3 traceroute, 5 динамический анализ пакетов, Таб. 69 допустимые команды smtp – Инструкция по эксплуатации Zyxel P-2602H
Страница 204
Руководство пользователя cерии P-2602H/HW EE
204
Глава 13 Межсетевые экраны
Любые команды SMTP, кроме перечисленных в следующих таблицах, являются
недопустимыми.
13.4.2.3 Traceroute
Traceroute – это утилита для определения маршрута пакета между двумя конечными
точками. В ряде случаев, когда фильтрация пакетов в межсетевом экране настроена
неправильно, хакер может преодолеть межсетевой экран с помощью “traceroute” и
узнать топологию сети за межсетевым экраном.
Часто для DoS-атак также используется прием, известный как подмена IP-адреса.
Целью подмены может быть проникновение в системы, сокрытие истинного
местонахождения хакера или увеличение эффекта DoS-атаки. Подмена IP-адреса
используется для несанкционированного доступа на компьютеры, при этом
маршрутизатор или межсетевой экран вводится в заблуждение тем, что сеанс якобы
устанавливается изнутри доверенной сети. Реализуя подмену IP-адреса, хакер должен
изменить заголовки пакета так, чтобы казалось, что пакеты происходят от доверенного
хоста и должны свободно пропускаться маршрутизатором или межсетевым экраном.
P-2602 блокирует все попытки подмены IP-адреса.
13.5 Динамический анализ пакетов
Динамический анализ пакетов состоит в том, что содержимое полей в пакетах
сравнивается с пакетами, которые ранее были признаны доверенными. Например, если
вы обращаетесь к какой-либо внешней сетевой службе, прокси-сервер запоминает такие
параметры вашего исходного запроса, как номер порта и адреса источника и получателя.
Это “запоминание” называется сохранением состояния. Когда внешняя система
отвечает на ваш запрос, межсетевой экран сравнивает полученные пакеты с
сохраненным состоянием, решая, нужно ли разрешить или запретить их прохождение.
Используя динамический анализ пакетов, P-2602 защищает частные LAN от хакеров и
вандалов в Интернете. По умолчанию механизм динамического анализа пакетов в P-
2602 разрешает установление всех соединений с Интернетом со стороны LAN, и
блокирует весь трафик по направлению к LAN, исходящий из Интернета. В первом
приближении динамический анализ пакетов:
• Разрешает все сеансы, устанавливаемые со стороны LAN (локальная сеть) в
направлении WAN (Интернет).
• Запрещает установление любых сеансов со стороны WAN в направлении LAN.
Таб. 69 Допустимые команды SMTP
AUTH
DATA
EHLO
ETRN
EXPN
HELO
HELP
NOOP
QUIT
RCPT
RSET
SAML
SEND
SOML
TURN
VRFY