Arresto degli utenti dallo spoofing di un IP

3

Possiedo un router MikroTik (con funzionalità di firewall e scripting) che funge da server DHCP per la subnet 192.168.1.0/24. C'è un modo per impedirgli di passare il traffico da un utente che si è staticamente assegnato a un indirizzo all'interno di tale intervallo? Se sì, come si chiama in modo che io possa google come implementarlo? Devo creare uno script che modifichi dinamicamente le regole del firewall in modo che corrispondano ai lease DHCP?

Il mio obiettivo finale è stato mostrato come esempio nel caso in cui la mia domanda non sia sufficientemente chiara: Un utente si dà l'indirizzo di 192.168.1.2. Il mio router vede che questo non è nella sua tabella di lease DHCP. Elimina tutto il traffico da 192.168.1.2.

    
posta Seanny123 22.08.2012 - 01:21
fonte

5 risposte

2

No, ciò che stai chiedendo non è fondamentalmente possibile. La funzione primaria del sottolivello degli indirizzi MAC consente la comunicazione di numerosi dispositivi (OSI Layer 2) tramite un medio (Livello OSI 1). Nulla impedisce a un utente malintenzionato di assegnare alla scheda NIC un valore dell'indirizzo MAC arbitrario . Un effetto collaterale è che il server DHCP emetterà lo stesso indirizzo IP sullo stesso MAC per ogni richiesta, anche se la richiesta proviene dalla macchina di un utente malintenzionato. Questo non deve essere confuso con lo spoofing ARP, che è utile per gli attacchi MITM, e può essere prevenuto .

In realtà quello che stai cercando è una VPN. Questo può essere usato per consentire solo agli host fidati di comunicare.

    
risposta data 22.08.2012 - 06:52
fonte
2

Quello che stai descrivendo è chiamato Snooping DHCP e IP Source Guard ed è implementato sulla maggior parte degli switch di livello 2 gestiti meglio.

Funziona così:

  • Quando lo switch vede un indirizzo MAC, non sa che lascerà passare richieste DHCP solo da quell'indirizzo. Tutto il resto del traffico verrà eliminato.
  • Se il server DHCP risponde con un indirizzo IP, lo switch creerà una voce vincolante per IP + MAC
  • Il traffico con quella combinazione IP + MAC ora sarà consentito

RouterOS non supporta questa funzione, ma ci sono due modi per simularla:

  1. Nelle impostazioni dell'interfaccia, imposta ARP su "solo risposte": ciò impedirà al router di imparare nuove combinazioni IP + MAC. Quindi nelle impostazioni del server DHCP abilitare "Aggiungi ARP per locazioni". Ciò aggiungerà il binding MAC-IP quando il DHCP assegna un IP.
  2. Utilizzando i filtri Bridge puoi definire valide combinazioni IP + MAC e eliminare tutto il traffico.

Se vuoi limitare un determinato MAC a comparire solo su una determinata porta, dai un'occhiata a Opzione DHCP 82 (anche parte dello snooping DHCP) o 802.1x che può anche comunicare la porta a cui è collegato un client ( NAS-Port-Id ), entrambi sono supportati da molte opzioni di livello 2.

Tuttavia, questa tecnica può impedire solo il flooding MAC, lo spoofing ARP, lo spoofing IP e i conflitti IP. Non garantisce che la persona alla fine dell'indirizzo MAC sia davvero quella che pensi dovrebbe essere.

    
risposta data 20.10.2013 - 02:22
fonte
1

Sembra che tu voglia assicurarti che i client non autorizzati non siano permessi sulla rete. In tal caso, consulta la sezione Sicurezza di rete riportata di seguito. Se stai principalmente cercando di evitare conflitti e costringi gli utenti a utilizzare il server DHCP, leggi la sezione Disponibilità di rete di seguito.

Disponibilità di rete

  • Come sottolineato dalla precedente risposta di Rook , che cosa sei la richiesta specifica può essere sovvertita in molti modi. Se sei solo preoccupato per gli utenti che impostano il proprio indirizzo IP e la creazione la rete è in conflitto con l'indirizzo assegnato DHCP, il MicroTik DHCP server già controlla per vedere se l'indirizzo è disponibile o meno prima di assegnare un leasing. Questo potrebbe richiedere qualche configurazione aggiuntiva e il tuo chilometraggio potrebbe variare

Sicurezza di rete

  • Una soluzione per controllare l'accesso alla rete e consentire l'accesso alla rete solo coloro che sono autorizzati sulla rete sarebbero Controllo di accesso alla rete . Il protocollo per questo è 802.1x . Cisco ha un prodotto chiamato Agente di accesso pulito che funziona attorno alla capacità di un router di eseguire direttamente l'autenticazione 802.1x.
risposta data 22.08.2012 - 15:41
fonte
0

Probabilmente potresti fare il controllo degli accessi a un livello più alto o implementare un concetto simile a NAC di qualcosa come 802.1x. Se si è su una rete puramente commutata, è possibile disabilitare la porta finché non si autentica. Puoi anche forzare tutto il traffico su una VPN come sopra indicato o forzare il traffico attraverso un proxy con TLS / SSL / etc con l'autenticazione per tenere fuori dalla rete la furia.

  1. link
  2. link
  3. link

La domanda radice qui è: perché qualcuno può connettersi fisicamente alla tua rete se non è autorizzato?

    
risposta data 22.08.2012 - 15:37
fonte
0

Grazie a tutti per le risposte ponderate. Ora vedo che non esiste una soluzione universale per quello che stavo cercando (dal momento che 802.1X non è pratico per la mia rete, dato che sono un ISP) e per una risposta più completa dovrei fornire maggiori dettagli sulla mia rete.

Fortunatamente, ho trovato la risposta che stavo cercando accidentalmente durante la navigazione nelle opzioni del server DHCP MikroTik. Posso impedire a qualcuno di falsificare il proprio indirizzo IP e accedere al gateway utilizzando l'opzione "Aggiungi-ARP" come discusso in questo post sul forum. Ciò garantirebbe che un utente debba entrare in comunicazione con il mio gateway.

Ma per quanto riguarda lo spoofing dell'indirizzo MAC? Nella mia rete (certamente non ortodossa), abbiamo l'autenticazione dell'indirizzo MAC per DHCP, ma gli ACL garantiscono che gli utenti siano isolati e possono parlare solo con il gateway e gli indirizzi MAC degli utenti sono associati a una determinata porta. In altre parole, se un utente viene rilevato su una nuova porta diversa da quella a cui sono originariamente associati (che è altamente improbabile che sia legittimo), non sono autenticati.

Non l'ho ancora accettato come risposta finale, perché voglio sapere se c'è qualcosa che ho perso o se questa risposta richiede un chiarimento.

    
risposta data 22.08.2012 - 22:08
fonte

Leggi altre domande sui tag