This book benefited from the efforts of all Cisco engineers who share our dedication and passion for
understanding and furthering IP network security. Among them, there are a few to whom we are partic-
ularly grateful. To Barry Greene, for his constant innovations, tireless leadership, and dedication to SP
security. Without his efforts, many of these IP traffic plane security concepts would not have been devel-
oped. Also, to Michael Behringer, for his constant encouragement, and for always providing sound
advice on our many technical questions.
Скачать: Cisco.Press.Router.Security.Strategies.Jan.2008.pdf
Черные дыры.
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
Это превращает машину в черную дыру при попытке подключиться к портам,
которые не слушают. Nmap по настоящему не любит это.
Защита очереди сокета от SYN атак.
Основной из самых популярных атак остается SYN флуд, при которой
очередь сокета атакуемого хоста переполняется некорректными попытками
соединений. Для защиты от таких атак некоторые из UNIX поддерживают
отдельные очереди для входящих запросов на соединение. Одна очередь
для полуоткрытых сокетов (SYN получен, SYN|ACK послан), другая очередь
для полностью открытых сокетов, ждущих вызова accept() от программы.
Эти две очереди должны быть увеличены, чтобы атаки малой и средней
интенсивности почти не влияли на стабильность и доступность сервера.
kern.ipc.somaxconn=1024
Редиректы (Перенаправления)
Атакующий может использовать IP redirect для изменения таблицы
марщрутизации на удаленном хосте. В хорошо разработанной сети
редиректы на конечные станции не должны требоваться. Оба — отправка и
принятие редиректов должны быть отключены.
net.inet.icmp.drop_redirect=1
net.inet.icmp.log_redirect=1
net.inet.ip.redirect=0
net.inet6.ip6.redirect=0
Читать далее…
UNIX IP Stack Tuning Guide v2.7
http://www.cymru.com/Documents/ip-stack-tuning.html
By Rob Thomas
Introduction
The purpose of this document is to strengthen the UNIX IP stack
against a variety of attack types prevalent on the Internet today.
This document details the settings recommended for UNIX servers
designed to provide network intensive services such as HTTP or routing
(firewall services). This document covers the following UNIX variants:
A. IBM AIX 4.3.X
B. Sun Solaris 7
C. Compaq Tru64 UNIX 5.X
D. HP HP-UX 11.0 (research ongoing)
E. Linux kernel 2.2 (tested both SuSE Linux 7.0 and RedHat 7.0)
F. FreeBSD
G. IRIX 6.5.10
Читать далее…