[Wien] ein neues mögliche Problem , transport von Packeten mit gefakten Source IP

[Petr Koval]

Egal jetzt, wie ich darauf gekommen bin.
Jetzt geht es mir nur um die Tatsache, das wir dagegen im Augenblick 
machtlos sind.

Wir versuchen laufend, dass es eine Orndung bei der IP Vergabe gibt,
dass keine Fehler passieren, dass z.b. jemand eine IP bekommt,
und irrtümlich eine falsche einträgt usw.

Dabei ist das Problem, welche IP auf dem eigenem IP Stack ist,
nicht das alle grösste Problem!

Jeder Router ist so konfiguert, dass er Packette aller Source IPs 
unseren IP Ranges
transportiert ohne zu prüfen, ob die Pakette von einer berechtigten 
Stelle kommen.

Wo dies nicht möglich ist, und einzige Sicherheit darstellt, ist nur das 
Masquerading,
falls richtig eingestellt. Wo also richtig masqueradet wird, ist es 
unmöglich
Packette mit unberechtigten IPs als Source IP reinzuschleisen.

Wo das Masquerading als eine soclhe Abwehr nicht im Spiel ist, wo nur 
trasportiert wird,
wird einfach transportiert, egal ob berechtigte Quellen oder nicht.

An einem Routing Punkt ist also möglich, und dazu ist nicht mal 
notwendig, dass sich eine
fremde IP an dem lokalem Stack befindet, dennoch mit einer falschen IP 
zu transportieren,
als source IP möglich.

Wenn ein Retour Weg nicht erforderlich ist, dann ist es auch egal, ob 
man die Ursprungliche
Quelle, da sie ja so gefakt wirde, erreichen kann. Aber man kann nicht 
mehr nachvollziehen,
von wo diese gefakten Packette tatsächlich gekommen sind,
wenn sie schon einmal transportiert werden.

lg Petr


--
Wien mailing list
(spam-protected)
https://lists.funkfeuer.at/mailman/listinfo/wien