Re: test syn flood avec et sans MD5 (was: [FRnOG] BGP et MD5)

[Michel Msika]

Pourquoi m'envoyez-vous des messages 

- Original Message -
From: Michel Py [EMAIL PROTECTED]
To: [EMAIL PROTECTED]
Sent: Friday, April 23, 2004 8:08 PM
Subject: RE: test syn flood avec et sans MD5 (was: [FRnOG] BGP et MD5)


  Pascal Gloor écrit:
  Configuration du test:
  Cisco 7206VXR-400, 12.3.6a SERVICE-PROVIDER
  But: faire monter le CPU à 100%.
  Sans MD5 configuré sur le neighbor, 3000 packets/sec.
  Avec MD5 configuré sur le neighbor, 1400 packets/sec.

  Michel Py écrit:
  C'est avec ou sans CEF?

  en l'occurence avec, mais je vois pas l rapport.. !?
  ce ne sont pas des packets routés à travers le routeur..

 CEF est nécéssaire pour utiliser ip verify unicast reverse-path, et nous
parlons de paquets spoofés.

 Si tu as le temps, je pense que ça serait intéréssant de tester sur ton
router:

 1) Est-ce que ça change beaucoup si tu (dé)configures ip verify unicast
reverse-path sur l'interface que tu attaques?

 2)
 ip inspect name IP-INSPECT-OUT tcp alert on
 ip audit name IP-AUDIT info action alarm
 ip audit name IP-AUDIT attack action alarm drop
 inte gi3/0
   ip audit IP-AUDIT in

 (j'ai bien peur que le remède soir pire que le mal dans les deux cas, mais
on sait jamais...)

 Michel.



 
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 ---
 Archives :
 http://www.frnog.org/archives.php
 ---



Liste de diffusion du FRnOG
http://www.frnog.org/
---
Archives :
http://www.frnog.org/archives.php
---

Re: test syn flood avec et sans MD5 (was: [FRnOG] BGP et MD5)

[Spyou]

At 12:47 25/04/2004, you wrote:
Pourquoi m'envoyez-vous des messages 
Parce que vous etes inscrits a une liste de diffusion ?

'Spyou' - www.spyou.org - [EMAIL PROTECTED]
#gtr / ircnet.kaptech.fr - UIN : 6871374
Si la terre était carrée
Il y aurait des coins pour s'y cacher
Mais comme la terre est ronde
Nous devons faire face au monde 


Liste de diffusion du FRnOG
http://www.frnog.org/
---
Archives :
http://www.frnog.org/archives.php
---

Re: test syn flood avec et sans MD5 (was: [FRnOG] BGP et MD5)

[Anthony Martin]

qui ?

- Original Message - 
From: Michel Msika [EMAIL PROTECTED]
To: [EMAIL PROTECTED]
Sent: Sunday, April 25, 2004 12:47 PM
Subject: Re: test syn flood avec et sans MD5 (was: [FRnOG] BGP et MD5)


 Pourquoi m'envoyez-vous des messages 

 - Original Message -
 From: Michel Py [EMAIL PROTECTED]
 To: [EMAIL PROTECTED]
 Sent: Friday, April 23, 2004 8:08 PM
 Subject: RE: test syn flood avec et sans MD5 (was: [FRnOG] BGP et MD5)


   Pascal Gloor écrit:
   Configuration du test:
   Cisco 7206VXR-400, 12.3.6a SERVICE-PROVIDER
   But: faire monter le CPU à 100%.
   Sans MD5 configuré sur le neighbor, 3000 packets/sec.
   Avec MD5 configuré sur le neighbor, 1400 packets/sec.
 
   Michel Py écrit:
   C'est avec ou sans CEF?
 
   en l'occurence avec, mais je vois pas l rapport.. !?
   ce ne sont pas des packets routés à travers le routeur..
 
  CEF est nécéssaire pour utiliser ip verify unicast reverse-path, et
nous
 parlons de paquets spoofés.
 
  Si tu as le temps, je pense que ça serait intéréssant de tester sur ton
 router:
 
  1) Est-ce que ça change beaucoup si tu (dé)configures ip verify unicast
 reverse-path sur l'interface que tu attaques?
 
  2)
  ip inspect name IP-INSPECT-OUT tcp alert on
  ip audit name IP-AUDIT info action alarm
  ip audit name IP-AUDIT attack action alarm drop
  inte gi3/0
ip audit IP-AUDIT in
 
  (j'ai bien peur que le remède soir pire que le mal dans les deux cas,
mais
 on sait jamais...)
 
  Michel.
 
