[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Mehrere Router im LAN ...


Am 25.01.2011 13:28, schrieb HÃ¥kan Kaellberg:
> On Tue, Jan 25, 2011 at 01:07:57PM +0100, Marc Haber wrote:
> > On Tue, Jan 25, 2011 at 08:24:05AM +0100, Alexander Holler wrote:
> > > Insbesondere den Sicherheitsaspekt. ;)
> > 
> > Und der waere?
> 
> Routing ist ein Morast von unsicherheit in sich. Die Routingprotokolle
> sind, wie z.B. SMTP in einer Zeit entstanden, wo man sehr froh war,
> dass es ueberhaupt funktionierte. Keinerlei Quellenpruefung fand statt.
> 
> Damals war man froh, dass die Pakete selber den guenstigsten Weg durch
> die Wolke fanden. Heutzutage sind wir damit gar nicht gluecklich,
> sondern wollen lieber den Weg zur Ziel kontrollieren.
> 
> Mit dem ICMP redirect verhaellt es sich so: Er muss ja nicht unbedingt
> von der Default Router kommen. Pruefen kann man das nur anhand IP, was
> faelschbar ist. Also kann jemand, der auf seinem Laptop gerne
> mitschneiden will ein "gefaelschte" ICMP Redirect senden und ploetzlich
> geht der Verkehr ueber seinem Laptop, der Routet denn weiter, aber
> behaellt eine Kopie...
> 
> Ein Firewall soll z.B. normalerweise auf ICMP Redirects gar nicht
> reagieren.  Rechner im lokalen Netz koennen es durchaus und machen es
> sicherlich meist, sicher bin ich aber nicht.

Da gibt es nicht sonderlich viel mehr dazu zu sagen, ausser das der gleiche
Krempel mit IPv6 wieder eine Neuauflage bekommt. Wer Interesse an solchen
Sachen hat, dem ist das Recording zu folgendem Vortrag zu empfehlen:

http://events.ccc.de/congress/2010/Fahrplan/events/3957.en.html

Da wird nochmal sehr deutlich gemacht, wie einfach es ist, ein lokales Netz
damit lahmzulegen (hier am Beispiel ipv6).

Gruss,

Alexander


-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/