Pular para o conteúdo

Evitando IP spoofing

Dica publicada em Linux / Segurança
Renato R. Ricci rrricci

Por Renato R. Ricci em 19/05/2006

Hits: 17.885 Categoria: Linux Subcategoria: Segurança
  • Indicar
  • Impressora
  • Denunciar

Evitando IP spoofing

Baseado em experiências que tive aqui na empresa, achei uma solução para evitar IP spoofing na minha rede.

Por que fui atrás dessa solução: estavam entrando pacotes na minha rede que não tinham nada a ver com o escopo do meu IP, ou seja, meu IP era 200.170.146.50 e de vez em quando estavam passando IP's como 63.209.251.24 para dentro de minha rede (não sei como isso é possível). A solução foi colocar uma regra em que na eth0 (200.170.146.50) só passasem IP's que iniciassem por 200.170.146, e na minha eth1 (192.168.1.1) só passasem IP's que iniciassem com 192.168.1. A partir do momento em que coloquei as regras abaixo, não tive mais problemas, pois sempre que entrava um pacote com escopo diferente, minha internet caía.

Iptables:

echo "Bloqueando Spoofing"
iptables -A INPUT -s 192.168.1.0/24 -i ! eth1 -j DROP
iptables -A INPUT ! -s 192.168.1.0/24 -i eth1 -j DROP

iptables -A INPUT -s ! 200.170.146.0/24 -i eth0 -j DROP
iptables -A INPUT ! -s 200.170.146.0/24 -i eth0 -j DROP

iptables -A FORWARD -s ! 200.170.146.0/24 -i eth0 -j DROP
iptables -A FORWARD ! -s 200.170.146.0/24 -i eth0 -j DROP

Espero ter ajudado..

Outras dicas deste autor

MicroOLAP - Ferramenta para modelagem em PostgreSQL

Instalando PostgreSQL no FreeBSD

Leitura recomendada

Aumentando a segurança de seu sistema!

Vulnerabilidade crítica no Linux: Ghost

Bloqueando o Orkut pelo iptables

Acesso SSH em Host no qual teve sua identificação alterada - "WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!"

Atualizando ID de chave no Debian 9 codinome Stretch

Comentários

#1 Comentário enviado por joselinux em 19/05/2006 - 13:39h
essa e uma tecnica q funciona mesmo, eu fisso isso tb em uma rede e deu certo
#2 Comentário enviado por EnzoFerber em 11/12/2006 - 13:48h
Olhá só... eu num sei se to certo (me corrija se não estiver)

Mas o IP spoofing consiste em trocar o endereço do campo "Source Address" do pacote IP que sai, para que o host-alvo não saiba quem o enviou. O que estava acontecendo na sua rede é que estavam entrando pacotes de outras máquinas, como sites por exemplo. Por exemplo, quando você entra em um site, você envia um SYN e ele responde com um SYN, depois você envia um ACK e ele envia um ACK, isso para poder completar o 3-way handshake do TCP e a conexão ser estabelecida. Podem ser esses endereços que você tava vendo nos seus logs. Se não for isso, me desculpe mas foi isso que deu a entender quando você escreveu:

Por que fui atrás dessa solução: estavam entrando pacotes na minha rede que não tinham nada a ver com o escopo do meu IP, ou seja, meu IP era 200.170.146.50 e de vez em quando estavam passando IP's como 63.209.251.24 para dentro de minha rede (não sei como isso é possível).

P.S.: Eu num entendi muito bem o que você falo, tipo que o IP só apareceu no log, ou ele invadiu sua máquina mesmo?

Espero que entenda meu ponto de vista,
Slackware_10
#3 Comentário enviado por manchatnt em 03/08/2012 - 11:21h
Muito boa dica Renato.
Mas uma dúvida:

Se possuo a seguinte estrutura

\ /
Rede ------- Fw1 ---->> Nuvem WAN <<---- Fw2 -------- Rede
10.11.1.0/24 / \ 10.11.2.0/24

Como posso liberar no iptables as duas redes evitando um spoofing vindo da Nuvem WAN??

Contribuir com comentário

Entre na sua conta para comentar.