Re: test syn flood avec et sans MD5 (was: [FRnOG] BGP et MD5)
Pourquoi m'envoyez-vous des messages - Original Message - From: Michel Py [EMAIL PROTECTED] To: [EMAIL PROTECTED] Sent: Friday, April 23, 2004 8:08 PM Subject: RE: test syn flood avec et sans MD5 (was: [FRnOG] BGP et MD5) Pascal Gloor écrit: Configuration du test: Cisco 7206VXR-400, 12.3.6a SERVICE-PROVIDER But: faire monter le CPU à 100%. Sans MD5 configuré sur le neighbor, 3000 packets/sec. Avec MD5 configuré sur le neighbor, 1400 packets/sec. Michel Py écrit: C'est avec ou sans CEF? en l'occurence avec, mais je vois pas l rapport.. !? ce ne sont pas des packets routés à travers le routeur.. CEF est nécéssaire pour utiliser ip verify unicast reverse-path, et nous parlons de paquets spoofés. Si tu as le temps, je pense que ça serait intéréssant de tester sur ton router: 1) Est-ce que ça change beaucoup si tu (dé)configures ip verify unicast reverse-path sur l'interface que tu attaques? 2) ip inspect name IP-INSPECT-OUT tcp alert on ip audit name IP-AUDIT info action alarm ip audit name IP-AUDIT attack action alarm drop inte gi3/0 ip audit IP-AUDIT in (j'ai bien peur que le remède soir pire que le mal dans les deux cas, mais on sait jamais...) Michel. Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php ---
Re: test syn flood avec et sans MD5 (was: [FRnOG] BGP et MD5)
At 12:47 25/04/2004, you wrote: Pourquoi m'envoyez-vous des messages Parce que vous etes inscrits a une liste de diffusion ? 'Spyou' - www.spyou.org - [EMAIL PROTECTED] #gtr / ircnet.kaptech.fr - UIN : 6871374 Si la terre était carrée Il y aurait des coins pour s'y cacher Mais comme la terre est ronde Nous devons faire face au monde Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php ---
Re: test syn flood avec et sans MD5 (was: [FRnOG] BGP et MD5)
qui ? - Original Message - From: Michel Msika [EMAIL PROTECTED] To: [EMAIL PROTECTED] Sent: Sunday, April 25, 2004 12:47 PM Subject: Re: test syn flood avec et sans MD5 (was: [FRnOG] BGP et MD5) Pourquoi m'envoyez-vous des messages - Original Message - From: Michel Py [EMAIL PROTECTED] To: [EMAIL PROTECTED] Sent: Friday, April 23, 2004 8:08 PM Subject: RE: test syn flood avec et sans MD5 (was: [FRnOG] BGP et MD5) Pascal Gloor écrit: Configuration du test: Cisco 7206VXR-400, 12.3.6a SERVICE-PROVIDER But: faire monter le CPU à 100%. Sans MD5 configuré sur le neighbor, 3000 packets/sec. Avec MD5 configuré sur le neighbor, 1400 packets/sec. Michel Py écrit: C'est avec ou sans CEF? en l'occurence avec, mais je vois pas l rapport.. !? ce ne sont pas des packets routés à travers le routeur.. CEF est nécéssaire pour utiliser ip verify unicast reverse-path, et nous parlons de paquets spoofés. Si tu as le temps, je pense que ça serait intéréssant de tester sur ton router: 1) Est-ce que ça change beaucoup si tu (dé)configures ip verify unicast reverse-path sur l'interface que tu attaques? 2) ip inspect name IP-INSPECT-OUT tcp alert on ip audit name IP-AUDIT info action alarm ip audit name IP-AUDIT attack action alarm drop inte gi3/0 ip audit IP-AUDIT in (j'ai bien peur que le remède soir pire que le mal dans les deux cas, mais on sait jamais...) Michel. Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php ---
RE: [FRnOG] BGP et MD5
