[LUGOS-SEC] Re: [LUGOS] IDS
Saso
Saso at VSecureIT.net
Sun Jul 4 13:01:29 CEST 2004
In the message I received, Jure Koren writes:
>On Sunday 04 July 2004 08:53, Saso wrote:
Jure,
>
>> In zakaj ne bi uporabil orodij, ki so ti ze dane v samem BGP (MD5
>> avtentikacija, ipd)?
>
>In kako natanko so lahko dizajnerji TCP protokola predvidevali, da bo cez=20
>slabih 30 let mozno poslat 2 miljardi paketkov (pa jih ni treba toliko) v 1=
>5=20
>sekundah?
TCP je star dobrih 23 let, kar pomeni, da bomo cez dobrih 7 let imeli
kar velike Internet pipe.
No, pa poglejmo te stevilke:
2 milijardi paketkov = 2,000,000,000 paketkov.
TCP header je minimalno 20 bytov = 160 bitov
IP header je minimalno 20 bytov = 160 bitov
2,000,000,000 x (160+160) = 640,000,000,000 bitov
Pa delimo to na 15 sekund: 640,000,000,000b / 15s = 42,666,666,667b/s
Kar je skoraj 40Gbps. Dobra pipca, ni kaj. Seveda bos rabil primerno
mocan racunalnik, da bos lahko optimalno izrabil tako pipco.
>In kako lahko BGP zavarujes z MD5 avtentikacijo, ce dobis na svoj TCP paket=
>=20
>odgovor z RST flagom (in moras torej po protokolu domnevat, da je povezava=
>=20
>prekinjena)? Ne da se.
RFC 2385 iz avgusta 1998 pravi drugace:
Every segment sent on a TCP connection to be protected against
spoofing will contain the 16-byte MD5 digest produced by applying the
MD5 algorithm to these items in the following order:
1. the TCP pseudo-header (in the order: source IP address,
destination IP address, zero-padded protocol number, and
segment length)
2. the TCP header, excluding options, and assuming a checksum of
zero
3. the TCP segment data (if any)
4. an independently-specified key or password, known to both TCPs
and presumably connection-specific
> Rabis IPsec (in tudi tvoj peer ga mora znat govorit).
In? IPSec je stara zadeva, kolikor mi je znano.
>Bistvo je da ti primeren IDS/IPS lahko brez vecje tezave ustavi tak napad, =
>saj=20
>prestreze do nekaj 1000 takih paketov, preden napadalec ugane TCP seq.
Velika vecina (ce ne vsi) novejsi usmerjevalniki so opremljeni z orodji,
ki jim pomagajo pri takih in podobnih napadih.
[snip]
> Resitev deluje in je vcasih tudi edin=
>a=20
>mozna (nekateri vendorji ki znajo govorit BGP pac ne znajo govorit IPsec,=20
>razen ce jim placas ekstra).
In o katerih vendorjih govorimo?
LP,
Saso
More information about the lugos-sec
mailing list