在近期的一篇文章中,本人討論了防止從INTERNET進入本地網絡的IP欺騙的重要性和方法。不過,入網的欺騙并非唯一的欺騙形式。實際上,防止從網絡轉出去的網絡欺騙也同樣重要。
今天,我們看一下如何從另外一個方向保護您的組織-如何防止欺騙性的IP數據包和其它有害的通信從您的網絡流傳到互聯網上。畢竟,我們大家都不想讓自己的網絡成為惡意活動的避難所,是不是?
“源自我們企業網絡的惡意活動是不可能的!”有人也許這樣說,這是非常有希望的。但這并不意味著惡意的網絡活動不會發生。下面是一些你可能想要防止的惡意活動:
·傳輸出去的欺騙性IP數據包被發往互聯網
·從PC直接發到互聯網上去的SMTP電子郵件
·通過電子郵件或其它一些端口,從用戶計算機網絡發出病毒和蠕蟲
·從用戶互聯網路由器發出的黑客行為
防止出網的IP地址欺騙
正如在本人近期的一篇文章中所提及的,有一些IP地址是公司必須避免用于互聯網通信的:(()中列示的是子網掩碼)
|
使用所有這些IP地址中的任何一個進行通信都可能是欺騙性的和惡意的,也就是說,我們不僅要阻止源地址為上述范圍、從互聯網傳入到我們的局域網的數據通信,還要阻止那些源地址為上述范圍且發往互聯網的IP數據包。
要實現這個要求,我們可以在路由器上創建一個出口訪問控制列表(ACL)過濾器,將其運用在出口方向的互聯網接口上,下面給出一個例子:
|
這樣就防止了從指定的IP地址范圍發出的任何數據包流出你的網絡。(正如本人在《利用思科 IOS 防止遭受IP地址欺騙攻擊》所提到的關于入網的IP欺騙那樣,另一個保護網絡免受IP地址欺騙的方法是反向路徑轉發或IP驗證。不過對于阻止出口的數據通信來說,用戶可以使用快速以太網路由器的0/0接口而不是使用串行接口)。
除了要防止欺騙性數據包流出你公司的網絡,還有其它一些方法你可以用來防止惡意用戶濫用你的網絡資源。
禁止SMTP電子郵件從PC直接發到互聯網上
你肯定不想任何人使用你的公司的網絡發送垃圾信息。要防止別人利用你的系統發送垃圾郵件等,你的防火墻絕對不應該允許從你的PC直接發送數據,并傳輸到互聯網的任何端口上。
換句話說,用戶應該控制到底是哪種類型的數據通信可以通過你的互聯網連接將數據傳輸出去。假設你的公司有一個互聯網電子郵件服務器,那么我們就該配置使所有的發往互聯網的SMTP通信只能源自那臺服務器,而不能是某臺內部的PC。
你可以使用公司的防火墻(或者至少是使用ACL(訪問控制列表))來只允許某些目標端口可以將數據發往互聯網。例如,對于大多數公司來說,只需要允許所有的PC可以訪問互聯網計算機的80和443端口。通常,端口80用于HTTP服務,也就是說用于網頁瀏覽。不過,木馬Executor開放此端口。端口443 用于Https服務,可認為它是能提供加密和通過安全端口傳輸的另一種HTTP。
阻止源自你公司的病毒和蠕蟲數據包
在許多方面,通過控制局域網客戶端系統可用的端口,我們可以防止病毒和蠕蟲與互聯網的通信。然而,限制端口也是不容易的,而且惡意用戶通常可以找到繞過端口限制的方法。
要進一步防止病毒和蠕蟲的傳播,可以考慮使用某種統一威脅管理(UTM)設備,如Cisco ASA 或Fortinet,作為anti-X設備,這兩種設備都阻止多種安全威脅。如Cisco ASA-5500 及其附加服務模塊CSC-SSM可提供完整的防病毒、防間諜軟件、文件阻擋、防垃圾郵件、防泄密(釣魚)等服務。要獲得更詳細的信息,可參考思科的白皮書:"Deployment Considerations: Comparing Converged and Dedicated Security Appliances"
防止Internet路由器的黑客行為
要保障路由器的安全,一定要確保你已經正確配置了思科路由器的SSH(Secure Shell),并設置了一個正確的訪問控制列表(ACL)來定義管理控制臺的源地址,還要運行Security Device Manager (SDM) Security Audit 以確保你不會忘記堵住任何一個常見的安全漏洞。
記住,保護私有網絡免受互聯網黑客攻擊是相當重要的,這就如同防止黑客將你的網絡用于惡意目的一樣重要。這四個方法對于防止出網的IP欺騙是大有幫助的。
