[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: openbsd@sikurezza.org
Soggetto: Re: Bridge con OpenBSD --> Strict/Source Route -- Antispoofing?
Mittente: Fabio Pietrosanti (naif)
Data: 8 Apr 2002 17:06:56 -0000
On Thu, Apr 04, 2002 at 03:58:56PM +0200, Thorin Oakenshield wrote:
Aspetta, non facciamo confusione.

Un conto sono i pacchetti con le opzioni strict source routing e loose source
e un conto sono le regole di ingress e egress filtering ( antispoofing ) .

> Gia' che ci sei (innanzitutto un saluto al volo !), sul newsgroup
> it.comp.sicurezza.varie si era parlato del come filtrare i pacchetti source
> routed: io pensavo (evidentemente erroneamente) che bastassero le regole che
> si trovano nelle FAQ per buttare via i tentativi di connessione da IP che
> affermano di appartenere ad una classe di IP locale e provengono
> dall'esterno cioe'
> 
> LocalNets="{ 127.0.0.1/8, 10.0.0.0/8, 172.16.0.0/16, 192.168.4.0/24 }"
> 
> block in quick on $ExtIf inet from $LocalNets to any
> block in quick on $ExtIf inet from any to $LocalNets
> 
Questo e' ingress filtering antispoofing e blocca sull'interfaccia esterna 
i pacchetti in ingresso con ip non routabili ( interni ) .
Quindi impedisce che vengano portati attacchi alla nostra rete interna
dall'esterno utilizzando pacchetti spoofati.

> cio' che mi era stato detto e' che si poteva fare (usando IPF, pero')
> 
>   block in log quick on $ExtIf all with opt lsrr
>   block in log quick on $ExtIf all with opt ssrr

Questo invece si occupa di bloccare sull'interfaccia esterna i pacchetti in
ingresso ( indipendentemente dal loro ip sorgente/destinazione ) con flag
Strict Source Route o Loose Source Route. 
Cio' pero' non centra con l'antispoofing.
> =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=> CLIP HERE < =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
> Per bloccare questo traffico e' necessario droppare i pacchetti source
> routed a livello di inoltro (ho scritto i metodi per il linux e ipf ma
> ci sara' anche per pf) o bloccare in output sull'interfaccia interna i
> pacchetti con sorgente esterna che appartengono a sessioni per cui non
> esiste uno stato o, se il firewall non fa' stateful inspection, quelli
> che hanno il flag syn a 1 (ma solo per tcp).
> =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=> CLIP HERE < =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Purtroppo non capisco neanche io cosa ho scritto... sara' che devo cenare, o
che quando avevo scritto ero nella stessa condizione :P
> 
> cioe' in soldoni? Si usa keep|modulate state? Oppure si gioca con flags? Ah,
> ora che ho guardato nella man page di pf.conf ho visto questo:
> 
> =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=> CLIP HERE < =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
> 
>      # block and log outgoing packets that don't have our address as source,
>      # they are either spoofed or something is misconfigured (NAT disabled,
>      # for instance), we want to be nice and don't send out garbage.
>      block out log quick on $ext_if from ! 157.161.48.183 to any
> 
> =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=> CLIP HERE < =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
> 
> cioe' butta via tutti i pacchetti che non arrivano da 157.161.48.183 ?

Questa regola ( Egress Filtering ) e' una regola di "buon senso", che ha ovviamente
i suoi risvolti nella security, ma non specificamente per la nostra in quanto
impedisce alla nostra rete di inviare pacchetti spoofati che andrebbero
certamente a ledere "altri" .
E' anche vero che il "buon carrier" impedisce al cliente di inviare pacchetti
spoofati sul router in casa sua e sul backbone.

Vado a mangiare... ciaps!

-- 

Fabio Pietrosanti ( naif )
E-mail: naif@sikurezza.org - naif@blackhats.it
PGP Key (DSS) http://naif.itapac.net/naif.asc
--
 "Hacking is the future of security research" R.Power, CSI 
Free advertising: www.openbsd.org Multiplatform Ultra-secure OS

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List




[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005