Mailinglist Archive: opensuse-security (26 mails)

< Previous Next >
Re: [opensuse-security] packet labeling & routing decision based on these labels
  • From: "Dirk Schreiner" <Dirk.Schreiner@xxxxxxx>
  • Date: Mon, 16 Jul 2007 15:31:33 +0200
  • Message-id: <469B7335.7050301@xxxxxxx>
Philipp Snizek schrieb:
>> On Monday 16 July 2007 15:17:53 Philipp Snizek wrote:
>>     
>>> Hi
>>>
>>> I have this scenario:
>>>
>>> Subnet A
>>> Hosts n  ----- Gateway ----- Fileservers NFS
>>>
>>> Hosts n: mark packets
>>> Gateway: uses mark to make routing desicion

>>> [...]

>>> Or how would you do it?
>>>
>>> Thanks for your attention
>>>       
>> Hi,
>>
>> How are you using the marks? If a client can spoof the IP and MAC address,
>> it
>> could do so with the marks too.
>>     
> Yes, it could, but then the attacker somehow has to learn what the mark
> looks like. If the attacker doesn't know the gateway will notice the
> spoofing with the first incoming packet. And thus, alerting the spoofing
> will not be a problem anymore.
> The only way I can think of would be a man-in-the-middle attack (e.g. with
> a notebook that has 2 interfaces set up as a linux bridge).
>   
Which is not too difficult.
> I also thought about using SECMARK with SELinux but that is too much of a
> pain and therefore too expensive to build. Also, I do not know whether
> SECMARK painted packets are painted permanently.
>
>   
>> Securing your network from MAC or IP address spoofing may be done by
>> configuring the switches (if they are manageble, of course) - for example
>> by
>> staticly assigning allowed MAC addresses on specific switch ports. If a
>> malicious client can connect to your network and spoof a valid identity it
>> is
>>     
This is not working! Every Script Kiddie can fake MAC-Addresses.
If you want to leave Security to the Switch use 802.1x Port based
Authentication
with a secure Protocol.
>> already too late to secure protocols like NFS, which are not designed to
>> be
>> used on an insecure network.
>>     
>   
> This is the design flaw in the network that currently cannot be fixed.
> That is also why I'm coming up with the idea of marking the packets.
>   
If you have control  over Client and Server, why not using AFS instead
of NFS?
AFS supports strong authentication and _encryption_ of transported Data.

Dirk

> Thanks,
> PHilipp
>
>
>
> ---------------------------------------------------------------------
> To unsubscribe, e-mail: opensuse-security+unsubscribe@xxxxxxxxxxxx <mailto:opensuse-security+unsubscribe@xxxxxxxxxxxx>
> For additional commands, e-mail: opensuse-security+help@xxxxxxxxxxxx <mailto:opensuse-security+help@xxxxxxxxxxxx>
>
>
--
  
TRIA IT-consulting GmbH
Joseph-Wild-Straße 20
81829 München
Germany
Tel: +49 (89) 92907-0
Fax: +49 (89) 92907-100 
http://www.tria.de ;
 
Registergericht München HRB 113466
USt.-IdNr. DE 180017238 Steuer-Nr. 802/40600
Geschäftsführer: Rosa Igl
 
--------------------------------------------------------------------------------
Nachricht von: Dirk.Schreiner@xxxxxxx
Nachricht an: opensuse-security@xxxxxxxxxxxx
# Dateianhänge: 0
---------------------------------------------------------------------
To unsubscribe, e-mail: opensuse-security+unsubscribe@xxxxxxxxxxxx
For additional commands, e-mail: opensuse-security+help@xxxxxxxxxxxx

< Previous Next >