Телекоммуникационные технологии.Сети TCP-IP

       

Защита хоста


Мероприятия по защите хоста проводятся для предотвращения атак, цель которых — перехват данных, отказ в обслуживании, или проникновение злоумышленника в операционную систему.

  • Запретить обработку ICMP Echo-запросов, направленных на широковещательный адрес.
  • Запретить обработку ICMP-сообщений Redirect, Address Mask Reply, Router Advertisement, Source Quench.
  • Если хосты локальной сети конфигурируются динамически сервером DHCP, использовать на DHCP-сервере таблицу соответствия MAC- и IP-адресов и выдавать хостам заранее определенные IP-адреса.
  • Отключить все ненужные сервисы TCP и UDP (читай: отключить все сервисы, кроме явно необходимых). Под отключением сервиса мы понимаем перевод соответствующего порта из состояния LISTEN в CLOSED.
  • Если входящие соединения обслуживаются супердемоном inetd, то использовать оболочки или заменить inetd на супердемон типа или , позволяющий устанавливать максимальное число одновременных соединений, список разрешенных адресов клиентов, выполнять проверку легальности адреса через DNS и регистрировать соединения в лог-файле.
  • Использовать программу типа , позволяющую отследить попытки скрытного сканирования (например, полуоткрытыми соединениями).
  • Использовать статическую ARP-таблицу узлов локальной сети.
  • Применять средства безопасности используемых на хосте прикладных сервисов.
  • Использовать последние версии и обновления программного обеспечения, следить за бюллетенями по безопасности, выпускаемыми производителем.


  • Содержание раздела