Vlákno názorů k článku Protokol BGP pod útokem od Milan - No já nevím, ale procházející nekryptovanou komunikaci vždy...
-
Milan (neregistrovaný)No já nevím, ale procházející nekryptovanou komunikaci vždy viděl každý správce jakéhokoliv routeru po cestě, no tak to vidí ještě někdo další - no a co, kde je ten problém?
Všichni víme, že normální mail je jako pohlednice, kdo to dostane do ruky, tak si to přečte. Pokud to nechceme, šifrujeme... -
z (neregistrovaný)Jiste, da se timto zpusobem presmerovat komunikace pres stroj, ktery mam pod kontrolou a tim padem se daji data ruzne zpracovavat bez toho, aby to koncove uzly vedely. Ale to stale nic nemeni na tom, ze to neni ani tak problem routovani, jako predevsim problem zabezpeceni komunikace a dat.
Kdo mi zaruci, ze me neodposlouchava muj ISP ? Kdo mi zaruci, ze nekdo na nejakem routeru cestou nedela s mou komunikaci neco nekaleho ? Specialne pri strukture ceskeho internetu kde temer veskera data jsou pres jediny uzel staci ovladat prave ten.
Navic tento utok pokud dobre chapu potrebuje relativne zasadni podminky. Musim znat kdo s kym komunikuje a musi jit o komunikaci trvalejsiho razu, protoze dostat do systemu sve routy neni na 5s. V neposledni rade musim mit dostatecnou konektivitu aby se routovani pres muj stroj neukazalo nejak extremne na odezvach ....
---
Filtrovani je nesmysl samo o sobe, ISP vi obecne prd o tom, jake rozsahy ma jeho klient, specialne v pripadech, kdy je klient pripojen vice smery a pouziva vice rozsahu. -
Dobry den,
nikdo Vam nezaruci, ze Vas Vas ISP neodposlouchava. Nicmene zrovna v ceskem prostredi je situace takova, ze by se pripadne manipulace s daty velmi rychle rozkecala a mam dojem, ze clenum/majitelum toho uzlu by se to vubec nelibilo. Proto muzeme byt klidni. Stejne tak sledovani zapovidaji zakony.
Pri odposlouchavani musite VZDY znat, kdo s kym komunikuje. Stejne tak musite mit vzdy dostatecnou trubku. Take skoro vzdy musite vedet dostatecne predem, jaky provoz Vas zajima.
Vy jste si skutecne vedom toho, ze Vas tranzitni ISP poslusne odroutuje vsechno, co mu posilate? Filtrovani podle prefixu zakazniku je jednou z mala best current practices, ktera odlisuje dobreho tranzitniho ISP od spatneho. Chapu, ze nefiltruji ISP v Pakistanu (pripad YouTube), ale v kontextu stredni Evropy by mel slusny tranzitni ISP rozhodne filtrovat. Moji tranzitni ISP se me zatim vzdy zeptali, jake prefixy maji propagovat.
Muzete prosim napsat, kteri tranzitni ISP v CR dle Vaseho nazoru nefiltruji? Takova informace jiste pomuze celemu trhu.
Samozrejme, Pepika odvedle muzou nechat dusledky tohoto clanku chladnymi. Nicmene na Pepikovi odvedle nestoji stabilita regionalniho Internetu.
Zdravi
MK -
Danny (neregistrovaný)Filtrovani rozhodne nesmysl neni, naopak, je to zakladni obrana, je jednoducha a lze ji realizovat na jakemkoliv pouzivanem smerovaci (narozdil od autorem zminovanych "secure" rozsireni, jejich cesta do bezneho zivota bude jeste dlouha) - kdyby lide nebyli lajdaci a lenosi, neni na co utocit. Utok primarne vychazi ze znalosti faktu, ze na patricne filtrovani na hranicich se velmi casto kasle.
Kazdy koncovy ISP muze svou smerovaci politiku presne popsat a jeho upstreamy z techto (verejne pristupnych) informaci slozit patricny vstupni filtr. Tou "magickou" veci je RPSL - Routing Policy Specification Language, na existuje primo RFC2622. Existuji i nastroje, ktere tuto cinnost umoznuji zautomatizovat.
Nekteri upstream provideri toto zdokumentovani primo vyzaduji. -
RaStr (neregistrovaný)Problem, je v tom, ze ve Vami popisovane situaci nemohl utocnik na jim ovladanem routeru (nebo obecne uzlu site) zachytit cokoliv si zamanul, mohl pouze monitorovat provoz, ktery pres jeho zarizeni sam od sebe prochazi bez moznosti toto nejak ovlivnit. Zmineny utok vsak umoznuje komukoliv kdo ma vlastni AS a siri sve routovaci informace pres BGP, presmerovat k sobe data jakekoliv obeti, cili vest naprosto cileny utok a to je urcite mnohem nebezpecnejsi nez jen nahodny odposlech prochazejicich dat. Nicmene mate pravdu, ze spolehat se na privatnost nesifrovanych dat zasilanych Internetem by se nemel nikdo a nikdy i bez tohoto utoku.
ČLÁNKY DO MAILU