Перейти к содержимому
Калькуляторы

Подмена ip-адресов в беспровдных сетях как с этим вообще дело в отрасли обстоит ?

Вчера попробовал дома следующую операцию: подключился к своему запароленному ви-фи дома, сперва получил адрес по dhcp, потом снёс его и прописал соседний -- сеть работает. Значит в стандартной поставке SOHO роутеров защиты от подмены адресов нет, но это там и не требуется. Однако, если оператор связи решит раздавать доступ в internet через wi-fi с разными тарифами, то определённые проблемы будут. Чисто теоретически, имея логин с паролем для подключения, можно себе выставить любой ip-адрес, например, из пула адресов с другим тарифом с более широкой полосой. Можно конечно попробовать превентить такой вид безобразия на уровне распределения/ядра, но мой вопрос о другом:

 

Можно ли на точке доступа сделать определённую защиту от подмены ip-адреса ? Аналог ip source guard на ethernet коммутаторах доступа. Или ip-mac-port-binding или как-то так :-).

 

Интересует, как такое сделать, например, на openwrt (скрипты, которые правят фаервол на основе ответа радиуса или dhcp?) или может быть есть фичи у точек доступа ruckus ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вы не путаете выдача адреса по днсп и по впн соединению ???

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вы не путаете выдача адреса по днсп и по впн соединению ???

 

Не путаю :-). Причём тут впн ? ВПН нам не нужен. Хотим сделать так: клиент авторизуется на точки доступа, получает ip-адрес по dhcp и работает. При этом точка должна фильтровать пакеты от клиента (можно и к клиенту) по типу фичи ip source guard как в езернет свичах.

 

Пока что наблюдаю картину, что после успешного подключения к точке доступа я оказываюсь подключенным в неуправляемый хаб, можно конечно изоляцию клиентов друг от друга включить, но это не запретит мне поменять ойпи на адрес соседа и работать. Хочу чтобы так было нельзя делать и чтобы этим занималась точка доступа, а не вышестоящее оборудование, если это вообще возможно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пользователь пришёл из правильной подсети, ну дак роутер и рад. Навелосипедить скрипты, которые в файрвол выписывают все пары mac-ip из dhcp lease-ы можно, но так юзеры и маки подменят. Благо их в вайфае можно снюхать, в отличие от проводного коммутатора (не, его тоже можно в броадкаст завалить, но придут злые дяди и будут задавать неудобные вопросы). В целом ситуация не отличается от того, как если бы в контролируемый коммутатор с port security был вставлен тупой хаб и на него повешено N пользователей -- как их друг от друга отличить?

 

Можно каждому пользователю поднять свою virtual AP с уникальным SSID-ом и уникальный ключом (убегает в ужасе, дико хохоча). А если можно кошмарить пользователей, так и просто их аутентифицировать на доступе с 802.1X. А проще (как большинство и делает), выдать каждому свой собственный PPPoE/PPtP/etc туннель с аутентификацией. Ну или если точка -- не совсем мыльница и понимает RADIUS, то пользователей во вланах изолировать, а там пусть хоть заменяются адресов.

Изменено пользователем shipilev

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно ли на точке доступа сделать определённую защиту от подмены ip-адреса ? Аналог ip source guard на ethernet коммутаторах доступа. Или ip-mac-port-binding или как-то так :-).

 

На микротике на радиоинтерфейсе или бридже, куда он добавлен, отключаете ARP и устанавливаете его в режим Reply-only, в настройках DHCP сервера устанавливаете галочку добавления статических арп записей, время аренды адреса устанавливаете 5 минут.

В настройках радиоинтерфейса включаете изоляцию клиентов.

 

Пользователь пришёл из правильной подсети, ну дак роутер и рад. Навелосипедить скрипты, которые в файрвол выписывают все пары mac-ip из dhcp lease-ы можно, но так юзеры и маки подменят. Благо их в вайфае можно снюхать, в отличие от проводного коммутатора (не, его тоже можно в броадкаст завалить, но придут злые дяди и будут задавать неудобные вопросы). В целом ситуация не отличается от того, как если бы в контролируемый коммутатор с port security был вставлен тупой хаб и на него повешено N пользователей -- как их друг от друга отличить?

