Jump to content
Калькуляторы

Подмена ip-адресов в беспровдных сетях как с этим вообще дело в отрасли обстоит ?

Вчера попробовал дома следующую операцию: подключился к своему запароленному ви-фи дома, сперва получил адрес по dhcp, потом снёс его и прописал соседний -- сеть работает. Значит в стандартной поставке SOHO роутеров защиты от подмены адресов нет, но это там и не требуется. Однако, если оператор связи решит раздавать доступ в internet через wi-fi с разными тарифами, то определённые проблемы будут. Чисто теоретически, имея логин с паролем для подключения, можно себе выставить любой ip-адрес, например, из пула адресов с другим тарифом с более широкой полосой. Можно конечно попробовать превентить такой вид безобразия на уровне распределения/ядра, но мой вопрос о другом:

 

Можно ли на точке доступа сделать определённую защиту от подмены ip-адреса ? Аналог ip source guard на ethernet коммутаторах доступа. Или ip-mac-port-binding или как-то так :-).

 

Интересует, как такое сделать, например, на openwrt (скрипты, которые правят фаервол на основе ответа радиуса или dhcp?) или может быть есть фичи у точек доступа ruckus ?

Share this post


Link to post
Share on other sites

вы не путаете выдача адреса по днсп и по впн соединению ???

 

Не путаю :-). Причём тут впн ? ВПН нам не нужен. Хотим сделать так: клиент авторизуется на точки доступа, получает ip-адрес по dhcp и работает. При этом точка должна фильтровать пакеты от клиента (можно и к клиенту) по типу фичи ip source guard как в езернет свичах.

 

Пока что наблюдаю картину, что после успешного подключения к точке доступа я оказываюсь подключенным в неуправляемый хаб, можно конечно изоляцию клиентов друг от друга включить, но это не запретит мне поменять ойпи на адрес соседа и работать. Хочу чтобы так было нельзя делать и чтобы этим занималась точка доступа, а не вышестоящее оборудование, если это вообще возможно.

Share this post


Link to post
Share on other sites

Пользователь пришёл из правильной подсети, ну дак роутер и рад. Навелосипедить скрипты, которые в файрвол выписывают все пары mac-ip из dhcp lease-ы можно, но так юзеры и маки подменят. Благо их в вайфае можно снюхать, в отличие от проводного коммутатора (не, его тоже можно в броадкаст завалить, но придут злые дяди и будут задавать неудобные вопросы). В целом ситуация не отличается от того, как если бы в контролируемый коммутатор с port security был вставлен тупой хаб и на него повешено N пользователей -- как их друг от друга отличить?

 

Можно каждому пользователю поднять свою virtual AP с уникальным SSID-ом и уникальный ключом (убегает в ужасе, дико хохоча). А если можно кошмарить пользователей, так и просто их аутентифицировать на доступе с 802.1X. А проще (как большинство и делает), выдать каждому свой собственный PPPoE/PPtP/etc туннель с аутентификацией. Ну или если точка -- не совсем мыльница и понимает RADIUS, то пользователей во вланах изолировать, а там пусть хоть заменяются адресов.

Edited by shipilev

Share this post


Link to post
Share on other sites

Можно ли на точке доступа сделать определённую защиту от подмены ip-адреса ? Аналог ip source guard на ethernet коммутаторах доступа. Или ip-mac-port-binding или как-то так :-).

 

На микротике на радиоинтерфейсе или бридже, куда он добавлен, отключаете ARP и устанавливаете его в режим Reply-only, в настройках DHCP сервера устанавливаете галочку добавления статических арп записей, время аренды адреса устанавливаете 5 минут.

В настройках радиоинтерфейса включаете изоляцию клиентов.

 

Пользователь пришёл из правильной подсети, ну дак роутер и рад. Навелосипедить скрипты, которые в файрвол выписывают все пары mac-ip из dhcp lease-ы можно, но так юзеры и маки подменят. Благо их в вайфае можно снюхать, в отличие от проводного коммутатора (не, его тоже можно в броадкаст завалить, но придут злые дяди и будут задавать неудобные вопросы). В целом ситуация не отличается от того, как если бы в контролируемый коммутатор с port security был вставлен тупой хаб и на него повешено N пользователей -- как их друг от друга отличить?

 

Даже если 1-2 клиента поставят себе чужие адреса, от оператора ничего не убудет.

Share this post


Link to post
Share on other sites

На микротике на радиоинтерфейсе или бридже, куда он добавлен, отключаете ARP и устанавливаете его в режим Reply-only, в настройках DHCP сервера устанавливаете галочку добавления статических арп записей, время аренды адреса устанавливаете 5 минут.

