Detekce darebáckých zařízení jako LAN Turtle

[ZAJDAN]

Ahoj,
řešili jste někdy detekcí darebáckých zařízení typu LAN Turtle?
začínám pátrat po účiném řešení a napadá mne zda by to nešlo řešit pomocí IDS (Snort, etc)

[Reklama]

[?]

Díky za tip na zajímavou hračku.

[JardaP .]

Co takle delat inspekci paketu na odlisne TTL, nez ostatni zarizeni? Tem by se dalo nastavit TTL tak, aby LAN Turtle vynikla.

[kkt1]

Co takle delat inspekci paketu na odlisne TTL, nez ostatni zarizeni? Tem by se dalo nastavit TTL tak, aby LAN Turtle vynikla.

ttl se da upravit, ne?

[kkt1]

Vzhledem k tomu, ze mac adresy, ttl atd jsi schopen upravovat, tak nemas sanci tohle detekovat. Muzes se ale branit tomu dopadu a to 802.1X port-based authentication a vsechny sitove pripojeni sifrovat i v ramci LAN sifrovat. Videl jsem to u zakaznika ktery se zivi exploitami.

[Reklama]

[JardaP .]

ttl se da upravit, ne?

To sice da, ale otazka je, jestli Turtle furt smiruje, jake ma kdo TTL, aby si nastavilo stejne. Tipoval bych, ze ne, ale mozne je vsechno. Krome toho TTL se da nastavit pres DHCP, takze pokud to Turtle neignoruje, nastavenim nejake legracni hodnoty by se rychle prozradilo.

[MD]

To sice da, ale otazka je, jestli Turtle furt smiruje, jake ma kdo TTL, aby si nastavilo stejne. Tipoval bych, ze ne, ale mozne je vsechno. Krome toho TTL se da nastavit pres DHCP, takze pokud to Turtle neignoruje, nastavenim nejake legracni hodnoty by se rychle prozradilo

Pro LAN Turtle stačí, aby nezahazovalo pakety s TTL = 0 a nesnižovat jeho hodnotu při přeposílání.

[ZAJDAN]

Vzhledem k tomu, ze mac adresy, ttl atd jsi schopen upravovat, tak nemas sanci tohle detekovat. Muzes se ale branit tomu dopadu a to 802.1X port-based authentication a vsechny sitove pripojeni sifrovat i v ramci LAN sifrovat. Videl jsem to u zakaznika ktery se zivi exploitami.

že bych autentizoval i stanice na ethernetu přes RADIUS?

[Pepan]

Vzhledem k tomu, ze mac adresy, ttl atd jsi schopen upravovat, tak nemas sanci tohle detekovat. Muzes se ale branit tomu dopadu a to 802.1X port-based authentication a vsechny sitove pripojeni sifrovat i v ramci LAN sifrovat. Videl jsem to u zakaznika ktery se zivi exploitami.

že bych autentizoval i stanice na ethernetu přes RADIUS?

Ano, to je jediné správné řešení.

[ZAJDAN]

jako Radius klienta mam v cestě Mikrotik a Radius server FreeRadius(Debian)...zatím autentizuju jen wifi klienty
teď laboruju:
- jaký typ service na Mikrotiku nastavit pro ověřování lokalních ethernet stanic ..dostupné jsou (PPP, login, hotspot, hdcp, wireless)
- radius server je připlej na switchi, kde se sbíhají i ethernet stanice, takže to logicky neprojde přes router, kde beží RadiusClient
- na debianu v network manageru nelze nastavit kde a kdo je RadiusServer..pač stanice je supplicant a musí se dotázat klienta..ten ví kde je RadiusServer

lze koncovou stanici nastavit tak, aby poslala požadavek přímo na RadiusServer?
pokud ne a musí jít přes RadiusClient, jaký typ služby mám na RadiusClient(Mikrotik) nastavit?

díky

[Pepan]

jako Radius klienta mam v cestě Mikrotik a Radius server FreeRadius(Debian)...

Popravdě tomu moc nerozumím
802.1x musí podporovat zařízení, do kterého jsou zapojeni klienti (takže pravděpodobně switch). Je to vcelku logické, protože právě toto zařízení musí na základě výsledku authentizace klienta vypnout/zapnout port (případně ho zařadit do Guest, AuthFail VLAN...)

[ZAJDAN]

ještě jsem nikdy nezkoušel variantu kdy v cestě stojí 'non-managing' switch, takže také netuším, zda ten požadavek lze takto dostat až na server, pravděpodobně ale ne :_(
minimálně si vytáhnu kabel od mé workstation a připnu ho přímo na router a obejdu switch, pak se dostanu na radius

[Pepan]

ještě jsem nikdy nezkoušel variantu kdy v cestě stojí 'non-managing' switch, takže také netuším, zda ten požadavek lze takto dostat až na server, pravděpodobně ale ne :_(
minimálně si vytáhnu kabel od mé workstation a připnu ho přímo na router a obejdu switch, pak se dostanu na radius

Znovu: 802.1x musí podporovat switch. K čemu by bylo zasílání požadavku přímo na server, když by po neúspěšné authentizaci switch port nevypnul?
Switch bez managementu 802.1x určitě nepodporuje. Nepodporují ho ani levnější switche s managementem...

[ZAJDAN]

Znovu: 802.1x musí podporovat switch. K čemu by bylo zasílání požadavku přímo na server, když by po neúspěšné authentizaci switch port nevypnul?
Switch bez managementu 802.1x určitě nepodporuje. Nepodporují ho ani levnější switche s managementem...

jasný....díky pochopil jsem
Proto si vytáhnu minimálně pro svou stanici kabel přímo do routeru a až budou peníze, vymění se switch.

[kkt1]

Znovu: 802.1x musí podporovat switch. K čemu by bylo zasílání požadavku přímo na server, když by po neúspěšné authentizaci switch port nevypnul?
Switch bez managementu 802.1x určitě nepodporuje. Nepodporují ho ani levnější switche s managementem...

jasný....díky pochopil jsem
Proto si vytáhnu minimálně pro svou stanici kabel přímo do routeru a až budou peníze, vymění se switch.

Pockej, ale jenom samotny 802.1x ti nepomuze. Ten ti overi klienta na portu, nic vic. Vemu hub, zapojim ho do sitovky s pocitacem ktery se bude overovat a do switche. Necham pocitac overit, pripojim dalsi stroj k hubu a bezim na overenem portu. Dalsi vec, ten lan turtle jak jsem pochopil je usb sitovka, tudiz 802.1x ti probehne normalne, pak lan turtle muze delat cokoliv. Takze 802.1x a treba ipsec.