Může si síťový prvek „najít cestu“ i bez DHCP?

Hamparle

  • ****
  • 360
  • junior developer ucho
    • Zobrazit profil
    • E-mail
Je možné, že třeba nějaké zařízení (které má jedno interface) si dokáže "najít cestu" pro komunikaci, i když "není v síti" vítaný?

Tím myslím, že když mu DHCP server nesdělí adresu brány a nebo ještě víc, ho DHCP neobslouží. Tak, že Zařízení může  na základě  příchozích a odchozích broadcast paketů a  ARP  odhadnout ip adresu brány a dle potřeby ještě používané IP a rozsah sítě.

Je to možné? Že si vydedukuje adresu brány (stačí jen MAC vlastně) zkusí nějakou IP z rozsahu. Samozřejmě za přepokladu, že router  nemá nějaká opatření jako whitelist, vpuštění síti jen po DHCP... A neřeším DNS.
« Poslední změna: 09. 12. 2020, 18:41:15 od Petr Krčmář »


 Je to mozne, DHCP na komunikaciu netreba. DHCP prideli najcastejsie iba IP a branu, ale bez technologie DHCP snooping sa klient vobec nemusi pytat. Ked chce, tak na sieti iba poposlucha, kto tam komunikuje a tym hned urci, kto je asi brana a aky rozsah by mal mat, aby mohol komunikovat aj on.

Jimmyx

  • ***
  • 156
    • Zobrazit profil
    • E-mail
Ked chce, tak na sieti iba poposlucha, kto tam komunikuje a tym hned urci, kto je asi brana a aky rozsah by mal mat, aby mohol komunikovat aj on.
Pokud máte v síti switche a ne huby, tak si toho zařízení jen tak pasivně moc neposlechne.

Ked chce, tak na sieti iba poposlucha, kto tam komunikuje a tym hned urci, kto je asi brana a aky rozsah by mal mat, aby mohol komunikovat aj on.
Pokud máte v síti switche a ne huby, tak si toho zařízení jen tak pasivně moc neposlechne.

Ani broadcasty?

Není to obvyklé, ale možné to je. S IPv6 je to dokonce zamýšlené chování.

Pokud nechcete nějaké zařízení, aby komunikovalo, slouží na to firewall. "Ochrana" nepřidělením adresy nebo třeba na úrovni pravidel NATU je nedostatečná. Nemá cenu víc o tom špekulovat, odizolované zařízení má být buďto v odřízlé VLAN, nebo síť chráněná patřičnými pravidly.


Re:Může si síťový prvek „najít cestu“ i bez DHCP?
« Odpověď #5 kdy: 09. 12. 2020, 18:49:58 »
Může, ale ne tím v aším způsobem. Nenapadá mne, jaké broadcasty by se v síti běžně posílaly, ze kterých by šlo odvodit adresu brány. Z ARP paketů to také nezjistí a jiný provoz než všesměrový na běžné switchované síti neuvidí.

Jimmyx

  • ***
  • 156
    • Zobrazit profil
    • E-mail
Pokud máte v síti switche a ne huby, tak si toho zařízení jen tak pasivně moc neposlechne.
Ani broadcasty?
Napsal jsem moc si neposlechnele a ne nic si neposlechne. Kolik provozu jsou broadcasty ? Z principu nic moc, že ?

Re:Může si síťový prvek „najít cestu“ i bez DHCP?
« Odpověď #7 kdy: 09. 12. 2020, 21:50:29 »
Může, ale ne tím v aším způsobem. Nenapadá mne, jaké broadcasty by se v síti běžně posílaly, ze kterých by šlo odvodit adresu brány. Z ARP paketů to také nezjistí a jiný provoz než všesměrový na běžné switchované síti neuvidí.

Broadcasty mivaji zdrojovou IP, z te se da docela efektivne odhadovat subnet a najit v subnetu branu uz neni takovy problem. Neni to sice stoprocentni, ale je to cesta..