At 05:26 23/04/2004, you wrote: Donc le mec qui t'attaque de cette façon sait ce qu'il fait. Ce qui veut dire qu'il va t'attaquer sur l'interface de ton router avec des zombies qui arrivent sur la même interface que ta session BGP, et ta protection anti-spoofage tombe à l'eau (vu que les paquets spoofés arrivent sur la même interface que les paquets non-spoofés). Hmmm ... On ne doit pas penser au meme niveau d'antispoof :)) réseau X |1(routeur A)2-3(routeur B)4-|réseau Y La session TCP établie entre A et B pour faire du BGP est faite entre les IP des interfaces 2 et 3. Mattons que nous sommes le réseau X equipé du routeur A et que nous voulons nous proteger Protection simplissime : - Interdire toute communication a destination de l'IP 2 hormis depuis 3 (ce qui n'empeche pas le spoof venant eventuellement du réseau Y Protection antispoof telle que tu semble la voir : - On dit a 1 de ne pas accepter de paquets ayant pour source 2 (mais la, les paquets arrivant par 3 ayant pour source 2 ne seront pas affectés) Protection telle que je la vois : - Dans les réseaux peripheriques, on interdit purement et simplement les paquets arrivant par une interface alors que leur IP source ne correspond pas aux IP qui sont derriere - Sur les IX, tout le monde applique la protection juste au dessus (garantissant donc a 2 de ne pas etre attaqué par qqc venant de 3 et a 3 la meme chose pour ce qui viens de 2.) Evidemment, la protection est inefficace si il y'a une brebis galleuse sur l'IX :) - Idem sur les liens privés Disons que c'est inhabituel .. Ce genre de politique etant reelement du je protege les autre de ce qui pourrai arriver par moi ... Mais y'a que ca qui marcherai (evidemment, la, coté charge d'exploitation, y'a du boulot ..) Je ne te le fais pas dire. Combiné à ce que je viens d'écrire, je laisse au lecteur le soin de tirer ses propres conclusions. Faut savoir souffrir pour avoir un beau réseau :))) 'Spyou' - www.spyou.org - [EMAIL PROTECTED] #gtr / ircnet.kaptech.fr - UIN : 6871374 Si la terre était carrée Il y aurait des coins pour s'y cacher Mais comme la terre est ronde Nous devons faire face au monde Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php ---
RE: test syn flood avec et sans MD5 (was: [FRnOG] BGP et MD5)
Pascal Gloor Configuration du test: Cisco 7206VXR-400, 12.3.6a SERVICE-PROVIDER But: faire monter le CPU à 100%. Sans MD5 configuré sur le neighbor, 3000 packets/sec. Avec MD5 configuré sur le neighbor, 1400 packets/sec. C'est avec ou sans CEF? Qui filtre/shape de manière conséquente tous ses liens externes? SNMP Systématiquement filtré. SYN/RST J'y travaille... ICMP/DNS/autres Systématiquement filtré et rate-limité. Michel. Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php ---
Re: test syn flood avec et sans MD5 (was: [FRnOG] BGP et MD5)
Configuration du test: Cisco 7206VXR-400, 12.3.6a SERVICE-PROVIDER But: faire monter le CPU à 100%. Sans MD5 configuré sur le neighbor, 3000 packets/sec. Avec MD5 configuré sur le neighbor, 1400 packets/sec. C'est avec ou sans CEF? en l'occurence avec, mais je vois pas l rapport.. !? ce ne sont pas des packets routés à travers le routeur.. Pascal Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php ---
RE: test syn flood avec et sans MD5 (was: [FRnOG] BGP et MD5)
Pascal Gloor écrit: Configuration du test: Cisco 7206VXR-400, 12.3.6a SERVICE-PROVIDER But: faire monter le CPU à 100%. Sans MD5 configuré sur le neighbor, 3000 packets/sec. Avec MD5 configuré sur le neighbor, 1400 packets/sec. Michel Py écrit: C'est avec ou sans CEF? en l'occurence avec, mais je vois pas l rapport.. !? ce ne sont pas des packets routés à travers le routeur.. CEF est nécéssaire pour utiliser ip verify unicast reverse-path, et nous parlons de paquets spoofés. Si tu as le temps, je pense que ça serait intéréssant de tester sur ton router: 1) Est-ce que ça change beaucoup si tu (dé)configures ip verify unicast reverse-path sur l'interface que tu attaques? 2) ip inspect name IP-INSPECT-OUT tcp alert on ip audit name IP-AUDIT info action alarm ip audit name IP-AUDIT attack action alarm drop inte gi3/0 ip audit IP-AUDIT in (j'ai bien peur que le remède soir pire que le mal dans les deux cas, mais on sait jamais...) Michel. Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php ---
Re: test syn flood avec et sans MD5 (was: [FRnOG] BGP et MD5)
