[neiromancer]

Все сетевые СМИ, обосравшись, бегают с новостью http://www.securitylab.ru/news/358464.php, что де конец света инета уже наступил, и все мы умрём завтра...

А что думают уважаемые?

 

[2bit]

Давно пора свернуть нынешний интернет.

[Z1oy]

Все сетевые СМИ, обосравшись, бегают с новостью http://www.securitylab.ru/news/358464.php, что де конец света инета уже наступил, и все мы умрём завтра...

А что думают уважаемые?

баян какой-то, как будто раньше никто не знал про забаву проанонсить не совсем смышленому пиру 0.0.0.0, при этом сам трафег не транзитить :-)

[ugluck]

вот например MSK-IX фильтруют входящие анонсы в соответствии с БД Райпа. и прально. так и надо.

[Beginner]

Наверное кто-то пиарится, выбивает бабло на дальнейшие "исследования". Глядишь, скоро обнаружат что в Интернете есть порнография.

[belovictor]

Фильтры по префиксам на клиента и мониторинг через renesys.com. Всего делов. А YouTube замочалили, потому что PCCW не ставил на своего клиента фильтров на приеме анонсов.

[tgz]

IRR filters helps prevent *accidental* hijacking and *accidental* route spillage. In that, they seem to do their job. I don't know why people think that would help prevent a deliberate hijacking job.

© Deepak Jain

 

Те, кто не видят реальной проблемы должны бросить IT и идти копать канавы.

[bitbucket]

IRR filters helps prevent *accidental* hijacking and *accidental* route spillage. In that, they seem to do their job. I don't know why people think that would help prevent a deliberate hijacking job.

© Deepak Jain

 

Те, кто не видят реальной проблемы должны бросить IT и идти копать канавы.

А теперь подробно и по русски.

[ram_scan]

Гонево полное (в смысле нагнетание обстановки). Шляпа вся насколько я понимаю как раз в том что можно мимо всех фильтров маршрут нужный просунуть. А для того чтобы связность покрошить достаточно штатных средств (покажите мне пальцем кто параноидально предохраняется). Достаточно вспомнить как на ближнем востоке давеча "элитные специалисты" гугль кривым анонсом побанили. Было бы желание - давно бы шухер устроили. dns cache poisoning в смысле устроения катастрофы намного опаснее. Его вообще каждый дурак сделать может. Давеча вон ефнет скрипткидди епонские хорошо заколбасили.

[kostich]

dns cache poisoning в смысле устроения катастрофы намного опаснее.

Фича с arp работает практически в каждом штатовском ДЦ... в некоторых ДЦ можно поднять у себя dhcp и всю хрень для remote boot и тупо получать рутов на чужих серверах после их ребута, чем там львиная доля рашин пионеров и занимается.

[tgz]

А теперь подробно и по русски.

Вам доклада на DefCon не хватило?

[tgz]

Гонево полное (в смысле нагнетание обстановки). Шляпа вся насколько я понимаю как раз в том что можно мимо всех фильтров маршрут нужный просунуть. А для того чтобы связность покрошить достаточно штатных средств (покажите мне пальцем кто параноидально предохраняется). Достаточно вспомнить как на ближнем востоке давеча "элитные специалисты" гугль кривым анонсом побанили. Было бы желание - давно бы шухер устроили. dns cache poisoning в смысле устроения катастрофы намного опаснее. Его вообще каждый дурак сделать может. Давеча вон ефнет скрипткидди епонские хорошо заколбасили.

После нарушения связности тебя найдут через 15 минут. Тут все хитрее, можно пропустить через себя трафик чужой AS не нарушая никакой связности. Проблема нелегитимных анонсов. А все потому что предохраняться от этого нам предписали исключительно административными мерами. И естественно что находится вагон уродов, кладущих на это болт. А в итоге пострадать может _любой_ участник сети. Вам этого мало?

 

 

[kostich]

После нарушения связности тебя найдут через 15 минут. Тут все хитрее, можно пропустить через себя трафик чужой AS не нарушая никакой связности. Проблема нелегитимных анонсов. А все потому что предохраняться от этого нам предписали исключительно административными мерами. И естественно что находится вагон уродов, кладущих на это болт. А в итоге пострадать может _любой_ участник сети. Вам этого мало?

надо читать лекцию про сие трабл андерстендинг... короче фигня это всё, документированная.

 

ps. даже без этой фичи участников сети страдает вагон и телега.

Изменено 29 августа, 2008 пользователем kostich

[bitbucket]

Вам доклада на DefCon не хватило?

Пруфлинк в студию.

