Ip spoofing



  • Ciao a tutti!

    Di recente sull'infrastruttura di te che gestisco con pfSense e' stato eseguito un penetration test per verificare eventuali vulnerabilità presenti. Una dellle vulnerabilità che mi sono state segnalate riguarda il fatto che avendo a bordo di pfSense un IDS (Snort) che provvede a bloccare gli ip che generano traffico anomalo (ad esempio una scansione) potrebbe essere sfruttato l'IDS stesso per portare un attacco DOS, ad esempio eseguendo una scansione con ip spoofato (presentandosi ad esempio con l'ip di un sito di un fornitore che normalmente deve essere raggiunto) che verrebbe bloccato. Qualcuno sa dirmi se è possibile far si che pfSense riconosca questi tentativi di spoofing?

    Grazie.



  • Con snort puoi creare delle white list con gli host e le reti che devono essere ritenute attendibili.
    Ciao Fabio



  • Ciao Fabio,

    in questo caso non si tratta di creare delle whitelist, in quanto devo garantire la raggiungibilita' di tutta internet. Snort va benissimo che faccia il suo lavoro e che vada quindi a bloccare i sorgenti che creano traffico che va a matchare le sue firme. Se però il traffico che viene creato ha come sorgente un ip spoofato, allora voglio che pfSense se ne accorga, in quanto se l'ip spoofato fosse ad esempio quello di Google non potrei permettere che Snort andasse a mettere in blacklist quell'ip.



  • Verifico se esistono altri modi. Io normalmente uso le white-list per gli ip più importanti per me (es: ip di altre sedi, server del provider ecc…) mentre per evitare di complicarmi la vita faccio in modo che l'ip che finisce in balck list ci finisca solo per alcune ore.
    Ciao