[РЕШЕНО] Возможность arp spoofing-а

All Activity

[РЕШЕНО] Возможность arp spoofing-а Вопрос знатокам...

Reply to this topic

lan-viper

Posted August 6, 2012 (edited)

Привет!

Меня давно терзает мысль, возможна-ли атака типа arp spoofing при следующем конфигурировании ACL на D-Link DES-3526:

create access_profile ip source_ip_mask 255.255.255.255 profile_id 12
config access_profile profile_id 12 add access_id 1 ip source_ip 10.105.12.1 port 1 permit
config access_profile profile_id 12 add access_id 2 ip source_ip 10.105.12.2 port 2 permit
config access_profile profile_id 12 add access_id 3 ip source_ip 10.105.12.3 port 3 permit
config access_profile profile_id 12 add access_id 4 ip source_ip 10.105.12.4 port 4 permit
config access_profile profile_id 12 add access_id 5 ip source_ip 10.105.12.5 port 5 permit
config access_profile profile_id 12 add access_id 6 ip source_ip 10.105.12.6 port 6 permit
config access_profile profile_id 12 add access_id 7 ip source_ip 10.105.12.7 port 7 permit
config access_profile profile_id 12 add access_id 8 ip source_ip 10.105.12.8 port 8 permit
config access_profile profile_id 12 add access_id 9 ip source_ip 10.105.12.9 port 9 permit
config access_profile profile_id 12 add access_id 10 ip source_ip 10.105.12.10 port 10 permit
config access_profile profile_id 12 add access_id 11 ip source_ip 10.105.12.11 port 11 permit
config access_profile profile_id 12 add access_id 12 ip source_ip 10.105.12.12 port 12 permit
config access_profile profile_id 12 add access_id 13 ip source_ip 10.105.12.13 port 13 permit
config access_profile profile_id 12 add access_id 14 ip source_ip 10.105.12.14 port 14 permit
config access_profile profile_id 12 add access_id 15 ip source_ip 10.105.12.15 port 15 permit
config access_profile profile_id 12 add access_id 16 ip source_ip 10.105.12.16 port 16 permit
config access_profile profile_id 12 add access_id 17 ip source_ip 10.105.12.17 port 17 permit
config access_profile profile_id 12 add access_id 18 ip source_ip 10.105.12.18 port 18 permit
config access_profile profile_id 12 add access_id 19 ip source_ip 10.105.12.19 port 19 permit
config access_profile profile_id 12 add access_id 20 ip source_ip 10.105.12.20 port 20 permit
config access_profile profile_id 12 add access_id 21 ip source_ip 10.105.12.21 port 21 permit
config access_profile profile_id 12 add access_id 22 ip source_ip 10.105.12.22 port 22 permit
config access_profile profile_id 12 add access_id 23 ip source_ip 10.105.12.23 port 23 permit
config access_profile profile_id 12 add access_id 24 ip source_ip 10.105.12.24 port 24 permit

create access_profile ip source_ip_mask 0.0.0.0 profile_id 255
config access_profile profile_id 255 add access_id 1 ip source_ip 0.0.0.0 port 1-24 deny

Абонентам выдаю соответствующий ip по dhcp option 82. Вообще эта схема служит для исключения самовольной смены ip абонентом и как альтернатива ip-mac-port binding.

Имею желание обсудить недостатки и собственно вопрос по спуфингу.

UPD

VLAN на свич, т.о. атака будет возможна только в пределах данного коммутатора.

Edited September 2, 2012 by lan-viper

Share this post

Link to post

Share on other sites

h1vs2

Posted August 6, 2012

Раз уже глинк и 3526, чем Вам address_binding dhcp_snooping не угодил?

Share this post

Link to post

Share on other sites

lan-viper

Posted August 6, 2012

А на конкретно поставленный вопрос слабо ответить?

Share this post

Link to post

Share on other sites

dmvy

Posted August 6, 2012

а еще разрешить протокол arp, а все остальное закрыть + сделать сегментацию трафика до уровня аггрегации.

Share this post

Link to post

Share on other sites

s.lobanov

Posted August 6, 2012

Привет!

Меня давно терзает мысль, возможна-ли атака типа arp spoofing при следующем конфигурировании ACL на D-Link DES-3526:
create access_profile ip source_ip_mask

Вы вообще хоть раз arp-трафик смотрели ваершарком? Видели там ip-заголовок?

Из мана:

create access_profile ip source_ip_mask 255.255.255.0 profile_id 1
Here we have created an access profile that will examine the IP field of each frame received by the Switch.

Share this post

Link to post

Share on other sites

terrible

Posted August 6, 2012

ARP пакеты не попадут у вас в ваши IP профили, т.к. это ethernet. Для фильтрафии ARP нужен packet_content_filtering, тогда отфильтруете.

Если у вас влан на свич - проще сделать traffic_segmentation на свиче, и на агрегации этого влана повесить одно правило от спуфинга.

