[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: Maggio 2004 ml@sikurezza.org
Soggetto: Re: nuova vulnerabilità tcp
Mittente: Marco Vettor
Data: 3 May 2004 06:53:21 -0000
Dario Lombardo wrote:

[cut]

Riguardo alla protezione invece non ne sarei cosi' convinto... in un peering BGP entrambe le parti devono fare protezione: se la fa 1 solo e' come non farla proprio.

Questo e' ovvio, ma e' chiaro che se si parla di md5 si da per scontato che entrampi lo utilizzino :)


Per quanto riguarda invece md5, chiedo aiuto a chi ne sa di piu': che nesso c'e' tra MD5 e un pacchetto RST TCP? MD5 al massimo fa parte di BGP, ma un pacchetto RST di BGP non ha proprio nulla se non la porta.

Dall'RFC-2385:
...
It defines a new TCP option for carrying an MD5 [RFC1321] digest in a TCP segment. This digest acts like a signature for that segment, incorporating information known only to the connection end points.Since BGP uses TCP as its transport, using this option in the way described in this paper significantly reduces the danger from certain security attacks on BGP.
...
Every segment sent on a TCP connection to be protected against spoofing will contain the 16-byte MD5 digest produced by applying the MD5 algorithm to these items
...
Upon receiving a signed segment, the receiver must validate it by calculating its own digest from the same data (using its own key) and
comparing the two digest. A failing comparison must result in the segment being dropped and must not produce any response back to the
sender.


E' purtroppo una operazione abbastanza impegnativa per il router in virtu del fatto che deve controllare l'hash di ogni segmento percio' se da un lato ci si tuteli da eventuali attacchi, dall'altro si innalza il rischio di eventuali DoS.
Come ci siamo gia' detti pero possiamo tutelarci da questo utilizzando *ANCHE* acl antispoofing, e considerando solo TTL>=254 (se permesso da IOS e se non usiamo Multi-hop BGP).


Marco Vettor
marcat
--
[ Marco Vettor : www.marcat.org /iv3fkx qth jn35tb/ marco@xxxxxxxxxx  ]
[ Key fingerprint: A39D A5D1 6BAA 6DB7 3A85  738C FECA 67C5 0188 DFF1 ]
[ GPG key available on keyserver pgp.mit.edu                          ]

%%

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List




[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005