Όπως έχει γίνει φανερό η επίθεση άρνησης υπηρεσίας είναι εξαιρετικά
δύσκολο να εμποδιστεί. Έτσι ο ειδικός ασφαλείας οφείλει να ενεργήσει
προληπτικά.
Πρέπει λοιπόν να υπάρχει εγκατεστημένο και σε λειτουργία firewall τόσο σε επίπεδο δικτύου, όσο και σε
επίπεδο μηχανής. (Cole E., Krutz R., Conley J. 2005). Τα firewalls πρέπει να ακολουθούν πολιτική ολικής
άρνησης (deny all). Σύμφωνα με την πολιτική αυτή, ότι ρητά δεν
επιτρέπεται τότε απαγορεύεται. Επομένως οι αλληλεπιδράσεις μεταξύ εσωτερικού
δικτύου και διαδικτύου που θα πρέπει να επιτραπούν θα πρέπει να είναι οι
απολύτως απαραίτητες για την ανάγκες των εσωτερικών χρηστών και του εσωτερικού
δικτύου. Τέτοιες είναι η υπηρεσία ηλεκτρονικού ταχυδρομείου (port 23) και η υπηρεσία του παγκόσμιου ιστού (port 80). (Κάτσικας Σ.2001).
Έτσι περιορίζεται δραματικά ο αριθμός των ports στα οποία μια κλήση με χρήση πρωτοκόλλου TCP/IP απευθύνεται και επομένως
περιορίζουμε την δυνατότητα επιθέσεων μόνο σε συγκεκριμένα ports. Έτσι είναι ευκολότερο να παρακολουθούμε την κίνηση σε
αυτές αλλά και την προέλευση των κλήσεων.
Επιπλέον ο ειδικός ασφάλειας πρέπει να είναι ενημερωμένος για τις
εξελίξεις. Οι περισσότερες επιθέσεις DDoS έγιναν ενάντια σε
δημοφιλή λειτουργικά συστήματα και εξαιτίας των επιθέσεων αυτών οι εταιρίες
παραγωγής των λειτουργικών συστημάτων κυκλοφορούν patches για την αντιμετώπιση ανάλογων επιθέσεων στο μέλλον.
Η χρήση antivirus είναι επιβεβλημένη
και η ανανέωση με τις τελευταίες βιβλιοθήκες πρέπει να τηρείται με συνέπεια.
Επίσης συνίσταται ο administrator του δικτύου να
εκτελεί τις καθημερινές εργασίες με ένα δεύτερο non administrative λογαριασμό ώστε σε
περίπτωση ύπαρξης κάποιου Trojan στο σύστημα η
ζημιά να περιοριστεί αφού οι κωδικοί που θα υποκλαπούν δεν θα έχουν δικαιώματα administrator. (Khnaser E., Snedak S, Peiris C., Amini R.;2004);
Χρήσιμο επίσης είναι η εδραίωση καλής συνεργασίας με τον ISP και η υπογραφή
συμβάσεων με service level agreements (SLA’s) που ορίζουν
υπευθυνότητες στον ISP αναφορικά με την
ανίχνευση και απαγόρευση συγκεκριμένης κίνησης σε επιθέσεις DoS. (Isaac D., Isaac M.; 2003)
Βιβλιογραφία
- Cole E., Krutz R., Conley J.; (2005); “Network Security Bible”; Wiley Publishing Inc; Indianapolis; pp 75
- Κάτσικας Σ.;(2001); “Προστασία και ασφάλεια συστημάτων υπολογιστών: Ασφάλεια δικτύων”; Ελληνικό Ανοικτό Πανεπιστήμιο; pp 185-195, 235
- Khnaser E., Snedak S, Peiris C., Amini R.;(2004);“MCSE (Designing Security for a Windows Server 2003 Network Exam 70-298 Study Guide”; Syngress Publishing; pp 34
- Isaac D., Isaac M.; (2003); “The SSCP Prep Guide: Mastering the Seven Key Areas of System Security”; Wiley Publishing Inc; Canada; pp 26
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου