A palestra do Hygo Reinaldo, um paraibano muito bem humorado, foi bem legal porque mostrou que há diversas modificações que podem ser feitas via /proc (de forma não persistente) ou sysctl (para manter após boot) que podem aliviar de forma significativa a carga de um firewall Linux. A palestra foi focada em iptables, mas as alterações valem para qualquer servidor Linux que requeira um nível de segurança acima do padrão. Listo a seguir algumas das recomendações:
- /proc/sys/net/ipv4/icmp_echo_ignore_all - ativar esta opção bloqueia somente os pacotes ICMP echo request, o que é importante pois não afeta o funcionamento de outros pacotes ICMP, que são importantes para o roteamento em redes IP e vai ser essencial nas redes IPv6 (vamos falar da palestra do IPv6 em outro post).
- /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts - ignora broadcasts ICMP, ajudando a diminuir a propensão a ataques DDOS, especialmente SMURF.
- /proc/sys/net/ipv4/conf/all/rp_filter - obriga que todos os pacotes que saem por uma interface voltem pela mesma, prevenindo spoofing. Não recomendado para hosts com roteamento dinâmico (RIP, OSPF) e com múltiplos IPs.
- /proc/sys/net/ipv4/conf/all/accept_redirects - desativar esta opção faz com que o host recuse pacotes ICMP redirect, prevenindo ataques MITM. Acho que pode causar algum tipo de problema em redes distribuídas em várias WANs.
- /proc/sys/net/ipv4/tcp_syncookies - previne ataques SYN flood, acrescentando informações como IP e hora no ACK de retorno.
Nenhum comentário:
Postar um comentário