Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Hamparle 09. 12. 2020, 11:58:45
-
Je možné, že třeba nějaké zařízení (které má jedno interface) si dokáže "najít cestu" pro komunikaci, i když "není v síti" vítaný?
Tím myslím, že když mu DHCP server nesdělí adresu brány a nebo ještě víc, ho DHCP neobslouží. Tak, že Zařízení může na základě příchozích a odchozích broadcast paketů a ARP odhadnout ip adresu brány a dle potřeby ještě používané IP a rozsah sítě.
Je to možné? Že si vydedukuje adresu brány (stačí jen MAC vlastně) zkusí nějakou IP z rozsahu. Samozřejmě za přepokladu, že router nemá nějaká opatření jako whitelist, vpuštění síti jen po DHCP... A neřeším DNS.
-
Je to mozne, DHCP na komunikaciu netreba. DHCP prideli najcastejsie iba IP a branu, ale bez technologie DHCP snooping sa klient vobec nemusi pytat. Ked chce, tak na sieti iba poposlucha, kto tam komunikuje a tym hned urci, kto je asi brana a aky rozsah by mal mat, aby mohol komunikovat aj on.
-
Ked chce, tak na sieti iba poposlucha, kto tam komunikuje a tym hned urci, kto je asi brana a aky rozsah by mal mat, aby mohol komunikovat aj on.
Pokud máte v síti switche a ne huby, tak si toho zařízení jen tak pasivně moc neposlechne.
-
Ked chce, tak na sieti iba poposlucha, kto tam komunikuje a tym hned urci, kto je asi brana a aky rozsah by mal mat, aby mohol komunikovat aj on.
Pokud máte v síti switche a ne huby, tak si toho zařízení jen tak pasivně moc neposlechne.
Ani broadcasty?
-
Není to obvyklé, ale možné to je. S IPv6 je to dokonce zamýšlené chování.
Pokud nechcete nějaké zařízení, aby komunikovalo, slouží na to firewall. "Ochrana" nepřidělením adresy nebo třeba na úrovni pravidel NATU je nedostatečná. Nemá cenu víc o tom špekulovat, odizolované zařízení má být buďto v odřízlé VLAN, nebo síť chráněná patřičnými pravidly.
-
Může, ale ne tím v aším způsobem. Nenapadá mne, jaké broadcasty by se v síti běžně posílaly, ze kterých by šlo odvodit adresu brány. Z ARP paketů to také nezjistí a jiný provoz než všesměrový na běžné switchované síti neuvidí.
-
Pokud máte v síti switche a ne huby, tak si toho zařízení jen tak pasivně moc neposlechne.
Ani broadcasty?
Napsal jsem moc si neposlechnele a ne nic si neposlechne. Kolik provozu jsou broadcasty ? Z principu nic moc, že ?
-
Může, ale ne tím v aším způsobem. Nenapadá mne, jaké broadcasty by se v síti běžně posílaly, ze kterých by šlo odvodit adresu brány. Z ARP paketů to také nezjistí a jiný provoz než všesměrový na běžné switchované síti neuvidí.
Broadcasty mivaji zdrojovou IP, z te se da docela efektivne odhadovat subnet a najit v subnetu branu uz neni takovy problem. Neni to sice stoprocentni, ale je to cesta..
-
Broadcasty mivaji zdrojovou IP, z te se da docela efektivne odhadovat subnet a najit v subnetu branu uz neni takovy problem. Neni to sice stoprocentni, ale je to cesta..
Odhadovat subnet a v něm odhadovat bránu spadá do toho „ne tím vaším způsobem“. A v takovém případě bude daleko rychlejší, než čekat na nějaký broadcast, prostě ty privátní rozsahy od nejpoužívanějších vyzkoušet.
-
U spousty switchu udajne staci preplnit tabulku mac adres a ze switche se stane hub.
-
U spousty switchu udajne staci preplnit tabulku mac adres a ze switche se stane hub.
Ano. Jak jsem psal, existují způsoby, jak adresu brány poměrně spolehlivě odhalit, ale zrovna ten navržený Hamparlem mezi ně nepatří.
-
U spousty switchu udajne staci preplnit tabulku mac adres a ze switche se stane hub.
Ano. Jak jsem psal, existují způsoby, jak adresu brány poměrně spolehlivě odhalit, ale zrovna ten navržený Hamparlem mezi ně nepatří.
Tak ono poměrně spolehlivé je i použít 192.168.0.1 bez jakékoliv složité detekce. A jako bonus na tu bránu zkusit i admin:admin. :)
-
Pokud nechcete nějaké zařízení, aby komunikovalo, slouží na to firewall. "Ochrana" nepřidělením adresy nebo třeba na úrovni pravidel NATU je nedostatečná. Nemá cenu víc o tom špekulovat, odizolované zařízení má být buďto v odřízlé VLAN, nebo síť chráněná patřičnými pravidly.
Firewall Vám ani trochu nepomůže bez L2 security. Takže bych to přeformuloval - Odizolované zařízení musí být za firewallem buď v odřízlé VLAN, nebo ve správně nastaveném switchi.
(dál bych to nerozváděl, diskuse jak konkrétně toho dosáhnout, a čeho vlastně chceme dosáhnout je dost nad rámec dotazu - někdy postačí dhcp snooping, aclko na port apod., jinde 802.1x, někdy ani to ne a bude potřeba šifrovat i L2)
-
No mě spíš zajímalo , jestli třeba tahle technika není v praxi rozšířená u zařízení různého druhu (homekity, homepody, televize, alexy, síry, kamery, špehovátka )...
