Бруй В.В., Карлов С.В. - Linux-сервер - пошаговые инструкции - инсталляции и настройки (1077321), страница 34
Текст из файла (страница 34)
После этого все машиныв сети отвечают на посланный широковещательный запрос. В результате может возникнуть перегрузка сети,и ваша система может оказаться невольным участником DoS-атаки. Более подробную информацию по этомувопросу можно получить в RFC 2644. Установка запрета осуществляется следующим образом.Шаг 1Добавьте или откорректируйте в файле /etc/sysctl.conf следующие строки:#Игнорирование широковещательных запросовnet.ipv4.icmp_e_cho_ignore_broadcasts = 1Шаг 2Для того, чтобы внесенные изменения вступили в силу, перезагрузите сеть:[root@karlnext /]# /etc/init.d/network restartДеактивируется интерфейс eth0:[ОК]Деактивируется интерфейс-петля:[ОК]Устанавливаются параметры сети:[ОК]Активируется интерфейс loopback:[ОК]Активируется интерфейс eth0:[ОК]Тот же самый эффект может быть достигнут и без перезагрузки сети:[root@karlnext /]# sysctl –w net.ipv4.icmp_echo_ignore_broadcasts =1Запрет на использование сервером информации об источнике пакетаМаршрутизация и протоколы маршрутизации также содержат источник потенциальной опасности длясистемы.
Заголовки IP-пакетов содержат полный путь между источником и получателем пакета. В соответствии с RFC 1122 получатель пакета должен ответить по адресу источника, содержащегося в пакете. Такимобразом, злоумышленник может получить возможность перехватить ответ вашей системы и представитьсядоверенной системой. Авторы настоятельно рекомендуют отключить возможность использования сервероминформации об источнике пакета. Установка запрета осуществляется следующим образом.Шаг 1Добавьте или откорректируйте в файле /etc/sysctl.conf следующие строки:# Установка запрета на использование информации об источнике пакетаnet.ipv4.conf.all.accept_source_route = 0net.ipv4.conf.default.accept_source_route = 0Шаг 2Для того, чтобы внесенные нами изменения вступили в силу, перезагрузите сеть:[root@karlnext /]# /etc/init.d/network restartДеактивируется интерфейс eth0:[ОК]Деактивируется интерфейс-петля:[ОК]Устанавливаются параметры сети:[ОК]Активируется интерфейс loopback:[ОК]Активируется интерфейс eth0:[ОК]Тот же самый эффект может быть достигнут и без перезагрузки сети:[root@karlnext /]# sysctl –w net.ipv4.conf.all.accept_source_route = 0[root@karlnext /]# sysctl –w net.ipv4.conf.default.accept_source_route =0Глава 7.
Псевдофайловая система /proc115Включение защиты от SYN-атакSYN-атаки используют следующие особенности TCP/IP соединений. Обычно при установке соединения клиент посылает серверу пакет с SYN-битом (первого типа), в ответ на который сервер посылает клиенту пакет-подтверждение (второго типа). После получения подтверждения клиент отправляет серверу пакет,который завершает установку соединения (третьего типа). При этом сервер сохраняет в очереди данныепервого пакета и использует их для идентификации клиента. Посылая серверу пакеты, содержащие SYN-бити случайные IP-адреса источников и не высылая соответствующие им завершающие пакеты (третьего типа),злоумышленник может реализовать DoS-атаку, исчерпав ресурсы для хранения информации, содержащейсяв пакетах первого типа. Для исключения такой возможности на сервере устанавливается такой алгоритмфункционирования, при котором пакеты, содержащие SYN-бит не сохраняются вообще, а сервер идентифицирует клиента, выполняя соответствующие операции над информацией, содержащейся в пакетах третьеготипа.
Включение защиты осуществляется следующим образом.Шаг 1Добавьте или откорректируйте в файле /etc/sysctl.conf следующие строки:#Включение защиты от TCP SYN атакnet.ipv4.tcp_syncookies = 1Шаг 2Для того, чтобы внесенные изменения вступили в силу, перезагрузите сеть:[root@karlnext /]# /etc/init.d/network restartДеактивируется интерфейс eth0:[ОК]Деактивируется интерфейс-петля:[ОК]Устанавливаются параметры сети:[ОК]Активируется интерфейс loopback:[ОК]Активируется интерфейс eth0:[ОК]Тот же самый эффект может быть достигнут и без перезагрузки сети:[root@karlnext /]# sysctl –w net.ipv4.tcp_syncookies = 1ICMP-переадресацияКогда компьютеры, находящиеся в сети, используют для пересылки пакетов неоптимальный или несуществующий маршрут, ICMP-переадресация используется маршрутизаторами для того, чтобы сообщитькомпьютерам правильный маршрут.
