Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.

eGospodarka.pl › Grupy › pl.internet.polip › Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2. › Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.

Path: news-archive.icm.edu.pl!news.gazeta.pl!not-for-mail
From: Sławek Lipowski <s...@l...org>
Newsgroups: pl.internet.polip
Subject: Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.
Date: Wed, 11 Aug 2010 01:02:04 +0200
Organization: "Portal Gazeta.pl -> http://www.gazeta.pl"
Lines: 62
Message-ID: <i3slpi$lkk$1@inews.gazeta.pl>
References: <i3s1hj$csl$1@inews.gazeta.pl>
<0...@t...googlegroups.com>
NNTP-Posting-Host: staticline40273.toya.net.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-2; format=flowed
Content-Transfer-Encoding: 8bit
X-Trace: inews.gazeta.pl 1281481330 22164 85.89.186.111 (10 Aug 2010 23:02:10 GMT)
X-Complaints-To: u...@a...pl
NNTP-Posting-Date: Tue, 10 Aug 2010 23:02:10 +0000 (UTC)
X-User: s.lipowski
In-Reply-To: <0...@t...googlegroups.com>
User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.1.10) Gecko/20100620
Icedove/3.0.5
Xref: news-archive.icm.edu.pl pl.internet.polip:93076
[ ukryj nagłówki ]
W dniu 11.08.2010 00:12, Lazy pisze:
> On 10 Sie, 19:16, Sławek Lipowski<s...@l...org> wrote:
>> Temat do przemyślenia i mam nadzieję do rzeczowej dyskusji.
>>
>> http://lipowski.org/sieci-komputerowe/firewall-hacki
ng-atak-na-firewa...
> pamietam ze dosc dawno temu juz czytalem o identycznym pomysle na
> "obejscie" firewalla

Możesz podać jakieś namiary? Zapoznam się z ciekawością.

>>
>> Czy Waszym zdaniem da się przeprowadzić tego typu atak w węzłach PLIX i
>> AC-X? Czy zabezpieczacie się przed opisaną formą ataku posiadając łącze
>> np. od TP, Netii, ATMANa, czy dowolnego innego operatora?
> w samym plix nie dostaniemy całego internetu wiec i tak potrzebna jest
> jakas inna sesja,
> nie rozumiem tez jak to inne lacze mialo by nas zabezpieczyc przed
> nieskonfigurowanym firewallem ipv6,
> chyba ze mialo by to polegac na zrezygnowaniu z plixa ;)

Nie bardzo rozumiem skąd pomysł, że dodatkowe łącze miało by nas przed
tym zabezpieczyć? :)

> przy ipv4 tych otwartych na swiat (przynajmniej u operatorow
> uczestnikow te adresy sa rouowalne) jest rzeczywisc dosc duzo,
> przy sprzetowych rozwiazaniach moze to chyba ulatwic/umozliwic atak
> dos na routing engine, a przy jakims linuxie czy bsd wiele nie
> uzyskamy
>
> (...)
>
> co do unikania przez blokowanie calego ipv6 to nie zgodze sie z tym ze
> to dobre rozwiazanie bo wiele uslug lokalnie moze uzywac wersji ipv6
> adresow
> i moze przestac dzialac np. lokalny resolver czy inne uslugi w
> wersjach v4 i v6 (pisali o tym w redhatowej bugzilli w 2004 roku)

Jasne, troszkę przerysowałem. Faktycznie wycinanie ruchu na lo może
okazać się kiepskim pomysłem, ale to akurat załatwią 2 regułki dodatkowe.

> uwazam tez ze nie powinienes sie obrazac jesli ktos ciebie posadzi o
> spamerstwo, wiadomo promowac sie jakos trzeba, ale nie jest to
> zagadnienie ani nowe, ani szczegolnie niebezpieczne i nie ma sie co
> dziwic ze sie niektórym nie podoba robienie z tego jakiegos odkrycia i
> widza w tym chytry plan
>
> --
> Lazy
>

Nie natrafiłem jakoś do tej pory na nic na ten temat, ale też jakoś
wybitnie oczytany nie jestem, to fakt. Pozwoliłem sobie cos na ten temat
napisać, jeśli temat jest faktycznie ogólnie znany, to może rzeczywiście
niepotrzebnie.

Co do obrażania się... Zawsze miło jest nie być obrażanym. Przyjmuję do
wiadomości Twoją argumentację. Jak widać na przykładzie Twojej
wypowiedzi, da się to też wyjaśnić w kulturalny sposób.

--
Sławek Lipowski