Die IETF empfiehlt: Bogon-Filter entfernen

Früher gab es mal Empfehlungen, auf seinen Internet-Routern alle IP-Netze rauszufiltern, die offiziell nicht vergeben waren. Zusammen mit dem Ausfiltern nicht erlaubter Adressen hat man damit einen gewissen IP-Spoofing-Schutz erreicht. Diese Empfehlung ist heute, wo die letzten IP-Netze schon länger an die Registries verteilt wurden, natürlich nicht mehr brauchbar.
Passend dazu ist letzten Monat der RFC 6441 “Time to Remove Filters for Previously Unallocated IPv4 /8s” erschienen.
Jetzt kann man die Admins, die diese Bogon-Filter einsetzen bzw. eingesetzt haben wohl in zwei Gruppen einteilen:

  1. Admins, die diese Funktion bewusst genutzt haben.
  2. Die haben diese Listen entweder selbst auf ihren Routern eingerichtet oder aber eine Bogon-Liste von z.B. Team Cymru

    Aber es gibt halt auch die

  3. Admins, die diese Funktion nicht bewusst nutzen.
  4. Das sind z.B. die, die auf älteren IOS-Versionen mit Auto-Secure gearbeitet und dabei mehr oder weniger automatisch einen Bogon-Filter in das System bekommen haben.

    Und für diese gilt dann wohl hauptsächlich die Empfehlung:
    Werft den alten Filter weg und ersetzt ihn gegen etwas Neues, z.B. mit den Netzen, die ich unter RFC 3330 ist obsolet” beschrieben habe.

Passend dazu ist auch die Cisco Field-Notice von 2005: AutoSecure Bogon Filter Potentially Causes Blackholing of Internet Traffic

Advertisements
Die IETF empfiehlt: Bogon-Filter entfernen

One thought on “Die IETF empfiehlt: Bogon-Filter entfernen

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s