---

Som organisation kan man beskytte sig mod ICMP redirect beskeder ved sin
firewall, hvilket er fint nok. Men hvad er det egentlig der gør at man ikke
bare kan ødelægge Internettets routing ved at sende disse pakker til
Internettets "backbone" routere? Er det fordi ICMP redirect beskeder ingen
effekt har overfor BGP routere, men kun overfor RIP/OSPF routere? Eller??

På forhånd tak for enhver hjælp!

--Morton

---

Og lige et tillægsspørgsmål: hvordan kan man egentlig beskytte sig mod at
insiders misbruger ICMP? F.eks. via redirect eller destination host
unreachable beskeder?

TIA.

-- Morton

"Morton Christiansen" <morton@it.edu> wrote in message
news:hKVXa.46167$Kb2.1978695@news010.worldonline.dk...
> Som organisation kan man beskytte sig mod ICMP redirect beskeder ved sin
> firewall, hvilket er fint nok. Men hvad er det egentlig der gør at man
ikke
> bare kan ødelægge Internettets routing ved at sende disse pakker til
> Internettets "backbone" routere? Er det fordi ICMP redirect beskeder ingen
> effekt har overfor BGP routere, men kun overfor RIP/OSPF routere? Eller??
>
> På forhånd tak for enhver hjælp!
>
> --Morton
>
>

---

On Tue, 5 Aug 2003 23:56:36 +0200, Morton Christiansen wrote:
> Som organisation kan man beskytte sig mod ICMP redirect beskeder ved sin
> firewall, hvilket er fint nok. Men hvad er det egentlig der gør at man ikke
> bare kan ødelægge Internettets routing ved at sende disse pakker til
> Internettets "backbone" routere? Er det fordi ICMP redirect beskeder ingen
> effekt har overfor BGP routere, men kun overfor RIP/OSPF routere? Eller??

Enhver router boer ignorere ICMP redirects, kun hosts skal reagere
paa dem.

--
Jesper Skriver, CCIE #5456, FreeBSD committer
Alfa Romeo 156, 2.0TS
Yamaha FZS600 Fazer

---

> Enhver router boer ignorere ICMP redirects, kun hosts skal reagere
> paa dem.

Ok, tak. Men hvordan kan man så forhindre, at en intern host laver DoS mod
en anden intern host via f.eks. spoofed destination unreachable beskeder?

Mvh.,
Morton

---

Morton Christiansen wrote:
>
> > Enhver router boer ignorere ICMP redirects, kun hosts skal reagere
> > paa dem.
>
> Ok, tak. Men hvordan kan man så forhindre, at en intern host laver DoS mod
> en anden intern host via f.eks. spoofed destination unreachable beskeder?

Hvis man ikke stoler på hinaden bør man da overhovedet være på samme
segment? Ville et DoS angreb ikke være endnu nemmere at udføre med
MAC spoofing? (Jeg har prøvet at give to maskine samme IP ved en
fejltagelse, jeg endte med at reboote begge for at få forbindelse
igen. Jeg kan forestille mig, at MAC spoofing vil være endnu værre.)

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

---

> Hvis man ikke stoler på hinaden bør man da overhovedet være på samme
> segment?

I princippet enig. I praksis har firewalls dog en tendens til at lave noget
meget store segmenter, hvor at hvis f.eks. komprimeteres blot ét system, da
komprimeteres alle. Dette mener jeg ikke er sundt.

> Ville et DoS angreb ikke være endnu nemmere at udføre med
> MAC spoofing?

Jo, men det kan forhindres. Udover DoS kan ICMP redirect anvendes så
trafikken routes over den ondsindet persons IP, inden den videresendes. I.e.
sniffing, falske login prompts, m.v. muliggøres evt. For at præcisere mener
jeg det generelt er vigtigt man beskytter sig mod både ICMP og MAC spoofing.
Med mindre man da er på meget små segmenter med en yderst god tiltro til de
andre noder.

--Morton

---

Morton Christiansen wrote:
>
> > Hvis man ikke stoler på hinaden bør man da overhovedet være på samme
> > segment?
>
> I princippet enig. I praksis har firewalls dog en tendens til at lave noget
> meget store segmenter, hvor at hvis f.eks. komprimeteres blot ét system, da
> komprimeteres alle. Dette mener jeg ikke er sundt.

