[ipv6-tf] Peer-to-peer zamiast konwencjonalnych tuneli

Jarek Kamiński jarek w vilo.eu.org
Nie, 2 Sty 2011, 02:14:23 CET 

W dniu 02.01.2011 01:16, adiblol pisze:
> Dnia 2011-01-01, sob o godzinie 23:48 +0100, Jarek Kamiński pisze:
> 
>> Zaleta za to taka, że dużo mniej formalności, niż w sixxs (tunel starczy
>> skonfigurować, revdns można wyklikać w automacie na www).
> 
> HE.net ma serwer pośredniczący we Frankfurcie, aktywują natychmiastowo,
> danych nikt nie weryfikuje.

Wiem, że he.net jest fajne, ale mówiłem o sixxsie ;-) Z drugiej strony
wolałem raz przebrnąć i mieć popa w PL.

> Ciekawi mnie jak jest z bezpieczeństwem 6to4. Pakiety przeznaczone dla
> adresu z puli 2002::/16 są pakowane w IPv4 i wysyłane z _dowolnego
> źródła_ (http://pl.wikipedia.org/wiki/6to4). Oznacza to że każdy
> dysponujący publicznym adresem IPv4 może sobie wysłać taki pakiecik,
> podając się za dowolny adres IPv6. Naprawdę tak jest czy ja coś źle
> myślę?

No niby tak. Ale ogólnie rzecz biorąc w Internecie (i IPv4 i IPv6) też
tak jest, czasem tylko troszeczkę trudniej. Przed wysłaniem ze swojego
łącza pakietu ze zespoofowanym IP bronią tylko filtry u operatorów,
które mogą być, albo nie.

> Tak samo każdy (?) dysponujący numerem AS może rozgłaszać prefiks
> 192.88.99.0/24 i na serwerze pośredniczącym zbierać hasełka. :>

No takie jest założenie (numerem AS i łączem z BGP). Tyle, że nie
wystarczy rozgłosić aby podsłuchiwać, trzeba 1) nie zostać wyfiltrowanym
po drodze 2) być odpowiednio blisko, żeby dostarczyć najkrótszą trasę.
Przykładowo dla tepsy 192.88.99.1 znajduje się obecnie gdzieś w telii,
czyli 1 AS za TP. Optymistycznie zakładam, że jak klient TP spróbuje
rozgłosić 192.88.99/24, to złapie się na filtry oraz wychodzę z
założenia, że TP i Telii i tak w jakimś stopniu muszę ufać, bo leci nimi
cały mój ruch z tego miejsca (znaczy telią przez TP).

> Czy 6to4 naprawdę jest aż tak niebezpieczny? Czy jedyną metodą
> zabezpieczenia jest poleganie na wyższych warstwach?

Internet w ogóle jest niebezpieczny, więc tak, należy polegać na
wyższych warstwach. Jak pokazuje doświadczenie ISP z BGP może sobie
nawet youtube rozgłosić i przekierować do siebie sporo ruchu
adresowanego do niego. Przy 6to4 można pewne machlojki być może łatwiej
wykonać, ale nie są one niemożliwe w reszcie Internetu.


-- 
pozdr(); // Jarek
_______________________________________________
ipv6-tf mailing list
ipv6-tf w pl.ipv6tf.org
http://www.pl.ipv6tf.org/cgi-bin/mailman/listinfo/ipv6-tf

Więcej informacji o liście ipv6-tf