Regole Iptables per impedire lo spoofing IP

0

Abbiamo seguito le seguenti regole di iptables esistenti nelle nostre caselle front-end Web per impedire lo spoofing IP:

    -A INPUT -s 255.0.0.0/8 -j LOG --log-prefix "Spoofed source IP"
    -A INPUT -s 255.0.0.0/8 -j DROP
    -A INPUT -s 0.0.0.0/8 -j LOG --log-prefix "Spoofed source IP"
    -A INPUT -s 0.0.0.0/8 -j DROP

Vogliamo aggiungere qui sotto le regole per aumentare ulteriormente il IP Spoofing prevention

     -A INPUT -s 224.0.0.0/3 -j LOG --log-prefix "Spoofed source IP"
     -A INPUT -s 255.0.0.0/8 -j DROP
     -A INPUT –s 169.254.0.0/16 -j LOG --log-prefix "Spoofed source IP"
     -A INPUT -s 169.254.0.0/16 -j DROP
     -A INPUT –s 240.0.0.0/5 -j LOG --log-prefix "Spoofed source IP"
     -A INPUT -s 240.0.0.0/5 -j DROP

Suggerisci di aggiungere le regole di sopra in una casella di produzione che esegue Apache httpd come proxy inverso? Questa scatola di produzione è dietro un sistema di bilanciamento del carico F5.

Inoltre, dobbiamo abilitare i seguenti parametri del kernel affinché le regole precedenti funzionino in modo efficace?

               net.ipv4.conf.all.rp_filter=1
               net.ipv4.conf.all.log_martians=1
               net.ipv4.conf.default.log_martians=1
    
posta Zama Ques 26.12.2016 - 09:49
fonte

1 risposta

1
iptables -N spoofing
iptables -I spoofing -j LOG --log-prefix "Spoofed source IP"
iptables -I spoofing -j DROP

iptables -A INPUT -s 255.0.0.0/8 -j spoofing
iptables -A INPUT -s 0.0.0.8/8 -j spoofing

Ciò consente di risparmiare la duplicazione del log e di eliminare le regole più e più volte.

Non puoi fermare i cattivi dallo spoofing. Un IP spoof'ed non può eseguire un handshake a 3 vie come richiesto dal TCP, ma UDP non ha tale restrizione. Inoltre, se l'hacker contraffà il tuo IP e lo invia a google.com o altro, tenterà di connettersi al tuo IP pensando di aver provato a collegarti a loro.

Alcuni ISP ora stanno limitando questo tipo di cose, ma molti ancora non lo fanno.

    
risposta data 26.12.2016 - 17:33
fonte

Leggi altre domande sui tag