BGP…un altro buco nella sicurezza di Internet Settembre 16, 2008
Posted by installatore in networking.Tags: as, autonomous system, bgp, black hole, border gateway protocol, DefCon, man in the middle, networking, security
add a comment
Al DefCon,due esperti di networking (Alex Pilosovand Anton “Tony” Kapela) hanno dimostrato come sia possibile sfruttare la troppa credibilità ,che il protocollo bgp dà alle informazioni interscambiate tra i router dei vari ISP, esponendo il fianco a possibili attacchi man-in-the-middle (MiM).
Funzionamento del BGP
Questo protocollo di routing non fà altro che tramite una serie di algoritmi calcolare la “best” path verso una determinata sottorete.Una volta calcolata,questa viene “spreadata” a tutti i router vicini definiti “neighbour”.BGP inoltre riterrà una route come la più favorità quanto più sia vicina alla rete di destinazione.Ecco un esempio….
Network Next Hop Metric LocPrf Weight Path *> 151.1.0.0/16 5.198.4.2 0 100 0 100 ?
*> 151.1.3.0/24 5.198.4.3 0 100 0 100 ?
Qui sopra vediamo riportato l’output di una entry BGP,ritornando al discorso cominciato sopra se per esempio noi dobbiamo raggiungere l’indirizzo 151.1.3.34 la best path sarà la seconda perchè è più “vicina” rispetto alla prima in quanto lnella seconda entry viene annunciata una sottorete più completa rispetto alla prima e quindi più simile all’indirizzo ip che dobbiamo raggiungere.
Dove stà l’inghippo….
Visto che BGP prenderà come vere ogni aggiornamento sulle route e eleggerà come best path quella più vicina all’ip di destinazione….un male intenzionato potrebbe “spreadare” un falso update BGP per dirottare il traffico verso un determinato indirizzo ip verso un altro e verrebbe sempre considerato vero dai router e verrà annunciato a tutti i “neighbour”.
Un evento del genere era già capitato per sbaglio a You Tube quando la Telecom Pakistana ha cominciato a “spreadare” update BGP errati sulla route verso you tube questo ha causato l’irraggiungibilità del sito per diverse ore.Potete leggerne di più qui http://news.bbc.co.uk/1/hi/technology/7262071.stm
Purtroppo la facilità con cui si può creare un router BGP e quindi poter spargere falsi update è molto semplice come è dimostrato dall’articolo qui sotto dove viene creato utilizzando un semplice Mac Mini. http://www.fubra.com/blog/2007/10/mac-mini-bgp-routers-part-2.html
Riporto qui di seguito il file di presentazione power point utilizzato dai due esperti per il DefCon.
http://installatore.files.wordpress.com/2008/09/edited-iphd-2.ppt
Ovviamente per ovviare a questa mancanza nel protocollo ,che è il più usato per il collegamento tra i vari ISP,si è studiato una soluzione chiamata S-BGP (Secure BGP) che consiste in tutta una serie di collegamenti cifrati tramite IPsec e certificati per rendere sicuro l’interscambio di informazioni tra i vari Enterprise router.Questo sicuramente eliminerebbe il problema ,ma comporterebbe un notevole esborso in termini di denaro per sostituire tutti i router ormai obsoleti che a causa della limitata potenza di calcolo oltrechè alla memoria ristretta nonchè all’altissimo numero di collegamenti che reggono,che non reggerebbero di certo il nuovo protocollo.
Come conclusione citando Douglas Maughan( cybersecurity research program manager for the DHS’s Science and Technology Directorate)
The only thing that can force them (to fix BGP) is if their customers … start to demand security solutions
The Enhaced Bob Maneuver – Subnetting rapido rapido Settembre 15, 2008
Posted by installatore in networking.Tags: cisco, nat, networking, subnet, subnetting
add a comment
In questo post andremo ad analizzare questa tecnica di subnetting immediata nella comprensione e veloce nell’attuazione grazie all’utilizzo di un semplice schema.
Lo schema come potete vedere è composto da 4 righe l’utilizzo dello stesso prevede di cominciare dal basso verso l’altto.Al di sotto della riga nera in grassetto,si conta da destra verso sinistra,mentre al di sopra della stessa si conta da sinistra verso destra.Queste sono le semplici regole per utilizzare questa tecnica.
Come prima cosa dobbiamo decidere quante subnets vogliamo nella nostra rete e quindi cercare il numero che gli si avvicina di più nell’ultima riga in basso “Number of valid subnets”.
Una volta individuato il numero di subnets che fà a caso nostro ci spostiamo in linea verticale verso l’alto sulla riga “Bit place” che ci indica il numero di bit dedicati alla subnet (i rimanenti saranno dedicati agli hosts).
