RFC: 3013
Оригинал: Recommended Internet Service Provider Security Services and Procedures
Категория: Лучший современный опыт
Дата публикации:
Автор:
Перевод: Николай Малых

RFC 3013, Страница 8 из 11

4.4. Фильтрация по адресам отправителя на выходе

Выходной в данном случае считается информация, направленная из Internet в сторону краевого сайта (пользователя).

Сегодня в сети Internet используется множество приложений, предоставляющих хостам доступ на основе адресов IP (например, r-службы Berkeley). Такие приложения подвержены атакам с использованием подставных адресов (IP spoofing), описанным в [CA-95.01.IP.spoofing]. Кроме того, существуют уязвимости, связанные с использованием адресов, которые могут представляться локальными (например, land-атаки, описанные в [CA-97.28.Teardrop_Land]).

Для снижения уровня уязвимости заказчиков к такого рода атакам провайдерам следует выполнять приведенные здесь рекомендации. На граничном шлюзе для каждого из заказчиков провайдеру следует фильтровать весь выходной трафик, который содержит в поле отправителя адреса из блока данного заказчика.

Рассмотренные в параграфе 4.3 обстоятельства неприменимости входной фильтрации не относятся к рассмотренной здесь выходной фильтрации.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.