Firewall - Teil 3
5.7.9 IP Spoofing: reservierte Adreßbereiche4
ipchains -A input -i $ext_int -s $class_a -j DENY ipchains -A input -i $ext_int -d $class_a -j DENY ipchains -A output -i $ext_int -s $class_a -j DENY -l ipchains -A output -i $ext_int -d $class_a -j DENY -l ipchains -A input -i $ext_int -s $class_b -j DENY ipchains -A input -i $ext_int -d $class_b -j DENY ipchains -A output -i $ext_int -s $class_b -j DENY -l ipchains -A output -i $ext_int -d $class_b -j DENY -l ipchains -A input -i $ext_int -s $class_c -j DENY ipchains -A input -i $ext_int -d $class_c -j DENY ipchains -A output -i $ext_int -s $class_c -j DENY -l ipchains -A output -i $ext_int -d $class_c -j DENY -l
Pakete der reservierten Klassen A bis C sind für lokale Netze vorgesehen und werden im Internet nicht weitergeleitet. Diese Pakete sollten geblockt werden. Tauchen sie dennoch auf, handelt es sich um gefälschte Pakete.
ipchains -A input -i $ext_int -s $class_d -j DENY -l ipchains -A output -i $ext_int -s $class_d -j REJECT -l
Adressen aus dem Bereich des reservierten Klasse D-Netzes werden für Multicast-Anwendungen genutzt. Sie finden nur als Empfängeradresse Verwendung. Die oben aufgeführten Regeln blocken gefälschte Pakete ab, die als Quelladresse eine Multicastadresse enthalten.
ipchains -A output -i $ext_int -d $class_d -j REJECT -l ipchains -A input -i $ext_int -d $class_d -j REJECT -l
Multicast-Pakete spielen für das eigene Netz nur eine Rolle, wenn man an einem Multicastdienst teilnimmt, bzw einen solchen Dienst abonniert hat. Wenn nicht, ist es besser, sämtlichen Multicast-Netzwerkverkehr zu blocken.5
ipchains -A input -i $ext_int -s $class_e -j DENY -l
Die letzte Regel blockt eingehenden Netzwerkverkehr des Klasse E-Netzes. Da dieser für Forschungs- und Entwicklungszwecke reserviert ist, haben solche Pakete im lokalen Netz nichts zu suchen.
5.7.10 IP Spoofing: IANA Adreßbereiche
ipchains -A input -i $EXTERNAL_INTERFACE -s 1.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 2.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 5.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 7.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 23.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 27.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 31.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 37.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 39.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 41.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 42.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 58.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 60.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 65.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 66.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 67.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 68.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 69.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 70.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 71.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 72.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 73.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 74.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 75.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 76.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 77.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 78.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 79.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 80.0.0.0/4 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 96.0.0.0/4 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 112.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 113.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 114.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 115.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 116.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 117.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 118.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 119.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 120.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 121.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 122.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 123.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 124.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 125.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 126.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 217.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 218.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 219.0.0.0/8 -j DENY -l ipchains -A input -i $EXTERNAL_INTERFACE -s 220.0.0.0/6 -j DENY -l
Die IANA unterhält eine große Anzahl von Adreßbereichen, die ebenfalls für andere Zwecke reserviert sind und nicht zur Verfügung stehen.6 Auch Pakete aus diesen Bereichen haben im eigenen Netzwerk nichts zu suchen.
5.7.11 IP Spoofing: Broadcast Adressen
ipchains -A input -i $ext_int -s $bcast_dest -j DENY -l ipchains -A output -i $ext_int -d $bcast_src -j DENY -l
Bei 255.255.255.255 handelt es sich um die Broadcast-Zieladresse. Ein Paket kann also nie diese Adresse als Quelladresse haben. Die obere Regel blockt diesen Netzwerkverkehr und hält ihn im Log fest. Die untere Regel gilt für Pakete, die als Ziel die Broadcast-Quelladresse 0.0.0.0 haben. Auch diese Pakete sind offensichtlich gefälscht, werden deshalb geblockt und protokolliert.
Pakete, die als Ziel die Broadcast-Quelladresse haben, werden häufig von Angreifern genutzt, um ein UNIX System zu identifizieren.7
