Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: ZAJDAN 14. 05. 2018, 15:14:37
-
Ahoj,
řešili jste někdy detekcí darebáckých zařízení typu LAN Turtle?
začínám pátrat po účiném řešení a napadá mne zda by to nešlo řešit pomocí IDS (Snort, etc)
-
Díky za tip na zajímavou hračku.
-
Co takle delat inspekci paketu na odlisne TTL, nez ostatni zarizeni? Tem by se dalo nastavit TTL tak, aby LAN Turtle vynikla.
-
Co takle delat inspekci paketu na odlisne TTL, nez ostatni zarizeni? Tem by se dalo nastavit TTL tak, aby LAN Turtle vynikla.
ttl se da upravit, ne?
-
Vzhledem k tomu, ze mac adresy, ttl atd jsi schopen upravovat, tak nemas sanci tohle detekovat. Muzes se ale branit tomu dopadu a to 802.1X port-based authentication a vsechny sitove pripojeni sifrovat i v ramci LAN sifrovat. Videl jsem to u zakaznika ktery se zivi exploitami.
-
ttl se da upravit, ne?
To sice da, ale otazka je, jestli Turtle furt smiruje, jake ma kdo TTL, aby si nastavilo stejne. Tipoval bych, ze ne, ale mozne je vsechno. Krome toho TTL se da nastavit pres DHCP, takze pokud to Turtle neignoruje, nastavenim nejake legracni hodnoty by se rychle prozradilo.
-
To sice da, ale otazka je, jestli Turtle furt smiruje, jake ma kdo TTL, aby si nastavilo stejne. Tipoval bych, ze ne, ale mozne je vsechno. Krome toho TTL se da nastavit pres DHCP, takze pokud to Turtle neignoruje, nastavenim nejake legracni hodnoty by se rychle prozradilo
Pro LAN Turtle stačí, aby nezahazovalo pakety s TTL = 0 a nesnižovat jeho hodnotu při přeposílání.
-
Vzhledem k tomu, ze mac adresy, ttl atd jsi schopen upravovat, tak nemas sanci tohle detekovat. Muzes se ale branit tomu dopadu a to 802.1X port-based authentication a vsechny sitove pripojeni sifrovat i v ramci LAN sifrovat. Videl jsem to u zakaznika ktery se zivi exploitami.
že bych autentizoval i stanice na ethernetu přes RADIUS?
-
Vzhledem k tomu, ze mac adresy, ttl atd jsi schopen upravovat, tak nemas sanci tohle detekovat. Muzes se ale branit tomu dopadu a to 802.1X port-based authentication a vsechny sitove pripojeni sifrovat i v ramci LAN sifrovat. Videl jsem to u zakaznika ktery se zivi exploitami.
že bych autentizoval i stanice na ethernetu přes RADIUS?
Ano, to je jediné správné řešení.
-
jako Radius klienta mam v cestě Mikrotik a Radius server FreeRadius(Debian)...zatím autentizuju jen wifi klienty
teď laboruju:
- jaký typ service na Mikrotiku nastavit pro ověřování lokalních ethernet stanic ..dostupné jsou (PPP, login, hotspot, hdcp, wireless)
- radius server je připlej na switchi, kde se sbíhají i ethernet stanice, takže to logicky neprojde přes router, kde beží RadiusClient
- na debianu v network manageru nelze nastavit kde a kdo je RadiusServer..pač stanice je supplicant a musí se dotázat klienta..ten ví kde je RadiusServer
lze koncovou stanici nastavit tak, aby poslala požadavek přímo na RadiusServer?
pokud ne a musí jít přes RadiusClient, jaký typ služby mám na RadiusClient(Mikrotik) nastavit?
díky
-
jako Radius klienta mam v cestě Mikrotik a Radius server FreeRadius(Debian)...
Popravdě tomu moc nerozumím :)
802.1x musí podporovat zařízení, do kterého jsou zapojeni klienti (takže pravděpodobně switch). Je to vcelku logické, protože právě toto zařízení musí na základě výsledku authentizace klienta vypnout/zapnout port (případně ho zařadit do Guest, AuthFail VLAN...)
-
ještě jsem nikdy nezkoušel variantu kdy v cestě stojí 'non-managing' switch, takže také netuším, zda ten požadavek lze takto dostat až na server, pravděpodobně ale ne :_(
minimálně si vytáhnu kabel od mé workstation a připnu ho přímo na router a obejdu switch, pak se dostanu na radius
-
ještě jsem nikdy nezkoušel variantu kdy v cestě stojí 'non-managing' switch, takže také netuším, zda ten požadavek lze takto dostat až na server, pravděpodobně ale ne :_(
minimálně si vytáhnu kabel od mé workstation a připnu ho přímo na router a obejdu switch, pak se dostanu na radius
Znovu: 802.1x musí podporovat switch. K čemu by bylo zasílání požadavku přímo na server, když by po neúspěšné authentizaci switch port nevypnul?
