Moin Liste,
Gert Doering <[email protected]> writes:
> On Thu, Oct 15, 2009 at 01:24:04PM +0200, Jens Link wrote:
>> Auf der aderen Seite verstehe ich auch nicht die Leute, die ICMP
>> komplett durchlassen.
>
> Warum?
Aktuell gibt es dazu vielleicht keinen Grund, aber das muss nicht so
bleiben.
Grundsätzlich kritisch ist Router Renumbering (138), wenn es denn mal
implementiert würde.
Bei fehlerhaften Implementierungen, die die Source Address und/oder
das Hop Limit nicht überprüfen, lässt sich mindestens mit Redirect
(137) von außen eventuell einiger Zauber veranstalten, ähnlich
vermutlich mit MLD (130, 131, 132, 143) und, wenn man
Autoconfiguration verwendet, mit Router Solicitation (133).
Vor allem ist aber nicht sicher, ob nicht auf Dauer noch andere
ICMP-Typen dazukommen, die problematisch sind.
Grundsätzlich sollte bei PFs und anderen sicherheitsorientierten
Komponenten einfach nichts offen sein, was man nicht braucht.
> (Wir haben Rate-Limits, damit man die etwas schmalen CPUs unserer Router
> nicht totpingen kann, aber ansonsten "ICMP ist nützlich!")
Das ist im Provider-Umfeld denke ich richtig und sinnvoll. Es gibt
aber auch noch andere Umgbungen:
Wenn ich einmal aus einer relativ extremen Perspektive überlege, dass
sich zum Beispiel mit Echo Request/Reply durchaus ein Covert Channel
bauen lässt, dann muss ich sogar da abwägen, ob mir diese (in den nach
meiner Erfahrung meisten Fällen völlig irrelevante) Abschirmung
wichtiger ist als eine (in den nach meiner Erfahrung meisten Fällen
extrem wichtige) schnelle Fehlerdiagnose und Wiederherstellung des
Betriebs, wenn's mal ein Problem gibt.
Dass man von solchen Umgebungen selten hört, liegt vielleicht nicht
daran, dass es sie nicht gibt, sondern dass wenig darüber geredet
wird. Und was für den einen ein abstruser Sonderfall ist, ist für den
anderen Tagesgeschäft...
Viele Grüße,
Benedikt
--
Business Grade IPv6
Consulting, Training, Projects
Benedikt Stockebrand, Dipl.-Inform. http://www.benedikt-stockebrand.de/
--
ipv6 mailing list
[email protected]
http://listserv.uni-muenster.de/mailman/listinfo/ipv6
