Data postarii 2012-06-27      Subiect: Filtrarea INGRESS-EGRESS      Categorie: Securitate server

Filtrarea INGRESS/EGRESS

Termenii ingress si egress inseamna intrare si iesire.

 

      Intr-o retea interconectata de retele, cum e internetul, ceea ce iese (egress) dintr-o retea intra (ingress) in alta. Pentru evitarea confuziei, este foarte important sa fie bine definit locul unde are loc filtrarea, In ceea ce priveste reteaua al carei trafic este filtrat.        

 

      Daca ar exista doar un “Mare” internet si noi toti ne-am conecta gazdele direct la internet, viata ar mult mai simpla si am spune doar ca “ingress inseamna intrarea in internet”, iar “egress inseamna iesirea din internet” si totul ar fi foarte clar. Ar fi doar o singura perspectiva. Dar nu exista nici un “Internet” la care sa ne conectam cu totii si ca sa fie si mai rau, exista provideri de retea tier 1(este o retea de tranzit gratuita, care nu plateste nimic altei retele pentru a ajunge la orice alta portiune a internetului), precum si leaf networks. (retelele din universitati si intreprinderi).

 

      O alta confuzie In folosirea termenilor este ca filtrarea se face pe orice criteriu, nu doar adreselor sursa. In vreme ce discutiile pe tema acestor termeni se axeaza adesea pe chestiunea micsorarii IP spoofing-ului, In ceea ce priveste filtrarea , acesta se poate face pe tipul protocolului, numarul portului sau orice alt criteriu important.

 

Spoofing-ul poate avea loc In ambele directii.

 

      Atacatorii din afara retelei tale pot trimite pachete  inbound catre reteaua ta pretinzand ca sunt gazde din reteaua ta, iar atacatorii din interiorul retelei tale pot trimite pachete outbound dinspre reteaua ta pretinzand ca sunt gazde din afara retelei tale. Asta Inseamna ca retelele ar trebui sa faca atat filtrare ingress cat si egress ca sa Isi protejeze propria retea, dar si pe altele.

 

      Chiar daca ISP-ul spune ca filtreaza pachetele ce vin In reteaua ca sa previna spoofing-ul, e posibil sa doriti sa faceti o filtrare suplimentara a acelorasi pachete ca sa va asigurati ca spoofing-ul nu va avea loc. La urma urmei, unele lucruri pot esua uneori, nu-i asa?   Spoofing-ul adreselor victimelor. Acesta este scenariul unui atac reflectat.

 

      Gazda falsifica adresele sursa In pachetele de cereri a unui serviciu(de exemplu, un packet SYN pentru o conexiune TCP) ca sa justifice o avalansa de cereri reply trimise catre victima, Daca nu exista fitrare la pachetele care pleaca de la reteaua sursa sau la punctul de intrare la router-ul ISP-ului, aceste pachete falsificate permit o reflectare a atacului DoS.

www.dlsit.ro   >> design - linux - servicii - it.ro Pentru orice problema tehnica contactati-ne