Re: IP-Spoofing unter FreeBSD

From: Andreas Braukmann <braukmann(at)tse-online.de>
Date: Mon, 24 Mar 2003 22:04:28 +0100

Moin,

On Mon, Mar 24, 2003 at 08:48:17PM +0100, Patrick Hess wrote:
> ich blättere mal wieder ein bißchen in meinem Buch "Linux-
> Sicherheit",

Autsch. Das L-Wort hab ich jetzt nicht gesehen ;-)
(Dennoch schade, ... denn das Buch kenne ich nicht. :-/ Man
kann nicht alles lesen.)

> damit es nicht so viel Staub ansetzt. Von dem Teil
> wird man glatt paranoid, man traut sich schon gar nicht mehr,
> seinen Rechner einfach so laufen zu lassen, wenn man nicht alle
> möglichen Sicherheitsvorkehrungen getroffen hat.

"Alle moeglichen" ist (wie immer) uebertrieben. Ich
wuerde es auf alle "sinnvollen" oder "notwendigen"
beschraenken ;-). (Alles eine Frage der Abschaetzung
des Verhaeltnisses zwischen Risiko, potentieller
Schadenshoehe und zu treibenden Aufwands.)

> Nachdem ich letzte Woche das Kapitel über Intrusion Detection
> durchgeackert habe (eine schreibgeschützte Tripwire-Diskette habe
> ich mittlerweile hier herumliegen ;-), treffe ich ein paar Seiten
> weiter auf das Thema IP-Spoofing. Böse Sache, da muß man was tun...

Anti-Spoofing-Regeln gehoeren zum typischen Standard-
Repertoire eines Paketfilter-Setups.

> Ein Suchlauf mit Google brachte allerdings keine brauchbaren
> Ergebnisse.

Das mag ich ja (mal wieder ;-)) kaum glauben.
http://www.google.de/search?q=FreeBSD+ipfw+spoofing
liefert schon im ersten Hit einen relativ brauchbaren
Artikel zum Thema. Und auch eine Suche in den Daemon-
news wuerde bestimmt einen einigermassen passenden
Artikel zu tage foerden. Vom Archiv der einschlaegigen
Mailinglisten mal ganz abgesehen ;-)

> Konkret habe ich hier einen kleinen Netzwerkserver mit
> FreeBSD 4.5-Release am Laufen, welcher über den PPP eine Dial-Up-
> Verbindung mit NAT unterhält und als Gateway für das kleine LAN
> fungiert. Als Paketfilter habe ich die IPFW laufen.

Warum ipfw? Reicht Dir die Funktionalitaet der PPP-Filter
nicht aus?

> Erkennt die IPFW, wenn über das tun0-Device von außen eine IP-
> Adresse herein kommen will, die einem privaten Netz gehört, welche
> also nicht übers Internet geroutet werden sollte und blockt diese
> dann entsprechend ab?

Nicht von allein, das musst Du Deinem Paketfilter schon
sagen.

> Das wäre toll, ich habe hier im LAN nämlich
> ausschließlich 192.168.0.*-Adressen im Einsatz und hätte damit den
> gröbsten Spoof-Kram weg.

dann bau doch einfach einen passende Regel in Deinen
Filtersatz. Du musst allerdings aufpassen, dass Du
die Pakete erwischst, bevor sie durchs NAT gelaufen
sind. Machst Du Dein NAT mit natd oder laesst Du es
vom ppp erledigen? Falls letzteres zutrifft, wuerde
ich das Antispoofing auch im ppp erledigen.
Wenn Dein Rechner auf dem aesseren (ppp-) Interface
keine Dienste anbietet, ist das allerdings halb so
wild, weil die NAT-Funktionalitaet Deine Aussenseite
IMHO hinreichend schuetzt.

-Andreas

-- 
sick.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 24 Mar 2003 - 22:04:35 CET

search this site