Пограничная застава
В наше время вряд ли кому-то стоит объяснять, что такое DoS (DDoS)-атаки. Согласно сообщению Stefaan Pouseele в его блоге, подавляющее большинство атак подобного рода можно предотвратить, создав всего пять правил фильтрации в конфигурации пограничного маршрутизатора. Первые два правила блокируют spoofing-пакеты, приходящие как из внешней, так и из внутренней сети. Следующее правило отвечает за фильтрацию пакетов частных адресных пространств и пространства адресов APIPA. Четвертое блокирует source-routed трафик. Последнее же «спасает» от фрагментированных пакетов.
Однозначно рекомендовать создавать пятое правило я бы не стал, так как при фильтрации фрагментированных пакетов станет невозможно использовать IPSec VPN. IPSec использует протокол IKE (Internet Key Exchange) для согласования параметров безопасности (Security Associations) между конечными точками туннеля. В свою очередь IKE-пакеты всегда фрагментируются по причине большой длины (равной длине ключей).
Related Posts
No related posts were found, so here's a consolation prize: Установка Active Directory Rights Management Services (AD RMS).
Последние комментарии