Защита от спуфинга с antispoof

                                               Существует  несколько  очень  полезных  и  общих  действий  для  пакетной  обработки, которые  могут  быть  записаны  как  правила  PF,  но  не  без  них  становится  длинным, сложным и подвержен ошибкам шаблонного набора правил. Таким образом, антиспуф был реализован  для  общего  частного  случая  фильтрации  и  блокировки.  Этот  механизм защищает от  деятельности  подделки или поддельных  IP  адресов, в  основном, путем блокирования   пакетов,   которые   появляются   на   интерфейсах   путешествующих   в

направлениях, которые логически невозможны.

С  antispoof  вы  можете  указать,  что  вы  хотите,  чтобы  отсеять  поддельный  трафик, поступающий внутрь от остального мира и любые поддельные  пакеты,  которые (тем не

менее  вряд  ли)  должны  были  происходить  из  вашей  собственной  сети.  Рисунок  9-1

иллюстрирует эту концепцию.

Чтобы установить вид защиты изображенный на диаграмме, укажите antispoof для обоих интерфейсов в сети, которое иллюстрирует следующие две строки:

antispoof for $ext_if antispoof for $int_if

Эти строки расширяют комплекс правил. Первая строка блокирует  входящий  трафик когда адрес источника появится как часть сети напрямую соединенный с антиспуфовым интерфейсом, а прибудет на другой интерфейс. Второе правило выполняет те же функции для внутреннего интерфейса,  блокируя любой трафик с явного адреса локальной сети, которые прибывают  на другие интерфейсы отличные от $int_if. Однако, имейте в виду, что  антиспуф предназначен для обнаружения подложных  адресов удаленно для сетей, которые не напрямую соединены с машиной, на которой запущен PF.

Рисунок 9-1. antispoof отбрасывает пакеты, пришедшие из неверной сети

Источник: Книга о PF, by Peter N.M. Hansteen, Перевод выполнил Михайлов Алексей aka iboxjo

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий