[MASOCH-L] Bloqueio de Tracert

Thu May 7 17:51:44 BRT 2009

Olá,

Hmmm... compreendo, mas que tipos de problemas pode se ter ao não receber mensagens de diagnóstico, pois afinal o bloqueio é apenas de fora pra dentro. Como mencionei anteriormente, o Banco Itaú, que foca muito bem segurança, está com esta proteção em funcionamento a quase 2 anos e se realmente fosse um problema não estariam mais utilizando, concorda ? No caso do hping2 ele verifica se o host final está ativo, ou se algum dos hosts intermediários aceitam qualquer tipo de requisição, o que não é o meu caso. O que preciso é que não apareça quem são meus hosts intermediários (Gateways, etc), pois o bloqueio de um ataque a um IP final é simples, através de blackhole, agora um IP WAN por exemplo é um processo delicado, ainda mais pra quem não tem ASN.

Desde já agradeço.
  ----- Original Message ----- 
  From: MARLON BORBA 
  To: masoch-l at eng.registro.br 
  Sent: Thursday, May 07, 2009 3:54 PM
  Subject: Re: [MASOCH-L] Bloqueio de Tracert

  Não acho (e nisso estou 100% com o DanTong) que bloquear ICMP seja útil, primeiro porque se perdem muitas mensagens de diagnóstico, e segundo porque existem múltiplos vetores de ataque mais perigosos. Com hping2 é possível costruir pacotes TCP/80 (HTTP),, qu passam por qualquer firewall... :P

  Abraços,

  Marlon Borba, CISSP, APC DataCenter Associate
  Técnico Judiciário - Segurança da Informação
  IPv6 Evangelist - MoReq-Jus Evangelist
  TRF 3a Região
  (11) 3012-1581
  --
  Practically no IT system is risk free.
  (NIST Special Publication 800-30)
  --
  >>> Rubens Kuhl <rubensk at gmail.com> 07/05/09 15:43 >>>
  Além de TCP (inclusive HTTP), IP protocolo 0... é só olhar as diversas
  opções do pacote hping2.
  Se você quer matar traceroute, detecte pelo campo TTL

  iptables -t raw -A PREROUTING -i <interface externa>  -m ttl --ttl 0 -j DROP
  iptables -t raw -A PREROUTING -i <interface externa>  -m ttl --ttl 1 -j DROP
  iptables -t raw -A PREROUTING -i <interface externa>  -m ttl --ttl 2 -j DROP
  (repetir até quantos hops você tenha internamente)

  Rubens

  2009/5/7 Juliano Primavesi - Cyberweb Networks <juliano at cyberweb.com.br>:
  >
  > Vale lembrar que o tracert pode usar icmp OU udp...
  >
  > Juliano
  >
  > Danton Nunes escreveu:
  >>
  >> On Thu, 7 May 2009, Victor wrote:
  >>
  >>> Olá Amigos,
  >>>
  >>> Estou precisando fazer bloqueio de tracert de fora pra dentro. Verifiquei
  >>> que alguns Bancos como o Itaú já está utilizando desta técnica, porém já
  >>> tentei de tudo e nos testes o primeiro IP (WAN) do roteador, continua sempre
  >>> a responder, mesmo definindo ACL pra ele dando deny em ip. A configuração
  >>> atual que foi a que chegou mais perto do que preciso é essa:
  >>>
  >>> access-list 101 deny icmp any any unreachable
  >>> access-list 101 deny icmp any any ttl-exceeded
  >>> access-list 101 deny icmp any any echo-reply
  >>
  >> NUNCA faça isto! há mensagens de icmp que são importantíssimas e não devem
  >> ser bloqueadas.
  >> __
  >> masoch-l list
  >> https://eng.registro.br/mailman/listinfo/masoch-l
  >
  > __
  > masoch-l list
  > https://eng.registro.br/mailman/listinfo/masoch-l
  >
  __
  masoch-l list
  https://eng.registro.br/mailman/listinfo/masoch-l

  __
  masoch-l list
  https://eng.registro.br/mailman/listinfo/masoch-l

  __________ NOD32 4060 (20090507) Information __________

  This message was checked by NOD32 antivirus system.
  http://www.eset.com