[Top][All Lists]
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [Slackit.org] Firewall con slackware
From: |
insomniac |
Subject: |
Re: [Slackit.org] Firewall con slackware |
Date: |
Sun, 21 Nov 2004 15:33:38 +0100 |
On Sun, 21 Nov 2004 14:35:46 +0100 (CET)
andy borgard <address@hidden> wrote:
> Vi spiego subito il motivo:
> ho l'esigenza di crearmi un firewall con queste regole principali:
> ---------------------------------------------------------------
> anti IP Spoofing
> anti MAC spoofing
> Anti Denial of service
> Mascheramento OS fingerprint di nmap
> intrusion Detection system
> port scan detection
> Mascheramento ip
> block attackers ip
> ------------------------------------------------------------------
Ti accontenti solo di questo? =)
Premetto che tutto quello che dico è IMHO.
Credo che occorra qualche dettaglio in più:
- anti IP spoofing? Cosa intendi precisamente? Impedire lo spoofing del
traffico proveniente da internet? Credo che il massimo che si possa fare
localmente sia filtrare dalle interfacce esterne pacchetti con indirizzi
sorgenti di rete interna.
- MAC spoofing.. mumble.. se parli del solito attacco MITM tramite risposte ARP
fittizie (vedi ettercap e soci), un primo e fondamentale passo è usare entry
statiche nella ARP cache su ogni macchina, con conseguenti problemi di gestione
quando il numero delle macchine cresce. Se intendi invece spoofing di MAC
address in quanto tale, non conosco soluzioni pratiche (in teoria dovresti
assegnare staticamente su ogni porta degli switch un indirizzo MAC univoco, che
filtri il traffico proveniente da MAC diversi da quello assegnato, con il
solito problema di cambiare l'assegnazione quando a quella porta colleghi
un'altra macchina o cambi scheda di rete).
- Anti DOS: ci sono classi di DOS che ovviamente non sono arrestabili (i soliti
noti), mentre altri sono limitabili con regole di IDS e policy restrittive (ciò
che non è espressamente consentito è vietato; non è restrittività, è coerenza,
e vale per tutto, non solo per i DOS), e con l'aggiornamento costante dei
software e delle signature utilizzati. Mi pare comunque che sia uscito
recentemente un articolo di fusys (non sono sicuro) sui DOS, su H&C, con
informazioni e URL storici e interessanti.
- protezione da OS fingerprinting: puoi utilizzare software con funzioni di
proxy, tramite i quali il traffico apparirebbe generato soltanto dalla macchina
esterna (nascondendo per quanto possibile i computer della LAN). Questo ti
difende dal fingerprinting attivo ma non da quello passivo (vedi p0f). Non è
esattamente la stessa cosa, comunque software come honeyd ti permettono di
avviare dei servizi emulando determinate versioni di OS.
- IDS: per gli IDS di rete ovviamente c'è il blasonato snort, cui ti rimando
per un approfondimento dell'argomento. Il port scan detection fa parte delle
funzioni di un NIDS, quindi ancora snort e soci.
- Mascheramento IP: per me significa masquerading+NAT, non so se è lo stesso
che intendi tu, ma tra le funzioni principali di netfilter c'è proprio quello.
Vedi il target MASQUERADE della tabella nat nel manuale di iptables(8).
- block attackers IP: non mi è chiaro né concettualmente né sintatticamente,
magari se fornisci più dettagli ci arrivo.
Se ho detto cavolate, correggetemi =)
insomniac