On Wed, 05 Jan 2005 10:14:59 -0500, Carlos Mario Mora (c4y0) <[EMAIL PROTECTED]> wrote: > El mié, 05-01-2005 a las 09:00 -0300, celtita escribió: > > Es como responde el snack del SO, no el netfilter, si deseas que > > responde con secuencia 99999 instala FreeBSD :-) > > > > > Realmente esa secuencia es importante?
Respecto al TCP Sequence prediction, lo importante es qu e la generacion sea randomica y no predecible, ya que de esa forma no se puede adivinar el siguiente valor de la secuencia de paquetes TCP, de esta forma un atacante no podria enviar un paquete antes que tu con un numero de secuencia correcto, falseando el paquete que deberias haber entregar tu. (Hijacking o Spoofing) Para mas info de eso, hay articulos bastante buenos que puedes encontrar por "TCP sequence prediction" o "OS Fingerprint" En linux creo haber leido en un libro por ahí de un parche para mejorar esta secuencia... (creo que PF permite modular esto a traves de reglas agregando un numero aleatorio a la secuencia). En todo "no se como" pero si se que se puede dejar un linux de manera que al hacer un #nmap -sS -O -vv <ip> , arroje ese valor de TCP Sequence prediction, > que otras opciones puedo > optimizar (ya que como me dices la secuencia no se puede mejorar) desde > linux? De algo puede servir: http://www.faqs.org/docs/iptables/synackandnew.html > realmente deseo optimizar lo que mas pueda mi >firewall. Define bien quienes seran tus actores en la red, Maquinas, Ip's, servicios a permitir , denegar, destinos y origenes, etc... y una vez definido genera las reglas y empieza a eliminar redundancias. por defecto deja todo denegado (o DROP en iptables) y empiezas a dar los accesos necesarios a cada cosa que quieres permitir, a eso le sumas una secuencia base de reglas contra ataques como Smurf, Syn Flood, UDP Flood, Broadcast Storm, DOS, ScanPorts, Bad TCP Paquet (i.e:New Paquet sin/SYN flag activado), etc... y podras ir construyendo un firewall poderoso ( se me fue alguna? ) > Ya me ha quedado una duda: realmente tambien deberia comenzar a evaluar > otras opciones a iptables como packetfilter (creo que asi se llama el de > openbsd) o ipfw (o sea freeBSD)? > > Me interesa aprender a crear firewalls realmente poderosos! jejje pero > de momento solo conozco el manejo de linux (aunque ya estoy comenzando a > meter mano a freeBSD :) ). Como recomendacion parte con lo que sabes y puedas avanzar mas rapido... para saber que es poderoso, tienes que conocer, y los problemas a solucionar se repiten en cada implementacion de Firewall, si los viste en una sabras a que tienes que llegar en el otro. y entonces podras ir comparando ventajas. De todos modos un paper para sacar propias conclusiones de lo que te interesa es: http://www.benzedrine.cx/pf-paper.html Pero es solo a nivel de rendimiento muy generico. Saludos Miguel
