FISL 11: Firewall


A palestra do Hygo Reinaldo, um paraibano muito bem humorado, foi bem legal porque mostrou que há diversas modificações que podem ser feitas via /proc (de forma não persistente) ou sysctl (para manter após boot) que podem aliviar de forma significativa a carga de um firewall Linux. A palestra foi focada em iptables, mas as alterações valem para qualquer servidor Linux que requeira um nível de segurança acima do padrão. Listo a seguir algumas das recomendações:
  • /proc/sys/net/ipv4/icmp_echo_ignore_all - ativar esta opção bloqueia somente os pacotes ICMP echo request, o que é importante pois não afeta o funcionamento de outros pacotes ICMP, que são importantes para o roteamento em redes IP e vai ser essencial nas redes IPv6 (vamos falar da palestra do IPv6 em outro post).
  • /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts - ignora broadcasts ICMP, ajudando a diminuir a propensão a ataques DDOS, especialmente SMURF.
  • /proc/sys/net/ipv4/conf/all/rp_filter - obriga que todos os pacotes que saem por uma interface voltem pela mesma, prevenindo spoofing. Não recomendado para hosts com roteamento dinâmico (RIP, OSPF) e com múltiplos IPs.
  • /proc/sys/net/ipv4/conf/all/accept_redirects - desativar esta opção faz com que o host recuse pacotes ICMP redirect, prevenindo ataques MITM. Acho que pode causar algum tipo de problema em redes distribuídas em várias WANs.
  • /proc/sys/net/ipv4/tcp_syncookies - previne ataques SYN flood, acrescentando informações como IP e hora no ACK de retorno.

Christian Guerreiro

Professor por vocação, blogueiro e servidor público por opção, amante da tecnologia e viciado em informação.


Ensino a distância em Tecnologia da Informação: Virtualização com VMware, Big Data com Hadoop, Certificação ITIL 2011 Foundations e muito mais.


Suporte o Tecnologia que Interessa!

Você acha que as informações compartilhadas aqui são úteis?
Então me ajude a produzir ainda mais e melhores conteúdos!


É muito fácil. Basta divulgar nossos treinamentos pra alguém que conheça!


E se for de Salvador, podemos estruturar um curso presencial para sua empresa!

Eu vou ficar muito grato (e quem fizer os curso também :)!