В настройках радиоинтерфейса включаете изоляцию клиентов.

Человек запускает у себя tcpdump, и узнает все связки мак-ip из ответов сервера клиентам. Дальше спокойно использует эти данные.

Share this post


Link to post
Share on other sites
' timestamp='1433317415' post='1134659']

Человек запускает у себя tcpdump, и узнает все связки мак-ip из ответов сервера клиентам. Дальше спокойно использует эти данные.

 

Прямо по улицам ходят тысячи хакеров, которые только и занимаются тем, что слушают маки из беспроводных сетей. Практика работы показывает, что такими вещами никто не занимается, максимум что бывало, так это абонент забывал включить автоматическое получение IP на беспроводном адаптере и ломился в сеть с не верными настройки адреса.

Share this post


Link to post
Share on other sites

На микротике на радиоинтерфейсе или бридже, куда он добавлен, отключаете ARP и устанавливаете его в режим Reply-only, в настройках DHCP сервера устанавливаете галочку добавления статических арп записей, время аренды адреса устанавливаете 5 минут. В настройках радиоинтерфейса включаете изоляцию клиентов.

 

А кстати, неплохой вариант. Это защищает от смены ip-адреса после его назначения, при условии, что снюхать чужую пару ip-mac нельзя. Только вот DHCP-ответ-то можно и снюхать, нет?

Share this post


Link to post
Share on other sites

да чё вы велосипед изобретает?

Какие нафиг multi-SSID(кстати их количество ограниченно чипом, и редко позволяет более 4шт, если память не изменяет).

Всё давно придумано за Вас, называется vlan-per-client, авторизация хоть через RADIUS-MAC, хоть, через EAP(что правильнее(секьюрнее), но геморойнее в настройке).

Точка сама будет сопоставлять нужный vlan с нужным юзвером.

 

Ну или геморойный вариант iptables + таблицы фильтрации с записями MAC-IP, можно даже из БД тянуть, были такие модули.

Share this post


Link to post
Share on other sites

Прямо по улицам ходят тысячи хакеров, которые только и занимаются тем, что слушают маки из беспроводных сетей.

Таких "программ для школьников", слушающих маки - миллион, и даже под винду и под все на свете.

 

Практика работы показывает, что такими вещами никто не занимается

Практика показывает, что если все-таки кто-то таким начнет заниматься, вам придется менять структуру сети.

А статистика да, показывает, что таким занимаются редко.

 

Только вот DHCP-ответ-то можно и снюхать, нет?

Не только DHCP-ответ, а также в любом трафике от базы к клиенту будет нужный мак. А этот трафик слышат все даже при client isolation.

Share this post


Link to post
Share on other sites

... гадочки у isc-dhcp, как и у других "обычных" dhcp-серверов нет. Влан-пер-юзер -- нет тех.возможности так делать, нам даже по влану на точку доступа не дадут скорее всего, опорка не наша.

 

802.1х чем поможет ? В коммутаторах 802.1х работает примерно как порт-секурити -- пропускает авторизованный мак, у точек доступа так же ? Просто пока не проверял. Даже если так же, то ip поменять ничто не помешает.

 

Т.е. пока вывод такой: у точек доступа нет функционала, схожего c ip source guard или ip-mac source guard.

 

P.S. А почему 802.1х это издевательство над абонентами ? Или я неправильно понял ? :-). По-моему, это для ви-фи самое то, разве нет ?

Share this post


Link to post
Share on other sites

Т.е. пока вывод такой: у точек доступа нет функционала, схожего c ip source guard или ip-mac source guard.

Вывод неправильный. Вывод такой: у вас нет возможностей использовать нормальную структуру сети (а нормальная - это vlan per user). Все остальное либо ужасно неудобно для клиента, либо не дает нужной защиты.

А так - ну вы вполне можете устроить ip source guard на CPE (вкладочка firewall в убнт). Но это только в случае, если CPE ваше и вы его контролируете.

Share this post


Link to post
Share on other sites
' timestamp='1433320586' post='1134699']

Вывод неправильный. Вывод такой: у вас нет возможностей использовать нормальную структуру сети (а нормальная - это vlan per user). ...

 

Вопрос был "есть ли у точек доступа функционал ip source guard ?" , его вроде как нет, значит вывод правильный :-). Про структуру сети вопроса не было :-).

