teora-source-route: (0.02)
	Nociones de "source route" necesarias para el filtrado de paquetes


Resumen de contenido:
--------------------
Paquetes IP con "source route"
  Ataques "source route"
  CONCLUSIONES
    Prohibir paquetes "source route" en el kernel



Paquetes IP con "source route"

	El protocolo IP permite especificar el camino que deben seguir los
	paquetes nodo a nodo.

	Esta caracterstica se utiliza raramente y es til para "verificar"
	que la comunicacin es correcta entre varias mquinas.


  Ataques "source route"

	El problema es que se puede explotar para "saltarse" los cortafuegos
	y acceder a los ordenadores de una red interna incluso aunque no
	tengan una IP vlida en Internet (increble pero cierto).

	Esto puede pasar porque nuestro cortafuegos puede estar mirando el tipo
	de protocolo (TCP por ejemplo) y los paquetes IP con ruta prefijada
	podran ser procesados antes de llegar al cortafuegos y nuestro sistema
	SI que conoce la IP local de la vctima.

	Puede que en Linux esto no pase as, pero "la redundancia es buena"...


  CONCLUSIONES

    Prohibir paquetes "source route" en el kernel

	# Impedir los paquetes con ruta prefijada ("Drop source route frames")
        for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do
            echo 0 > $f
        done
