eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plGrupypl.internet.polipAtak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.
  • Path: news-archive.icm.edu.pl!news.gazeta.pl!not-for-mail
    From: Sławek Lipowski <s...@l...org>
    Newsgroups: pl.internet.polip
    Subject: Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.
    Date: Tue, 10 Aug 2010 23:31:54 +0200
    Organization: "Portal Gazeta.pl -> http://www.gazeta.pl"
    Lines: 73
    Message-ID: <i3sggg$6s7$1@inews.gazeta.pl>
    References: <i3s1hj$csl$1@inews.gazeta.pl> <i3s44f$cbh$1@news.onet.pl>
    <i3sa7a$dq0$2@inews.gazeta.pl> <m...@i...localdomain>
    <i3sbru$kfi$1@inews.gazeta.pl> <m...@i...localdomain>
    <i3se2k$rqv$1@inews.gazeta.pl> <m...@i...localdomain>
    NNTP-Posting-Host: staticline40273.toya.net.pl
    Mime-Version: 1.0
    Content-Type: text/plain; charset=UTF-8; format=flowed
    Content-Transfer-Encoding: 8bit
    X-Trace: inews.gazeta.pl 1281475920 7047 85.89.186.111 (10 Aug 2010 21:32:00 GMT)
    X-Complaints-To: u...@a...pl
    NNTP-Posting-Date: Tue, 10 Aug 2010 21:32:00 +0000 (UTC)
    X-User: s.lipowski
    In-Reply-To: <m...@i...localdomain>
    User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.1.10) Gecko/20100620
    Icedove/3.0.5
    Xref: news-archive.icm.edu.pl pl.internet.polip:93063
    [ ukryj nagłówki ]

    W dniu 10.08.2010 23:09, Krzysztof Halasa pisze:
    > Sławek Lipowski<s...@l...org> writes:
    >
    >>> Wszystko jest podatne na DDoS. Jak szerokie masz uplinki? Znakomita
    >>
    >> Ja? Bodaj 768kbps w kablowej. ;) Administruję takimi o 2-3 rzędy
    >> wielkości większymi, ale nie w tym rzecz...
    >
    > Sam widzisz, zrobienie na tym DDoSu to pestka.

    W sensie pestką jest zrobienie DDoSu łącza rzędu 1Gbps, czy mojego
    768kbps w domu, bo się pogubiłem? :)

    >> Generalnie odchodzimy od tezy. Teza w dużym uproszczeniu brzmi: mając
    >> domyślną konfigurację IPv6 na linuksie, ktoś mający z Tobą styk w L2
    >> może ominąć regułki netfiltera napisane wyłącznie dla IPv4.
    >
    > Jasne. BTW: majac zupelnie niedomyslna konfiguracje IPv6 rowniez ktos
    > moze ominac regulki IPv4.

    Możesz napisać dokładnie co masz na myśli? Konkretne przykłady?

    >> Naturalne
    >> wydaje się też, że bardziej podatnym na atak będzie system z otwartym
    >> ssh, niż ten san system bez wystawionego ssh.
    >
    > Owszem, ale to nie wnosi dokladnie nic do sprawy, poniewaz:
    > a) ssh jest przystosowany do takiego wystawienia (to jest wlasnie jego
    > podstawowe i wlasciwie jedyne zastosowanie)
    > b) wystawienie ssh jest czesto niezbedne.

    Jak by nie było, to przecież temat nie tyczy się samego ssh i teza
    zakładająca, że nie trzeba się przejmować możliwością ominięcia
    firewalla, bo ssh jest bezpieczne jest co najmniej lekko nietrafiona. :)

    >> Zakładam też, że lepiej
    >> mieć świadomość istnienia możliwości wystąpienia takiego ataku, niż
    >> jej nie mieć i żyć w przeświadczeniu, że moich iptablesów to nikt nie
    >> przeskoczy.
    >
    > Jasne. Z tym, ze nie chodzi o atak na ssh, a o to, ze IPv6 obchodzi
    > filtry IPv4. To jest na szczescie dosc jasne i raczej spodziewane.

    Dokładnie tak. Chociaż z tym jasne i oczywiste to bym nie dramatyzował,
    bo tak to chyba tylko w idealnym świecie. :)

    > Jesli ktos nie uzywa IPv6, to albo nie powinien tego włączać, albo
    > takze powinien odfiltrowac.

    Zgadza się. A wcześniej musi mieć świadomość, że powinien to zrobić.

    >> W idealnym świecie pewnie wszyscy używają kluczy i niesłownikowych
    >> haseł. :)
    >
    > Po co haslo? Mozna zablokowac, jesli ktos nie uzywa.
    >
    >> Mam na myśli np. orange free lub blueconnect. Oba można mieć ze stałym
    >> publicznym IP i nosić je w kieszeni.
    >
    > Zdecydowanie bardziej ufam moim haslom i kluczom niz temu, ze nikt inny
    > nie bedzie w stanie uzyskac "mojego" IP.

    Jedno drugiego nie wyklucza. I jedno i drugie można potraktować jako
    kolejna warstwę zwiększającą bezpieczeństwo.

    > BTW jak tam ze staloscia IP za granica albo w kafejce np. wifi?

    Za granicą - nie wiem, nie dane mi było sprawdzić. W kafejce (pijąc
    kawę, zakładam, że nie chodziło o kawiarenkę internetową :)) wole jednak
    operatora komórkowego niż otwarte darmowe wifi.

    --
    Sławek Lipowski

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: