Re: [FRnOG] [TECH] icmp_redirect

2015-11-19 Par sujet Wr0ng Name 
Salut la liste,

ICMP redirect est‎ en effet un vecteur d'attaque, j'ai bossé   sur la question 
récemment (http://wr0ng.name/other/Thesis.pdf - en anglais).

Pour ce qui est de son utilité, très intéressant, la redondance est un gros 
point d'application, meme si la RFC (https://tools.ietf.org/html/rfc792) 
exprime une question de vitesse.

De ce que j'en pense, il est activé par défaut pour des raisons de retro 
compatibilité, et le désactiver est une très bonne chose. Toujours en lien avec 
mon document, je n'ai pas trouvé de solution efficace pour le rendre sécurisé 
sans se retrouver avec des hacks fait-maison.

Si ca peut aider a y voir plus clair,

Florent

  Original Message  
From: David Ponzone
Sent: Thursday, November 19, 2015 06:48
To: Pierre Colombier
Cc: frnog@frnog.org
Subject: Re: [FRnOG] [TECH] icmp_redirect

A mon avis, c'est juste un déchet historique dont Cisco entre autres n'a pas 
jugé bon de changer la valeur par défaut (contrairement à ce qui été fait pour 
ip source-route et ip classless).
Wikipedia mentionne même que c'est un vecteur d'attaque mais j'ai pas 
approfondi.

https://fr.m.wikipedia.org/wiki/Internet_Control_Message_Protocol

David Ponzone



> Le 19 nov. 2015 à 02:43, Pierre Colombier <pcdw...@pcdwarf.net> a écrit :
> 
> Bonjour David,
> 
> Ce sont bien des machines linux (le routeur aussi)
> 
> Je connaissais bien la méthode pour désactiver les icmp_redirect, et 
> usuellement ça fait même partie de mon script d'install.
> (parce que ça m'était déjà arrivé il y a plusieurs années)
> Simplement ça n'avait pas été fait sur ces serveurs là.
> 
> Je confirme que changer d'IP m'aurait évité des déboires mais le routeur 
> cumulait d'autres fonctions que je n'avais pas envie de reproduire sur la 
> passerelle temporaire.
> 
> 
> Ma question est plus de l'ordre du théorique :
> 1) Pourquoi ça existe ?
> 2) En pratique, dans quelle situation est-réellement utile ?
> La seule situation à laquelle je peux penser est d'éviter un aller-retour 
> inutile sur un même segment.
> Mais ça signifie qu'il y a soit une erreur dans les règles de routage et que 
> c'est un cache-misère soit que c'est fait exprès et qu'alors il faudrait 
> justement éviter d'apporter des corrections automatiques à une situation qui 
> est voulue par l'admin.
> 3°) Pourquoi est-ce activé par défaut ? Cette fonctionnalité n'est-elle pas 
> intrinsèquement une faille de sécurité ?
> 4°) Dans la mesure où il s'agit d'un contournement des règles de routage 
> "normales", pourquoi la durée du cache est-elle si longue ? (plus de quelques 
> secondes)
> 
> 
> 
> 
>> On 18/11/2015 22:23, David Ponzone wrote:
>> Pour ne pas prendre en compte les redirect sur Linux:
>> http://linuxpoison.blogspot.fr/2010/01/how-to-disable-icmp-redirects-in-linux.html
>>  
>> <http://linuxpoison.blogspot.fr/2010/01/how-to-disable-icmp-redirects-in-linux.html>
>> 
>> Pour comprendre l’algo d’expiration du cache des routes de Linux (bon 
>> courage):
>> http://vincent.bernat.im/fr/blog/2011-ipv4-route-cache-linux.html 
>> <http://vincent.bernat.im/fr/blog/2011-ipv4-route-cache-linux.html>
>> :)
>> 
>> Ca aurait été plus simple pour toi de déplacer l’IP d’un routeur vers 
>> l’autre.
>> Le cache ARP est lui rafraichi de manière prévisible par Linux.
>> Ptet même par Windows.
>> 
>>> Le 18 nov. 2015 à 20:19, Pierre Colombier <pcdw...@pcdwarf.net> a écrit :
>>> 
>>> Bonjour la liste,
>>> 
>>> suite à un lien mort, j'ai demandé à mon routeur de tout rediriger vers une 
>>> passerelle temporaire située dans le même segment.
>>> ça m'évitait de changer la route par défaut sur tout mes serveurs.
>>> 
>>> Retour à la normal, pas de bol, tous mes serveurs continuent de passer par 
>>> la passerelle temporaire.
>>> Je viens de passer une heure en debug et à virer les route icmp_redirect
>>> 
>>> Alors je ne suis peut-être pas totalement objectif rapport au temps que je 
>>> viens de perdre mais en fait, icmp_redirect, ça sert à quoi ? (à part 
>>> foutre la merde) ?
>>> j'ai l'impression qu'au mieux c'est un pansement sur une jambe de bois. Et 
>>> qu'au pire c'est... enfin pire quoi
>>> 
>>> Quelqu'un a des info/doc sur pourquoi ce truc existe et surtout pourquoi il 
>>> n'est pas désactivé par défaut ?
>>> 
>>> 
>>> 
>>> 
>>> 
>>> 
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] icmp_redirect

