Для предотвращения атак с помощью пакетов больших размеров (ping смерти) необходимо включить режим фильтрации большого (по объему) или фрагментированного трафика ICMP, а так же запретить обработку входящих фрагментированных пакетов IP в маршрутизаторе периметра. Такой вид атак можно обнаружить с помощью средств обнаружения вторжений Cisco.
Атака «Лавина ping» блокируется с помощью запрета ответов на запросы ICMP в маршрутизаторах периметра и блокировки широковещания на всех маршрутизаторах сети.
Атака «Лавина SYN» может быть исключена с помощью механизмов фильтрации пакетов с фальсифицированными IP-адресами и средств СВАС (Context-Based Access Control — управление доступом на основе контекста), которые используются для выявления признаков атак блокирования сервиса и защиты от них.
Подмена данных.
Злоумышленник может перехватить, пересылаемые по каналу связи, данные, изменить их и воспроизвести повторно.
Можно выделить два типа атак подмены данных.
Подмена IP-адресов – злоумышленник может подменить IP-адрес и получить доступ к тем ресурсам сети, аутентификация запросов к которым выполняется на основе проверки адресов.
Подмена данных – реализуется с помощью воспроизведения или захвата сеанса связи. Злоумышленник выполняет перехват нескольких пакетов, анализирует и изменяет полученные данные, а затем воспроизводит пакеты с целью выполнения несанкционированных действий. При этом используется отсутствие или несовершенство средств проверки подлинности принимаемых данных.
Захват сеанса связи – злоумышленник перехватывает управление уже установленным соединением IP и передает по нему фальсифицированные данные.
Методы противодействия атакам подмены данных.
Для предотвращения атак подмены данных можно выполнить следующие действия:
• включение режима Web-броузера, в котором выполняется запрос на выполнение мобильного программного кода;
• блокирование доступа к общедоступным серверам электронной почты для уменьшения возможности утечки информации;
• использование средств аутентификации (CiscoSecure, TACACS+, RADIUS);
• использование шифрования для защиты целостности и конфиденциальности передаваемых данных;
• применение системы цифровых подписей.
Защита сети