Consulenze presso Eunet srl, via dell'Artigianato 15, 09122 Cagliari 070 753609 Lun - Ven 08:30-13:00 / 14.30-17.00

ACL: blocco di comuni attacchi di rete

Le ACL possono essere impiegate come protezione contro diversi attacchi via rete, quali:

  • IP spoofing sia interno che esterno
  • Attacchi DoS TCP SYN
  • Attacchi DoS smurf

Gli attacchi DoS sono fra i più utilizzati, e molti attacchi vengono portati avanti con la falsificazione (spoofing) degli IP utilizzati per l’attaco. Esistono classi di indirizzi ben note che non dovrebbero mai essere accettate come sorgenti di traffico in arrivo dall’esterno.

Di seguito alcune regole fondamentali:

  1. Non dovrebbe mai essere permesso del traffico dall’esterno con IP sorgenti appartenenti alla rete interna.
  2. Non dovrebbe mai essere permesso del traffico con IP sorgenti compresi negli intervalli seguenti:
    • Indirizzi di tipo “local host”, ovvero rete 127.0.0.0/8
    • Indirizzi riservati per l’uso privatom, compresi negli intervalli da 10.0.0.0.0 a 10.255.255.255.255 (classi A private), da 172.16.0.0 a 172.31.255.255 (classi B private), da 192.168.0.0 a 192.168.255.255 (classi C private).
    • Tutti gli indirizzi di tipo multicast, ossia 224.0.0.0/4.
  3. Non dovrebbe mai essere permesso del traffico in uscita con IP sorgenti diversi da quelli assegnati nella rete interna.

 

Gli hacker possono utilizzare diversi tipi di messaggi ICMP per dare inizio ad un attacco, in particolare messaggi ICMP echo (la classica richiesta tramite il comando ping) utilizzati per scoprire reti e host. Detto questo, i messaggi ICMP di tipo echo e redirect provenienti dall’esterno dovrebbero essere bloccati. Tuttavia, poichè molte applicazioni di rete utilizzano ICMP per alcune loro funzionalità, ci sarebbe la necessità di consentire ICMP in determinate condizioni.

I messaggi da consentire in ingresso sono:

  • Echo reply - E’ il pacchetto di risposta alle richieste ICMP (echo). In questo modo si permette agli utenti di effettuare il ping verso host esterni.
  • Source quench – Richiede al mittente di diminuire la velocità di traffico.
  • Unreachable – E’ un messaggio ICMP, generato da un host o dal suo gateway, per informare il client che la destinazione non è raggiungibile. Il messaggio di unreachable può essere generato a seguito di una trasmissioni TCP, UDP o ICMP.

Questi invece i messaggi ICMP da consentire in uscita:

  • Echo – Messaggi generati con l’uso di ping.
  • Parameter problem - da informazioni su problemi dell'header del pacchetto
  • Packet too big - Required for packet maximum transmission unit (MTU) discovery.
  • Source quench - Richiede al mittente di diminuire la velocità di traffico.

 

Esempi

Access list applicata in ingresso sulla WAN contro attacchi icmp (Dos), redirect spoofing..

ip access-list extended WAN_IN
!
permit icmp any ip-pubblico echo-replay     -> permette risposte di ritorno
permit icmp any ip-pubblico source-quench   -> richiede al mittente di abbassare la velocità di trasmissione
permit icmp any ip-pubblico parameter-problem -> da informazioni su eventuali problemi dell' header del pacchetto
deny icmp any any  log

 

Access list applicata in ingresso sulla LAN (traffico diretto verso le reti esterne)

ip access-list extended LAN_IN
!
permit icmp 192.168.100.0 0.0.0.255 any echo        -> permette di pingare host esterni
permit icmp 192.168.100.0 0.0.0.255 any parameter-problem -> restituisce informazioni su problemi dell'header del pacchetto
permit icmp 192.168.100.0 0.0.0.255 any packet-too-big    -> importante MTU discovery per le vpn
permit icmp 192.168.100.0 0.0.0.255 any source-quench      -> richiede al mittente di abbassare la velocità di trasmissione
deny icmp any any log

 

Filtro contro il traffico spoofed o indirizzi non consentiti (RFC 1918, RFC 3330, RFC 3068, Loopback, Unallocated e IANA Reserved)