 
 
  
  Liste de diffusion du FRnOG
  http://www.frnog.org/
  ---
  Archives :
  http://www.frnog.org/archives.php
  ---


 
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 ---
 Archives :
 http://www.frnog.org/archives.php
 ---



Liste de diffusion du FRnOG
http://www.frnog.org/
---
Archives :
http://www.frnog.org/archives.php
---

RE: [FRnOG] BGP et MD5

[Spyou]

At 05:26 23/04/2004, you wrote:
Donc le mec qui t'attaque de cette façon sait ce qu'il fait. Ce qui veut 
dire qu'il va t'attaquer sur l'interface de ton router avec des zombies 
qui arrivent sur la même interface que ta session BGP, et ta protection 
anti-spoofage tombe à l'eau (vu que les paquets spoofés arrivent sur la 
même interface que les paquets non-spoofés).
Hmmm ...

On ne doit pas penser au meme niveau d'antispoof :))

réseau X |1(routeur A)2-3(routeur B)4-|réseau Y

La session TCP établie entre A et B pour faire du BGP est faite entre les 
IP des interfaces 2 et 3. Mattons que nous sommes le réseau X equipé du 
routeur A et que nous voulons nous proteger

Protection simplissime :
- Interdire toute communication a destination de l'IP 2 hormis depuis 3 (ce 
qui n'empeche pas le spoof venant eventuellement du réseau Y

Protection antispoof telle que tu semble la voir :
- On dit a 1 de ne pas accepter de paquets ayant pour source 2 (mais la, 
les paquets arrivant par 3 ayant pour source 2 ne seront pas affectés)

Protection telle que je la vois :
- Dans les réseaux peripheriques, on interdit purement et simplement les 
paquets arrivant par une interface alors que leur IP source ne correspond 
pas aux IP qui sont derriere
- Sur les IX, tout le monde applique la protection juste au dessus 
(garantissant donc a 2 de ne pas etre attaqué par qqc venant de 3 et a 3 la 
meme chose pour ce qui viens de 2.) Evidemment, la protection est 
inefficace si il y'a une brebis galleuse sur l'IX :)
- Idem sur les liens privés

Disons que c'est inhabituel .. Ce genre de politique etant reelement du je 
protege les autre de ce qui pourrai arriver par moi ... Mais y'a que ca 
qui marcherai

 (evidemment, la, coté charge d'exploitation, y'a du boulot ..)

Je ne te le fais pas dire. Combiné à ce que je viens d'écrire, je laisse 
au lecteur le soin de tirer ses propres conclusions.
Faut savoir souffrir pour avoir un beau réseau :)))

'Spyou' - www.spyou.org - [EMAIL PROTECTED]
#gtr / ircnet.kaptech.fr - UIN : 6871374
Si la terre était carrée
Il y aurait des coins pour s'y cacher
Mais comme la terre est ronde
Nous devons faire face au monde 


Liste de diffusion du FRnOG
http://www.frnog.org/
---
Archives :
http://www.frnog.org/archives.php
---

RE: test syn flood avec et sans MD5 (was: [FRnOG] BGP et MD5)

[Michel Py]

 Pascal Gloor
 Configuration du test:
 Cisco 7206VXR-400, 12.3.6a SERVICE-PROVIDER
 But: faire monter le CPU à 100%.
 Sans MD5 configuré sur le neighbor, 3000 packets/sec.
 Avec MD5 configuré sur le neighbor, 1400 packets/sec.

C'est avec ou sans CEF?


 Qui filtre/shape de manière conséquente
 tous ses liens externes?

 SNMP
Systématiquement filtré.

 SYN/RST
J'y travaille...

 ICMP/DNS/autres
Systématiquement filtré et rate-limité.

Michel.




Liste de diffusion du FRnOG
http://www.frnog.org/
---
Archives :
http://www.frnog.org/archives.php
---

Re: test syn flood avec et sans MD5 (was: [FRnOG] BGP et MD5)

[Pascal Gloor]

  Configuration du test:
  Cisco 7206VXR-400, 12.3.6a SERVICE-PROVIDER
  But: faire monter le CPU à 100%.
  Sans MD5 configuré sur le neighbor, 3000 packets/sec.
  Avec MD5 configuré sur le neighbor, 1400 packets/sec.

 C'est avec ou sans CEF?

en l'occurence avec, mais je vois pas l rapport.. !? ce ne sont pas des
packets routés à travers le routeur..


Pascal


Liste de diffusion du FRnOG
http://www.frnog.org/
---
Archives :
http://www.frnog.org/archives.php
---

RE: test syn flood avec et sans MD5 (was: [FRnOG] BGP et MD5)

[Michel Py]

 Pascal Gloor écrit:
 Configuration du test:
 Cisco 7206VXR-400, 12.3.6a SERVICE-PROVIDER
 But: faire monter le CPU à 100%.
 Sans MD5 configuré sur le neighbor, 3000 packets/sec.
 Avec MD5 configuré sur le neighbor, 1400 packets/sec.

 Michel Py écrit:
 C'est avec ou sans CEF?

 en l'occurence avec, mais je vois pas l rapport.. !?
 ce ne sont pas des packets routés à travers le routeur..

CEF est nécéssaire pour utiliser ip verify unicast reverse-path, et nous parlons de 
paquets spoofés.

