Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.

eGospodarka.pl › Grupy › pl.internet.polip › Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2. › Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.

Data: 2010-08-10 20:50:22
Temat: Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.
Od: Sławek Lipowski <s...@l...org> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]
W dniu 10.08.2010 22:21, Krzysztof Halasa pisze:
> (...)
> Wszystko jest podatne na DDoS. Jak szerokie masz uplinki? Znakomita

Ja? Bodaj 768kbps w kablowej. ;) Administruję takimi o 2-3 rzędy
wielkości większymi, ale nie w tym rzecz...

> wiekszosc sieci koncowych mozna polozyc jednym ENTERem, bez zadnego
> wysilku, i nic na to nie da sie poradzic.
> IPv6 ma sie do tego nijak.

Generalnie odchodzimy od tezy. Teza w dużym uproszczeniu brzmi: mając
domyślną konfigurację IPv6 na linuksie, ktoś mający z Tobą styk w L2
może ominąć regułki netfiltera napisane wyłącznie dla IPv4. Naturalne
wydaje się też, że bardziej podatnym na atak będzie system z otwartym
ssh, niż ten san system bez wystawionego ssh. Zakładam też, że lepiej
mieć świadomość istnienia możliwości wystąpienia takiego ataku, niż jej
nie mieć i żyć w przeświadczeniu, że moich iptablesów to nikt nie
przeskoczy.

>> Czy
>> konfiguracja ssh pozwoli na przeprowadzenie ataku słownikowego?
>
> Udanego? :-)
> Jesli sie boisz o swoje hasla, to przeciez mozna zablokowac. I tak chyba
> wszyscy uzywaja kluczy czy czegos podobnego.

W idealnym świecie pewnie wszyscy używają kluczy i niesłownikowych haseł. :)

>>> wyobrazasz sobie zdalny dostep do maszyny bez otwarcia jakiegos portu?
>>
>> Posiadanie zdalnego dostępu do maszyny nie musi sprawiać, że trzeba
>> ten port otworzyć od razu na cały świat, prawda?
>
> W niektorych okolicznosciach, prawda. Generalnie, trzeba tak wlasnie
> otworzyc, jesli nie znamy zestawu IP, ktorych bedziemy uzywac.
> Jesli ktos pracuje zdalnie "ze swiata", to nie ma bladego pojecia jakie
> bedzie mial IP.
> Jesli ktos np. pracuje z neostrady itp, to owszem - moze ograniczyc
> zakres IP, ale nie moze wyciac duzego potencjalnego zrodla atakow, jakim
> jest zakres adresow (w tym przypadku) neostrady.
>
> Trzeba to po prostu miec zrobione z sensem i tyle.
>
>> W dobie powszechnego
>> mobilnego dostępu do Internetu z możliwością przypisania do takiej
>> usługi publicznego IP to naprawdę nie wydaje się być problemem.
>
> Przyznaje ze nie do konca rozumiem co tu masz na mysli.

Mam na myśli np. orange free lub blueconnect. Oba można mieć ze stałym
publicznym IP i nosić je w kieszeni.

--
Sławek Lipowski