[Nlnog] [Fwd: [Fwd: [IDS-Europe] Unauthenticated BGP vulnerability - vendorindependent]]
Boudewijn Visser
bvisser-nlnog at xs4all.nl
Sun Apr 18 21:11:50 UTC 2004
Wel,
Ik heb inmiddels wat meer informatie (uit goede bron), en die, zonder alle
details, erop wijst erop dat het niet alleen een hype (beter woord dan
hoax) is, maar dat er inderdaad wel een reeel issue is.
Geen nieuw probleem, maar een slimme manier om dingen sneller te doen dan
verwacht. Gegeven dat een MD5 password op de sessie moet helpen, lijkt dat
me dat het raden van TCP sequence numbers het probleem is.
Advies is dus om inderdaad naar passwords op BGP sessies te gaan.
(en vooral ook infrastructure filtering; Zonder dat zijn er ook met MD5 pws
genoeg manieren om routers te DoSen. )
Boudewijn
>
> Dit mailtje kietelt mijn hoax-detector (dan wel oud nieuws detector) wel
> een beetje, met zo weinig informatie, die dan wel wel bij TAC/JTAC bekend
> zou zijn maar zonder bugid,case number of URL.
>
> Ik vraag me af of er meer is dan :
>
> 1 - TCP sessies resetten via gespoofde packets. (niet BGP specifiek, maar
> BGP resets is voor ISPs een effectieve DoS). Bij de meeste routers is
> dit zonder zicht op de lopende TCP sequence numbers zeker niet
> triviaal
> (meer).
> 2 - DoS gericht op BGP, waartegen (in het algemeen) meer infrastructure
> security nodig is (ook dit is zeker geen BGP specifiek issue), en een
> MD5 hash niet de enige of meest zinvolle bescherming is.(voor de goede
> orde : een BGP MD5 password is zeker -ook- zinvol)
>
> In dit verband is aardig op te merken dat Cisco nog een hack (de MD5
> checksum is ook een hack) heeft toegevoegd in IOS 12.3.T om een
> check te doen op de TTL van BGP packets. Een directly connected peer
> gebruikt TTL 255, en z'n peer zet de check op TTL=254 . Alle packets met
> een lagere TTL worden dan gedropt. Een TTL van 255/254 spoofen is lastig
> voor iedereen die niet directly connected is.
>
> (zoek op BGP TTL security check)
>
> Boudewijn
>
>
>>
>> -------- Original Message --------
>> Subject: [IDS-Europe] Unauthenticated BGP vulnerability - vendor
>> independent
>> Date: Wed, 14 Apr 2004 21:12:31 +0200
>> From: Arrigo Triulzi <arrigo at northsea.sevenseas.org>
>> To: ids-europe at alchemistowl.org
>>
>> Dear all,
>>
>> I don't normally post vulnerability information but this one warrants
>> an exception. There is a DoS, vendor independent, against
>> unauthenticated BGP circulating on the net. Apparently both Cisco TAC
>> and Juniper know about this if asked (I no longer have Cisco TAC
>> access to verify this).
>>
>> The current "best fix" is to enable MD5.
>>
>> Hope this helps,
>>
>> Arrigo
>> _______________________________________________
>> ids-europe mailing list
>> ids-europe at alchemistowl.org
>> https://ids-europe.alchemistowl.org/mailman/listinfo/ids-europe
>>
>>
>> --
>> Met vriendelijke groet/With kind regards,
>>
>> Marcel ten Berg
>> Network Engineer
>> Scarlet Telecom B.V.
>> _______________________________________________
>> NLNOG mailing list
>> NLNOG at nlnog.net
>> http://mailman.nlnog.net/mailman/listinfo/nlnog
>>
>
> _______________________________________________
> NLNOG mailing list
> NLNOG at nlnog.net
> http://mailman.nlnog.net/mailman/listinfo/nlnog
>
More information about the NLNOG
mailing list