galera, nao sei se esta certo:
no firewall so devo adicionar regras contra syn-flood se tiver aberto regras para conexões nele, como ssh??
e contra ping-flood?? só devo adicionar regras no firewall se tiver liberado regras com permissão para ping??
Obrigado.
-
02-06-2004, 14:31 #1
- Ingresso
- Sep 2002
- Posts
- 858
pequena dúvida
-
02-06-2004, 22:13 #2XlabVisitante pequena dúvida
Toricamente sim, pq se seu servidor nao estiver "ouvindo" nada, ele nao podera sofrer syn-flood(inudacoes de flags syn), que na verdade um ataque de Syn-Flood causa DoS, pois tenta abrir um numero maximo de conexoes impedindo novas conexoes e derrubando o servidor que estiver sofrendo o ataque. Agora se tiver algum servidor como o apache que usa o htttp, coloque regras contra syn-flood, nao bloquei os flags com syn pois seus cliente jamais lhe dirao "bom dia", coloque regras com o modulo limit. por exemplo:
iptables -t filter -A INPUT -p tcp --syn -m limit --limit 2/s -j ACCEPT
Outra forma de aumentar a segurança contra syn-floods é através do próprio kernel ativando a opção "TCP Synflood" na compilação e depois executando: echo "1" >/proc/sys/net/ipv4/tcp_synflood. No entanto, utilize estas opções com cautela em servidores que possuem um grande número de acessos para não ter problemas que afetem seu clientes.
Ja com o ping eh um pouco diferente, pois o protocolo icmp vem ativo por padrao, ou seja recebe requisicoes por padrao. E logicamente se vc tiver liberado repostas "echo-replay" coloque uma regra com o modulo limit do iptables com media de 2 requisicoes por segundo, como no exemplo acima.
[]´s
-
03-06-2004, 10:37 #3
- Ingresso
- Sep 2002
- Posts
- 858
pequena dúvida
Aí fera, obrigado pela resposta.
E contra ip spoofing, o que vc tem a me indicar??
-
03-06-2004, 13:08 #4XlabVisitante pequena dúvida
Blz cara, eh o seguinte ja pra ataque contra ip spoofing, vc pode usar as seguintes regras:
Postado originalmente por roggy
iptables -A INPUT -s 192.168.1.0/24 -i ! eth0 -j DROP
iptables -A INPUT ! -s 192.168.1.0/24 -i eth0 -j DROP
q quer dizer o seguinte:
Regra 1:
A regra diz para bloquear todos os endereços da faixa de rede 192.168.1.* que NÃO vem da interface eth0.
Regra 2:
A regra diz para bloquear todos os endereços que não sejam 192.168.1.* vindos da interface eth0.
Ja com os enderecos 127.0.0.1 o kernel automaticamente bloqueia qualquer um que nao venha da interface lo(loopback).
Mas existe um metodo preferido de usar um regras anti ip-spoofing, use o proprio kernel para fazer isso:
for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 >$i
done
Desta forma qualquer endereço dizendo ser 192.168.1.5 vindo de ppp0 será imediatamente rejeitado.
Lemre-se eh bom sempre duas ou tres camadas a mais, pois se uma falhar a outra pode evitar. Vc ainda pode implementarmais uma a mais arquivo de configuracao /etc/host.conf que eh o local onde configurar os itens que gerenciam o codigo de resolver nomes, fazendo o seguinte:
nospoof on
spoofalert on
Checa o nome para saber o ip, e eh mesmo do remetente, ou seja se o ip realmente pertence ao dominio, caso seja forjado sera gerado um log no syslog.
Bem eh tudo mais existe outras possiveis, mas essas ja dao conta das maioria das tentatias.Lembre-se que no iptables quando realizar a regras acima vc nao receberar respostas de ping da rota de sua placa. Outra coisa eh assumido que a interface ppp0 eh a da internet e a eth0 a sua placa interna.
[]´s
Citação