Achei interessante guardar …
… Assim como compartilhei a ferramenta, por acreditar que compartilhar o conhecimento é uma das melhores formas de se educar os profissionais e entusiastas de segurança, seguem algumas dicas, onde compartilho algumas idéias, de como se proteger destes tipos de ataque:
- Bloqueio no segmento de borda de qualquer protocolo que não seja utilizado pela empresa. Por exemplo:
- Se o segmento de borda não utiliza tráfego IGMP, este tráfego deverá ser bloqueado.
- Bloqueio de qualquer protocolo de uso “exclusivo” interno, como por exemplo: RIP, DCCP,RSVP, GRE, EIGRP e OSPF.
- Criação de ACLs em Routers/Firewalls, assim como criação de políticas de NIPS, para bloqueio de anomalias nos protocolos. Por exemplo:
- Se o segmento de borda utiliza IPSec, mas o pacote IPSec venha com os cabeçalhos AHe ESP sem “payload“, este tráfego deverá ser bloqueado por ser um tráfego anômalo.
- Tanto o T50 quanto algumas outras ferramentas utilização geração aleatória de valores para alguns campos de cabeçalho de protocolos, portanto isto deve ser considerado uma anomalia e seu tráfego, consequentemente, deve ser bloqueado.
- Para TCP SYN Flood (RFC4987), utilize SYN cookies e defesas contra anomalias do protocolo TCP.
- Para UDP Flood, bloqueie qualquer tráfego não necessário para este protocolo.
- Monitore anomalias estatísticas do volume de tráfego na rede. Por exemplo:
- Ataques de TCP SYN Flood, assim como demais TCP Floods, possuem pacotes de aproximadamente 40 bytes, sendo que sua utilização não deve passar de ¼ do total do tráfego TCP (obviamente esta métrica deve ser minuciosamente avaliada para cada ambiente).
- Tenha um contato técnico interno na sua operadora de acesso à Internet, pois somente as operadoras poderão, de forma muito mais eficaz, criar ACLs para Ingress Filters (RFC2827/RFC3704), bloqueando pacotes com IP Spoofing. Por exemplo:
- Tráfego com endereçamento IP do bloco de endereços pertencente ao Rio de Janeiro que venham por canais de comunicação de São Paulo sugerem que este tráfego utiliza IP Spoofing, portanto a operadora será capaz de criar ACLs impedindo a propagação deste tráfego.
- Crie ACLs para Egress Filters (RFC3013), impedindo que sua rede seja uma origem de ataques com IP Spoofing.
- Crie ACLs para Ingress Filters (RFC2827/RFC3704), bloqueando os endereços IP contidos e listados nos seguintes documentos:
Outras formas, um pouco mais esotéricas, podem ser adotadas. Por exemplo:
- Rate Limiting
- Connection Limiting
- Traffic Shaping
- Quality of Service
- Blackhole
- Sinkhole
Créditos : http://fnstenv.blogspot.com.br/
Deixe um comentário