|
|
 Up |
|
|
  |
|
Author: faxfax Date: Jul 28, 2008 03:29
|
| |
|
| | 16 Comments |
|
|
Author: biobio Date: Jul 28, 2008 04:30
> ma in ogni caso, il discorso è un altro; se si applica la patch ad un DNS che
> sta dietro ad un NAT, nel 90%% dei casi la patch verrà resa inutile dal NAT
> dato che quest'ultimo riassegna le porte e NON le assegna in maniera
> casuale; il che significa che un DNS aggiornato ma che sia posto dietro ad
> un NAT, resta ugualmente vulnerabile
No. Premesso che questo metodo e' utilizzabile anche senza nat, il nat
di netfilter non riassegna le porte se non e' strettamente necessario.
Quindi, nella fattispece, quanto sopra e' errato. Per i restanti casi:
per curiosita', potresti farmi qualche esempio significativo di router
o firewall o os che riassegna la porta sorgente di ogni datagramma udp
quando fa nat?
Fabio
|
| |
|
| | no comments |
|
|
Author: biobio Date: Jul 28, 2008 07:46
Ok, vedo che sul fatto che *almeno* iptables non si comporta come
dici gia' ci siamo ;-)
> Credo che tu ti sia perso qualcosa; in linea di massima, un NAT, qualunque
> NAT (Cisco o quello che vuoi) non usa un randomizer per le porte, il che
> significa che queste ultime vengono assegnate in ordine (quasi) sequenziale,
Temo che tu stia dando per scontato che le porte sorgente debbano
essere sistematicamente riassegnate per *ogni* datagramma udp, ma
questo non e' vero. Quindi la supposta assenza di un "randomizer"
e le altre tue considerazioni sulla vulnerabilita' dei dns dietro
ai nat lasciano tutte il tempo che trovano.
> il che a sua volta significa che l'aumento di entropia introdotto dalla patch
> viene ridotto se non annullato; per quanto riguarda il "qualche firewall"
Quello che dici e' privo di senso generale. Non puoi dire "il nat
vanifica le patch ai server". Lo fara', eventualmente, per *quei*
nat che si dovessero comportano in quel modo [assurdo].
Ripeto: mi daresti i riferimenti di qualche implementazione di un
nat che riscriva la porta sorgente di *ogni* datagramma udp? E di
queste, quali lo fanno sequenzialmente?
|
| Show full article (1.44Kb) |
| no comments |
|
|
Author: faxfax Date: Jul 28, 2008 08:19
bio ha scritto:
> Ok, vedo che sul fatto che *almeno* iptables non si comporta come
> dici gia' ci siamo ;-)
>
>> Credo che tu ti sia perso qualcosa; in linea di massima, un NAT, qualunque
>> NAT (Cisco o quello che vuoi) non usa un randomizer per le porte, il che
>> significa che queste ultime vengono assegnate in ordine (quasi) sequenziale,
>
> Temo che tu stia dando per scontato che le porte sorgente debbano
> essere sistematicamente riassegnate per *ogni* datagramma udp, ma
> questo non e' vero. Quindi la supposta assenza di un "randomizer"
> e le altre tue considerazioni sulla vulnerabilita' dei dns dietro
> ai nat lasciano tutte il tempo che trovano.
>
>> il che a sua volta significa che l'aumento di entropia introdotto dalla patch
>> viene ridotto se non annullato; per quanto riguarda il "qualche firewall"
>
> Quello che dici e' privo di senso generale. Non puoi dire "il nat
> vanifica le patch ai server". Lo fara', eventualmente, per *quei*
> nat che si dovessero comportano in quel modo [assurdo]. ...
|
| Show full article (1.78Kb) |
| no comments |
|
|
Author: faxfax Date: Jul 28, 2008 08:25
Arne Saknussemm ha scritto:
>> Temo che tu stia dando per scontato che le porte sorgente debbano
>> essere sistematicamente riassegnate per *ogni* datagramma udp, ma
>> questo non e' vero.
in fondo a quell'articolo c'è però l'update:
UPDATE:
|
| Show full article (1.52Kb) |
| no comments |
|
|
Author: biobio Date: Jul 28, 2008 08:55
> * PAT (Port Address Translation). Also called simply "NAT" or "Network
> Address Port Translation, NAPT". This involves the translation of both
> IP addresses and port numbers.
C'e' un implicito "if required" alla fine. Non e' necessario che ci sia
la traduzione della porta sorgente, quoando lo scopo e' quello di fare
"MASQUERADING", per dirala lla linuxese.
Fabio
|
| |
| no comments |
|
|
Author: biobio Date: Jul 28, 2008 08:53
>> Temo che tu stia dando per scontato che le porte sorgente debbano
>> essere sistematicamente riassegnate per *ogni* datagramma udp, ma
>> questo non e' vero.
Purtroppo l'articolo contiene molte inesattezze, tra cui quella piu'
importante:
<<...
it has to assign a new source port, because the NAT device has
to assign unique ports for all of the hosts on the internal network
... >>
Questo e' l'assunto errato da cui deriva tutta l'errata trattazione
che ne segue, che e' una sua mera speculazione priva di ogni supporto
sperimentale (che lo avrebbe messo sulla buona strada). Ci sono anche
errori relativi alla vulnerabilita' dns in oggetto, come il riferirsi
ai "caching dns" invece che agli "iterative dns" o "recursive dns",
ecc, ma sono d'importanza marginale per questo problema.
|
| Show full article (1.47Kb) |
| no comments |
|
|
Author: biobio Date: Jul 28, 2008 09:09
> NAT (e neanche pochi, visto che, a quanto sembra anche diversi Cisco soffrono
> del problema) che invece non si "comportano bene"; a questo punto,
Quali Cisco? Io ho sotto mano solo una decina di prodotti, che spaziano
in un range di circa 12 anni di produzione, ma... nessuno fa quello che
dici. Mi daresti i riferimenti dove hai letto di questi "diversi Cisco"
che vorrei dargli un'occhiata?
Fabio
|
| |
| no comments |
|
|
Author: whiplashwhiplash Date: Jul 28, 2008 09:16
Arne Saknussemm ha scritto:
>
> http://blog.spoofed.org/2008/07/mitigating-dns-cache-poisoning-with-pf.html
>
> ma in ogni caso, il discorso è un altro; se si applica la patch ad un DNS che
> sta dietro ad un NAT, nel 90%% dei casi la patch verrà resa inutile dal NAT
> dato che quest'ultimo riassegna le porte e NON le assegna in maniera
> casuale; il che significa che un DNS aggiornato ma che sia posto dietro ad
> un NAT, resta ugualmente vulnerabile
Falso, in generale.
Netfilter, ad esempio, tende a conservare le porte sorgente.
|
| |
| no comments |
|
|
|
|
|
Author: whiplashwhiplash Date: Jul 28, 2008 09:24
fax ha scritto:
> Arne Saknussemm ha scritto:
>>> Temo che tu stia dando per scontato che le porte sorgente debbano
>>> essere sistematicamente riassegnate per *ogni* datagramma udp, ma
>>> questo non e' vero.
>
> in fondo a quell'articolo c'è però l'update:
Un update superfluo per chiunque conosca decentemente il nat di netfilter.
E a me risulta che anche tanti altri nat facciano lo stesso; quello di PF,
invece, di default randomizza la porta sorgente, se male non ricordo e
in tal caso va benissimo lo stesso.
|
| |
| no comments |
|
|
|
|