 

Даже если 1-2 клиента поставят себе чужие адреса, от оператора ничего не убудет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На микротике на радиоинтерфейсе или бридже, куда он добавлен, отключаете ARP и устанавливаете его в режим Reply-only, в настройках DHCP сервера устанавливаете галочку добавления статических арп записей, время аренды адреса устанавливаете 5 минут.

В настройках радиоинтерфейса включаете изоляцию клиентов.

Человек запускает у себя tcpdump, и узнает все связки мак-ip из ответов сервера клиентам. Дальше спокойно использует эти данные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

' timestamp='1433317415' post='1134659']

Человек запускает у себя tcpdump, и узнает все связки мак-ip из ответов сервера клиентам. Дальше спокойно использует эти данные.

 

Прямо по улицам ходят тысячи хакеров, которые только и занимаются тем, что слушают маки из беспроводных сетей. Практика работы показывает, что такими вещами никто не занимается, максимум что бывало, так это абонент забывал включить автоматическое получение IP на беспроводном адаптере и ломился в сеть с не верными настройки адреса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На микротике на радиоинтерфейсе или бридже, куда он добавлен, отключаете ARP и устанавливаете его в режим Reply-only, в настройках DHCP сервера устанавливаете галочку добавления статических арп записей, время аренды адреса устанавливаете 5 минут. В настройках радиоинтерфейса включаете изоляцию клиентов.

 

А кстати, неплохой вариант. Это защищает от смены ip-адреса после его назначения, при условии, что снюхать чужую пару ip-mac нельзя. Только вот DHCP-ответ-то можно и снюхать, нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да чё вы велосипед изобретает?

Какие нафиг multi-SSID(кстати их количество ограниченно чипом, и редко позволяет более 4шт, если память не изменяет).

Всё давно придумано за Вас, называется vlan-per-client, авторизация хоть через RADIUS-MAC, хоть, через EAP(что правильнее(секьюрнее), но геморойнее в настройке).

Точка сама будет сопоставлять нужный vlan с нужным юзвером.

 

Ну или геморойный вариант iptables + таблицы фильтрации с записями MAC-IP, можно даже из БД тянуть, были такие модули.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Прямо по улицам ходят тысячи хакеров, которые только и занимаются тем, что слушают маки из беспроводных сетей.

Таких "программ для школьников", слушающих маки - миллион, и даже под винду и под все на свете.

 

Практика работы показывает, что такими вещами никто не занимается

Практика показывает, что если все-таки кто-то таким начнет заниматься, вам придется менять структуру сети.

А статистика да, показывает, что таким занимаются редко.

 

Только вот DHCP-ответ-то можно и снюхать, нет?

Не только DHCP-ответ, а также в любом трафике от базы к клиенту будет нужный мак. А этот трафик слышат все даже при client isolation.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

... гадочки у isc-dhcp, как и у других "обычных" dhcp-серверов нет. Влан-пер-юзер -- нет тех.возможности так делать, нам даже по влану на точку доступа не дадут скорее всего, опорка не наша.

 

802.1х чем поможет ? В коммутаторах 802.1х работает примерно как порт-секурити -- пропускает авторизованный мак, у точек доступа так же ? Просто пока не проверял. Даже если так же, то ip поменять ничто не помешает.

 

Т.е. пока вывод такой: у точек доступа нет функционала, схожего c ip source guard или ip-mac source guard.

 

P.S. А почему 802.1х это издевательство над абонентами ? Или я неправильно понял ? :-). По-моему, это для ви-фи самое то, разве нет ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Т.е. пока вывод такой: у точек доступа нет функционала, схожего c ip source guard или ip-mac source guard.

Вывод неправильный. Вывод такой: у вас нет возможностей использовать нормальную структуру сети (а нормальная - это vlan per user). Все остальное либо ужасно неудобно для клиента, либо не дает нужной защиты.

А так - ну вы вполне можете устроить ip source guard на CPE (вкладочка firewall в убнт). Но это только в случае, если CPE ваше и вы его контролируете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

' timestamp='1433320586' post='1134699']

Вывод неправильный. Вывод такой: у вас нет возможностей использовать нормальную структуру сети (а нормальная - это vlan per user). ...

 

Вопрос был "есть ли у точек доступа функционал ip source guard ?" , его вроде как нет, значит вывод правильный :-). Про структуру сети вопроса не было :-).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

P.S. А почему 802.1х это издевательство над абонентами ? Или я неправильно понял ? :-). По-моему, это для ви-фи самое то, разве нет ?

