polip: Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.

Autor: SĹawek Lipowski <slawek_at_lipowski.org>
Data: Tue 10 Aug 2010 - 22:50:22 MET DST
Message-ID: <i3se2k$rqv$1@inews.gazeta.pl>
Content-Type: text/plain; charset=UTF-8; format=flowed

W dniu 10.08.2010 22:21, Krzysztof Halasa pisze:
> (...)
> Wszystko jest podatne na DDoS. Jak szerokie masz uplinki? Znakomita

Ja? Bodaj 768kbps w kablowej. ;) AdministrujÄ takimi o 2-3 rzÄdy
wielkoĹci wiÄkszymi, ale nie w tym rzecz...

> wiekszosc sieci koncowych mozna polozyc jednym ENTERem, bez zadnego
> wysilku, i nic na to nie da sie poradzic.
> IPv6 ma sie do tego nijak.

Generalnie odchodzimy od tezy. Teza w duĹźym uproszczeniu brzmi: majÄc
domyĹlnÄ konfiguracjÄ IPv6 na linuksie, ktoĹ majÄcy z TobÄ styk w L2
moĹźe ominÄÄ reguĹki netfiltera napisane wyĹÄcznie dla IPv4. Naturalne
wydaje siÄ teĹź, Ĺźe bardziej podatnym na atak bÄdzie system z otwartym
ssh, niĹź ten san system bez wystawionego ssh. ZakĹadam teĹź, Ĺźe lepiej
mieÄ ĹwiadomoĹÄ istnienia moĹźliwoĹci wystÄpienia takiego ataku, niĹź jej
nie mieÄ i ĹźyÄ w przeĹwiadczeniu, Ĺźe moich iptablesĂłw to nikt nie
przeskoczy.

>> Czy
>> konfiguracja ssh pozwoli na przeprowadzenie ataku sĹownikowego?
>
> Udanego? :-)
> Jesli sie boisz o swoje hasla, to przeciez mozna zablokowac. I tak chyba
> wszyscy uzywaja kluczy czy czegos podobnego.

W idealnym Ĺwiecie pewnie wszyscy uĹźywajÄ kluczy i niesĹownikowych haseĹ. :)

>>> wyobrazasz sobie zdalny dostep do maszyny bez otwarcia jakiegos portu?
>>
>> Posiadanie zdalnego dostÄpu do maszyny nie musi sprawiaÄ, Ĺźe trzeba
>> ten port otworzyÄ od razu na caĹy Ĺwiat, prawda?
>
> W niektorych okolicznosciach, prawda. Generalnie, trzeba tak wlasnie
> otworzyc, jesli nie znamy zestawu IP, ktorych bedziemy uzywac.
> Jesli ktos pracuje zdalnie "ze swiata", to nie ma bladego pojecia jakie
> bedzie mial IP.
> Jesli ktos np. pracuje z neostrady itp, to owszem - moze ograniczyc
> zakres IP, ale nie moze wyciac duzego potencjalnego zrodla atakow, jakim
> jest zakres adresow (w tym przypadku) neostrady.
>
> Trzeba to po prostu miec zrobione z sensem i tyle.
>
>> W dobie powszechnego
>> mobilnego dostÄpu do Internetu z moĹźliwoĹciÄ przypisania do takiej
>> usĹugi publicznego IP to naprawdÄ nie wydaje siÄ byÄ problemem.
>
> Przyznaje ze nie do konca rozumiem co tu masz na mysli.

Mam na myĹli np. orange free lub blueconnect. Oba moĹźna mieÄ ze staĹym
publicznym IP i nosiÄ je w kieszeni.

-- 
SĹawek Lipowski

Received on Tue Aug 10 22:55:03 2010

To archiwum zostało wygenerowane przez hypermail 2.1.8 : Tue 10 Aug 2010 - 23:40:00 MET DST