-
Path: news-archive.icm.edu.pl!news.gazeta.pl!not-for-mail
From: Sławek Lipowski <s...@l...org>
Newsgroups: pl.internet.polip
Subject: Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.
Date: Tue, 10 Aug 2010 23:31:54 +0200
Organization: "Portal Gazeta.pl -> http://www.gazeta.pl"
Lines: 73
Message-ID: <i3sggg$6s7$1@inews.gazeta.pl>
References: <i3s1hj$csl$1@inews.gazeta.pl> <i3s44f$cbh$1@news.onet.pl>
<i3sa7a$dq0$2@inews.gazeta.pl> <m...@i...localdomain>
<i3sbru$kfi$1@inews.gazeta.pl> <m...@i...localdomain>
<i3se2k$rqv$1@inews.gazeta.pl> <m...@i...localdomain>
NNTP-Posting-Host: staticline40273.toya.net.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
X-Trace: inews.gazeta.pl 1281475920 7047 85.89.186.111 (10 Aug 2010 21:32:00 GMT)
X-Complaints-To: u...@a...pl
NNTP-Posting-Date: Tue, 10 Aug 2010 21:32:00 +0000 (UTC)
X-User: s.lipowski
In-Reply-To: <m...@i...localdomain>
User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.1.10) Gecko/20100620
Icedove/3.0.5
Xref: news-archive.icm.edu.pl pl.internet.polip:93063
[ ukryj nagłówki ]W dniu 10.08.2010 23:09, Krzysztof Halasa pisze:
> Sławek Lipowski<s...@l...org> writes:
>
>>> Wszystko jest podatne na DDoS. Jak szerokie masz uplinki? Znakomita
>>
>> Ja? Bodaj 768kbps w kablowej. ;) Administruję takimi o 2-3 rzędy
>> wielkości większymi, ale nie w tym rzecz...
>
> Sam widzisz, zrobienie na tym DDoSu to pestka.
W sensie pestką jest zrobienie DDoSu łącza rzędu 1Gbps, czy mojego
768kbps w domu, bo się pogubiłem? :)
>> Generalnie odchodzimy od tezy. Teza w dużym uproszczeniu brzmi: mając
>> domyślną konfigurację IPv6 na linuksie, ktoś mający z Tobą styk w L2
>> może ominąć regułki netfiltera napisane wyłącznie dla IPv4.
>
> Jasne. BTW: majac zupelnie niedomyslna konfiguracje IPv6 rowniez ktos
> moze ominac regulki IPv4.
Możesz napisać dokładnie co masz na myśli? Konkretne przykłady?
>> Naturalne
>> wydaje się też, że bardziej podatnym na atak będzie system z otwartym
>> ssh, niż ten san system bez wystawionego ssh.
>
> Owszem, ale to nie wnosi dokladnie nic do sprawy, poniewaz:
> a) ssh jest przystosowany do takiego wystawienia (to jest wlasnie jego
> podstawowe i wlasciwie jedyne zastosowanie)
> b) wystawienie ssh jest czesto niezbedne.
Jak by nie było, to przecież temat nie tyczy się samego ssh i teza
zakładająca, że nie trzeba się przejmować możliwością ominięcia
firewalla, bo ssh jest bezpieczne jest co najmniej lekko nietrafiona. :)
>> Zakładam też, że lepiej
>> mieć świadomość istnienia możliwości wystąpienia takiego ataku, niż
>> jej nie mieć i żyć w przeświadczeniu, że moich iptablesów to nikt nie
>> przeskoczy.
>
> Jasne. Z tym, ze nie chodzi o atak na ssh, a o to, ze IPv6 obchodzi
> filtry IPv4. To jest na szczescie dosc jasne i raczej spodziewane.
Dokładnie tak. Chociaż z tym jasne i oczywiste to bym nie dramatyzował,
bo tak to chyba tylko w idealnym świecie. :)
> Jesli ktos nie uzywa IPv6, to albo nie powinien tego włączać, albo
> takze powinien odfiltrowac.
