[Nlnog] Cisco?

[Arien Vijn]

On dinsdag, september 9, 2003, at 08:04 AM, Alex Bik wrote:

> Dat zijn Intel (5), Dell (4), Riverstone (2), Delta, Giga-byte, Tyan,
> Lite-on, Znyx, Kingston, Esg en Dlink. Daarnaast zijn er nog 6 MAC
> adressen die niet op de OUI lijst van de IEEE staan:
>
> 02:00:12:00:00:60
> 02:00:12:00:01:34
> 00:0c:cf:55:d8:06
> 00:27:98:fa:3b:20
> 02:00:12:00:02:04
> 02:00:12:00:01:25
>

Het 02:00:12:00:0x:xx, waarin x:xx het laatste octet van het IP-adres 
is. Dit schema komt uit de koker van Iljitsch. In het kader van 
security met als bijkomende voordeel dat static ARPs zijn broadcasts 
niet meer nodig zouden zijn. Nu klopt het schema niet meer met de 
nieuwe IP-range maar dat is gemakkelijk op te lossen door de tweede 
helft van het blok als 1x:xx aan te duiden.

Over de security aspecten valt te discussi?ren. Het bijhouden van 
MAC-adressen wordt voor AMS-IX niet gemakkelijker of moeilijker. Je 
weet wel gelijk het IPv4 adres dat bij het betreffende MAC-adres hoort. 
Maar daar hebben we tools voor. Het is wel gemakkelijk voor het 
bijhouden van static ARP tabellen wat sommigen inderdaad lijken te doen.

Groot nadeel is dat broadcasts vervangen worden door unknown unicasts; 
omdat mensen hun sessies niet weghalen. Dus krijgen we flooding van 
TCP-syns naar TCP poort 179.

Een ander nadeel dat veranderingen zo niet meer zichtbaar zijn, terwijl 
veel problemen juist na veranderingen tevoorschijn komen. Daarnaast 
bestaat er apparatuur waarbij het MAC-adres helemaal niet in te stellen 
valt.

Dus raden we het niet aan. Maar we weten nu wel wie deze boxen onder 
zijn beheer heeft :-)

Arien