eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plGrupypl.internet.polipAtak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.
Ilość wypowiedzi w tym wątku: 70

  • 61. Data: 2010-08-11 16:57:38
    Temat: Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.
    Od: Pawel Malachowski <p...@n...niewazne>

    Dnia 11.08.2010 Grzegorz Janoszka <G...@n...Janoszka.pl> napisał/a:

    >> Ograniczenie dostępu do TCP/179 tylko dla peerów to oczywista oczywistość.
    >
    > Jak to chcesz ograniczać? Bo wiele ruterów w internecie, jak dostaje TCP
    > SYN z adresu, na który nie ma żadnej sesji, to wysyła TCP RST czy tam
    > inne refused. Więc po co to ograniczać bardziej?

    Hmm, skąd wziąłeś to że coś "chcę" i że "bardziej"? :) Napisałem jak jest.
    Nawet zilustrowałeś to własną obserwacją.

    Dla ustalenia uwagi: Przemysław pytał, czy nie boję się remote babola
    w bgpd[1]; odpowiedziałem, że port tej usługi nie zwykł gadać z IP
    innymi niż jego peery.
    I przychylam się do stosowana podobnej filozofii dla sshd (niezaufani=wypad;
    a czy egzekwujemy to aplikacyjnie, czy ACL-ką/firewallem, to inna bajka).


    [1] Gdzie wektorem ataku jest otwarty port TCP i możliwość pokonwersowania
    z demonem bezpośrednio (zaniedbuję ataki pośrednie typu magiczny AS-PATH).


    --
    Paweł Małachowski


  • 62. Data: 2010-08-11 17:48:30
    Temat: Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.
    Od: Grzegorz Janoszka <G...@n...Janoszka.pl>

    On 11-8-2010 18:57, Pawel Malachowski wrote:
    > [1] Gdzie wektorem ataku jest otwarty port TCP i możliwość pokonwersowania
    > z demonem bezpośrednio (zaniedbuję ataki pośrednie typu magiczny AS-PATH).

    No ale magiczny as-path jest w stanie wyłożyć część internetu, a nie
    jednego hosta. Nie tak dawno jakaś czeska sieć podłączyła mikrotika do
    internetu odcinając od niego ileś tysięcy starszych ruterów :) Nie
    przeceniaj takiego narzędzia.

    --
    Grzegorz Janoszka


  • 63. Data: 2010-08-11 21:12:38
    Temat: Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.
    Od: Przemysław Gubernat <r...@W...r3pc10.pl.na.newsach>

    W dniu 2010-08-11 18:29, kuchar pisze:
    > Przemysław Gubernat wrote:
    >
    >> W dniu 2010-08-10 19:16, Sławek Lipowski pisze:
    >>> Temat do przemyślenia i mam nadzieję do rzeczowej dyskusji.
    >>>
    >>> http://lipowski.org/sieci-komputerowe/firewall-hacki
    ng-atak-na-firewall-
    > ipv6/
    >>>
    >>> Czy Waszym zdaniem da się przeprowadzić tego typu atak w węzłach PLIX i
    >>> AC-X? Czy zabezpieczacie się przed opisaną formą ataku posiadając łącze
    >>> np. od TP, Netii, ATMANa, czy dowolnego innego operatora?
    >>>
    >> Tak BTW ktoś miły w PL-IX'ie "udostępnia" IPv6, a AFAIR w umowie jest to
    >> zabronione.
    >>
    >> [spliter]:~$traceroute6 ftp.ac.pld-linux.org
    >> traceroute to ftp.agmk.pld-linux.org (2001:6a0:159::120) from
    >> 2001:7f8:42:0:21b:21ff:fe06:311d, 30 hops max, 16 byte packets
    >> 1 2001:7f8:42:0:223:7dff:fefb:8165 (2001:7f8:42:0:223:7dff:fefb:8165)
    >> 34.52
    >> ms 13.529 ms 14.724 ms
    >> 2 icm.link1.rs1.ipv6.plix.pl (2001:7f8:42::a500:8664:1) 17.278 ms
    >> 17.151 ms 28.58 ms
    >> 3 2001:6a0:1:1::2 (2001:6a0:1:1::2) 14.509 ms 14.673 ms 15.398 ms
    >> 4 cl-36.waw-01.pl.sixxs.net (2001:6a0:200:23::2) 17.51 ms 17.364 ms
    >> 15.696 ms
    >> 5 2001:6a0:159::120 (2001:6a0:159::120) 19.691 ms 18.443 ms 17.43 ms
    >>
    >>
    > Tunel broker projektu SixXS jest w sieci ICM i korzysta z jego adresacji.
    > Nie jest to więc "udostępnianie" IPv6, a jedynie własnej adresacji.
    >
    [..]
    Tylko ... ja nie konfigurowałem IPv6 na tym routerze. Więc ... tunnel broker
    jest w PLIX ??

