2012/9/18 Claudio Telmon <[email protected]>: > Perché no? Se io e il provider utilizziamo gli stessi indirizzi, come > distinguo un ICMP di errore generato da un destinatario A, da uno > generato da un router del provider sullo stesso percorso, e che ha anche > lui indirizzo A? Lo so che "nella pratica" è difficile che questi > problemi causino veri disservizi, ma questo non toglie che la > potenzialità ci sia.
Hai centrato in pieno. Per conflitto "vero e proprio" intendevo che il traffico del cliente venga consegnato al destinatario sbagliato, ma il caso che esponi significa che veniamo lasciati NON in grado di distinguere (a meno di estensioni per ora soltanto vagheggiate…) l'effettiva sorgente di un ICMP a partire dal solo indirizzo IP. >> Molto interessante (gli ho dato solo una scorsa, devo dire). Mi sembra > però che il caso dell'MTU non si dovrebbe applicare all'MPLS, ma solo al > caso in cui gli indirizzi privati (o meglio, la non risposta con ICMP di > errore) avviene da core router che fanno routing "normale". Se non > sbaglio, è normale che quando viene creato l'LSP venga già calcolata > l'MTU di tutto l'LSP (vedi http://www.ietf.org/rfc/rfc3209.txt, sez. > 2.6) e quindi il problema non si dovrebbe porre... a memoria. Francamente non so se lo stesso schema si usi anche con LDP. Con RSVP mi sembra proprio che, come dici tu, il problema non sussista. > È interessante però il fatto che il draft che citi, alla sezione 11 > suggerisca proprio MPLS come meccanismo per non far comparire i nodi > intermedi ;) Anche se non mi sembra che sia una grande soluzione... Anche perché con quell'"optionally" ci lasciano al punto di partenza! > Questo mi ricorda che MPLS fa appunto switching, non routing, e quindi > decrementare il TTL su un nodo intermedio mi sembra sbagliato quanto lo > sarebbe decrementarlo su uno switch... ma queste sono questioni > filosofiche che lascio a chi conosce le reti meglio di me ;) Senza alcuna conoscenza particolare, mi sembra che nella questione TTL entrino in gioco due fattori: il desiderio di facilitare il troubleshooting e, in generale, la necessità di rilevare in qualche modo eventuali loop. Che MPLS preveda un proprio campo TTL per quello, è chiaro; tutto sommato, da utente finale, io "gradisco" che venga propagato a livello IP perché mi permette di avere qualche informazione in più sulla topologia della rete, e occasionalmente associare la comparsa di problemi o cali di prestazioni ai suoi cambiamenti. > Il punto fondamentale di risposta al post originale comunque rimane: > tutti questi problemi vogliono dire "fiducia nel carrier", che gestisca > la rete in modo sicuro e non solo che non guardi il traffico. Concordo al 100%. Idealmente, tra l'altro, io non dovrei proprio aver bisogno di fare troubleshooting al posto del mio carrier! :) > A proposito, pensando a questi problemi e a cosa può entrare da un CE di > un altro cliente... ho trovato questo papero che parla di label > injection. Non ho però approfondito. > http://www.blackhat.com/presentations/bh-europe-06/bh-eu-06-Rey-up.pdf Segnato, grazie mille! -- Emanuele
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
