[FUGSPBR] Anti-Spoof rules IPFW

Ricardo A. Reis n.i.b em terra.com.br
Dom Ago 25 01:08:18 BRT 2002 

Antonio Torres wrote:

   As regras anti-spoof do meu firewall estavam um tanto que antigas, eu 
diria ate' que simplorias de mais..semana passado resolvi procurar 
algumas rfc para complementar.. as unicas redes que eu sabia que podiam 
ser negadas eram as descritas na rfc 1918, broadcast's (0's e 1's) e 
alguns multicast's).


 > #Test-NET
 > add 00026 deny log all from       192.0.2.0/24  to any via tun0 in
> ???? esta 'rede' não conheço, voce sabe qual RFC referencia ela ?? 
> (como não conheço, não posso opinar...:)

      A rfc não lembro..eu achei referencia no site da cert. no artigo 
os 10  topicos da segurança segundo o FBI e IETF etc


> *todas* as redes 'multicast' devem ser tratadas com cuidado e carinho.....
> tudo depende das suas aplicacações *e* do seu provedor de BackBone.....
> *se* voce estiver conectado a, digamos, RNP, voce *não pode* bloquear multicast ! (existe o projeto de multicast da RNP)
> se estiver ligado a um DSL, voce *deve* bloquear multicast (afinal, teoricamente, os roteadores das teles não deveriam rotear multicast, então o que aparecer é 'ataque')

        Isso no começo foi uma duvida ..fiquei pensando na radio de mp3..
   essas raios não transmitir por unicast seria inviavel..logo pensei em
   multicast...Pode ate' parecer uma duvida facil mais eu realmente
   estava na duvida, ai resolvi bloquear e pagar pra ver.!!TA funcionando
   blz..
        Agora so preciso entender com e' a tecnologia destas radios..


> tem uma RFC que recomenda o bloquei de broadcast.... não lembro o numero

    Tem sim .... eu nunca lembro das rfc's ..esta não seria diferente :-(


>>-------------------------------------------------------------------%
>>#nmap source address(esta eu coloquei por minha conta)
>>add 00040 deny log all from        23.4.0.0/32  to any via tun0 in
>>-------------------------------------------------------------------%
> 
> ??? tambem não conheço essa "rede"....

   Não sei se e' default de todas as versões do nmap "a 3 e'", quando se 
utiliza da função -v ele usa esta rede como source.
   Isso e' facil verificar ..so' usar o tcpdump ou algo do genero! :-)


   Meus conceitos sofre firewall estão ate' que razoaveis, so estou 
aplicando o conceito com o ipfw..ja que esta são minhas primeiras regras
em BSD ..tendo em vista que esta ferramente ipfw e' muito intuitiva 
muito melhor que algumas que eu usava..
   Estou usando ipfw2 tem algumas utilidades muito boas ....

Como!!!

NIB(/home/nib)[0:56]-FreeBSD$ more /etc/fw.rules |fgrep 00225
add 00225 allow tcp from any to me setup limit src-addr 10

   Não cheguei a ler todo man do ipfw1 ..porem acho que isto so foi 
implementado agora.. ele da um drop no pacote quando se tentar abrir 
mais de 10 conexões com mesma endereço de origem.. "10 e' so exemplo""
   Tipo caso de scan..to usando com minha adsl... :-)

   Pra complementar minhas regras de anti-spoof ..!!

   http://www.iana.org/assignments/ipv4-address-space

   Se liga quanto ip jogado no lixo!!


   Valeu pelas dicas..


      UNIX && Network Admin(eu chego la')
+--------------------------------------------+
|"FreeBSD,BeOS,Linux"|"Cisco Network Academy"|
| III'@'||   CLEAR YOUR DESKTOP    || '@'III |
|  | -|-||   UNIX IS THE FUTURE    || -|- |  |
|  | / \|| THE TRUST IN THE SOURCE || / \ |  |
| BSD User = 050834  | Linux User = 280168   |
+--------------------------------------------+
           The Power to the Serve


-------------- Próxima Parte ----------
Um anexo não-texto foi limpo...
Nome: não disponível
Tipo: application/pgp-signature
Tamanho: 187 bytes
Descrição: não disponível
URL: <http://www.fug.com.br/pipermail/freebsd/attachments/20020825/756d4b50/attachment.bin>

Mais detalhes sobre a lista de discussão freebsd