Cách hữu hiệu phòng chống hacker tấn công firewall phần 5

Phòng Chống Bạn có thể phong tỏa các gói tin ICMP TTL EXPIRED tại cấp giao diện bên ngoài, nhng điều này có thể tác động tiêu eực đến khả năng vận hành của nó, vì các hệ khách hợp pháp đang nối sẽ kh ông bao giờ biết điều gì đã xảy ra với tuyến nối của chúng. | http 25 Biện Pháp Phòng Chống Phòng Chống Bạn có thể phong tỏa các gói tin ICMP TTL EXPIRED tại cấp giao diện bên ngoài nhng điều này có thể tác động tiêu eực đến khả năng vận hành của nó vì các hệ khách hợp pháp đang nối sẽ kh ông bao giờ biết điều gì đã xảy ra với tuyến nối của chúng. IV. Lọc gói tin Các bức tờng lửa lọc gói tin nh Firewall-1 của Check Point Cisco PIX và IOS của Cisco vâng Cisco IOS có thể đợc xác lập dới dạng một bức tờng lửa tùy thuộc vào các ACL danh sách kiểm soát truy cập hoặc các quy tắc để xác định xem luồng lu thông có đợc cấp quyền để truyền vào ra mạng bên trong. Đa phần các ACL này đợc sắp đặt kỹ và khó khắc phục. Nhng thông thờng bạn tình cờ gặp một bức tờng lửa có các ACL tự do cho phép vài gói tin đi qua ở tình trạng mở. . Các ACL Tự Do Các danh sách kiểm soát truy cập ACL tự do thờng gặp trên các bức tờng lửa nhiều hơn ta t- http 26 ởng. Hãy xét trờng hợp ở đó có thể một tổ chức phải cho phép ISP thực hiện các đợt chuyển giao miền. Một ACL tự do nh Cho phép tất cả mọi hoạt động từ cổng nguồn 53 có thể đợc sử dụng thay vì cho phép hoạt động từ hệ phục vụ DNS của ISP với cổng nguồn 53 và cổng đích 53. Nguy cơ tồn tại các cấu hình sai này có thể gây tàn phá thực sự cho phép một hắc cơ quét nguyên cả mạng từ bên ngoài. Hầu hết các cuộc tấn công này đều bắt đầu bằng một kẻ tấn công tiến hành quét một hệ chủ đằ ng sau bức tờng lửa và đánh lừa nguồn của nó dới dạng cống 53 DNS . Biện Pháp Phòng Chống Phòng Chống Bảo đảm các quy tắc bức tờng lửa giới hạn ai có thể nối ở đâu. Ví dụ nếu ISP yêu cầu khả năng chuyển giao miền thì bạn phải rõ ràng về các quy tắc của mình. Hãy yêu cầu một địa chỉ IP nguồn và mã hóa cứng địa chỉ IP đích hệ phục vụ DNS bên trong của bạn theo quy tắc mà bạn nghĩ ra. Nếu đang dùng một bức tờng lửa Checkpoint bạn có thể dùng quy tắc sau đây để hạn chế một cổng nguồn 53 DNS chỉ đến DNS của ISP. Ví dụ nếu DNS của ISP là và DNS bên trong của bạn là bạn có thể dùng .