2015-11-18 Par sujet Michel Py 
> Pierre Colombier a écrit :
> Quelqu'un a des info/doc sur pourquoi ce truc existe et surtout pourquoi il 
> n'est pas désactivé par défaut ?

L'idée d'origine est très proche de ce que tu viens de faire, c'est quand il y 
a 2 routeurs qui n'ont pas les mêmes routes sur le même sous-réseau.

+-+ +-+
|   10.0.0.2  | |  172.16.0.2 |
+-+---+ +--+--+
  ||
  ||
+-+---+ +--+--+
|   10.0.0.1  | |  172.16.0.1 |
|   Router A  | |   Router B  |
| 192.168.1.1 | | 192.168.1.2 |
+-+---+ +--+--+
  ||   |
  +---++---+---++
  |||
   +--+---+ +--+---+
   | 192.168.1.10 | | 192.168.1.11 |
   |   Serveur 1  ! !   Serveur 2  |
   +--+ +--+

Serveur 1 est configuré avec une passerelle par défaut de 192.168.1.1 (Routeur 
A).

- Serveur 1 envoie un paquet à destination de 10.0.0.2. Serveur 1 envoie le 
paquet à 192.168.1.1 (Router A), puisque c'est la passerelle par défaut.
- Routeur A reçoit le paquet.
- Routeur A envoie le paquet à 10.0.0.2.

Là ou çà devient intéressant:
- Serveur 1 envoie un paquet à à destination de 172.16.0.2. Serveur 1 envoie le 
paquet à 192.168.1.1 (Router A), puisque c'est la passerelle par défaut.
- Routeur A reçoit le paquet.
- Routeur A envoie le paquet à Routeur B.
- Routeur A envoie un ICMP Redirect à Serveur 1 lui disant que pour 172.16.0.2 
il faut envoyer les paquets à Routeur B.
- Serveur 1 reçoit l'ICMP Redirect; la prochaine fois que Serveur 1 envoie un 
paquet à destination de 172.16.0.2, il l'enverra à Routeur B directement, ce 
qui évite le trafic entre Router A et Router B.

C'est pour çà que ICMP Redirect existe. Multiple gateways on the same subnet.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] icmp_redirect

2015-11-18 Par sujet Radu-Adrian FEURDEAN 
As-tu pense de faire le meme chose (generer des icmp redirect) depuis la 
passerelle temporaire histoire de forcer le retour a la normale ?

On November 18, 2015 9:19:07 PM GMT+02:00, Pierre Colombier 
 wrote:
>Bonjour la liste,
>
>suite à un lien mort, j'ai demandé à mon routeur de tout rediriger vers
>
>une passerelle temporaire située dans le même segment.
>ça m'évitait de changer la route par défaut sur tout mes serveurs.
>
>Retour à la normal, pas de bol,  tous mes serveurs continuent de passer
>
>par la passerelle temporaire.
>Je viens de passer une heure en debug et à virer les route 
>icmp_redirect
>
>Alors je ne suis peut-être pas totalement objectif rapport au temps que
>
>je viens de perdre mais en fait, icmp_redirect, ça sert à quoi ? (à
>part 
>foutre la merde) ?
>j'ai l'impression qu'au mieux c'est un pansement sur une jambe de bois.
>
>Et qu'au pire c'est... enfin pire quoi
>
>Quelqu'un a des info/doc sur pourquoi ce truc existe et surtout
>pourquoi 
>il n'est pas désactivé par défaut ?
>
>
>
>
>
>
>
>
>---
>Liste de diffusion du FRnOG
>http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] icmp_redirect

2015-11-18 Par sujet Pierre Colombier 

Bonjour David,

Ce sont bien des machines linux (le routeur aussi)

Je connaissais bien la méthode pour désactiver les icmp_redirect, et 
usuellement ça fait même partie de mon script d'install.

(parce que ça m'était déjà arrivé il y a plusieurs années)
Simplement ça n'avait pas été fait sur ces serveurs là.

Je confirme que changer d'IP m'aurait évité des déboires mais le routeur 
cumulait d'autres fonctions que je n'avais pas envie de reproduire sur 
la passerelle temporaire.



