Peter Ross <[EMAIL PROTECTED]> writes: > Macht man doch nicht;-) Mal im Ernst: Fuer mich als LAN-Admin mit relativ > "dichten" Netzen (wenige WAN-Verbindungen) ist es recht einfach, > Adressspoofing zu unterbinden, aber wie sieht das in der gaengigen > Backbone-Praxis aus?
Bei Cisco mu� die Gegenseite auf dem BGP-Speaker eine einzige ACL auf das Interface setzen (outgoing): deny ip any host PEER-ADDRESS (PEER-ADDRESS ist nat�rlich geeignet zu ersetzen). Das macht sich zu nutze, da� die ACL nur f�r Pakete greift, die geforwardet werden, und nicht f�r Pakete, die vom Router erzeugt werden. Wenn man sein eigenes AS spoofingm��ig im Griff hat, reicht das aus, um Spoofing-Angriffe zu verhindern. Leider ist das nicht so einfach, da ziemlich viele gro�e Router nicht mit ACLs klarkommen (oder die Leute das zumindest glauben). Der "Unicast Reverse Path Forwarding Check" w�rde hier auch ganz entscheidend helfen (wenn er von der Gegenseite aktiviert wird), allerdings nur im Strict Mode, und der funktioniert in der Praxis h�ufig nicht (sowohl aufgrund des Routings, als auch aufgrund der eingeschr�nkten Implementierung). -- Current mail filters: many dial-up/DSL/cable modem hosts, and the following domains: atlas.cz, bigpond.com, postino.it, tiscali.co.uk, tiscali.cz, tiscali.it, voila.fr. -- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
