Dnia 11.08.2010 Grzegorz Janoszka <G...@n...Janoszka.pl> napisał/a:

>> Ograniczenie dostępu do TCP/179 tylko dla peerów to oczywista oczywistość.
>
> Jak to chcesz ograniczać? Bo wiele ruterów w internecie, jak dostaje TCP
> SYN z adresu, na który nie ma żadnej sesji, to wysyła TCP RST czy tam
> inne refused. Więc po co to ograniczać bardziej?

Hmm, skąd wziąłeś to że coś "chcę" i że "bardziej"? :) Napisałem jak jest.
Nawet zilustrowałeś to własną obserwacją.

Dla ustalenia uwagi: Przemysław pytał, czy nie boję się remote babola
w bgpd[1]; odpowiedziałem, że port tej usługi nie zwykł gadać z IP
innymi niż jego peery.
I przychylam się do stosowana podobnej filozofii dla sshd (niezaufani=wypad;
a czy egzekwujemy to aplikacyjnie, czy ACL-ką/firewallem, to inna bajka).


[1] Gdzie wektorem ataku jest otwarty port TCP i możliwość pokonwersowania
z demonem bezpośrednio (zaniedbuję ataki pośrednie typu magiczny AS-PATH).


--
Paweł Małachowski

do góry

On 11-8-2010 18:57, Pawel Malachowski wrote:
> [1] Gdzie wektorem ataku jest otwarty port TCP i możliwość pokonwersowania
> z demonem bezpośrednio (zaniedbuję ataki pośrednie typu magiczny AS-PATH).

No ale magiczny as-path jest w stanie wyłożyć część internetu, a nie
jednego hosta. Nie tak dawno jakaś czeska sieć podłączyła mikrotika do
internetu odcinając od niego ileś tysięcy starszych ruterów :) Nie
przeceniaj takiego narzędzia.

--
Grzegorz Janoszka

do góry

W dniu 2010-08-11 18:29, kuchar pisze:
> Przemysław Gubernat wrote:
>
>> W dniu 2010-08-10 19:16, Sławek Lipowski pisze:
>>> Temat do przemyślenia i mam nadzieję do rzeczowej dyskusji.
>>>
>>> http://lipowski.org/sieci-komputerowe/firewall-hacki
ng-atak-na-firewall-
> ipv6/
>>>
>>> Czy Waszym zdaniem da się przeprowadzić tego typu atak w węzłach PLIX i
>>> AC-X? Czy zabezpieczacie się przed opisaną formą ataku posiadając łącze
>>> np. od TP, Netii, ATMANa, czy dowolnego innego operatora?
>>>
>> Tak BTW ktoś miły w PL-IX'ie "udostępnia" IPv6, a AFAIR w umowie jest to
>> zabronione.
>>
>> [spliter]:~$traceroute6 ftp.ac.pld-linux.org
>> traceroute to ftp.agmk.pld-linux.org (2001:6a0:159::120) from
>> 2001:7f8:42:0:21b:21ff:fe06:311d, 30 hops max, 16 byte packets
>> 1 2001:7f8:42:0:223:7dff:fefb:8165 (2001:7f8:42:0:223:7dff:fefb:8165)
>> 34.52
>> ms 13.529 ms 14.724 ms
>> 2 icm.link1.rs1.ipv6.plix.pl (2001:7f8:42::a500:8664:1) 17.278 ms
>> 17.151 ms 28.58 ms
>> 3 2001:6a0:1:1::2 (2001:6a0:1:1::2) 14.509 ms 14.673 ms 15.398 ms
>> 4 cl-36.waw-01.pl.sixxs.net (2001:6a0:200:23::2) 17.51 ms 17.364 ms
>> 15.696 ms
>> 5 2001:6a0:159::120 (2001:6a0:159::120) 19.691 ms 18.443 ms 17.43 ms
>>
>>
> Tunel broker projektu SixXS jest w sieci ICM i korzysta z jego adresacji.
> Nie jest to więc "udostępnianie" IPv6, a jedynie własnej adresacji.
>
[..]
Tylko ... ja nie konfigurowałem IPv6 na tym routerze. Więc ... tunnel broker
jest w PLIX ??