Изменено 29 августа, 2008 пользователем bitbucket

[tgz]

Могли бы и сами найти

https://www.defcon.org/images/defcon-16/dc1...osov-kapela.pdf

 

надо читать лекцию про сие трабл андерстендинг... короче фигня это всё, документированная.

Где документированно?

 

ps. даже без этой фичи участников сети страдает вагон и телега.

Хорошая у вас логика. Примерно как если от меня жена ушла, то и в попу давать

не грех.

 

[ram_scan]

После нарушения связности тебя найдут через 15 минут. Тут все хитрее, можно пропустить через себя трафик чужой AS не нарушая никакой связности. Проблема нелегитимных анонсов. А все потому что предохраняться от этого нам предписали исключительно административными мерами. И естественно что находится вагон уродов, кладущих на это болт. А в итоге пострадать может _любой_ участник сети. Вам этого мало?

Пострадать и сейчас может любой участник сети, достаточно криворукого спеца за рутер пустить. Прочел я отчетец. Не осилил пактического применения "уязвимости" (фактически это фича которая накер никому нужна не была). Плейн пароли у быдлоюзеров коммуниздить ? Если поспуфать или потравить днс кэш может вообще практически любой человек с улицы, то пошаманить с BGP может только человек который имеет на это административные привелегии. Легально. Даже если каждого спеца который рулит AS априори считать подонком, то сравните количество этих спецов и количество хотя-бы протрояненых тачек с виндой. Механизм такого шаманства документирован черти когда, а скрытие хижакера с помощью правки TTL многажды пройдено (это еще пионеры в локалках наты от оператора так прятали). Паника на ровном месте, на дефконе просто показали "а смотрите как мы прикольно BGP настроить умеем". Ну умеют - молодцы. Также было показано что большинство народу рутер настроить не умеют, а если умеют то настраивают через copy-paste из книжки издательства cisco-press, и что надо решать этот вопрос административно.

 

В том-же STP подобная херь реализуется вообще одной строкой в конфиге (достаточно себя как конревой бридж проанонсировать), и никто из операторов отчего-то не вопит что "мне клиент отсылкой кривого bpdu сеть положил" и что надвигается информационная катастрофа.

[kostich]

и никто из операторов отчего-то не вопит что "мне клиент отсылкой кривого bpdu сеть положил" и что надвигается информационная катастрофа.

еще как орут... когда это bpdu на клиенском порту фильтрануть забывают :)

 

 

[kostich]

Где документированно?

в доке по BGP?

 

ps. даже без этой фичи участников сети страдает вагон и телега.

Хорошая у вас логика. Примерно как если от меня жена ушла, то и в попу давать

не грех.

логика до дури простая - если есть угроза снифинга (а она всегда есть), то пользуйтесь криптосредствами.

 

ps. а в бизнесе по продаже транзита и так у кого as-path короче того и бабки... часть трафика и без таких брутальных ***ств с более короткими раутами можно через себя завернуть и хер предъявишь потом...

Изменено 30 августа, 2008 пользователем kostich

[tgz]

Пострадать и сейчас может любой участник сети, достаточно криворукого спеца за

рутер пустить. Прочел я отчетец. Не осилил пактического применения

"уязвимости" (фактически это фича которая накер никому нужна не была). Плейн

пароли у быдлоюзеров коммуниздить ? Если поспуфать или потравить днс кэш может

вообще практически любой человек с улицы, то пошаманить с BGP может только

человек который имеет на это административные привелегии. Легально. Даже если

каждого спеца который рулит AS априори считать подонком, то сравните

количество этих спецов и количество хотя-бы протрояненых тачек с виндой.

Механизм такого шаманства документирован черти когда, а скрытие хижакера с

помощью правки TTL многажды пройдено (это еще пионеры в локалках наты от

оператора так прятали). Паника на ровном месте, на дефконе просто показали "а

смотрите как мы прикольно BGP настроить умеем". Ну умеют - молодцы. Также было

показано что большинство народу рутер настроить не умеют, а если умеют то

настраивают через copy-paste из книжки издательства cisco-press, и что надо

решать этот вопрос административно.

 

В том-же STP подобная херь реализуется вообще одной строкой в конфиге (достаточно себя как конревой бридж проанонсировать), и никто из операторов отчего-то не вопит что "мне клиент отсылкой кривого bpdu сеть положил" и что надвигается информационная катастрофа.

1. От любителей насрать в DNS cache можно защищаться. Пропатчил софтинку и

забыл.

2. Пример с stp неудачный. Надо разделять где у нас inter-as, а где intra-as.

Две большие разницы.

