[Nlnog] [Fwd: [Fwd: [IDS-Europe] Unauthenticated BGP vulnerability - vendorindependent]]

[Boudewijn Visser]

> fyi

Hm, de ids-europe lijst archieven zijn alleen voor members, dat maakt het
wat lastiger om een idee te krijgen van de kwaliteit van de informatie
daar.
Heb je misschien wat meer informatie (inmiddels ?) .

Dit mailtje kietelt mijn hoax-detector (dan wel oud nieuws detector) wel
een beetje, met zo weinig informatie, die dan wel wel bij TAC/JTAC bekend
zou zijn maar zonder bugid,case number of URL.

Ik vraag me af of er meer is dan :

1 - TCP sessies resetten via gespoofde packets. (niet BGP specifiek, maar
    BGP resets is voor ISPs een effectieve DoS). Bij de meeste routers is
    dit zonder zicht op de lopende TCP sequence numbers zeker niet triviaal
    (meer).
2 - DoS gericht op BGP, waartegen (in het algemeen) meer infrastructure
    security nodig is (ook dit is zeker geen BGP specifiek issue), en een
    MD5 hash niet de enige of meest zinvolle bescherming is.(voor de goede
    orde : een BGP MD5 password is zeker -ook- zinvol)

In dit verband is aardig op te merken dat Cisco nog een hack (de MD5
checksum is ook een hack) heeft toegevoegd in IOS 12.3.T om een
check te doen op de TTL van BGP packets. Een directly connected peer
gebruikt TTL 255, en z'n peer zet de check op TTL=254 . Alle packets met
een lagere TTL worden dan gedropt. Een TTL van 255/254 spoofen is lastig
voor iedereen die niet directly connected is.

(zoek op BGP TTL security check)

Boudewijn


>
> -------- Original Message --------
> Subject: [IDS-Europe] Unauthenticated BGP vulnerability - vendor
> independent
> Date: Wed, 14 Apr 2004 21:12:31 +0200
> From: Arrigo Triulzi <arrigo at northsea.sevenseas.org>
> To: ids-europe at alchemistowl.org
>
> Dear all,
>
> I don't normally post vulnerability information but this one warrants
> an exception.  There is a DoS, vendor independent, against
> unauthenticated BGP circulating on the net.  Apparently both Cisco TAC
> and Juniper know about this if asked (I no longer have Cisco TAC
> access to verify this).
>
> The current "best fix" is to enable MD5.
>
> Hope this helps,
>
> Arrigo
> _______________________________________________
> ids-europe mailing list
> ids-europe at alchemistowl.org
> https://ids-europe.alchemistowl.org/mailman/listinfo/ids-europe
>
>
> --
> Met vriendelijke groet/With kind regards,
>
> Marcel ten Berg
> Network Engineer
> Scarlet Telecom B.V.
> _______________________________________________
> NLNOG mailing list
> NLNOG at nlnog.net
> http://mailman.nlnog.net/mailman/listinfo/nlnog
>