Защити свою локалку

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #042, стр. 042-088-7

Одним из таких примеров служит подмена IP-адреса с одновременной подменой MAC-адреса - у абонентов появляются "двойники". Это легко осуществимо, если в биллинге отсутствует возможность отключения интернета самим пользователем, либо когда пользователь забывает отключить интернет и уходит из дома. В этом случае спасают только свитчи с жесткой привязкой MAC-адресов к портам. Но если на каждый подъезд ставить - сплошное разорение.

От воровства чужого трафика спасает технология VPN. Данные между сервером и клиентом будут пересылаться в шифрованном виде, и своровать трафик возможно, только узнав логин и пароль. При применении технологии VPN сниферы трафика не дают никаких результатов. VPN - наш выбор :).

> Чернобров Павел, директор компании ATLEX.Ru

Многое зависит от общего уровня подключенной аудитории. Школьники/студенты и начинающие хакеры/ламеры иногда пытаются несанкционированно подменять IP-адреса, использовать чужой трафик и сканировать трафик внутри сегмента. Защищаться можно при грамотном построении сети и хорошо налаженной системе безопасности/мониторинга. А для этого нужны хорошие специалисты в команде.

Как защищают свою сеть от различных атак администраторы московских провайдеров

> ИнфоЦентр (www.infocentr.ru), Куликов Андрей

На серверах стоит специальное ПО, позволяющее отслеживать всплески трафика, количество пакетов, тип используемых портов, протоколы и т.д. Если что-то не в порядке, срабатывает сигнализация дежурному админу, который принимает необходимые меры вплоть до закрытия канала, с которого происходит атака. Все внутренние игровые и прочие ресурсы закрыты для внешних сетей. Несанкционированное подключение к узлам сети ничего не даст, поскольку мы используем только управляющие свитчи с привязкой MAC-адреса к каждому порту. Для защиты своих серверов используем Portcentry (и прочее Линуксовое ПО) и отсутствие маршрутизации для клиентов сети на бэкбонные маршрутизаторы. Мы не используем Windows-серверы, а пользователям рекомендуем и устанавливаем по желанию клиента NIS. Во всей сети сниф невозможен. Если хакер слушает свой сегмент, то против этого на шлюзах стоит специальное ПО (видны попытки смены MAC’ов, сканирование портов и прочее), на почту стоит TSL-соединение, на статистику - SSL, по желанию клиента VPN.

После злодеяния взломщик сдается в милицию (наблюдают недельку с ведением логов действий, а потом "маски-шоу"). Обычно родители расплачиваются в полном объеме за своих чад, лишают их интернета и заминают дело...

> Awax-Telecom (www.awax.ru), Владимир Хариненков

От DDoS-атак помогает фильтрация подсетей, с которых идет атака, закрытие доступа к сервисам, которые атакуются (как у нас, так и на аплинках). Мы используем только управляющее оборудование и дополнительные средства авторизации - подмена реквизитов у нас практически невозможна. Доступ к активному оборудованию ограничен. Используются ящики, которые проще разрезать болгаркой пополам, чем вскрыть (они на сигнализации). Доступ к серверам (кроме сервисов общего пользования) разрешен только с определенного VLAN’a. Между подсетями зафильтрован 135 порт на каталисте (внутри сегмента - дело рук самих пользователей). Сниф маловероятен, так как используются только управляющие коммутаторы.