Si tu as le temps, je pense que ça serait intéréssant de tester sur ton router:

1) Est-ce que ça change beaucoup si tu (dé)configures ip verify unicast reverse-path 
sur l'interface que tu attaques?

2)
ip inspect name IP-INSPECT-OUT tcp alert on
ip audit name IP-AUDIT info action alarm
ip audit name IP-AUDIT attack action alarm drop
inte gi3/0
  ip audit IP-AUDIT in

(j'ai bien peur que le remède soir pire que le mal dans les deux cas, mais on sait 
jamais...)

Michel.




Liste de diffusion du FRnOG
http://www.frnog.org/
---
Archives :
http://www.frnog.org/archives.php
---

Re: test syn flood avec et sans MD5 (was: [FRnOG] BGP et MD5)

[Pascal Gloor]

 CEF est nécéssaire pour utiliser ip verify unicast reverse-path, et nous
parlons de paquets spoofés.

moui, mais j attaque par la bonne interface ;)

Si je suis client de l ISP x. je fais des traceroutes et j ai vite fait de
trouver un peering de mon ISP x, et la j'attaque ce peering en spoofant l'IP
sur l IX de mon ISP x. Mon ISP x ayant peu de connaissances (ou de temps)
n'a aucun filtre. comment l ISP 'y' (attaqué) pourrait bien se proteger de
mon attaque? Pour l ISP y ces packets viennent du bon endroit. Bien entendu,
il pourrai traffic-shape/rate-limit, mais sinon, aucun autre moyen.

 1) Est-ce que ça change beaucoup si tu (dé)configures ip verify unicast
reverse-path sur l'interface que tu attaques?
ca changera rien, vu que, comme j ai dit plus haut, j'arrive par la bonne
interface.

 2)
 ip inspect name IP-INSPECT-OUT tcp alert on
 ip audit name IP-AUDIT info action alarm
 ip audit name IP-AUDIT attack action alarm drop
 inte gi3/0
   ip audit IP-AUDIT in
 (j'ai bien peur que le remède soir pire que le mal dans les deux cas, mais
on sait jamais...)

J'ose même pas ;) je me vois mal faire de l ip inspect sur mes
peers/upstreams.


Pascal


Liste de diffusion du FRnOG
http://www.frnog.org/
---
Archives :
http://www.frnog.org/archives.php
---

RE: test syn flood avec et sans MD5 (was: [FRnOG] BGP et MD5)

[Michel Py]

 Pascal Gloor écrit:
 Si je suis client de l ISP x. je fais des traceroutes et
 j ai vite fait de trouver un peering de mon ISP x, et la
 j'attaque ce peering en spoofant l'IP sur l IX de mon ISP
 x. Mon ISP x ayant peu de connaissances (ou de temps) n'a
 aucun filtre. comment l ISP 'y' (attaqué) pourrait bien se
 proteger de mon attaque? Pour l ISP y ces packets viennent
 du bon endroit. Bien entendu, il pourrai traffic-shape/
 rate-limit, mais sinon, aucun autre moyen.

Mais si, comme je l'expliquais récemment il y a RFC3682 (GTSM) et (préférablement) une 
faible distance en cas d'ebgp-multihop:
http://www.faqs.org/rfcs/rfc3682.html
présentement implémenté seulement sur Cisco 12.3(T):
http://www.cisco.com/en/US/products/sw/iosswrel/ps1829/products_feature_guide09186a008020e6f5.html

Au lieu de neighbor ebgp-multihop (si tu l'utilisais) tu configures neighbor 
ttl-security et là plus moyen de spoofer, vu que les paquets spoofés vont arriver à 
ton router avec un TTL inférieur à 254 (vu que le TTL a été décrémenté à chaque hop) 
et donc ton router sait faire la différence avec les paquets non-spoofés en provenance 
du vrai pair, puisque eux ils arrivent avec un TTL de 254 ou 255. Reste à voir combien 
de CPU ça bouffe, cette histoire.

Michel.




Liste de diffusion du FRnOG
http://www.frnog.org/
---
Archives :
http://www.frnog.org/archives.php
---

RE: test syn flood avec et sans MD5 (was: [FRnOG] BGP et MD5)

[Michel Py]

 Michel Py écrit:
 1) Est-ce que ça change beaucoup si tu
 (dé)configures ip verify unicast reverse-path
 sur l'interface que tu attaques?

 Pascal Gloor écrit:
 ca changera rien, vu que, comme j ai dit plus
 haut, j'arrive par la bonne interface.

Je sais, c'est ce que j'explique à Spyou dans une autre contrib (que je suis encore en 
train d'écrire).

Ce que je voulais savoir était, dans les mêmes conditions que tu as conduit ton test 
avec/sans MD5, combien de CPU ip verify unicast reverse-path prenait pour ne rien 
faire.

 J'ose même pas ;) je me vois mal faire de l ip inspect
 sur mes peers/upstreams.

