On Fri, 27 June, 2003 1:18 AM, Olaf Hoyer wrote:
> On Thu, 26 Jun 2003, Patrick Hess wrote:
> >
> > > Ich habe hier eine Liste von 15-20 Netzen, die extern nicht
> > > geroutet werden.
> >
> > Stimmt, die hattest du glaube ich hier irgendwann schon mal genannt.
> > Da werde ich noch mal das Listen-Archiv bemühen.
> >
> > > Wenn du nur die Intra IPs filtern willst und nicht die ganzen
> > > reservierten und Military Blöcke, dann solltest du zumindest noch
> > > 169.254.0.0 - 169.254.255.255 filtern, was ja inzwischen recht
> > > verbreitet ist.
> >
>
> Normalerweise sollen solche Netze schon beim Provider am Borderrouter
> gefiltert werden, aber da gibt es auch schlechte Konfigurationen...
>
> Oder man bekommt wirklich einen scan mit gespooften Adressen.
Was gar nicht so selten vorkommt...
> > Und selbst wenn sie nicht gefaked wären: Wie viele 192.168.0.1 wird
> > es wohl auf dieser Welt geben? Ich habe ja selbst so einen hier
> > stehen. Wenn ich dann sowieso an den Regeln bastele, werde ich das
> > Logging wohl gleich rausnehmen. Wobei eigentlich immer ganz
> > interessant war, zu sehen, auf welchen Ports sowas alles reinkommt.
> >
> > Die Gunst der Stunde möchte ich jetzt nutzen: Ich habe mir schon
> > öfters überlegt, was eigentlich passiert, wenn ein IP-Paket aus
> > einem anderen Subnetz in mein privates 192.168.0.* reinkommt, kann
> > es mir nur nicht richtig vorstellen. Nehmen wir mal an, da schleuse
> > jemand eine 6.0.0.1 ein (ist glaube ich auch ein reservierter
> > Bereich). Was kann so ein Paket in einem 192.168er Netz auslösen?
> >
>
> Naja, laut http://www.iana.org/assignments/ipv4-address-space
> nicht so ganz wirklich "reserviert"
>
> 000/8 Sep 81 IANA - Reserved
> 001/8 Sep 81 IANA - Reserved
> 002/8 Sep 81 IANA - Reserved
> 003/8 May 94 General Electric Company
> 004/8 Dec 92 Bolt Beranek and Newman Inc.
> 005/8 Jul 95 IANA - Reserved
> 006/8 Feb 94 Army Information Systems Center
> 007/8 Apr 95 IANA - Reserved
>
>
> 6.0.0.0/8 hat auch authoritative NS, so dass das laeuft, sind also
> legitime Pakete, und sind auch im weltweiten Routing drin.
Ich hab mal im Archiv die alte Mail von Bernd wieder ausgegraben:
http://www.de.freebsd.org/de/archive/de-bsd-questions.200303/0867.html
Dort ist allerdings zu lesen, daß 6.0.0.0/8 nicht gerouted wird?!
> 5.0.0.0/8 sieht da etwas anders aus...
>
> Dafuer gibt es noch nichtmal ne vernuenftige Route, und der whois sieht
> auch entsprechend aus.
>
> Wenn so ein Paket im LAN existiert, wird die Antwort versucht, an das
> defaultgateway weiterzuleiten, welches dann spaetestens beim Provider
> geblockt wird. (!N)
>
>
> > Wenn das nicht wirklich was machen könnte, würde es ja reichen, im
> > Paketfilter nur das Subnetz über tun0 zu blocken, das man selbst im
> > LAN benutzt. Oder vielleicht doch nicht? Hmm...
>
> Sollte man blocken, weil die Teile sonst bei Attacken doch etwas Zeit
> ziehen, die man fuer andere Sachen gut gebrauchen kann.
>
> Doof wird es, wenn man selber ein 192.168.0.0/24 hat, und ein solches
> Paket sich irgendwie am NAT vorbeimogelt, respektive bei VPN-Kopplung /
> oder Tunnelung eines VPNs zum VPN an einem anderen Standort einige
> Adressen bereits mal doppelt vergeben sind.
>
> Dann koennen solche Pakete einige Verwirrung stiften.
>
> (Bitte den Schreibstil zu entschuldigen, komme gerade von der Kieler
> Woche nach Hause *hicks*)
>
> Olaf
Gruß
Florian
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 27 Jun 2003 - 08:35:58 CEST