Filtrowanie zawartości i produkty antywirusowe to tylko dwie z wielu kategorii urządzeń oferujących ochronę poza zaporą ogniową. Strategia pełnej ochrony obejmuje też produkty zabezpieczające przed atakami DoS (Denial of Service).

Atak DoS polega na bombardowaniu systemu serią pakietów. Zajęty ich obsługą system w praktyce nie może wykonywać innych usług.

Jest wiele sposobów obrony przed atakiem DoS, ale zadanie podstawowe to jego przechwycenie. Do ochrony używane są często wyspecjalizowane urządzenia.

Rozwiązania zapewniające wykrywanie ataków DoS reprezentują różne podejście do problemu:

• sygnatury do wykrywania anormalnych zachowań (aktywne i pasywne),
• kontrolowanie całego ruchu w sieci itp.

Podobnie jak w zaporach ogniowych, stosuje się reguły, pozwalające określać protokoły, mające być dopuszczane przez urządzenie, oczekiwany poziom ruchu i natężenie pakietów SYN, które należy uznać za potok SYN (SYN flood). Efektywność działania tych reguł zależy od dokładności ustawienia poszczególnych progów. Reguły określają również akcję podejmowaną po wykryciu ataku.

Rozwiązanie oparte na sygnaturach polega na porównaniu próbki ruchu sieciowego (najczęściej na podstawie parametrów określonych przez administratora) z listą sygnatur ataków. Skutecznie wychwytuje ataki oparte na pojedynczych pakietach, które mogą zablokować system, a nie zawsze są wykrywane przez rozwiązania wyszukujące anormalne zachowania.

Rozwiązania przeznaczone do walki z rozproszonym DoS (DDoS - Distributed DoS) działają często metodą monitorowania i oceny ruchu sieciowego. Mają zazwyczaj trzy interfejsy. Dwa operują w tzw. Trybie rozrzutnym, przechwytując i analizując cały ruch sieciowy (jeden obserwuje pakiety napływające z Internetu, drugi - z sieci wewnętrznej). Trzeci interfejs administruje urządzeniem.

Do identyfikacji ruchu rozproszonego DoS (Distributed DoS) i zapobiegania zablokowaniu systemu stosuje się także rozwiązania, które identyfikują tzw. Rutery kooperujące i akceptują wszystkie pochodzące od nich pakiety jako zaufane. Pasywne urządzenia sieciowe z wydzielonym interfejsem zarządzania działają zazwyczaj jako most sieciowy z pasywnym interfejsem niezawierającym nawet stosu IP. Zapewnia to ochronę samego urządzenia przed atakami DoS. Inne rozwiązania do pasywnego monitorowania wykrywają ataki na podstawie zdefiniowanych progów i ram działania, używając algorytmów opartych na Concern Index profilujących ruch.

Po zidentyfikowaniu ataku wiele rozwiązań rekomenduje filtry do zainstalowania na urządzeniu w celu usunięcia lub złagodzenia skutków ataku. Filtry te są często typu „wszystko albo nic” i mogą równie łatwo wyeliminować legalny ruch użytkownika. Można jednak zdefiniować tzw. Ruch zaufany, którego pakiety nie będą filtrowane. Dodatkowo, przy pracy w trybie pasywnym, jest rekomendowana lista kontrolna dostępu (ALC) do zainstalowania na ruterach.

Zobacz także

• Filtrowanie ruchu webowego
• Formy zagrożeń
• Kontrola zawartości poczty elektronicznej
• Strategia ataków
• Strefa bezpieczeństwa sieci
• Spyware - programy wywiadowcze
• Systemy IDS
• Załączniki i ochrona antywirusowa
• Zintegrowane rozwiązania ochronne