Netværket bag din firewall behøves ikke være et enkelt segment. Du kan
sagtens inddele netværket i en række segmenter, men det kræver vist,
at du har en router eller en meget avanceret switch mellem segmenterne.

>
> > Ville et DoS angreb ikke være endnu nemmere at udføre med
> > MAC spoofing?
>
> Jo, men det kan forhindres.

Hvordan vil du forhindre MAC spoofing indenfor et segment?

> Udover DoS kan ICMP redirect anvendes så
> trafikken routes over den ondsindet persons IP, inden den videresendes. I.e.
> sniffing, falske login prompts, m.v. muliggøres evt. For at præcisere mener
> jeg det generelt er vigtigt man beskytter sig mod både ICMP og MAC spoofing.

Jo mere du tager højde for, des bedre. I det helt ekstreme tilfælde
kan man vælge at køre VPN over sit lokalnet, omend det nok er overkill.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

---

> Netværket bag din firewall behøves ikke være et enkelt segment. Du kan
> sagtens inddele netværket i en række segmenter, men det kræver vist,
> at du har en router eller en meget avanceret switch mellem segmenterne.

Nej, men antallet af segmenter er ofte i praksis begrænset. Et Universitet
har f.eks. ofte blot et STUD net til de studerende og et VIP net til PH.D.,
lektorer, administrationssystemer, m.v. Enhver studerende kan altså har se
andres trafik ved f.eks. at lave ICMP redirect til eget system. Tilsvarende,
får en ondsindet person adgang til VIP nettet vil han kunne gøre det samme
her og potentielt få adgang til patenthemmeligheder, eksamenssystener, og
hvad der ellers måtte ligge her. VLAN, som jeg tror du mener, er dog en
mulighed.

> Hvordan vil du forhindre MAC spoofing indenfor et segment?

Statiske bindninger er f.eks. en mulighed.

Mvh.,
Morton

---

Morton Christiansen wrote:
>
> > Netværket bag din firewall behøves ikke være et enkelt segment. Du kan
> > sagtens inddele netværket i en række segmenter, men det kræver vist,
> > at du har en router eller en meget avanceret switch mellem segmenterne.
>
> Nej, men antallet af segmenter er ofte i praksis begrænset. Et Universitet
> har f.eks. ofte blot et STUD net til de studerende og et VIP net til PH.D.,
> lektorer, administrationssystemer, m.v. Enhver studerende kan altså har se
> andres trafik ved f.eks. at lave ICMP redirect til eget system. Tilsvarende,
> får en ondsindet person adgang til VIP nettet vil han kunne gøre det samme
> her og potentielt få adgang til patenthemmeligheder, eksamenssystener, og
> hvad der ellers måtte ligge her. VLAN, som jeg tror du mener, er dog en
> mulighed.

Jeg kender ikke alle konkrete detaljer omkring vores netværk.
Men jeg ved dog, at der bruges nogle VLAN.

>
> > Hvordan vil du forhindre MAC spoofing indenfor et segment?
>
> Statiske bindninger er f.eks. en mulighed.

Der findes vel mange switches uden den mulighed. Og er det
ikke besværligt at administrere?

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

---

"Morton Christiansen" <morton@it.edu> writes:

>Tilsvarende,
>får en ondsindet person adgang til VIP nettet vil han kunne gøre det samme
>her og potentielt få adgang til patenthemmeligheder, eksamenssystener, og
>hvad der ellers måtte ligge her. VLAN, som jeg tror du mener, er dog en
>mulighed.

Det er jo noget, sikkerhedspolitikken tager stilling til og kræver,
at implemeneringen tager højde for. Så i praksis er det ikke noget
problem.

Mvh.
   Klaus.

---

On Thu, 07 Aug 2003 20:08:34 +0200, Kasper Dupont
<kasperd@daimi.au.dk> wrote:

> Hvordan vil du forhindre MAC spoofing indenfor et segment?

Fornuftige switche kan lave port security. (Fx. som: "Når du har
set en MAC-adresse på denne port, må du ikke tillade andre",
eller "Tillad max 3 MAC-adresser på denne port"). Kombineret med
802.1x, kan man lave setup, der er Ret Sikre(TM).

