ARCHIV

Mam uz davno takto DHCP server nastaveny a aj to odporucam, mat len ako Static DHCP, ktory prideluje IP adresy k MAC adresam.

Ja jsem tedy jeste nevidel maly domaci router u ktereho by se dala na pevno nastavit ARP tabulka (a rozhodne jsem nevidel zadny router, kde by to slo udelat klikanim pres web). Tohle nastaveni typicky ovlivnuje pouze DHCP server, ten ma bezpecnostni vyznam prakticky nulovy (utocnik si proste nejakou adresu vymysli, budto se do nejake nepouzite v 192.168.0.0/24 trefi rovnou nebo si holt odposlechne par paketu).

Navic: i pokud by clovek nastavil staticke ARP zaznamy, tak si bezpecnostne az tak nepomuze, protoze by to tak musel mit nastavene na vsech pocitacich do site pripojenych, navic utocnik muze proste pretect FIB nejakeho switche uprostred site a je vam staticke ARP k prdu. Lepsim resenim tehoz problemu je filtrovani na onom centralnim switchi, coz v omezene (a pro tyto ucely dostatecne) mire umi kazdy alespon trochu seriozni switch, pokud o to opravdu jde a opravdu mate sitovou infrastrukturu umistenou tak, ze k ni maji utocnici pristup, tak jedinym rozumnym resenim je 802.1x.

A nebo: nejrozumnejsi cesta je proste jakoukoli sit nepovazovat za duveryhodnou vubec a zabezpecit jednotlive koncove stanice a provoz jejich aplikaci. Coz je koneckoncu stejne dobry napad s ohledem na blizici se prechod na IPv6, kde vam veskere snahy o omezovani toho kdo se muze k jake siti pripojit akorat zkomplikuji zivot.

Na ADSL routeru co mam doma kdyz se nastavi staticka DHCP adresa tak to k ni vyrobi automaticky i staticky ARP zaznam. Ja bych spis videl problem v tom ze ethernet adresa se nastavuje ve windows ve stejnem dialogu jako IP adresa a tak i BFU zvladne zmenit obe.

ja bych hlavne rekl, ze i pokud se to tak chova, tak se to stejne neprestane ucit nove ARP zaznamy. Druha vec je, ze pokud jde o to chranit sit (a ne jenom pripojeni k internetu), tak by statickou ARP tabulku museli mit vsechny pocitace v te siti.

Zabrani se tim ale aby nekdo podvrhl IP adresu bez toho aby zfalsoval taky MAC. Otazka kolik % utocniku to odradi je vec druha.

Bohuzel MAC adresu k IP adrese zjistite trivialne - poslete jeden ARP request.

Resenim je IEEE 802.1X + MAC filter na portech. Nejlepsi je ale nasadit IPSEC, je to ciste SW reseni a nepotrebuje HW podporu ve switchich.

Zabrani se tim, aby nekdo podvrhl IP adresu pri komunikaci s onim routerem, ne ostatnimi zarizenimi v te siti. A muj dojem je, ze o ty ostatni zarizeni jde zejmena.

K obranně proti přesměrování síťového provozu přes útočníkův počítač není nutné nastavovat statické ARP tabulky u všech počítačů v síti.

Vysvětlím:

Aby se útočníkovi mohl útok povést, musí "nakecat“ počítači, který chce odposlechnout, že jeho MAC adresa je stejná jako MAC adresa brány, a bráně "nakecá“, že MAC adresa oběti je stejná, jako jeho MAC. Tudíž skrz záškodníka proudí veškerá komunikace mezi obětí a okolní sítí. Když se ale brána (router) naočkuje statickým ARP záznamem, potom to útočníkovi brána "nesežere“. Ovšem, že počítači, který chce útočník odposlouchávat, může změnit ARP tabulku, ale už tím nedosáhne toho, že síťový provoz přemostí přes sebe. Oběť toto zaregistruje tak, že jí najednou přestane fungovat internet a veškerá komunikace s počítači v síti, tudíž "zbystří“ a může to začít nějak řešit, třeba dá vědět správci, který může z ARP tabulky (v Linuxu např. příkazem ARP) zjistit MAC adresu útočníka a při rychlém jednání může dokonce útočníka chytit při činu.

