1. Σιωπηρή άρνηση: Αυτή είναι η * πιο κρίσιμη * ρύθμιση. Η προεπιλεγμένη πολιτική θα πρέπει πάντα να είναι η άρνηση κάθε κυκλοφορίας που δεν επιτρέπεται ρητά. Αυτό εμποδίζει την άγνωστη ή ανεπιθύμητη κυκλοφορία από την επίτευξη εσωτερικών δικτύων. Οποιοσδήποτε κανόνας που επιτρέπει συγκεκριμένη κυκλοφορία πρέπει να εξετάζεται και να δικαιολογείται προσεκτικά.
2. Λίστες ελέγχου πρόσβασης (ACLS): Αυτοί είναι ο πυρήνας του φιλτραρίσματος πακέτων. Το ACLS ορίζει κανόνες που καθορίζουν ποια πακέτα επιτρέπονται ή απορρίπτονται με βάση διάφορα κριτήρια:
* Διεύθυνση IP προέλευσης: Αποκλείστε την κυκλοφορία από γνωστές κακόβουλες διευθύνσεις IP ή σειρές (π.χ. γνωστά botnets).
* Διεύθυνση IP προορισμού: Περιορίστε την πρόσβαση σε εσωτερικούς διακομιστές ή δίκτυα από μη εξουσιοδοτημένες εξωτερικές πηγές. Επιτρέψτε μόνο την πρόσβαση σε συγκεκριμένες υπηρεσίες σε διακομιστές που αντιμετωπίζουν δημόσια.
* θύρες προέλευσης και προορισμού: Ελέγξτε ποιες υπηρεσίες δικτύου είναι προσβάσιμες. Για παράδειγμα, μπλοκάρετε όλες τις εισερχόμενες συνδέσεις στη θύρα 23 (TELNET) ή τη θύρα 3389 (RDP) εκτός εάν είναι απολύτως απαραίτητο.
* Πρωτόκολλα: Φίλτρο με βάση το πρωτόκολλο δικτύου (TCP, UDP, ICMP). Για παράδειγμα, μπορείτε να αποκλείσετε όλη την κυκλοφορία ICMP (ping) εκτός από την βασική διάγνωση του δικτύου.
* Περιεχόμενα πακέτων (Deep Packet Inspection - DPI): Αν και δεν είναι αυστηρά το φιλτράρισμα πακέτων με την παραδοσιακή έννοια, ορισμένοι προχωρημένοι δρομολογητές προσφέρουν DPI. Αυτό επιτρέπει την επιθεώρηση του ωφέλιμου φορτίου πακέτου για κακόβουλο περιεχόμενο (π.χ. λέξεις -κλειδιά, ειδικοί τύποι αρχείων). Αυτό είναι υπολογιστικά εντατικό και μπορεί να επηρεάσει την απόδοση.
3. Κρατική κατάσταση: Χρησιμοποιήστε κρατική επιθεώρηση πακέτων (SPI). Αυτό υπερβαίνει το απλό φιλτράρισμα πακέτων παρακολουθώντας την κατάσταση των συνδέσεων δικτύου. Επιτρέπει την κυκλοφορία επιστροφής (π.χ. απαντήσεις σε νόμιμα αιτήματα) ενώ εμποδίζει τις ανεπιθύμητες εισερχόμενες συνδέσεις. Αυτό αποτρέπει πολλές μορφές επιθέσεων όπως οι πλημμύρες Syn.
4. Άμυνα σε βάθος: Το φιλτράρισμα πακέτων σε δρομολογητή είναι μόνο ένα στρώμα ασφάλειας. Θα πρέπει να συμπληρωθεί από άλλα μέτρα ασφαλείας όπως:
* Firewalls: Τοποθετήστε τείχη προστασίας τόσο στην περίμετρο όσο και ενδεχομένως εσωτερικά για να παρέχετε πρόσθετο φιλτράρισμα και προστασία.
* Συστήματα ανίχνευσης/πρόληψης εισβολής (IDS/IPS): Αυτά τα συστήματα παρακολουθούν την κυκλοφορία δικτύου για κακόβουλη δραστηριότητα και μπορούν να αναλάβουν δράση για να αποκλείσουν ή να προειδοποιήσουν σε ύποπτα γεγονότα.
* Εικονικά ιδιωτικά δίκτυα (VPNS): Χρησιμοποιήστε VPNs για να κρυπτογραφήσετε την κυκλοφορία μεταξύ απομακρυσμένων χρηστών και του δικτύου του οργανισμού.
* Τακτικές ενημερώσεις και επιδιόρθωση: Κρατήστε το υλικολογισμικό δρομολογητή και το λογισμικό ενημερωμένο για την αντιμετώπιση των τρωτών σημείων ασφαλείας.
5. Τακτική αναθεώρηση και ενημερώσεις: Τα ACL δεν είναι καθορισμένα. Χρειάζονται τακτική αναθεώρηση και ενημερώσεις για να αντικατοπτρίζουν τις αλλαγές στην υποδομή δικτύου του οργανισμού, τις απειλές ασφαλείας και τις βέλτιστες πρακτικές. Οι ξεπερασμένες ή κακώς διαμορφωμένες ACL μπορούν να αφήσουν τρωτά σημεία.
Παράδειγμα κανόνα ACL (απλοποιημένος):
`Άδεια TCP ΟΠΟΙΟΔΗΠΟΤΕ HOST 192.168.1.100 EQ 80`
Αυτός ο κανόνας επιτρέπει την κυκλοφορία TCP από οποιαδήποτε διεύθυνση IP προέλευσης στη διεύθυνση IP προορισμού 192.168.1.100 στη θύρα 80 (HTTP). Αυτό είναι ένα πολύ απλό παράδειγμα και χρειάζεται προσεκτική εξέταση των επιπτώσεών του στο πλαίσιο ενός πλήρους σχεδίου ασφαλείας.
Σημαντική σημείωση: Τα λανθασμένα διαμορφωμένα ACL μπορούν να διαταράξουν τη νόμιμη κυκλοφορία δικτύου. Οι δοκιμές και ο προσεκτικός σχεδιασμός είναι ζωτικής σημασίας πριν από την εφαρμογή τυχόν αλλαγών στο ACLS. Εξετάστε τη χρήση ενός περιβάλλοντος σταδιοποίησης για να δοκιμάσετε τις αλλαγές πριν την αναπτύξετε στην παραγωγή.
Πνευματικά δικαιώματα © Γνώση Υπολογιστών Όλα τα δικαιώματα κατοχυρωμένα