Re: Smurf, la piaga della rete?

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Luglio 2001 ml@sikurezza.org
Soggetto: Re: Smurf, la piaga della rete?
Mittente: Fabio Pietrosanti (naif)
Data: 12 Jul 2001 23:23:49 -0000

On Thu, Jul 12, 2001 at 12:01:35AM +0200, Bonelli Nicola wrote:
> Lo forzo per poter bloccare un attacco simile potrebbe essere rivolto
> verso:
> 
> -------
> 
> 1) Per quanto riguarda i provider non concedere free routing a pacchetti
> non apparteneranti alle proprie classi ip. (questo eliminerebbe il
> problema di poter routare verso inet pacchetti con l'indirizzo ip sorgente
> falsificato e risolverebbe anche il problema dello smurf).
E qui sia I.NET che Telecom so' per certo che fanno "egress filtering",
applicando delle access-list in uscita dalle interfaccie esterne dei router in
casa dei clienti, permettendo solo il traffico dalla rete del cliente.
> 
> 2) Configurare meglio le proprie reti in modo da non essere amplificatori
> di smurf, semplicemente non rispondendo ad icmp-broadcast diretti alle
> nostre reti. 
Su cisco:
conf t
    int NOMEINTERFACCIA
    no ip directed-broadcast 
> 
> 3) Come ultimo step, telefonare al nostro provider e chiederli di
> configurare meglio i router verso di noi. 
> Non sono certificato cisco e quindi non conosco esattamente la sintassi
> dello ios, ne' quali tra i modelli attualmente in vendita supporta questa
> feature, ma ci dovrebbero essere dei cisco che fanno icmp tracking e
> quindi fanno passare gli icmp-echo reply solo se precedentemente
> autorizzati da echo-request.
Purtroppo questa feature e' disponibile solo sui Cisco router con IOS
IP/Firewall, richiede configurazioni di access-list tali che ne fanno un
firewall statefull.

Fare cio' aumenta notevolmanete l'overhead del router, e questa versione di
IOS richiede normalmente piu' Flash e piu' Ram di quanta sia normalmente a
disposizione per potere essere installata.

-- 

Fabio Pietrosanti ( naif )
E-mail: naif@sikurezza.org - naif@blackhats.it
PGP Key (DSS) http://naif.itapac.net/naif.asc
--
Free advertising: www.openbsd.org Multiplatform Ultra-secure OS
Free Flame: IPFilter sucks ! 

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: R: Smurf, la piaga della rete?, Raistlin
- successivo: Re: certificazioni x.509 e java, Fabio Pietrosanti (naif)
- indice

Argomento:
- precedente: Re: Smurf, la piaga della rete?, Ardizzoni Enrico IW4DZV
- successivo: Re: Smurf, la piaga della rete?, Fabio Pietrosanti (naif)
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005