Je l'ai configuré chez plusieurs clients qui sont en bout de chaîne (avec 1 seul lien 
vers l'extérieur, et qui n'ont pas BGP de toute façon); ça marche très bien.

Vu que je n'ai jamais osé essayer quand il y a une chance de trafic asymétrique, et 
que mon matos de test est occupé avec quelque chose d'autre, j'essayais de trouver une 
victime (toi:-) pour faire avancer le schmilblick sur ce front-là. Intellectuellement, 
ça serait intéressant de savoir si ça peut limiter la casse, même si le domaine 
d'applicabilité semble zéro.

Michel.




Liste de diffusion du FRnOG
http://www.frnog.org/
---
Archives :
http://www.frnog.org/archives.php
---

[FRnOG] BGP et MD5

[Jean-Philippe MARCEL]

Bonjour la liste,

Je voudrais vous soumettre mon interrogation sur un embalement qui semble se
declarer chez les operateurs IP, a savoir la securisation des sessions BGP
via authentification MD5.
Est-ce une mesure de protection face a un reele trou de securité majeur, ou
est ce le resultat d'un embalement paranoïaque de la part des ISP.
Toujours est il que l'on ne compte plus les demandes de securisation MD5 des
sessions inter-operateurs sur les noeuds d echanges tel que le SFINX, Parix,
FreeIX.
Quand on interroge les initiateurs de ces demandes, on n'obtient pas de
reponses. Est-ce pour eviter d'ébruiter le fait qu'il y ai une faille
potentielle de leur systeme ?
Neanmoins, un rapport de Juin 2003 diffusé sur Nanog faisait le bilan des
vulnerabilités de BGP.
Donc paranoia ou danger réel, c est a vous de me dire 

JPh


Liste de diffusion du FRnOG
http://www.frnog.org/
---
Archives :
http://www.frnog.org/archives.php
---

Re: [FRnOG] BGP et MD5

[Jerome Fleury]

Salut Jean-Philippe :)

Juniper  Cisco ont tous les deux publié des bulletins de sécurité relatifs a la 
vulnerabilité
de TCP au paquets spoofés.

Le bulletin Juniper (disponible pour peu d'avoir un acces client a juniper.net) 
renvoie sur ce
lien:

http://www.uniras.gov.uk/vuls/2004/236929/index.htm

qui explique assez bien le probleme.

le bulletin Cisco est ici:

http://www.cisco.com/warp/public/707/cisco-sa-20040420-tcp-ios.shtml

D'une maniere generale la vulnerabilite affecte tous les stacks TCP.

Les documents soulignent la vulnerabilité plus importante de BGP a cette faille car BGP
fonctionne sur des sessions TCP continues dans le temps, et cette vulnerabilite 
permettrait de
reinitialiser les sessions (je ne te detaille pas les consequences sur l'Internet 
suite au
damping des routes qui flappent, etc. tu connais tout ca).

Toutefois, comme tu le soulignes, cela fait deja bien longtemps que BGP est vulnerable 
a un
nombre impressionnant d'attaques, sans que cela n'ait jamais gené personne. D'une 
maniere
generale, tout protocole de routage non authentifié est vulnerable a des attaques de 
type
spoofing (encore pire, un IGP link-state sur media partagé (ethernet) est encore plus
vulnerable).
Bref, les 'hackers de l'internet' ont beaucoup de failles plus interessantes a 
exploiter sur
les OS que celles qui consistent a attaquer les routeurs.

Cela n'empeche que le mouvement de paranoia de ces derniers jours est finalement plutot
positif, car on ne peut nier l'utilité d'authentifier les sessions BGP.

A+

--On jeudi 22 avril 2004 10:30 +0200 Jean-Philippe MARCEL [EMAIL PROTECTED] wrote:

 Bonjour la liste,
 
 Je voudrais vous soumettre mon interrogation sur un embalement qui semble se
 declarer chez les operateurs IP, a savoir la securisation des sessions BGP
 via authentification MD5.
 Est-ce une mesure de protection face a un reele trou de securité majeur, ou
 est ce le resultat d'un embalement paranoïaque de la part des ISP.
 Toujours est il que l'on ne compte plus les demandes de securisation MD5 des
 sessions inter-operateurs sur les noeuds d echanges tel que le SFINX, Parix,
 FreeIX.
 Quand on interroge les initiateurs de ces demandes, on n'obtient pas de
 reponses. Est-ce pour eviter d'ébruiter le fait qu'il y ai une faille
 potentielle de leur systeme ?
 Neanmoins, un rapport de Juin 2003 diffusé sur Nanog faisait le bilan des
 vulnerabilités de BGP.
 Donc paranoia ou danger réel, c est a vous de me dire 
 
 JPh
 
 
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 ---
 Archives :
 http://www.frnog.org/archives.php
 ---



--
Jerome Fleury Tiscali France
Network Engineer  Tel: +33 1 45082314


Liste de diffusion du FRnOG
http://www.frnog.org/
---
Archives :
http://www.frnog.org/archives.php
---

Re: [FRnOG] BGP et MD5

[Jean-Francois Zwobada]

Bonjour

Il est d'ailleurs à noter que plusieurs personnes soulèvent le fait qu'un 
DoS MD5 est plus simple et efficace qu'un DoS sur BGP ...

