In den letzten Wochen haben mich mehrere Leute nach Routen gefragt, die auf mysteriöse Weise auftauchen und dann wieder verschwinden. Zum Beispiel
route print Standard-Gateway: 10.10.10.1 Netzwerkadresse Gateway-Adresse Subnetzmaske Umleitung Lebensdauer 172.16.0.0 10.10.10.172 255.255.0.0 |
| Abbildung 1 – ursprüngliche Routing-Tabelle |
Und dann
Route drucken
Standard-Gateway: 10.10.10.1
Netzwerkadresse Gateway-Adresse Subnetzmaske Umleitung Lebensdauer
172.16.0.0 10.10.10.172 255.255.0.0
172.16.1.2 255.255.255.255 10.10.10.254 5 Minuten
|
| Abbildung 2 – Dynamische Route hinzugefügt |
Und 5 Minuten später
route print Standard-Gateway: 10.10.10.1 Netzwerkadresse Gateway-Adresse Subnetzmaske Umleitung Lebensdauer 172.16.0.0 10.10.10.172 255.255.0.0 |
| Abbildung 3 – Dynamische Route gelöscht |
Diese dynamischen Routen werden hinzugefügt, wenn der STCP-Stack eine ICMP-Umleitungsnachricht von einem Router erhält, die ihn anweist, einen anderen Router zu verwenden. Wie auf dem Display angezeigt, haben die Routen eine Lebensdauer von 5 Minuten, sodass sie nach 5 Minuten gelöscht werden. Natürlich können sie sofort wiederhergestellt werden, wenn der Stack eine weitere Umleitungsnachricht erhält.
Um den Vorgang im Detail zu beschreiben: Nehmen wir an, STCP ist mit einer Route zum Netzwerk 172.16.0.0/16 über den Router 10.10.10.172 definiert. Darüber hinaus gibt es einen weiteren Router im Netzwerk mit der IP-Adresse 10.10.10.254. Ich werde diese Router als R-172 und R-254 bezeichnen. Sowohl R-172 als auch R-254 können das Netzwerk 172.16.0.0/16 erreichen, aber R-172 verwendet eine T3-Verbindung mit hoher Bandbreite, während R-254 eine ISDN-Einwahlverbindung mit geringer Bandbreite verwendet.
Die STCP-Routen sehen wie in Abbildung 1 oben aus. Beachten Sie, dass es keine explizite Route über R-254 gibt.
Wenn die T3-Verbindung von R-172 ausfällt, kann es das Netzwerk 172.16.0.0/16 nicht mehr erreichen, weiß jedoch, dass R-254 dies kann. Wenn also ein Paket für 172.16.1.2 eingeht, leitet es das Paket an R-254 weiter und sendet außerdem eine ICMP-Umleitungsnachricht an den Absender zurück. Der Absender, in diesem Fall STCP, erstellt eine dynamische Host-Route, die angibt, dass er das Paket an R-254 senden muss, um 172.16.1.2 zu erreichen (Abbildung 2).
Da es sich um Host-Routen handelt, erhält jeder Host im Netzwerk 172.16.0.0/16, an den ein Paket gesendet wird, seine eigene Route mit einem eigenen 5-Minuten-Timer. Der Befehl „route“ zeigt die aktuell verbleibende Lebensdauer für jede Route an.
Route drucken Standard-Gateway: 10.10.10.1 Netzwerkadresse Gateway-Adresse Subnetzmaske Umleitung Lebensdauer 172.16.0.0 10.10.10.172 255.255.0.0 172.16.1.1 255.255.255.255 10.10.10.254 5 Minuten 172.16.1.8 255.255.255.255 10.10.10.254 2 Minuten 172.16.1.23 255.255.255.255 10.10.10.254 2 Minuten 172.16.1.65 255.255.255.255 10.10.10.254 2 Minuten 172.16.1.101 255.255.255.255 10.10.10.254 3 Minuten 172.16.1.200 255.255.255.255 10.10.10.254 5 Minuten |
| Abbildung 4 – Mehrere Host-Routen |
Wenn die T3-Verbindung von R-172 hergestellt wird, sollten Hosts, die keine Host-Route haben, R-172 verwenden, als wäre nichts geschehen. Die Hosts mit einer Host-Route verwenden R-254, der weiß, dass die Verbindung von R-172 wiederhergestellt ist (Router tauschen den Routenstatus untereinander aus), und leiten das Paket daher an R-172 weiter. R-254 sollte außerdem eine ICMP-Umleitung an den Absender zurücksenden, was zu einer neuen Host-Route unter Verwendung von R-172 führt (Abbildung 5).
Route drucken Standard-Gateway: 10.10.10.1 Netzwerkadresse Gateway-Adresse Subnetzmaske Umleitung Lebensdauer 172.16.0.0 10.10.10.172 255.255.0.0 172.16.1.9 255.255.255.255 10.10.10.172 3 Minuten 172.16.1.18 255.255.255.255 10.10.10.172 4 Minuten 172.16.1.20 255.255.255.255 10.10.10.172 2 Minuten |
| Abbildung 5 – Host-Routen werden zurück zum ursprünglichen Router umgeleitet |
Unter bestimmten Umständen kann es sinnvoll sein, dass STCP keine dynamischen Routen erstellt. Was passiert beispielsweise, wenn R-254 ausgefallen ist und die Informationen von R-172 ein statischer Eintrag sind, der nie entfernt wurde? In diesem Fall werden Pakete an Hosts im Netzwerk 172.16.0.0/16 einfach verworfen, wenn R-254 nicht erreichbar ist. Wenn T3 von R-172 wieder verfügbar ist, sind die Hosts von 172.16.0.0/16 ohne Host-Route erreichbar, diejenigen mit der Host-Route R-254 jedoch nicht. Mit der Zeit werden aufgrund des Timeouts der R-254-Routen immer mehr Hosts erreichbar sein, aber es dauert 5 Minuten, bis die vollständige Wiederherstellung abgeschlossen ist.
Einige Sicherheitsexperten betrachten die auf diese Weise erstellten dynamischen Routen auch als Sicherheitsrisiko. Jeder Host im Netzwerk kann eine ICMP-Umleitungsnachricht senden und Pakete an ein anderes Gateway umleiten, wo Pakete mit sensiblen Inhalten wie Passwörtern oder Kontoinformationen abgefangen werden können.
Gibt es also eine Möglichkeit, die Erstellung dieser Routen zu verhindern?
Ja, der STCP-Konfigurationsparameter listen_redirects steuert, wie STCP ICMP-Umleitungsnachrichten behandelt. Die Standardeinstellung „on“ weist STCP an, diese dynamischen Routen zu erstellen, die Einstellung „off“ weist STCP an, ICMP-Umleitungsnachrichten zu ignorieren.
als: list_stcp_params listen_redirects ICMP-Umleitungen abhören [aus/ein] (listen_redirects) ein als: set_stcp_param listen_redirects aus Ändern von ICMP-Umleitungen abhören (listen_redirects) von ein auf aus |
| Abbildung 6 – Einstellen des STCP-Parameters „listen_redirect“ |
Beachten Sie, dass dieser Parameter das gesamte System betrifft. Sie können nicht festlegen, dass STCP Umleitungen von einigen Routern empfangen soll, von anderen jedoch nicht.