CHARGEN

Отказ от старого протокола "CHARGEN" - в целях повышения безопасности сайтов, компьютеров и локальных серверов.
Этот протокол особенно популярен среди атакующих хакеров, которые часто используют UDP Флудинг. По умолчанию этот протокол включен в многофункциональных копировальных аппаратов (принтер/сканер/факс) и в подобных машинах.
Подобно тому, как "DNS CHARGEN" идеально усиливает атаки хакеров. Действительно, небольшие запросы от поддельных IP-адресов (IPSpoofing) - будут генерировать гораздо больший трафик на сервер жертвы, что и приведет к полному отключению: к забиванию канала связи флудом или хуже, к физическому повреждению аппаратов, компьютеров офиса, или серверов.
Мы настоятельно рекомендуем: Организациям, факсам и/или компаниям, которые используют вышеуказанные аппараты - с помощью Firewall, блокировать порт 19 для UDP и ICMP соединений через строгий режим IPtabels.
Так же ограничиваем потоки подключения к новому DNS сервису по протоколу UDP/TCP "53".
Правила IPtabels/NAT:
-A INPUT -p udp --dport 19 -j DROP
-A INPUT -p icmp --dport 19 -j DROP
-A INPUT -p udp --dport 19 -m connlimit --connlimit-above 3 -j DROP
-A INPUT -p icmp --dport 19 -m connlimit --connlimit-above 3 -j DROP
-A INPUT -p tcp --syn --dport 19 -m connlimit --connlimit-above 3 -j REJECT --reject-with tcp-reset
-A INPUT -p udp --syn --dport 19 -m connlimit --connlimit-above 3 -j REJECT --reject-with tcp-reset
-A INPUT -p icmp --syn --dport 19 -m connlimit --connlimit-above 3 -j REJECT --reject-with tcp-reset
-A LIMIT -p udp --dport 53 -m connlimit --connlimit-above 8 -j LOG \ --log-level 4 --log-prefix "[FW DNS DROP]: "
-A LIMIT -p udp --dport 53 -m connlimit --connlimit-above 8 -j DROP
-A LIMIT -m conntrack --ctstate NEW,INVALID -p tcp \ --tcp-flags SYN,ACK SYN,ACK -j LOG --log-level 4 --log-prefix "[FW SPUF REJECT]: "
-A LIMIT -m conntrack --ctstate NEW,INVALID -p tcp \ --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-with tcp-reset
-A LIMIT -m conntrack --ctstate NEW -m recent --update \ --seconds 3 --hitcount 15 -j LOG --log-level 4 --log-prefix "[FW NEW DROP]: "
-A LIMIT -m conntrack --ctstate NEW -m recent --update \ --seconds 3 --hitcount 15 -j DROP
Если Вам по каким-то причинам все-таки нужно будет оставить ОТКРЫТЫМ эти ОПАСНЫЕ порты служб, то убедитесь, что компьютеры, в которых службы активны, - не подключены к интернету, а используют лишь локальное соединение. Так же следует обратить внимание на несколько сетей. Если Ваши аппараты используют локальные сети, для общения с сообщниками, но в то-же время подключены к интернету, - то уязвимость будет доступна не только для одного пользователя, но и для всех пользователей. Естественно необходимо отключить все компьютеры из сети "Интернет", которые установлены и открыты для общения через локальные сети, по порту 19-53. Так же не забываем, что если злоумышленник будет находиться в Вашем офисе и откроет UDP флуд, отключая всю систему, то личность пользователя установить будет практически невозможным, по причинам отсутствия отслеживания, так как у всех компьютеров - 1 IP локальный IP адрес и 1 Локальное соединение. Существует 3 выхода из данной ситуации.
1. (Среднее). По всей локальной сети пользователей установить полный контроль над компьютерами сотрудников, то есть часто НЕ использовать одни и те-же операционные системы и пакеты ОС: (SP1, SP2, SP3). Каждому компьютеру - дать разное имя пользователя, кроме (ROOT, ADMIN, SYSADMIN, USER, SUPERUSER, SUPERADMIN, SYSTEM), - даже на главный ПК руководителя. Использовать программы для полного отслеживания: "NEOSPY, SUPREMO, TEAMVIEWER" или что-то подобное.
2 (Сложный/дорого). Встроить в локальный канал: аппараты фильтрации и отслеживания трафика, в целях избежания локальных/автоматических атак, используя аппаратные решения от Cisco Guard, или тому подобное.
Напоминаем, что локальная атака может случиться не только по вине Ваших сотрудников. Причиной локального флуда может стать даже вирус, (скрипт который автоматически добавляется в систему ОС пользователя, заражает все компьютеры через локальную сеть), - и запускается в заданное хакером время, отключая возможность обнаруживать компьютер атакующего, во избежания аналитики действий, и разумеется во избежание уголовного наказания злоумышленника, полную ответственность за потерю данных и корпоративной информации компании. Следовательно необходимо установить на все компьютеры сильные антивирусные программы локально и хотя-бы раз в месяц обновлять их до последней версии.
3. (Легко/оптимально/не дорого).
Обратиться к нам за помощью. Спец. службы Andromeda Cloud, inc. (☁AC™) готовы защищать, очищать, стабилизировать и отфильтровать все компьютеры и сервера вашей компании и/или организации.
Каждый компьютер отфильтровать, адаптировать и защищать - стоит по 7000 рублей! Оплата и обновление защиты происходит один раз в год. (Обновление защиты) - будет выполнено по соглашению владельца организации, через удаленный режим. Обновление будет со скидкой от 30 до 55%! Насколько меньше компьютеров - настолько выше скидка.
Мы гарантируем полное шифрование данных сетей общения между пользователями, по технологии RSA 15360 бит и DH 30720 битным ключом и море других технологий.
Для упрощённой работы с локальной сетью - компания в силе создавать локальный реестр доменных имен. То-есть, вы забиваете в браузере имя домена, например - mycompany.com , и открывается полноценный сайт в режиме https с строгой встроенной защитой, и с шифрованием до 8192 битным ключом и разумеется с ВАЛИДНЫМ сертификатом от доверенной центром сертификации C.O.M.O.D.O. Данный сайт может содержать в себе глобальную информацию о вашей компании, данные пользователей вашего банка, или служить как локальный сервер общения между сотрудниками компании. К данному серверу можно будет подключиться только лишь с тех компьютеров, - которые выберите вы сами. То-есть, если в современном ПК сбить имя домена - mycompany.com и попробовать открыть его, то можно будет получить ошибку о распознавания DNS зон. Так же домен вообще может быть НЕ зарегистрированным. Это альтернативное и самое безопасное решение для солидарных компаний, которым важна информация о своих службах, клиентах и сотрудниках.
И запомните: Нельзя доверять другу того, чего не должен знать Ваш враг. Ибо тот же друг завтра сможет стать Вашим же врагом!
С уважением,
Andromeda Cloud, inc. (☁AC™)