
<html><head></head><body><div style="font-family: Verdana;font-size: 12.0px;"><div>

<div>Eine Möglichkeit wäre Secure OLSR und/oder eine IP Whitelist am Gateway.</div>


<div> </div>


<div> </div>


<div>LG</div>


<div>Daniel</div>


<div> 

<div name="quote" style="margin:10px 5px 5px 10px; padding: 10px 0 10px 10px; border-left:2px solid #C3D9E5; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">

<div style="margin:0 0 10px 0;"><b>Gesendet:</b> Dienstag, 23. Juli 2013 um 14:59 Uhr<br/>

<b>Von:</b> "Petr Koval" <peerco@gmail.com><br/>

<b>An:</b> "wien@lists.funkfeuer.at" <wien@lists.funkfeuer.at>, "Petr Koval" <peerco@gmail.com><br/>

<b>Betreff:</b> [Wien] ein neues mögliche Problem , transport von Packeten mit gefakten Source IP</div>


<div name="quoted-content">Egal jetzt, wie ich darauf gekommen bin.<br/>

Jetzt geht es mir nur um die Tatsache, das wir dagegen im Augenblick<br/>

machtlos sind.<br/>

<br/>

Wir versuchen laufend, dass es eine Orndung bei der IP Vergabe gibt,<br/>

dass keine Fehler passieren, dass z.b. jemand eine IP bekommt,<br/>

und irrtümlich eine falsche einträgt usw.<br/>

<br/>

Dabei ist das Problem, welche IP auf dem eigenem IP Stack ist,<br/>

nicht das alle grösste Problem!<br/>

<br/>

Jeder Router ist so konfiguert, dass er Packette aller Source IPs<br/>

unseren IP Ranges<br/>

transportiert ohne zu prüfen, ob die Pakette von einer berechtigten<br/>

Stelle kommen.<br/>

<br/>

Wo dies nicht möglich ist, und einzige Sicherheit darstellt, ist nur das<br/>

Masquerading,<br/>

falls richtig eingestellt. Wo also richtig masqueradet wird, ist es<br/>

unmöglich<br/>

Packette mit unberechtigten IPs als Source IP reinzuschleisen.<br/>

<br/>

Wo das Masquerading als eine soclhe Abwehr nicht im Spiel ist, wo nur<br/>

trasportiert wird,<br/>

wird einfach transportiert, egal ob berechtigte Quellen oder nicht.<br/>

<br/>

An einem Routing Punkt ist also möglich, und dazu ist nicht mal<br/>

notwendig, dass sich eine<br/>

fremde IP an dem lokalem Stack befindet, dennoch mit einer falschen IP<br/>

zu transportieren,<br/>

als source IP möglich.<br/>

<br/>

Wenn ein Retour Weg nicht erforderlich ist, dann ist es auch egal, ob<br/>

man die Ursprungliche<br/>

Quelle, da sie ja so gefakt wirde, erreichen kann. Aber man kann nicht<br/>

mehr nachvollziehen,<br/>

von wo diese gefakten Packette tatsächlich gekommen sind,<br/>

wenn sie schon einmal transportiert werden.<br/>

<br/>

lg Petr<br/>

<br/>

<br/>

--<br/>

Wien mailing list<br/>

Wien@lists.funkfeuer.at<br/>

<a href="https://lists.funkfeuer.at/mailman/listinfo/wien" target="_blank">https://lists.funkfeuer.at/mailman/listinfo/wien</a></div>

</div>

</div>

</div></div></body></html>