-A
--
http://www.hojmark.org/

---

> Netværket bag din firewall behøves ikke være et enkelt segment. Du kan
> sagtens inddele netværket i en række segmenter, men det kræver vist,
> at du har en router eller en meget avanceret switch mellem segmenterne.

Nej, men antallet af segmenter er ofte i praksis begrænset. IT-Universitetet
har f.eks. blot et STUD net til de studerende og et VIP net til PH.D.,
lektorer, administrationssystemer, m.v. Enhver studerende kan altså har se
andres trafik ved f.eks. at lave ICMP redirect til eget system. Tilsvarende,
får en ondsindet person adgang til VIP nettet vil han kunne gøre det samme
her og potentielt få adgang til patenthemmeligheder, eksamenssystener, og
hvad der ellers måtte ligge her. VLAN, som jeg tror du mener, er dog en
mulighed.

> Hvordan vil du forhindre MAC spoofing indenfor et segment?

Statiske bindninger er f.eks. en mulighed.

Mvh.,
Morton

---

"Morton Christiansen" <morton@it.edu> wrote in message
news:MOfYa.46665$Kb2.2004509@news010.worldonline.dk...
> > Enhver router boer ignorere ICMP redirects, kun hosts skal reagere
> > paa dem.
>
> Ok, tak. Men hvordan kan man så forhindre, at en intern host laver DoS mod
> en anden intern host via f.eks. spoofed destination unreachable beskeder?
>

Hvis man vil beskytte hosts på samme segment mod andre hosts på samme
segment, er eneste løsning nok en PFW installation.
Dvs en Personlig Firewall ala Zonelabs' Zonealarm o.lign. samt en korrekt
opsaætning af denne.

Mvh
Martin Bilgrav

---

> Hvis man vil beskytte hosts på samme segment mod andre hosts på samme
> segment, er eneste løsning nok en PFW installation.
> Dvs en Personlig Firewall ala Zonelabs' Zonealarm o.lign. samt en korrekt
> opsaætning af denne.

Spørgsmålet er da hvorvidt ICMP bare kan slåes helt fra. Hvis man sætter et
filter a la en personlig firewall op til kun at acceptere ICMP fra en
gateway, vil vores hacker jo ellers bare kunne spoofe pakken så den ser ud
som om den kommer fra gatewayen.

Findes der ikke en passende form for kryptografisk authentifikation, der kan
anvendes?

Mvh.,
Morton

---

Morton Christiansen wrote:
>
> Spørgsmålet er da hvorvidt ICMP bare kan slåes helt fra. Hvis man sætter et
> filter a la en personlig firewall op til kun at acceptere ICMP fra en
> gateway, vil vores hacker jo ellers bare kunne spoofe pakken så den ser ud
> som om den kommer fra gatewayen.
>
> Findes der ikke en passende form for kryptografisk authentifikation, der kan
> anvendes?

Kryptografisk autentifikation af ICMP pakker har jeg alligevel aldrig hørt
om. Du kan selvfølgelig i teorien køre alting over VPN. Men bortset fra det
er den eneste sikring mod spoofing at sætte så mange filtre som muligt ind på
relevante stedder.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

---

In dk.edb.sikkerhed, you wrote:
> om. Du kan selvfølgelig i teorien køre alting over VPN. Men bortset fra det

I teorien?

http://www.snapgear.com/pci630.html

Blot til info, det er en firewall med 3 netværkskort der
er pakket ned på et pci kort.

1. netkort, terminere Ethernet fladen, og udgører firewallens WAN.
2. netkort, udgører firewallens LAN og er forbundet til det 3. netkort.
3. netkort, udgører hostens netkort, dvs det kort der ses via pci-bussen.

Firewallen kører uClinux 2.4 med freeswan, virker
til alle platformer der understøtter PCI og har en realtek 8139A
driver.

---

"Christian E. Lysel" wrote:
>
> In dk.edb.sikkerhed, you wrote:
> > om. Du kan selvfølgelig i teorien køre alting over VPN. Men bortset fra det
>
> I teorien?
>
> http://www.snapgear.com/pci630.html
>
> Blot til info, det er en firewall med 3 netværkskort der
> er pakket ned på et pci kort.
>
> 1. netkort, terminere Ethernet fladen, og udgører firewallens WAN.
> 2. netkort, udgører firewallens LAN og er forbundet til det 3. netkort.
> 3. netkort, udgører hostens netkort, dvs det kort der ses via pci-bussen.
>
> Firewallen kører uClinux 2.4 med freeswan, virker
> til alle platformer der understøtter PCI og har en realtek 8139A
> driver.

