Сетевое железо - статьи

       

Методы защиты


Нерадостную картину безопасности VoIP несколько «осветляют» проверенные методы защиты, а также использование адаптированные к нуждам интернет-телефонии разработки в сфере сетевой безопасности. Множество алгоритмов защиты могут быть реализованы как на програмном уровне (различные специализированные приложения, проверенные годами и с успехом работающие на «боевых» серверах с доступом к Интернету), так и в виде аппаратных средств. На самом деле, сегодня в индустрии сетей уже трудно определить грань функциональности между аппаратными и программными возможностями, поэтому отметим принципиальные подходы, подлежащие реализации при помощи упомянутых двух подходов.

  • Использование защищенных туннелей VPN.
  • Фильтрация и передача управляющего трафика сквозь механизмы Network Address Translation и защищенные туннели.
  • Слежение на уровне протокола TCP с целью подтверждения завершения открытых сессий (этот механизм необходим для упреждения атак типа DoS).
  • Шифрование управляющего трафика.
  • Защита портов - выражается в ограничении числа сетевых устройств с различными MAC-адресами, подключаемых к одному порту.
  • Ограничение полосы пропускания трафика - также с целью противостояния DoS-атакам.
  • Механизмы предотвращения атак, заключающихся в захвате всего пула IP-адресов, раздаваемых серверами DHCP.
  • Предотвращение искажений ARP-таблицы и подмены MAC-адресов.
  • Запрет любых действий с анонимных IP-адресов (включая трафик с анонимных прокси-серверов).
  • Жесткие списки доступа адресов, которые подлежат VoIP-обслуживанию (это могут быть как IP-, так и MAC-адреса).
  • Защита переполнения буферов сервера доступа VoIP.
  • Защита стека TCP от атак типа syn flood.
  • Упреждение сканирования портов на предмет обнаружения запущенных сетевых процессов с целью задействования известных эксплойтов.
  • Любой администратор UNIX-сервера не найдет в этом списке ничего принципиально нового - механизмы как защит, так и атак стары как мир, извечное противостояние лишь перешло в очередную фазу.



    Содержание раздела