Quindi partendo da sinistra (128) sulla riga “Target number” ci spostiamo di tante posizioni quanto è il numero che avevamo trovato sulla riga “Bit place”.Il numero individuato è il numero di hosts presenti nelle nostre subnets.
A questo punto basterà spostarci in linea verticale verso l’alto per trovare la subnetmask che fà al caso nostro.
Adesso facciamo un esempio pratico per schiarirci un pò le idee. vogliamo 9 subnets sull’indirizzo di classe C 192.168.1.0
1)Il numero più vicino a 9 sulla riga “Number of valid subnets” è 14 2)Spostandoci in alto sulla riga “Bit Place” troviamo il numero 4 3)Contando 4 volte da 128 verso destra sulla riga “Target number” troviamo il numero 16 (che sono gli hosts presenti sulle nostre subnets) 4)Muovendoci verso l’alto dal numero 16 sulla riga “Target number” troviamo la “Subnet mask” 240
Quindi la nostra subnet mask è 255.255.255.240 192.168.1.0-15 (255.255.255.240) 192.168.1.16-31 (255.255.255.240) 192.168.1.32-47 (255.255.255.240)
Veritas Storage Foundation dg region backup failed Settembre 9, 2008
Posted by installatore in veritas.Tags: dg, disk group, storage foundation, veritas, windows 2003
add a comment
Se vi ritrovate il visualizzatore degli eventi di windows 2003 Server intasato da questo errore…
Event Type: Error
Event Source: VxSvc_vxvm
Event ID: 10284
Description:
vxcbr backup failed for following disk groups Print User .
…bè non preoccupatevi non è niente di grave o di contorto
solamente che in fase di installazione Veritas imposta 2 cartelle predefinite al cui interno salvare i backup delle private region dei vari disk group,il problema è che però non le crea…cosi non trovando le due cartelle vxcbr (il programma dedito a quest’attivià) fallisce inesorabilmente 1 volta ogni ora intasando se non ve ne accorgete per tempo i log di windows.Per risolvere il problema quindi basta andare in Veritas Enterprise Manager,quinidi Control Panel e selezionare StorageAgent qui cliccando su Configuration Backup andiamo a cambiare le due cartelle predefinite oppure andiamo a crearle.Import and Export Oracle dump Settembre 6, 2008
Posted by installatore in Oracle.Tags: dump, exp, export, imp, import, Oracle
2 comments
Buongiorno a tutti,in questo articolo vediamo come utilizzare i comandi imp ed exp di Oracle.Che possono tornare molto utili se dobbiamo replicare la stessa struttura di database per esempio per un ‘applicazione web o di gestione dati.Se sul computer che utilizzeremo per effettuare l’import ci sono installate più versioni di Oracle conviene andare a posizionare i file di dump che si vogliono caricare nella cartella bin della Oracle home della stessa versione del database su cui vogliamo operare.
Es. D:\Oracle\Ora92\bin\
Questo per non rischiare di importare su un db Oracle 10 con il client della versione 9,2,che creerebbe problemi (errori vari o troncamento di alcune tabelle).
I comandi imp ed exp funzionano in questo modo:
exp/imp <userid/password> <parametro>=<valore> <parametro>=<valore>
Quindi possiamo fare un esempio:
exp system@database file=c:\export.dmp statistics=none
imp system@database_2 file=export.dmp fromuser=utentesuldump touser=utentesuldb
Si possono inoltre aggiungere parametri per esportare o importare solo delle tabelle specifiche oppure fargli creare un file di log.
imp system@database_2 file=export.dmp tables=(tabella1,tabella2,tabella3….) log=c:\import.log
Nel caso dobbiate effettuare un grosso import per non saturare il file system o la flash recovery area e soprattutto per incrementare la velocità dell’operazione è necessario disabilitare la modalità Archive Log di Oracle,per controllare lo stato della vostra istanza o per istruzioni su come disabilitarli e successivamente riabilitarli ho creato un post ad hoc.
Avrete sicuramente notato specialmente se si effettuano queste operazioni su grandi db in produzione, che servirebbe una sorta di percentuale di avanzamento di import o export di una tabella,per questo ci viene incontro l’opzione FEEDBACK=rownumber,che ci permette di impostare il numero di righe per cui deve essere stampato un puntino a video.Per esempio con imp system@database_2 file=export.dmp fromuser=utentesuldump touser=utentesuldb feedback=1000,ogni mille righe stamperà un puntino a video.
Se avete qualcosa da aggiungere all’articolo mettetelo pure nei commenti ,provvederò in seguito ad inserirlo a vostro nome nel post principale.
