Dosazitelnost BGP routeru

Dan Lukes dan at obluda.cz
Mon Feb 8 12:48:19 CET 2016


On 02/08/16 12:07, Vilem Kebrt wrote:
>> A to je koren veci - jak zaridit, aby vsechny lokalni programy
>> pouzivaly pri svych operacich vyhradne vnitrni IP adresu.

> ifconfig create lo1 inet <our_public_ip> mask 255.255.255.255

To je vskutku velmi odvazna myslenka - nahodit tu "vnejsi" adresu na 
loopback a ten skutecny vnejsi interface nechat 'up' bez adresy. A 
doufat, ze system si p[ak "defautne" bude pro odchozi spojeno vybirat 
nejakou nam milejsi adresu (coz by se skutecne mohlo stat).

Teda, na kritickem centralnim routeru bych do toho asi nesel, tohle je 
natolik velka odchykla od "bezne konfigurace", ze se nedaji dobre 
odhadnout vsechny vedlejsi dopady, ktery by to melo (a hrozily by znovu 
a znovu pri kazdem upgrade systemu i routovaciho daemona) - a toho bych 
se na tak dulezitym stroji bal.

Ale jako hypoteticky reseni to vypada ukrutne zajimave.

Hned v uvodu by se ale musely vyresit "drobnosti" - aby ten interface 
bez adresy vubec fungoval, je treba zajistit aby protistrane odpovidal 
na arp dotazy. To by, mozna, mohl zaridit 'pub' flag arp prikazu.

Dal je tady skupina problem okolo toho, ze ten vystupni interface nebude 
mit zadnou IP adresu. Idea unnumbered interface neni operacnimu systemu 
cizi, ale standardne se s tim pocita pouze na P2P interfacech. Je 
otazka, jaky vsecny nakolik se k tomu necha presvedcit u interface, 
ktere P2P neni.

Jde zejmena o otazku jestli pujde do routovaci tabulky narvat default 
route skrz takovy interface, ktery nema adresu. A ted se v uvahach 
neomezuju na to, co dokazou nakonfigurovat standardni systemove utility 
- spis na to, co v routovaci tabulce zkousne samo jadro.

Pak je tu neprijemna otazka, jestli by s takovym interfacem byl ochoten 
pracovat routovaci daemon. I zde by s odkazem na unnumbered P2P bylo 
mozne doufat, ale jestli by to slo v praxi na ne-P2P rozhrani se da 
zjistit jen praktickym pokusem s tim konkretnim routovacim daemonem 
(navic v konkretni verzi).


Kdyz se podari prekonat vsechny tyhle "drobnosti" zbyva kardinalni 
otazka - jakou zdrojovou IP adresu system zvoli pro navazovane TCP 
spojeni, ktere bude odchazet pres interface bez adresy ? Nejakou urcite 
ano - unnumbered interface jsou v systemu legitimni, takze tahle otazka 
musi mit odpoved. Ale nemusi tou odpovedi byt ta adresa, ktera by se nam 
libila ...

No, rozhodne jde o skutecne velmi kreativni napad. Takhle daleko jsem se 
v uvahach vubec neodvazil zajit. Daleko snazsi bylo presvedcovat Zbynka, 
ze vnejsi dosazitelnost vlastne skoro nepotrebuje ... ;-)

Sakra, uz nejak pohodlnim ...

Dan



More information about the Users-l mailing list