Hay, On Thu, Oct 15, 2009 at 03:33:16PM +0200, Gert Doering wrote: > Hi, > > On Thu, Oct 15, 2009 at 12:00:54PM +0000, Benedikt Stockebrand wrote: > > Bei fehlerhaften Implementierungen, die die Source Address und/oder > > das Hop Limit nicht ?berpr?fen, l?sst sich mindestens mit Redirect > > (137) von au?en eventuell einiger Zauber veranstalten, ?hnlich > > vermutlich mit MLD (130, 131, 132, 143) und, wenn man > > Autoconfiguration verwendet, mit Router Solicitation (133). > > Gegen das Argument der fehlerhaften Implementierung hilft nur "das > Device vom Internet trennen, abschalten, und zu Staub zermahlen" - denn > das ist kein Problem von *ICMP*. > > Mir ist bisher ?brigens auch aus dem IPv4-Umfeld kein Fall bekannt, wo > mit off-link ICMP redirects o.?. erfolgreich Schaden angerichtet wurde > - aber es wird unglaublich Panik geschoben, und mit "Oh Gott, ICMP ist > so b?se!" ein immenser Schaden angerichtet.
leider muss ich beiden zustimmen... praktisch gibts es keine Gruende, warum man ICMP - welcher Art auch immer - sperren will, das Gegenteil ist der Fall. Thereotisch existiert leider sehr viel von Firewall Herstellern und Security Consultants in allen moeglichen Firmen-Arten verbreiteter FUD, der es sehr schwierig macht die entsprechenden Entscheider vom Gegenteil zu ueberzeugen - zumal die THEORETISCHE Moeglichkeit der beschriebenen Angriffsvektoren leider nicht wegzudiskutieren sind scheinbar. Insofern kann man niemandem einen Strick draus drehen, das sie ihre Arbeit tun und auf eventuelle Security Risks auch deutlich hinweisen. Ich bin schon froh, wenn ich Kunden nur dazu ueberreden kann, das sie ICMP nur MONITOREN und ein fetter roten Alarm generiert wird bei gewissen Pattern, und nicht generell sperren gleich (uebrigens nicht nur ICMP). Damit sind dann meist die Firewall/Security Consultants gluecklich und ich auch. (Ausnahmen bestaetigen die Regel - und funktioniert auch nur bei entsprechend grossen Firmen die auch ein 24/7 NOC selbst haben). Tia, haetten wir nur mal nicht die kommerzielle Welt in "unser Internet" gelassen :-) -- ===================================================================== = Sascha 'master' Lenz SL277-RIPE s...@s-lz.net = = = = You can rent this space for $$$ * PGP public Key on demand * = =====================================================================
-- ipv6 mailing list ipv6@listserv.uni-muenster.de http://listserv.uni-muenster.de/mailman/listinfo/ipv6
