On 10 Sie, 19:16, Sławek Lipowski <sla...@lipowski.org> wrote:
> Temat do przemyślenia i mam nadzieję do rzeczowej dyskusji.
>
> http://lipowski.org/sieci-komputerowe/firewall-hacking-atak-na-firewa...
pamietam ze dosc dawno temu juz czytalem o identycznym pomysle na
"obejscie" firewalla
>
> Czy Waszym zdaniem da się przeprowadzić tego typu atak w węzłach PLIX i
> AC-X? Czy zabezpieczacie się przed opisaną formą ataku posiadając łącze
> np. od TP, Netii, ATMANa, czy dowolnego innego operatora?
w samym plix nie dostaniemy całego internetu wiec i tak potrzebna jest
jakas inna sesja,
nie rozumiem tez jak to inne lacze mialo by nas zabezpieczyc przed
nieskonfigurowanym firewallem ipv6,
chyba ze mialo by to polegac na zrezygnowaniu z plixa ;)
przy ipv4 tych otwartych na swiat (przynajmniej u operatorow
uczestnikow te adresy sa rouowalne) jest rzeczywisc dosc duzo,
przy sprzetowych rozwiazaniach moze to chyba ulatwic/umozliwic atak
dos na routing engine, a przy jakims linuxie czy bsd wiele nie
uzyskamy
oczywiscie w idealnym internecie nie powinno byc wszystko ladnie
poblokowane, ale moim zdaniem nie ma sensu
pisac tu o jakims powaznym problemie w postaci dosc bezpiecznej usługi
udostepnianej na routerach
jesli juz ktos ma dostep do L2 jakiegos punktu wymiany ruchu to jest
duzo ciekawszych rzeczy ktore mozna zrobic by zatruc komus zycie
np. wysylajac znacznych ruch do tpsy na czyis router ze swoich lub by
bylo smieszniej cudzych adresow, szansa na to ze to trafi na lacze do
tpsa ofiary jest
moim zdaniem wyzsza niz to ze zgadniemy haslo na czyis router (w
praktyce testowalismy to jakis czas temu przy rozgloszeniu tpsa w
plix),
w sumie jak by to z umiarem robic to mozna by sobie dodatkowy backup
przez innych uczestnikow punktow wymiany ruchu robic albo i glowne
lacze do tpsa i innych drogich kierunków jesli chcemy zrobic promocje
na transfer dla naszych klientow ;P , to niestety tez nie jest nic
nowego bo tez o tym gdzies czytalem tyle ze niedawno, ciekawe czy ktos
cos takiego juz przecwiczył
co do unikania przez blokowanie calego ipv6 to nie zgodze sie z tym ze
to dobre rozwiazanie bo wiele uslug lokalnie moze uzywac wersji ipv6
adresow
i moze przestac dzialac np. lokalny resolver czy inne uslugi w
wersjach v4 i v6 (pisali o tym w redhatowej bugzilli w 2004 roku)
uwazam tez ze nie powinienes sie obrazac jesli ktos ciebie posadzi o
spamerstwo, wiadomo promowac sie jakos trzeba, ale nie jest to
zagadnienie ani nowe, ani szczegolnie niebezpieczne i nie ma sie co
dziwic ze sie niektórym nie podoba robienie z tego jakiegos odkrycia i
widza w tym chytry plan
-- LazyReceived on Wed Aug 11 00:15:03 2010
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Wed 11 Aug 2010 - 00:40:01 MET DST