RES: [GTER] filtrar ou nao filtrar ICMP?

Leandro M Bertholdo berthold at penta.ufrgs.br
Mon Mar 21 18:39:55 -03 2005


Gosto de respostas simples, do tipo sim ou não, mas nem sempre acho
possível...

Quando o host a ser acessado é ilegítimo (não existente) o drop é
preferível.

Explico, no caso de um scanning, a origem terá que descobrir por timeout que
não tem ninguém lá (~5 segundos - programavel). Por outro lado, se o
atacante usar funções TCP prontas (NÃO RAW SOCKET) o tempo vai para 15s
TCP/SYN. Pode parecer pouco, mas exige muito mais hardware, esforço de
programação e tunning da maquina atacante.

O problema é que, em alguns casos, onde algum cliente usa uma aplicação que
está configurada para opcionamente usar um serviço que não existe (vide usar
sendmail & authd), o REJECT pode acelerar de 12-15s uma determinada tarefa
(como a entrega de um mail). Em casos assim, segurança pode implicar
diretamente em melhoria (ou não), na performance da sua rede.

Se você não sabe o que fazer, DROPe! Se alguma coisa esta devagar lembre-se
de verificar se não tem alguem tendo timeout que poderia ser acelerado.
PORT_UNREACH e HOST_UNREACH se aplicam aqui diretamente.


[]s
Bertholdo

> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
> nome de Christian Lyra
> Enviada em: segunda-feira, 21 de março de 2005 17:59
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] filtrar ou nao filtrar ICMP?
> 
> On Segunda 21 Março 2005 17:28, Marcus Grando wrote:
> > Eu também rejeito...
> >
> > Mas quem dropa... porque o faz? algum motivo especial?
> >
> 
>  Eu dropo... Na verdade pro atacante mais experiente não faz a muita
> diferença se vc dropa ou se vc rejeita porque de um jeito ou de outro
> ele dá um jeito de descobrir se a porta tá fechada ou não. Pelo menos
> dropando vc não gera o tráfego de volta... talvez revele um pouco menos
> de informação.
> 
> 
> 
> --
> Christian Lyra
> POP-PR - RNP
> 
> http://lyra.soueu.com.br
> http://wecanstopspam.org
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter




More information about the gter mailing list