JF

At 10:30 22/04/2004, Jean-Philippe MARCEL wrote:
Bonjour la liste,

Je voudrais vous soumettre mon interrogation sur un embalement qui semble se
declarer chez les operateurs IP, a savoir la securisation des sessions BGP
via authentification MD5.
Est-ce une mesure de protection face a un reele trou de securité majeur, ou
est ce le resultat d'un embalement paranoïaque de la part des ISP.
Toujours est il que l'on ne compte plus les demandes de securisation MD5 des
sessions inter-operateurs sur les noeuds d echanges tel que le SFINX, Parix,
FreeIX.
Quand on interroge les initiateurs de ces demandes, on n'obtient pas de
reponses. Est-ce pour eviter d'ébruiter le fait qu'il y ai une faille
potentielle de leur systeme ?
Neanmoins, un rapport de Juin 2003 diffusé sur Nanog faisait le bilan des
vulnerabilités de BGP.
Donc paranoia ou danger réel, c est a vous de me dire 
JPh


Liste de diffusion du FRnOG
http://www.frnog.org/
---
Archives :
http://www.frnog.org/archives.php
---
Jean-Francois Zwobada
BT Applications Hosting
tel. +33 (0)1 44 97 70 00 | fax +33 (0)1 44 97 70 14 | web www.bt.com
30, rue du Château des Rentiers - 75647 Paris Cedex 13 - France - tél. +33 
(0)1 44 97 70 00

Ce message électronique contient des informations confidentielles qui sont 
la propriété du groupe BT. Ces informations sont à l'usage des 
destinataires indiqués, personnes physiques ou morales. Si vous n'en êtes 
pas le destinataire, nous vous informons que toute divulgation, copie, 
diffusion ou toute autre utilisation de ces informations, est interdite. Si 
vous avez reçu ce message électronique par erreur, nous vous remercions 
d'en avertir BT immédiatement par téléphone au numéro indiqué ci-dessus ou 
de le signaler par retour à son expéditeur.

This electronic message contains information from BT Group which may be 
privileged or confidential. The information is intended to be for the use 
of the individual(s) or entity named above. If you are not the intended 
recipient be aware that any disclosure, copying, distribution or use of the 
contents of this information is prohibited. If you have received this 
electronic message in error, please notify us by telephone or email (to the 
numbers or address above) immediately.


Liste de diffusion du FRnOG
http://www.frnog.org/
---
Archives :
http://www.frnog.org/archives.php
---

RE: [FRnOG] BGP et MD5

[Vincent Fayet \(vfayet\)]

Bonjour Jean-Philippe,

 Est-ce une mesure de protection face a un reele trou de securité majeur, ou
 est ce le resultat d'un embalement paranoïaque de la part des ISP.
http://www.uniras.gov.uk/vuls/2004/236929/index.htm

Pour plus de details sur quoi faire, cela depend de tes equipements avec par exemple:

Cisco: http://www.cisco.com/warp/public/707/cisco-sa-20040420-tcp-ios.shtml
Juniper: http://www.juniper.net/support/alert.html

Vincent

---
Vincent Fayet
Systems Engineer
Cisco Systems
---


 -Original Message-
 From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of 
 Jean-Philippe MARCEL
 Sent: jeudi 22 avril 2004 10:30
 To: [EMAIL PROTECTED]
 Subject: [FRnOG] BGP et MD5
 
 
 Bonjour la liste,
 
 Je voudrais vous soumettre mon interrogation sur un 
 embalement qui semble se
 declarer chez les operateurs IP, a savoir la securisation des 
 sessions BGP
 via authentification MD5.
 Est-ce une mesure de protection face a un reele trou de 
 securité majeur, ou
 est ce le resultat d'un embalement paranoïaque de la part des ISP.
 Toujours est il que l'on ne compte plus les demandes de 
 securisation MD5 des
 sessions inter-operateurs sur les noeuds d echanges tel que 
 le SFINX, Parix,
 FreeIX.
 Quand on interroge les initiateurs de ces demandes, on 
 n'obtient pas de
 reponses. Est-ce pour eviter d'ébruiter le fait qu'il y ai une faille
 potentielle de leur systeme ?
 Neanmoins, un rapport de Juin 2003 diffusé sur Nanog faisait 
 le bilan des
 vulnerabilités de BGP.
 Donc paranoia ou danger réel, c est a vous de me dire 
 
 JPh
 
 
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 ---
 Archives :
 http://www.frnog.org/archives.php
 ---
 


Liste de diffusion du FRnOG
http://www.frnog.org/
---
Archives :
http://www.frnog.org/archives.php
---

Re: [FRnOG] BGP et MD5

[Dominique Rousseau]

Le Thu, Apr 22, 2004 at 10:30:09AM +0200, Jean-Philippe MARCEL [EMAIL PROTECTED] a 
écrit:
 Bonjour la liste,
 
 Je voudrais vous soumettre mon interrogation sur un embalement qui semble se
 declarer chez les operateurs IP, a savoir la securisation des sessions BGP
 via authentification MD5.
 Est-ce une mesure de protection face a un reele trou de securité majeur, ou
 est ce le resultat d'un embalement paranoïaque de la part des ISP.