CEF est nécéssaire pour utiliser ip verify unicast reverse-path, et nous parlons de paquets spoofés. moui, mais j attaque par la bonne interface ;) Si je suis client de l ISP x. je fais des traceroutes et j ai vite fait de trouver un peering de mon ISP x, et la j'attaque ce peering en spoofant l'IP sur l IX de mon ISP x. Mon ISP x ayant peu de connaissances (ou de temps) n'a aucun filtre. comment l ISP 'y' (attaqué) pourrait bien se proteger de mon attaque? Pour l ISP y ces packets viennent du bon endroit. Bien entendu, il pourrai traffic-shape/rate-limit, mais sinon, aucun autre moyen. 1) Est-ce que ça change beaucoup si tu (dé)configures ip verify unicast reverse-path sur l'interface que tu attaques? ca changera rien, vu que, comme j ai dit plus haut, j'arrive par la bonne interface. 2) ip inspect name IP-INSPECT-OUT tcp alert on ip audit name IP-AUDIT info action alarm ip audit name IP-AUDIT attack action alarm drop inte gi3/0 ip audit IP-AUDIT in (j'ai bien peur que le remède soir pire que le mal dans les deux cas, mais on sait jamais...) J'ose même pas ;) je me vois mal faire de l ip inspect sur mes peers/upstreams. Pascal Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php ---
RE: test syn flood avec et sans MD5 (was: [FRnOG] BGP et MD5)
Pascal Gloor écrit: Si je suis client de l ISP x. je fais des traceroutes et j ai vite fait de trouver un peering de mon ISP x, et la j'attaque ce peering en spoofant l'IP sur l IX de mon ISP x. Mon ISP x ayant peu de connaissances (ou de temps) n'a aucun filtre. comment l ISP 'y' (attaqué) pourrait bien se proteger de mon attaque? Pour l ISP y ces packets viennent du bon endroit. Bien entendu, il pourrai traffic-shape/ rate-limit, mais sinon, aucun autre moyen. Mais si, comme je l'expliquais récemment il y a RFC3682 (GTSM) et (préférablement) une faible distance en cas d'ebgp-multihop: http://www.faqs.org/rfcs/rfc3682.html présentement implémenté seulement sur Cisco 12.3(T): http://www.cisco.com/en/US/products/sw/iosswrel/ps1829/products_feature_guide09186a008020e6f5.html Au lieu de neighbor ebgp-multihop (si tu l'utilisais) tu configures neighbor ttl-security et là plus moyen de spoofer, vu que les paquets spoofés vont arriver à ton router avec un TTL inférieur à 254 (vu que le TTL a été décrémenté à chaque hop) et donc ton router sait faire la différence avec les paquets non-spoofés en provenance du vrai pair, puisque eux ils arrivent avec un TTL de 254 ou 255. Reste à voir combien de CPU ça bouffe, cette histoire. Michel. Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php ---
RE: test syn flood avec et sans MD5 (was: [FRnOG] BGP et MD5)
Michel Py écrit: 1) Est-ce que ça change beaucoup si tu (dé)configures ip verify unicast reverse-path sur l'interface que tu attaques? Pascal Gloor écrit: ca changera rien, vu que, comme j ai dit plus haut, j'arrive par la bonne interface. Je sais, c'est ce que j'explique à Spyou dans une autre contrib (que je suis encore en train d'écrire). Ce que je voulais savoir était, dans les mêmes conditions que tu as conduit ton test avec/sans MD5, combien de CPU ip verify unicast reverse-path prenait pour ne rien faire. J'ose même pas ;) je me vois mal faire de l ip inspect sur mes peers/upstreams. Je l'ai configuré chez plusieurs clients qui sont en bout de chaîne (avec 1 seul lien vers l'extérieur, et qui n'ont pas BGP de toute façon); ça marche très bien. Vu que je n'ai jamais osé essayer quand il y a une chance de trafic asymétrique, et que mon matos de test est occupé avec quelque chose d'autre, j'essayais de trouver une victime (toi:-) pour faire avancer le schmilblick sur ce front-là. Intellectuellement, ça serait intéressant de savoir si ça peut limiter la casse, même si le domaine d'applicabilité semble zéro. Michel. Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php ---
[FRnOG] BGP et MD5
