Pequeno testo explicando como setar opções no Linux para evitar os ataques mais comuns.

Inicialmente falaremos de algumas opções que podem ser setadas no kernel, através do diretório /proc, e que ajuda a proteger sua maquina contra ataques do tipo DoS, IP Spoofing, etc...  A pasta de trabalho será /proc/sys/net/ipv4/  icmp_echo_ignore_all e icmp_echo_ignore_broadcasts Ative o serviço setando 1 ou desative setando 0. Esse arquivo e responsável por rejeitar todas as requisições de ICMP ECHO, ou apenas aquelas destinadas a endereços broadcasting ou multicasting.  É importante rejeitar pacotes destinados a broadcast, pois isso possibilita que seja explorado ataques DoS para outros hosts, evitando ataques ao servidor.  icmp_ignore_bogus_error_responses Ative o serviço setando 1 ou desative setando 0. Esse arquivo é responsável por ignorar mensagens falsas de icmp_error_responses.  tpc_syncookies Essa opção só pode ser setada se habilitada no kernel a opção CONFIG_SYNCOOKIES. Ative o serviço setando 1 ou desative setando 0. É importante ativar essa opção evitando ataques como 'syn flood atack'.  conf/accept_redirects Ative o serviço setando 1 ou desative setando 0. Essa opção decide se o kernel aceita redirecionar mensagens ICMP ou não.  conf/accept_source_route Ative o serviço setando 1 ou desative setando 0. Essa opção permite estabelecer o caminho que um pacote segue ate chegar a seu destino, e conseqüentemente o caminho de volta desse pacote.  Ativar essa opção abre chances para que um cracker realize ataques do tipo IP Spoofing  conf/*/log_martians Ative o serviço setando 1 ou desative setando 0. Ativar esse recurso permite que pacotes de origem suspeita ou desconhecida (como pacotes forjados) sejam logados pelo próprio kernel.  conf/*/rp_filter Ative o serviço setando 1 ou desative setando 0. Essa opção Verifica o Endereço de Origem do Pacote, prevenindo a sua maquina de ataques como 'IP Spoofing'.  Para usar essas opções, coloque elas em algum arquivo de inicialização do sistema. Ex. do arquivo /etc/rc.d/rc.local #!/bin/bash echo 1 > /proc/sys/net/ipv4/tcp_syncookies echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_redirects echo 0 > $i/accept_source_route echo 1 > $i/log_martians echo 1 > $i/rp_filter; done # Fim do /etc/rc.d/rc.local 

Quebra-Linha

Colaborador..: Michael Costa Schon
Categoria(s).: Shell; Linux;
Data.........: 03/06/2002 09:53:34
Visualizado..: 5412 vezes
Fonte........: http://www.securitylinux.com.br