Passa al contenuto principale

Nelle ultime settimane diverse persone mi hanno interrogato su percorsi che appaiono e poi scompaiono misteriosamente. Per esempio

stampa del percorso

Gateway predefinito: 10.10.10.10.1

Indirizzo di rete Indirizzo del gateway Indirizzo della sottorete Maschera di sottorete Redirect Life
172.16.0.0       10.10.10.172     255.255.0.0
Figura 1 - tabella di instradamento originale

E poi

stampa del percorso

Gateway predefinito: 10.10.10.10.1

Indirizzo di rete Indirizzo del gateway Indirizzo della sottorete Maschera di sottorete Redirect Life
172.16.0.0       10.10.10.172     255.255.0.0
172.16.1.2 255.255.255.255.255 10.10.10.10.254 5 minuti
Figura 2 - percorso dinamico aggiunto

E 5 minuti dopo

stampa del percorso

Gateway predefinito: 10.10.10.10.1

Indirizzo di rete Indirizzo del gateway Indirizzo della sottorete Maschera di sottorete Redirect Life
172.16.0.0       10.10.10.172     255.255.0.0
Figura 3 - percorso dinamico cancellato

Questi percorsi dinamici vengono aggiunti quando lo stack STCP riceve un messaggio di reindirizzamento ICMP da un router che gli dice di utilizzare un router diverso. Come indicato dal display le rotte hanno una durata di 5 minuti, quindi dopo 5 minuti vengono cancellate. Naturalmente possono tornare immediatamente se lo stack riceve un altro messaggio di reindirizzamento.

Per descrivere il processo in dettaglio, diciamo che STCP è definito con un percorso verso la rete 172.16.0.0.0/16 attraverso il router 10.10.10.172. Inoltre, c'è un altro router sulla rete con l'indirizzo IP 10.10.10.254. Mi riferisco a questi router come R-172 e R-254. Sia R-172 che R-254 possono raggiungere la rete 172.16.0.0.0/16, ma R-172 utilizza una connessione T3 ad alta larghezza di banda, mentre R-254 utilizza un collegamento ISDN a bassa larghezza di banda.

Le rotte STCP assomigliano alla figura 1 di cui sopra, si noti che non esiste una rotta esplicita che utilizzi l'R-254.

Quando il collegamento T3 dell'R-172 non può più raggiungere la rete 172.16.0.0.0/16 ma sa che l'R-254 può farlo, quindi quando un pacchetto arriva per 172.16.1.2 inoltra il pacchetto all'R-254 e invia anche un messaggio ICMP di reindirizzamento al mittente. Il mittente, STCP in questo caso, costruisce un percorso host dinamico che indica che per raggiungere la 172.16.1.2 deve inviare il pacchetto a R-254, figura 2.

Poiché si tratta di percorsi host, ogni host della rete 172.16.0.0/16 che riceve un pacchetto riceverà il proprio percorso con il proprio timer di 5 minuti. Il comando route mostra l'attuale durata di vita residua per ogni percorso.

stampa del percorso

Gateway predefinito: 10.10.10.10.1

Indirizzo di rete Indirizzo del gateway Indirizzo della sottorete Maschera di sottorete Redirect Life
172.16.0.0       10.10.10.172     255.255.0.0
172.16.1.1.1 255.255.255.255.255 10.10.10.10.254 5 minuti
172.16.1.8 255.255.255.255.255 10.10.10.10.254 2 minuti
172.16.1.23 255.255.255.255.255 10.10.10.10.254 2 minuti
172.16.1.65 255.255.255.255.255 10.10.10.10.254 2 minuti
172.16.1.101 255.255.255.255.255 10.10.10.10.254 3 minuti
172.16.1.200 255.255.255.255.255.255 10.10.10.10.254 5 minuti
Figura 4 - percorsi host multipli

Quando il link T3 dell'R-172 viene fuori, quello che dovrebbe accadere è che gli host che non hanno un percorso host utilizzino l'R-172 in quanto non è mai successo nulla. Gli host con un percorso host usano R-254 che sa che il link di R-172 è di backup (i router si scambiano lo stato del percorso tra loro) e quindi inoltra il pacchetto a R-172. L'R-254 dovrebbe anche inviare un reindirizzamento ICMP al mittente, ottenendo così un nuovo percorso host che utilizza l'R-172 (figura 5).

stampa del percorso

Gateway predefinito: 10.10.10.10.1

Indirizzo di rete Indirizzo del gateway Indirizzo della sottorete Maschera di sottorete Redirect Life
172.16.0.0       10.10.10.172     255.255.0.0
172.16.1.9 255.255.255.255.255 10.10.10.172 3 minuti
172.16.1.18 255.255.255.255.255 10.10.10.10.172 4 minuti
172.16.1.20 255.255.255.255.255 10.10.10.10.172 2 minuti
Figura 5 - Percorsi host reindirizzati al router originale

In alcune condizioni può avere senso che STCP non crei alcun percorso dinamico. Ad esempio, cosa succede se l'R-254 è inattivo e le informazioni dell'R-172 sono una voce statica che non è mai stata rimossa. In questo caso i pacchetti agli host sulla rete 172.16.0.0/16 vengono semplicemente scaricati quando l'R-254 non può essere raggiunto. Quando il T3 dell'R-172 torna su si ha la situazione che quegli host 172.16.0.0.0/16 senza un percorso host sono raggiungibili, ma quelli con il percorso host R-254 non lo sono. Con il tempo, dato che il timeout dei percorsi R-254 sarà sempre più raggiungibile, ma ci vorranno 5 minuti per recuperare completamente.

Alcuni esperti di sicurezza considerano anche i percorsi dinamici così creati come un problema di sicurezza. Qualsiasi host sulla rete può inviare un messaggio ICMP di reindirizzamento, reindirizzando i pacchetti a un gateway diverso, dove possono essere catturati pacchetti con contenuti sensibili come password o informazioni sull'account.

C'è quindi un modo per evitare che questi percorsi vengano creati?

Sì, il parametro di configurazione STCP listen_redirects controlla come STCP gestisce i messaggi di reindirizzamento ICMP. L'impostazione predefinita "on" dice a STCP di creare queste rotte dinamiche, l'impostazione "off" dice a STCP di ignorare i messaggi di reindirizzamento ICMP.

come: list_stcp_params listen_redirects

ascoltare i reindirizzamenti ICMP [off/on] (listen_redirects) su 

come: set_stcp_param listen_redirects off

Modifica dell'ascolto dei reindirizzamenti ICMP (listen_redirects)
da sopra a sotto
Figura 6 - impostazione del parametro listen_redirect STCP

Si noti che questo parametro influenza il sistema nel suo complesso, non si può specificare che STCP debba ascoltare i reindirizzamenti di alcuni router ma non di altri.

© 2020 Stratus Tecnologie.