Gli ipopts possono essere utilizzati per aggirare un blocco basato su IP sorgente di firewall pf o iptables?

Naviga le tue risposte
3

Si può usare ipopts, e in particolare l'IP il routing di origine , per aggirare il blocco basato sull'origine in pf o iptables?

Ad esempio, con pF di OpenBSD: 

block in  all # default deny
block out all
pass in  on dc0 from 10.0.0.0/8 to 10.1.1.1

È possibile utilizzare il routing origine IP dei pacchetti TCP / IP su dc0 per circumnavigare (per così dire) le regole del firewall e comunicare con 10.1.1.1 da una rete diversa da 10/8?

Anche se possibile, tale circumnavigazione è un attacco fattibile o plausibile se dc0 è rivolto al pubblico? Se è così, può essere prevenuto?

    
posta Brian M. Hunt 24.06.2011 - 22:01
fonte

2 risposte

2

Per i pacchetti in entrata, il filtraggio dei pacchetti (chiamata a pf_test sulla riga 367) viene eseguito prima dell'elaborazione dell'opzione (chiamata a ip_dooptions sulla riga 384) in ip_input.c

Per i pacchetti in uscita, il routing (che inizia sulla riga 170) viene eseguito prima del filtraggio dei pacchetti (chiamata a pf_test nella riga 691) in ip_output.c

Quindi, se il filtraggio dei pacchetti funziona correttamente, no, il routing di origine non aggirerà il firewall, perché per i pacchetti in entrata il routing di origine non viene applicato fino a dopo il filtraggio e per il filtraggio dei pacchetti in uscita viene eseguito dopo l'instradamento di origine.

    
risposta data 29.06.2011 - 09:40
fonte
2

Non so in particolare se possa ignorare questi particolari firewall, ma la mia impressione superficiale è che la maggior parte dei firewall blocca il routing di origine, in particolare a causa di questo tipo di minacce.

    
risposta data 26.06.2011 - 04:53
fonte

Leggi altre domande sui tag

intel adattatore 5100 AGN wireless per supportare l'iniezione Qual è il vantaggio dell'utilizzo di uno schema AE a due passaggi anziché di un passaggio?