On 09/18/2012 11:14 AM, Emanuele Pucciarelli wrote: > 2012/9/17 Claudio Telmon <[email protected]>: > >> Ma anche in questo caso, resta il fatto che il carrier esponeva degli >> indirizzi di rete privata nel traffico del mio cliente, cosa che >> sicuramente non è corretta: se non vuole fornire un circuito >> trasparente, allora deve utilizzare degli indirizzi pubblici, altrimenti >> rischia di andare in conflitto con l'indirizzamento dei clienti, o >> sbaglio? E per di più, espone i propri indirizzi interni, anche se >> naturalmente non vuole dire che siano direttamente accessibili. > > It's a feature :) Quando il TTL IP viene propagato nel TTL MPLS (come > è già stato detto, comportamento facoltativo ma piuttosto comune), e > questo scende a zero, viene generato un pacchetto ICMP che è > reincapsulato in MPLS e trasportato fino alla destinazione del > pacchetto originale: è lei a "rilanciarlo" dove deve. (Il meccanismo è > descritto in http://tools.ietf.org/html/rfc3032#section-2.3.2 .) > > Sebbene l'uso di IP privati nel core non generi un conflitto vero e > proprio con l'indirizzamento dei clienti,
Perché no? Se io e il provider utilizziamo gli stessi indirizzi, come distinguo un ICMP di errore generato da un destinatario A, da uno generato da un router del provider sullo stesso percorso, e che ha anche lui indirizzo A? Lo so che "nella pratica" è difficile che questi problemi causino veri disservizi, ma questo non toglie che la potenzialità ci sia. > può far andare storte > diverse cose (MTU discovery in primis), specialmente quando gli IP > privati vengono filtrati lungo il percorso. C'è una discussione, che > mi sembra piuttosto istruttiva, qui: > > http://tools.ietf.org/html/draft-ietf-grow-private-ip-sp-cores-07 > > che menziona anche un'estensione a ICMP > (http://tools.ietf.org/html/rfc5837) che potrebbe aiutare a risolvere > il problema, ma che non ha implementato praticamente nessuno… Molto interessante (gli ho dato solo una scorsa, devo dire). Mi sembra però che il caso dell'MTU non si dovrebbe applicare all'MPLS, ma solo al caso in cui gli indirizzi privati (o meglio, la non risposta con ICMP di errore) avviene da core router che fanno routing "normale". Se non sbaglio, è normale che quando viene creato l'LSP venga già calcolata l'MTU di tutto l'LSP (vedi http://www.ietf.org/rfc/rfc3209.txt, sez. 2.6) e quindi il problema non si dovrebbe porre... a memoria. È interessante però il fatto che il draft che citi, alla sezione 11 suggerisca proprio MPLS come meccanismo per non far comparire i nodi intermedi ;) Anche se non mi sembra che sia una grande soluzione... Questo mi ricorda che MPLS fa appunto switching, non routing, e quindi decrementare il TTL su un nodo intermedio mi sembra sbagliato quanto lo sarebbe decrementarlo su uno switch... ma queste sono questioni filosofiche che lascio a chi conosce le reti meglio di me ;) Il punto fondamentale di risposta al post originale comunque rimane: tutti questi problemi vogliono dire "fiducia nel carrier", che gestisca la rete in modo sicuro e non solo che non guardi il traffico. A proposito, pensando a questi problemi e a cosa può entrare da un CE di un altro cliente... ho trovato questo papero che parla di label injection. Non ho però approfondito. http://www.blackhat.com/presentations/bh-europe-06/bh-eu-06-Rey-up.pdf -- Claudio Telmon [email protected] http://www.telmon.org
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
