Evitando IP spoofing
Publicado por Renato R. Ricci em 19/05/2006
[ Hits: 17.478 ]
Evitando IP spoofing
Baseado em experiências que tive aqui na empresa, achei uma solução para evitar IP spoofing na minha rede.
Por que fui atrás dessa solução: estavam entrando pacotes na minha rede que não tinham nada a ver com o escopo do meu IP, ou seja, meu IP era 200.170.146.50 e de vez em quando estavam passando IP's como 63.209.251.24 para dentro de minha rede (não sei como isso é possível). A solução foi colocar uma regra em que na eth0 (200.170.146.50) só passasem IP's que iniciassem por 200.170.146, e na minha eth1 (192.168.1.1) só passasem IP's que iniciassem com 192.168.1. A partir do momento em que coloquei as regras abaixo, não tive mais problemas, pois sempre que entrava um pacote com escopo diferente, minha internet caía.
Iptables:
Por que fui atrás dessa solução: estavam entrando pacotes na minha rede que não tinham nada a ver com o escopo do meu IP, ou seja, meu IP era 200.170.146.50 e de vez em quando estavam passando IP's como 63.209.251.24 para dentro de minha rede (não sei como isso é possível). A solução foi colocar uma regra em que na eth0 (200.170.146.50) só passasem IP's que iniciassem por 200.170.146, e na minha eth1 (192.168.1.1) só passasem IP's que iniciassem com 192.168.1. A partir do momento em que coloquei as regras abaixo, não tive mais problemas, pois sempre que entrava um pacote com escopo diferente, minha internet caía.
Iptables:
echo "Bloqueando Spoofing"
iptables -A INPUT -s 192.168.1.0/24 -i ! eth1 -j DROP
iptables -A INPUT ! -s 192.168.1.0/24 -i eth1 -j DROP
iptables -A INPUT -s ! 200.170.146.0/24 -i eth0 -j DROP
iptables -A INPUT ! -s 200.170.146.0/24 -i eth0 -j DROP
iptables -A FORWARD -s ! 200.170.146.0/24 -i eth0 -j DROP
iptables -A FORWARD ! -s 200.170.146.0/24 -i eth0 -j DROP
iptables -A INPUT -s 192.168.1.0/24 -i ! eth1 -j DROP
iptables -A INPUT ! -s 192.168.1.0/24 -i eth1 -j DROP
iptables -A INPUT -s ! 200.170.146.0/24 -i eth0 -j DROP
iptables -A INPUT ! -s 200.170.146.0/24 -i eth0 -j DROP
iptables -A FORWARD -s ! 200.170.146.0/24 -i eth0 -j DROP
iptables -A FORWARD ! -s 200.170.146.0/24 -i eth0 -j DROP
Espero ter ajudado..
Outras dicas deste autor
Instalando PostgreSQL no FreeBSD
MicroOLAP - Ferramenta para modelagem em PostgreSQL
Leitura recomendada
Ataque de dicionário com OpenSSL - quebrando senhas
Bloqueando e liberando o Facebook com iptables em espaços de tempo
ASSH - Anonymous Secure Shell em Linux
Comentários
[1] Comentário enviado por joselinux em 19/05/2006 - 13:39h
essa e uma tecnica q funciona mesmo, eu fisso isso tb em uma rede e deu certo
essa e uma tecnica q funciona mesmo, eu fisso isso tb em uma rede e deu certo
[2] Comentário enviado por EnzoFerber em 11/12/2006 - 13:48h
Olhá só... eu num sei se to certo (me corrija se não estiver)
Mas o IP spoofing consiste em trocar o endereço do campo "Source Address" do pacote IP que sai, para que o host-alvo não saiba quem o enviou. O que estava acontecendo na sua rede é que estavam entrando pacotes de outras máquinas, como sites por exemplo. Por exemplo, quando você entra em um site, você envia um SYN e ele responde com um SYN, depois você envia um ACK e ele envia um ACK, isso para poder completar o 3-way handshake do TCP e a conexão ser estabelecida. Podem ser esses endereços que você tava vendo nos seus logs. Se não for isso, me desculpe mas foi isso que deu a entender quando você escreveu:
Por que fui atrás dessa solução: estavam entrando pacotes na minha rede que não tinham nada a ver com o escopo do meu IP, ou seja, meu IP era 200.170.146.50 e de vez em quando estavam passando IP's como 63.209.251.24 para dentro de minha rede (não sei como isso é possível).
P.S.: Eu num entendi muito bem o que você falo, tipo que o IP só apareceu no log, ou ele invadiu sua máquina mesmo?
Espero que entenda meu ponto de vista,
Slackware_10
Olhá só... eu num sei se to certo (me corrija se não estiver)
Mas o IP spoofing consiste em trocar o endereço do campo "Source Address" do pacote IP que sai, para que o host-alvo não saiba quem o enviou. O que estava acontecendo na sua rede é que estavam entrando pacotes de outras máquinas, como sites por exemplo. Por exemplo, quando você entra em um site, você envia um SYN e ele responde com um SYN, depois você envia um ACK e ele envia um ACK, isso para poder completar o 3-way handshake do TCP e a conexão ser estabelecida. Podem ser esses endereços que você tava vendo nos seus logs. Se não for isso, me desculpe mas foi isso que deu a entender quando você escreveu:
Por que fui atrás dessa solução: estavam entrando pacotes na minha rede que não tinham nada a ver com o escopo do meu IP, ou seja, meu IP era 200.170.146.50 e de vez em quando estavam passando IP's como 63.209.251.24 para dentro de minha rede (não sei como isso é possível).
P.S.: Eu num entendi muito bem o que você falo, tipo que o IP só apareceu no log, ou ele invadiu sua máquina mesmo?
Espero que entenda meu ponto de vista,
Slackware_10
[3] Comentário enviado por manchatnt em 03/08/2012 - 11:21h
Muito boa dica Renato.
Mas uma dúvida:
Se possuo a seguinte estrutura
\ /
Rede ------- Fw1 ---->> Nuvem WAN <<---- Fw2 -------- Rede
10.11.1.0/24 / \ 10.11.2.0/24
Como posso liberar no iptables as duas redes evitando um spoofing vindo da Nuvem WAN??
Muito boa dica Renato.
Mas uma dúvida:
Se possuo a seguinte estrutura
\ /
Rede ------- Fw1 ---->> Nuvem WAN <<---- Fw2 -------- Rede
10.11.1.0/24 / \ 10.11.2.0/24
Como posso liberar no iptables as duas redes evitando um spoofing vindo da Nuvem WAN??
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Visualizar câmeras IP ONVIF no Linux sem necessidade de instalar aplicativos
Atualizar Debian Online de uma Versão para outra
Máquina perereca - até onde é possível o uso de Linux?
Dicas
Colocando skins no VLC Media Player
Como anda a saúde do disco rígido?
Tópicos
Debian 13 "trixie&... lançado! (27)
O que você está ouvindo agora? [2] (202)
Top 10 do mês
-
Xerxes
1° lugar - 76.740 pts -
Fábio Berbert de Paula
2° lugar - 48.499 pts -
Buckminster
3° lugar - 22.219 pts -
Mauricio Ferrari
4° lugar - 16.670 pts -
Alberto Federman Neto.
5° lugar - 15.050 pts -
Daniel Lara Souza
6° lugar - 14.687 pts -
Andre (pinduvoz)
7° lugar - 14.330 pts -
edps
8° lugar - 14.070 pts -
Sidnei Serra
9° lugar - 14.015 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 12.983 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
