Evitando IP spoofing

Publicado por Renato R. Ricci em 19/05/2006

[ Hits: 17.654 ]

0 0

Denuncie Favoritos Indicar Impressora

Evitando IP spoofing

Baseado em experiências que tive aqui na empresa, achei uma solução para evitar IP spoofing na minha rede.

Por que fui atrás dessa solução: estavam entrando pacotes na minha rede que não tinham nada a ver com o escopo do meu IP, ou seja, meu IP era 200.170.146.50 e de vez em quando estavam passando IP's como 63.209.251.24 para dentro de minha rede (não sei como isso é possível). A solução foi colocar uma regra em que na eth0 (200.170.146.50) só passasem IP's que iniciassem por 200.170.146, e na minha eth1 (192.168.1.1) só passasem IP's que iniciassem com 192.168.1. A partir do momento em que coloquei as regras abaixo, não tive mais problemas, pois sempre que entrava um pacote com escopo diferente, minha internet caía.

Iptables:

echo "Bloqueando Spoofing"
iptables -A INPUT -s 192.168.1.0/24 -i ! eth1 -j DROP
iptables -A INPUT ! -s 192.168.1.0/24 -i eth1 -j DROP

iptables -A INPUT -s ! 200.170.146.0/24 -i eth0 -j DROP
iptables -A INPUT ! -s 200.170.146.0/24 -i eth0 -j DROP

iptables -A FORWARD -s ! 200.170.146.0/24 -i eth0 -j DROP
iptables -A FORWARD ! -s 200.170.146.0/24 -i eth0 -j DROP

Espero ter ajudado..

Outras dicas deste autor

Instalando PostgreSQL no FreeBSD

MicroOLAP - Ferramenta para modelagem em PostgreSQL

Leitura recomendada

IDS Invisivel - Parte 1

debsecan - Analisador de segurança do Debian

APF Firewall e BFD: segurança em seu servidor

Gerador de backdoor indetectável

Bloqueando Tor de maneira diferente no CentOS 6.5

Comentários

[1] Comentário enviado por joselinux em 19/05/2006 - 13:39h

essa e uma tecnica q funciona mesmo, eu fisso isso tb em uma rede e deu certo

0 0

[2] Comentário enviado por EnzoFerber em 11/12/2006 - 13:48h

Olhá só... eu num sei se to certo (me corrija se não estiver)

Mas o IP spoofing consiste em trocar o endereço do campo "Source Address" do pacote IP que sai, para que o host-alvo não saiba quem o enviou. O que estava acontecendo na sua rede é que estavam entrando pacotes de outras máquinas, como sites por exemplo. Por exemplo, quando você entra em um site, você envia um SYN e ele responde com um SYN, depois você envia um ACK e ele envia um ACK, isso para poder completar o 3-way handshake do TCP e a conexão ser estabelecida. Podem ser esses endereços que você tava vendo nos seus logs. Se não for isso, me desculpe mas foi isso que deu a entender quando você escreveu:

Por que fui atrás dessa solução: estavam entrando pacotes na minha rede que não tinham nada a ver com o escopo do meu IP, ou seja, meu IP era 200.170.146.50 e de vez em quando estavam passando IP's como 63.209.251.24 para dentro de minha rede (não sei como isso é possível).

P.S.: Eu num entendi muito bem o que você falo, tipo que o IP só apareceu no log, ou ele invadiu sua máquina mesmo?

Espero que entenda meu ponto de vista,
Slackware_10

0 0

[3] Comentário enviado por manchatnt em 03/08/2012 - 11:21h

Muito boa dica Renato.
Mas uma dúvida:

Se possuo a seguinte estrutura

\ /
Rede ------- Fw1 ---->> Nuvem WAN <<---- Fw2 -------- Rede
10.11.1.0/24 / \ 10.11.2.0/24

Como posso liberar no iptables as duas redes evitando um spoofing vindo da Nuvem WAN??

0 0