а Вы попробуйте настроить на какой-нить висте хомэ-едишен с каким-нить ралинком/реалтеком да и ещё с неправильным временем....

 

Т.е. пока вывод такой: у точек доступа нет функционала, схожего c ip source guard или ip-mac source guard.

Это же линукс, нужен функционал -- погугли, скорее всего он уже есть, а если нет -- напиши сам :)

 

802.1х чем поможет ?

Он удобен совместно с RADIUS-MAC исключительно для организации схемы с DynamicVLAN.

 

Влан-пер-юзер -- нет тех.возможности так делать, нам даже по влану на точку доступа не дадут скорее всего, опорка не наша.

чёт не верится, если дадут vlan на точку, то QinQ никто не отменял...

Изменено пользователем NewUse

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Какие нафиг multi-SSID(кстати их количество ограниченно чипом, и редко позволяет более 4шт, если память не изменяет).

 

Когда говорите про ограничения, то говорите что оно на убнт, на микротике нет ограничений на количество multi-SSID.

 

Влан-пер-юзер -- нет тех.возможности так делать, нам даже по влану на точку доступа не дадут скорее всего, опорка не наша.

 

Если поставите в центре микротик, и удаленные точки микротик, то не важно чья опорка - поднимите туннели, поверх EoIP и гоняйте свои вланы без проблем.

 

Есть еще одно решение - создаете штук 50 virtual AP на микротике, на каждой указываете одинаковый SSID, на каждой ограничение на подключение только 1 абонента, на каждую AP повесите по одному уникальному IP поштучно, который будете выдавать по DHCP. Тогда абонент, даже поймав мак точки, мак абонента и SSID, не сможет помешать его работе, т.к. его просто не пустят на точку. Соответственно нужно будет сначала сбросить этого абонента с него. Со стороны клиента подключение будет такое - адаптер сканирует эфир и видит один SSID, но на нем куча виртуальных точек, он отправляет попытку авторизации на все точки, та, которая его первая примет и заберет на себя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

то говорите что оно на убнт, на микротике нет ограничений на количество multi-SSID.

я могу ошибаться, но я говорил не про юбнт/мт, а про радиочип. Вы пробовали делать хотя бы 10 SSID на МТ?

И как оно работало с WPA2 хотя бы с одним клиентом на SSID?

Изменено пользователем NewUse

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я могу ошибаться, но я говорил не про юбнт/мт, а про радиочип. Вы пробовали делать хотя бы 10 SSID на МТ?

И как оно работало с WPA2 хотя бы с одним клиентом на SSID?

 

Пробовал, не зависимо от типа шифрования все работает отлично. Такие инсталляции применяются для привлечения клиентов в публичных местах, когда на одной точке доступа заводится штук 50-100 SSID, с именами начиная на цифры, всякие спецсимволы, буквы алфавита, что бы нужная сеть всегда была в самом верху списка, абоненты подключаются и работают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

на одной точке доступа заводится штук 50-100 SSID, с именами начиная на цифры, всякие спецсимволы, буквы алфавита, что бы нужная сеть всегда была в самом верху списка, абоненты подключаются и работают.

Больше похоже на идиотизм, чем на нормальную работу. Они же маяками SSID'ов всю пропускную способность сожрут, да и коллизий станет намного больше, чем на одном ssid.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

' timestamp='1433410895' post='1135243']

Больше похоже на идиотизм, чем на нормальную работу. Они же маяками SSID'ов всю пропускную способность сожрут, да и коллизий станет намного больше, чем на одном ssid.

 

 

Для работы в качестве точки доступа это не критично.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

' timestamp='1433410895' post='1135243']

Больше похоже на идиотизм, чем на нормальную работу. Они же маяками SSID'ов всю пропускную способность сожрут, да и коллизий станет намного больше, чем на одном ssid.

 

 

Для работы в качестве точки доступа это не критично.

 

Ты перегрелся?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ты перегрелся?

 

точно точно, в пакете с запениванием.....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На Cisco WLC есть такая фича DHCP Addr. Assignment, которая защищает от статики. Но тут правда контроллерное решение (точки Air-CAP, Air-LAP). Как это сделать на обычных Cisco Air-AP я пока не нашел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.