--
[WRC] Biały Scenic 2000 1,9 dTI
CB: Intek M-490 ML 145

+-=-=-=-=-=-=-=- Przemysław Gubernat -=-=-=-=-=-=-=-=-=-=-=-+
| _API Internet_ A. Stolarczyk i P. Gubernat Spółka Jawna |
+-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
=-=-=-=-+

do góry

Przemysław Gubernat wrote:

> W dniu 2010-08-11 18:29, kuchar pisze:
>> Przemysław Gubernat wrote:
>>
>>> W dniu 2010-08-10 19:16, Sławek Lipowski pisze:
>>>> Temat do przemyślenia i mam nadzieję do rzeczowej dyskusji.
>>>>
>>>> http://lipowski.org/sieci-komputerowe/firewall-hacki
ng-atak-na-
firewall-
>> ipv6/
>>>>
>>>> Czy Waszym zdaniem da się przeprowadzić tego typu atak w węzłach PLIX i
>>>> AC-X? Czy zabezpieczacie się przed opisaną formą ataku posiadając łącze
>>>> np. od TP, Netii, ATMANa, czy dowolnego innego operatora?
>>>>
>>> Tak BTW ktoś miły w PL-IX'ie "udostępnia" IPv6, a AFAIR w umowie jest to
>>> zabronione.
>>>
>>> [spliter]:~$traceroute6 ftp.ac.pld-linux.org
>>> traceroute to ftp.agmk.pld-linux.org (2001:6a0:159::120) from
>>> 2001:7f8:42:0:21b:21ff:fe06:311d, 30 hops max, 16 byte packets
>>> 1 2001:7f8:42:0:223:7dff:fefb:8165 (2001:7f8:42:0:223:7dff:fefb:8165)
>>> 34.52
>>> ms 13.529 ms 14.724 ms
>>> 2 icm.link1.rs1.ipv6.plix.pl (2001:7f8:42::a500:8664:1) 17.278 ms
>>> 17.151 ms 28.58 ms
>>> 3 2001:6a0:1:1::2 (2001:6a0:1:1::2) 14.509 ms 14.673 ms 15.398 ms
>>> 4 cl-36.waw-01.pl.sixxs.net (2001:6a0:200:23::2) 17.51 ms 17.364 ms
>>> 15.696 ms
>>> 5 2001:6a0:159::120 (2001:6a0:159::120) 19.691 ms 18.443 ms 17.43
>>> ms
>>>
>>>
>> Tunel broker projektu SixXS jest w sieci ICM i korzysta z jego adresacji.
>> Nie jest to więc "udostępnianie" IPv6, a jedynie własnej adresacji.
>>
> [..]
> Tylko ... ja nie konfigurowałem IPv6 na tym routerze. Więc ... tunnel
> broker jest w PLIX ??
>
Tunel broker jest w ICM. Ktoś skonfigurować to musiał, bo SixXS to nie są
tunele automatyczne, a informacje o tym na kogo zarejestrowany jest tunel
można wyciągnąć z whois.
--
Marcin Kucharczyk

do góry

On 2010-08-10 19:16:34 +0200, Sławek Lipowski said:

> Temat do przemyślenia i mam nadzieję do rzeczowej dyskusji.
>
> http://lipowski.org/sieci-komputerowe/firewall-hacki
ng-atak-na-firewall-ipv6/
>
> Czy Waszym zdaniem da się przeprowadzić tego typu atak w węzłach PLIX i
> AC-X? Czy zabezpieczacie się przed opisaną formą ataku posiadając łącze
> np. od TP, Netii, ATMANa, czy dowolnego innego operatora?

