El 2009-09-16 a las 00:14 +0200, Carlos E. R. escribió:
El 2009-09-15 a las 23:30 +0200, Camaleón escribió:
El 2009-09-15 a las 21:52 +0200, Carlos E. R. escribió:
Pero lo que estoy diciendo es otra cosa. Si quitas la definición de la ruta para los paquetes linklocal, y por algún motivo aparece un paquete que va a ese rango, el ordenador mirará en su tabla de rutas; al no encontrar ninguna, usará la ruta por defecto, que es la del gateway.
Carlos, eso podría pasar en una red "de andar por casa", pero no en el escenario que te plantea carlopmart, donde parece que las rutas están perfectamente definidas y donde dudo mucho que haya un "gateway por defecto". Las rutas deben estar "hilvanadas".
¿Y yo que sé? No nos ha explicado todo, lo va contando con cuentagotas. El caso es que sí tiene gateway, lo dijo en el primer correo:
172.25.85.0/28 dev eth1 proto kernel scope link src 172.25.85.7 172.25.50.0/27 dev eth0 proto kernel scope link src 172.25.50.15 169.254.0.0/16 dev eth0 scope link 127.0.0.0/8 dev lo scope link default via 172.25.50.28 dev eth0 <======
Hay una ruta por defecto, ahí es donde van a ir los paquetes para el rango 169.254.0.0/16 si borras esa linea.
Lo dudo >:-) Pero la prueba es sencilla de hacer: se configura un equipo con un adaptador de red sin configurar y se conecta a la red donde está el servidor suse con el zeroconf ese activado. Luego se hace la misma prueba pero con la ruta del zeroconf eliminada. Todo esto con un monitor de red activado para ver por dónde se van los paquetes.
¿Que pruebas tienes de que tener esa ruta genera los paquetes? Yo no me lo creo; las cosas están compartimentadas, una ruta creada no genera paquetes, sólo sirve para saber a donde enviar los paquetes que cumplan las condiciones, si los paquetes aparecen. Pero han de ser otros los que los generen.
Lo único que haces al tener esa ruta es definir a donde van esos paquetes si "algo" los genera. No impides ni que se generen ni que se responda a ellos.
Lo que desconocemos es la configuración de los IPS y por qué geenran las alertas cuando se activa la ruta... pero hombre, si te te está diciendo que es lo que pasa, pues no tenemos por qué desconfiar.
Ahora bien, sería interesante saber por qué esos equipos están detectando algo fuera de lo común cuando el link-local debería estar contemplado y deberían descartarlo automáticamente... pero bueno, ese es otro tema.
Puesto que no sabemos la arquitectura de la red, he de suponer que se trata del gateway. Yo hasta ahora he interpretado su "IPS" por el gateway/router de su proveedor de internet (ISP mal escrito, quizás).
:-) Un IPS es un "Intrusion prevention system" (o al menos eso es lo que yo había entendido). http://en.wikipedia.org/wiki/Intrusion_prevention_system
Y es efectivamente tarea del gateway de internet cepillarse los paquetes que le lleguen destinados con IPs "ilegales" para el exterior.
Ahora parece que el gateway no es de internet :-? Pues ni idea, pero lo que no esté en sus tablas no lo rutará y quizás lo reporte.
¿O no es un gateway y es un cortafuegos solamente? Un cortafuegos es un tipo de router al fin y al cabo. Normalmente reporta lo que bloquea.
Pero no supone ningún problema.
Pues aparentemente sí lo supone.
Estamos provocando la enfermedad.
Lo que hay que hacer no es borrar la ruta, sino redefinirla para que vayan a la basura, o cortarlos en un cortafuegos en cada máquina.
Después de leer el RFC yo diría que es todo lo contrario :-/
Explica :-?
Pues que el RFC precisamenterecomienda no crear esa ruta del zeroconf sobre una interfaz que ya tiene configurada y está operativa. El zeroconf es para redes pequeñas donde no haya una infraestructura de dhcp o de dns, o donde los usuarios no tengan los conocimientos suficientes para configurar la red. Creo sinceramente que no es el caso que nos ocupa.
Además, las interfaces configuradas en "bonding" no generan esa ruta de manera automática y obviamente no hay ningún problema.
Yo lo veo igual que tener un servidor dhcp o dns en marcha: si no lo necesito, no lo configuro... ¿para qué? ¿para que el vecino, a través del wifi, pueda obtener una ip en mi rango y acceder fácilmente a los recursos de la red? Pues no. Si en algún momento tengo que conectar un equipo a la red que necesita una IP asignada automáticamente, entonces me plantearé la configuración del servidor dhcp, pero no antes.
Es una falsa sensación de seguridad: el cracker simplemente se inventará una IP y listo, entra igual. No tener un servidor dhcp no le va a parar en modo alguno, sólo va a tener que escuchar un rato para ver que IPs se usan y adivinar una del rango libre, que puede corresponder a un PC existente pero parado o a una no asignada por tí.
No le va parar, pero tampoco le voy dar pie a que siga, salvo que tenga algún honeypot configurado "ex professo" :-) La recomendación que verás en todos los whitepapers de seguridad es que si no usas un servicio, es mejor desactivarlo. No veo por qué debería ser diferente en este caso del zeroconf.
Yo creo lo contrario, que al tener un DHCPs vas a saber en qué rangos van a aparecer los ordenadores "intrusos", y evitas que algún otro meta un "rogue dhcps".
Añade, además, que los servidores dhcp o dns que amabablemente has configurado para el vecino pueden tener agujeros de seguridad sin parchear y que podrían ser fácilmente explotables desde la red local >:-) Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org