    --
    [WRC] Biały Scenic 2000 1,9 dTI
    CB: Intek M-490 ML 145

    +-=-=-=-=-=-=-=- Przemysław Gubernat -=-=-=-=-=-=-=-=-=-=-=-+
    | _API Internet_ A. Stolarczyk i P. Gubernat Spółka Jawna |
    +-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
    =-=-=-=-+


  • 64. Data: 2010-08-11 22:21:08
    Temat: Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.
    Od: kuchar <m...@k...im>

    Przemysław Gubernat wrote:

    > W dniu 2010-08-11 18:29, kuchar pisze:
    >> Przemysław Gubernat wrote:
    >>
    >>> W dniu 2010-08-10 19:16, Sławek Lipowski pisze:
    >>>> Temat do przemyślenia i mam nadzieję do rzeczowej dyskusji.
    >>>>
    >>>> http://lipowski.org/sieci-komputerowe/firewall-hacki
    ng-atak-na-
    firewall-
    >> ipv6/
    >>>>
    >>>> Czy Waszym zdaniem da się przeprowadzić tego typu atak w węzłach PLIX i
    >>>> AC-X? Czy zabezpieczacie się przed opisaną formą ataku posiadając łącze
    >>>> np. od TP, Netii, ATMANa, czy dowolnego innego operatora?
    >>>>
    >>> Tak BTW ktoś miły w PL-IX'ie "udostępnia" IPv6, a AFAIR w umowie jest to
    >>> zabronione.
    >>>
    >>> [spliter]:~$traceroute6 ftp.ac.pld-linux.org
    >>> traceroute to ftp.agmk.pld-linux.org (2001:6a0:159::120) from
    >>> 2001:7f8:42:0:21b:21ff:fe06:311d, 30 hops max, 16 byte packets
    >>> 1 2001:7f8:42:0:223:7dff:fefb:8165 (2001:7f8:42:0:223:7dff:fefb:8165)
    >>> 34.52
    >>> ms 13.529 ms 14.724 ms
    >>> 2 icm.link1.rs1.ipv6.plix.pl (2001:7f8:42::a500:8664:1) 17.278 ms
    >>> 17.151 ms 28.58 ms
    >>> 3 2001:6a0:1:1::2 (2001:6a0:1:1::2) 14.509 ms 14.673 ms 15.398 ms
    >>> 4 cl-36.waw-01.pl.sixxs.net (2001:6a0:200:23::2) 17.51 ms 17.364 ms
    >>> 15.696 ms
    >>> 5 2001:6a0:159::120 (2001:6a0:159::120) 19.691 ms 18.443 ms 17.43
    >>> ms
    >>>
    >>>
    >> Tunel broker projektu SixXS jest w sieci ICM i korzysta z jego adresacji.
    >> Nie jest to więc "udostępnianie" IPv6, a jedynie własnej adresacji.
    >>
    > [..]
    > Tylko ... ja nie konfigurowałem IPv6 na tym routerze. Więc ... tunnel
    > broker jest w PLIX ??
    >
    Tunel broker jest w ICM. Ktoś skonfigurować to musiał, bo SixXS to nie są
    tunele automatyczne, a informacje o tym na kogo zarejestrowany jest tunel
    można wyciągnąć z whois.
    --
    Marcin Kucharczyk


  • 65. Data: 2010-08-12 19:50:50
    Temat: Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.
    Od: Marcin Gondek <d...@e...net>

    On 2010-08-10 19:16:34 +0200, Sławek Lipowski said:

    > Temat do przemyślenia i mam nadzieję do rzeczowej dyskusji.
    >
    > http://lipowski.org/sieci-komputerowe/firewall-hacki
    ng-atak-na-firewall-ipv6/
    >
    > Czy Waszym zdaniem da się przeprowadzić tego typu atak w węzłach PLIX i
    > AC-X? Czy zabezpieczacie się przed opisaną formą ataku posiadając łącze
    > np. od TP, Netii, ATMANa, czy dowolnego innego operatora?

