Kritieke lekken in TCP en Cisco routers
Het Engelse National Infrastructure Security Co-Ordination Centre heeft een kritiek lek in het Transmission Control Protocol (TCP) ontdekt. TCP is een core netwerk protocol dat in de meeste netwerken vandaag de dag gebruikt wordt. Succesvolle exploitatie van het lek kan leiden tot een Denial of Service van bestaande TCP verbindingen, die tot een voortijdig einde van de sessie kunnen leiden. Voornamelijk het Border Gateway Protocol zou kwetsbaar voor het lek zijn. Misbruik van het lek kan volgens het Amerikaanse ministerie van Homeland Security een groot gedeelte van de Internetgemeenschap treffen. Meer informatie over dit kritieke lek en mogelijke gevolgen staan in deze advisory en deze waarschuwing van US-CERT vermeld.
Tevens heeft Cisco een advisory gepubliceerd betreffende een lek in hun versie van SNMP in sommige versies van het 12.x IOS. Vanwege de populariteit van Cisco apparaten en deze versie van het IOS, wordt er dringend aangeraden om de verschenen patch toe te passen. (Sans)
vooral een theoretische mogelijkheid om BGP-peering uit te
schakelen. Dit kan betekenen dat een route niet meer
beschikbar wordt geacht. Echter, dit "probleem" is te
ondervangen door geen BGP updates te accepteren van
onbekende bronnen. Iets dat door nagenoeg iedere network
admin die zijn geld waard is al ingesteld is. Niks geen
"kritiek lek" dus!!
er mag wat mij betreft veel meer aandacht besteed worden aan
de snmp-vulnerability in Cisco-devices, omdat dit lek
potentieel veel meer schade kan doen.
de klok horen luiden maar geen idee wat er nou werkelijk aan de hand is....
waar dit alles over gaat? men kan een bestaande BGP sessie een reset
geven. hierdoor raak je alle routes kwijt welke je vervolgens weer terugkrijgt
op het moment dat de verbinding weer tot stand komt (seconden of 30)
dmv MD5 wachtwoord moet ook de TCP_Disconnnect het wachtwoord
bevatten waardoor het een heeeeeeeeel stuk moeilijker is de connectie te
resetten.
Marcel
For the record, ik beheer de AMS-IX. Nu jij weer.
Een beetje admin stelt in dat een route, nadat die down
gegaan is, een bepaalde tijd als down aangemerkt blijft
worden om het zogenaamde route flapping (het up komen en
weer down gaan van een link) te voorkomen.
En zoals ik al aangaf... geen BGP updates van onbekende
bronnen accepteren (dus authenticatie aanzetten).
leg het dan eens uit?
- zonder aan te vallen -
ik d8 trouwens dat de AMS-IX enkel een laag 2 switch is.
De daadwerkelijke beheerders zitten bij de ISPs die aangesloten zitten op die
switches. een IX beheren bestaat toch uit het aansluiten van poortjes,
uitgeven van IP adressen en het opzetten van een BGP peering met de
aangesloten partij?
ik beheer geen ams-ix ofzo.. wat wel, doet niet ter zake.
Groetjes,
Marcel
iets proberen uit te leggen waar ze de ballen van begrijpen.
Je blik op de AMS-IX is ietwat te simplistisch.
Nu ben ik wel benieuwd wat je dan beheert :-) Niet dat dat
ter zake doet, gewoon leuk om te weten :-)
ik beheer een aantal routers met BGP koppelingen naar providers.
hierbij een aantal transit lijnen met load balancing in en uit (zonder
tussenkomst van IX-en) en het een aantal private-peerings waarbij enkel de
aangesloten ASen uitgewisseld worden.
zie ik de AMS-IX echt zo verkeerd? naar mijn weten levert AMS-IX enkel l2
connectiviteit en zijn de BGP peerings die AMS-IX als partij onderhoud enkel
voor 'eigen' gebruik.
Marcel
p.s. waarom zet niemand zijn naam onder een post?
En als toevoeging aan mijn vorige bericht:
Een beetje admin stelt in dat een route, nadat die down
gegaan is, een bepaalde tijd als down aangemerkt blijft
worden om het zogenaamde route flapping (het up komen en
weer down gaan van een link) te voorkomen.
En zoals ik al aangaf... geen BGP updates van onbekende
bronnen accepteren (dus authenticatie aanzetten).
Authenticatie is iets anders als broncontrole, me thinks.
ook wel eens mag kijken naar de AMS-IX dan ben ik ook een echte vent.
We kunnen ook onze lonen met elkaar vergelijken en kijken wie dan de echte
kerel is. Of wie de hoogste opleiding heeft. Er moet toch iets zijn waarop ik
kan winnen. Pffff.. Volgens mij krijg je geen respect in technische diskussie
door te zeggen waar je werkt, eerder op argumenten.
veel plezier op de cursus!
trouwens, illjitsch heeft een leuk interview gegeven m.b.t. dit lek.
http://www.security.nl/article/7309/1
Vertellen waar je werkt heeft idd weinig nut, dit zal enkel resulteren in een
verhoogde intresse in jouw werkzaamheden. vandaar dat ik het ook niet
vertel :)
helaas zijn er veel wannabees in deze tak van ICT die graag vergelijken wie
nu wel of niet een 'echte' is. van 1 persoon ben ik zeker dat ie een goeroe is.
En dat is de geinterviewde.
Marcel
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