Share this post

Link to post

Share on other sites

vurd

Posted August 6, 2012

Привет!

Меня давно терзает мысль, возможна-ли атака типа arp spoofing при следующем конфигурировании ACL на D-Link DES-3526:

Да, возможна.

И хоть вы просили дать только ответ на этот вопрос, покажу как решить проблему спуфинга для порта 1 и ip-адреса 192.168.0.1 (C0A80001).

create access_profile packet_content_mask offset_16-31  0xFFFF0000  0x0  0x0  0x0 offset_32-47  0xFFFFFFFF  0x0  0x0  0x0 profile_id 11 
config access_profile profile_id 11 add access_id 1 packet_content_mask offset_16-31  0x8060000  0x0  0x0  0x0 offset_32-47  0xC0A80001  0x0  0x0  0x0 port 1 permit

create access_profile packet_content_mask offset_16-31  0xFFFF0000  0x0  0x0  0x0 profile_id 21 
config access_profile profile_id 21 add access_id 1 packet_content_mask offset_16-31  0x8060000  0x0  0x0  0x0 port 1 deny

Share this post

Link to post

Share on other sites

Тогда следующая информация к размышлению: то, что arp не ip и так понятно, но, как злоумышленник сможет воспользоваться своим положением? Ну отравил он arp-кэш на машине жертвы, но злоумышленнику ведь нужны пароли! а пароли у нас бегают в протоколах выше сетевого, соотв. на порт злоумышленника должны будут передаваться пакеты с другими src ip, но они не пройдут по ACL.

Как то так, направьте меня в нужное русло, если я не прав.

Share this post

Link to post

Share on other sites

s.lobanov

Posted August 6, 2012

lan-viper

начали за спуфинг, кончили за упокой. тут уже зависит как вы адреса выдаёте и как боретесь с фейковыми серверами dhcp(или pppoe)

Сейчас тема сводится к обсуждению всевозможных L2+ атак, а это, поверьте, целая область знаний

Share this post

Link to post

Share on other sites

Ivan_83

Posted August 6, 2012

Л2 простой как стакан воды, ничего там нет.

Если бы 5% времени от дрочева над IP и TCP/UDP тратилось на изучение л2 и как оно взаимодействует с л3 то не было бы никаких вопросов и домыслов.

2ТС.

Вы привязываете IP отправителя к порту, это означает что в случае отравления арп кеша пакеты вместо роутера пойдут к отправителю, однако отвечать он не сможет, ибо будет подставлять не свой IP адрес

Но лично вам, как ИСП, это испортит больше нервов, ибо клиент будет рандомно без инета, и вы будете ему говорить что он ***к, а он будет думать тоже самое про вас.

А ещё, есть icmp редиректы, и в случае кривой реализации у атакующего есть шансы редиректить его тот IP, который не фильтруется.

Share this post

Link to post

Share on other sites

lan-viper

Posted August 6, 2012 (edited)

Но лично вам, как ИСП, это испортит больше нервов, ибо клиент будет рандомно без инета, и вы будете ему говорить что он ***к, а он будет думать тоже самое про вас.

Вот в этом я с Вами полностью согласен, но это уже очевидные последствия.

Edited August 6, 2012 by lan-viper

Share this post

Link to post

Share on other sites

vurd

Posted August 7, 2012

Спасибо за ответы!

Тогда следующая информация к размышлению: то, что arp не ip и так понятно, но, как злоумышленник сможет воспользоваться своим положением? Ну отравил он arp-кэш на машине жертвы, но злоумышленнику ведь нужны пароли! а пароли у нас бегают в протоколах выше сетевого, соотв. на порт злоумышленника должны будут передаваться пакеты с другими src ip, но они не пройдут по ACL.

Как то так, направьте меня в нужное русло, если я не прав.

Да поставит просто ip адрес раный адресу шлюза и все, либо клиента какого-нибудь. Больше ему ничего делать то не надо даже, вы спуфинг рассматривайте не как вид атаки, а как реальную возможность сделать что-то по своей дурости. Я так понимаю у вас нет "vlan пер хер", иначе бы вопрос не возник.

Share this post

Link to post

Share on other sites

lan-viper

Posted August 7, 2012

Я так понимаю у вас нет "vlan пер хер", иначе бы вопрос не возник.

Нет, не стал заморачиваться с такой схемой, сделал vlan-per-switch. Пол года работает, кушать не просит. Просто зачесалось что-то безопасность повысить в сети, решил начать с доступа.

Share this post

Link to post

Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Reply to this topic...

× Pasted as rich text. Paste as plain text instead

Only 75 emoji are allowed.

× Your link has been automatically embedded. Display as a link instead

× Your previous content has been restored. Clear editor

× You cannot paste images directly. Upload or insert images from URL.

Insert image from URL

Followers 0

Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...

Sign In

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Join the conversation