Evitando Ataques RPC E DDOS

1.1. Técnicas para trabalhar com RPC

RPC é um meio de comunicação entre aplicativo cliente e aplicativo servidor por meio de funções enviados do cliente ao servidor.

Algumas práticas de segurança para RPC baseadas em experiências e são altamente encorajadas.

• Opção MIDL/robust: essa opção acrescenta mais verificações em tempo de execução dos dados que chegam ao servidor. Assim o servidor rejeita um número maior de pacotes malformados melhorando a estabilidade do servidor.

• Usando o atributo [range]: utilizados em arquivos IDL. O desenvolvedor pode utilizar esse atributo para restringir o tamanho de u bloco de dados reduzindo assim a probabilidade de ataque.

• Exija conexões autenticadas: Os ataques podem ser reduzidos simplesmente exigindo que os clientes se autentiquem.

• Utilizando privacidade e integridade de pacote: é uma simples alteração de flag em RpcBindingSetAuthInfo que torna os pacotes mais íntegros e provados.

• Utilize retorno de chamada de segurança: para manter segura as funções do seu servidor RPC é utilizar funções de retorno de chamadas(callback). Ela consiste em verificar se o cliente tem permissão de chamar funções nessa interface.

1.2. Técnicas para trabalhar com Active X

Controles activeX mal projetados ou mal escritos podem ser inseguros em navegadores web e clientes de correios eletrônicos. O controle é seguro quando:

• Não acessa informações no computado ou rede local;

• Não divulga informações privadas;

• Não modifica e nem exclui informações no computador ou rede local;

• Não trava o aplicativo host;

• Não utiliza tempo ou recursos em excesso, como memória e espaço em disco;

• Não executa chamadas de sistemas potencialmente danosas, incluindo a execução de arquivos.

Uma opção de tornar seguro o uso de controles activeX é a implementação do IObjectSafety. Isso permite que um aplicativo contêiner consulte o objeto e determine se ele é seguro ou não para inicialização ou script.

Você também pode limitar o uso de domínio caso queira permitir um controle baseado em script somente quando invocado de um domínio especifico.

Também pode ser utilizado o SiteLock, uma biblioteca de tamplates ATL em C++, que foi desenvolvida para Windows e Office afim de tornar muito mais fácil a vinculação de controles activeX a sites. O siteLock permite ao desenvolvedor restringir o acesso considerando seguro somente uma lista predeterminada de domínios.

1.3. Técnicas para evitar ataque DDOS

Algumas medidas para evitar ataques DDOS que podem ser tomadas para dificultar são:

• Utilizar um bom Firewall.

• Criar regras exclusivas e consistentes para o Firewall.

• Sempre atualizar o sistema operacional.

• Sempre

...