Re:Může si síťový prvek „najít cestu“ i bez DHCP?
« Odpověď #8 kdy: 10. 12. 2020, 08:42:48 »
Broadcasty mivaji zdrojovou IP, z te se da docela efektivne odhadovat subnet a najit v subnetu branu uz neni takovy problem. Neni to sice stoprocentni, ale je to cesta..
Odhadovat subnet a v něm odhadovat bránu spadá do toho „ne tím vaším způsobem“. A v takovém případě bude daleko rychlejší, než čekat na nějaký broadcast, prostě ty privátní rozsahy od nejpoužívanějších vyzkoušet.

Re:Může si síťový prvek „najít cestu“ i bez DHCP?
« Odpověď #9 kdy: 10. 12. 2020, 11:49:19 »
U spousty switchu udajne staci preplnit tabulku mac adres a ze switche se stane hub.

Re:Může si síťový prvek „najít cestu“ i bez DHCP?
« Odpověď #10 kdy: 10. 12. 2020, 12:12:51 »
U spousty switchu udajne staci preplnit tabulku mac adres a ze switche se stane hub.
Ano. Jak jsem psal, existují způsoby, jak adresu brány poměrně spolehlivě odhalit, ale zrovna ten navržený Hamparlem mezi ně nepatří.

Re:Může si síťový prvek „najít cestu“ i bez DHCP?
« Odpověď #11 kdy: 10. 12. 2020, 13:49:27 »
U spousty switchu udajne staci preplnit tabulku mac adres a ze switche se stane hub.
Ano. Jak jsem psal, existují způsoby, jak adresu brány poměrně spolehlivě odhalit, ale zrovna ten navržený Hamparlem mezi ně nepatří.
Tak ono poměrně spolehlivé je i použít 192.168.0.1 bez jakékoliv složité detekce. A jako bonus na tu bránu zkusit i admin:admin. :)

jouda2

Re:Může si síťový prvek "najít cestu" i bez brány, potažmo bez DHCP
« Odpověď #12 kdy: 10. 12. 2020, 14:11:47 »
Pokud nechcete nějaké zařízení, aby komunikovalo, slouží na to firewall. "Ochrana" nepřidělením adresy nebo třeba na úrovni pravidel NATU je nedostatečná. Nemá cenu víc o tom špekulovat, odizolované zařízení má být buďto v odřízlé VLAN, nebo síť chráněná patřičnými pravidly.
Firewall Vám ani trochu nepomůže bez L2 security. Takže bych to přeformuloval - Odizolované zařízení musí být za firewallem buď v odřízlé VLAN, nebo ve správně nastaveném switchi.
(dál bych to nerozváděl, diskuse jak konkrétně toho dosáhnout, a čeho vlastně chceme dosáhnout je dost nad rámec dotazu - někdy postačí dhcp snooping, aclko na port apod., jinde 802.1x, někdy ani to ne a bude potřeba šifrovat i L2)

Hamparle

  • ****
  • 360
  • junior developer ucho
    • Zobrazit profil
    • E-mail
Re:Může si síťový prvek „najít cestu“ i bez DHCP?
« Odpověď #13 kdy: 10. 12. 2020, 15:51:43 »
No mě spíš zajímalo , jestli třeba tahle technika není v praxi rozšířená u zařízení různého druhu (homekity, homepody, televize, alexy,  síry, kamery, špehovátka )...

crown

  • ****
  • 383
    • Zobrazit profil
Re:Může si síťový prvek „najít cestu“ i bez DHCP?
« Odpověď #14 kdy: 10. 12. 2020, 16:27:48 »
No mě spíš zajímalo , jestli třeba tahle technika není v praxi rozšířená u zařízení různého druhu (homekity, homepody, televize, alexy,  síry, kamery, špehovátka )...

tyhle věci ale přece mají přístup k internetu, janak by většina z nich byla k ničemu