ARP Poisoning & Iptables

Hide the menu at down Opens a blank page Hide the menu at right

Back to Home   

Home
Apresentação
:: Objetivos & Estratégia
:: Dados do Autor
Visão Geral
:: Scripts com o Iptables
:: Malformed Packets
ARP Poisoning
:: ARP Poisoning & default gateway
:: ARP Poisoning & Iptables
Denial of Service
:: TCP SYN FLOOD: características
:: Syn Flood: Resultados
:: Syn Flood: reações mais comuns
:: Syn Flood: reação viável atualmente
:: Syn Flood & Netfilter
:: Denial of Service (DoS): outros tipos

EXEMPLO de "programação" de firewall camada 2, ou roteador:

# ARP Poisoning
iptables -A FORWARD -j arp-fw-group
# Best VIP
iptables -A FORWARD -j fwd-best-group
# Malformed
iptables -A FORWARD -j fwd-malf-group
# Bad VIP
iptables -A FORWARD -j fwd-bad-group
# Good VIP
iptables -A FORWARD -j fwd-good-group
# Deny Group
iptables -A FORWARD -j fwd-deny-group
# Accept Group
iptables -A FORWARD -j fwd-accept-group
# Deny Services Group
iptables -A FORWARD -j fwd-dsg-group
# Customer VIP
iptables -A FORWARD -j fwd-customer-group
# Syn Flood
iptables -A FORWARD -p tcp --syn -j syn-flood
# Firewall
iptables -A FORWARD -j fwd-fw-group
# DEFAULT DROP
iptables -A FORWARD -m limit --limit 10/s --limit-burst 4 -j LOG \
  --log-prefix "[FORWARD FW] "
iptables -A FORWARD -j DROP
      

Chain arp-fw-group em detalhes:

iptables -N arp-fw-group
iptables -A arp-fw-group -p all -m mac --mac-source ! 00:11:22:33:44:55 \
  -s 10.1.2.3 -j DROP
iptables -A arp-fw-group -p all -s 10.1.2.3 -j RETURN
iptables -A arp-fw-group -p all -m mac --mac-source ! 66:77:88:99:AA:BB \
  -s 10.1.2.4 -j DROP
iptables -A arp-fw-group -p all -s 10.1.2.4 -j RETURN
iptables -A arp-fw-group -p all -s 10.1.2.0/23 -j DROP
# Bloqueia todo o restante por default
iptables -A arp-fw-group -p all -j DROP
      

A ferramenta está aí... para colocar em produção de forma escalável, pode-se criar uma política e implantá-la tecnicamente fazendo scripts que consultam a tabela do arpwatch:

  • /var/lib/arpwatch/eth0.dat
  • /var/lib/arpwatch/eth1.dat
  • Pode-se utilizar esta chain arp-fw-group - que criamos - nas seguintes chains pré-definidas:

  • PREROUTING, para pacotes que acabaram de entrar nas tabelas nat ou mangle.
  • INPUT, para pacotes que acabaram de entrar nas tabelas filter ou mangle.
  • FORWARD, no caso de firewall camada 2 (firewall em bridge), ou firewall operando como roteador. Tabelas: filter ou mangle.

  •       
          

    Área de conteúdo atualizada em Wednesday, 2003-April-09 03:34:07 GMT-3 (São Paulo, Brazil, South America)