|
АнтиспуфингСпуфинг - это подделка исходящего IP-адреса. Спуффинг может быть использован злоумышленником для обхода настроек межсетевых экранов, а также для организации DoS-атак по отношению к третьим лицам. Подробно механизм спуфинг-атак и способы их предотвращения описаны здесь, а также в RFC-2827 и RFC-3013. Для борьбы со спуфинг-атаками следует, во-первых, скорректировать параметры пользователей, таким образом, чтобы исключить отправку пакетов в Интернет от пользователей с несуществующими IP-адресами. Для этого не следует указывать в параметрах пользователя значение "Любой" для IP-адреса источника. Также следует четко указывать диапазоны IP-адресов, соответствующие реальной конфигурации вашей сети. Таким образом пользователи вашей локальной сети не смогут совершать спуфинг-атаки внешних ресурсов. Организация мер по предотвращению использованию вашего шлюза или других компьютеров в вашей сети, как посредников для спуфинг-атаки, выглядет несколько сложнее.Здесь не существует однозначных решений, но можно использовать следущее правило: запрещать прием пакетов на интерфейсе с IP-адресом источника, если на данном интерфейсе пакеты с данного IP-адреса приходить не могут. Применительно к конфигурации Lan2net NAT Firewall, необходимо помнить, что не следует использовать способ аутентификации "Любой" в параметрах пользователя или сервиса. В противном случае, следует создать специальные запрещающие сервисы с действием "Запретить" и соответствующими диапазонами IP-адресов источника. |