Ma question est plus de l'ordre du théorique :
1) Pourquoi ça existe ?
2) En pratique, dans quelle situation est-réellement utile ?
La seule situation à laquelle je peux penser est d'éviter un 
aller-retour inutile sur un même segment.
Mais ça signifie qu'il y a soit une erreur dans les règles de routage et 
que c'est un cache-misère soit que c'est fait exprès et qu'alors il 
faudrait justement éviter d'apporter des corrections automatiques à une 
situation qui est voulue par l'admin.
3°) Pourquoi est-ce activé par défaut ? Cette fonctionnalité n'est-elle 
pas intrinsèquement une faille de sécurité ?
4°) Dans la mesure où il s'agit d'un contournement des règles de routage 
"normales", pourquoi la durée du cache est-elle si longue ? (plus de 
quelques secondes)





On 18/11/2015 22:23, David Ponzone wrote:

Pour ne pas prendre en compte les redirect sur Linux:
http://linuxpoison.blogspot.fr/2010/01/how-to-disable-icmp-redirects-in-linux.html 


Pour comprendre l’algo d’expiration du cache des routes de Linux (bon courage):
http://vincent.bernat.im/fr/blog/2011-ipv4-route-cache-linux.html 

:)

Ca aurait été plus simple pour toi de déplacer l’IP d’un routeur vers l’autre.
Le cache ARP est lui rafraichi de manière prévisible par Linux.
Ptet même par Windows.


Le 18 nov. 2015 à 20:19, Pierre Colombier  a écrit :

Bonjour la liste,

suite à un lien mort, j'ai demandé à mon routeur de tout rediriger vers une 
passerelle temporaire située dans le même segment.
ça m'évitait de changer la route par défaut sur tout mes serveurs.

Retour à la normal, pas de bol,  tous mes serveurs continuent de passer par la 
passerelle temporaire.
Je viens de passer une heure en debug et à virer les route icmp_redirect

Alors je ne suis peut-être pas totalement objectif rapport au temps que je 
viens de perdre mais en fait, icmp_redirect, ça sert à quoi ? (à part foutre la 
merde) ?
j'ai l'impression qu'au mieux c'est un pansement sur une jambe de bois. Et 
qu'au pire c'est... enfin pire quoi

Quelqu'un a des info/doc sur pourquoi ce truc existe et surtout pourquoi il 
n'est pas désactivé par défaut ?








---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] icmp_redirect

2015-11-18 Par sujet David Ponzone 
A mon avis, c'est juste un déchet historique dont Cisco entre autres n'a pas 
jugé bon de changer la valeur par défaut (contrairement à ce qui été fait pour 
ip source-route et ip classless).
Wikipedia mentionne même que c'est un vecteur d'attaque mais j'ai pas 
approfondi.