Bonjour la liste, Je voudrais vous soumettre mon interrogation sur un embalement qui semble se declarer chez les operateurs IP, a savoir la securisation des sessions BGP via authentification MD5. Est-ce une mesure de protection face a un reele trou de securité majeur, ou est ce le resultat d'un embalement paranoïaque de la part des ISP. Toujours est il que l'on ne compte plus les demandes de securisation MD5 des sessions inter-operateurs sur les noeuds d echanges tel que le SFINX, Parix, FreeIX. Quand on interroge les initiateurs de ces demandes, on n'obtient pas de reponses. Est-ce pour eviter d'ébruiter le fait qu'il y ai une faille potentielle de leur systeme ? Neanmoins, un rapport de Juin 2003 diffusé sur Nanog faisait le bilan des vulnerabilités de BGP. Donc paranoia ou danger réel, c est a vous de me dire JPh Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php ---
Re: [FRnOG] BGP et MD5
Salut Jean-Philippe :) Juniper Cisco ont tous les deux publié des bulletins de sécurité relatifs a la vulnerabilité de TCP au paquets spoofés. Le bulletin Juniper (disponible pour peu d'avoir un acces client a juniper.net) renvoie sur ce lien: http://www.uniras.gov.uk/vuls/2004/236929/index.htm qui explique assez bien le probleme. le bulletin Cisco est ici: http://www.cisco.com/warp/public/707/cisco-sa-20040420-tcp-ios.shtml D'une maniere generale la vulnerabilite affecte tous les stacks TCP. Les documents soulignent la vulnerabilité plus importante de BGP a cette faille car BGP fonctionne sur des sessions TCP continues dans le temps, et cette vulnerabilite permettrait de reinitialiser les sessions (je ne te detaille pas les consequences sur l'Internet suite au damping des routes qui flappent, etc. tu connais tout ca). Toutefois, comme tu le soulignes, cela fait deja bien longtemps que BGP est vulnerable a un nombre impressionnant d'attaques, sans que cela n'ait jamais gené personne. D'une maniere generale, tout protocole de routage non authentifié est vulnerable a des attaques de type spoofing (encore pire, un IGP link-state sur media partagé (ethernet) est encore plus vulnerable). Bref, les 'hackers de l'internet' ont beaucoup de failles plus interessantes a exploiter sur les OS que celles qui consistent a attaquer les routeurs. Cela n'empeche que le mouvement de paranoia de ces derniers jours est finalement plutot positif, car on ne peut nier l'utilité d'authentifier les sessions BGP. A+ --On jeudi 22 avril 2004 10:30 +0200 Jean-Philippe MARCEL [EMAIL PROTECTED] wrote: Bonjour la liste, Je voudrais vous soumettre mon interrogation sur un embalement qui semble se declarer chez les operateurs IP, a savoir la securisation des sessions BGP via authentification MD5. Est-ce une mesure de protection face a un reele trou de securité majeur, ou est ce le resultat d'un embalement paranoïaque de la part des ISP. Toujours est il que l'on ne compte plus les demandes de securisation MD5 des sessions inter-operateurs sur les noeuds d echanges tel que le SFINX, Parix, FreeIX. Quand on interroge les initiateurs de ces demandes, on n'obtient pas de reponses. Est-ce pour eviter d'ébruiter le fait qu'il y ai une faille potentielle de leur systeme ? Neanmoins, un rapport de Juin 2003 diffusé sur Nanog faisait le bilan des vulnerabilités de BGP. Donc paranoia ou danger réel, c est a vous de me dire JPh Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php --- -- Jerome Fleury Tiscali France Network Engineer Tel: +33 1 45082314 Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php ---
Re: [FRnOG] BGP et MD5
