скрытая мощь

АЛЕКСЕЙ ЛУКАЦКИЙ

Спецвыпуск: Хакер, номер #068, стр. 068-062-7

Router(config)# policy-map type access-control fpm_tcp_syn_policy

Router(config-pmap)# description "policy for TCP SYN flood attacks"

Router(config-pmap)# class tcpsynflood

Router(config-pmap-c)# drop

Router(config)# policy-map type access-control fpm_policy

Router(config-pmap)# description "drop tcp syn packets from source address 10.10.10.3"

Router(config-pmap)# class ip_tcp

Router(config-pmap-c)# service-policy fpm_tcp_syn_policy

Router(config)# interface GigabitEthernet 0/1

Router(config-if)# service-policy type access-control input fpm_policy

[Advanced Application Inspection and Control.]

Решения Cisco давно вышли из определения, данного в любом компьютерном словаре термину «маршрутизатор». Например, когда говорят о контроле доступа к защищаемым ресурсам (внешним или внутренним), то обычно первое, что приходит в голову – списки контроля доступа (Access Control List, ACL), существующие в любом маршрутизаторе. Однако, как только заговаривают о контроле прикладного трафика (например, блокировании Instant Messaging или P2P), то все начинают смотреть в сторону отдельных устройств. А ведь в маршрутизаторах Cisco есть и такие функции защиты. И это не только описанный выше Flexible Packet Matching или известный не первый год механизм Network-Based Application Recognition (NBAR). Для контроля того же прикладного трафика можно использовать команду ip inspect.

фрагмент конфигурации для дополнительной проверки популярных протоколов на соответствие политике безопасности

ip inspect name my-ios-fw http

ip inspect name my-ios-fw https

ip inspect name my-ios-fw esmtp

ip inspect name my-ios-fw pop3

ip inspect name my-ios-fw imap3

ip inspect name my-ios-fw dns

ip inspect name my-ios-fw ftp

ip inspect name my-ios-fw ntp

ip inspect name my-ios-fw icmp

Для не столь популярных протоколов ситуация сильно не меняется – надо добавить всего одну команду:

ip port-map user-vnc port tcp 5900

ip inspect name my-ios-fw user-vnc

После этого можно применить данные правила к нужному интерфейсу маршрутизатора:

interface fastethernet 0/1

ip inspect my-ios-fw in

А для инспекции разрешенного трафика, внутри которого может скрываться трафик запрещенный (именно так часто инкапсулируется Instant Messaging или P2P), достаточно использовать команды:

appfw policy-name abuse-control

application http

port-misuse default action reset alarm

ip inspect name my-ios-fw appfw abuse-control

[IP Source Tracker.]

Итак, есть достаточное количество механизмов обнаружения и отражения атак и другой подозрительной активности. Что теперь делать, когда пришел сигнал о попытке несанкционированного доступа? Сидеть, сложа руки, – не совсем правильно :). Надо быстро отследить источник атаки и собрать доказательства его вредоносной деятельности, чтобы разобраться самому или передать дело в руки правоохранительных органов. Особенно важно сделать это при подмене адреса, когда ты не знаешь, с какого интерфейса маршрутизатора пришел вредоносный трафик, и куда двигаться в дальнейшем расследовании. Для решения этой задачи можно использовать механизмы маршрутизаторов Cisco IOS: ACL, NetFlow, uRPF и т.д. Но наиболее эффективный способ — задействование специальной функции IP Source Tracker. Фрагмент конфигурации будет выглядеть следующим образом: