Quando falamos em realizar um Tunning, ou seja, ajustes finos, o assunto é bem vasto, Entretanto visando a praticidade irei dar duas dicas para realizar um Tunning TCP (diretrizes importantes para o tratamento de pacote TCP).

Tunnig TCP

Devido ao estado de conexão, o protocolo TCP tem características peculiares que devem ser lembradas durante o processo de tunning. Os 20 bytes que compõem o cabeçalho têm informações interessantes para um firewall de estado de conexão. Veremos abaixo algumas dicas para implementar em sua rede e criar uma camada a mas de segurança, lembramos que não existe sistemas 100% seguros, o que existe é criar sempre mas dificuldade para o invasor, vejamos algumas dicas.

1. Desligamento do tcp_windows_scalling

Objetivo: dificultar técnicas de fingerprint

Verifique o valor atual para a diretriz tcp_window_scalling, o que é também booleano (recomenda-se desabilitá-la para dificultar técnicas de fingerprint).

# sysctl -a | grep tcp_window
net.ipv4.tcp_window_scalling = 1

O recomendável é manter o valor 0 (zero).

# sysctl -w net.ipv4.tcp_window_scaling=0

Para que essa diretriz seja definitiva, é necessário inseri-la no arquivo /etc/sysctl.conf, verifique se a definição já existe:

# cat /etc/sysctl.conf | grep -v ^#

Caso não, insira:

# echo "net.ipv4.tcp_window_scallng=0" >> /etc/sysctl.conf

Ative as novas opções com o "-p" do sysctl.

# sysctl -p

2. Definição do tcp_abort_on_overflow

Possibilita o cancelamento de conexões se os serviços ativos forem demasiadamente lentos e incapazes de prosseguir a aceitar a conexão. Lembre-se de que esse comportamento não é permitido por padrão. Significa que, se o excesso ocorrer devido a um estouro (overflow), a conexão poderá ser retomada.

Verifique o valor atual para a diretriz tcp_abort_on_overflow:

# sysctl -a | grep tcp_abort
net.ipv4.tcp_abort_on_overflow = 0

O recomendável é manter o valor 1. Dessa forma, é ativado mais um mecanismo que ajuda o sistema operacional e pode ser útil a muitos ataques de inundação de pacotes que buscam negação de serviço (DoS).

# sysctl -w net.ipv4.tcp_abort_on_overflow=1

Para que essa diretriz seja definitiva, é necessário inseri-la no arquivo /etc/sysctl.conf, verifique se a definição já existe:

# cat /etc/sysctl.conf | grep -v ^#

Caso não, insira:

# echo "net.ipv4.tcp_abort_on_overflow=1" >> /etc/sysctl.conf

Ative as novas opcoes com o "-p" do sysctl.

# sysctl -p

Material de Apoio

• Livro BS7799 da Tática à pratica em servidores;
• Cursos realizados na 4Linux.

Lembre-se: compartilhem o conhecimento assim sempre todos ganhamos!