Interessant.

Da jeg sagde i teorien var det udfra en forventning om, at det
ville være for inefektivt med VPN i software til de hastigheder
man forventer af et LAN. En hardware løsning kan potentielt
løse det problem.

Lige netop 8139 er blevet kritiseret for at kræve alt for meget
arbejde i driveren. Du kan godt sætte 500MHz af til driveren,
hvis du vil op i nærheden af 100mbit/s. Men det er selvfølgelig
stadig mindre end prisen på VPN i software.

Kender du nogle priser på kortet, og ved du noget om, hvordan
det konfigureres? Der står noget, der lyder som konfiguration
med en browser over netværket. Jeg går ud fra, at det foregår
over VPN, men stadig bør der vel være en mulighed for at
konfigurere firewallen lokalt, ligesom konfiguration over nettet
bør kunne slås fra. På den anden side bør lokal konfiguration
også kunne slås fra, da der vil være en fordel i at en maskines
firewall stadig virker selvom maskinen sevl er kompromiteret.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

---

Kasper Dupont <kasperd@daimi.au.dk> writes:

>Da jeg sagde i teorien var det udfra en forventning om, at det
>ville være for inefektivt med VPN i software til de hastigheder
>man forventer af et LAN. En hardware løsning kan potentielt
>løse det problem.

Er det ikke en lidt forkert indgangsvinkel? Et lokalnet bør som
udgangspunkt være et sikkert netværk, hvor sikkerheden i ganske
høj grad kan bestå af administrative tiltag og sikring på det
mere fysiske niveau (sørge for at ingen kommer ind i bygningen
og dermed heller ikke ind på lokalnettet).

Sidstnævnte giver også mere mening ud fra en helhedsbetragtning:
en fremmed vil næppe luske ind og gemme sig bag radiatoren, mens
han de næste tre uger (stadig bag radiatoren) prøver at sende
onde ICMP-beskeder. Han vil snarere gå i det fysiske penge- eller
arkivskab.

Det er selvfølgelig noget lidt andet på mere offentlige lokalnet,
men her er det igen sikkerhedspolitikken, der er væsentligtere
end en tilfældig lappeløsning. Snakker vi universiteter, har man
særdeles afskrækkende midler til rådighed over for de studerende,
og vigtig forskning bør sikkerhedspolitikken naturligvis spærre
inde - langt væk fra andet end betroede personer.

>Lige netop 8139 er blevet kritiseret for at kræve alt for meget
>arbejde i driveren. Du kan godt sætte 500MHz af til driveren,
>hvis du vil op i nærheden af 100mbit/s. Men det er selvfølgelig
>stadig mindre end prisen på VPN i software.

I en kontor-pc betyder det højst, at Word starter på 21 sekunder
i stedet for 20.

Mvh.
   Klaus.

---

In article <3F32AA43.23F8EBF8@daimi.au.dk>, Kasper Dupont wrote:
> Da jeg sagde i teorien var det udfra en forventning om, at det
> ville være for inefektivt med VPN i software til de hastigheder
> man forventer af et LAN. En hardware løsning kan potentielt
> løse det problem.

VPN i software er typisk hurtigere end hardware, hvis det ikke
bliver fortaget i netkortet, da PCI bussen belastes med den samme
pakke 4 gange.

De flest netværkskort med IPSEC kryptering lider dog af, kun
at have drivere til windows 2000 og nyere.

> Lige netop 8139 er blevet kritiseret for at kræve alt for meget
> arbejde i driveren. Du kan godt sætte 500MHz af til driveren,

Min generelle erfaringer er ikke gode med 8139, men til kontor
brug er den "god nok".

> hvis du vil op i nærheden af 100mbit/s. Men det er selvfølgelig
> stadig mindre end prisen på VPN i software.

Det nævnte kort yder ikke 100Mbit/s for VPN forbindelser, men jeg
gætter på 10Mbit/s

> Kender du nogle priser på kortet, og ved du noget om, hvordan

I Danmark ligger vejledende på http://www.snapgear.dk/snapgear.asp

I Hongkong ligger prisen for 100-200 stk. under halvdelen.

