Сетевая безопасность: Техника обхода списков доступа ACL

Как Вы уже убедились в предыдущих заметках из серии «Сетевая безопасность», списки доступа ACL не могут гарантировать полную защиту от несанкционированного доступа к сети. Это достигается лишь комплексом различных мер.

В этой заметке рассмотрим одну из особенностей работы списков доступа с фрагментированными IP пакетами.

По умолчанию, протокол IP разрешает фрагментацию пакетов, что открывает достаточно большое число давно известных уязвимостей.

Откуда берутся фрагментированные пакеты?

TCP/IP Encapsulation

Когда пакеты протокола сетевого уровня L3 (IP) модели OSI слишком большие, чтобы передать их одним фреймом на уровне L2 (Data Link), они разбиваются на более мелкие фрагменты.

Читать далее