 deny   ip host 0.0.0.0 any log
deny   ip host 255.255.255.255 any log
deny   ip 0.0.0.0 1.255.255.255 any log
deny   ip 2.0.0.0 0.255.255.255 any log
deny   ip 5.0.0.0 0.255.255.255 any log
deny   ip 10.0.0.0 0.255.255.255 any log
deny   ip 14.0.0.0 0.255.255.255 any log
deny   ip 23.0.0.0 0.255.255.255 any log
deny   ip 27.0.0.0 4.255.255.255 any log
deny   ip 36.0.0.0 0.255.255.255 any log
deny   ip 37.0.0.0 2.255.255.255 any log
deny   ip 42.0.0.0 4.255.255.255 any log
deny   ip 49.0.0.0 0.255.255.255 any log
deny   ip 50.0.0.0 0.255.255.255 any log
deny   ip 96.0.0.0 4.255.255.255 any log
deny   ip 127.0.0.0 0.255.255.255 any log
deny   ip 169.254.0.0 0.0.255.255 any log
deny   ip 172.16.0.0 0.15.255.255 any log
deny   ip 175.0.0.0 0.255.255.255 any log
deny   ip 176.0.0.0 0.255.255.255 any log
deny   ip 177.0.0.0 0.255.255.255 any log
deny   ip 179.0.0.0 0.255.255.255 any log
deny   ip 180.0.0.0 0.255.255.255 any log
deny   ip 181.0.0.0 0.255.255.255 any log
deny   ip 182.0.0.0 0.255.255.255 any log
deny   ip 183.0.0.0 0.255.255.255 any log
deny   ip 185.0.0.0 0.255.255.255 any log
deny   ip 192.0.2.0 0.0.0.255 any log
deny   ip 192.88.99.0 0.0.0.255 any log
deny   ip 192.168.0.0 0.0.255.255 any log
deny   ip 198.18.0.0 0.1.255.255 any log
deny   ip 223.0.0.0 0.255.255.255 any log
deny   ip 224.0.0.0 31.255.255.255 any log
deny   ip 240.0.0.0 31.225.255.255 any log

 

Filtro contro Trin00, famoso programma per attacchi DDOS. Trin00 si basa su una struttura client/server. Infettando una serie di pc che fungeranno da server, sarà possibile, tramite client, mandare segnali ai PC infetti ordinando loro di mandare messaggi ICMP a un IP vittima, causandone saturazione della banda, negazione dei servizi, disconnessione, o crash di sistema.

deny   tcp any any eq 1524 log
deny   tcp any any eq 27665 log
deny   udp any any eq 31335 log
deny   udp any any eq 27444 log

 

Filtro contro Stachedldraht, malware per sistemi Linux e Solaris che serve per lanciare attacchi di tipo Distributed Denial of Service (DDoS). Stacheldraht può lanciare differenti attacchi di tipo DoS, come: UDP flood, ICMP flood, SYN flood e attacchi Smurf.

deny   tcp any any eq 16660 log
deny   tcp any any eq 65000 log

 

Filtro contro Trinity v3. Questo tool installa il proprio agente, un file binario di nome idle.so, all'interno della directory /usr/lib/. Una volta lanciato, il programma si incarica di connettersi ad un certo numero di server IRC (porta 6667) , crearsi un nickname pseudo casuale ed entrare in un certo canale utilizzando una password conosciuta. Una volta dentro l'agente si porrà in stato di attesa: a questo punto il creatore del canale, od un qualsiasi altro utente a conoscenza del nome e della password per entrarvi, potrà inviare comandi diretti agli agenti e innescare un attacco "flood" verso uno o più indirizzi IP. Un altro binario che Trinity installa sulle macchine Linux è uucico, da non confondere con il vero "uucico" che si trova generalmente sotto /usr/sbin, in pratica una backdoor in ascolto sulla porta 33270 che consente all'attacker di guadagnare i diritti di utente root.

deny   tcp any any eq 33270 log
deny   tcp any any eq 39168 log
deny   tcp any any eq 1243 log
deny   tcp any any eq 2222 log
deny   tcp any any eq 2773 log

 

Filtro contro SubSeven, trojan o R.A.T. (Remote Access/Admin Tool) che permette di infiltrarsi in altri computer, prendendone il possesso completo. Sub7 come quasi tutti i trojan è composto da 3 parti: Client, EditServer e Server. Il client è utilizzato per comandare il pc infetto del malcapitato, il server bisogna farlo eseguire sul pc della vittima in modo che venga infettato.

 deny   tcp any any range 6711 6713 log
deny   tcp any any eq 6776 log
deny   tcp any any eq 6669 log
deny   tcp any any eq 7000 log
deny   tcp any any eq 7215 log
deny   tcp any any eq 16959 log
deny   tcp any any eq 27374 log
deny   tcp any any eq 27573 log
deny   tcp any any eq 54283 log

 

Filtro contro attacchi NetBios

deny   tcp any 88.88.88.100 0.0.0.0 eq 135 log
deny   tcp any 88.88.88.100 0.0.0.0 eq 137 log
deny   tcp any 88.88.88.100 0.0.0.0 eq 138 log
deny   tcp any 88.88.88.100 0.0.0.0 eq 139 log
deny   udp any 88.88.88.100 0.0.0.0 eq netbios-ns log
deny   udp any 88.88.88.100 0.0.0.0 eq netbios-dgm log
deny   udp any 88.88.88.100 0.0.0.0 eq netbios-ss log

deny   tcp any 88.88.88.200 0.0.0.0 eq 135 log
deny   tcp any 88.88.88.200 0.0.0.0 eq 137 log
deny   tcp any 88.88.88.200 0.0.0.0 eq 138 log
deny   tcp any 88.88.88.200 0.0.0.0 eq 139 log
deny   udp any 88.88.88.200 0.0.0.0 eq netbios-ns log
deny   udp any 88.88.88.200 0.0.0.0 eq netbios-dgm log
deny   udp any 88.88.88.200 0.0.0.15 eq netbios-ss log

 

Filtro contro attacchi Traceroute

deny udp any any range 33400 34400 log
(0 Votes)