Security through obscurity

21.04.2014 20:53 von Andre Grosse Bley

Artikel abonnieren
-Werbung-

Nehmen wir nun mal einen völlig hypothetischen Fall an: Wir haben ein Übergerät gebaut, das vier Ethernetports und ein per Ethernet angebundenes WLAN-Modul besitze. Diese Ports seien an einem Ethernetswitch angeschlossen. Intern haben wir zwei Prozessoren, die ebenfalls an diesen Switch angeschlossen seien. Nun stellt sich das Problem, dass die beiden CPUs miteinander reden wollen, ohne dass ein externes Gerät dort mitreden darf.
Der Switch sei VLAN-fähig. Wie könnte man das realisieren?

Nun. Ganz einfach. Man konfiguriere auf beiden Seiten eine IP aus einem RFC 1918 Netz, sagen wir mal x.x.167.187 und x.x.167.188 zusätzlich auf das Ethernetinterface. Klar, diese IPs könnte ein Anwender fast trivial rausfinden. Dagegen  bemühen wir iptables, so dass nur Pakete von der richtigen MAC akzeptiert werden. Dennoch könnten diese geheimen IPs gefunden werden, Stichwort ARP.

Die Lösung!

# Kernel, arp.c should be modified not to answer for ARP REQ of $VENDOR_IP

Nun, lieber Vendor, dann sollte aber kein upnpd munter von einer dieser IPs Broadcasts verschicken.

Zurück

Kommentare

Einen neuen Kommentar schreiben