[Discuss] OLSR Blackhole Problematik

Peter J. Holzer (spam-protected)
Di Jan 3 20:47:23 CET 2006 

On 2005-12-27 22:06:49 +0100, Aaron Kaplan wrote:
> On Dec 27, 2005, at 9:02 PM, Matthias Subik wrote:
> >On 25.12.2005, at 22:45, Andreas Marksteiner wrote:
> >>
> >>
> >...
> >>- der OLSRd selbst könnte die Gültigkeit von Default Routen prüfen  
> >>und in die Routenauswahl einbeziehen (z.B. über Erreichbarkeit  
> >>einer IP im Internet)
> >
> >wichtig wäre ja zu erwähnen, dass eine default route immer durch  
> >diese verifiziert werden kann.

Im Prinzip ja. Aber wenn bekannt ist, wie diese Verifikation erfolgt,
kann ich als bösartiger HNA-Announcer diese Verifikation unterlaufen. 

Wenn ich also z.B. weiß, dass meine Nachbarn die Gültigkeit der Route
überprüfen, indem sie ICMP-Echo-Pakete an [a-m].root-servers.net
schicken, kann ich die abfangen und ICMP-Echo-Replies zurückschicken. 

Sicherheit würden da wieder nur kryptographische Methoden bringen (z.B.
https-Verbindung zu einem wohlbekannten Server und schauen, ob der das
richtige Zertifikat liefert).

> >jedes zertifikat ließe sich dadurch ja auch erneuern, wenn nur die  
> >root-ca bekannt ist.
> >
> >x.509 ??? kann man in die richtung denken?
> >oder ist openssl doch ein wenig viel last für den sonst eher  
> >"leichten" OLSRd?
> 
> ja genau das ist der fall. Zumindest fuer die linksys.
> Wir haben zB aus (linksys-) openvpn extra die libssl rausgenommen  
> weil zu viel CPU last und zu gross.

"Zu groß" lasse ich mir einreden. Das Openssl-Executable ist (auf
Linux/Intel) ca. 1 MB groß, GPG immerhin noch 600 kB. Die CPU-Last
hingegen sollte kein Problem sein: Die Signatur muss ja nur geprüft
werden, wenn sich das File ändert, und so oft dürften sich potentielle
HNAs nicht ändern.

	hp


-- 
   _  | Peter J. Holzer    | Ich sehe nun ein, dass Computer wenig
|_|_) | Sysadmin WSR       | geeignet sind, um sich was zu merken.
| |   | (spam-protected)         |
__/   | http://www.hjp.at/ |	-- Holger Lembke in dan-am
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.funkfeuer.at/pipermail/discuss/attachments/20060103/c607a8d7/attachment.sig>

Mehr Informationen über die Mailingliste Discuss