PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Spoofing verhindern



Ryanika
08.12.2003, 13:47
Hy zusammen :)

ich schreibe an einem iptables-Skript und möchte damit auch Spoofing verhindern. Nun habe ich seitenweise Regelketten gefunden, vom Spoofing -> Loopback Interface, reservierte Adreßbereiche, IANA Adressbereiche und Boadcast Adressen. Bevor ich mir jetzt die Finger wundtippe und alles einzeln aufführe die Frage, gibt es vielleicht eine Regel, die die Angelegenheit ein bisschen verkürzt??

Danke und Gruss

Ryan

tr0nix
08.12.2003, 14:05
Ne nicht wirklich. Du musst einfach checken, dass auf externen Interfaces keine Addressen kommen welche eigentlich nur fuer private Netze gedacht sind. Also Loopback bzw. 127... und Interne Netze wie 192... oder 10...

control
08.12.2003, 14:17
hab ihr ein beispiel dafür? :frage:

tr0nix
08.12.2003, 14:20
Ein Beispiel wofuer? Du meinst wie man so eine Rule eintipperln muss oder wieso dies so sein sollte?

Ryanika
08.12.2003, 14:25
Klar :)

IP Spoofing: Loopback Interface

iptables -A INPUT -i $ext_int -s $lo_int -j DROP
iptables -A OUTPUT -o $ext_int -s $lo_int -j DROP

Beim Loopback Interface handelt es sich um eine lokale, interne Netzwerkschnittstelle. Deshalb sind eingehende und ausgehende Pakete mit dieser Quelladresse offensichtlich gefälscht.

War das ein *richtiges* Beispiel? Oder, meintest du etwas anderes?

control
08.12.2003, 14:48
Danke Ryanika. das wollte ich sehen.

Ryanika
08.12.2003, 15:06
Bitte :)

Noch eine Frage -> an welcher Stelle des iptables Skriptes verbiete ich Spoofing?

Locke
26.04.2004, 02:44
naja spoofing am besten nach den policy vorgaben und nach den logs aber vor dem eigentlichen einzelnen filtern der pakete ansetzen. dann passt das soweit. wichtig is halt am besten feste netze für fest vorgegebene nic's zu verwenden. tcp_syncookies sollteste am besten auch glei nutzen, sind recht praktisch bei dos attacken.

hier mal nen kleines beispiel:

$IPTABLES -A INPUT -i $INT -s 127.0.0.0/8 -j DROP
$IPTABLES -A INPUT -i $INT -d 127.0.0.0/8 -j DROP

wobei $INT incoming device für äussere netze.
beim output brauchste spoofing nur dann verhindern wenn du deinem internen netz nicht traust, zB in firmen aber ansonsten eher selten der fall.