C'est une faille TCP récente impactant essentiellement les sessions de
longue durée, dont notamment les sessions BGP, y'a un advisory Cisco qui
indique l'actication du MD5 comme workaround :

http://www.securityfocus.com/archive/1/360843


Dom


Liste de diffusion du FRnOG
http://www.frnog.org/
---
Archives :
http://www.frnog.org/archives.php
---

Re: [FRnOG] BGP et MD5

[Salim Gasmi]

At 4/22/2004 10:30 AM, you wrote:
Bonjour la liste,

Je voudrais vous soumettre mon interrogation sur un embalement qui semble se
declarer chez les operateurs IP, a savoir la securisation des sessions BGP
via authentification MD5.
Est-ce une mesure de protection face a un reele trou de securité majeur, ou
est ce le resultat d'un embalement paranoïaque de la part des ISP.
Toujours est il que l'on ne compte plus les demandes de securisation MD5 des
sessions inter-operateurs sur les noeuds d echanges tel que le SFINX, Parix,
FreeIX.
Quand on interroge les initiateurs de ces demandes, on n'obtient pas de
reponses. Est-ce pour eviter d'ébruiter le fait qu'il y ai une faille
potentielle de leur systeme ?
Neanmoins, un rapport de Juin 2003 diffusé sur Nanog faisait le bilan des
vulnerabilités de BGP.
Donc paranoia ou danger réel, c est a vous de me dire 
JPh


Liste de diffusion du FRnOG
http://www.frnog.org/
---
Archives :
http://www.frnog.org/archives.php
---
Apres avoir bien lu le rapport Frantz diffusé sur Nanog, la conclusion est que
BGP est assez secure en terme d'injection de routes en provenance d'un intrus
car celui ci devrait faire du spoofing donc faire di TCP sequence prediction
ce qui est estimé dans le rapport a 4 ans de flood intensif .
Par contre le gros point, est le risque d'injection de routes malicieuses
par une session deja existante a qui ont fait confiance.
C'est pourquoi le gros conseil est de systematiquement filtrer les annonces
que l'on recoit (cf RaToolSet et RtConfig).
L'ajout d'une authentification MD5 nous assure qu'on parle au bon peer
et cela bloque les attaques de type ARP spoofing qui sont facilement 
realisables
sur un gix quelconque.

Pour resumer, il faut filtrer ses annonces en cas ou un peer se fait 
compromettre son routeur
et mettre du MD5 pour bloquer les attaques de type ARP spoofing, par contre 
rien a craindre
du cote du spoofing TCP.

Salim

-
Salim Gasmi
Directeur technique - Sdv Plurimedia - http://www.sdv.fr
-



Liste de diffusion du FRnOG
http://www.frnog.org/
---
Archives :
http://www.frnog.org/archives.php
---

Re: [FRnOG] BGP et MD5

[Olivier Warin]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Bonjour,
Je ne suis pas un expert en routage dynamique et donc je ne connais pas 
en profondeur BGP; par contre, je te recommanderais la lecture de CERT 
Technical Cyber Security Alert TA04-111A -- Vulnerabilities in TCP du 
20 avril 2004 mais bon les BGPd ne sont surement pas accessible au 
public...
Ces problemes de securite repausent essentiellement sur la possibilite 
de determiner l'ISN sur les systemes d'exploitation *BSD, en 
l'occurance, ces nombres sont generes de facon reelement aleatoire. 
D'autres techniques ont donc emerge mais elles sont des lors 
relativement difficiles a mettre en pratique pour ce que j'en sais mais 
encore une fois, s'il y a un vrai expert en matiere de routage dans 
l'assemblee, il devrait pouvoir t'en apprendre plus.

Je doute fort qu'il y ait des trous de securite majeure sur les 
palteformes d'exchange inter-operateur par contre AMHA il vaut mieux 
entre paranoique que laxiste.
Par suite, on ne peut que difficilement critiquer une politique visant 
a securise des echanges de donnees a moins que ces-derniers nuisent 
de facon certaines aux performances et/ou a la stabilite d'une 
architecture.