https://fr.m.wikipedia.org/wiki/Internet_Control_Message_Protocol

David Ponzone



> Le 19 nov. 2015 à 02:43, Pierre Colombier  a écrit :
> 
> Bonjour David,
> 
> Ce sont bien des machines linux (le routeur aussi)
> 
> Je connaissais bien la méthode pour désactiver les icmp_redirect, et 
> usuellement ça fait même partie de mon script d'install.
> (parce que ça m'était déjà arrivé il y a plusieurs années)
> Simplement ça n'avait pas été fait sur ces serveurs là.
> 
> Je confirme que changer d'IP m'aurait évité des déboires mais le routeur 
> cumulait d'autres fonctions que je n'avais pas envie de reproduire sur la 
> passerelle temporaire.
> 
> 
> Ma question est plus de l'ordre du théorique :
> 1) Pourquoi ça existe ?
> 2) En pratique, dans quelle situation est-réellement utile ?
> La seule situation à laquelle je peux penser est d'éviter un aller-retour 
> inutile sur un même segment.
> Mais ça signifie qu'il y a soit une erreur dans les règles de routage et que 
> c'est un cache-misère soit que c'est fait exprès et qu'alors il faudrait 
> justement éviter d'apporter des corrections automatiques à une situation qui 
> est voulue par l'admin.
> 3°) Pourquoi est-ce activé par défaut ? Cette fonctionnalité n'est-elle pas 
> intrinsèquement une faille de sécurité ?
> 4°) Dans la mesure où il s'agit d'un contournement des règles de routage 
> "normales", pourquoi la durée du cache est-elle si longue ? (plus de quelques 
> secondes)
> 
> 
> 
> 
>> On 18/11/2015 22:23, David Ponzone wrote:
>> Pour ne pas prendre en compte les redirect sur Linux:
>> http://linuxpoison.blogspot.fr/2010/01/how-to-disable-icmp-redirects-in-linux.html
>>  
>> 
>> 
>> Pour comprendre l’algo d’expiration du cache des routes de Linux (bon 
>> courage):
>> http://vincent.bernat.im/fr/blog/2011-ipv4-route-cache-linux.html 
>> 
>> :)
>> 
>> Ca aurait été plus simple pour toi de déplacer l’IP d’un routeur vers 
>> l’autre.
>> Le cache ARP est lui rafraichi de manière prévisible par Linux.
>> Ptet même par Windows.
>> 
>>> Le 18 nov. 2015 à 20:19, Pierre Colombier  a écrit :
>>> 
>>> Bonjour la liste,
>>> 
>>> suite à un lien mort, j'ai demandé à mon routeur de tout rediriger vers une 
>>> passerelle temporaire située dans le même segment.
>>> ça m'évitait de changer la route par défaut sur tout mes serveurs.
>>> 
>>> Retour à la normal, pas de bol,  tous mes serveurs continuent de passer par 
>>> la passerelle temporaire.
>>> Je viens de passer une heure en debug et à virer les route icmp_redirect
>>> 
>>> Alors je ne suis peut-être pas totalement objectif rapport au temps que je 
>>> viens de perdre mais en fait, icmp_redirect, ça sert à quoi ? (à part 
>>> foutre la merde) ?
>>> j'ai l'impression qu'au mieux c'est un pansement sur une jambe de bois. Et 
>>> qu'au pire c'est... enfin pire quoi
>>> 
>>> Quelqu'un a des info/doc sur pourquoi ce truc existe et surtout pourquoi il 
>>> n'est pas désactivé par défaut ?
>>> 
>>> 
>>> 
>>> 
>>> 
>>> 
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] icmp_redirect

2015-11-18 Par sujet David Ponzone 
Juste au cas où, c’est quoi les OS de tes serveurs ?



> Le 18 nov. 2015 à 20:19, Pierre Colombier  a écrit :
> 
> Bonjour la liste,
> 
> suite à un lien mort, j'ai demandé à mon routeur de tout rediriger vers une 
> passerelle temporaire située dans le même segment.
> ça m'évitait de changer la route par défaut sur tout mes serveurs.
> 
> Retour à la normal, pas de bol,  tous mes serveurs continuent de passer par 
> la passerelle temporaire.
> Je viens de passer une heure en debug et à virer les route icmp_redirect
> 
> Alors je ne suis peut-être pas totalement objectif rapport au temps que je 
> viens de perdre mais en fait, icmp_redirect, ça sert à quoi ? (à part foutre 
> la merde) ?
> j'ai l'impression qu'au mieux c'est un pansement sur une jambe de bois. Et 
> qu'au pire c'est... enfin pire quoi
> 
> Quelqu'un a des info/doc sur pourquoi ce truc existe et surtout pourquoi il 
> n'est pas désactivé par défaut ?
> 
> 
> 
> 
> 
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] icmp_redirect

2015-11-18 Par sujet David Ponzone 
Pour ne pas prendre en compte les redirect sur Linux:
http://linuxpoison.blogspot.fr/2010/01/how-to-disable-icmp-redirects-in-linux.html
 


Pour comprendre l’algo d’expiration du cache des routes de Linux (bon courage):
http://vincent.bernat.im/fr/blog/2011-ipv4-route-cache-linux.html 

:)

Ca aurait été plus simple pour toi de déplacer l’IP d’un routeur vers l’autre.
Le cache ARP est lui rafraichi de manière prévisible par Linux.
Ptet même par Windows.

> Le 18 nov. 2015 à 20:19, Pierre Colombier  a écrit :
> 
> Bonjour la liste,
> 
> suite à un lien mort, j'ai demandé à mon routeur de tout rediriger vers une 
> passerelle temporaire située dans le même segment.
> ça m'évitait de changer la route par défaut sur tout mes serveurs.
> 
> Retour à la normal, pas de bol,  tous mes serveurs continuent de passer par 
> la passerelle temporaire.
> Je viens de passer une heure en debug et à virer les route icmp_redirect
> 
> Alors je ne suis peut-être pas totalement objectif rapport au temps que je 
> viens de perdre mais en fait, icmp_redirect, ça sert à quoi ? (à part foutre 
> la merde) ?
> j'ai l'impression qu'au mieux c'est un pansement sur une jambe de bois. Et 
> qu'au pire c'est... enfin pire quoi
> 
> Quelqu'un a des info/doc sur pourquoi ce truc existe et surtout pourquoi il 
> n'est pas désactivé par défaut ?
> 
> 
> 
> 
> 
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/