[FUGSPBR] Anti-Spoof rules IPFW

Antonio Torres antonio.torres em newspace.net.br
Dom Ago 25 00:00:41 BRT 2002 

On Fri, 23 Aug 2002 10:28:49 -0300
"Ricardo A. Reis" <n.i.b em terra.com.br> wrote:

>         Depois de muita pesquisa cheguei a estes endereços que deveriam 
> ser negados no firewall, alguem poderia me dizer se falta algum ou algo 
> esta estranho?
> 
> --------------------------------------------------------------------%
> #Historical Broadcast
> add 00009 deny log all from          0.0.0.0/8  to any via tun0 in
> #Historical Broadcast
> add 00010 deny log all from         0.0.0.0/32  to any via tun0 in

comentario no  255.255.255.255

> #RFC 1918 Private Network
> add 00011 deny log all from         10.0.0.0/8  to any via tun0 in
> #Loopback
> add 00015 deny log all from        127.0.0.0/8  to any via tun0 in
> #RFC 1918 Private Network
> add 00020 deny log all from      172.16.0.0/12  to any via tun0 in
> #RFC 1918 Private Network
> add 00025 deny log all from     192.168.0.0/16  to any via tun0 in

está no proprio /etc/rc.firewall e na RFC1918....


> #Test-NET
> add 00026 deny log all from       192.0.2.0/24  to any via tun0 in
???? esta 'rede' não conheço, voce sabe qual RFC referencia ela ?? 
(como não conheço, não posso opinar...:)

> #Multicast Sorce DOS
> add 00030 deny log all from       224.0.0.0/28  to any via tun0 in

o mesmo caso da 127.0.0.0 só que multicast..


> #Multicast Reservad AS
> add 00031 deny log all from        233.0.0.0/8  to any via tun0 in
> #Multicast Reservad
> add 00032 deny log all from        224.0.0.0/4  to any via tun0 in
> #IANA Reserved address
> add 00033 deny log all from        217.0.0.0/8  to any via tun0 in
> #Classe E reservad
> add 00034 deny log all from        240.0.0.0/5  to any via tun0 in
> #Unallocated
> add 00035 deny log all from        248.0.0.0/5  to any via tun0 in

*todas* as redes 'multicast' devem ser tratadas com cuidado e carinho.....
tudo depende das suas aplicacações *e* do seu provedor de BackBone.....
*se* voce estiver conectado a, digamos, RNP, voce *não pode* bloquear multicast ! (existe o projeto de multicast da RNP)
se estiver ligado a um DSL, voce *deve* bloquear multicast (afinal, teoricamente, os roteadores das teles não deveriam rotear multicast, então o que aparecer é 'ataque')


> #Broadcast
> add 00036 deny log all from 255.255.255.255/32  to any via tun0 in

o mesmo caso do 0.0.0.0.....
alguns serviços legitimos *na rede interna* (estações diskless, DHCP, bootp...) podem utilizar esse endereço, mas na rede *externa* devem ser bloqueados.......

lembre-se de colocar bloqueio para o broadcast  e endereço *da sua rede* !!

p.ex. seu IP 200.200.200.200 mask 255.255.255.0
*bloquei* o 200.200.200.255 e 200.200.200.0 !!!!!

tem uma RFC que recomenda o bloquei de broadcast.... não lembro o numero


> -------------------------------------------------------------------%
> #nmap source address(esta eu coloquei por minha conta)
> add 00040 deny log all from        23.4.0.0/32  to any via tun0 in
> -------------------------------------------------------------------%
??? tambem não conheço essa "rede"....

Tambem bloqueie qualquer IP que não pertença a sua rede  *sair* dela.... só pode representar um 'ip spoofing' (alguem *do lado de dentro* da sua rede usando IPs que não são da sua rede)...


outra dica: bloquei os serviços de 'echo' (ip porta 7) um 'pacote' bem planejado pode fazer a sua maquina iniciar uma 'avalanche' de pacotes para outras maquinas.....

bloquei as portas 137-139 pela rede externa (netbios)...

mais ainda: apesar da flexibilidade e facilidades do 'stateful firewall' evite-o ! um 'port-scan' bem planejado pode 'explodir' a sua maquina simplesmente por 'explodir' a memoria com tabelas do "keep-state" (imagine uma maquina atras do seu firewall fazendo, digamos 5 nmaps, vai 'abir' milhares de conexões em poucos minutos....)

de uma olhada no www.cert.org !! *muito* instrutivo...

tem uma 'cartilha' de recomendações para "Unix firewall" com um monte de dicas e as respectivas explicações..

[]s

-- 
Antonio Torres
antonio.torres em newspace.net.br
________________________________________________
Para sair da lista visite o URL abaixo:
http://www2.fugspbr.org/mailman/listinfo/fugspbr

Mais detalhes sobre a lista de discussão freebsd