[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [FYI] Core Internet technology vulnerable to hacking

To: Peter Ross <Peter.Ross@alumni.tu-berlin.de>
Subject: Re: [FYI] Core Internet technology vulnerable to hacking
From: Florian Weimer <fw@deneb.enyo.de>
Date: Wed, 21 Apr 2004 03:03:29 +0200
Cc: Gert Doering <gert@greenie.muc.de>, Axel H Horns<axel.h.horns@gmx.net>, "debate@lists.fitug.de" <debate@lists.fitug.de>
Delivered-to: mailing list debate@lists.fitug.de
In-reply-to: <Pine.WNT.4.58.0404211003410.1528@RSSERIES-ST.syn.com.au> (PeterRoss's message of "Wed, 21 Apr 2004 10:10:17 +1000 (AUS Eastern StandardTime)")
List-help: <mailto:debate-help@lists.fitug.de>
List-id: <debate.lists.fitug.de>
List-post: <mailto:debate@lists.fitug.de>
List-subscribe: <mailto:debate-subscribe@lists.fitug.de>
List-unsubscribe: <mailto:debate-unsubscribe@lists.fitug.de>
Mailing-list: contact debate-help@lists.fitug.de; run by ezmlm
References: <4085A8A0.21516.FA62BD@localhost><20040420230336.K12611@greenie.muc.de><Pine.WNT.4.58.0404211003410.1528@RSSERIES-ST.syn.com.au>

Peter Ross <Peter.Ross@alumni.tu-berlin.de> writes:

> Macht man doch nicht;-) Mal im Ernst: Fuer mich als LAN-Admin mit relativ
> "dichten" Netzen (wenige WAN-Verbindungen) ist es recht einfach,
> Adressspoofing zu unterbinden, aber wie sieht das in der gaengigen
> Backbone-Praxis aus?

Bei Cisco muß die Gegenseite auf dem BGP-Speaker eine einzige ACL auf
das Interface setzen (outgoing): deny ip any host PEER-ADDRESS
(PEER-ADDRESS ist natürlich geeignet zu ersetzen). Das macht sich zu
nutze, daß die ACL nur für Pakete greift, die geforwardet werden, und
nicht für Pakete, die vom Router erzeugt werden. Wenn man sein eigenes
AS spoofingmäßig im Griff hat, reicht das aus, um Spoofing-Angriffe zu
verhindern.

Leider ist das nicht so einfach, da ziemlich viele große Router nicht
mit ACLs klarkommen (oder die Leute das zumindest glauben). Der
"Unicast Reverse Path Forwarding Check" würde hier auch ganz
entscheidend helfen (wenn er von der Gegenseite aktiviert wird),
allerdings nur im Strict Mode, und der funktioniert in der Praxis
häufig nicht (sowohl aufgrund des Routings, als auch aufgrund der
eingeschränkten Implementierung).

-- 
Current mail filters: many dial-up/DSL/cable modem hosts, and the
following domains: atlas.cz, bigpond.com, postino.it, tiscali.co.uk,
tiscali.cz, tiscali.it, voila.fr.

--
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de

References:
- [FYI] Core Internet technology vulnerable to hacking
  - From: "Axel H Horns" <axel.h.horns@gmx.net>
- Re: [FYI] Core Internet technology vulnerable to hacking
  - From: Gert Doering <gert@greenie.muc.de>
- Re: [FYI] Core Internet technology vulnerable to hacking
  - From: Peter Ross <Peter.Ross@alumni.tu-berlin.de>

Prev by Date: Re: [FYI] Core Internet technology vulnerable to hacking
Next by Date: [FYI] MS Hires The Salesman Who Won Munich For SUSE
Previous by thread: Re: [FYI] Core Internet technology vulnerable to hacking
Next by thread: Re: [FYI] Core Internet technology vulnerable to hacking
Index(es):
- Date
- Thread