Zgadza się. A wcześniej musi mieć świadomość, że powinien to zrobić.
>> W idealnym świecie pewnie wszyscy używają kluczy i niesłownikowych
>> haseł. :)
>
> Po co haslo? Mozna zablokowac, jesli ktos nie uzywa.
>
>> Mam na myśli np. orange free lub blueconnect. Oba można mieć ze stałym
>> publicznym IP i nosić je w kieszeni.
>
> Zdecydowanie bardziej ufam moim haslom i kluczom niz temu, ze nikt inny
> nie bedzie w stanie uzyskac "mojego" IP.
Jedno drugiego nie wyklucza. I jedno i drugie można potraktować jako
kolejna warstwę zwiększającą bezpieczeństwo.
> BTW jak tam ze staloscia IP za granica albo w kafejce np. wifi?
Za granicą - nie wiem, nie dane mi było sprawdzić. W kafejce (pijąc
kawę, zakładam, że nie chodziło o kawiarenkę internetową :)) wole jednak
operatora komórkowego niż otwarte darmowe wifi.
--
Sławek Lipowski
Następne wpisy z tego wątku
- 10.08.10 21:39 Przemysław Gubernat
- 10.08.10 21:44 Sławek Lipowski
- 10.08.10 21:53 Sławek Lipowski
- 10.08.10 21:57 Przemysław Gubernat
- 10.08.10 21:58 Lukasz Trabinski
- 10.08.10 22:06 Lukasz Trabinski
- 10.08.10 22:12 Lazy
- 10.08.10 22:14 Sławek Lipowski
- 10.08.10 22:20 Krzysztof Halasa
- 10.08.10 22:22 Sławek Lipowski
- 10.08.10 22:28 Krzysztof Halasa
- 10.08.10 22:42 Lazy
- 10.08.10 23:02 Sławek Lipowski
- 10.08.10 23:06 Sławek Lipowski
- 11.08.10 01:00 Sergiusz Rozanski
Najnowsze wątki z tej grupy
- Jest tutaj kto? Halo, Darius Expert?
- Czy to konieczne? ATMAN - 30.06.2019 - Wyłączenie news.atman.pl
- pl.internet.polip - is DEAD?
- ovh
- INEA
- Prośba o traceroute z Vectry
- BGP - wszyscy wkładają głowę w piasek.
- http://pl
- Re: Czemu jest wylaczany serwer w3cache.icm.edu.pl ?
- Taaaka integracaj na rynku, a tu nikt, nic..
- Alternatywna sieć dla internetu kiedyś w Polsce
- ooerator gsm + stały ip z revdns
- Dostęp do ip nostrady
- narzędzia do weryfikacji poprawności bazy WHOIS
- T-mobile bawi się w MITM....
Najnowsze wątki
- 2025-02-27 Warszawa => Account Manager - Sprzedaż Usług Rekrutacyjnych <=
- 2025-02-27 Katowice => Regionalny Kierownik Sprzedaży (OZE) <=
- 2025-02-27 Warszawa => Mid IT Recruiter <=
- 2025-02-27 Warszawa => Expert Recruiter 360 <=
- 2025-02-27 Warszawa => Junior Rekruter <=
- 2025-02-27 China-Kraków => Key Account Manager IT <=
- 2025-02-27 Warszawa => Sales Assistant <=
- 2025-02-27 Kraków => Frontend Vue Developer <=
- 2025-02-27 Re: Zwolniony z IKEA za "wąty" przeciw firmowej promocji LGBT-IQ+ przywrócony do pracy - SN odrzucił kasacje (sygn. akt I PSK 62/24)
- 2025-02-27 Częstochowa => Manager ds. produktu <=
- 2025-02-27 Warszawa => Business Systems Analyst <=
- 2025-02-27 Nagranie poglądowe
- 2025-02-26 Zasilacz USB na ścianę.
- 2025-02-26 Błonie => Specjalista ds. public relations <=
- 2025-02-26 Zielonka => Team Lead / Tribe Lead FrontEnd <=