Date: Tue, 2 Apr 2002 09:52:27 +0100 From: Alex Holst <none@a--area51.dk.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: Sikkerhed omkring ICMP.
Quoting Morten Vinding Nielsen (mvn@metropol.dk):
> Nu har jeg i et stykke tid hørt på argumenter for ikke at svare på ping
> (ICMP) af sikkerhedsmæsige oversager, aligevel bliver mange af de store
> sites, bla. yahoo.com, ved med at gøre det.
Hvis dit interne netvaerk ikke svarer paa ICMP og UDP fra ydersiden er
det svaerer for en angriber at foele sig frem paa dit netvaerk.
Der opnaas helt klart et niveau af "obscurity" ved at droppe bestemte
ICMP og UDP pakker (f.eks. Timestamp, etc) foran sit netvaerk, men at
droppe det for een maskine eller for det /24 net som alligevel skal vaere
tilgaengelig for hele verdenen er fjollet.
> Consequences:
> Unauthorized users can obtain information about your network by sending
> ICMP timestamp packets. For example, the internal systems clock should not
> be disclosed since some internal daemons use this value to calculate ID or
> sequence numbers (i.e., on SunOS servers).
Hvis det virkeligt er vigtigt paa dit netvaerk vil jeg anbefale du
skifter til et OS som ikke benytter klokkeslettet som et seed til tcp
sequence numre.
*Alle* maskiner boer alligevel koere praecis samme tid fra en stratum-2
kilde.
-- I prefer the dark of the night, after midnight and before four-thirty, when it's more bare, more hollow. http://a.area51.dk/
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:19 CET