Re: [Slackit.org] Firewall con slackware

slackit-ml

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [Slackit.org] Firewall con slackware

From:	insomniac
Subject:	Re: [Slackit.org] Firewall con slackware
Date:	Sun, 21 Nov 2004 15:33:38 +0100

On Sun, 21 Nov 2004 14:35:46 +0100 (CET)
andy borgard <address@hidden> wrote:

> Vi spiego subito il motivo:
> ho l'esigenza di crearmi un  firewall con queste regole principali:
> ---------------------------------------------------------------
> anti IP Spoofing
> anti MAC spoofing
> Anti Denial of service
> Mascheramento OS fingerprint di nmap 
> intrusion Detection system
> port scan detection
> Mascheramento ip
> block attackers ip
> ------------------------------------------------------------------

Ti accontenti solo di questo? =)

Premetto che tutto quello che dico è IMHO.

Credo che occorra qualche dettaglio in più:
- anti IP spoofing? Cosa intendi precisamente? Impedire lo spoofing del 
traffico proveniente da internet? Credo che il massimo che si possa fare 
localmente sia filtrare dalle interfacce esterne pacchetti con indirizzi 
sorgenti di rete interna.

- MAC spoofing.. mumble.. se parli del solito attacco MITM tramite risposte ARP 
fittizie (vedi ettercap e soci), un primo e fondamentale passo è usare entry 
statiche nella ARP cache su ogni macchina, con conseguenti problemi di gestione 
quando il numero delle macchine cresce. Se intendi invece spoofing di MAC 
address in quanto tale, non conosco soluzioni pratiche (in teoria dovresti 
assegnare staticamente su ogni porta degli switch un indirizzo MAC univoco, che 
filtri il traffico proveniente da MAC diversi da quello assegnato, con il 
solito problema di cambiare l'assegnazione quando a quella porta colleghi 
un'altra macchina o cambi scheda di rete).

- Anti DOS: ci sono classi di DOS che ovviamente non sono arrestabili (i soliti 
noti), mentre altri sono limitabili con regole di IDS e policy restrittive (ciò 
che non è espressamente consentito è vietato; non è restrittività, è coerenza, 
e vale per tutto, non solo per i DOS), e con l'aggiornamento costante dei 
software e delle signature utilizzati. Mi pare comunque che sia uscito 
recentemente un articolo di fusys (non sono sicuro) sui DOS, su H&C, con 
informazioni e URL storici e interessanti.

- protezione da OS fingerprinting: puoi utilizzare software con funzioni di 
proxy, tramite i quali il traffico apparirebbe generato soltanto dalla macchina 
esterna (nascondendo per quanto possibile i computer della LAN). Questo ti 
difende dal fingerprinting attivo ma non da quello passivo (vedi p0f). Non è 
esattamente la stessa cosa, comunque software come honeyd ti permettono di 
avviare dei servizi emulando determinate versioni di OS.

- IDS: per gli IDS di rete ovviamente c'è il blasonato snort, cui ti rimando 
per un approfondimento dell'argomento. Il port scan detection fa parte delle 
funzioni di un NIDS, quindi ancora snort e soci.

- Mascheramento IP: per me significa masquerading+NAT, non so se è lo stesso 
che intendi tu, ma tra le funzioni principali di netfilter c'è proprio quello. 
Vedi il target MASQUERADE della tabella nat nel manuale di iptables(8).

- block attackers IP: non mi è chiaro né concettualmente né sintatticamente, 
magari se fornisci più dettagli ci arrivo.

Se ho detto cavolate, correggetemi =)

insomniac

[Prev in Thread]

Current Thread

[Next in Thread]

[Slackit.org] Firewall con slackware, andy borgard, 2004/11/21
- Re: [Slackit.org] Firewall con slackware, Massimiliano Donini, 2004/11/21
  - Re: [Slackit.org] Firewall con slackware, Roberto [khazad-dum], 2004/11/22
- Re: [Slackit.org] Firewall con slackware, insomniac <=

Prev by Date: Re: [Slackit.org] Firewall con slackware
Next by Date: [Slackit.org] Re: Aggiornamenti sicurezza
Previous by thread: Re: [Slackit.org] Firewall con slackware
Next by thread: [Slackit.org] spi news
Index(es):
- Date
- Thread