IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

利用思科的 IOS 去防止出网的 IP 欺骗

2007年04月23日
赛迪网/佚名

在近期的一篇文章中,本人讨论了防止从INTERNET进入本地网络的IP欺骗的重要性和方法。不过,入网的欺骗并非唯一的欺骗形式。实际上,防止从网络转出去的网络欺骗也同样重要。

今天,我们看一下如何从另外一个方向保护您的组织-如何防止欺骗性的IP数据包和其它有害的通信从您的网络流传到互联网上。毕竟,我们大家都不想让自己的网络成为恶意活动的避难所,是不是?

“源自我们企业网络的恶意活动是不可能的!”有人也许这样说,这是非常有希望的。但这并不意味着恶意的网络活动不会发生。下面是一些你可能想要防止的恶意活动:

·传输出去的欺骗性IP数据包被发往互联网

·从PC直接发到互联网上去的SMTP电子邮件

·通过电子邮件或其它一些端口,从用户计算机网络发出病毒和蠕虫

·从用户互联网路由器发出的黑客行为

防止出网的IP地址欺骗

正如在本人近期的一篇文章中所提及的,有一些IP地址是公司必须避免用于互联网通信的:(()中列示的是子网掩码)

·10.0.0.0(255.0.0.0 )
·172.16.0.0(255.240.0.0 )
·192.168.0.0/16 (255.255.0.0 )
·127.0.0.0(255.0.0.0 ) 
·224.0.0.0(224.0.0.0)
·169.254.0.0(255.255.0.0 )
·240.0.0.0(240.0.0.0 )

使用所有这些IP地址中的任何一个进行通信都可能是欺骗性的和恶意的,也就是说,我们不仅要阻止源地址为上述范围、从互联网传入到我们的局域网的数据通信,还要阻止那些源地址为上述范围且发往互联网的IP数据包。

要实现这个要求,我们可以在路由器上创建一个出口访问控制列表(ACL)过滤器,将其运用在出口方向的互联网接口上,下面给出一个例子:

Router# conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)# ip access-list ext egress-antispoof
Router(config-ext-nacl)# deny ip 10.0.0.0 0.255.255.255 any
Router(config-ext-nacl)# deny ip 172.16.0.0 0.15.255.255 any 
Router(config-ext-nacl)# deny ip 192.168.0.0 0.0.255.255 any 
Router(config-ext-nacl)# deny ip 127.0.0.0 0.255.255.255 any
Router(config-ext-nacl)# deny ip 224.0.0.0 31.255.255.255 any
Router(config-ext-nacl)# deny ip 169.254.0.0 0.0.255.255 any     
Router(config-ext-nacl)# deny ip 240.0.0.0 15.255.255.255 any     
Router(config-ext-nacl)# deny ip  0.255.255.255 any
Router(config-ext-nacl)# permit ip any any     
Router(config-ext-nacl)# exit

Router(config)#int s0/0
Router(config-if)#ip access-group egress-antispoof out

这样就防止了从指定的IP地址范围发出的任何数据包流出你的网络。(正如本人在《利用思科 IOS 防止遭受IP地址欺骗攻击》所提到的关于入网的IP欺骗那样,另一个保护网络免受IP地址欺骗的方法是反向路径转发或IP验证。不过对于阻止出口的数据通信来说,用户可以使用快速以太网路由器的0/0接口而不是使用串行接口)。

除了要防止欺骗性数据包流出你公司的网络,还有其它一些方法你可以用来防止恶意用户滥用你的网络资源。

禁止SMTP电子邮件从PC直接发到互联网上

你肯定不想任何人使用你的公司的网络发送垃圾信息。要防止别人利用你的系统发送垃圾邮件等,你的防火墙绝对不应该允许从你的PC直接发送数据,并传输到互联网的任何端口上。

换句话说,用户应该控制到底是哪种类型的数据通信可以通过你的互联网连接将数据传输出去。假设你的公司有一个互联网电子邮件服务器,那么我们就该配置使所有的发往互联网的SMTP通信只能源自那台服务器,而不能是某台内部的PC。

你可以使用公司的防火墙(或者至少是使用ACL(访问控制列表))来只允许某些目标端口可以将数据发往互联网。例如,对于大多数公司来说,只需要允许所有的PC可以访问互联网计算机的80和443端口。通常,端口80用于HTTP服务,也就是说用于网页浏览。不过,木马Executor开放此端口。端口443 用于Https服务,可认为它是能提供加密和通过安全端口传输的另一种HTTP。

阻止源自你公司的病毒和蠕虫数据包

在许多方面,通过控制局域网客户端系统可用的端口,我们可以防止病毒和蠕虫与互联网的通信。然而,限制端口也是不容易的,而且恶意用户通常可以找到绕过端口限制的方法。

要进一步防止病毒和蠕虫的传播,可以考虑使用某种统一威胁管理(UTM)设备,如Cisco ASA 或Fortinet,作为anti-X设备,这两种设备都阻止多种安全威胁。如Cisco ASA-5500 及其附加服务模块CSC-SSM可提供完整的防病毒、防间谍软件、文件阻挡、防垃圾邮件、防泄密(钓鱼)等服务。要获得更详细的信息,可参考思科的白皮书:"Deployment Considerations: Comparing Converged and Dedicated Security Appliances"

防止Internet路由器的黑客行为

要保障路由器的安全,一定要确保你已经正确配置了思科路由器的SSH(Secure Shell),并设置了一个正确的访问控制列表(ACL)来定义管理控制台的源地址,还要运行Security Device Manager (SDM) Security Audit 以确保你不会忘记堵住任何一个常见的安全漏洞。

记住,保护私有网络免受互联网黑客攻击是相当重要的,这就如同防止黑客将你的网络用于恶意目的一样重要。这四个方法对于防止出网的IP欺骗是大有帮助的。

发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

Power架构产品创新 IBM推动其本土化发展
Power架构产品创新 IBM推动其本土化发展自从1990年,IBM推出基于RISC系统的新产品线RS/6000(现称eServer p系列)之后,...
WAF:高校Web应用安全守护者
WAF:高校Web应用安全守护者最近几年高校网站被攻击的事件时有发生,造成了不良影响,因此越来越多的高校开始...

本类热点