[LUGOS-SEC] Re: [LUGOS] IDS
Jure Koren
jure at aufbix.org
Sun Jul 4 10:18:24 CEST 2004
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On Sunday 04 July 2004 08:53, Saso wrote:
> In zakaj ne bi uporabil orodij, ki so ti ze dane v samem BGP (MD5
> avtentikacija, ipd)?
In kako natanko so lahko dizajnerji TCP protokola predvidevali, da bo cez
slabih 30 let mozno poslat 2 miljardi paketkov (pa jih ni treba toliko) v 15
sekundah? Catch je ravno v tem da TCP sequence number ni primeren za nalogo,
ki jo opravlja. IPsec je res krasen, ker uporablja prave kriptografske
prijeme za to, vendar si ze omenil da je to tezko implementirat na core
routerjih. Tudi sicer je ta luknja velika, saj ni omejena na noben layer 7
protokol ampak na vsak protokol ki se tovori znotraj TCPja. Zoprna zadeva.
In kako lahko BGP zavarujes z MD5 avtentikacijo, ce dobis na svoj TCP paket
odgovor z RST flagom (in moras torej po protokolu domnevat, da je povezava
prekinjena)? Ne da se. Rabis IPsec (in tudi tvoj peer ga mora znat govorit).
Bistvo je da ti primeren IDS/IPS lahko brez vecje tezave ustavi tak napad, saj
prestreze do nekaj 1000 takih paketov, preden napadalec ugane TCP seq. Proti
napadalcu bolj tezko ukrepa, lahko pa predvideva, da gre za napad in za nekaj
minut blokira TCP pakete z RST flagom (prepreci posledice napada), ostale pa
pusti skozi (servis se vedno deluje). Resitev deluje in je vcasih tudi edina
mozna (nekateri vendorji ki znajo govorit BGP pac ne znajo govorit IPsec,
razen ce jim placas ekstra).
- --
Jure Koren, n.i.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.2 (Darwin)
iD8DBQFA571R9iFCvmuhrCIRAkx2AJ9dHWQlw8M+Vms3QGlEGaTONEqC3ACgzeWI
P4e9eNFhhT3gowuK3XTFW5E=
=ORPd
-----END PGP SIGNATURE-----
More information about the lugos-sec
mailing list