Domniemam że Cisco, Juniper mają swoje odpowiedniki.


http://tldp.org/HOWTO/Linux+IPv6-HOWTO/proc-sys-net-
ipv6..html

11.2.3.1. accept_ra
Type: BOOLEAN
Functional default: enabled if local forwarding is disabled. disabled
if local forwarding is enabled.
Accept Router Advertisements, and autoconfigure this interface with
received data.
11.2.3.2. accept_redirects
Type: BOOLEAN
Functional default: enabled if local forwarding is disabled. disabled
if local forwarding is enabled.
Accept Redirects sent by an IPv6 router.
11.2.3.3. autoconf
Type: BOOLEAN
Functional default: enabled if accept_ra_pinfo is enabled. disabled if
accept_ra_pinfo is disabled.
Autoconfigure addresses using prefix information from router advertisements.

--
--
Marcin Gondek / Drixter
http://drixter.e-utp.net

do góry

W dniu 12.08.2010 21:50, Marcin Gondek pisze:
> On 2010-08-10 19:16:34 +0200, Sławek Lipowski said:
>
>
> Temat do przemyślenia i mam nadzieję do rzeczowej dyskusji.
>
>
> http://lipowski.org/sieci-komputerowe/firewall-hacki
ng-atak-na-firewall-ipv6/
>
>
> Czy Waszym zdaniem da się przeprowadzić tego typu atak w węzłach PLIX i
> AC-X? Czy zabezpieczacie się przed opisaną formą ataku posiadając łącze
> np. od TP, Netii, ATMANa, czy dowolnego innego operatora?
>
>
> Domniemam że Cisco, Juniper mają swoje odpowiedniki.
>
>
>
> http://tldp.org/HOWTO/Linux+IPv6-HOWTO/proc-sys-net-
ipv6..html
>
>
> 11.2.3.1. accept_ra
>
> Type: BOOLEAN
>
> Functional default: enabled if local forwarding is disabled. disabled if
> local forwarding is enabled.
>
> Accept Router Advertisements, and autoconfigure this interface with
> received data.
>
> 11.2.3.2. accept_redirects
>
> Type: BOOLEAN
>
> Functional default: enabled if local forwarding is disabled. disabled if
> local forwarding is enabled.
>
> Accept Redirects sent by an IPv6 router.
>
> 11.2.3.3. autoconf
>
> Type: BOOLEAN
>
> Functional default: enabled if accept_ra_pinfo is enabled. disabled if
> accept_ra_pinfo is disabled.
>
> Autoconfigure addresses using prefix information from router advertisements.
>
>
> --
>
> --
>
> Marcin Gondek / Drixter
>
> http://drixter.e-utp.net
>

No tak, ale o czym to świadczy? Co chcesz przez to powiedzieć? Przecież
forwarding w Linuksie dla IPv6 jest domyślnie wyłączony, więc
auto-konfiguracja przy domyślnej konfiguracji IPv6 zadziała.

--
Sławek Lipowski

do góry

On 2010-08-13 00:20:22 +0200, Sławek Lipowski said:

> W dniu 12.08.2010 21:50, Marcin Gondek pisze:
>
> No tak, ale o czym to świadczy? Co chcesz przez to powiedzieć? Przecież
> forwarding w Linuksie dla IPv6 jest domyślnie wyłączony, więc
> auto-konfiguracja przy domyślnej konfiguracji IPv6 zadziała.

Domyślnej...

Jak ktoś ma soft czy sprzęt w domyślnej konfiguracji to nie zdziwie się
jak ktoś mu kiedyś tam wejdzie, najlepiej z domyślnym hasłem :-)




--
--
Marcin Gondek / Drixter
http://drixter.e-utp.net

do góry

On 2010-08-11 01:02, Sławek Lipowski wrote:
> W dniu 11.08.2010 00:12, Lazy pisze:
>> On 10 Sie, 19:16, Sławek Lipowski<s...@l...org> wrote:
>>> Temat do przemyślenia i mam nadzieję do rzeczowej dyskusji.
>>>
>>> http://lipowski.org/sieci-komputerowe/firewall-hacki
ng-atak-na-firewa...
>> pamietam ze dosc dawno temu juz czytalem o identycznym pomysle na
>> "obejscie" firewalla
>
> Możesz podać jakieś namiary? Zapoznam się z ciekawością.