Bonjour Il est d'ailleurs à noter que plusieurs personnes soulèvent le fait qu'un DoS MD5 est plus simple et efficace qu'un DoS sur BGP ... JF At 10:30 22/04/2004, Jean-Philippe MARCEL wrote: Bonjour la liste, Je voudrais vous soumettre mon interrogation sur un embalement qui semble se declarer chez les operateurs IP, a savoir la securisation des sessions BGP via authentification MD5. Est-ce une mesure de protection face a un reele trou de securité majeur, ou est ce le resultat d'un embalement paranoïaque de la part des ISP. Toujours est il que l'on ne compte plus les demandes de securisation MD5 des sessions inter-operateurs sur les noeuds d echanges tel que le SFINX, Parix, FreeIX. Quand on interroge les initiateurs de ces demandes, on n'obtient pas de reponses. Est-ce pour eviter d'ébruiter le fait qu'il y ai une faille potentielle de leur systeme ? Neanmoins, un rapport de Juin 2003 diffusé sur Nanog faisait le bilan des vulnerabilités de BGP. Donc paranoia ou danger réel, c est a vous de me dire JPh Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php --- Jean-Francois Zwobada BT Applications Hosting tel. +33 (0)1 44 97 70 00 | fax +33 (0)1 44 97 70 14 | web www.bt.com 30, rue du Château des Rentiers - 75647 Paris Cedex 13 - France - tél. +33 (0)1 44 97 70 00 Ce message électronique contient des informations confidentielles qui sont la propriété du groupe BT. Ces informations sont à l'usage des destinataires indiqués, personnes physiques ou morales. Si vous n'en êtes pas le destinataire, nous vous informons que toute divulgation, copie, diffusion ou toute autre utilisation de ces informations, est interdite. Si vous avez reçu ce message électronique par erreur, nous vous remercions d'en avertir BT immédiatement par téléphone au numéro indiqué ci-dessus ou de le signaler par retour à son expéditeur. This electronic message contains information from BT Group which may be privileged or confidential. The information is intended to be for the use of the individual(s) or entity named above. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information is prohibited. If you have received this electronic message in error, please notify us by telephone or email (to the numbers or address above) immediately. Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php ---
RE: [FRnOG] BGP et MD5
Bonjour Jean-Philippe, Est-ce une mesure de protection face a un reele trou de securité majeur, ou est ce le resultat d'un embalement paranoïaque de la part des ISP. http://www.uniras.gov.uk/vuls/2004/236929/index.htm Pour plus de details sur quoi faire, cela depend de tes equipements avec par exemple: Cisco: http://www.cisco.com/warp/public/707/cisco-sa-20040420-tcp-ios.shtml Juniper: http://www.juniper.net/support/alert.html Vincent --- Vincent Fayet Systems Engineer Cisco Systems --- -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Jean-Philippe MARCEL Sent: jeudi 22 avril 2004 10:30 To: [EMAIL PROTECTED] Subject: [FRnOG] BGP et MD5 Bonjour la liste, Je voudrais vous soumettre mon interrogation sur un embalement qui semble se declarer chez les operateurs IP, a savoir la securisation des sessions BGP via authentification MD5. Est-ce une mesure de protection face a un reele trou de securité majeur, ou est ce le resultat d'un embalement paranoïaque de la part des ISP. Toujours est il que l'on ne compte plus les demandes de securisation MD5 des sessions inter-operateurs sur les noeuds d echanges tel que le SFINX, Parix, FreeIX. Quand on interroge les initiateurs de ces demandes, on n'obtient pas de reponses. Est-ce pour eviter d'ébruiter le fait qu'il y ai une faille potentielle de leur systeme ? Neanmoins, un rapport de Juin 2003 diffusé sur Nanog faisait le bilan des vulnerabilités de BGP. Donc paranoia ou danger réel, c est a vous de me dire JPh Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php ---
Re: [FRnOG] BGP et MD5
