Poskytované služby sítě

 

 

 

 

 

 

Služby sítě

    Při výstavbě sítě musíme samozřejmě vědět, jaké služby má síť poskytovat uživatelům a zákazníkům. V typickém firemním prostředí je vhodné všechny nepotřebné služby hned na hranicích sítě zablokovat. V univerzitním prostředí se naopak můžeme setkat s tím, že neomezený přístup je pro uživatele jednou z poskytovaných služeb. Potom ale nemlžeme neznámý provoz implicitně blokovat , ale naopak musíme filtrovat jen takový provoz, který zřejmě může naše sí´tové prostředí ohrožovat.

    Ochránit síťové prostředky proti hrozbám přicházejícím přes kanál, který musí být z důvodu zajištění činnosti firmy otevřený, není nijak snadné. Pokud se například rozhodneme povolit v síti z ladících důvodů provoz ICMP, ale zároveň bojujeme proti útokům se záplavou paketů ICMP, může být vhodným řešením zablokování provozu ICMP ve směrovači u poskytovatele, protože takto část šířky komunikačního pásma uvolníme pro služby, které rozhodně musí být přístupné. Jestliže nám ale naopak přicházejí záplavy paketů SYN, zaměřené na TCP port 80, přičemž poskytujeme webové služby třeba v rámci elektronické komerce, pak tento provoz u poskytovatele zablokovat nemůžeme. Můžeme se pokusit o zablokování provozu z konkrétních zdrojů, ale při distribuovaném útoku s odepřením služeb DoS je hodně těžké sestavit vůbec úplný seznam útočících adres.

    Před útoky, které mohou přicházet přes právoplatně otevřené kanály, nás může ochránit pouze dobře postavená archiotektura hloubkové obrany.

 

Předchozí | Následující