[MASOCH-L] Bloqueio de Tracert

Thu May 7 18:05:10 BRT 2009

Victor wrote:
> Olá,
> 
> Hmmm... compreendo, mas que tipos de problemas pode se ter ao não receber mensagens de diagnóstico, pois afinal o bloqueio é apenas de fora pra dentro. Como mencionei anteriormente, o Banco Itaú, que foca muito bem segurança, está com esta proteção em funcionamento a quase 2 anos e se realmente fosse um problema não estariam mais utilizando, concorda ? No caso do hping2 ele verifica se o host final está ativo, ou se algum dos hosts intermediários aceitam qualquer tipo de requisição, o que não é o meu caso. O que preciso é que não apareça quem são meus hosts intermediários (Gateways, etc), pois o bloqueio de um ataque a um IP final é simples, através de blackhole, agora um IP WAN por exemplo é um processo delicado, ainda mais pra quem não tem ASN.
> 

security through obscurity nao e' exatamente 'seguro', de qualquer forma..
Procure por pmtud icmp blocking no Sao Google..

> Desde já agradeço.
>   ----- Original Message ----- 
>   From: MARLON BORBA 
>   To: masoch-l at eng.registro.br 
>   Sent: Thursday, May 07, 2009 3:54 PM
>   Subject: Re: [MASOCH-L] Bloqueio de Tracert
> 
> 
>   Não acho (e nisso estou 100% com o DanTong) que bloquear ICMP seja útil, primeiro porque se perdem muitas mensagens de diagnóstico, e segundo porque existem múltiplos vetores de ataque mais perigosos. Com hping2 é possível costruir pacotes TCP/80 (HTTP),, qu passam por qualquer firewall... :P
> 
> 
> 
>   Abraços,
> 
>   Marlon Borba, CISSP, APC DataCenter Associate
>   Técnico Judiciário - Segurança da Informação
>   IPv6 Evangelist - MoReq-Jus Evangelist
>   TRF 3a Região
>   (11) 3012-1581
>   --
>   Practically no IT system is risk free.
>   (NIST Special Publication 800-30)
>   --
>   >>> Rubens Kuhl <rubensk at gmail.com> 07/05/09 15:43 >>>
>   Além de TCP (inclusive HTTP), IP protocolo 0... é só olhar as diversas
>   opções do pacote hping2.
>   Se você quer matar traceroute, detecte pelo campo TTL
> 
>   iptables -t raw -A PREROUTING -i <interface externa>  -m ttl --ttl 0 -j DROP
>   iptables -t raw -A PREROUTING -i <interface externa>  -m ttl --ttl 1 -j DROP
>   iptables -t raw -A PREROUTING -i <interface externa>  -m ttl --ttl 2 -j DROP
>   (repetir até quantos hops você tenha internamente)
> 
> 
> 
>   Rubens
> 
> 
>   2009/5/7 Juliano Primavesi - Cyberweb Networks <juliano at cyberweb.com.br>:
>   >
>   > Vale lembrar que o tracert pode usar icmp OU udp...
>   >
>   > Juliano
>   >
>   > Danton Nunes escreveu:
>   >>
>   >> On Thu, 7 May 2009, Victor wrote:
>   >>
>   >>> Olá Amigos,
>   >>>
>   >>> Estou precisando fazer bloqueio de tracert de fora pra dentro. Verifiquei
>   >>> que alguns Bancos como o Itaú já está utilizando desta técnica, porém já
>   >>> tentei de tudo e nos testes o primeiro IP (WAN) do roteador, continua sempre
>   >>> a responder, mesmo definindo ACL pra ele dando deny em ip. A configuração
>   >>> atual que foi a que chegou mais perto do que preciso é essa:
>   >>>
>   >>> access-list 101 deny icmp any any unreachable
>   >>> access-list 101 deny icmp any any ttl-exceeded
>   >>> access-list 101 deny icmp any any echo-reply
>   >>
>   >> NUNCA faça isto! há mensagens de icmp que são importantíssimas e não devem
>   >> ser bloqueadas.