Le Thu, Apr 22, 2004 at 10:30:09AM +0200, Jean-Philippe MARCEL [EMAIL PROTECTED] a écrit: Bonjour la liste, Je voudrais vous soumettre mon interrogation sur un embalement qui semble se declarer chez les operateurs IP, a savoir la securisation des sessions BGP via authentification MD5. Est-ce une mesure de protection face a un reele trou de securité majeur, ou est ce le resultat d'un embalement paranoïaque de la part des ISP. C'est une faille TCP récente impactant essentiellement les sessions de longue durée, dont notamment les sessions BGP, y'a un advisory Cisco qui indique l'actication du MD5 comme workaround : http://www.securityfocus.com/archive/1/360843 Dom Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php ---
Re: [FRnOG] BGP et MD5
At 4/22/2004 10:30 AM, you wrote: Bonjour la liste, Je voudrais vous soumettre mon interrogation sur un embalement qui semble se declarer chez les operateurs IP, a savoir la securisation des sessions BGP via authentification MD5. Est-ce une mesure de protection face a un reele trou de securité majeur, ou est ce le resultat d'un embalement paranoïaque de la part des ISP. Toujours est il que l'on ne compte plus les demandes de securisation MD5 des sessions inter-operateurs sur les noeuds d echanges tel que le SFINX, Parix, FreeIX. Quand on interroge les initiateurs de ces demandes, on n'obtient pas de reponses. Est-ce pour eviter d'ébruiter le fait qu'il y ai une faille potentielle de leur systeme ? Neanmoins, un rapport de Juin 2003 diffusé sur Nanog faisait le bilan des vulnerabilités de BGP. Donc paranoia ou danger réel, c est a vous de me dire JPh Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php --- Apres avoir bien lu le rapport Frantz diffusé sur Nanog, la conclusion est que BGP est assez secure en terme d'injection de routes en provenance d'un intrus car celui ci devrait faire du spoofing donc faire di TCP sequence prediction ce qui est estimé dans le rapport a 4 ans de flood intensif . Par contre le gros point, est le risque d'injection de routes malicieuses par une session deja existante a qui ont fait confiance. C'est pourquoi le gros conseil est de systematiquement filtrer les annonces que l'on recoit (cf RaToolSet et RtConfig). L'ajout d'une authentification MD5 nous assure qu'on parle au bon peer et cela bloque les attaques de type ARP spoofing qui sont facilement realisables sur un gix quelconque. Pour resumer, il faut filtrer ses annonces en cas ou un peer se fait compromettre son routeur et mettre du MD5 pour bloquer les attaques de type ARP spoofing, par contre rien a craindre du cote du spoofing TCP. Salim - Salim Gasmi Directeur technique - Sdv Plurimedia - http://www.sdv.fr - Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php ---
Re: [FRnOG] BGP et MD5
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Bonjour, Je ne suis pas un expert en routage dynamique et donc je ne connais pas en profondeur BGP; par contre, je te recommanderais la lecture de CERT Technical Cyber Security Alert TA04-111A -- Vulnerabilities in TCP du 20 avril 2004 mais bon les BGPd ne sont surement pas accessible au public... Ces problemes de securite repausent essentiellement sur la possibilite de determiner l'ISN sur les systemes d'exploitation *BSD, en l'occurance, ces nombres sont generes de facon reelement aleatoire. D'autres techniques ont donc emerge mais elles sont des lors relativement difficiles a mettre en pratique pour ce que j'en sais mais encore une fois, s'il y a un vrai expert en matiere de routage dans l'assemblee, il devrait pouvoir t'en apprendre plus. Je doute fort qu'il y ait des trous de securite majeure sur les palteformes d'exchange inter-operateur par contre AMHA il vaut mieux entre paranoique que laxiste. Par suite, on ne peut que difficilement critiquer une politique visant a securise des echanges de donnees a moins que ces-derniers nuisent de facon certaines aux performances et/ou a la stabilite d'une architecture. Le 22 avr. 04, à 09:30, Jean-Philippe MARCEL a écrit : Bonjour la liste, Je voudrais vous soumettre mon interrogation sur un