Небольшое резюме по предотвращению сетевых атак
Конечно, лучший способ предотвращения всевозможных атак — блокировка доступа к запущенным службам как на уровне сети, так и на уровне отдельных компьютеров. Внешние устройства контроля доступа к сети (коммутаторы, маршрутизаторы, брандмауэры и т.д.) следует настроить таким образом, чтобы пресечь любые попытки доступа извне ко всем внутренним портам. Для этого обычно отключаются все протоколы для всех доменов, а затем подключаются только те службы, которые действительно необходимы для работы При этом, конечно, необходимо помнить об очевидных исключениях: порт 80 или 443 нужно оставить для работы Web-серверов. Ни один из этих портов не должен быть доступен за пределами сети, и лишь некоторые могут предоставляться для использования проверенными пользователями внутренних подсетей.
Необходимо также защитить порты, находящиеся в состоянии ожидания запросов, на отдельных компьютеров. Такая «защита в глубину» значительно затрудняет возможность сетевых атак. Классический совет в этой связи сводится к завершению работы всех ненужных служб с помощью программы services.msc и их отключению.
Чтобы ограничить доступ к портам отдельных компьютеров, можно использовать проверенные временем фильтры для протокола TCP/IP.
Порты 139 и 445 можно отключить, однако эта операция выполняется отдельно для каждого конкретного адаптера. Закрыть доступ к указанным портам можно в окне «Сетевые подключения», выбрав команду «Свойства», как показано на следующем рисунке.
При сбросе флажка «Служба доступа к файлам и принтерам сетей Microsoft» доступ к портам 139 и 445 через нулевое соединение будет закрыт (а за одно будет отключена и возможность совместного использования файлов и принтеров J). Этот прием является наилучшим способом конфигурирования внешних интерфейсов ПК, соединенного с Internet, да и с любой сетью, из которой можно ожидать вторжения.
После выполнения указанных действий порты TCP 139 и 445 будут все равно отображаться в результате сканирования портов. Но через них уже будет невозможно получить информацию, связанную со службой NetBIOS.
Если без использования разделяемых ресурсов все-таки никак не обойтись, то следует установить значение параметра «RestrictAnonymous». Теперь это можно сделать с помощью команды Администрированиеs/Локальные политики безопасности/Параметры безопасности/ Сетевой доступ: не разрешать перечисление учетных записей SAM анонимными пользователями, изменив параметр на значение «Включить». Эта команда эквивалентна установке в системном реестре значения 2 для параметра RestictAnonymous. Далее...
|