[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: openbsd@sikurezza.org
Soggetto: Re: La lunga notte degli ICMP
Mittente: Giacomo Cariello
Data: 22 Jan 2002 19:35:29 -0000
At 10.37 22/01/2002 +0100, you wrote:
>Mi e' parso di capire che cio' che tu giustamente lamenti e' la mancanza
>(fino ad ora) delle sysctl net.inet.icmp.drop_redirect e
>net.inet.icmp.log_redirect, presenti invece in FreeBSD e Linux.

Per la verità, sia in FreeBSD che in alcuni Linux, i redirects vengono 
accettati pacificamente, con ciò che ne consegue.

>Domanda (forse banale):
>Non serve a nulla settare a zero net.inet.ip.redirect?

net.inet.ip.redirect regola la generazione degli icmp redirects da parte di 
OpenBSD, non la loro ricezione.

>Cioe' non serve a niente settare una rule tipo
>"block in log quick on ppp0 proto icmp from any to any icmp-type redir"?

Se non hai caricato regole "stateful", questa regola dovrebbe 
salvaguardarti. Inoltre considera che la maggior parte dei routers ignorano 
gli icmp redirects quindi se sei su un ppp è probabile che tu sia 
"filtrato" dal router che gestisce la tua connessione dalla parte dell'ISP.

>P.S.: Attualmente uso una 2.9-stable. A quando una patch? :)

Al momento è necessario rivisitare completamente l'approccio agli icmp 
redirects. Se non puoi fare a meno di questa feature, puoi aggiornare il 
kernel a -current, altrimenti ti consiglio di aspettare.


Giacomo Cariello, jwk@bug.it
KeyID: 3072/1024/0x409C9044
Fingerprint: 7984 10FD 0460 4202 BF90 3881 CDE4 D78E 409C 9044

"Put that mic in my hand and let me kick out the jams!" - MC5


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List




[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005