> Spyou écrit:
> Ceci etant, d'apres ce que j'ai vaguement compris du
> probleme, si on empechait les paquets spoofés de passer
> par n'importe ou, on serai a peu pres tranquille ..
- Discussion du "à peu près": voir plus bas.
> tant coté bug TCP que coté ddos sur MD5 ?
Pour TCP, certainement. Pour MD5, la logique dirait oui, mais....
Bien que la séquence logique soit de tester si le paquet est spoofé _puis_ de le
déchiffrer, sur les routeurs qui implémentent le partage des tâches entre plusieurs
cartes, il est possible la séquence devienne que le paquet soit déchiffré d'abord,
puis passe dans la moulinette qui décide s'il est spoofé ou pas (pour des raisons
obscures allant de la manière dont le code est écrit à l'architecture des bus en
passant par l'age du capitaine). Ce qui rendrait la protection anti-spoofage négative
(les emmerdements que ça entraîne étant conséquents et ne balançant pas les avantages).
En théorie, la pratique et la théorie sont la même chose. En pratique, pas. Donc pour
MD5 je dirais "probablement, mais sujet à vérification".
> "à peu près tranquille"
A mon avis, la protection anti-spoofage contre les attaques qui réinitialisent la
session TCP de BGP n'est pas terriblement efficace, et voici pourquoi:
Ce genre d'attaque n'est pas l'oeuvre d'un amateur. Pour
avoir une chance de réussir, il faut "deviner":
- L'adresse des deux pairs (généralement pas trop difficile,
mais attention aux pièges à con genre interface utilisation
d'une interface loopback pour la session).
- Le numéro de système autonome des pairs. Pas trop
problématique non plus, mais faut faire ses devoirs.
- Le numéro de séquence TCP. Tous les routeurs ne sont pas
égaux, mais ça représente des milliards de paquets dans
le meilleur des cas, donc ce n'est pas à la portée de
n'importe qui.
Donc le mec qui t'attaque de cette façon sait ce qu'il fait. Ce qui veut dire qu'il va
t'attaquer sur l'interface de ton router avec des zombies qui arrivent sur la même
interface que ta session BGP, et ta protection anti-spoofage tombe à l'eau (vu que les
paquets spoofés arrivent sur la même interface que les paquets non-spoofés).
A mon avis, le seul remède contre ceci est RFC3682 (GTSM) et une faible distance en
cas d'ebgp-multihop:
http://www.faqs.org/rfcs/rfc3682.html
présentement implémenté seulement sur Cisco 12.3(T):
http://www.cisco.com/en/US/products/sw/iosswrel/ps1829/products_feature_guide09186a008020e6f5.html
> (evidemment, la, coté charge d'exploitation, y'a du boulot ..)
Je ne te le fais pas dire. Combiné à ce que je viens d'écrire, je laisse au lecteur le
soin de tirer ses propres conclusions.
Michel.
----------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
-----------------------------------------------
Archives :
http://www.frnog.org/archives.php
-----------------------------------------------
