[FUGSPBR] Ainda sobre filtrar ICMP ...
Ronan Lucio
ronan em melim.com.br
Sex Nov 23 17:03:59 BRST 2001
Os icmptypes time exceded e host unrecheable devem ser negados
justamente para que o invasor tenha maior dificuldade de descobrir
quem são os roteadores e quais hosts/routers estão ativos ou não,
ou seja, dificultar o reconhcemento da sua rede.
Ronan Lucio
Melim Internet Provider
> Ricardo Bueno da Silva wrote:
> >
> > Pessoall,
> >
> > Nao e' aconselhavel bloquear todas mensagens de ICMP no seu
> > filtro. Bloqueando "Parameter Problem" e "Source Quench", por
> > exemplo, voce estara perdendo informacoes importantes sobre
> > a conexao, o que pode acarretar num mal aproveitamento dos
> > recursos da sua rede.
>
> No livro Hackers expostos diz o seguinte:
>
> Uma abordagem minimalista consiste em permitir que comente pacotes ICMP
> echo-reply, host unreachable e time exceeded entrem na rede DMZ.
>
> Mas fechar todo o trafego ICMP na entrada da rede dos servidores causa
> alguns comportamentos estranhos...
>
> Então permiti apenas os pacotes que o livro recomendou e o echo
> request...
> O que eu perco bloqueando source quench e paramter problem?
>
>
> > isso de maneira que consiga impedir um DOS de ICMP (como o FreeBSD faz
com
> > o ICMP_BANDLIM), vale a pena liberar o ECHO REQUEST tambem.
>
> Eu ia justamente perguntar como evitar um DoS no Free...
>
>
> --
> Sulamita Garcia Alta Disponibilidade em Linux
> Analista de Suporte http://ha.underlinux.com.br
> sulamita.garcia em nexxera.com
> ICQ 16465301 Grupo de Usuárias de Linux
> http://linuxchix-br.nl.linux.org
> ----
> Para sair da lista envie um e-mail para majordomo em fugspbr.org
> com as palavras "unsubscribe fugspbr" no corpo da mensagem.
>
>
----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.
Mais detalhes sobre a lista de discussão freebsd