reglas de IPtables para evitar la falsificación de IP

Navega tus respuestas
0

Tuvimos las siguientes reglas iptables que existen en nuestras cajas front-end web para evitar la suplantación de IP: 

    -A INPUT -s 255.0.0.0/8 -j LOG --log-prefix "Spoofed source IP"
    -A INPUT -s 255.0.0.0/8 -j DROP
    -A INPUT -s 0.0.0.0/8 -j LOG --log-prefix "Spoofed source IP"
    -A INPUT -s 0.0.0.0/8 -j DROP

Queremos agregar las siguientes reglas ahora para fortalecer aún más IP Spoofing prevention 

     -A INPUT -s 224.0.0.0/3 -j LOG --log-prefix "Spoofed source IP"
     -A INPUT -s 255.0.0.0/8 -j DROP
     -A INPUT –s 169.254.0.0/16 -j LOG --log-prefix "Spoofed source IP"
     -A INPUT -s 169.254.0.0/16 -j DROP
     -A INPUT –s 240.0.0.0/5 -j LOG --log-prefix "Spoofed source IP"
     -A INPUT -s 240.0.0.0/5 -j DROP

¿Sugiere agregar las reglas anteriores en un cuadro de producción que ejecuta Apache httpd como un proxy inverso? Esta caja de producción está detrás de un equilibrador de carga F5.

Además, ¿necesitamos habilitar los parámetros de kernel que se encuentran a continuación para que las reglas anteriores funcionen de manera efectiva? 

               net.ipv4.conf.all.rp_filter=1
               net.ipv4.conf.all.log_martians=1
               net.ipv4.conf.default.log_martians=1
    
pregunta Zama Ques 26.12.2016 - 09:49
fuente

1 respuesta

1
iptables -N spoofing
iptables -I spoofing -j LOG --log-prefix "Spoofed source IP"
iptables -I spoofing -j DROP

iptables -A INPUT -s 255.0.0.0/8 -j spoofing
iptables -A INPUT -s 0.0.0.8/8 -j spoofing

Esto te ahorra la duplicación de las reglas de registro y eliminación una y otra y otra vez.

No puedes evitar que los chicos malos engañen. Una IP falsificada no puede realizar un protocolo de enlace de 3 vías según lo requiere TCP, pero UDP no tiene tal restricción. Además, si el pirata informático falsifica su IP y la envía a google.com o etc, intentarán conectarse a su IP pensando que intentó conectarse a ellos.

Algunos ISP ahora están restringiendo este tipo de cosas, pero muchos aún no lo hacen.

    
respondido por el cybernard 26.12.2016 - 17:33
fuente

Lea otras preguntas en las etiquetas

¿Cómo puede alguien determinar dónde se originó un enrutador / SSID inalámbrico? [duplicar] ¿Es posible validar una nueva cuenta de usuario / restablecer la contraseña sin enviar un correo electrónico o número de teléfono?