Share this post


Link to post
Share on other sites
P.S. А почему 802.1х это издевательство над абонентами ? Или я неправильно понял ? :-). По-моему, это для ви-фи самое то, разве нет ?

а Вы попробуйте настроить на какой-нить висте хомэ-едишен с каким-нить ралинком/реалтеком да и ещё с неправильным временем....

 

Т.е. пока вывод такой: у точек доступа нет функционала, схожего c ip source guard или ip-mac source guard.

Это же линукс, нужен функционал -- погугли, скорее всего он уже есть, а если нет -- напиши сам :)

 

802.1х чем поможет ?

Он удобен совместно с RADIUS-MAC исключительно для организации схемы с DynamicVLAN.

 

Влан-пер-юзер -- нет тех.возможности так делать, нам даже по влану на точку доступа не дадут скорее всего, опорка не наша.

чёт не верится, если дадут vlan на точку, то QinQ никто не отменял...

Edited by NewUse

Share this post


Link to post
Share on other sites

Какие нафиг multi-SSID(кстати их количество ограниченно чипом, и редко позволяет более 4шт, если память не изменяет).

 

Когда говорите про ограничения, то говорите что оно на убнт, на микротике нет ограничений на количество multi-SSID.

 

Влан-пер-юзер -- нет тех.возможности так делать, нам даже по влану на точку доступа не дадут скорее всего, опорка не наша.

 

Если поставите в центре микротик, и удаленные точки микротик, то не важно чья опорка - поднимите туннели, поверх EoIP и гоняйте свои вланы без проблем.

 

Есть еще одно решение - создаете штук 50 virtual AP на микротике, на каждой указываете одинаковый SSID, на каждой ограничение на подключение только 1 абонента, на каждую AP повесите по одному уникальному IP поштучно, который будете выдавать по DHCP. Тогда абонент, даже поймав мак точки, мак абонента и SSID, не сможет помешать его работе, т.к. его просто не пустят на точку. Соответственно нужно будет сначала сбросить этого абонента с него. Со стороны клиента подключение будет такое - адаптер сканирует эфир и видит один SSID, но на нем куча виртуальных точек, он отправляет попытку авторизации на все точки, та, которая его первая примет и заберет на себя.

Share this post


Link to post
Share on other sites
то говорите что оно на убнт, на микротике нет ограничений на количество multi-SSID.

я могу ошибаться, но я говорил не про юбнт/мт, а про радиочип. Вы пробовали делать хотя бы 10 SSID на МТ?

И как оно работало с WPA2 хотя бы с одним клиентом на SSID?

Edited by NewUse

Share this post


Link to post
Share on other sites

я могу ошибаться, но я говорил не про юбнт/мт, а про радиочип. Вы пробовали делать хотя бы 10 SSID на МТ?

И как оно работало с WPA2 хотя бы с одним клиентом на SSID?

 

Пробовал, не зависимо от типа шифрования все работает отлично. Такие инсталляции применяются для привлечения клиентов в публичных местах, когда на одной точке доступа заводится штук 50-100 SSID, с именами начиная на цифры, всякие спецсимволы, буквы алфавита, что бы нужная сеть всегда была в самом верху списка, абоненты подключаются и работают.

Share this post


Link to post
Share on other sites

на одной точке доступа заводится штук 50-100 SSID, с именами начиная на цифры, всякие спецсимволы, буквы алфавита, что бы нужная сеть всегда была в самом верху списка, абоненты подключаются и работают.

Больше похоже на идиотизм, чем на нормальную работу. Они же маяками SSID'ов всю пропускную способность сожрут, да и коллизий станет намного больше, чем на одном ssid.

Share this post


Link to post
Share on other sites
' timestamp='1433410895' post='1135243']

Больше похоже на идиотизм, чем на нормальную работу. Они же маяками SSID'ов всю пропускную способность сожрут, да и коллизий станет намного больше, чем на одном ssid.

 

 

Для работы в качестве точки доступа это не критично.

Share this post


Link to post
Share on other sites
' timestamp='1433410895' post='1135243']

Больше похоже на идиотизм, чем на нормальную работу. Они же маяками SSID'ов всю пропускную способность сожрут, да и коллизий станет намного больше, чем на одном ssid.

 

 

Для работы в качестве точки доступа это не критично.

 

Ты перегрелся?

Share this post


Link to post
Share on other sites

На Cisco WLC есть такая фича DHCP Addr. Assignment, которая защищает от статики. Но тут правда контроллерное решение (точки Air-CAP, Air-LAP). Как это сделать на обычных Cisco Air-AP я пока не нашел.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this