Internet Firewalls

Uma máquina dual homed deve ter o roteamento direto entre as duas interfaces desabilitado (conforme dito anteriormente). Para que isso seja feito, algumas vezes é necessário que o kernel do sistema operacional seja recompilado; entretanto, há algumas plataformas que permitem que essa configuração seja realizada de uma forma mais flexível sem que precise recompilar o sistema. Infelizmente, desabilitar o roteamento direto nem sempre é suficiente para desabilitar todos os recursos de roteamento da máquina. Em algumas plataformas como por exemplo as baseadas no Unix BSD (SunOS, Ultrix,etc), é possível desabilitar o roteamento direto mas geralmente permanece a opção de source routing habilitada. Source routing é um mecanismo de roteamento que consiste no seguinte: junto ao pacote, além das informações convencionais, envia-se a rota (as máquinas pelas quais deve passar) que o pacote deve seguir até o destino, de forma que as máquinas intermediárias por onde o pacote trafegar não utilizarão as suas potencialidades de roteador para definir a rota, seguindo estritamente a rota especificada no pacote. Se o screening router permitir, deve-se desabilitar pacotes source routed, aliviando o bastion host deste problema. Utilizando IP spoofing e source routing fica fácil ao atacante obter sucesso em suas investidas (além de forjar o endereço ele garante que os pacotes seguirão direto para a sua máquina). Considerando que o mecanismo de source routing não é considerado necessário a nenhum serviço usual fornecido via Internet, a melhor solução é rejeitar qualquer pacote deste tipo no choke point do firewall; ou seja, no roteador externo.