Switch bez managementu 802.1x určitě nepodporuje. Nepodporují ho ani levnější switche s managementem...
-
Znovu: 802.1x musí podporovat switch. K čemu by bylo zasílání požadavku přímo na server, když by po neúspěšné authentizaci switch port nevypnul?
Switch bez managementu 802.1x určitě nepodporuje. Nepodporují ho ani levnější switche s managementem...
jasný....díky pochopil jsem
Proto si vytáhnu minimálně pro svou stanici kabel přímo do routeru a až budou peníze, vymění se switch.
-
Znovu: 802.1x musí podporovat switch. K čemu by bylo zasílání požadavku přímo na server, když by po neúspěšné authentizaci switch port nevypnul?
Switch bez managementu 802.1x určitě nepodporuje. Nepodporují ho ani levnější switche s managementem...
jasný....díky pochopil jsem
Proto si vytáhnu minimálně pro svou stanici kabel přímo do routeru a až budou peníze, vymění se switch.
Pockej, ale jenom samotny 802.1x ti nepomuze. Ten ti overi klienta na portu, nic vic. Vemu hub, zapojim ho do sitovky s pocitacem ktery se bude overovat a do switche. Necham pocitac overit, pripojim dalsi stroj k hubu a bezim na overenem portu. Dalsi vec, ten lan turtle jak jsem pochopil je usb sitovka, tudiz 802.1x ti probehne normalne, pak lan turtle muze delat cokoliv. Takze 802.1x a treba ipsec.
-
802.1x ověří konkrétní MAC adresu. Když přidám hub a připojím další stroj, tak ten bude blokován, protože port s aktivním 802.1x nadále propouští jen komunikaci s ověřenou MAC. V závislosti na nastavení a schopnisti switche těch MAC může být na jendom portu vícero, ale každá se musí ověřit pomocí 802.1x, také jakékoliv shození/nahození portu vyvolá obvykle celou ověřovací sérii zbovu. A pokud je to kombinováno s dalšíma funkcemi, tak na ten port nepřesměřuje ani cizí provoz. Pokud ta sonda umí převzít i MAC adresu za ním připojeného počítače a IP adresu a vystupovat pod ní, tak pak fungovat bude, pokud to 802.1x bude vhodně propouštět a přenechávat na příslušném počítači, protože 802.1x se obvykle vyvolává i periodicky třeba v hodinových intervalech...
-
802.1x ověří konkrétní MAC adresu. Když přidám hub a připojím další stroj, tak ten bude blokován, protože port s aktivním 802.1x nadále propouští jen komunikaci s ověřenou MAC. V závislosti na nastavení a schopnisti switche těch MAC může být na jendom portu vícero, ale každá se musí ověřit pomocí 802.1x, také jakékoliv shození/nahození portu vyvolá obvykle celou ověřovací sérii zbovu. A pokud je to kombinováno s dalšíma funkcemi, tak na ten port nepřesměřuje ani cizí provoz. Pokud ta sonda umí převzít i MAC adresu za ním připojeného počítače a IP adresu a vystupovat pod ní, tak pak fungovat bude, pokud to 802.1x bude vhodně propouštět a přenechávat na příslušném počítači, protože 802.1x se obvykle vyvolává i periodicky třeba v hodinových intervalech...
Co vim, tak typicky switch overi zarizeni v siti a povoli dany ethernetovy port. Zadnou inspekci na danem portu to dale nedela. Pokud vim. Jednou za cas muze delat overovani klienta jako kdyby se znovu pripojil, v praxi se to obvykle pouziva.
Vychazel jsem z informaci sice starych ale dle mych znalosti porad aktualnich.
In the summer of 2005, Microsoft's Steve Riley posted an article detailing a serious vulnerability in the 802.1X protocol, involving a man in the middle attack. In summary, the flaw stems from the fact that 802.1X authenticates only at the beginning of the connection, but after that authentication, it's possible for an attacker to use the authenticated port if he has the ability to physically insert himself (perhaps using a workgroup hub) between the authenticated computer and the port. Riley suggests that for wired networks the use of IPsec or a combination of IPsec and 802.1X would be more secure.
The 802.1X-2010 specification, which began as 802.1af, addresses vulnerabilities in previous 802.1X specifications, by using MACSec IEEE 802.1AE to encrypt data between logical ports (running on top of a physical port) and IEEE 802.1AR (Secure Device Identity / DevID) authenticated devices.
Jinak vice info treba https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_8021x/configuration/xe-3se/3850/sec-user-8021x-xe-3se-3850-book/config-ieee-802x-pba.html#GUID-B1C1F75B-45CF-4CA3-A833-43D7C6986249
-
ono by se to v podstatě dalo řešit, že když mi na lokálním serveru beží oVPN, tak se do VPN připojit a zatunelovat se již na lokální síti