Защити свою локалку

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #042, стр. 042-088-6

Внешние неприятности

Помимо внутренних взломов, не забывай и о внешних атаках. Они могут выйти боком, поскольку нередко гость-злоумышленник интересуется структурой твоих серверов. И он может быть на порядок умнее всех твоих клиентов. В этом случае хакер способен зарутать внешние (а затем и локальные) машины либо выполнить DDoS-атаку.

Защита своих машин реализуется установкой файрвола либо при помощи фильтра на "железках" Cisco. Тут нет ничего хитрого. Интереснее с защитой от DDoS-атак. Такие нападения могут производиться с одного или нескольких хостов глобальной сети, где канал в десятки раз превышает размер твоего канала. После такого флуда твой линк успешно повянет, а юзеры останутся без инета. Я не сказал, что весь нагнанный трафик придется оплачивать? Пусть это будет для тебя приятным сюрпризом :).

Чтобы избежать таких серьезных атак, во-первых, настрой брандмауэр на запрет (особенно по протоколу UDP и ICMP). Поставь какой-либо контроллер трафика, например SNORT. Когда DDoS происходит часто, попроси вышестоящего провайдера прописать на своем файрволе запрет всех входящих пакетов с хостов атакующего. В этом случае ты освободишь себя от оплаты левых пакетов. Также отпиши в abuse своего провайдера, они должны разобраться в этой ситуации (прекращение атаки в их интересах). И, к сожалению, от крупной DDoS-атаки защиты не существует, доказано глобальными стихийными бедствиями в интернете.

Мнение специалистов

> Ивашкевич Сергей, генеральный директор "Старлинк" (www.starlink.ru)

Любопытные есть везде, локальная сеть – не исключение. Начинающие "хакеры", школьники, обиженные на жизнь и сеть, головастые студенты, принципиальные "эксперты" по сетевой безопасности – самая разношерстная публика, которая пытается воспользоваться чужим трафиком, подобрать пароль к почтовому ящику соседки, перехватить канал на irc, просканировать порты "террориста", убившего его вчера вечером в Counter Strike :).

Понятно, что защищенных на 100% систем не бывает. Как скоро система будет взломана – вопрос времени, поэтому основная задача – максимально усложнить взлом той или иной части системы. К примеру, для доступа в интернет ввести VPN (оптимальный вариант по соотношению простота/секретность), для доступа к почтовому ящику и статистике – авторизацию через SSL.

Не помешает:

- избавить пользователя от какого-либо участия в настройках доступа к сети, лишив соблазна подставлять другие цифры;

- использовать разные пароли для авторизации доступа к интернету, почте и статистике;

- ввести систему наблюдения за подменой IP и MAC-адресов (например, arpwatch);

- "прилюдно наказывать" (сообщать об этом всем пользователям), расторгать договоры и отключать провинившихся, так как ущерб от взлома системы может превзойти все возможные доходы.

> Сосунов Роман, системный администратор "Митино-он-Лайн" (www.mitino.com)

Рано или поздно у кого-нибудь возникает желание провести эксперимент или найти брешь в системе безопасности. Системный администратор должен заранее построить надежную "линию обороны". Однако есть некоторые нюансы, бороться с которыми без соответствующего (и очень дорогого) оборудования бесполезно.