[LUGOS-SEC] Re: [LUGOS] IDS
Saso
Saso at VSecureIT.net
Mon Jul 5 09:25:28 CEST 2004
In the message I received, Jure Koren writes:
Hojla Jure,
>> 2 milijardi paketkov =3D 2,000,000,000 paketkov.
[snip]
>> Kar je skoraj 40Gbps. Dobra pipca, ni kaj. Seveda bos rabil primerno
>> mocan racunalnik, da bos lahko optimalno izrabil tako pipco.
>
>To je teoreticni maksimum,
Ne, teoreticni maksimum je vec kot dvakrat vecji (4,294,967,295).
> ce upostevas TCP window size in hitrost danasnji=
>h=20
>"gospodinjskih povezav", je vstopni prag za izvedbo napada precej hitro v=20
>rokah skriptnih pamzev.
In ce upostevas, da je source port eden izmed nekaj tisocih, je vsa
zadeva dokaj hitro spet izven dosega skriptnih pamzev.
Ocitno govorimo, se vedno, o teoreticnem 'napadu' ki to ni.
> V praksi lahko take vrste napad ocitno delas z majh=
>no=20
>pipo (kar se je tudi zgodilo).
Nisem zasledil. Senzacionalisticni clanki (Hitler ate my hamster! in TCP
resets can be done with just 4 packets sent) niso zanesljiv vir.
> Teoreticni maksimum je pa danes ze nizji od =
>v=20
>praksi implementiranih pipc.
Seveda. In potem svizec ...
>http://kerneltrap.org/node/view/3072 fino opise pomanjkljivosti TCPja.
Cisto res. Skoda le, da ga nisi prebral.
>> RFC 2385 iz avgusta 1998 pravi drugace:
>
>Ce lahko sklepamo po googlovem iskanju za "vendors implementing rfc 2385"=20
>potem je dejansko vecina implementacij mlajsih od pol leta, ko se je razvne=
>la=20
>debata o tej temi.
Ahem. Podpora za MD5 avtentikacijo je v operacijskih sistemih raznih
usmerjevalnikov ze lepo stevilo let. Ce razni mali operaterji niso
implementirali zadeve to ni zaradi neobstoja podpore RFC 2385. Tam, kjer
steje, je bila podpora RFC2385 implementirana ze dolgo nazaj.
Sam sem iskal tocno isti niz, kot si ga zgoraj navedel, pa nisem
zasledil clanka, ki bi govoril o tem, da je implemetacija RFC2385 v
dolocenih operacijskih sistemih usmerjevalnikov mlajsa od nekaj let.
Vec o BGP in varnosti najdes tukaj: www.cymru.com/Documents/barry2.pdf
(10. link na Googlu, ko isces "vendors implementing rfc2385).
> Jaz ne dvom im v to da se bo situacija z BGP hitro=20
>popravila ker je od tega odvisno delovanje omrezja, ampak preden bo tako=20
>delal vsak node, povezan v omrezje (think web users), bo minilo dolgo casa.
In kaj imajo web uporabniki z BGP sistemi? Nic.
>Vsekakor lahko TCP reset napade ustavi border gateway, ki zna take reci=20
>zaznat.
Kar je velika vecina usmerjevalnikov in kar je bistvo mojega prejsnjega
e-maila.
>Na prvem linku ki mi ga google najde za ta search tudi pise o tem da lahko =
>s=20
>samo stirimi poskusi zadanes tcp seq. Tezko verjet ampak tudi 4000 je tako=
>=20
>malo paketov, da jih DSL pljune ven dovolj hitro. Spet ne govorimo toliko o=
>=20
>BGP ampak o cemerkoli, kar se nosi v TCPju.
In zanimivo, da vecina TCP sej ne traja tako dolgo.
>> In? IPSec je stara zadeva, kolikor mi je znano.
>
>Da, in se vedno ni v splosni uporabi. Meni se zdi da bi bilo za IPv6 veliko=
>=20
>bolje, ce bi IPsec bil mandatory.
Da IPSec ni v splosni uporabi pa kaze le na to, da velika vecina prometa
_ne rabi_ IPSec podpore, ocitno.
RFC2460 pravi tole:
A full implementation of IPv6 includes implementation of the
following extension headers:
Hop-by-Hop Options
Routing (Type 0)
Fragment
Destination Options
Authentication
Encapsulating Security Payload
O, lejga lejga. Kar je IPSec za IPv4 je _sestavni del_ IPv6.
>> In o katerih vendorjih govorimo?
>
>Ce jaz prav berem cenike je IPsec pri IOS optional (ni v standard IP) in je
>torej treba za to funkcionalnost placat ekstra.
Aha, se pravi _en_ proizvajalec usmerjevalnikov. Posplosevanje ne pomaga
nikomur.
> Pa saj nima veze, koncni=20
>problem je se vedno to da je vecina masin na internetu ranljivih za take=20
>napade. To je bug v TCP specifikaciji, ocitno.
Teoreticni napad. Ce bi vedel vsaj malcek vec o zadevi, o kateri tece
beseda, bi ti to bilo jasno.
Velika vecina masin na Internetu je ranljivih tudi na napade s
sekiro. Ocitno bug v specifikaciji ohisja.
QED.
Saso
More information about the lugos-sec
mailing list