O niebezpieczeństwie wynikającym z autokonfiguracji obecnej w stosie
IPv6 pisano:

http://documents.iss.net/whitepapers/IPv6.pdf (dokument ma date 2003)
http://www.us-cert.gov/reading_room/IPv6Malware-Tunn
eling.pdf (2005)
http://www.infosectoday.com/Articles/Basic_IPv6_Secu
rity_Considerations.htm
(2008)

...itd itp bo wystarczy wpisać w google odpowiednią frazę, czyli
choćby minimalistycznie zainteresować się tematem.

Tak naprawdę wystarczy przejrzeć materiały podlinkowane np.
tutaj:

http://seanconvery.com/ipv6.html

Powtórzę to co napisał na początku wątku Grzegorz J. - nice try
żeby zwiększyć sobie licznik odwiedzin na stronie.

--
"Everything will be okay in the end. | Łukasz Bromirski
If it's not okay, it's not the end." | http://lukasz.bromirski.net

do góry

On 2010-08-10 21:35, obeer wrote:

> abstrahując od całego spamowego wątku tego posta

:D

> chciałem przypomnieć, że 195.182.218/23 jest nieroutowana na świat
> i większość operatorów jej nie redystrybuuje w IGP

Aha, czyli security baj obskjurity? :D

--
"Everything will be okay in the end. | Łukasz Bromirski
If it's not okay, it's not the end." | http://lukasz.bromirski.net

do góry

W dniu 14.08.2010 19:44, Łukasz Bromirski pisze:
> On 2010-08-11 01:02, Sławek Lipowski wrote:
>> W dniu 11.08.2010 00:12, Lazy pisze:
>>> On 10 Sie, 19:16, Sławek Lipowski<s...@l...org> wrote:
>>>> Temat do przemyślenia i mam nadzieję do rzeczowej dyskusji.
>>>>
>>>> http://lipowski.org/sieci-komputerowe/firewall-hacki
ng-atak-na-firewa...
>>>>
>>> pamietam ze dosc dawno temu juz czytalem o identycznym pomysle na
>>> "obejscie" firewalla
>>
>> Możesz podać jakieś namiary? Zapoznam się z ciekawością.
>
> O niebezpieczeństwie wynikającym z autokonfiguracji obecnej w stosie
> IPv6 pisano:
>
> http://documents.iss.net/whitepapers/IPv6.pdf (dokument ma date 2003)
> http://www.us-cert.gov/reading_room/IPv6Malware-Tunn
eling.pdf (2005)
> http://www.infosectoday.com/Articles/Basic_IPv6_Secu
rity_Considerations.htm
> (2008)
>
> ...itd itp bo wystarczy wpisać w google odpowiednią frazę, czyli
> choćby minimalistycznie zainteresować się tematem.

Pytanie, czy wszyscy zdają sobie sprawę, że tematem trzeba się
zainteresować, czy może w części ludzie zakładają, że IPv6 ich w chwili
obecnej nie dotyczy.

> Tak naprawdę wystarczy przejrzeć materiały podlinkowane np.
> tutaj:
>
> http://seanconvery.com/ipv6.html

Dzięki. Na pewno się zapoznam w wolnej chwili.

> Powtórzę to co napisał na początku wątku Grzegorz J. - nice try
> żeby zwiększyć sobie licznik odwiedzin na stronie.
>

To jest jednak różnica. Jasne, że wrzucenie tu linku spowodowało, że
więcej ludzi tekst przeczytało, ale czy to źle? Jak już wspominałem,
zwykle jak ktoś coś pisze, to zależy mu na dotarciu to jak najszerszej
rzeszy czytelników. Nie jestem bynajmniej wyjątkiem. :)

Grzegorz J. był uprzejmy nazwać mnie spamerem i uznał, że tekst ma na
celu wyłącznie promowanie mojej działalności. To jest jednak różnica.

Zakładam też, że poruszenie tematu na polipie miało, poza zwiększeniem
licznika odwiedzin na mojej stronie, także inne pozytywne skutki.

--
Sławek Lipowski
http://lipowski.org

do góry