[LUGOS-SEC] Re: [LUGOS] IDS

[Jure Koren]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On Sunday 04 July 2004 08:53, Saso wrote:

> In zakaj ne bi uporabil orodij, ki so ti ze dane v samem BGP (MD5
> avtentikacija, ipd)?

In kako natanko so lahko dizajnerji TCP protokola predvidevali, da bo cez 
slabih 30 let mozno poslat 2 miljardi paketkov (pa jih ni treba toliko) v 15 
sekundah? Catch je ravno v tem da TCP sequence number ni primeren za nalogo, 
ki jo opravlja. IPsec je res krasen, ker uporablja prave kriptografske 
prijeme za to, vendar si ze omenil da je to tezko implementirat na core 
routerjih. Tudi sicer je ta luknja velika, saj ni omejena na noben layer 7 
protokol ampak na vsak protokol ki se tovori znotraj TCPja. Zoprna zadeva.

In kako lahko BGP zavarujes z MD5 avtentikacijo, ce dobis na svoj TCP paket 
odgovor z RST flagom (in moras torej po protokolu domnevat, da je povezava 
prekinjena)? Ne da se. Rabis IPsec (in tudi tvoj peer ga mora znat govorit).

Bistvo je da ti primeren IDS/IPS lahko brez vecje tezave ustavi tak napad, saj 
prestreze do nekaj 1000 takih paketov, preden napadalec ugane TCP seq. Proti 
napadalcu bolj tezko ukrepa, lahko pa predvideva, da gre za napad in za nekaj 
minut blokira TCP pakete z RST flagom (prepreci posledice napada), ostale pa 
pusti skozi (servis se vedno deluje). Resitev deluje in je vcasih tudi edina 
mozna (nekateri vendorji ki znajo govorit BGP pac ne znajo govorit IPsec, 
razen ce jim placas ekstra).

- -- 
Jure Koren, n.i.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.2 (Darwin)

iD8DBQFA571R9iFCvmuhrCIRAkx2AJ9dHWQlw8M+Vms3QGlEGaTONEqC3ACgzeWI
P4e9eNFhhT3gowuK3XTFW5E=
=ORPd
-----END PGP SIGNATURE-----