Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.

eGospodarka.pl › Grupy › pl.internet.polip › Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2. › Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.

Path: news-archive.icm.edu.pl!news.gazeta.pl!not-for-mail
From: Sławek Lipowski <s...@l...org>
Newsgroups: pl.internet.polip
Subject: Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.
Date: Tue, 10 Aug 2010 22:50:22 +0200
Organization: "Portal Gazeta.pl -> http://www.gazeta.pl"
Lines: 55
Message-ID: <i3se2k$rqv$1@inews.gazeta.pl>
References: <i3s1hj$csl$1@inews.gazeta.pl> <i3s44f$cbh$1@news.onet.pl>
<i3sa7a$dq0$2@inews.gazeta.pl> <m...@i...localdomain>
<i3sbru$kfi$1@inews.gazeta.pl> <m...@i...localdomain>
NNTP-Posting-Host: staticline40273.toya.net.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
X-Trace: inews.gazeta.pl 1281473428 28511 85.89.186.111 (10 Aug 2010 20:50:28 GMT)
X-Complaints-To: u...@a...pl
NNTP-Posting-Date: Tue, 10 Aug 2010 20:50:28 +0000 (UTC)
X-User: s.lipowski
In-Reply-To: <m...@i...localdomain>
User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.1.10) Gecko/20100620
Icedove/3.0.5
Xref: news-archive.icm.edu.pl pl.internet.polip:93057
[ ukryj nagłówki ]
W dniu 10.08.2010 22:21, Krzysztof Halasa pisze:
> (...)
> Wszystko jest podatne na DDoS. Jak szerokie masz uplinki? Znakomita

Ja? Bodaj 768kbps w kablowej. ;) Administruję takimi o 2-3 rzędy
wielkości większymi, ale nie w tym rzecz...

> wiekszosc sieci koncowych mozna polozyc jednym ENTERem, bez zadnego
> wysilku, i nic na to nie da sie poradzic.
> IPv6 ma sie do tego nijak.

Generalnie odchodzimy od tezy. Teza w dużym uproszczeniu brzmi: mając
domyślną konfigurację IPv6 na linuksie, ktoś mający z Tobą styk w L2
może ominąć regułki netfiltera napisane wyłącznie dla IPv4. Naturalne
wydaje się też, że bardziej podatnym na atak będzie system z otwartym
ssh, niż ten san system bez wystawionego ssh. Zakładam też, że lepiej
mieć świadomość istnienia możliwości wystąpienia takiego ataku, niż jej
nie mieć i żyć w przeświadczeniu, że moich iptablesów to nikt nie
przeskoczy.

>> Czy
>> konfiguracja ssh pozwoli na przeprowadzenie ataku słownikowego?
>
> Udanego? :-)
> Jesli sie boisz o swoje hasla, to przeciez mozna zablokowac. I tak chyba
> wszyscy uzywaja kluczy czy czegos podobnego.

W idealnym świecie pewnie wszyscy używają kluczy i niesłownikowych haseł. :)

>>> wyobrazasz sobie zdalny dostep do maszyny bez otwarcia jakiegos portu?
>>
>> Posiadanie zdalnego dostępu do maszyny nie musi sprawiać, że trzeba
>> ten port otworzyć od razu na cały świat, prawda?
>
> W niektorych okolicznosciach, prawda. Generalnie, trzeba tak wlasnie
> otworzyc, jesli nie znamy zestawu IP, ktorych bedziemy uzywac.
> Jesli ktos pracuje zdalnie "ze swiata", to nie ma bladego pojecia jakie
> bedzie mial IP.
> Jesli ktos np. pracuje z neostrady itp, to owszem - moze ograniczyc
> zakres IP, ale nie moze wyciac duzego potencjalnego zrodla atakow, jakim
> jest zakres adresow (w tym przypadku) neostrady.
>
> Trzeba to po prostu miec zrobione z sensem i tyle.
>
>> W dobie powszechnego
>> mobilnego dostępu do Internetu z możliwością przypisania do takiej
>> usługi publicznego IP to naprawdę nie wydaje się być problemem.
>
> Przyznaje ze nie do konca rozumiem co tu masz na mysli.

Mam na myśli np. orange free lub blueconnect. Oba można mieć ze stałym
publicznym IP i nosić je w kieszeni.

--
Sławek Lipowski