[FUGSPBR] Regras de Firewall

Ronan Lucio ronanl em melim.com.br
Ter Abr 9 13:41:26 BRT 2002 

> Você poderia  informar quais são os tipos de icmp que não são recomendados o
> bloqueio ?

Bom, o ideal e' que todo o trafego ICMP (Internet Control
Message Protocol) seja liberado, uma vez que o protocolo
IP se benificia disto para uma melhor comunicacao. Mas devido
`as tentativas de ataque, a realidade muda um pouco.

O ideal que pelo menos os seguintes icmptypes sejam liberados:
- Destination Unreachable (Mensagem enviada quando um host,
  porta, rede ou protocolo nao pode ser alcancado)
- Time Exceeded (Notifica a origem que o datagrama nao foi
  entregue devido ao tempo de vida ter expirado)
- Parameter Problem (Repora um erro devido a um problema de
  parametro)
- Source Quench (Enviada quando o host esta congestionado)
- Redirect (Utilizado para a otimizacao da rota em casos de
  load balance)

E para a sua rede local tambem eh interessante estar liberado
o Information Request e Information Reply, usado para que o
host possa descobrir em que rede ele esta conectado.

[]'s
Ronan
 
 
> Max
> -----Mensagem original-----
> De: Ronan Lucio <ronan em melim.com.br>
> Para: fugspbr em fugspbr.org <fugspbr em fugspbr.org>
> Data: Segunda-feira, 8 de Abril de 2002 09:22
> Assunto: Re: [FUGSPBR] Regras de Firewall
> 
> 
> >Você não pode barra todo o tráfego icmp, pois o protocolo
> >icmp é um protocolo de controle utilizado inclusive para controle
> >de tráfego e congestionamento em comunicações IP. Veja o que
> >diz a RFC1122:
> >
> >              ICMP is a control protocol that is considered to be an
> >              integral part of IP, although it is architecturally
> >              layered upon IP, i.e., it uses IP to carry its data end-
> >              to-end just as a transport protocol like TCP or UDP does.
> >              ICMP provides error reporting, congestion reporting, and
> >              first-hop gateway redirection.
> >
> >
> >E a RFC1191:
> >
> >              A worse problem is the role of ICMP packets in MTU discovery.
> >All
> >              good TCP implementations (Linux included) use MTU discovery
> to
> >try
> >              to figure out what the largest packet that can get to a
> >destination
> >              without being fragmented (fragmentation slows performance,
> >              especially when occasional fragments are lost).  MTU
> discovery
> >works
> >              by sending packets with the "Don't Fragment" bit set, and
> then
> >              sending smaller packets if it gets an ICMP packet indicating
> >              "Fragmentation needed but DF set" (`fragmentation-needed').
> >This is
> >              a type of `destination-unreachable' packet, and if it is
> never
> >              received, the local host will not reduce MTU, and performance
> >will
> >              be abysmal or non-existent.
> >
> >
> >Caso você esteja se referindo a pings, barre somente os icmp´s 8 e 0,
> >respectivamente echo request e echo reply.
> >
> >Existem outro tipos de icmp que também podem ser barrados, mas
> >existem outros essenciais à boa performance do link.
> >
> >[]´s
> >
> >Ronan Lucio
> >Melim Internet Provider
> >
> >> Olá Pessoal,
> >>
> >> Montei um firewall com o freebsd 4.4 e fiz um portscan nele através do
> >> site Hackerwatch.org ( http://www.hackerwatch.org/probe/) e embora
> >> eu tenha "fechado" todas as portas este site alertou me que algumas
> portas
> >> por exemplo 21 (FTP), 23 (Telnet), etc.. estão fechadas mas inseguras.
> >> (mensagem original: "Closed but Unsecure Port 21 (FTP) - This port is
> >>  not being blocked, but there is no program currently accepting
> >>  connections on this port.")
> >>
> >> Realizei uma pesquisa a respeito e conclui que a solução "em tese" seria:
> >> - Criar uma regra de firewall que mande devolta um "tcp RST packet"
> >>    para todas as portas fechadas (protocolo TCP) , caso haja tentativa
> >>   de conexão.
> >> - Para UDP enviar devolta ICMP_DEST_UNREACH (code 3 (port
> >>    unreach)).
> >> - Bloquear tb todos os "incoming packets" provenientes de classes de IP´s
> >>   destinados a redes privadas que venham pela minha interface pública
> >>   (10.0.0.0 255.0.0.0, 192.168.0.0 255.255.0.0 e 172.x.x.x classe B.
> >>    TB considerando o espaço de endereços de broadcast e multicast)
> >> - Bloquear todos os pacotes ICMP com o objetivo de reduzir as chances
> >>   de OS fingerprinting. (bloquear ECHO_REQUESTS).
> >>
> >> Alguem tem alguma sugestão? Como posso utilizar o IPFW para implementar
> >> essas regras? é possível ?
> >>
> >> (Peço descupas com antecedencia caso esse assunto já tenha sido abordado
> >> nesta lista.)
> >>
> >> Grato,
> >> Toledo
> >>
> >>
> >> _________________________________________________________
> >> Do You Yahoo!?
> >> Get your free @yahoo.com address at http://mail.yahoo.com
> >>
> >> ----
> >> Para sair da lista envie um e-mail para majordomo em fugspbr.org
> >> com as palavras "unsubscribe fugspbr" no corpo da mensagem.
> >>
> >>
> >
> >
> >----
> >Para sair da lista envie um e-mail para majordomo em fugspbr.org
> >com as palavras "unsubscribe fugspbr" no corpo da mensagem.
> >
> >
> 
> ----
> Para sair da lista envie um e-mail para majordomo em fugspbr.org
> com as palavras "unsubscribe fugspbr" no corpo da mensagem.
> 
----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.

Mais detalhes sobre a lista de discussão freebsd