3. Наивно полагать что так можно украсть только plain passwords. Любой сервис

на ssl, куда пользователи ходят без установленного сертификата (переданного

или подписанного альтернативными защищенными путями) находится под угрозой.

Спуфаю я префикс, где живет какой-нибудь rzd.ru (анальные интервенты, но это к

слову). И через сутки у меня список кредитных карт с кодами длинною в

километр. Да, это и сейчас могут сделать те же инженеры любого магистрала. Но

это не дает повод утверждать что проблемы, описанной на defcon не существует и

на нее можно забить болт. Нет, я понимаю, что большинству тут присутствующих

насрать. Неуловимый Джо никому нахер не сдался. Но это уже смахивает на

какую-то пассивную проституцию...

 

 

в доке по BGP?

Там так прямо и пишут как угнать чужой префикс?

 

логика до дури простая - если есть угроза снифинга (а она всегда есть), то пользуйтесь криптосредствами.

 

ps. а в бизнесе по продаже транзита и так у кого as-path короче того и бабки... часть трафика и без таких брутальных ***ств с более короткими раутами можно через себя завернуть и хер предъявишь потом...

Про криптосредства я выше написал уже.

Описание метода "завернуть через себя" в студию!

 

[tgz]

Ну и для общего развития:

http://www.informit.com/articles/article.aspx?p=1237179

[Z1oy]

эк вас забрало то

не читайте советских газет по утрам (с) а то так и руки на себя наложите :-)

 

что мешает по вашей логике и без шаманств с бгп снифать трафег инженерам транзитных операторов ?)

открою вам великую тайну: нормальные операторы фильтруют входящие анонсы ;-)

[visir]

вот например MSK-IX фильтруют входящие анонсы в соответствии с БД Райпа. и прально. так и надо.

Совершенно очевидно, что это не поможет. Дело тут вот в чем: фильтры строятся скриптами на основе информации, которую может модифицировать злоумышленник.

Например: для AS12345 скрипт строит фильтр для приемки от него as-set AS-XXX -- это задается фильтрующим (IX в данном случае). Но информацию в AS-XXX вносит владелец AS12345, а не IX. И ничто не помешает ему внести в этот as-set что угодно, а IX построит фильтр, принимающий это.

Даже если фильтр строит не скрипт, а человек... или если as-set будет вести фильтрующий, а не фильтруемый... Спасти сможет только то, что этот человек имеет высокую квалификацию, причем не только техническую, но и знает рынок -- например знает, что AS-DOMONET1 с AS-DOMONET2 заклятые враги и никогда не будут ходить в инет друг через друга, зато постоянно гадят друг другу.

Анализ import/export в длинных цепочках AS-ок может оказаться не таким простым, как кажется на первый взгляд. Скрипты такого анализа не делают, по крайне мере те, что я видел.

 

ИМХО для того, чтобы этот механизм помог, нужно ввести механизм разрешения добавления а as-set. На подобие того, который уже используется для создания объектов route (mnt-routes).

Изменено 30 августа, 2008 пользователем visir

[kostich]

в доке по BGP?

Там так прямо и пишут как угнать чужой префикс?

там как бы пишут™, а как это уже будут использовать их не волнует :)

 

логика до дури простая - если есть угроза снифинга (а она всегда есть), то пользуйтесь криптосредствами.

 

ps. а в бизнесе по продаже транзита и так у кого as-path короче того и бабки... часть трафика и без таких брутальных ***ств с более короткими раутами можно через себя завернуть и хер предъявишь потом...

Описание метода "завернуть через себя" в студию!

нужно выложить в инет пошаговое руководство для получения возможности анонсов с выставленными/перевыставленным руками as-path?

 

 

 

 

открою вам великую тайну: нормальные операторы фильтруют входящие анонсы ;-)

а мужики то не знают :)

 

ps. среди пиров есть 2 или 3 tier1... чо там фильтровать?

[visir]

Еще вдогонку. Многие используют whois.radb.net для составления фильтров, не указывая ему конкретные базы данных для поиска -- а по умолчанию он ищет еще и, скажем, в бд LEVEL3. Результат поражает воображение: пропускаем в инет маршрут, для которого в RIPE не создан объект route... через неделю такой объект появляется в бд LEVEL3 с комментарием в духе "ну такой же префикс гуляет по инету, поэтому, на всякий случай, создали для него объект route". И теперь скрипт генерации фильтров... ну вы поняли :) Вот вам и tier1.

Изменено 30 августа, 2008 пользователем visir

[Клава Маус]

В интернете есть инструкции, как бороться с злономеренным корыстным использованием ВGP.

Из них можно вычитать многое.