… Assim como compartilhei a ferramenta, por acreditar que compartilhar o conhecimento \u00e9 uma das melhores formas de se educar os profissionais e entusiastas de seguran\u00e7a, seguem algumas dicas, onde compartilho algumas id\u00e9ias, de como se proteger destes tipos de ataque:<\/p>\n

<\/div>\n

Bloqueio no segmento de borda de qualquer protocolo que n\u00e3o seja utilizado pela empresa. Por exemplo:<\/li>\n
- Se o segmento de borda n\u00e3o utiliza tr\u00e1fego\u00a0IGMP<\/strong>, este tr\u00e1fego dever\u00e1 ser bloqueado.<\/li>\n
- Bloqueio de qualquer protocolo de uso “exclusivo<\/em>” interno, como por exemplo:\u00a0RIP<\/strong>,\u00a0DCCP<\/strong>,RSVP<\/strong>,\u00a0GRE<\/strong>,\u00a0EIGRP<\/strong>\u00a0e\u00a0OSPF<\/strong>.<\/li>\n<\/ul>\n
- Cria\u00e7\u00e3o de ACLs em Routers\/Firewalls, assim como cria\u00e7\u00e3o de pol\u00edticas de NIPS, para bloqueio de anomalias nos protocolos. Por exemplo:<\/li>\n
  \n
  Se o segmento de borda utiliza\u00a0IPSec<\/strong>, mas o pacote\u00a0IPSec<\/strong>\u00a0venha com os cabe\u00e7alhos\u00a0AH<\/strong>e\u00a0ESP<\/strong>\u00a0sem “payload<\/em>“, este tr\u00e1fego dever\u00e1 ser bloqueado por ser um tr\u00e1fego an\u00f4malo.<\/li>\n
  Tanto o\u00a0T50<\/strong>\u00a0quanto algumas outras ferramentas utiliza\u00e7\u00e3o gera\u00e7\u00e3o aleat\u00f3ria de valores para alguns campos de cabe\u00e7alho de protocolos, portanto isto deve ser considerado uma anomalia e seu tr\u00e1fego, consequentemente, deve ser bloqueado.<\/li>\n<\/ul>\n
  Para\u00a0TCP SYN Flood<\/a>\u00a0(RFC4987<\/a>), utilize\u00a0SYN cookies<\/a><\/strong>\u00a0e defesas contra anomalias do protocolo\u00a0TCP<\/strong>.<\/li>\n
  Para\u00a0UDP Flood<\/strong>, bloqueie qualquer tr\u00e1fego n\u00e3o necess\u00e1rio para este protocolo.<\/li>\n
  Monitore anomalias estat\u00edsticas do volume de tr\u00e1fego na rede. Por exemplo:<\/li>\n\n
  Ataques de\u00a0TCP SYN Flood<\/a><\/strong>, assim como demais\u00a0TCP Floods,<\/strong>\u00a0possuem pacotes de aproximadamente 40 bytes, sendo que sua utiliza\u00e7\u00e3o n\u00e3o deve passar de \u00bc do total do tr\u00e1fego\u00a0TCP<\/strong>\u00a0(obviamente esta m\u00e9trica deve ser minuciosamente avaliada para cada ambiente<\/span>).<\/li>\n<\/ul>\n
  Tenha um contato t\u00e9cnico interno na sua operadora de acesso \u00e0 Internet, pois somente as operadoras poder\u00e3o, de forma muito mais eficaz, criar ACLs para\u00a0Ingress Filters<\/em>\u00a0(RFC2827<\/a><\/strong>\/<\/strong>RFC3704<\/a><\/strong>), bloqueando pacotes com\u00a0 IP Spoofing<\/a>. Por exemplo:<\/li>\n
  \n
  Tr\u00e1fego com endere\u00e7amento IP do bloco de endere\u00e7os pertencente ao Rio de Janeiro que venham por canais de comunica\u00e7\u00e3o de S\u00e3o Paulo sugerem que este tr\u00e1fego utiliza\u00a0IP Spoofing<\/a><\/strong>, portanto a operadora ser\u00e1 capaz de criar ACLs impedindo a propaga\u00e7\u00e3o deste tr\u00e1fego.<\/li>\n<\/ul>\n
  Crie ACLs para\u00a0Egress Filters<\/em>\u00a0(RFC3013<\/a><\/strong>), impedindo que sua rede seja uma origem de ataques com\u00a0IP Spoofing<\/a><\/strong>.<\/li>\n
  Crie ACLs\u00a0para\u00a0Ingress Filters<\/em>\u00a0(RFC2827<\/a><\/strong>\/<\/strong>RFC3704<\/a><\/strong>), bloqueando os endere\u00e7os IP contidos e listados nos seguintes documentos:<\/li>\n
  \n
  RFC919<\/strong><\/a>,\u00a0RFC922<\/strong><\/a>,\u00a0RFC1112<\/strong><\/a>,\u00a0RFC1122<\/strong><\/a>,\u00a0RFC1356<\/strong><\/a>,\u00a0RFC1700<\/strong><\/a>,\u00a0RFC1918<\/strong><\/a>,
  \nRFC2365<\/strong><\/a>,\u00a0RFC3068<\/strong><\/a>,\u00a0RFC3330<\/strong><\/a>,\u00a0RFC3927<\/strong><\/a>,\u00a0RFC5735<\/strong><\/a>,\u00a0RFC5736<\/strong><\/a>,\u00a0RFC5737<\/strong><\/a>,
  \nRFC5771<\/strong><\/a>\u00a0e\u00a0RFC6034<\/strong><\/a>.<\/li>\n<\/ul>\n<\/ol>\n
  Outras formas, um pouco mais esot\u00e9ricas, podem ser adotadas. Por exemplo:<\/div>\n
  <\/div>\n
  \n
  Rate Limiting<\/a><\/em><\/li>\n
  Connection Limiting<\/em><\/li>\n
  Traffic Shaping<\/a><\/em><\/li>\n
  Quality of Service<\/a><\/em><\/li>\n
  Blackhole<\/a><\/em><\/li>\n
  Sinkhole<\/a><\/em><\/li>\n<\/ol>\n
  Cr\u00e9ditos :\u00a0 http:\/\/fnstenv.blogspot.com.br\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
  Achei interessante guardar … … Assim como compartilhei a ferramenta, por acreditar que compartilhar o conhecimento \u00e9 uma das melhores formas de se educar os profissionais e entusiastas de seguran\u00e7a,<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-216","post","type-post","status-publish","format-standard","hentry","category-firewall"],"_links":{"self":[{"href":"http:\/\/binsfeld.com.br\/wp\/index.php?rest_route=\/wp\/v2\/posts\/216"}],"collection":[{"href":"http:\/\/binsfeld.com.br\/wp\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/binsfeld.com.br\/wp\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/binsfeld.com.br\/wp\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/binsfeld.com.br\/wp\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=216"}],"version-history":[{"count":2,"href":"http:\/\/binsfeld.com.br\/wp\/index.php?rest_route=\/wp\/v2\/posts\/216\/revisions"}],"predecessor-version":[{"id":218,"href":"http:\/\/binsfeld.com.br\/wp\/index.php?rest_route=\/wp\/v2\/posts\/216\/revisions\/218"}],"wp:attachment":[{"href":"http:\/\/binsfeld.com.br\/wp\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=216"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/binsfeld.com.br\/wp\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=216"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/binsfeld.com.br\/wp\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=216"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}