Evitando IP spoofing

Dica publicada em Linux / Segurança

Por Renato R. Ricci em 19/05/2006

Hits: 17.880 Categoria: Linux Subcategoria: Segurança

Evitando IP spoofing

Baseado em experiências que tive aqui na empresa, achei uma solução para evitar IP spoofing na minha rede.

Por que fui atrás dessa solução: estavam entrando pacotes na minha rede que não tinham nada a ver com o escopo do meu IP, ou seja, meu IP era 200.170.146.50 e de vez em quando estavam passando IP's como 63.209.251.24 para dentro de minha rede (não sei como isso é possível). A solução foi colocar uma regra em que na eth0 (200.170.146.50) só passasem IP's que iniciassem por 200.170.146, e na minha eth1 (192.168.1.1) só passasem IP's que iniciassem com 192.168.1. A partir do momento em que coloquei as regras abaixo, não tive mais problemas, pois sempre que entrava um pacote com escopo diferente, minha internet caía.

Iptables:

echo "Bloqueando Spoofing"
iptables -A INPUT -s 192.168.1.0/24 -i ! eth1 -j DROP
iptables -A INPUT ! -s 192.168.1.0/24 -i eth1 -j DROP

iptables -A INPUT -s ! 200.170.146.0/24 -i eth0 -j DROP
iptables -A INPUT ! -s 200.170.146.0/24 -i eth0 -j DROP

iptables -A FORWARD -s ! 200.170.146.0/24 -i eth0 -j DROP
iptables -A FORWARD ! -s 200.170.146.0/24 -i eth0 -j DROP

Espero ter ajudado..

Outras dicas deste autor

MicroOLAP - Ferramenta para modelagem em PostgreSQL

Instalando PostgreSQL no FreeBSD

Leitura recomendada

SSHFS - Montando sistema de arquivos remotos via SSH (Secure Shell)

Poderes do VIM - Criptografando textos

Como instalar o Guardiáo Itaú (Warsaw) no Ubuntu ou Linux Mint

Auditando acesso de usuários no Linux

arch-audit - Detecte vulnerabilidades nos pacotes instalados no Arch Linux

Comentários

#1 Comentário enviado por joselinux em 19/05/2006 - 13:39h

essa e uma tecnica q funciona mesmo, eu fisso isso tb em uma rede e deu certo

#2 Comentário enviado por EnzoFerber em 11/12/2006 - 13:48h

Olhá só... eu num sei se to certo (me corrija se não estiver)

Mas o IP spoofing consiste em trocar o endereço do campo "Source Address" do pacote IP que sai, para que o host-alvo não saiba quem o enviou. O que estava acontecendo na sua rede é que estavam entrando pacotes de outras máquinas, como sites por exemplo. Por exemplo, quando você entra em um site, você envia um SYN e ele responde com um SYN, depois você envia um ACK e ele envia um ACK, isso para poder completar o 3-way handshake do TCP e a conexão ser estabelecida. Podem ser esses endereços que você tava vendo nos seus logs. Se não for isso, me desculpe mas foi isso que deu a entender quando você escreveu:

Por que fui atrás dessa solução: estavam entrando pacotes na minha rede que não tinham nada a ver com o escopo do meu IP, ou seja, meu IP era 200.170.146.50 e de vez em quando estavam passando IP's como 63.209.251.24 para dentro de minha rede (não sei como isso é possível).

P.S.: Eu num entendi muito bem o que você falo, tipo que o IP só apareceu no log, ou ele invadiu sua máquina mesmo?

Espero que entenda meu ponto de vista,
Slackware_10

#3 Comentário enviado por manchatnt em 03/08/2012 - 11:21h

Muito boa dica Renato.
Mas uma dúvida:

Se possuo a seguinte estrutura

\ /
Rede ------- Fw1 ---->> Nuvem WAN <<---- Fw2 -------- Rede
10.11.1.0/24 / \ 10.11.2.0/24

Como posso liberar no iptables as duas redes evitando um spoofing vindo da Nuvem WAN??

Evitando IP spoofing

Outras dicas deste autor

Leitura recomendada

Comentários

Contribuir com comentário