<html><head></head><body><div style="font-family: Verdana;font-size: 12.0px;"><div>
<div>Eine Möglichkeit wäre Secure OLSR und/oder eine IP Whitelist am Gateway.</div>
<div> </div>
<div> </div>
<div>LG</div>
<div>Daniel</div>
<div>
<div name="quote" style="margin:10px 5px 5px 10px; padding: 10px 0 10px 10px; border-left:2px solid #C3D9E5; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">
<div style="margin:0 0 10px 0;"><b>Gesendet:</b> Dienstag, 23. Juli 2013 um 14:59 Uhr<br/>
<b>Von:</b> "Petr Koval" <peerco@gmail.com><br/>
<b>An:</b> "wien@lists.funkfeuer.at" <wien@lists.funkfeuer.at>, "Petr Koval" <peerco@gmail.com><br/>
<b>Betreff:</b> [Wien] ein neues mögliche Problem , transport von Packeten mit gefakten Source IP</div>
<div name="quoted-content">Egal jetzt, wie ich darauf gekommen bin.<br/>
Jetzt geht es mir nur um die Tatsache, das wir dagegen im Augenblick<br/>
machtlos sind.<br/>
<br/>
Wir versuchen laufend, dass es eine Orndung bei der IP Vergabe gibt,<br/>
dass keine Fehler passieren, dass z.b. jemand eine IP bekommt,<br/>
und irrtümlich eine falsche einträgt usw.<br/>
<br/>
Dabei ist das Problem, welche IP auf dem eigenem IP Stack ist,<br/>
nicht das alle grösste Problem!<br/>
<br/>
Jeder Router ist so konfiguert, dass er Packette aller Source IPs<br/>
unseren IP Ranges<br/>
transportiert ohne zu prüfen, ob die Pakette von einer berechtigten<br/>
Stelle kommen.<br/>
<br/>
Wo dies nicht möglich ist, und einzige Sicherheit darstellt, ist nur das<br/>
Masquerading,<br/>
falls richtig eingestellt. Wo also richtig masqueradet wird, ist es<br/>
unmöglich<br/>
Packette mit unberechtigten IPs als Source IP reinzuschleisen.<br/>
<br/>
Wo das Masquerading als eine soclhe Abwehr nicht im Spiel ist, wo nur<br/>
trasportiert wird,<br/>
wird einfach transportiert, egal ob berechtigte Quellen oder nicht.<br/>
<br/>
An einem Routing Punkt ist also möglich, und dazu ist nicht mal<br/>
notwendig, dass sich eine<br/>
fremde IP an dem lokalem Stack befindet, dennoch mit einer falschen IP<br/>
zu transportieren,<br/>
als source IP möglich.<br/>
<br/>
Wenn ein Retour Weg nicht erforderlich ist, dann ist es auch egal, ob<br/>
man die Ursprungliche<br/>
Quelle, da sie ja so gefakt wirde, erreichen kann. Aber man kann nicht<br/>
mehr nachvollziehen,<br/>
von wo diese gefakten Packette tatsächlich gekommen sind,<br/>
wenn sie schon einmal transportiert werden.<br/>
<br/>
lg Petr<br/>
<br/>
<br/>
--<br/>
Wien mailing list<br/>
Wien@lists.funkfeuer.at<br/>
<a href="https://lists.funkfeuer.at/mailman/listinfo/wien" target="_blank">https://lists.funkfeuer.at/mailman/listinfo/wien</a></div>
</div>
</div>
</div></div></body></html>