[FUGSPBR] Regras de Firewall
Max
ldd em starweb.com.br
Seg Abr 8 16:29:07 BRT 2002
Você poderia informar quais são os tipos de icmp que não são recomendados o
bloqueio ?
Max
-----Mensagem original-----
De: Ronan Lucio <ronan em melim.com.br>
Para: fugspbr em fugspbr.org <fugspbr em fugspbr.org>
Data: Segunda-feira, 8 de Abril de 2002 09:22
Assunto: Re: [FUGSPBR] Regras de Firewall
>Você não pode barra todo o tráfego icmp, pois o protocolo
>icmp é um protocolo de controle utilizado inclusive para controle
>de tráfego e congestionamento em comunicações IP. Veja o que
>diz a RFC1122:
>
> ICMP is a control protocol that is considered to be an
> integral part of IP, although it is architecturally
> layered upon IP, i.e., it uses IP to carry its data end-
> to-end just as a transport protocol like TCP or UDP does.
> ICMP provides error reporting, congestion reporting, and
> first-hop gateway redirection.
>
>
>E a RFC1191:
>
> A worse problem is the role of ICMP packets in MTU discovery.
>All
> good TCP implementations (Linux included) use MTU discovery
to
>try
> to figure out what the largest packet that can get to a
>destination
> without being fragmented (fragmentation slows performance,
> especially when occasional fragments are lost). MTU
discovery
>works
> by sending packets with the "Don't Fragment" bit set, and
then
> sending smaller packets if it gets an ICMP packet indicating
> "Fragmentation needed but DF set" (`fragmentation-needed').
>This is
> a type of `destination-unreachable' packet, and if it is
never
> received, the local host will not reduce MTU, and performance
>will
> be abysmal or non-existent.
>
>
>Caso você esteja se referindo a pings, barre somente os icmp´s 8 e 0,
>respectivamente echo request e echo reply.
>
>Existem outro tipos de icmp que também podem ser barrados, mas
>existem outros essenciais à boa performance do link.
>
>[]´s
>
>Ronan Lucio
>Melim Internet Provider
>
>> Olá Pessoal,
>>
>> Montei um firewall com o freebsd 4.4 e fiz um portscan nele através do
>> site Hackerwatch.org ( http://www.hackerwatch.org/probe/) e embora
>> eu tenha "fechado" todas as portas este site alertou me que algumas
portas
>> por exemplo 21 (FTP), 23 (Telnet), etc.. estão fechadas mas inseguras.
>> (mensagem original: "Closed but Unsecure Port 21 (FTP) - This port is
>> not being blocked, but there is no program currently accepting
>> connections on this port.")
>>
>> Realizei uma pesquisa a respeito e conclui que a solução "em tese" seria:
>> - Criar uma regra de firewall que mande devolta um "tcp RST packet"
>> para todas as portas fechadas (protocolo TCP) , caso haja tentativa
>> de conexão.
>> - Para UDP enviar devolta ICMP_DEST_UNREACH (code 3 (port
>> unreach)).
>> - Bloquear tb todos os "incoming packets" provenientes de classes de IP´s
>> destinados a redes privadas que venham pela minha interface pública
>> (10.0.0.0 255.0.0.0, 192.168.0.0 255.255.0.0 e 172.x.x.x classe B.
>> TB considerando o espaço de endereços de broadcast e multicast)
>> - Bloquear todos os pacotes ICMP com o objetivo de reduzir as chances
>> de OS fingerprinting. (bloquear ECHO_REQUESTS).
>>
>> Alguem tem alguma sugestão? Como posso utilizar o IPFW para implementar
>> essas regras? é possível ?
>>
>> (Peço descupas com antecedencia caso esse assunto já tenha sido abordado
>> nesta lista.)
>>
>> Grato,
>> Toledo
>>
>>
>> _________________________________________________________
>> Do You Yahoo!?
>> Get your free @yahoo.com address at http://mail.yahoo.com
>>
>> ----
>> Para sair da lista envie um e-mail para majordomo em fugspbr.org
>> com as palavras "unsubscribe fugspbr" no corpo da mensagem.
>>
>>
>
>
>----
>Para sair da lista envie um e-mail para majordomo em fugspbr.org
>com as palavras "unsubscribe fugspbr" no corpo da mensagem.
>
>
----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.
Mais detalhes sobre a lista de discussão freebsd