Читаем Политики безопасности компании при работе в Интернет полностью

Конфигурирование функции TCP Intercept. Функция TCP Intercept помогает предупредить атаки типа SYN Flood путем прерывания и проверки ТСР-соединений. В режиме Intercept программное обеспечение прерывает пакеты синхронизации TCP SYN от клиентов к серверам, совпадающие с расширенным списком контроля доступа. Осуществляются проверки, и попытки достичь сервер с несуществующих (неотвечающих) компьютеров пресекаются. Включение функции TCP Intercept:

...

ip tcp intercept list 110

Конфигурирование BGP. BGP v. 4 используется для обмена информацией о маршрутизации и политиках с маршрутизаторами интернет-провайдера. Так как уже существуют атаки, направленные против протокола BGP, то необходимо обеспечить надлежащий уровень защиты.

Для защиты используем возможность BGP аутентифицироваться с помощью MD5:

...

neighbor 70.70.1.2 password F!$asB!

ip as-path access-list 30 permit

router bgp 5500

neighbor 70.70.1.2 filter-list 30

Этот фильтр гарантирует, что маршрутизатор сможет принимать трафик только из определенной автономной системы. Также используется список контроля доступа на входящий трафик, разрешающий трафик по TCP 179 только от маршрутизаторов интернет-провайдера.

Маршрут «черная дыра». Для увеличения производительности маршрутизатора при запрещении пакетов с недостижимыми адресами назначения используется статический маршрут в null. Кроме этого данная конфигурация позволит предупредить простейшие атаки типа «отказ в обслуживании». Такая конфигурация стала возможной благодаря тому, что для получения маршрутов используется BGP. Маршрут должен иметь наивысший вес, то есть маршрутизатор никогда не будет запрещать любой легитимный трафик. Также необходимо отключить ICMP Unreachable на null-интерфейсе:

...

interface NullO

no icmp unreachables

Конфигурирование списков контроля доступа. На пограничных маршрутизаторах очень хорошо фильтровать ненужный входящий трафик, уменьшая, таким образом, нагрузку на внешние межсетевые экраны и уменьшая размеры журналов на внутренних устройствах. Пограничные маршрутизаторы также защищают внешние межсетевые экраны.

Для ограничения трафика используются расширенные списки контроля доступа. Используется новая возможность компилирования списков контроля доступа Turbo ACL, которая существенно увеличивает производительность обработки списков контроля доступа. К сожалению, эта функция не работает с рефлексивными списками контроля доступа и с СВАС (Context-Based Access Control). Для включения этой функциональности требуется всего одна команда:

...

Сконфигурированы два списка контроля доступа – для входящего и исходящего трафика.

Список контроля доступа для входящего трафика. Блокируется трафик с недействительными адресами, без исходного адреса, направленный на «опасные» порты – NetBIOS, SNMP, TFTP, syslog, направленный в сеть между внешними маршрутизаторами и внешними межсетевыми экранами, направленный на диапазон адресов, используемых для multicast:

...

ip access-list extended Ingress

deny ip host any 255.255.255.255

deny ip host 0.0.0.0 any

Сети 70.0.0.0/8 и 90.0.0.0/8 также зарезервированы I ANA, но не включены сюда из-за нашего первоначального предположения:

Блокирование опасного трафика:

...

deny udp any any eq 69

deny tcp any any range 135 139

deny udp any any range 135 139

deny tcp any any eq 445

deny udp any any eq 514

permit tcp host 70.70.1.2 host 70.70.1.1 eq 79

permit tcp host 90.90.1.2 host 90.90.1.1 eq 79

deny ip any 70.70.70.16 0.0.0.15

permit tcp any 70.70.70.0 0.0.0.255 established

permit udp any 70.70.70.0 0.0.0.255

permit icmp any 70.70.70.0 0.0.0.255 source-quench

deny ip any any