Dosazitelnost BGP routeru

Dan Lukes dan at obluda.cz
Sun Feb 7 22:21:32 CET 2016


On 02/07/16 21:46, Zbyněk Burget wrote:
>> No ona ta RFC5963 nerika, ze neroutovatelnou adresu mit musis. Tam
>> pisou, ze IXP se muze rozhodnout takovou pouzit ve snaze omezit DoS
>> utoky na tvuj router. A zminuji tam, ze pak ten router nebude verejne
>> dostupny (coz neprekvapi, kdyz je to cil te konfigurace).
>
> Aby tohle melo smysl, musela by i vnitrni adresa toho routeru byt
> neroutovatelna. A i vnejsi adresa dalsiho routeru v kaskade. Protoze pak
> mi sice nesejmou DoS utokem edge router, ale ten dalsi.


Na se nabizi hned dve odpovedi:

1. RFC5963 nerika, ze to je dokonala ochrana proti utokum - jen, ze to 
je ochrana (coz je). Jak uz to byva, jsou i dalsi mozne vektory utoku a 
proti tem je treba prijmout opatreni samostatne.

nebo

2. Ten "dalsi router" uz s routerem IXP primo nesousedi, takze ho primo 
zpetne neohrozuje. Jeho ochrana tudiz IXP netrapi, to uz je tvoje 
starost ...

Vyber si, ktera odpoved je ti sympatictejsi. Ne, ze by ti nejak pomohla 
kterakoliv z nich ;-)


Dan





More information about the Users-l mailing list