Le 22 avr. 04, à 09:30, Jean-Philippe MARCEL a écrit :

Bonjour la liste,

Je voudrais vous soumettre mon interrogation sur un embalement qui 
semble se
declarer chez les operateurs IP, a savoir la securisation des sessions 
BGP
via authentification MD5.
Est-ce une mesure de protection face a un reele trou de securité 
majeur, ou
est ce le resultat d'un embalement paranoïaque de la part des ISP.
Toujours est il que l'on ne compte plus les demandes de securisation 
MD5 des
sessions inter-operateurs sur les noeuds d echanges tel que le SFINX, 
Parix,
FreeIX.
Quand on interroge les initiateurs de ces demandes, on n'obtient pas de
reponses. Est-ce pour eviter d'ébruiter le fait qu'il y ai une faille
potentielle de leur systeme ?
Neanmoins, un rapport de Juin 2003 diffusé sur Nanog faisait le bilan 
des
vulnerabilités de BGP.
Donc paranoia ou danger réel, c est a vous de me dire 

JPh


Liste de diffusion du FRnOG
http://www.frnog.org/
---
Archives :
http://www.frnog.org/archives.php
---

Cordialement
 /Olivier
- --
Warin Olivier
Xview dot net - Net  Web Services for Un*x Geeks
The Caudium Webserver (http://www.caudium.net)
Ce n'est pas parce que les choses sont difficiles que nous n'osons pas
mais c'est parce que nous n'osons pas que les choses sont difficiles.
Sénèque
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.2.4 (Darwin)
iD8DBQFAh60LsBj9sTvtXyoRAsT1AJ4hXU8N6Ct3uk5YInu41BqhDrb5DgCfQuux
ujptBgRe+SKJFNzfv9d8ig4=
=kcHt
-END PGP SIGNATURE-

Liste de diffusion du FRnOG
http://www.frnog.org/
---
Archives :
http://www.frnog.org/archives.php
---

Re: [FRnOG] BGP et MD5

[Issam Hakimi]

Le jeudi 22 Avril 2004 10:30, Jean-Philippe MARCEL a écrit :
 Bonjour la liste,

 Je voudrais vous soumettre mon interrogation sur un embalement qui semble
 se declarer chez les operateurs IP, a savoir la securisation des sessions
 BGP via authentification MD5.
 Est-ce une mesure de protection face a un reele trou de securité majeur, ou
 est ce le resultat d'un embalement paranoïaque de la part des ISP.

Je pense que c'est un peu des deux, et surtout le fait qu'un exploit est 
pratiquement au point.

 Toujours est il que l'on ne compte plus les demandes de securisation MD5
 des sessions inter-operateurs sur les noeuds d echanges tel que le SFINX,
 Parix, FreeIX.
 Quand on interroge les initiateurs de ces demandes, on n'obtient pas de
 reponses. Est-ce pour eviter d'ébruiter le fait qu'il y ai une faille
 potentielle de leur systeme ?

Je dirais que certaines personnes, ne savent pas trop pourquoi elles 
sécurisent et qu'elles suivent le mouvement.
Surtout que normalement et en théorie, les points d'échange ne sont pas 
réellement sensible à cette attaque .

 Neanmoins, un rapport de Juin 2003 diffusé sur Nanog faisait le bilan des
 vulnerabilités de BGP.
 Donc paranoia ou danger réel, c est a vous de me dire 

Pour ma part, je trouve que l'attaque est assez dur à exploiter, mais qu'elle 
présente un réel risque.
 
Cordialement,
Issam Hakimi

--
[ Direction général ]
Transnode | IP transit  server colocation
www.transnode.com | www.digital-network.net
UIN : 236428318


Liste de diffusion du FRnOG
http://www.frnog.org/
---
Archives :
http://www.frnog.org/archives.php
---

Re: [FRnOG] BGP et MD5

[Pascal Gloor]

Moi je vote et je dis qu'il bluffe... (copyright bon vieux film bien connu
:-))

La faille est connue et documentée depuis presque un an et personne n'a
réagi.

http://www.ietf.org/internet-drafts/draft-ietf-idr-bgp-vuln-00.txt

Maintenant allons un peu dans les détails...

- Il faut trouver un numéro de séquence dans la fenêtre TCP. donc 2^32 / TCP
window.
- On ne sait pas quel routeur à initié la session. 1 bit de plus.
- On ne connait pas le port source. admettons qu'il y en a que 32768 (2^15).

on arrive donc à:

32 + 1 + 15 - TCP window.

Admettons que la fenêtre TCP soit enorme, disons 65536 (2^16).

32 + 1 + 15 - 16 = 32.

ah? 2^32 == 4.3 milliards de possibilités.

si on connait le port src/dst, on a effectivement un problème de securité
car on a plus que 2^16 (65536) possibilités.

Salutations,

Pascal


Liste de diffusion du FRnOG
http://www.frnog.org/
---
Archives :
http://www.frnog.org/archives.php
---

Re: [FRnOG] BGP et MD5

[Vincent Gillet - Opentransit]

Sir Jerome,

 Juniper  Cisco ont tous les deux publié des bulletins de sécurité relatifs a la 
 vulnerabilité
 de TCP au paquets spoofés.
 
