[Wien] ein neues mögliche Problem , transport von Packeten mit gefakten Source IP

Petr Koval (spam-protected)
Di Jul 23 15:05:46 CEST 2013 

Petr Koval schrieb:
> Egal jetzt, wie ich darauf gekommen bin.
> Jetzt geht es mir nur um die Tatsache, das wir dagegen im Augenblick 
> machtlos sind.
>
> Wir versuchen laufend, dass es eine Orndung bei der IP Vergabe gibt,
> dass keine Fehler passieren, dass z.b. jemand eine IP bekommt,
> und irrtümlich eine falsche einträgt usw.
>
> Dabei ist das Problem, welche IP auf dem eigenem IP Stack ist,
> nicht das alle grösste Problem!
>
> Jeder Router ist so konfiguert, dass er Packette aller Source IPs 
> unseren IP Ranges
> transportiert ohne zu prüfen, ob die Pakette von einer berechtigten 
> Stelle kommen.
>
> Wo dies nicht möglich ist, und einzige Sicherheit darstellt, ist nur 
> das Masquerading,
> falls richtig eingestellt. Wo also richtig masqueradet wird, ist es 
> unmöglich
> Packette mit unberechtigten IPs als Source IP reinzuschleisen.
>
> Wo das Masquerading als eine soclhe Abwehr nicht im Spiel ist, wo nur 
> trasportiert wird,
> wird einfach transportiert, egal ob berechtigte Quellen oder nicht.
>
> An einem Routing Punkt ist also möglich, und dazu ist nicht mal 
> notwendig, dass sich eine
> fremde IP an dem lokalem Stack befindet, dennoch mit einer falschen IP 
> zu transportieren,
> als source IP möglich.
>
> Wenn ein Retour Weg nicht erforderlich ist, dann ist es auch egal, ob 
> man die Ursprungliche
> Quelle, da sie ja so gefakt wirde, erreichen kann. Aber man kann nicht 
> mehr nachvollziehen,
> von wo diese gefakten Packette tatsächlich gekommen sind,
> wenn sie schon einmal transportiert werden.
>
> lg Petr
>
Ungekürtzt weiter,

gestern hatte ich so neben bei, ein Gedange in einem anderem 
Zusammenhang von Joe gehört.

Für die Router ein Transport Netz zuschaffen, auf Basis LAN IPs,
sie dennoch via einer einzigen public IP public erreichbar zu lassen,
aber das Problem sie dennoch einerseit duch das fake IP Problem 
kompromitierbar
zu machen, obwohl sie gar nicht mißbraucht weren müssen, oder doch voll 
kompromitieren
in einer legitimer Nutzung seiner public IP im Falle von masuqeradeten 
Klients drauf,
wird damit nicht beseitigt.

So etwa lasse ich vorerst das Problem in der Luft, zu Diskussion.

lg Petr


--
Wien mailing list
(spam-protected)
https://lists.funkfeuer.at/mailman/listinfo/wien

Mehr Informationen über die Mailingliste Wien