> det konfigureres? Der står noget, der lyder som konfiguration

http://www.snapgear.com/emulator/sp010601page.html

Dog fortrækker jeg http://www.snapgear.com/emulator/sp010601page24.html
Vi kan således automatisk programmere en sådan boks, ved at
tænde den og efter 10 sekunder, har vores DHCP server automatisk
konfigureret boksen ud fra en simple skabelon og en parameter fil.


> med en browser over netværket. Jeg går ud fra, at det foregår
> over VPN, men stadig bør der vel være en mulighed for at
> konfigurere firewallen lokalt, ligesom konfiguration over nettet
> bør kunne slås fra. På den anden side bør lokal konfiguration

Ja.

Den supportere også telnet, og snart ssh og konfiguration via snmp.

> også kunne slås fra, da der vil være en fordel i at en maskines
> firewall stadig virker selvom maskinen sevl er kompromiteret.

Ja.

---

"Christian E. Lysel" wrote:
>
> In article <3F32AA43.23F8EBF8@daimi.au.dk>, Kasper Dupont wrote:
> > Da jeg sagde i teorien var det udfra en forventning om, at det
> > ville være for inefektivt med VPN i software til de hastigheder
> > man forventer af et LAN. En hardware løsning kan potentielt
> > løse det problem.
>
> VPN i software er typisk hurtigere end hardware, hvis det ikke
> bliver fortaget i netkortet, da PCI bussen belastes med den samme
> pakke 4 gange.

33MHz*32 bits, det burde være hurtigt nok til et 100mbit/s netkort.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

---

"Morton Christiansen" <morton@it.edu> wrote:

>Spørgsmålet er da hvorvidt ICMP bare kan slåes helt fra. Hvis man sætter et
>filter a la en personlig firewall op til kun at acceptere ICMP fra en
>gateway, vil vores hacker jo ellers bare kunne spoofe pakken så den ser ud
>som om den kommer fra gatewayen.

Du faar det til at lyde som alt eller intet. Hvorfor ikke bare
noejes med at acceptere noedvendige/ufarlige ICMP-pakketyper?
Jeg ville da f.eks. vaere ked af ikke at kunne modtage en
Destination Unreachable, mens jeg ikke lige kan se nogen
anvendelse for Redirect.

Jeg kan forresten se, at vi skriver i to grupper. Jeg vil ikke
give mig til at "bryde" traaden nu, men naar du starter en ny
traad, som er crossposted til flere grupper, boer du saette en
Followup-To til en af grupperne, saa diskussionen samles der.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

On Thu, 07 Aug 2003 22:48:39 +0200, Allan Olesen
<aolesen@post3.tele.dk> wrote:

> Jeg ville da f.eks. vaere ked af ikke at kunne modtage en
> Destination Unreachable, mens jeg ikke lige kan se nogen
> anvendelse for Redirect.

I et setup, hvor man har flere routere på et segment, kan en
Redirect give en hel del bedre performance. (Så kan man selv-
følgelig diskutere, om det er en fornuftig måde at designe user-
eller server-segmenter, men altså).

-A
--
http://www.hojmark.org/

---

Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote:

>> mens jeg ikke lige kan se nogen
>> anvendelse for Redirect.
>
>I et setup, hvor man har flere routere på et segment

Ok. Jeg skulle nok have indsat "paa mit net" et eller andet
passende sted i saetningen.

Men pointen er jo egentlig uaendret: Man aabner kun for det, man
har brug for, og det gaelder ogsaa ICMP-pakketyper.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Kasper Dupont <kasperd@daimi.au.dk> writes:

> Kryptografisk autentifikation af ICMP pakker har jeg alligevel aldrig hørt
> om.

Der står lidt i RFC2401 om ICMP over IPSec. Der er også et par
gældende Internet Drafts vedrørende DHCP over IKE (som også er noget
IPSec-relateret noget)

RFC2401 (Security Architecture for IP) afsnit 6 (ICMP Processing
(relevant to IPsec)) nævner lidt om det.

--
Peter Makholm | I have no caps-lock but I must scream...
peter@makholm.net | -- Greg
http://hacking.dk |