embalement qui semble se declarer chez les operateurs IP, a savoir la securisation des sessions BGP via authentification MD5. Est-ce une mesure de protection face a un reele trou de securité majeur, ou est ce le resultat d'un embalement paranoïaque de la part des ISP. Toujours est il que l'on ne compte plus les demandes de securisation MD5 des sessions inter-operateurs sur les noeuds d echanges tel que le SFINX, Parix, FreeIX. Quand on interroge les initiateurs de ces demandes, on n'obtient pas de reponses. Est-ce pour eviter d'ébruiter le fait qu'il y ai une faille potentielle de leur systeme ? Neanmoins, un rapport de Juin 2003 diffusé sur Nanog faisait le bilan des vulnerabilités de BGP. Donc paranoia ou danger réel, c est a vous de me dire JPh Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php --- Cordialement /Olivier - -- Warin Olivier Xview dot net - Net Web Services for Un*x Geeks The Caudium Webserver (http://www.caudium.net) Ce n'est pas parce que les choses sont difficiles que nous n'osons pas mais c'est parce que nous n'osons pas que les choses sont difficiles. Sénèque -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (Darwin) iD8DBQFAh60LsBj9sTvtXyoRAsT1AJ4hXU8N6Ct3uk5YInu41BqhDrb5DgCfQuux ujptBgRe+SKJFNzfv9d8ig4= =kcHt -END PGP SIGNATURE- Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php ---
Re: [FRnOG] BGP et MD5
Le jeudi 22 Avril 2004 10:30, Jean-Philippe MARCEL a écrit : Bonjour la liste, Je voudrais vous soumettre mon interrogation sur un embalement qui semble se declarer chez les operateurs IP, a savoir la securisation des sessions BGP via authentification MD5. Est-ce une mesure de protection face a un reele trou de securité majeur, ou est ce le resultat d'un embalement paranoïaque de la part des ISP. Je pense que c'est un peu des deux, et surtout le fait qu'un exploit est pratiquement au point. Toujours est il que l'on ne compte plus les demandes de securisation MD5 des sessions inter-operateurs sur les noeuds d echanges tel que le SFINX, Parix, FreeIX. Quand on interroge les initiateurs de ces demandes, on n'obtient pas de reponses. Est-ce pour eviter d'ébruiter le fait qu'il y ai une faille potentielle de leur systeme ? Je dirais que certaines personnes, ne savent pas trop pourquoi elles sécurisent et qu'elles suivent le mouvement. Surtout que normalement et en théorie, les points d'échange ne sont pas réellement sensible à cette attaque . Neanmoins, un rapport de Juin 2003 diffusé sur Nanog faisait le bilan des vulnerabilités de BGP. Donc paranoia ou danger réel, c est a vous de me dire Pour ma part, je trouve que l'attaque est assez dur à exploiter, mais qu'elle présente un réel risque. Cordialement, Issam Hakimi -- [ Direction général ] Transnode | IP transit server colocation www.transnode.com | www.digital-network.net UIN : 236428318 Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php ---
Re: [FRnOG] BGP et MD5
Moi je vote et je dis qu'il bluffe... (copyright bon vieux film bien connu :-)) La faille est connue et documentée depuis presque un an et personne n'a réagi. http://www.ietf.org/internet-drafts/draft-ietf-idr-bgp-vuln-00.txt Maintenant allons un peu dans les détails... - Il faut trouver un numéro de séquence dans la fenêtre TCP. donc 2^32 / TCP window. - On ne sait pas quel routeur à initié la session. 1 bit de plus. - On ne connait pas le port source. admettons qu'il y en a que 32768 (2^15). on arrive donc à: 32 + 1 + 15 - TCP window. Admettons que la fenêtre TCP soit enorme, disons 65536 (2^16). 32 + 1 + 15 - 16 = 32. ah? 2^32 == 4.3 milliards de possibilités. si on connait le port src/dst, on a effectivement un problème de securité car on a plus que 2^16 (65536) possibilités. Salutations, Pascal Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php ---
Re: [FRnOG] BGP et MD5
