Newsgroups: sfnet.atk.turvallisuus
Subject: Re: Nettipankkien puutteet
References:  <[email protected]>  <[email protected]>  <[email protected]>  
"Jouni Korhonen"  writes:

> > Varsinkin ICMP type 3 viestej{ _EI_SAA_BLOKATA_! Niiden sy|minen
> > rikkoo t{ysin TCP:n MTU discoveryn, jolloin osa k{ytt{jist{ ei
> > p{{se palveluun k{siksi ollenkaan. Moiset palomuurit pit{isi
> > polttaa roviolla ja niiden yll{pit{j{t piest{ RFC-eepoksella kunnes
> > oppi imeytyy sinne impiluutuneeseen p{{h{n.
> 
> Tarkoitatko, ett{ my|s www palvelun k{ytt| voi h{iriinty{ kun blokataan
> kaikki ICMP paketit?

Kyll� voi h�iriinty� kun kaikki ICMP-paketit blokkaa. 
Esimerkiksi tyypillinen peelokonffaajien aiheittama ongelma
on ett� web-palvelin on palomuurin takana ja palomuuri
blokkaa ICMP:t� raskaalla k�dell� (ehk� kaikki). Tuloksena
on sitten ett� tuohon WWW-palvelimeen ei v�ltt�m�tt�
p��sek�� k�siksi sitten kaikista verkoista.... Jos ICMP
menisi l�pi, niin n�tisti toimisi.

> K{sitt{{kseni ICMP:t{ ei k{ytet{ http yhteyden muodostuksessa?

HTTP-yhteys py�rii TCP-protokollan p��ll� joka py�rii
taas IP:n p��ll�. JA ICMP-protokolla on t�rke� osa 
IP-protokollan toimintaa ja liittyy TCP:nk�n toimintaan.

ICMP:t� tarvitaan jos halutaan ett� TCP:n MTU auto discovery
toimii kunnolla. Jos palvelin l�hett�� verkkoon isomman paketin
kun siell� fragmentoimatta kulkee, niin verkko vastaa
ICMP-viestill�. Jos WWW-palvelin l�hett�� isompia paketteja
kun jossain paikassa verkkoa voi kulkea ja merkitsee ett�
n�it� paketteja ei pid� fragmentoida, niin oikein toimivassa
verkossa palvelin saa ICMP:n avulla tiet�� ongelmasta.
Jos nuo ICMP:t blokataan ennen palvelinta, niin ei
kommunikaatio en�� toimikaan ongelmitta...



-- 
Tomi Engdahl (http://www.iki.fi/then/)
Take a look at my electronics web links and documents at 
http://www.epanorama.net/