teoría-source-route: (0.02)
	Nociones de "source route" necesarias para el filtrado de paquetes


Resumen de contenido:
--------------------
Paquetes IP con "source route"
  Ataques "source route"
  CONCLUSIONES
    Prohibir paquetes "source route" en el kernel



Paquetes IP con "source route"

	El protocolo IP permite especificar el camino que deben seguir los
	paquetes nodo a nodo.

	Esta característica se utiliza raramente y es útil para "verificar"
	que la comunicación es correcta entre varias máquinas.


  Ataques "source route"

	El problema es que se puede explotar para "saltarse" los cortafuegos
	y acceder a los ordenadores de una red interna incluso aunque no
	tengan una IP válida en Internet (increíble pero cierto).

	Esto puede pasar porque nuestro cortafuegos puede estar mirando el tipo
	de protocolo (TCP por ejemplo) y los paquetes IP con ruta prefijada
	podrían ser procesados antes de llegar al cortafuegos y nuestro sistema
	SI que conoce la IP local de la víctima.

	Puede que en Linux esto no pase así, pero "la redundancia es buena"...


  CONCLUSIONES

    Prohibir paquetes "source route" en el kernel

	# Impedir los paquetes con ruta prefijada ("Drop source route frames")
        for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do
            echo 0 > $f
        done