Sir Jerome, Juniper Cisco ont tous les deux publié des bulletins de sécurité relatifs a la vulnerabilité de TCP au paquets spoofés. Le bulletin Juniper (disponible pour peu d'avoir un acces client a juniper.net) renvoie sur ce lien: http://www.uniras.gov.uk/vuls/2004/236929/index.htm qui explique assez bien le probleme. le bulletin Cisco est ici: http://www.cisco.com/warp/public/707/cisco-sa-20040420-tcp-ios.shtml D'une maniere generale la vulnerabilite affecte tous les stacks TCP. Les documents soulignent la vulnerabilité plus importante de BGP a cette faille car BGP fonctionne sur des sessions TCP continues dans le temps, et cette vulnerabilite permettrait de reinitialiser les sessions (je ne te detaille pas les consequences sur l'Internet suite au damping des routes qui flappent, etc. tu connais tout ca). Toutefois, comme tu le soulignes, cela fait deja bien longtemps que BGP est vulnerable a un nombre impressionnant d'attaques, sans que cela n'ait jamais gené personne. D'une maniere generale, tout protocole de routage non authentifié est vulnerable a des attaques de type spoofing (encore pire, un IGP link-state sur media partagé (ethernet) est encore plus vulnerable). Bref, les 'hackers de l'internet' ont beaucoup de failles plus interessantes a exploiter sur les OS que celles qui consistent a attaquer les routeurs. Cela n'empeche que le mouvement de paranoia de ces derniers jours est finalement plutot positif, car on ne peut nier l'utilité d'authentifier les sessions BGP. C'est un peu la paranoia en effet. D'un coté, on connait bien les limites et risques de TCP et BGP. Les risques liés à MD5 sont bien moins connus (CPU hog) et l'overwork pour les exploitants est aussi pas négligeable. Je ne suis pas pour le déployer massivement, mais avec les peers qui le demande. Vincent. Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php ---
RE: [FRnOG] BGP et MD5
At 17:29 22/04/2004, you wrote: Et ceci même si au bout du compte le fait d'activer MD5 te rend encore plus vulnérable qu'avant, la différence étant que la vulnérabilité TCP tu pouvais la supprimer (si tu ne l'as pas fait c'est une faute de ta part), alors que le problème de CPU avec une attaque MD5 il n'y rien à faire (donc c'est pas de ta faute). Ceci etant, d'apres ce que j'ai vaguement compris du probleme, si on empechait les paquets spoofés de passer par n'importe ou, on serai a peu pres tranquille .. tant coté bug TCP que coté ddos sur MD5 ? (evidemment, la, coté charge d'exploitation, y'a du boulot ..) Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php ---
Re: [FRnOG] BGP et MD5
[EMAIL PROTECTED] disait : --On jeudi 22 avril 2004 15:20 +0200 Pascal Gloor [EMAIL PROTECTED] wrote: si on connait le port src/dst, on a effectivement un problème de securité car on a plus que 2^16 (65536) possibilités. Sachant que celui ci est bien souvent visible depuis un looking glass. ... les looking glass bien fait (qui sont la majorité tout de même) cachent bien cette info. Par contre, le probleme de la range des ports sources est bien réel. Il me semble que des vendors tournent sur une cycle de 3 ou 4000 ports TCP au lieu d'utiliser le spectre de 32000 ou 64000 c'est un peu dommage, mais laisse tout de même pas mal de temps pour tomber sur la bonne combinaison. Je suis tout a fait d'accord sur l'analyse de Pascal. Vincent Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php ---
Re: [FRnOG] BGP et MD5
im sorry but u keep sending me this email. pls. remove me from your lists! i'm not interested!thak u! - Original Message - From: Pascal Gloor [EMAIL PROTECTED] To: [EMAIL PROTECTED] Sent: Thursday, April 22, 2004 1:34 PM Subject: Re: [FRnOG] BGP et MD5 Je suis tout a fait d'accord sur l'analyse de Pascal. bien vu Vincent, j'ai droit a un rabais sur le transit du coup ? Pascal Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php ---