Dicas de Tunning TCP
Dica publicada em Linux / Segurança
Dicas de Tunning TCP
Quando falamos em realizar um Tunning, ou seja, ajustes finos, o assunto é bem vasto, Entretanto visando a praticidade irei dar duas dicas para realizar um Tunning TCP (diretrizes importantes para o tratamento de pacote TCP).
Verifique o valor atual para a diretriz tcp_window_scalling, o que é também booleano (recomenda-se desabilitá-la para dificultar técnicas de fingerprint).
# sysctl -a | grep tcp_window
net.ipv4.tcp_window_scalling = 1
O recomendável é manter o valor 0 (zero).
# sysctl -w net.ipv4.tcp_window_scaling=0
Para que essa diretriz seja definitiva, é necessário inseri-la no arquivo /etc/sysctl.conf, verifique se a definição já existe:
# cat /etc/sysctl.conf | grep -v ^#
Caso não, insira:
# echo "net.ipv4.tcp_window_scallng=0" >> /etc/sysctl.conf
Ative as novas opções com o "-p" do sysctl.
# sysctl -p
Verifique o valor atual para a diretriz tcp_abort_on_overflow:
# sysctl -a | grep tcp_abort
net.ipv4.tcp_abort_on_overflow = 0
O recomendável é manter o valor 1. Dessa forma, é ativado mais um mecanismo que ajuda o sistema operacional e pode ser útil a muitos ataques de inundação de pacotes que buscam negação de serviço (DoS).
# sysctl -w net.ipv4.tcp_abort_on_overflow=1
Para que essa diretriz seja definitiva, é necessário inseri-la no arquivo /etc/sysctl.conf, verifique se a definição já existe:
# cat /etc/sysctl.conf | grep -v ^#
Caso não, insira:
# echo "net.ipv4.tcp_abort_on_overflow=1" >> /etc/sysctl.conf
Ative as novas opcoes com o "-p" do sysctl.
# sysctl -p
Lembre-se: compartilhem o conhecimento assim sempre todos ganhamos!
Tunnig TCP
Devido ao estado de conexão, o protocolo TCP tem características peculiares que devem ser lembradas durante o processo de tunning. Os 20 bytes que compõem o cabeçalho têm informações interessantes para um firewall de estado de conexão. Veremos abaixo algumas dicas para implementar em sua rede e criar uma camada a mas de segurança, lembramos que não existe sistemas 100% seguros, o que existe é criar sempre mas dificuldade para o invasor, vejamos algumas dicas.1. Desligamento do tcp_windows_scalling
Objetivo: dificultar técnicas de fingerprintVerifique o valor atual para a diretriz tcp_window_scalling, o que é também booleano (recomenda-se desabilitá-la para dificultar técnicas de fingerprint).
# sysctl -a | grep tcp_window
net.ipv4.tcp_window_scalling = 1
O recomendável é manter o valor 0 (zero).
# sysctl -w net.ipv4.tcp_window_scaling=0
Para que essa diretriz seja definitiva, é necessário inseri-la no arquivo /etc/sysctl.conf, verifique se a definição já existe:
# cat /etc/sysctl.conf | grep -v ^#
Caso não, insira:
# echo "net.ipv4.tcp_window_scallng=0" >> /etc/sysctl.conf
Ative as novas opções com o "-p" do sysctl.
# sysctl -p
2. Definição do tcp_abort_on_overflow
Possibilita o cancelamento de conexões se os serviços ativos forem demasiadamente lentos e incapazes de prosseguir a aceitar a conexão. Lembre-se de que esse comportamento não é permitido por padrão. Significa que, se o excesso ocorrer devido a um estouro (overflow), a conexão poderá ser retomada.Verifique o valor atual para a diretriz tcp_abort_on_overflow:
# sysctl -a | grep tcp_abort
net.ipv4.tcp_abort_on_overflow = 0
O recomendável é manter o valor 1. Dessa forma, é ativado mais um mecanismo que ajuda o sistema operacional e pode ser útil a muitos ataques de inundação de pacotes que buscam negação de serviço (DoS).
# sysctl -w net.ipv4.tcp_abort_on_overflow=1
Para que essa diretriz seja definitiva, é necessário inseri-la no arquivo /etc/sysctl.conf, verifique se a definição já existe:
# cat /etc/sysctl.conf | grep -v ^#
Caso não, insira:
# echo "net.ipv4.tcp_abort_on_overflow=1" >> /etc/sysctl.conf
Ative as novas opcoes com o "-p" do sysctl.
# sysctl -p
Material de Apoio
- Livro BS7799 da Tática à pratica em servidores;
- Cursos realizados na 4Linux.
Lembre-se: compartilhem o conhecimento assim sempre todos ganhamos!