[GTER] RES: Bloqueio de ICMP e Fragmentação (was: " " )

Aristeu Gil Alves Jr suporte at wahtec.com.br
Sun Apr 4 04:13:22 -03 2004


Olá a todos.

Talvez seja OT, mas lá vai...

Acredito que uma postura restritiva é o que está sendo aplicado. Apenas os
protocolos e aplicações passíveis de controle trafegariam na rede: quanto
mais simples, melhor...

Lembro do caso de trojans/backdoors que trafegam em cima de ICMP como
Loki(que teve seu inicio na Phrak), e que são de difícil controle. O Loki
possui o "dead giveaway", mas suas variantes, que possuem criptografia e
fazem controle de sessão de variadas formas, são quase que indetectáveis,
senão por IDS's baseados em anomalia. Não analisei os outros pacotes ICMP,
mas os mesmos seriam passiveis de inserção de dados de controle para um
shell remoto, ainda que limitados, não?

Pacotes fragmentados, além de DOS, é possível ocultação através de segmentos
sobrepostos. Estes casos, acredito, são de mais fácil controle em firewall,
mas se é possível eliminar, tiro fora.

O que o pessoal acha ?

--aristeu


Message: 2
Date: Fri, 2 Apr 2004 19:43:49 -0300
From: "Rubens Kuhl Jr." <rubens at email.com>
Subject: Re: [GTER]
To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
	<gter at eng.registro.br>
Message-ID: <1d0901c41903$f92a45f0$8b01a8c0 at NOTEBOOK>
Content-Type: text/plain;	charset="iso-8859-1"

> > Eu entendi que ele se referia a mudar o MTU da máquina do cliente. Nesse
> > caso, os pacotes já saírão com MSS menor que 1500 (MSS=860 para MTU=900,
não
> > ?), e esse problema de fragmentação não acontecerá em nenhum sentido.
>
> é, eu falava em roteadores intermediários. particularmente com redes de
rádio
> pode ser interessante ter mtu pequena.

Eu sei... mas nesse caso, será que um tunelamento por cima da rede de MTU
baixa não é melhor ?
Você pode garantir que a fragmentação funcione dentro da sua rede, e ao
mandar o pacote para a Internet a visão é de uma rede com MTU alto. E isso
ainda permite que sua rede interna tenha IPs privados e seja invísivel para
DoS quer do mundo externo quer a partir do usuário (isto caso o CPE seja
seu).


> > Isso acontece sim quanto há diminuição de MTU no meio do caminho... mas
é
> > contornável com manipulação do MSS. Você pode alterar o MSS das pacotes
SYN
> > e SYN/ACK para que reflita o MTU menor, e aí a fragmentação deixa de
> > acontecer. Isso é possível tanto com IOS(Cisco) quanto com
netfilter(Linux).
>
> ok, mas voce concorda que é burrada bloquear simultaneamente fragmentação
e
> ICMP?


Plenamente. Isso me lembra uma música do Bruce Hornsby, "The Way It Is":
That's just the way it is
Some things will never change

Eu acredito que até pode mudar, e que a lista e o evento GTER podem ajudar
muito nisso... sugestão de palestra para o evento do segundo semestre:
"Simultaneous ICMP and fragmentation blocking considered harmful".

Rubens



More information about the gter mailing list