[GTER] Ataques com IP Spoofing - 'IP Smart Spoofing'

cribeiro at mail.inet.com.br cribeiro at mail.inet.com.br
Mon Nov 11 18:16:01 -02 2002


[Renato Fernandes]
>>         Pode-se
>> executar algo semelhante com o "icmp redirect" que, por padrão, é
>> aceito na maioria dos sistemas operacionais e dispositivos de rede..

[Danton]
> exceto roteadores! a regra do redirect é bem simples: nós terminais
> obedecem, roteadores não. roteadores *geram* icmp redirect.

Bem lembrado, Danton. Apesar disso, eu posso estar enganado, mas me parece
que os roteadores mais antigos aceitavam os ICMP REDIRECT's por default,
mas este comportamento já foi mudado há um bom tempo (pelo menos no IOS da
Cisco, se não me engano por volta da versão 10.3). Mas eu posso estar
errado... especialmente porque meus conhecimentos de IOS já estão pegando
poeira faz um tempinho.
Quanto à questão do ARP, eles são potencialmente bem mais perigosos do que
um ICMP redirect, pois são mensagens de nível 2, processadas abaixo da
camada IP, e que podem passar despercebidas se por acaso a gestão de
segurança se preocupa excessivamente com IP... e esquece o que é que vem
por baixo (como aliás é bastante comum).
Outro problema com o ARP é que a semântica do processamento de ARPs é
muito vafa e dá margem para muitas variações, tornando a administração
desnecessariamente complicada. Na minha opinião, as regras deveriam ser
mais claras e precisas para muitas coisas: tempo de expiração, o que fazer
com ARPs gratuitos, precedência no caso de respostas ambíguas, alarmes
para mudanças de associação IP+ARP (que podem ser mudanças legítimas, ou
podem ser indício de ataque), etc.

Carlos Ribeiro
INFTEC





More information about the gter mailing list