Evitando o IP Spoofing

André Ortega 24/11/2008 2 minutes read

IP Spoofing é uma técnica que consiste em mascarar o IP de origem real por um outro IP e é um dos primeiros passos para uma série de ataques como man-in-the-middle, routing redirect, blind spoofing e SYN flood, entre outros.

Para prevenir o spoofing, e consequentemente evitar ataques, de fora da rede, é necessário criar uma access-list no roteador que está conectado a Internet (Ingress Filtering). Inclusive existem algumas RFCs que tratam do assunto, em especial RFC 3330 (endereçamento de uso específico), RFC 1918 (endereçamento privado) e RFC 2827 (Filtro de entrada na rede)

Basicamente como “melhores práticas” temos que nunca um IP privado, de uso específico ou seu próprio IP, deve ser aceito como tráfego inbound na interface outside de um roteador conectado a Internet.

Assim, tendo como exemplo a topologia abaixo, a ACL anti-spoofing (Ingress Filtering) deve ser aplicada na interface s0/0 no sentido inbound.

ACL anti-spoofing para o cenário acima:

RT01#conf t
RT01(config)#! RFC 3330
RT01(config)#access-list 110 deny ip host 0.0.0.0 any
RT01(config)#access-list 110 deny ip 127.0.0.0 0.255.255.255 any
RT01(config)#access-list 110 deny ip 192.0.2.0 0.0.0.255 any
RT01(config)#access-list 110 deny ip 224.0.0.0 31.255.255.255 any
RT01(config)#! RFC 1918
RT01(config)#access-list 110 deny ip 10.0.0.0 0.255.255.255 any
RT01(config)#access-list 110 deny ip 172.16.0.0 0.15.255.255 any
RT01(config)#access-list 110 deny ip 192.168.0.0 0.0.255.255 any
RT01(config)#! Seu próprio IP público
RT01(config)#access-list 110 deny ip 200.1.1.1 0.0.0.15 any
RT01(config)#! Permite os demais IPs
RT01(config)#access-list 110 permit ip any any
RT01(config)#int s0/0
RtBrainwork01(config-if)#! aplique a ACL no sentido inbound
RtBrainwork01(config-if)#ip access-group 110 in
RtBrainwork01(config-if)#end
RT01#wr

Ainda no combate ao spoofing é indicado que seja criada uma ACL para a interface inside do roteador, também no sentido inbound. Essa ACL, conhecida como Egress Filtering, deve permitir que apenas os pacotes com IP de origem da rede interna passem pelo roteador.

Até a próxima.

About The Author

André Ortega

Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Vinte anos de experiência com redes e segurança.

See author's posts

Relacionado

victorinoadmin em Componentes AVI Networks Load Balancer (NSX Advanced Load Balancer)24/11/2025
Ótimo material! Seria bem legal se aprofundar mais no tema.
./fernando em Aprenda Python e ganhe pontos para renovar as certificações CCNA, CCNP e CCIE29/10/2024
Excelente conteúdo, André! Obrigado por compartilhar.
André Ortega em Reset Cisco FTD (zerar FTD sem reinstalar)18/10/2024
Quando é feito o reset, sim volta a ter os 90 dias de trial. No procedimento acima, confesso que não…
ALEX LIRA CAMACHO em Reset Cisco FTD (zerar FTD sem reinstalar)15/10/2024
Muito boa a dica, mas ficou a duvida sobre a licença, com reset de fabrica ela volta para os 90…
André Ortega em Atualizando Cisco 9300 (Install Mode)30/08/2024
Olá Dominique. Essas são os arquivos usados para cada modo (install ou bundle). O modo install (que "quebra o arquivo…

André Ortega

Related Stories

Configurando Syslog no Cisco Firewall (FMC)

Como identificar um MAC Address aleatório (Locally Administered)

Campanha coordenada mira gateways VPN Cisco e Palo Alto

You may have missed

Configurando Syslog no Cisco Firewall (FMC)

Como identificar um MAC Address aleatório (Locally Administered)

Senhas vazadas em escala: lições do relatório 2026

Certificados de Usuário para Autenticação 802.1x