[GTER] IP spoofing: "rastreamento" e contatos com operadoras
Julio Arruda
jarruda-gter at jarruda.com
Mon Jan 26 22:49:44 -02 2009
Danton Nunes wrote:
> On Mon, 26 Jan 2009, Wesley FreeBSD Consult wrote:
>
>> Danton,
>> "Existem coisas que o dinheiro não compra, para todas as outras existe
>> FreeBSD.
>> "Tem coisas que so o FreeBSD faz para você."
>>
>> "ipfw" deny log logamount 100 ip from any to any not verrevpath in
>> "pf" antispoof quick for { lo $int_if }
>>
>> Igual ao unibanco SIMPLES ASSIM.!
>
> e errado assim. considere o caso da consulta furada de DNS. como você
> distingue o bom datagrama do mau datagrama? pela RFC-3514?
>
> o que o freebsd pode fazer (e qualquer outro filtor de pacotes
> minimamente decente) é:
>
> 1. recusar entrada a pacotes que deveriam se originar dentro de minha
> rede e
> 2. recusar a saída a pacotes que não se originaram na minha rede.
>
> especialmente 2 ajuda muito a prevenir o spoofing, mas é muito difícil
> de ser implementado a não ser em redes de usuários finais. em redes que
> proveem trânsito para terceiros só BCP-30 mesmo.
>
Recentemente o Danny McPhearson comentou no NANOG exatamente algo no
sentido de "nao estar implementado ainda em muitas redes", e que nao
existe razao para nao ser implementado.
Estive falando com uns loucos de Ann Arbor, para ver uma maneira de
simplificar a monitoracao de spoofed IPs no Peakflow SP (e' facil de
monitorar com Netflow, o que da trabalho e' manter as listas :-), ao
contrario de uRPF, nao e' 'consequencia' da routing table..:-)..
Vamos ver se vai a algum lugar, se pinta um feature request :-)..
More information about the gter
mailing list