[Wien] ein neues mögliche Problem , transport von Packeten mit gefakten Source IP

Henning Rogge (spam-protected)
Di Jul 23 16:25:57 CEST 2013


"Secure OLSR" verhindert nur das ein Router der das "Shared Secret"
nicht kennt am Routing teilnimmt. Die Werte die von solchen Routern
übertragen werden nicht geprüft.

Henning Rogge

2013/7/23 (spam-protected) <(spam-protected)>:
> Eine Möglichkeit wäre Secure OLSR und/oder eine IP Whitelist am Gateway.
>
>
> LG
> Daniel
>
> Gesendet: Dienstag, 23. Juli 2013 um 14:59 Uhr
> Von: "Petr Koval" <(spam-protected)>
> An: "(spam-protected)" <(spam-protected)>, "Petr Koval"
> <(spam-protected)>
> Betreff: [Wien] ein neues mögliche Problem , transport von Packeten mit
> gefakten Source IP
> Egal jetzt, wie ich darauf gekommen bin.
> Jetzt geht es mir nur um die Tatsache, das wir dagegen im Augenblick
> machtlos sind.
>
> Wir versuchen laufend, dass es eine Orndung bei der IP Vergabe gibt,
> dass keine Fehler passieren, dass z.b. jemand eine IP bekommt,
> und irrtümlich eine falsche einträgt usw.
>
> Dabei ist das Problem, welche IP auf dem eigenem IP Stack ist,
> nicht das alle grösste Problem!
>
> Jeder Router ist so konfiguert, dass er Packette aller Source IPs
> unseren IP Ranges
> transportiert ohne zu prüfen, ob die Pakette von einer berechtigten
> Stelle kommen.
>
> Wo dies nicht möglich ist, und einzige Sicherheit darstellt, ist nur das
> Masquerading,
> falls richtig eingestellt. Wo also richtig masqueradet wird, ist es
> unmöglich
> Packette mit unberechtigten IPs als Source IP reinzuschleisen.
>
> Wo das Masquerading als eine soclhe Abwehr nicht im Spiel ist, wo nur
> trasportiert wird,
> wird einfach transportiert, egal ob berechtigte Quellen oder nicht.
>
> An einem Routing Punkt ist also möglich, und dazu ist nicht mal
> notwendig, dass sich eine
> fremde IP an dem lokalem Stack befindet, dennoch mit einer falschen IP
> zu transportieren,
> als source IP möglich.
>
> Wenn ein Retour Weg nicht erforderlich ist, dann ist es auch egal, ob
> man die Ursprungliche
> Quelle, da sie ja so gefakt wirde, erreichen kann. Aber man kann nicht
> mehr nachvollziehen,
> von wo diese gefakten Packette tatsächlich gekommen sind,
> wenn sie schon einmal transportiert werden.
>
> lg Petr
>
>
> --
> Wien mailing list
> (spam-protected)
> https://lists.funkfeuer.at/mailman/listinfo/wien
>
> --
> Wien mailing list
> (spam-protected)
> https://lists.funkfeuer.at/mailman/listinfo/wien



-- 
We began as wanderers, and we are wanderers still. We have lingered
long enough on the shores of the cosmic ocean. We are ready at last to
set sail for the stars - Carl Sagan

--
Wien mailing list
(spam-protected)
https://lists.funkfeuer.at/mailman/listinfo/wien




Mehr Informationen über die Mailingliste Wien