LINUX.ORG.RU

Интернет в опасности - глобальная атака man-in-the-middle

 ,


0

0

Специалисты по безопасности, прибывшие на последнюю конференцию DefCon, рассказывают о способе тихого пассивного прослушивания или даже полного управления трафиком практически любой Интернет сети из-за уязвимости протокола BGP. Решения пока нет.

Тема прямого отношения к Linux не имеет, но, тем не менее, очень актуальна и интересна для обсуждения. Также не стоит забывать, что в сети уже немало основанного на Linux сетевого оборудования магистрального масштаба.

>>> Подробности (PDF)

★★★★★

Проверено: Shaman007 ()
Последнее исправление: Klymedy (всего исправлений: 1)

и чем вам IPv6 не угодил? Совместно с SCTP оно решает многие проблемы маршрутизации.

stalkerg ★★★★★
()

Что примечательно, под угрозой сама концепция динамической структуры интернета. Идея-то была в лёгкости анонсирования чего угодно и откуда угодно, с возможностью быстрого переноса точки подключения.

А тут получаем необходимость городить кучу фильтров, возможно и вручную. Это откат в прошлое а-ля телефонные сети, где все всех должны ручками у себя прописывать...

anonymous
()
Ответ на: комментарий от anonymous

> Если это современный язык, то он — <censored/>

Эт милок современай фальклор. Частушки по-нашенски. Ты не серчай что темный ты. На басурманских наречьях поди только и лепечешь. Ничо - научишься.

eXOR ★★★★★
()

Траффик шифровать надо. Ну, перехватит кто-нить шифрованный поток -- что он с ним делать будет? Распечатает, и на стенку повесит?

one_more_hokum ★★★
()
Ответ на: комментарий от anonymous

Вообщето фильтры и так все разумные транзитные провайдеры применяют. Попробуй подлючись и начни анонсировать AS гугла - твои анонсы никто не примет.

Фильтры делаются на основе описаний в базе RIPE (для европы, что а америке - не вкурсе) и все нужные скрипты кому это нужно давно написали.

Мы когда свою AS получили пинали и ждали неделю чтобы весь мир увидеть: пока наш аплинк у себя настроит, пока аплинки нашего аплинка настроют у себя фильтры.

Без фильтров живут только те кто через себя трафик не транзитит.

zhiltsov
()
Ответ на: комментарий от anonymous

> "MAIN in the middle"

Забористая трава, дайте мне тоже/

anonymous
()
Ответ на: комментарий от anonymous

>"MAIN in the middle", а не "man"

Main in the muddle.

anonymous
()

ОМФГ. После таких пдфком резать пальцы надо это раз. Во-вторых, описано фуфло полное. Ни один нормальный человек не будет "пириться" с кем попало. В-третьих, такое постить только в журнал хакер и точно не на ЛОР. В-четвертых, соц. инженерия всегда рулила, но только на идиотах.

gh0stwizard ★★★★★
()

Бойан. Фильтры на анонсы и всё.

anonymous
()
Ответ на: комментарий от anonymous

>> Вообще-то фильтруют, Российские магистральные провайдеры - точно. Когда делают точки обмена трафиком, тоже фильтруют анонсы друг друга. Просто обязаны фильтровать. Иначе это не интернет будет а бардак. Если не будут фильтровать, кто угодно сможет анонсировать чужие сети как свои.

>Вы проверяли? И многие ли?

Проверяли. За всех, естественно, отвечать не могу.

>Под точками обмена трафика вы что понимаете?

А вы? :)

>Если msk-ix, например, то примеров, когда даже через рефлекторы msk-ix кто-то выливал всем пирам какой-нибудь левоты


Классическая точка обмена трафиком должна принимать анонсы только от непосредственно подключенных к ним сетей и только строго определённые анонсы.

Точки обмена трафиком крупных операторов, принимающие full view от подключений естественно примут всё, что им передали. В таком случае админы тут не при чём. Наказывать нужно анонсировавших чужие сети.

>И вы забываете, что для того, чтобы избежать описанного в тугаменте фильтровать должны все и всех. То есть вообще, все. Без исключений.


Когда мы идём по улице, мы не думаем, что кто угодно может прямо сейчас же вынуть ножик и пырнуть нас в спину. В этом случае мы никак не можем на это повлиять. Зато общество может наказать виновных. Очень многие вещи в жизни строятся на доверии и на власти большинства.

В этой новости какой-то Капитан Очевидность пытался убедить нас в том, что в любой момент на улице нас могут убить. Ну и что здесь нового?

morbo
()
Ответ на: комментарий от slacker

>следующим будет линупс!

следующим будет приход в этот мир Тотального Логопеда

black7
()

По сравнению с "Паникёрами" аль Атоми это фигня...

hobbit ★★★★★
()
Ответ на: комментарий от morbo

> Вообще-то фильтруют, Российские магистральные провайдеры - точно. Когда делают точки обмена трафиком, тоже фильтруют анонсы друг друга. Просто обязаны фильтровать.

Европа под RIPE в этом смысле - приятное исключение. Америка больше плевала на это. У них даже нормального единственного авторитетного источника списков раутинга нет (RADB - дай бог чтобы половиной использовалась). Увы.

netch
()
Ответ на: комментарий от stalkerg

> и чем вам IPv6 не угодил? Совместно с SCTP оно решает многие проблемы маршрутизации.

НИХРЕНА они не решают здесь. Защита одного соединения? Она давно без них решена - для BGP так точно. Чем ещё SCTP помог бы? Ещё тщательнее передать бредовые данные?

(Вообще, не надо рекламировать гнилых комитетских выбредков, как IPv6. Я бы ещё понял SCTP - оно действительно полезно для своих случаев, хотя некоторые диверсии вроде потери двустороннего коннекта неприятны. Но IPv6... это же чем надо думать вместо головы чтобы его рекламировать как лекарство...)

netch
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.