    Domniemam że Cisco, Juniper mają swoje odpowiedniki.


    http://tldp.org/HOWTO/Linux+IPv6-HOWTO/proc-sys-net-
    ipv6..html

    11.2.3.1. accept_ra
    Type: BOOLEAN
    Functional default: enabled if local forwarding is disabled. disabled
    if local forwarding is enabled.
    Accept Router Advertisements, and autoconfigure this interface with
    received data.
    11.2.3.2. accept_redirects
    Type: BOOLEAN
    Functional default: enabled if local forwarding is disabled. disabled
    if local forwarding is enabled.
    Accept Redirects sent by an IPv6 router.
    11.2.3.3. autoconf
    Type: BOOLEAN
    Functional default: enabled if accept_ra_pinfo is enabled. disabled if
    accept_ra_pinfo is disabled.
    Autoconfigure addresses using prefix information from router advertisements.

    --
    --
    Marcin Gondek / Drixter
    http://drixter.e-utp.net


  • 66. Data: 2010-08-12 22:20:22
    Temat: Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.
    Od: Sławek Lipowski <s...@l...org>

    W dniu 12.08.2010 21:50, Marcin Gondek pisze:
    > On 2010-08-10 19:16:34 +0200, Sławek Lipowski said:
    >
    >
    > Temat do przemyślenia i mam nadzieję do rzeczowej dyskusji.
    >
    >
    > http://lipowski.org/sieci-komputerowe/firewall-hacki
    ng-atak-na-firewall-ipv6/
    >
    >
    > Czy Waszym zdaniem da się przeprowadzić tego typu atak w węzłach PLIX i
    > AC-X? Czy zabezpieczacie się przed opisaną formą ataku posiadając łącze
    > np. od TP, Netii, ATMANa, czy dowolnego innego operatora?
    >
    >
    > Domniemam że Cisco, Juniper mają swoje odpowiedniki.
    >
    >
    >
    > http://tldp.org/HOWTO/Linux+IPv6-HOWTO/proc-sys-net-
    ipv6..html
    >
    >
    > 11.2.3.1. accept_ra
    >
    > Type: BOOLEAN
    >
    > Functional default: enabled if local forwarding is disabled. disabled if
    > local forwarding is enabled.
    >
    > Accept Router Advertisements, and autoconfigure this interface with
    > received data.
    >
    > 11.2.3.2. accept_redirects
    >
    > Type: BOOLEAN
    >
    > Functional default: enabled if local forwarding is disabled. disabled if
    > local forwarding is enabled.
    >
    > Accept Redirects sent by an IPv6 router.
    >
    > 11.2.3.3. autoconf
    >
    > Type: BOOLEAN
    >
    > Functional default: enabled if accept_ra_pinfo is enabled. disabled if
    > accept_ra_pinfo is disabled.
    >
    > Autoconfigure addresses using prefix information from router advertisements.
    >
    >
    > --
    >
    > --
    >
    > Marcin Gondek / Drixter
    >
    > http://drixter.e-utp.net
    >

    No tak, ale o czym to świadczy? Co chcesz przez to powiedzieć? Przecież
    forwarding w Linuksie dla IPv6 jest domyślnie wyłączony, więc
    auto-konfiguracja przy domyślnej konfiguracji IPv6 zadziała.

    --
    Sławek Lipowski


  • 67. Data: 2010-08-13 06:39:24
    Temat: Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.
    Od: Marcin Gondek <d...@e...net>

    On 2010-08-13 00:20:22 +0200, Sławek Lipowski said:

    > W dniu 12.08.2010 21:50, Marcin Gondek pisze:
    >
    > No tak, ale o czym to świadczy? Co chcesz przez to powiedzieć? Przecież
    > forwarding w Linuksie dla IPv6 jest domyślnie wyłączony, więc
    > auto-konfiguracja przy domyślnej konfiguracji IPv6 zadziała.

    Domyślnej...

    Jak ktoś ma soft czy sprzęt w domyślnej konfiguracji to nie zdziwie się
    jak ktoś mu kiedyś tam wejdzie, najlepiej z domyślnym hasłem :-)




    --
    --
    Marcin Gondek / Drixter
    http://drixter.e-utp.net


  • 68. Data: 2010-08-14 17:44:12
    Temat: Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.
    Od: Łukasz Bromirski <w...@t...hell>

    On 2010-08-11 01:02, Sławek Lipowski wrote:
    > W dniu 11.08.2010 00:12, Lazy pisze:
    >> On 10 Sie, 19:16, Sławek Lipowski<s...@l...org> wrote:
    >>> Temat do przemyślenia i mam nadzieję do rzeczowej dyskusji.
    >>>
    >>> http://lipowski.org/sieci-komputerowe/firewall-hacki
    ng-atak-na-firewa...
    >> pamietam ze dosc dawno temu juz czytalem o identycznym pomysle na
    >> "obejscie" firewalla
    >
    > Możesz podać jakieś namiary? Zapoznam się z ciekawością.