 Le bulletin Juniper (disponible pour peu d'avoir un acces client a juniper.net) 
 renvoie sur ce
 lien:
 
 http://www.uniras.gov.uk/vuls/2004/236929/index.htm
 
 qui explique assez bien le probleme.
 
 le bulletin Cisco est ici:
 
 http://www.cisco.com/warp/public/707/cisco-sa-20040420-tcp-ios.shtml
 
 D'une maniere generale la vulnerabilite affecte tous les stacks TCP.
 
 Les documents soulignent la vulnerabilité plus importante de BGP a cette faille car 
 BGP
 fonctionne sur des sessions TCP continues dans le temps, et cette vulnerabilite 
 permettrait de
 reinitialiser les sessions (je ne te detaille pas les consequences sur l'Internet 
 suite au
 damping des routes qui flappent, etc. tu connais tout ca).
 
 Toutefois, comme tu le soulignes, cela fait deja bien longtemps que BGP est 
 vulnerable a un
 nombre impressionnant d'attaques, sans que cela n'ait jamais gené personne. D'une 
 maniere
 generale, tout protocole de routage non authentifié est vulnerable a des attaques de 
 type
 spoofing (encore pire, un IGP link-state sur media partagé (ethernet) est encore plus
 vulnerable).
 Bref, les 'hackers de l'internet' ont beaucoup de failles plus interessantes a 
 exploiter sur
 les OS que celles qui consistent a attaquer les routeurs.
 
 Cela n'empeche que le mouvement de paranoia de ces derniers jours est finalement 
 plutot
 positif, car on ne peut nier l'utilité d'authentifier les sessions BGP.

C'est un peu la paranoia en effet.
D'un coté, on connait bien les limites et risques de TCP et BGP.

Les risques liés à MD5 sont bien moins connus (CPU hog) et l'overwork
pour les exploitants est aussi pas négligeable.

Je ne suis pas pour le déployer massivement, mais avec les peers qui le
demande.

Vincent.

Liste de diffusion du FRnOG
http://www.frnog.org/
---
Archives :
http://www.frnog.org/archives.php
---

RE: [FRnOG] BGP et MD5

[Spyou]

At 17:29 22/04/2004, you wrote:
Et ceci même si au bout du compte le fait d'activer MD5 te rend encore 
plus vulnérable qu'avant, la différence étant que la vulnérabilité TCP tu 
pouvais la supprimer (si tu ne l'as pas fait c'est une faute de ta part), 
alors que le problème de CPU avec une attaque MD5 il n'y rien à faire 
(donc c'est pas de ta faute).
Ceci etant, d'apres ce que j'ai vaguement compris du probleme, si on 
empechait les paquets spoofés de passer par n'importe ou, on serai a peu 
pres tranquille .. tant coté bug TCP que coté ddos sur MD5 ?

(evidemment, la, coté charge d'exploitation, y'a du boulot ..) 


Liste de diffusion du FRnOG
http://www.frnog.org/
---
Archives :
http://www.frnog.org/archives.php
---

Re: [FRnOG] BGP et MD5

[Vincent Gillet - Opentransit]

[EMAIL PROTECTED] disait :

 --On jeudi 22 avril 2004 15:20 +0200 Pascal Gloor [EMAIL PROTECTED] wrote:
 
  si on connait le port src/dst, on a effectivement un problème de securité
  car on a plus que 2^16 (65536) possibilités.
 
 Sachant que celui ci est bien souvent visible depuis un looking glass.

... les looking glass bien fait (qui sont la majorité tout de même)
cachent bien cette info.
Par contre, le probleme de la range des ports sources est bien réel.
Il me semble que des vendors tournent sur une cycle de 3 ou 4000 ports
TCP  au lieu d'utiliser le spectre de 32000 ou 64000  c'est un
peu dommage, mais laisse tout de même pas mal de temps pour tomber sur
la bonne combinaison.
Je suis tout a fait d'accord sur l'analyse de Pascal.

Vincent

Liste de diffusion du FRnOG
http://www.frnog.org/
---
Archives :
http://www.frnog.org/archives.php
---

Re: [FRnOG] BGP et MD5

[Rhodora Ochoco]

im sorry but u keep sending me this email. pls. remove me from your lists!
i'm not interested!thak u!
- Original Message -
From: Pascal Gloor [EMAIL PROTECTED]
To: [EMAIL PROTECTED]
Sent: Thursday, April 22, 2004 1:34 PM
Subject: Re: [FRnOG] BGP et MD5


  Je suis tout a fait d'accord sur l'analyse de Pascal.

 bien vu Vincent, j'ai droit a un rabais sur le transit du coup ?

 Pascal
 
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 ---
 Archives :
 http://www.frnog.org/archives.php
 ---


Liste de diffusion du FRnOG
http://www.frnog.org/
---
Archives :
http://www.frnog.org/archives.php
---