Если обнаружение факта прослушивания имеет настолько большое значение, то что тогда говорить о предупреждении подобных попыток! Мы рекомендуем весьма внимательно оценить, насколько важен для вашей организации обмен данными по протоколу ICMP м/у узлами вашей сети и Internet. Есть немало разных типов сообщений ICMP, ECHO и ECHO_REPLY - только 2 из них. В большей части случаев нет никакой потребности разрешать обмен данными м/у узлами сети и Internet с использованием всех имеющихся типов сообщений. Почти все современные брандмауэры обладают возможностью отфильтровывать пакеты ICMP, потому единственная причина, по которой они могут проходить во внутреннюю сеть,- та или другая производственная потребность. Даже если вы твердо убеждены в том, что нельзя целиком заблокировать протокол ICMP, непременно заблокируйте те типы сообщений, которые вам не нужны для работы. Чаще всего, достаточно, чтоб с зоной DMZ возможно было взаимодействовать при помощи сообщений ECHO_REPLY, HOST UNREACHABLE И TIME EXCEEDED. К тому же, при помощи списка управления доступом (ACL - Access Control List) возможно разрешить обмен сообщениями по протоколу ICMP лишь с несколькими АЙПИ-адресами, к примеру, принадлежащими вашему провайдеру Internet. Это даст возможность провайдеру, при потребности, проверить качество связи, однако при этом проникновение посторонних извне в компьютеры, подключенные к Internet, будет существенно затруднено. Требуется постоянно помнить, что невзирая на удобство и мощность протокола ICMP с позиции диагностирования сетевых проблем, он с успехом может применяться и для создания этих проблем. Разрешив неограниченный доступ по протоколу ICMP во внутреннюю сеть, вы этим предоставляете взломщикам возможность претворить в жизнь нападение типа DOS (к примеру при помощи Smurf-способа). Кроме того, если взломщику удастся проникнуть в 1 из ваших компьютеров, он может ч/з "потайной ход" в операционной системе при помощи подобных программ, как loki, организовать скрытое тунеллирование данных, передаваемых по протоколу ICMP. Более подробная информация о loki приведена в журнале Phrack Magazine, том 7, выпуск 51 за 1 сент. 1997 г., статья 06(http://phrack.infonexus.com/search.phtml?view&article=p51-6). Иная любопытная концепция, предложенная Томом Пташеком (Tom Ptacek) и перенесенная в среду Линух Майком Шифманом (Mike Schiffman) заключается в использовании процесса pingd. Демон pingd, запущенный на компьютере юзера, обрабатывает все поступающие на данный компьютер запросы ICMP_ECHO и ICMP_ECHOREPLAY. Для реализации подобного подхода необходимо отказаться от помощи обработки запроса ICMP_ECHO на уровне ядра и претворить в жизнь ее на уровне юзера при помощи служебного процесса, обеспечивающего работу сокета ICMP. Т.о., возникает возможность создания механизма управления доступом на уровне отдельно взятого компьютера. Тулза pingd есть в версии BSD (http://www.enteract.com/~tqbf/goodies.html) и в системе Линукс (http://www.2600.net/phrack/p52-07.html).
Главная 