<<< Date Index >>>     <<< Thread Index >>>

Re: [FYI] Core Internet technology vulnerable to hacking



Peter Ross <Peter.Ross@xxxxxxxxxxxxxxxxxxx> writes:

> Macht man doch nicht;-) Mal im Ernst: Fuer mich als LAN-Admin mit relativ
> "dichten" Netzen (wenige WAN-Verbindungen) ist es recht einfach,
> Adressspoofing zu unterbinden, aber wie sieht das in der gaengigen
> Backbone-Praxis aus?

Bei Cisco muß die Gegenseite auf dem BGP-Speaker eine einzige ACL auf
das Interface setzen (outgoing): deny ip any host PEER-ADDRESS
(PEER-ADDRESS ist natürlich geeignet zu ersetzen). Das macht sich zu
nutze, daß die ACL nur für Pakete greift, die geforwardet werden, und
nicht für Pakete, die vom Router erzeugt werden. Wenn man sein eigenes
AS spoofingmäßig im Griff hat, reicht das aus, um Spoofing-Angriffe zu
verhindern.

Leider ist das nicht so einfach, da ziemlich viele große Router nicht
mit ACLs klarkommen (oder die Leute das zumindest glauben). Der
"Unicast Reverse Path Forwarding Check" würde hier auch ganz
entscheidend helfen (wenn er von der Gegenseite aktiviert wird),
allerdings nur im Strict Mode, und der funktioniert in der Praxis
häufig nicht (sowohl aufgrund des Routings, als auch aufgrund der
eingeschränkten Implementierung).

-- 
Current mail filters: many dial-up/DSL/cable modem hosts, and the
following domains: atlas.cz, bigpond.com, postino.it, tiscali.co.uk,
tiscali.cz, tiscali.it, voila.fr.

--
To unsubscribe, e-mail: debate-unsubscribe@xxxxxxxxxxxxxx
For additional commands, e-mail: debate-help@xxxxxxxxxxxxxx