Атака воспроизведения в IPSec в FreeBSD

а фастом кто то пользуется?!

а что даст их воспроизведение?

Прикол с этой ошибкой заключается в том, что девелоперы проекта FreeBSD включили в ОС японскую реализацию протокола IPSec KAME http://www.kame.net/, которая используется так же и в Linux http://www.ipsec-howto.org/t1.html Т.е. команда FreeBSD надыбала потенциальную багу в сторонней разработке, а более многочисленное Linux сообщество ее просмотрело. Выводы?

именно по тому что во FreeBSD постоянно вылазят баги, я пользую OpenBSD

> Прикол с этой ошибкой заключается в том, что девелоперы проекта > FreeBSD включили в ОС японскую реализацию протокола IPSec KAME > http://www.kame.net/, которая используется так же и в Linux

Не путайте kame-tools (пользовательские прилождения) с ядерной поддержкой IPSec. В Linux не используется KAME IPSec стек (в частности у них несовместимые лицензии).

>а что даст их воспроизведение?

DOS

>Прикол с этой ошибкой заключается в том, что девелоперы проекта FreeBSD включили в ОС японскую реализацию протокола IPSec KAME http://www.kame.net/, которая используется так же и в Linux http://www.ipsec-howto.org/t1.html Т.е. команда FreeBSD надыбала потенциальную багу в сторонней разработке, а более многочисленное Linux сообщество ее просмотрело. Выводы?

В 2.6 ядерный ipsec стек написан с нули без использования kame.

>garlic (*) (23.03.2006 13:05:52)

>Не путайте kame-tools (пользовательские прилождения) с ядерной поддержкой IPSec. В Linux не используется KAME IPSec стек (в частности у них несовместимые лицензии).

Native реализацию IPSec для Linux разрабатывают в основном японцы http://www.linux-ipv6.org/, как и реализацию для xBSD систем. Интересно, эти команды обмениваются идеями по реализации своих проектов?

>В 2.6 ядерный ipsec стек написан с нули без использования kame.

Советую повнимательнее перевести слова "tightly collaborating with WIDE Project, KAME Project and TAHI Project." указанные на сайте http://www.linux-ipv6.org/.

>>В 2.6 ядерный ipsec стек написан с нули без использования kame.

>Советую повнимательнее перевести слова "tightly collaborating with WIDE Project, KAME Project and TAHI Project." указанные на сайте http://www.linux-ipv6.org/.

:) А ipv6 теперь стал ipsec?

Linux 2.6 ipsec aka xfrm engine написан в основном David Miller @redhat.com.

>garlic (*) (23.03.2006 13:51:53)

>:) А ipv6 теперь стал ipsec?
Где это я написал, что ipv6=ipsec? Японцы занимаются не только развитием стека протоколов IPv6, но и реализацией протокола IPSec для IPv4/IPv6.

>>:) А ipv6 теперь стал ipsec?

>Где это я написал, что ipv6=ipsec? Японцы занимаются не только развитием стека протоколов IPv6, но и реализацией протокола IPSec для IPv4/IPv6.

Вам же написали, что IPsec stack for Linux 2.6 aka XFRM engine написан не в @USAGI team. Поэтому там нет ни строчки кода из KAME project. Более того, XFRM имеет абсолютно другую архитектуру.

А строчка "tightly collaborating with WIDE Project, KAME Project and TAHI Project" относится к поддержке в Linux IPv6.

>garlic (*) (23.03.2006 14:00:46)

>>а что даст их воспроизведение?

>DOS

Ага, так и до вантуза дойти можно 8)

>Вам же написали, что IPsec stack for Linux 2.6 aka XFRM engine написан не в @USAGI team.
Написали не японцы, но в настоящий момент времени улучшения в xfrm вносят именно они. По крайней мере в пункте 4.1 документа http://hiroshi1.hongo.wide.ad.jp/hiroshi/papers/SAINT2004_kanda-ipsec.pdf написанно, что японцы приложили руку к реализации IPSec для IPv6. Вопрос в следующем: а не пользовались ли они идеями коллег по цеху?

> Выводы?

Нехрено всякую гадость в рот (в автозагрузку) тащить, как это делают в БЗД?

>>Вам же написали, что IPsec stack for Linux 2.6 aka XFRM engine написан не в @USAGI team.

>Написали не японцы, но в настоящий момент времени улучшения в xfrm вносят именно они. По крайней мере в пункте 4.1 документа http://hiroshi1.hongo.wide.ad.jp/hiroshi/papers/SAINT2004_kanda-ipsec.pdf написанно, что японцы приложили руку к реализации IPSec для IPv6. Вопрос в следующем: а не пользовались ли они идеями коллег по цеху?

Архитектура XFRM представляет из себя что-то вроде организации туннеля, в котором и происходят все взаимодействия с sadb, ошибка в freebsd ipsec stack как раз в месте проверки номеров последовательности, и эта часть никак не может быть одинаковой, ибо является частью generic XFRM engine, который к коду KAME не имеет никакого отношения.

Если в OpenBSD не вылазят баги, то это не значит, что их там нет.

>Архитектура XFRM представляет из себя что-то вроде организации туннеля, в котором и происходят все взаимодействия с sadb, ошибка в freebsd ipsec stack как раз в месте проверки номеров последовательности, и эта часть никак не может быть одинаковой, ибо является частью generic XFRM engine, который к коду KAME не имеет никакого отношения.

Ошибку как раз и нашли кодеры из freebsd. Не не они разрабатывали этот софт для своей ОС. Причем, эта реализация считалась "other hand ships by default with one of the best IPSec implementations available." (http://www.seifried.org/security/os/20011107-linux-openbsd.html) Тут, правда, про OpenBSD, но реализация стека на Open/Free одинакова. Однако японцы сами же написали, что Linux майтенеры отвечающие за сетевые причиндалы зарелизили xfrm только через месяц после того, как им свою версию предоставили японцы. Вот и не понятно, была ли версия xfrm разработана действительно с нуля, либо это был объеденёный код.

Извините, но вы не могли бы обтекать молча? Или вы бздите из принципиальных соображений?

>Извините, но вы не могли бы обтекать молча? Или вы бздите из принципиальных соображений?

А, типа, подписывать свои посты вас мама с папой не научили?

> А, типа, подписывать свои посты вас мама с папой не научили?

А что, теперь мамы с папами этому учат?

>Если в OpenBSD не вылазят баги, то это не значит, что их там нет.

Da, ix (bugs) videmo men'she v Open 4em vo Free, tak kak ix men'she vilazit!

//encrypted