[linux-l] RFC-Hosts
Steffen Dettmer
steffen at dett.de
Di Sep 3 09:50:25 CEST 2002
* Philipp Schmidt wrote on Mon, Sep 02, 2002 at 10:56 +0200:
> > Gerade wenn da nix kommen kann, sollte man einen Filter bauen.
> > Falls eben doch mal was kommt.
>
> wenn man die netze selbst nutzt und nur 'ne defaultroute hat d.h. auch
> kein sourcerouting benutzt braucht man sie nur bei entspr. paranoia zu
> blocken
Nee, dann sollte man, finde ich. Sonst kann ja jemand ein UDP
spoof machen, mit einer solchen Absenderadresse, dann kommt das
Antwort UDP intern an, und wer weiß, was Win dann wieder macht.
Da gibt's jedenfalls diverse Angriffe.
> > > > 169.254.0.0/16
> >
> > zu LINK LOCAL:
> >
> > das hat Microsoft (IIRC) allokiert und wird bzw. von Win2000
> > verwendet, wenn kein DHCP server da war. Ist in meinen Augen
> > großer Mist, endet schließlich mit einer ganz kranken IP in
> > eigenen Netz, aber das ist eben MS...
>
> link local ist ipv6 terminoligie
hab das auch whois :)
> und macht dort auch sinn (ipv6 kennt kein arp mehr und die mac
> discovery sowie dhcpv6 relyt auf automatisch ausgehandelten
> link local adressen
Wer handelt die eigentlich aus? Wußte nicht, daß IPv6 kein ARP
mehr macht. Hab mich mit v6 leider noch nicht beschäftigt.
> - dafür sind sie auch restricted (nicht routebar, senden von
> paketen über link local adressen erfordert explizite angabe des
> interfaces).
Die nehmen dann sozusagen die MAC addressfunktion wahr?!
> m$-windoofs handelt auh bei ipv4 diese adressen auf, aber nur
> wenn nix konfiguriert ist - das iss für enduser praktisch macht
> aber an sich bei ipv4 keinen sinn.
Nee, auch wenn man DHCP hat, Win aber ne Antwort verpaßt. Ist
immer höchst nervig. Man kann sich nicht anmelden, weil PDC nicht
erreichbar, Fehlermeldung ist "falsch", muß dann meistens neu
starten. Bei mir jedenfalls funktioniert blahfoobar /RENEW
irgendwie so gut wie nie.
> > Was man hier nicht extern routen muß, kann man prima in der
> > externen Firewall blocken. Es gibt aber noch massig weitere
> > "unassigned nets", also reservierte Netze, die könnte man auch
> > blocken (sind wohl beliebte Fake-IPs).
>
> vorsicht dabei - einige werden gerade davon neu assigned...
Yep, sowas muß dann gepflegt werden. Blocke ich selbst auch
deshalb nicht - kann mir auch nicht vorstellen, daß das die
Sicherheit nenneswert erhöht.
oki,
Steffen
--
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.
Mehr Informationen über die Mailingliste linux-l