Samozřejmě je pravda, že naočkovat všechny PC v síti statickou ARP tabulkou je dobrá věc. Bohužel s tímto počinem nemám dobré zkušenosti, také myslím, že by to bylo zbytečně moc obtížné. Např. v síti, která obsahuje PC s různými OS a další síťové prvky, třeba tiskárny, skenery, síťové disky... (je to můj názor, třeba to pro vás jde udělat nějak jinak, líp)

Ještě chci prohodit takovou malou poznámku (můj postřeh).
Statický ARP záznam má přednost před tím dynamickým (který si brána zjišťuje sama). Tudíž útočníkův pokus přebít ho jiným záznamem (s stejnou MAC a odlišnou IP) se nepovede.

Zapominate na to, ze pocitace nekomunikuji s MAC adresou routeru, ale s jeho IP adresou. Kdyz nemaji statickou ARP tabulku tak jeho MAC adresu neznaji a zjistuji ji pomoci ARP.

Odposlouchavat komunikaci muzete i bez hrani s IP/MAC jednak se da podrvhnout DHCP odpoved a poslat sama sebe jako router, coz temer vzdy vyjde protoze ISC DHCPD je pomaly a jednak proste preplnit MAC pamet switche a on se zacne chovat jako hub.

Navic pocitace spolu komunikuji pres router jen kdyz jsou v jinych sitich, jinak jedou primo.

Ona se sit tedy na L2 moc zabezpecit ani neda z duvodu snadne menitelnosti MAC adres, musi byt alespon vazane MAC adresy na porty na switchi. Nekdo to sice takhle zabezpecuje, ale nejsem moc presvedcen zda je to dobry napad protoze se mi nelibi vynalozena prace vs vysledny efekt. Nasadit IPSEC je mene prace a efekt je lepsi.

Možná jste mě špatně pochopil. V článku jsem neřešil hraní si s IP a MAC adresami (i když je možné to tak nazvat), ale právě zamezení DHCP podvrhu.

S tim, ze utocnik muze potvrhnout odpoved DHCP serveru toho mnoho nenadelate (krome toho, ze muzete dhcp nepouzivat).

druha vec je, ze vetsina tech "routeru" jako ten integrovany switch pouziva nejake monoliticke reseni od realteku, ktere je velmi snadne dostat do stavu, kdy se chova jako repeater nahodou, natoz umyslne.

Takze se branie tomu, aby lokalni utocnik odposlouchaval/pozmenoval provoz smerem ven (predpokladejme do internetu). Problem tohoto je ten, ze je to na nic. Nedovedu si totiz predstavit situaci, kdy by vadilo, ze utocnik odposlechne paket ktery stejne predtim prisle/pote odejde do internetu, nebo nejake jine site o jejjiz bezpecnosti lze rict jenom to, ze zadna neni.

Samozřejmě s tím, že je pro zkušeného útočníka zbytečné odposlouchávat odchozí pakety do vnější sítě, máte pravdu.

Tento útok (pokud vím) se ale k jen tomuto účelu moc nepoužívá (i když podle mého názoru je to jedna z nejjednodušších metod, jak to provést). Po úspěšném provedení tohoto útoku, získá útočník naprostý přehled o veškeré komunikaci v síti, nebo jen vybraného počítače a protože může v reálném čase pozměňovat i vytvářet komunikaci s adresami jakéhokoli počítače v síti. Získá naprostou nadvládu nad celou síti, kterou většinou využije k nějakému "pořádnému“ útoku.

Síť se stane loutkou a on tím, kdo tahá za provázky.