+ Responder ao Tópico



  1. galera, nao sei se esta certo:

    no firewall so devo adicionar regras contra syn-flood se tiver aberto regras para conexões nele, como ssh??

    e contra ping-flood?? só devo adicionar regras no firewall se tiver liberado regras com permissão para ping??

    Obrigado.

  2. #2
    Xlab
    Toricamente sim, pq se seu servidor nao estiver "ouvindo" nada, ele nao podera sofrer syn-flood(inudacoes de flags syn), que na verdade um ataque de Syn-Flood causa DoS, pois tenta abrir um numero maximo de conexoes impedindo novas conexoes e derrubando o servidor que estiver sofrendo o ataque. Agora se tiver algum servidor como o apache que usa o htttp, coloque regras contra syn-flood, nao bloquei os flags com syn pois seus cliente jamais lhe dirao "bom dia", coloque regras com o modulo limit. por exemplo:

    iptables -t filter -A INPUT -p tcp --syn -m limit --limit 2/s -j ACCEPT

    Outra forma de aumentar a segurança contra syn-floods é através do próprio kernel ativando a opção "TCP Synflood" na compilação e depois executando: echo "1" >/proc/sys/net/ipv4/tcp_synflood. No entanto, utilize estas opções com cautela em servidores que possuem um grande número de acessos para não ter problemas que afetem seu clientes.

    Ja com o ping eh um pouco diferente, pois o protocolo icmp vem ativo por padrao, ou seja recebe requisicoes por padrao. E logicamente se vc tiver liberado repostas "echo-replay" coloque uma regra com o modulo limit do iptables com media de 2 requisicoes por segundo, como no exemplo acima.

    []´s



  3. Aí fera, obrigado pela resposta.

    E contra ip spoofing, o que vc tem a me indicar??

  4. #4
    Xlab
    Citação Postado originalmente por roggy
    Aí fera, obrigado pela resposta.

    E contra ip spoofing, o que vc tem a me indicar??
    Blz cara, eh o seguinte ja pra ataque contra ip spoofing, vc pode usar as seguintes regras:

    iptables -A INPUT -s 192.168.1.0/24 -i ! eth0 -j DROP
    iptables -A INPUT ! -s 192.168.1.0/24 -i eth0 -j DROP

    q quer dizer o seguinte:
    Regra 1:
    A regra diz para bloquear todos os endereços da faixa de rede 192.168.1.* que NÃO vem da interface eth0.

    Regra 2:
    A regra diz para bloquear todos os endereços que não sejam 192.168.1.* vindos da interface eth0.

    Ja com os enderecos 127.0.0.1 o kernel automaticamente bloqueia qualquer um que nao venha da interface lo(loopback).

    Mas existe um metodo preferido de usar um regras anti ip-spoofing, use o proprio kernel para fazer isso:

    for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
    echo 1 >$i
    done

    Desta forma qualquer endereço dizendo ser 192.168.1.5 vindo de ppp0 será imediatamente rejeitado.

    Lemre-se eh bom sempre duas ou tres camadas a mais, pois se uma falhar a outra pode evitar. Vc ainda pode implementarmais uma a mais arquivo de configuracao /etc/host.conf que eh o local onde configurar os itens que gerenciam o codigo de resolver nomes, fazendo o seguinte:

    nospoof on
    spoofalert on

    Checa o nome para saber o ip, e eh mesmo do remetente, ou seja se o ip realmente pertence ao dominio, caso seja forjado sera gerado um log no syslog.

    Bem eh tudo mais existe outras possiveis, mas essas ja dao conta das maioria das tentatias.Lembre-se que no iptables quando realizar a regras acima vc nao receberar respostas de ping da rota de sua placa. Outra coisa eh assumido que a interface ppp0 eh a da internet e a eth0 a sua placa interna.


    []´s






Tópicos Similares

  1. Pequena Duvida iptables
    Por lebaduk no fórum Servidores de Rede
    Respostas: 3
    Último Post: 26-06-2006, 23:29
  2. Um pequena duvida sobre CBQ!
    Por Brenno no fórum Servidores de Rede
    Respostas: 4
    Último Post: 09-03-2006, 09:48
  3. Pequena dúvida no relatório do Sarg.
    Por lacierdias no fórum Servidores de Rede
    Respostas: 1
    Último Post: 09-03-2005, 09:20
  4. Uma pequena dúvida no FSTAB
    Por luccosta no fórum Servidores de Rede
    Respostas: 7
    Último Post: 23-07-2004, 11:56
  5. Pequena dúvida!
    Por luiz_nando no fórum Servidores de Rede
    Respostas: 1
    Último Post: 13-05-2003, 16:06

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L