[MASOCH-L] Bloqueio de Tracert

MARLON BORBA MBORBA at trf3.jus.br
Thu May 7 15:54:35 BRT 2009


Não acho (e nisso estou 100% com o DanTong) que bloquear ICMP seja útil, primeiro porque se perdem muitas mensagens de diagnóstico, e segundo porque existem múltiplos vetores de ataque mais perigosos. Com hping2 é possível costruir pacotes TCP/80 (HTTP),, qu passam por qualquer firewall... :P



Abraços,

Marlon Borba, CISSP, APC DataCenter Associate
Técnico Judiciário - Segurança da Informação
IPv6 Evangelist - MoReq-Jus Evangelist
TRF 3a Região
(11) 3012-1581
--
Practically no IT system is risk free.
(NIST Special Publication 800-30)
--
>>> Rubens Kuhl <rubensk at gmail.com> 07/05/09 15:43 >>>
Além de TCP (inclusive HTTP), IP protocolo 0... é só olhar as diversas
opções do pacote hping2.
Se você quer matar traceroute, detecte pelo campo TTL

iptables -t raw -A PREROUTING -i <interface externa>  -m ttl --ttl 0 -j DROP
iptables -t raw -A PREROUTING -i <interface externa>  -m ttl --ttl 1 -j DROP
iptables -t raw -A PREROUTING -i <interface externa>  -m ttl --ttl 2 -j DROP
(repetir até quantos hops você tenha internamente)



Rubens


2009/5/7 Juliano Primavesi - Cyberweb Networks <juliano at cyberweb.com.br>:
>
> Vale lembrar que o tracert pode usar icmp OU udp...
>
> Juliano
>
> Danton Nunes escreveu:
>>
>> On Thu, 7 May 2009, Victor wrote:
>>
>>> Olá Amigos,
>>>
>>> Estou precisando fazer bloqueio de tracert de fora pra dentro. Verifiquei
>>> que alguns Bancos como o Itaú já está utilizando desta técnica, porém já
>>> tentei de tudo e nos testes o primeiro IP (WAN) do roteador, continua sempre
>>> a responder, mesmo definindo ACL pra ele dando deny em ip. A configuração
>>> atual que foi a que chegou mais perto do que preciso é essa:
>>>
>>> access-list 101 deny icmp any any unreachable
>>> access-list 101 deny icmp any any ttl-exceeded
>>> access-list 101 deny icmp any any echo-reply
>>
>> NUNCA faça isto! há mensagens de icmp que são importantíssimas e não devem
>> ser bloqueadas.
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l



More information about the masoch-l mailing list