Mailinglist Archive: opensuse-security (26 mails)

< Previous Next >
Re: [opensuse-security] packet labeling & routing decision based on these labels
  • From: Boyan Tabakov <blade.alslayer@xxxxxxxxx>
  • Date: Mon, 16 Jul 2007 15:33:06 +0300
  • Message-id: <200707161533.09706.blade.alslayer@xxxxxxxxx>
On Monday 16 July 2007 15:17:53 Philipp Snizek wrote:
> Hi
>
> I have this scenario:
>
> Subnet A
> Hosts n  ----- Gateway ----- Fileservers NFS
>
> Hosts n: mark packets
> Gateway: uses mark to make routing desicion
>
> Hosts n get their IP address via DHCP (IP address lease decision based on
> the client's MAC address).
> It is extremely simple to attach a notebook to Subnet A, spoof a legal
> client's IP and MAC addresses get UID and username and do the worst.
>
> Over the weekend I tried packet marking using iptables mark and connmark
> targets to label pakets at the Hosts n (iptables output -j MARK rule) and
> to have the Gateway based on these labels decide what to do with the
> pakets (ip rule with fwmark). I stopped trying when I found out that the
> labels are not given permanently when a marked packet leaves the interface
> of a host n.
>
> As I very much like the idea of labeling packets I wonder whether such a
> concept is possible with other linux tools.
>
> Or how would you do it?
>
> Thanks for your attention

Hi,

How are you using the marks? If a client can spoof the IP and MAC address, it 
could do so with the marks too.

Securing your network from MAC or IP address spoofing may be done by 
configuring the switches (if they are manageble, of course) - for example by 
staticly assigning allowed MAC addresses on specific switch ports. If a 
malicious client can connect to your network and spoof a valid identity it is 
already too late to secure protocols like NFS, which are not designed to be 
used on an insecure network.

Best regards.

-- 
Blade hails you...

Oh how I wish
For soothing rain
Oh how I wish to dream again
                 --Nightwish
< Previous Next >
Follow Ups
References