Re: [GTER] RES: Bloqueio de ICMP e Fragmentação (was: " " )

Rubens Kuhl Jr. rubens at email.com
Mon Apr 5 20:49:53 -03 2004


> Acredito que uma postura restritiva é o que está sendo aplicado. Apenas os
> protocolos e aplicações passíveis de controle trafegariam na rede: quanto
> mais simples, melhor...
>
> Lembro do caso de trojans/backdoors que trafegam em cima de ICMP como
> Loki(que teve seu inicio na Phrak), e que são de difícil controle. O Loki
> possui o "dead giveaway", mas suas variantes, que possuem criptografia e
> fazem controle de sessão de variadas formas, são quase que indetectáveis,
> senão por IDS's baseados em anomalia. Não analisei os outros pacotes ICMP,
> mas os mesmos seriam passiveis de inserção de dados de controle para um
> shell remoto, ainda que limitados, não?

O Netfilter/Iptables do Linux tem a possibilidade de só permitir ICMPs
"related", ou seja, sinalização referente a conexões em andamento,
echo-reply apenas para echo-request etc. ; a questão é que o ICMP é parte
integrante de uma transação IP. Se você tem um filtro stateless, precisa
permitir tanto a porta TCP do serviço quanto códigos ICMP específicos (não
precisam ser todos) que possam surgir; se você quer um sistema stateful,
então que ele seja stateful de verdade e valide também os pacotes ICMP. Se o
seu fornecedor te dá um sistema semi-stateful, peça para ele fazer o serviço
completo ou cogite trocar de fornecedor (por exemplo para o que citei, que
sendo GPL custa $0 de licenciamento, $0 de atualização de software, $alguma
coisa de implantação e manutenção).

O problema dessa história é encarar o ICMP como opcional; não é. Mas
qualquer um pode prestar um serviço crippled se quiser, basta admitir isso e
viver com a conseqüência dessa escolha. Tem sites que optam atender um único
tipo de browser quando existem padrões W3C que poderiam ser usados para
atender todos indistintamente... é o mesmo critério de ir pelo caso mais
comum ao invés da especificação.

> Pacotes fragmentados, além de DOS, é possível ocultação através de
segmentos
> sobrepostos. Estes casos, acredito, são de mais fácil controle em
firewall,
> mas se é possível eliminar, tiro fora.

Cuidado ao misturar as camadas... é possível tanto ocultar através de
fragmentação em nível IP quanto em nível TCP (segmentos sobrepostos).
Minha sugestão é desfragmentar IP no firewall, e habilitar o IDS a
sobreviver a truques de sequenciamento TCP, quer identificando o padrão no
stream remontado, quer pelo menos alertando de que há uma tentativa de
evasão de detecção em andamento e capturar todos os pacotes para remontagem
off-line.


Rubens



More information about the gter mailing list