    O niebezpieczeństwie wynikającym z autokonfiguracji obecnej w stosie
    IPv6 pisano:

    http://documents.iss.net/whitepapers/IPv6.pdf (dokument ma date 2003)
    http://www.us-cert.gov/reading_room/IPv6Malware-Tunn
    eling.pdf (2005)
    http://www.infosectoday.com/Articles/Basic_IPv6_Secu
    rity_Considerations.htm
    (2008)

    ...itd itp bo wystarczy wpisać w google odpowiednią frazę, czyli
    choćby minimalistycznie zainteresować się tematem.

    Tak naprawdę wystarczy przejrzeć materiały podlinkowane np.
    tutaj:

    http://seanconvery.com/ipv6.html

    Powtórzę to co napisał na początku wątku Grzegorz J. - nice try
    żeby zwiększyć sobie licznik odwiedzin na stronie.

    --
    "Everything will be okay in the end. | Łukasz Bromirski
    If it's not okay, it's not the end." | http://lukasz.bromirski.net


  • 69. Data: 2010-08-14 17:47:15
    Temat: Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.
    Od: Łukasz Bromirski <w...@t...hell>

    On 2010-08-10 21:35, obeer wrote:

    > abstrahując od całego spamowego wątku tego posta

    :D

    > chciałem przypomnieć, że 195.182.218/23 jest nieroutowana na świat
    > i większość operatorów jej nie redystrybuuje w IGP

    Aha, czyli security baj obskjurity? :D

    --
    "Everything will be okay in the end. | Łukasz Bromirski
    If it's not okay, it's not the end." | http://lukasz.bromirski.net


  • 70. Data: 2010-08-15 09:36:22
    Temat: Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.
    Od: Sławek Lipowski <s...@l...org>

    W dniu 14.08.2010 19:44, Łukasz Bromirski pisze:
    > On 2010-08-11 01:02, Sławek Lipowski wrote:
    >> W dniu 11.08.2010 00:12, Lazy pisze:
    >>> On 10 Sie, 19:16, Sławek Lipowski<s...@l...org> wrote:
    >>>> Temat do przemyślenia i mam nadzieję do rzeczowej dyskusji.
    >>>>
    >>>> http://lipowski.org/sieci-komputerowe/firewall-hacki
    ng-atak-na-firewa...
    >>>>
    >>> pamietam ze dosc dawno temu juz czytalem o identycznym pomysle na
    >>> "obejscie" firewalla
    >>
    >> Możesz podać jakieś namiary? Zapoznam się z ciekawością.
    >
    > O niebezpieczeństwie wynikającym z autokonfiguracji obecnej w stosie
    > IPv6 pisano:
    >
    > http://documents.iss.net/whitepapers/IPv6.pdf (dokument ma date 2003)
    > http://www.us-cert.gov/reading_room/IPv6Malware-Tunn
    eling.pdf (2005)
    > http://www.infosectoday.com/Articles/Basic_IPv6_Secu
    rity_Considerations.htm
    > (2008)
    >
    > ...itd itp bo wystarczy wpisać w google odpowiednią frazę, czyli
    > choćby minimalistycznie zainteresować się tematem.

    Pytanie, czy wszyscy zdają sobie sprawę, że tematem trzeba się
    zainteresować, czy może w części ludzie zakładają, że IPv6 ich w chwili
    obecnej nie dotyczy.

    > Tak naprawdę wystarczy przejrzeć materiały podlinkowane np.
    > tutaj:
    >
    > http://seanconvery.com/ipv6.html

    Dzięki. Na pewno się zapoznam w wolnej chwili.

    > Powtórzę to co napisał na początku wątku Grzegorz J. - nice try
    > żeby zwiększyć sobie licznik odwiedzin na stronie.
    >

    To jest jednak różnica. Jasne, że wrzucenie tu linku spowodowało, że
    więcej ludzi tekst przeczytało, ale czy to źle? Jak już wspominałem,
    zwykle jak ktoś coś pisze, to zależy mu na dotarciu to jak najszerszej
    rzeszy czytelników. Nie jestem bynajmniej wyjątkiem. :)

    Grzegorz J. był uprzejmy nazwać mnie spamerem i uznał, że tekst ma na
    celu wyłącznie promowanie mojej działalności. To jest jednak różnica.

    Zakładam też, że poruszenie tematu na polipie miało, poza zwiększeniem
    licznika odwiedzin na mojej stronie, także inne pozytywne skutki.

    --
    Sławek Lipowski
    http://lipowski.org

strony : 1 ... 6 . [ 7 ]


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: