R: Routing Asimmetrico

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Dicembre 2002 ml@sikurezza.org
Soggetto: R: Routing Asimmetrico
Mittente: Daniele Besana
Data: 28 Dec 2002 03:00:15 -0000

Ciao e grazie,
risposte per tutti.
Federico, ho dei dubbi su come funziona la tua soluzione:
> Sul Firewall A, il default GW è naturalmente il router dell'ISP nuovo, sul
> FW B il router vecchio ISP.

OK no problem

> Dato che i server si trovano all'interno di una DMZ, mi sono 
> limitato a fare
> del NAT dalle due macchine, ci ha pensato il connection tracking dei
> firewall a fare il resto senza troppe menate.

Qui non mi è chiaro... se ho dei server in DMZ, questi punteranno ad un gateway, che è fw A oppure fw B.
Quindi ricado in routing asimmetrico, peggiorato dal fatto che ho di mezzo dei fw stateful (quello che tu chiami connection tracking immagino sia la stessa cosa).
O forse mi manca un pezzo? ;-)

Filo,
> Assolutamente sì, poichè altrimenti tu potresti appunto infilare 
> qualunque 
> tipo di IP  valle del tuo router, e farlo ruotare su uno spazio che il 
> provider non possiede. Inoltre, non è nemmeno detto che 
> l'infrastruttura di 
> routing del provider riesca poi effettivamente a routarti 
> qualunque classe tu 
> ci metti. (supponendo tu abbia "modificato" le ACL ;) )
E' normale che nella rete del provider "circoli" traffico non di sua proprietà, il routing è fatto in base alla destinazione. E se è originato da me, non vedo perchè non debba essere consegnato.
Allora se mi compro 2 link per ridondanza cosa devo fare? chiedere un'autorizzazione speciale?

Simone,
> Secondo me TUTTI i link dovrebbero essere filtrati in tal senso, 
> ovvero far
> passare solo il traffico "legittimo", anche in uscita. Se tutti lo
> facessero, addio spoofing e tutti gli DoS relativi. Certo, un eventuale
> attacker potrebbe farti un DoS lo stesso, mostrando pero' il suo vero ip.
Non so se sarebbe proprio una soluzione attuabile per il problema dello spoofing, Simo Sorce docet.

Cmq ho pensato anch'io alla possibilità di spostare il problema da L3 a superiori... in questo caso mi serve un "appoggio" esterno alla rete, altrimenti avrei dei tempi di disservizio: spostare IP dei DNS e record contenuti non è un'operazione che ha tempi certi perchè non è controllabile... vedi cache e compagnia bella.

Saluti e buon S. Stefano!

---
Daniele Besana - ICQ 21963839 - www.itvirtualcommunity.net

smime.p7s

In risposta a:
- Re: Routing Asimmetrico, Federico Lombardo

Data:
- precedente: firewalling su speed touch pro, Aleister Crowley
- successivo: Re: Routing Asimmetrico, Andrea Ghirardini
- indice

Argomento:
- precedente: Re: Routing Asimmetrico, Federico Lombardo
- successivo: Re: Routing Asimmetrico, Filo
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005