RES: [GTER] filtrar ou nao filtrar ICMP?
Leandro M Bertholdo
berthold at penta.ufrgs.br
Mon Mar 21 18:39:55 -03 2005
Gosto de respostas simples, do tipo sim ou não, mas nem sempre acho
possível...
Quando o host a ser acessado é ilegítimo (não existente) o drop é
preferível.
Explico, no caso de um scanning, a origem terá que descobrir por timeout que
não tem ninguém lá (~5 segundos - programavel). Por outro lado, se o
atacante usar funções TCP prontas (NÃO RAW SOCKET) o tempo vai para 15s
TCP/SYN. Pode parecer pouco, mas exige muito mais hardware, esforço de
programação e tunning da maquina atacante.
O problema é que, em alguns casos, onde algum cliente usa uma aplicação que
está configurada para opcionamente usar um serviço que não existe (vide usar
sendmail & authd), o REJECT pode acelerar de 12-15s uma determinada tarefa
(como a entrega de um mail). Em casos assim, segurança pode implicar
diretamente em melhoria (ou não), na performance da sua rede.
Se você não sabe o que fazer, DROPe! Se alguma coisa esta devagar lembre-se
de verificar se não tem alguem tendo timeout que poderia ser acelerado.
PORT_UNREACH e HOST_UNREACH se aplicam aqui diretamente.
[]s
Bertholdo
> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
> nome de Christian Lyra
> Enviada em: segunda-feira, 21 de março de 2005 17:59
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] filtrar ou nao filtrar ICMP?
>
> On Segunda 21 Março 2005 17:28, Marcus Grando wrote:
> > Eu também rejeito...
> >
> > Mas quem dropa... porque o faz? algum motivo especial?
> >
>
> Eu dropo... Na verdade pro atacante mais experiente não faz a muita
> diferença se vc dropa ou se vc rejeita porque de um jeito ou de outro
> ele dá um jeito de descobrir se a porta tá fechada ou não. Pelo menos
> dropando vc não gera o tráfego de volta... talvez revele um pouco menos
> de informação.
>
>
>
> --
> Christian Lyra
> POP-PR - RNP
>
> http://lyra.soueu.com.br
> http://wecanstopspam.org
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list