Если какой-либо параметр нарушает хотя бы одно правило, то пакет может быть удален:
? без предупреждений (deny, запрет);
? с посылкой на компьютер отправителя сообщения об ошибке (reject, отклонение).
Я бы не выбирал последний вариант, потому что незачем направлять хакеру лишние пакеты. Лучше оставить действие без внимания, и злоумышленник будет думать, что сервис просто недоступен. Но в этом случае легальные пользователи могут ощутить неудобства при наличии просчета в конфигурировании сетевого экрана. Допустим, что вы по ошибке заблокировали доступ к 80 порту. Если пользователь обратится к Web-серверу, то программа, не получив ответа о запрете, будет находиться в состоянии ожидания до истечения Timeout. Для некоторых программ это значение может быть бесконечным, и они зависнут. Исправив ошибку в сетевом экране, вы дадите возможность пользователям работать корректно.
К тому же, отправка сообщений с ошибками идет по протоколу ICMP и увеличивает трафик. Хакер может использовать эти особенности для реализации атаки "Отказ от обслуживания" и переполнить ваш канал ненужными ответами. Атака DoS может быть направлена не только на трафик. Хакеру достаточно в цикле запускать запросы на установку соединения с запрещенным портом, а ваш компьютер будет тратить ресурсы на проверку пакетов и отправку ICMP-ответов. Если пакеты будут идти слишком часто, то сервер может не справиться с нагрузкой и перестанет отвечать на запросы авторизованных пользователей.
При настройке правил можно использовать два варианта фильтра:
1. Разрешено все, что не запрещено.
2. Запрещено все, что не разрешено.
Наиболее безопасным методом является второй, потому что всегда следует отталкиваться от запрета. Изначально необходимо запретить абсолютно все, а потом по мере надобности открывать доступ определенным пользователям и к обусловленным сервисам. Именно этой политики вы должны придерживаться, когда настраиваете правила для входящих пакетов.
Если двигаться от разрешения, то по умолчанию все позволено. Администратор может забыть или просто не закрыть некий доступ и увидеть свою ошибку только после того, как злоумышленник проникнет в систему.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКДанный текст является ознакомительным фрагментом.
Читайте также
Фильтрация
Фильтрация Система позволяет фильтровать объекты по одному или нескольким признакам. Для этого щелкните кнопкой мыши на стрелке заголовка интересующего вас столбца и отметьте флажками категории, соответствующие условию отбора. Выполните эту же операцию для другого
Фильтрация сообщений
Фильтрация сообщений Leafnode позволяет удалять сообщения, соответствующие определенным критериям. Решение об удалении принимается исходя из информации, содержащейся в заголовке сообщения. Предположим, например, что в статьях, получаемых от пользователя obnoxious@annoying.com
14.3.5. Фильтрация фрагментированных бомб
14.3.5. Фильтрация фрагментированных бомб Иногда возникает такая ситуация, когда на машину приходят не все фрагменты. Такое бывает при очень большом количестве фрагментов. Обычно при использовании ОС Linux данная проблема вообще отпадает, но все-таки некоторые
19.6.6. Фильтрация по отдельным пользователям
19.6.6. Фильтрация по отдельным пользователям Если IPChains умел отфильтровывать только пакеты, исходящие от определенного компьютера, то теперь мы можем выделять пакеты отдельных пользователей. Для этого предназначены следующие критерии, которые могут использоваться только
Фильтрация по IP-адресам
Фильтрация по IP-адресам Прежде всего, научимся настраивать фильтрацию по IP-адресам. Для того чтобы эта опция стала доступной, нам нужно поставить флажок Use IP filter (Использовать IP-фильтр). Теперь с помощью кнопок Add (Добавить) и Remove (Убрать) можно добавлять и убирать IP-адреса
8.6. Фильтрация MAC-адресов
8.6. Фильтрация MAC-адресов В качестве дополнительного барьера можно указать список MAC-адресов сетевых адаптеров компьютеров, которые смогут получить доступ к вашему маршрутизатору. Нужно отметить, что фильтрация MAC-адресов не обеспечивает надежной защиты. Опытный
Сортировка, фильтрация и поиск
Сортировка, фильтрация и поиск Довольно часто возникают ситуации, когда нужно отсортировать список по возрастанию или убыванию параметра в одном из его столбцов. Давайте-ка откроем нашу табличку с прибылью от продажи косметики (см. рис. 2.25). Ее можно отсортировать по
5.5 Фильтрация и синтез изображений
5.5 Фильтрация и синтез изображений Основной прием автоматизированной обработки изображений — фильтрация их целиком, либо выделенных в них областей. Большая часть упомянутых внешних модулей реализует именно функцию фильтрации. Среди наиболее важных в практической
Фильтрация слоев
Фильтрация слоев Иногда требуется, чтобы в списке имеющихся слоев Диспетчера свойств слоев Layer Properties Manager перечислялись только определенные слои. Для указания выводимых в список слоев используется функция фильтрации. Фильтрация слоев может производиться по следующим
Фильтрация
Фильтрация Множества узлов, которые получаются в результате вычисления выражений, можно фильтровать — то есть выбирать из них узлы, удовлетворяющие заданным свойствам подобно тому, как это делалось предикатами в шагах выборки.В выражениях множества узлов могут также
Фильтрация текста
Фильтрация текста Во второй части дается подробный обзор важнейших инструментов фильтрации текста. Фильтрация может выполняться в разное время: до того как данные поступят на вход сценария, в процессе выполнения сценария и при выводе текста на экран.В отдельных главах
5.2.9. Сортировка и Фильтрация
5.2.9. Сортировка и Фильтрация Для сортировки всей таблицы и отдельных строк приложение Numbers предлагает два инструмента:? команды Sort Ascending (Сортировать по возрастанию) и Sort Descending (Сортировать по убыванию), находящиеся в списке заголовка любого столбца;? раздел Sort (Сортировка)
Фильтрация
Фильтрация В режиме фильтрации вы можете выбрать для просмотра только одну или несколько групп файлов, которые отвечают определенным условиям. Для этого щелкните кнопкой мыши на стрелке справа от нужного заголовка и установите флажки возле названий интересующих вас