Иллюстрированный самоучитель по защите в Интернет

Дополнительное исследование брандмауэров

Контрмеры против применения утилиты nmар

Обнаружение

Для выявления попыток сканирования с использованием утилиты nmap можно применять подходы, описанные в главе 2. Кроме того, можно также дать следующий совет. Настройте процедуру обнаружения сканирования таким образом, чтобы отдельно получать информацию о попытках сканирования брандмауэров.

Предотвращение

Для того чтобы предотвратить возможность инвентаризации списков ACL маршрутизаторов и брандмауэров, нужно отключить на них режим передачи ответных сообщений ICMP с типом 13. На маршрутизаторах Cisco это можно осуществить, запретив передачу ответных IP-сообщений о недостижимости цели.

no ip unreachables

Идентификация портов

Некоторые брандмауэры имеют уникальные характеристики, отличающие их от других брандмауэров и представленные в виде последовательности цифр. Например, такую последовательность можно получить при подключении к TCP-порту 257 (SNMP) брандмауэров Checkpoint. Наличие портов 256-259 является хорошим признаком брандмауэра Firewall-1 компании Checkpoint. А следующий тест поможет в этом удостовериться.

[root]# nc – v – n 192.168.51.1 257
(UNKNOWN) [192.168.51.1] 257 (?)
open
30000003
[root]# no – v – n 172.29.11.191 257
(UNKNOWN) [172.29.11.191] 257 (?)
open 31000000

Контрмеры: защита от идентификации портов

Обнаружение

Факт подключения злоумышленника к портам можно выявить, добавив аудит соответствующего события в программе RealSecure. Вот что для этого нужно сделать.

  1. Активизируйте режим редактирования политики.
  2. Перейдите во вкладку Connection Events.
  3. Щелкните на кнопке Add Connection и введите параметры записи, соответствующие брандмауэру Checkpoint.
  4. Выберите диапазон портов и щелкните на кнопке Add.
  5. Введите значения в поля службы и порта, а затем щелкните на кнопке ОК.
  6. Выберите новый порт и снова щелкните на кнопке ОК.
  7. Щелкните на кнопке ОК, чтобы применить политику с измененными параметрами.

Предотвращение

Возможность подключения к TCP-порту можно предотвратить, заблокировав его на маршрутизаторе исходящих сообщений. Следующий простой список ACL брандмауэров Cisco поможет явно запретить все попытки подключения.

access-list 101 deny tcp any any eq 257 log!
Блокирование сканирования Firewall-1
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.