Jump to content

Возможна ли подделка pppoe/dhcp circuit-id?

[anp/hsw]
 Share

Recommended Posts

[anp/hsw]

[anp/hsw]

Posted
Posted

Собственно, возник вопрос: а возможна ли? Не является ли это вектором атаки, от которого трудно защититься?

 

Понятно, что должны совпасть несколько условий:

1. Злоумышленник знает, в каком формате эта опция передается в биллинг (не так уж сложно, если в биллинге где-нибудь в статистике это можно посмотреть, либо если свич имеет 1-2 возможных варианта выдачи такой опции)

2. Поле circuit-id не должно быть перезаписано/модифицировано на транзите. Тоже далеко не в каждом мануале написано, что будет делать коммутатор, если такая опция в пакете уже есть - пропустит, допишет в конец свою, отбросит пакет)

3. Эта опция должна служить для авторизации пользователя, а не просто писаться в лог.

alibek

alibek

Posted
Posted

Да эта функция в том или ином виде везде есть.

Если сконфигурировано правильно, то подделать circuit-id простому пользователю невозможно.

[anp/hsw]

[anp/hsw]

Posted
  • Author
Posted

То же можете сказать и про pppoe circuit-id?

А то я сейчас гуглю, и dhcp opt82 в свичах более документирован, хотя смысла в наш век от него уже немного - ipv6 все-таки наступает.

Но если rewrite, то можно сорвать логику, например, прислав две 82 опции в одном пакете, ну и вообще, атаковать сам парсер dhcp, авось чего выйдет.

s.lobanov

s.lobanov

Posted
Posted
' timestamp='1465220287' post=1289319]

ну и вообще, атаковать сам парсер dhcp,

 

вот поэтому я всегда и говорю, что сложные софт-фичи на свитчах это ошибка дизайна. Да, эти парсеры пишут, чаще всего криворукие индусы и китайцы и я видел креши свитчей при подобных разборах dhcp опций, PADI-пакетов, LLDP и прочего. И при том эти креши специально никто не хотел, реальное нижестоящее устройство слало то, что приводил свитч к ребуту.

 

относительно pppoe circuit-id, тоже самое, там где видел её была policy rewrite

rdc

rdc

Posted
Posted

какой смысл использовать пппое с умным свичом?

 

а для dhcp есть банальное решение - влан на каждого хомячка.

vlan id не подделаешь, а от свича это вообще никакого ума не требует, работает аппаратно.

[anp/hsw]

[anp/hsw]

Posted
  • Author
Posted

какой смысл использовать пппое с умным свичом?

Хоть какая-никакая авторизация (где надо - запросим пароль, где не надо - авторизуем по circuit-id), с dhcp же - кто воткнул, тот и работает, без разбору (или к маку привязывать, что уже моветон).

Кроме того, я не помню, как решается проблема аккаунтинга при перезагрузке dhcp-сервера - насколько я понимаю, в accel-pptp эту проблему так и не решили.

 

vlan id не подделаешь

Это спорное утверждение. Видел много свичей, где по дефолту ingress filtering выключен. Хоть интернет и не получить, но дел можно натворить.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.