[LUGOS-SEC] Re: [LUGOS] IDS

Saso Saso at VSecureIT.net
Sun Jul 4 13:01:29 CEST 2004 

In the message I received, Jure Koren writes:
>On Sunday 04 July 2004 08:53, Saso wrote:

Jure,

>
>> In zakaj ne bi uporabil orodij, ki so ti ze dane v samem BGP (MD5
>> avtentikacija, ipd)?
>
>In kako natanko so lahko dizajnerji TCP protokola predvidevali, da bo cez=20
>slabih 30 let mozno poslat 2 miljardi paketkov (pa jih ni treba toliko) v 1=
>5=20
>sekundah?

TCP je star dobrih 23 let, kar pomeni, da bomo cez dobrih 7 let imeli
kar velike Internet pipe.

No, pa poglejmo te stevilke:

2 milijardi paketkov = 2,000,000,000 paketkov.
TCP header je minimalno 20 bytov = 160 bitov
IP header je minimalno 20 bytov = 160 bitov

2,000,000,000 x (160+160) = 640,000,000,000 bitov

Pa delimo to na 15 sekund: 640,000,000,000b / 15s = 42,666,666,667b/s

Kar je skoraj 40Gbps. Dobra pipca, ni kaj. Seveda bos rabil primerno
mocan racunalnik, da bos lahko optimalno izrabil tako pipco.

>In kako lahko BGP zavarujes z MD5 avtentikacijo, ce dobis na svoj TCP paket=
>=20
>odgovor z RST flagom (in moras torej po protokolu domnevat, da je povezava=
>=20
>prekinjena)? Ne da se.

RFC 2385 iz avgusta 1998 pravi drugace:

Every segment sent on a TCP connection to be protected against
   spoofing will contain the 16-byte MD5 digest produced by applying the
   MD5 algorithm to these items in the following order:

       1. the TCP pseudo-header (in the order: source IP address,
          destination IP address, zero-padded protocol number, and
          segment length)
       2. the TCP header, excluding options, and assuming a checksum of
          zero
       3. the TCP segment data (if any)
       4. an independently-specified key or password, known to both TCPs
          and presumably connection-specific

>                       Rabis IPsec (in tudi tvoj peer ga mora znat govorit).

In? IPSec je stara zadeva, kolikor mi je znano.

>Bistvo je da ti primeren IDS/IPS lahko brez vecje tezave ustavi tak napad, =
>saj=20
>prestreze do nekaj 1000 takih paketov, preden napadalec ugane TCP seq.

Velika vecina (ce ne vsi) novejsi usmerjevalniki so opremljeni z orodji,
ki jim pomagajo pri takih in podobnih napadih.

[snip]

>                                      Resitev deluje in je vcasih tudi edin=
>a=20
>mozna (nekateri vendorji ki znajo govorit BGP pac ne znajo govorit IPsec,=20
>razen ce jim placas ekstra).

In o katerih vendorjih govorimo?

LP,

Saso

More information about the lugos-sec mailing list