{"id":3960,"date":"2011-12-06T18:07:06","date_gmt":"2011-12-06T17:07:06","guid":{"rendered":"http:\/\/security-planet.de\/?p=3960"},"modified":"2011-12-06T18:07:06","modified_gmt":"2011-12-06T17:07:06","slug":"die-ietf-empfiehlt-bogon-filter-entfernen","status":"publish","type":"post","link":"https:\/\/cyber-fi.net\/index.php\/2011\/12\/06\/die-ietf-empfiehlt-bogon-filter-entfernen\/","title":{"rendered":"Die IETF empfiehlt: Bogon-Filter entfernen"},"content":{"rendered":"

Fr\u00fcher gab es mal Empfehlungen, auf seinen Internet-Routern alle IP-Netze rauszufiltern, die offiziell nicht vergeben waren. Zusammen mit dem Ausfiltern nicht erlaubter Adressen hat man damit einen gewissen IP-Spoofing-Schutz erreicht. Diese Empfehlung ist heute, wo die letzten IP-Netze schon l\u00e4nger an die Registries verteilt wurden, nat\u00fcrlich nicht mehr brauchbar.
\nPassend dazu ist letzten Monat der RFC 6441 “Time to Remove Filters for Previously Unallocated IPv4 \/8s”<\/a> erschienen.
\nJetzt kann man die Admins, die diese Bogon-Filter einsetzen bzw. eingesetzt haben wohl in zwei Gruppen einteilen:<\/p>\n

    \n
  1. Admins, die diese Funktion bewusst genutzt haben.<\/li>\n

    Die haben diese Listen entweder selbst auf ihren Routern eingerichtet oder aber eine Bogon-Liste von z.B. Team Cymru<\/a><\/p>\n

    Aber es gibt halt auch die<\/p>\n

  2. Admins, die diese Funktion nicht bewusst nutzen.<\/li>\n

    Das sind z.B. die, die auf \u00e4lteren IOS-Versionen mit Auto-Secure<\/a> gearbeitet und dabei mehr oder weniger automatisch einen Bogon-Filter in das System bekommen haben.<\/p>\n

    Und f\u00fcr diese gilt dann wohl haupts\u00e4chlich die Empfehlung:
    \nWerft den alten Filter weg und ersetzt ihn gegen etwas Neues, z.B. mit den Netzen, die ich unter     RFC 3330 ist obsolet”<\/a> beschrieben habe.<\/ol>\n

    Passend dazu ist auch die Cisco Field-Notice von 2005: AutoSecure Bogon Filter Potentially Causes Blackholing of Internet Traffic<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

    Fr\u00fcher gab es mal Empfehlungen, auf seinen Internet-Routern alle IP-Netze rauszufiltern, die offiziell nicht vergeben waren. Zusammen mit dem Ausfiltern nicht erlaubter Adressen hat man damit einen gewissen IP-Spoofing-Schutz erreicht. Diese Empfehlung ist heute, wo die letzten IP-Netze schon l\u00e4nger an die Registries verteilt wurden, nat\u00fcrlich nicht mehr brauchbar. Passend dazu ist letzten Monat der <\/p>\n

    continue reading<\/a><\/div>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"twitterCardType":"","cardImageID":0,"cardImage":"","cardTitle":"","cardDesc":"","cardImageAlt":"","cardPlayer":"","cardPlayerWidth":0,"cardPlayerHeight":0,"cardPlayerStream":"","cardPlayerCodec":"","footnotes":""},"categories":[15],"tags":[297,507],"class_list":["post-3960","post","type-post","status-publish","format-standard","hentry","category-security","tag-ietf","tag-rfc-6441"],"_links":{"self":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts\/3960","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/comments?post=3960"}],"version-history":[{"count":0,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts\/3960\/revisions"}],"wp:attachment":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/media?parent=3960"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/categories?post=3960"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/tags?post=3960"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}