[Discuss] OLSR Blackhole Problematik
Peter J. Holzer
(spam-protected)
Di Jan 3 20:47:23 CET 2006
On 2005-12-27 22:06:49 +0100, Aaron Kaplan wrote:
> On Dec 27, 2005, at 9:02 PM, Matthias Subik wrote:
> >On 25.12.2005, at 22:45, Andreas Marksteiner wrote:
> >>
> >>
> >...
> >>- der OLSRd selbst könnte die Gültigkeit von Default Routen prüfen
> >>und in die Routenauswahl einbeziehen (z.B. über Erreichbarkeit
> >>einer IP im Internet)
> >
> >wichtig wäre ja zu erwähnen, dass eine default route immer durch
> >diese verifiziert werden kann.
Im Prinzip ja. Aber wenn bekannt ist, wie diese Verifikation erfolgt,
kann ich als bösartiger HNA-Announcer diese Verifikation unterlaufen.
Wenn ich also z.B. weiß, dass meine Nachbarn die Gültigkeit der Route
überprüfen, indem sie ICMP-Echo-Pakete an [a-m].root-servers.net
schicken, kann ich die abfangen und ICMP-Echo-Replies zurückschicken.
Sicherheit würden da wieder nur kryptographische Methoden bringen (z.B.
https-Verbindung zu einem wohlbekannten Server und schauen, ob der das
richtige Zertifikat liefert).
> >jedes zertifikat ließe sich dadurch ja auch erneuern, wenn nur die
> >root-ca bekannt ist.
> >
> >x.509 ??? kann man in die richtung denken?
> >oder ist openssl doch ein wenig viel last für den sonst eher
> >"leichten" OLSRd?
>
> ja genau das ist der fall. Zumindest fuer die linksys.
> Wir haben zB aus (linksys-) openvpn extra die libssl rausgenommen
> weil zu viel CPU last und zu gross.
"Zu groß" lasse ich mir einreden. Das Openssl-Executable ist (auf
Linux/Intel) ca. 1 MB groß, GPG immerhin noch 600 kB. Die CPU-Last
hingegen sollte kein Problem sein: Die Signatur muss ja nur geprüft
werden, wenn sich das File ändert, und so oft dürften sich potentielle
HNAs nicht ändern.
hp
--
_ | Peter J. Holzer | Ich sehe nun ein, dass Computer wenig
|_|_) | Sysadmin WSR | geeignet sind, um sich was zu merken.
| | | (spam-protected) |
__/ | http://www.hjp.at/ | -- Holger Lembke in dan-am
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : nicht verfügbar
Dateityp : application/pgp-signature
Dateigröße : 189 bytes
Beschreibung: nicht verfügbar
URL : <http://lists.funkfeuer.at/pipermail/discuss/attachments/20060103/c607a8d7/attachment.sig>
Mehr Informationen über die Mailingliste Discuss