JК
Искусство вторжения :: Митник Кевин
Страница: 181 из 415Общая ошибка в конфигурации прокси-серверов заключается в том, что они «слушают» все интерфейсы сети, включая и внешние интерфейсы, соединенные с Интернетом. Вместо этого прокси-сервер должен быть сконфигурирован так, чтобы позволять доступ только определенному набору IP-адресов, который должен определяться организацией I A N A (Internet Assigned Numbers Authority) для частных сетей. Есть три блока частных IP-адресов:
От 10.0.0.0 до 10.255.255.255
От 172.16.0.0 до 172.31.255.255
От 192.168.0.0 до 192.168. 255.255
Хорошая идея — ограничение по портам, чтобы ограничить набор услуг, которые предоставляет прокси-сервер, например, ограничить исходящие соединения с HTTP (Интернет) или HTTPS (безопасный Интернет-доступ). Для более тщательного контроля некоторые прокси-серверы, использующие SSL, могут быть сконфигурированы так, чтобы проверять входящий трафик, и иметь возможность убедиться, что неавторизованный протокол не проникает через авторизованный порт. Предпринятые шаги помешают атакующему неадекватно использовать прокси-сервер для соединения с неразрешенными ему сервисами.
После установки и конфигурации прокси-сервера его необходимо проверить на наличие лазеек. Никогда нельзя быть уверенным в собственной неуязвимости, пока не будет проведена тщательная проверка. Прокси-серверы могут быть бесплатно перегружены из Интернета.
От 10.0.0.0 до 10.255.255.255
От 172.16.0.0 до 172.31.255.255
От 192.168.0.0 до 192.168. 255.255
Хорошая идея — ограничение по портам, чтобы ограничить набор услуг, которые предоставляет прокси-сервер, например, ограничить исходящие соединения с HTTP (Интернет) или HTTPS (безопасный Интернет-доступ). Для более тщательного контроля некоторые прокси-серверы, использующие SSL, могут быть сконфигурированы так, чтобы проверять входящий трафик, и иметь возможность убедиться, что неавторизованный протокол не проникает через авторизованный порт. Предпринятые шаги помешают атакующему неадекватно использовать прокси-сервер для соединения с неразрешенными ему сервисами.
После установки и конфигурации прокси-сервера его необходимо проверить на наличие лазеек. Никогда нельзя быть уверенным в собственной неуязвимости, пока не будет проведена тщательная проверка. Прокси-серверы могут быть бесплатно перегружены из Интернета.