В сетях со сложной топологией рекомендуется разрешение ICMPпереадресации. В небольших сетях ее следует отключить. При этом исключается возможность изменениязлоумышленником таблиц маршрутизации на компьютерах сети путем отправки им поддельных ICMPсообщений. Установка запрета на ICMP-переадресацию осуществляется следующим образом.Шаг 1Добавьте или откорректируйте в файле /etc/sysctl.conf следующие строки:# Установка запрета на ICMP переадресациюnet.ipv4.conf.all.accept_redirects = 0net.ipv4.conf.default.accept_redirects = 0Шаг 2Для того, чтобы внесенные изменения вступили в силу, перезагрузите сеть:[root@karlnext /]# /etc/init.d/network restartДеактивируется интерфейс eth0:[ОК]Деактивируется интерфейс-петля:[ОК]Устанавливаются параметры сети:[ОК]Активируется интерфейс loopback:[ОК]Активируется интерфейс eth0:[ОК]Тот же самый эффект может быть достигнут и без перезагрузки сети:[root@karlnext /]# sysctl –w net.ipv4.conf.all.accept_redirects = 0[root@karlnext /]# sysctl –w net.ipv4.conf.default.accept_redirects = 0Сообщения об ошибках сетиШаг 1116Часть 1.
Инсталляция операционной системы Linux на сервереДля получения информации об ошибках сети добавьте/etc/sysctl.conf следующие строки:# Включение сообщений об ошибках сетиnet.ipv4.icmp_ignore_bogus_error_responses = 1илиоткорректируйтевфайлеШаг 2Для того, чтобы внесенные изменения вступили в силу, перезагрузите сеть:[root@karlnext /]# /etc/init.d/network restartДеактивируется интерфейс eth0:[ОК]Деактивируется интерфейс-петля:[ОК]Устанавливаются параметры сети:[ОК]Активируется интерфейс loopback:[ОК]Активируется интерфейс eth0:[ОК]Тот же самый эффект может быть достигнут и без перезагрузки сети:[root@karlnext /]# sysctl –w net.ipv4.icmp_ignore_bogus_error_responses =1Включение защиты от атак, основанных на фальсификации IP-адресаПри реализации атак, основанных на фальсификации IP-адреса (IP spoofing), злоумышленник отправляет в сеть пакеты с ложным обратным адресом, пытаясь переключить на свой компьютер соединения, установленные между другими компьютерами.
При этом он может получить удаленный доступ к системе справами доступа, равным правам доступа того пользователя, чье соединение с сервером было переключенона компьютер злоумышленника. Включение защиты осуществляется следующим образом.Шаг 1Добавьте или откорректируйте в файле /etc/sysctl.conf следующие строки:# Включение защиты от IP-spoofing# Усиленная проверкаipv4.conf.all.rp_filter = 2net.ipv4.conf.default.rp_f liter = 2# Простая проверка#ipv4.conf.all.rp_filter = 1#net.ipv4.conf.default.rp_f liter = 2Шаг 2Для того, чтобы внесенные изменения вступили в силу, перезагрузите сеть:[root@karlnext /]# /etc/init.d/network restartДеактивируется интерфейс eth0:[ОК]Деактивируется интерфейс-петля:[ОК]Устанавливаются параметры сети:[ОК]Активируется интерфейс loopback:[ОК]Активируется интерфейс eth0:[ОК]Тот же самый эффект может быть достигнут и без перезагрузки сети:[root@karlnext /]# sysctl –w ipv4.conf.all.rp_filter = 2[root@karlnext /]# sysctl –w net.ipv4.conf.default.rp_f liter = 2Включение регистрации Spoofed, Source Routed и Redirect пакетовДля получения информации о Spoofed, Source Routed и Redirect пакетах, которая можетбыть использована для анализа выявления попыток и механизмов взлома системы, необходимо установитьследующие параметры.Шаг 1Добавьте или откорректируйте в файле /etc/sysctl.conf следующие строки:# Включение регистрации Spoofed, Source Routed и Redirect пакетовnet.ipv4.conf.all.log_martians = 1net.ipv4.сonf.default.log_martians = 1Шаг 2Для того чтобы внесенные изменения вступили в силу, перезагрузите сеть:Глава 7.
Псевдофайловая система /proc117[root@karlnext /]# /etc/init.d/network restartДеактивируется интерфейс eth0:[ОК]Деактивируется интерфейс-петля:[ОК]Устанавливаются параметры сети:[ОК]Активируется интерфейс loopback:[ОК]Активируется интерфейс eth0:[ОК]Тот же самый эффект может быть достигнут и без ее перезагрузки:[root@karlnext /]# sysctl –w net.ipv4.conf.all.log_martians = 1[root@karlnext /]# sysctl –w net.ipv4.conf.all.log_martians = 1Включение пересылки пакетовЕсли система используется в качестве шлюза, прокси-сервера, VPN-сервера и т.
п., необходимо включить пересылку пакетов с одной сети в другую. Это осуществляется следующим образом.Шаг 1Добавьте или откорректируйте в файле /etc/sysctl.conf следующие строки:# Разрешаем пересылку пакетовnet.IPv4.IP_forward = 1Шаг 2Для того, чтобы внесенные изменения вступили в силу, перезагрузите сеть:[root@karlnext /]# /etc/init.d/network restartДеактивируется интерфейс eth0:[ОК]Деактивируется интерфейс-петля:[ОК]Устанавливаются параметры сети:[ОК]Активируется интерфейс loopback:[ОК]Активируется интерфейс eth0:[ОК]Тот же самый эффект может быть достигнут и без перезагрузки сети:[root@karlnext /]# sysctl –w IP_forward =1ЗАМЕЧАНИЕ К включению этой опции нужно относиться с определенной степенью осторожности и использовать ее только в случае крайней необходимости, т.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
