• Обзор программы
• Принцип работы Lan2net
  • Архитектура Lan2net
  • Контроль входящих и транзитных соединений
  • Контроль исходящих соединений
  • Время жизни и обновление текущих IP-соединений
  • Трансляция сетевых адресов (NAT)
• Интерфейс Администратора
  • Запуск
  • Мастер настроек
    • Настройка сетевых соединений
    • Завершение работы мастера
  • Пользователи
    • Работа со списком пользователей
    • Параметры пользователя
    • Статистика
  • Группы пользователей
    • Правила
    • Квоты
    • Локальные адреса
  • Сервисы
    • Сервисы
  • Распределение загрузки канала
    • Регулятор TBF
    • Регулятор DRR
    • Регулятор HTB
  • Соединения
    • Соединения
  • Журнал
    • Журнал
    • Поиск по журналу
  • Мониторинг
    • Мониторинг
  • Параметры
    • Параметры
• Веб сервер
  • Веб сервер
• Клиент
  • Клиент
• Базовая конфигурация
  • Описание базовой конфигурации
• Рекомендации по обеспечению безопасности
  • Антиспуфинг
  • Защита от smurf-атак
• Примеры конфигураций
  • Простые конфигурации
  • Конфигурация с DMZ
• Дополнительно
  • Техническая поддержка
  • Лицензия

Антиспуфинг

Спуфинг - это подделка исходящего IP-адреса. Спуффинг может быть использован злоумышленником для обхода настроек межсетевых экранов, а также для организации DoS-атак по отношению к третьим лицам.

Подробно механизм спуфинг-атак и способы их предотвращения описаны здесь, а также в RFC-2827 и RFC-3013.

Для борьбы со спуфинг-атаками следует, во-первых, скорректировать параметры пользователей, таким образом, чтобы исключить отправку пакетов в Интернет от пользователей с несуществующими IP-адресами. Для этого не следует указывать в параметрах пользователя значение "Любой" для IP-адреса источника. Также следует четко указывать диапазоны IP-адресов, соответствующие реальной конфигурации вашей сети.

Таким образом пользователи вашей локальной сети не смогут совершать спуфинг-атаки внешних ресурсов.

Организация мер по предотвращению использованию вашего шлюза или других компьютеров в вашей сети, как посредников для спуфинг-атаки, выглядет несколько сложнее.Здесь не существует однозначных решений, но можно использовать следущее правило: запрещать прием пакетов на интерфейсе с IP-адресом источника, если на данном интерфейсе пакеты с данного IP-адреса приходить не могут.

Применительно к конфигурации Lan2net NAT Firewall, необходимо помнить, что не следует использовать способ аутентификации "Любой" в параметрах пользователя или сервиса. В противном случае, следует создать специальные запрещающие сервисы с действием "Запретить" и соответствующими диапазонами IP-адресов источника.