Здесь я буду делится своим опытом по настройке маршрутизаторов Cisco. Первая статья посвящается безопастности маршрутизируемых сетей. Все мы прекрасно знаем, что настоящий бич интернета это так называемые DDoS атаки. До недавнего времени я сам не задумывался над тем, что мне придется столкнуться с такой проблемой. Достаточно вспомнить прошлогодние события в СГУ. Тогда я оперативно среагировал на атаку и мне удалось минимизировать ущерб от DDoS.
Защита от подмены IP - адресов, или антиспуфинг.
Простой пример:
Процесс рассылки спама.
Пусть этим будут заниматься спам боты. Зайдя на маршрутизатор я вижу:
Code
#show ip cache flow
E0/0 86.35.180.4 E0/1 72.80.182.193 06 0C17 0019 7
Здесь 0019 - 25й порт в hex.
Здесь я вижу, что с интерфейса E0/1(внутренний) поступает в интернет большое количество пакетов. Но ведь внутренняя подсеть 172.17.2.0/24! Значит мы столкнулись с подменой адресов - спуфинг.
Вариантов защиты несколько.
Первый - ограничить исходящие пакеты из нашей сети в интернет. Пропускать пакеты принадлежащие нашей сети.
Code
#conf t
(config)#ip access-list standart 20
(config-std-nacl)#permit 172.17.2.0 0.0.0.255
(config-std-nacl)#deny any
(config-std-nacl)#exit
(config)#interface E0/1
(config-if)#ip access-group 20 in
Это ограничит трафик в интернет с адресов которые не принадлежат нашей сети.
Естественно, из внешней сети к нам не могут придти пакеты не адресованные хостам нашей сети. Ограничим их.
#conf t
(config)#ip access-list standart30
(config-std-nacl)#deny ip 172.17.2.0 0.0.0.255
Здесь я буду делится своим опытом по настройке маршрутизаторов Cisco. Первая статья посвящается безопастности маршрутизируемых сетей.
Все мы прекрасно знаем, что настоящий бич интернета это так называемые DDoS атаки. До недавнего времени я сам не задумывался над тем, что мне придется столкнуться с такой проблемой. Достаточно вспомнить прошлогодние события в СГУ. Тогда я оперативно среагировал на атаку и мне удалось минимизировать ущерб от DDoS.
Защита от подмены IP - адресов, или антиспуфинг.
Простой пример:
Процесс рассылки спама.
Пусть этим будут заниматься спам боты. Зайдя на маршрутизатор я вижу:
Code
#show ip cache flow
E0/0 86.35.180.4 E0/1 72.80.182.193 06 0C17 0019 7
Здесь 0019 - 25й порт в hex.
Здесь я вижу, что с интерфейса E0/1(внутренний) поступает в интернет большое количество пакетов. Но ведь внутренняя подсеть 172.17.2.0/24! Значит мы столкнулись с подменой адресов - спуфинг.
Вариантов защиты несколько.
Первый - ограничить исходящие пакеты из нашей сети в интернет. Пропускать пакеты принадлежащие нашей сети.
Code
#conf t
(config)#ip access-list standart 30
(config-std-nacl)#permit 172.17.2.0 0.0.0.255
Ограничим адреса, которые согласно RFC 1918 являются "серыми". Тоесть немаршрутизируемыми в интернете.
Code
(config-std-nacl)#deny ip 10.0.0.0 0.255.255.255
(config-std-nacl)#deny ip 172.16.0.0 0.0.255.255
(config-std-nacl)#deny ip 192.168.0.0 0.0.255.255
Кроме этого можно заблокировать адреса автоконфигурации Windows.
Code
(config-std-nacl)#deny ip 169.254.0.0 0.0.255.255
Ограничим адреса multicast(класс D) и класс E.
Code
(config-std-nacl)#deny ip 224.0.0.0 15.255.255.255
(config-std-nacl)#deny ip 240.0.0.0 7.255.255.255
Адреса принадлежащие интерфейсы loopback и адреса, первые океты которых нули либо еденицы.
Code
(config-std-nacl)#deny ip 127.0.0.1 0.255.255.255
(config-std-nacl)#deny ip 0.0.0.0 0.255.255.255
(config-std-nacl)#deny ip host 255.255.255.255
Тестовая подсеть тоже едет в газенваген.
Code
(config-std-nacl)#deny ip 192.0.2.0 0.0.0.255
На последок отправляем в газенваген адреса зарезервированные IANA или так называемые bogons адреса:
Code
(config-std-nacl)#deny ip 1.0.0.0 0.255.255.255
...
В конце статьи вы сможете скачать полный список bogons адресов. Загоняется в маршрутизатор скриптом. Их просто оооочень много, поэтому тут не перечислить.
Теперь ставим эти правила на интерфейс
Code
(config-std-nacl)#exit
(config)#interface E0/0
(config-if)ip access-group 20 in