Предотвращение зондирования
Если обнаружение факта зондирования имеет столь большое значение, то что тогда говорить о предупреждении таких попыток! Рекомендуем очень внимательно оценить, насколько важен для вашей организации обмен данными по протоколу ICMP между узлами вашей сети и Internet. Имеется много разнообразных типов сообщений ICMP, ECHO и ECHO REPLY — лишь два из них. В большинстве случаев нет никакой необходимости разрешать обмен данными между узлами сети и Internet с использованием всех имеющихся типов сообщений. Практически все современные брандмауэры обладают возможностью отфильтровывать пакеты ICMP, поэтому единственная причина, по которой они могут проходить во внутреннюю сеть,— та или иная производственная необходимость. Даже если вы твердо убеждены в том, что нельзя полностью заблокировать протокол ICMP, обязательно заблокируйте те типы сообщений, которые вам не нужны для работы. Как правило, вполне достаточно, чтобы с зоной DMZ можно было взаимодействовать посредством сообщений ECHO_REPLY, HOST_UNREACHABLE и TIME_EXCEEDED. Кроме того, с помощью списка управления доступом (ACL — Access Control List) можно разрешить обмен сообщениями по протоколу ICMP только с несколькими IP-адресами, например, принадлежащими вашему провайдеру Internet. Это позволит провайдеру, при необходимости, проверить качество связи, но при этом проникновение посторонних извне в компьютеры, подключенные к Internet, будет значительно затруднено.
DMZ (демилитаризованная зона) — технология обеспечения защиты информационного периметра, при которой серверы, отвечающие на запросы из внешней сети, или направляющие туда запросы, находятся в особом сегменте сети (который и называется DMZ) и ограничены в доступе к основным сегментам с помощью межсетевого экрана (МСЭ). При этом не существует прямых соединений между внутренней сетью и внешней - любые соединения возможны только с серверами в DMZ, которые (возможно) обрабатывают запросы и формируют свои, возвращая ответ получателю уже от своего имени.
В зависимости от требований к безопасности, DMZ может организовываться одним, двумя или тремя межсетевыми экранами (МСЭ)
Межсетевой экран с экранированной подсетью
схема с двумя межсетевыми экранами и общим соединением схема с одним межсетевым экраном
Необходимо всегда помнить, что, несмотря на удобство и мощь протокола ICMP с точки зрения диагностирования сетевых проблем, он с успехом может использоваться и для создания таких проблем. Разрешив неограниченный доступ по протоколу ICMP во внутреннюю сеть, вы тем самым предоставляете взломщикам возможность реализовать нападение типа DoS (например, с помощью Smurf-метода). Более того, если взломщику удастся проникнуть в один из ваших компьютеров, он может через "потайной ход" в операционной системе с помощью таких программ, как loki, организовать скрытое тунеллирование данных, передаваемых по протоколу ICMP.
Другая интересная концепция, предложенная Томом Пташеком (Tom Ptacek) и перенесенная в среду Linux Майком Шиффманом (Mike Schiffman) заключается в использовании процесса pingd. Демон pingd, запущенный на компьютере пользователя, обрабатывает все поступающие на данный компьютер запросы ECHO и ECHO_REPLAY. Для реализации такого подхода нужно отказаться от поддержки обработки запроса ICMP ECHO на уровне ядра и реализовать ее на уровне пользователя с помощью служебного процесса, обеспечивающего работу сокета ICMP. Таким образом, появляется возможность создания механизма управления доступом на уровне отдельного компьютера. Утилиту pingd для системы Linux можно найти по адресу http://packetstormsecurity.com/UNIX/misc/pingd-0.5.1.tgz.