[Ninux-Calabria] proposta ipwatchd

Giuseppe De Marco demarcog83 a gmail.com
Lun 27 Apr 2015 15:13:00 CEST


Il 27 aprile 2015 14:57, Stefano De Carlo <stefanauss a gmail.com> ha scritto:
> Il 27/04/2015 13:14, Giuseppe De Marco ha scritto:
>> Il 26 aprile 2015 14:53, Stefano De Carlo <stefanauss a gmail.com> ha scritto:
>>> Il 24/04/2015 14:58, Giuseppe De Marco ha scritto:
>>>> Cari amici,
>>>> se siete daccordo deployamo ipwatchd.
>>>> Lo uso da un pò di tempo e funziona e bene.
>>> Ciao Peppe,
>>>
>>> non ho capito qual'è il problema che riscontri che ipwatchd ti aiuta nel risolvere.
>>>
>>> Stefanauss.
>> il fatto che notifica se il tuo ip collide,
>> distribuendo questa logica su ogni router ed estendendo questa con un
>> sistema di notifica riesci a distribuire il monitoraggio a l2 di
>> attività dannose quali l'ip steal.
>
> Mi sembra un problema di impatto troppo ridotto per giustificare una soluzione da deployare ovunque nella mesh.
>
> OLSR ha già un meccanismo di notifica delle incoerenze nelle rotte e nei gw annunciati (che poi sono le cose che contano).

e se un fesso qualsiasi non usasse olsr ma si collegasse ad un ap
libero con un ip a caso, leggendolo dalla tabella indirizzi ?
Ora come ora, con la clientisolation, basta mettere come GW l'AP. Con
packet forgery è facile trovare i gateway in lan, il nostro tra i
primi (.3) "della classe". Fatto questo chiunque ha un buon metodo per
oscurare un peer dentro ninux.

Es. faccio questo gioco con l'ip di vilgio, tutto il segmento per il
quale giovanni fà supernodo viene oscurato.

>
> In una rete tutta L3, lo "steal" è atomico nel momento dell'ingresso in rete, passata la fase il rischio è nullo.

dovremmo testare newspig in CI con due client che hanno lo stesso ip.

> E a L2, la collisione, visto che ci potrebbero benissimo essere subnet private non annunciate, potrebbe essere
> * legittima
> * non auto-configurabile a livello di rilevazione (ognuno avrà una config diversa).
>
> In generale, potrebbe aver poco senso darsi pena di settare un detecting dei soli indirizzi IP e non invece una soluzione complessiva per il monitoraggio (smnp, json, netengine, etc).

sugli embedded cosa abbiamo di fattibile ?



Maggiori informazioni sulla lista Calabria