[LUGOS-SEC] Re: [LUGOS] IDS

Jure Koren jure at aufbix.org
Mon Jul 5 10:20:33 CEST 2004 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On Monday 05 July 2004 09:25, Saso wrote:
> >To je teoreticni maksimum,
> Ne, teoreticni maksimum je vec kot dvakrat vecji (4,294,967,295).

OK, ce je window velik 1 bit, potem ja. Ampak potem to ni window.

> In ce upostevas, da je source port eden izmed nekaj tisocih, je vsa
> zadeva dokaj hitro spet izven dosega skriptnih pamzev.
> Ocitno govorimo, se vedno, o teoreticnem 'napadu' ki to ni.

Si kdaj poskusil doma? Vecina masin na internetu pac ni OpenBSD ali 
linux-grsec ali karkoli podobnega, ampak Windows. 98 in 2000, ce smo 
natancni. In pred seboj nimajo nicesar, kar bi ustavilo brute-force TCP reset 
napade.

> Nisem zasledil. Senzacionalisticni clanki (Hitler ate my hamster! in TCP
> resets can be done with just 4 packets sent) niso zanesljiv vir.

RFC 1106 predlaga kako izboljsat zmogljivost TCPja na linkih z visokimi 
pasovnimi sirinami in visokimi latencami (think GPRS, DSL, sattelite). Vsi 
meni znani sistemi (vkljucno s Cisco IOS) implementirajo te razsiritve, da 
delajo "bolje". 32 bit window - 30 bit window size = 2 bits of entropy... 4 
paketki. Ce si kdaj gledal kaj po omrezju pocne vecina masin, potem ves, da 
ima >90% delovnih postaj lepo navado delat TCP povezave z lepo zaporednimi 
source porti od 1025 naprej. Za vsak port rabis 4 paketke, ker imajo 30 bitni 
window. Ce poskusis prvih 1000 portov po vrsti imas ogromno moznost zadet, pa 
je to 4k zelo majhnih paketkov. Poskusi doma, bos videl.

BTW, prijetno presenecenje je Mac OS X, ki se obnasa enako kot OpenBSD kar se 
tice source portov. Linux 2.4 brez grsec je podobno slab kot windows kar se 
tega tice.

> Seveda. In potem svizec ...
> >http://kerneltrap.org/node/view/3072 fino opise pomanjkljivosti TCPja.
> Cisto res. Skoda le, da ga nisi prebral.

Tam lepo razlozi v cem je finta 4 paketkov za en TCP session resetirat. Window 
size.

> >> RFC 2385 iz avgusta 1998 pravi drugace:
> >Ce lahko sklepamo po googlovem iskanju za "vendors implementing rfc
> > 2385"=20 potem je dejansko vecina implementacij mlajsih od pol leta, ko
> > se je razvne= la=20
> >debata o tej temi.
> Ahem. Podpora za MD5 avtentikacijo je v operacijskih sistemih raznih
> usmerjevalnikov ze lepo stevilo let. Ce razni mali operaterji niso
> implementirali zadeve to ni zaradi neobstoja podpore RFC 2385. Tam, kjer
> steje, je bila podpora RFC2385 implementirana ze dolgo nazaj.

OK, tu imas po vsej verjetnosti prav, jaz dejansko nisem se dovolj delal z 
BGP, da bi lahko govoril o tem kdo tega ne implementira.

> Sam sem iskal tocno isti niz, kot si ga zgoraj navedel, pa nisem
> zasledil clanka, ki bi govoril o tem, da je implemetacija RFC2385 v
> dolocenih operacijskih sistemih usmerjevalnikov mlajsa od nekaj let.

Jaz sem zasledil predvsem to, da so vsi clanki, ki o tem govorijo o tem da je 
treba to implementirat, stari manj kot leto. Ampak cisto mozno je da je to 
nakljucje in da so brihtni ljudje to implementirali ze prej.

> >                   Jaz ne dvom im v to da se bo situacija z BGP hitro=20
> >popravila ker je od tega odvisno delovanje omrezja, ampak preden bo
> > tako=20 delal vsak node, povezan v omrezje (think web users), bo minilo
> > dolgo casa.
> In kaj imajo web uporabniki z BGP sistemi? Nic.

Razen tega da jim web ne dela, kadar nekdo flooda BGP porte na njegovem 
upstreamu s TCP reseti? S podobnimi reseti lahko ubijes tudi druge TCP 
povezave, se ti ne zdi?

> O, lejga lejga. Kar je IPSec za IPv4 je _sestavni del_ IPv6.

Fino. Se lepse bi bilo, ce bi ga vsi pravilno implementirali in potem to ne bi 
bila samo teorija, kot rad pravis.

> Aha, se pravi _en_ proizvajalec usmerjevalnikov. Posplosevanje ne pomaga
> nikomur.

Sorry, se opravicujem. Cisco je pac se vedno najbolj razsirjen.

> Teoreticni napad. Ce bi vedel vsaj malcek vec o zadevi, o kateri tece
> beseda, bi ti to bilo jasno.
> Velika vecina masin na Internetu je ranljivih tudi na napade s
> sekiro. Ocitno bug v specifikaciji ohisja.
> QED.

S sekiro odklopit masino z neta zahteva fizicno prisotnost, TCP reset napad pa 
ne. Prakticni napad lahko demonstriram, ce bi bil teoreticen, ga ne bi mogel 
eksperimentalno dokazat, mar ne?

- -- 
Jure Koren, n.i.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.2 (Darwin)

iD8DBQFA6Q9R9iFCvmuhrCIRAvW/AJ40mNnaXwyjmgnO1uGwErR+KWXYfQCeJGOx
zMdoRA8gllZSQ9TCsdi0xNs=
=fp7b
-----END PGP SIGNATURE-----

More information about the lugos-sec mailing list