Vitajte na [www.pocitac.win] Pripojiť k domovskej stránke Obľúbené stránky
1. Implicitné poprieť: Toto je * najdôležitejšie * nastavenie. Predvolená politika by mala byť vždy na popieranie všetkého prenosu, ktorý nie je výslovne povolený. To bráni neznámemu alebo nechcenému prenosu v dosiahnutí interných sietí. Malo by sa starostlivo zvážiť a odôvodniť akékoľvek pravidlo, ktoré umožňuje konkrétnu prevádzku.
2. Zoznamy riadenia prístupu (ACL): Toto sú jadro filtrovania paketov. ACLS definujú pravidlá, ktoré určujú, ktoré pakety sú povolené alebo odoprené na základe rôznych kritérií:
* Zdrojová adresa IP: Blokujte prenos z známych škodlivých IP adries alebo rozsahov (napr. Známe botnety).
* cieľová adresa IP: Obmedzte prístup na interné servery alebo siete z neoprávnených externých zdrojov. Umožnite iba prístup k konkrétnym službám na verejne čeliacich serveroch.
* Zdroj a cieľové porty: Ovládajte, ktoré sieťové služby sú prístupné. Napríklad blokujte všetky prichádzajúce pripojenia k portu 23 (telnet) alebo port 3389 (RDP), pokiaľ to nie je absolútne nevyhnutné.
* Protokoly: Filter na základe sieťového protokolu (TCP, UDP, ICMP). Napríklad môžete blokovať všetky prenosy ICMP (PING), s výnimkou základnej diagnostiky siete.
* Obsah paketov (Inšpekcia hlbokých paketov - DPI): Aj keď to nie je striktne filtrovanie paketov v tradičnom slova zmysle, niektoré pokročilé smerovače ponúkajú DPI. To umožňuje kontrolu užitočného zaťaženia paketov pre škodlivý obsah (napr. Kľúčové slová, konkrétne typy súborov). Je to výpočtovo intenzívne a môže mať vplyv na výkon.
3. Stava: Zamestnajte kontrolu stavu paketov (SPI). Toto presahuje jednoduché filtrovanie paketov sledovaním stavu sieťových pripojení. Umožňuje návratovú prevádzku (napr. Reakcie na legitímne požiadavky), zatiaľ čo blokuje nevyžiadané prichádzajúce spojenia. To bráni mnohým formám útokov, ako sú povodne Syn.
4. Obrana do hĺbky: Filtrovanie paketov na smerovači je iba jedna vrstva bezpečnosti. Malo by sa dopĺňať ďalšími bezpečnostnými opatreniami, ako napríklad:
* firewalls: Umiestnite brány firewall na obvod a potenciálne interne, aby sa zabezpečilo ďalšie filtrovanie a ochranu.
* systémy detekcie/prevencie vniknutia (IDS/IPS): Tieto systémy monitorujú sieťovú prenos pre škodlivú aktivitu a môžu podniknúť kroky na blokovanie alebo upozornenie na podozrivé udalosti.
* Virtuálne súkromné siete (VPNS): Použite VPN na šifrovanie prenosu medzi vzdialenými používateľmi a sieťou organizácie.
* Pravidelné aktualizácie a opravy: Udržujte firmvér a softvér smerovača aktuálne informácie o riešení bezpečnostných zraniteľností.
5. Pravidelné recenzie a aktualizácie: ACL nie sú nastavené. Potrebujú pravidelné preskúmanie a aktualizácie, aby odrážali zmeny v sieťovej infraštruktúre organizácie, bezpečnostné hrozby a osvedčené postupy. Zastarané alebo zle nakonfigurované ACL môžu zanechať zraniteľné miesta.
Príklad pravidla ACL (zjednodušené):
`Povolenie TCP každého hostiteľa 192.168.1.100 EQ 80`
Toto pravidlo umožňuje prenos TCP z ľubovoľnej IP adresy na cieľovú adresu IP 192.168.1.100 na porte 80 (HTTP). Toto je veľmi jednoduchý príklad a vyžaduje si dôkladné zváženie jeho dôsledkov v kontexte úplného bezpečnostného plánu.
Dôležitá poznámka: Nesprávne nakonfigurované ACL môžu narušiť legitímnu sieťovú prevádzku. Testovanie a starostlivé plánovanie sú rozhodujúce pred vykonaním akýchkoľvek zmien v ACLS. Pred nasadením do výroby zvážte použitie stagingového prostredia na testovanie zmien.