-
No mě spíš zajímalo , jestli třeba tahle technika není v praxi rozšířená u zařízení různého druhu (homekity, homepody, televize, alexy, síry, kamery, špehovátka )...
tyhle věci ale přece mají přístup k internetu, janak by většina z nich byla k ničemu
-
No mě spíš zajímalo , jestli třeba tahle technika není v praxi rozšířená u zařízení různého druhu (homekity, homepody, televize, alexy, síry, kamery, špehovátka )...
K čemu by takové zjištění bylo? Pokud to lze, pak musíte počítat, že to kdokoliv udělat může. To bohatě stačí všem, kteří se zabývají bezpečností, na to, aby si vyhodnotili rizika.
-
U spousty switchu udajne staci preplnit tabulku mac adres a ze switche se stane hub.
Nikoliv údajně, ale třeba u Cisca skutečně (s jinými zařízeními zkušenosti nemám). Ovšem tak jednoduché to zase není. Především switche nabízí řadu bezpečnostních nastavení a záleží na administrátorovi, zda a jak jich využije. Pokud ano a dobře, takový útok neuspěje.
A pak je tady praktická věc. Hub se ze switche stane až po zaplnění tabulky MAC adres, načež propouští jen "nové" MAC adresy. Vůči "starým" MAC adresám, tj. těm, které se do tabulky dostaly před jejím zaplněním, se ale stále chová jako slušný switch.
Je tedy potřeba tabulku MAC adres napřed vymazat a pak zaplnit falešnými adresami, což nějakou dobu trvá. Pokud se v této době ozve regulérní zařízení, a to je v provozní síti vysoce pravděpodobné, dostane se jeho MAC adresa do tabulky a je po útoku. A to jsem pominul, že vymazání tabulky MAC adres vyžaduje privilegovaný přístup - pokud jej někdo má, nemusí se pochopitelně zabývat nějakými útoky.
-
No mě spíš zajímalo , jestli třeba tahle technika není v praxi rozšířená u zařízení různého druhu (homekity, homepody, televize, alexy, síry, kamery, špehovátka )...
Tahle zařízení se na konfigurují normálně přes DHCP. Nic jiného nedává smysl.
-
U spousty switchu udajne staci preplnit tabulku mac adres a ze switche se stane hub.
Nikoliv údajně, ale třeba u Cisca skutečně (s jinými zařízeními zkušenosti nemám).
Ono v okamžiku, kdy k zaplnění té tabulky dojde, jsou jenom dvě možnosti – buď se přestat spoléhat na tu (v tu chvíli neúplnou) ARP tabulku, tedy přepnout se do režimu hub. Nebo zastavit veškerý provoz a počkat, až správce problém vyřeší a zařízení restartuje.
-
U spousty switchu udajne staci preplnit tabulku mac adres a ze switche se stane hub.
Nikoliv údajně, ale třeba u Cisca skutečně (s jinými zařízeními zkušenosti nemám).
Ono v okamžiku, kdy k zaplnění té tabulky dojde, jsou jenom dvě možnosti – buď se přestat spoléhat na tu (v tu chvíli neúplnou) ARP tabulku, tedy přepnout se do režimu hub. Nebo zastavit veškerý provoz a počkat, až správce problém vyřeší a zařízení restartuje.
Tak samozrejme porad je tu pouzivana moznost, na kterou jste neprisel, a to udaje, ktere mam v tabulce, pouzivat normalne a jako hub se chovat jenom pro ty, ktere v tabulce nejsou.....
-
Tak samozrejme porad je tu pouzivana moznost, na kterou jste neprisel, a to udaje, ktere mam v tabulce, pouzivat normalne a jako hub se chovat jenom pro ty, ktere v tabulce nejsou.....
Psal jsem samozřejmě o případu, kdy je ta tabulka opravdu plná, takže tam správné záznamy nejsou, nebo se tam moc dlouho neohřejou.
-
Ono v okamžiku, kdy k zaplnění té tabulky dojde, jsou jenom dvě možnosti – buď se přestat spoléhat na tu (v tu chvíli neúplnou) ARP tabulku, tedy přepnout se do režimu hub. Nebo zastavit veškerý provoz a počkat, až správce problém vyřeší a zařízení restartuje.
ARP != CAM.
-
Tak samozrejme porad je tu pouzivana moznost, na kterou jste neprisel, a to udaje, ktere mam v tabulce, pouzivat normalne a jako hub se chovat jenom pro ty, ktere v tabulce nejsou.....
Tak se ostatně ten switch i chová, pokud pošlete paket na MACovku která není v CAM tabulce, tak ho to musí poslat do všech portů.
Další veselost je, když se stejná MAC objeví na více než jednom portu (to se někdy používá třeba u clusterů), jen bez testu labu nedám jak se Cisco (a které) na to zachová v defaultu.
-
Ono v okamžiku, kdy k zaplnění té tabulky dojde, jsou jenom dvě možnosti – buď se přestat spoléhat na tu (v tu chvíli neúplnou) ARP tabulku, tedy přepnout se do režimu hub. Nebo zastavit veškerý provoz a počkat, až správce problém vyřeší a zařízení restartuje.
ARP != CAM.
Společně to dáme. Jde o MAC address table (někdy implementované pomocí CAM). Snad už je to správně :-)