¿Redireccionamientos ICMP y enrutamiento de origen en la naturaleza?

4

En teoría, los mensajes de redirección de ICMP (IPv4 e IPv6) y el enrutamiento de origen (IPv4) / encabezados de enrutamiento (IPv6) son muy peligrosos. Sin embargo, tengo curiosidad por saber si los ataques que usan estas características realmente funcionan en la naturaleza. Los problemas han sido conocidos durante mucho tiempo, los encabezados de enrutamiento han sido oficialmente obsoletos (RFC 5095).

Entonces, mi pregunta es, ¿son estos vectores de ataque algo que debería preocuparse? ¿Las comprobaciones de estas características siguen siendo parte de las rutinas de endurecimiento estándar en los enrutadores?

    
pregunta chris 24.09.2011 - 12:39
fuente

2 respuestas

1
  

... ¿son estos vectores de ataque algo que debería preocuparse?

No, en realidad no.

Me atrevería a suponer que pocos, o ninguno, firewalls comerciales aceptan paquetes LSRR / SSRR. Incluso podría darse el caso de que los enrutadores de red troncal eliminen estos paquetes. Suponiendo que su objetivo es usar algún tipo de preparación doméstica de iptables / pf, parece probable que sean necesarias reglas para bloquear estos paquetes.

  

Si las comprobaciones de estas características siguen siendo parte del endurecimiento estándar   rutinas en los enrutadores?

No veo por qué no? Es un conjunto de reglas simple para agregar y dudo que algunas reglas más tengan algún impacto en el rendimiento.

    
respondido por el Christoffer 25.09.2011 - 15:58
fuente
0

Redirecciones ICMP

Los mensajes de redireccionamiento de ICMP están limitados al subconjunto en el que se encuentra, no se reenvían. No veo cómo crean un riesgo tan terrible.

Dentro de una subred IP, a menudo hay una confianza implícita: cualquier computadora podría responder a la solicitud ARP de cualquier otra dirección IP con su propia dirección física para recibir el tráfico enviado a otra computadora en la misma subred IP. Esta es una propiedad fundamental de los enlaces locales que utilizan el protocolo ARP.

Observación: las subredes IP, incluso en Ethernet, no necesariamente dependen del protocolo ARP: otra opción es hacer que la IP a los enlaces físicos sea estática. Esto rara vez se realiza en los enlaces Ethernet debido a la carga de administración.

Enrutamiento de origen

Al hacer que un paquete IP tome una ruta absurda utilizando el enrutamiento de origen, uno podría perder el ancho de banda de enrutamiento. Para que esto funcione, las direcciones IP de los enrutadores mencionadas en la ruta de origen (o "encabezado de enrutamiento") deberán configurarse para aceptar el reenvío de la ruta de origen (esta no es la configuración predeterminada).

Configuración del enrutador

Creo que la configuración predeterminada de cualquier sistema operativo medio decente será sensata. Pero no hace daño comprobar.

IPv6 podría tener más errores, solo porque:

  • El código IPv6 es más nuevo, el código IPv4 ha sido sometido a pruebas de estrés durante mucho tiempo;

  • son menos enrutadores configurados con IPv6, menos configuraciones diferentes, menos exploración de cada caso de esquina extraño ...

respondido por el curiousguy 25.09.2011 - 17:08
fuente

Lea otras preguntas en las etiquetas