D-Link • Просмотр темы - Злодеи обходят antiDHCP. Что думаете насчет новго противояд?

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Злодеи обходят antiDHCP. Что думаете насчет новго противояд?

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 2

[ Сообщений: 22 ]

На страницу 1, 2 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

dlinktester

Заголовок сообщения: Злодеи обходят antiDHCP. Что думаете насчет новго противояд?

Добавлено: Пн июл 13, 2009 11:25

Зарегистрирован: Ср июл 02, 2008 16:49
Сообщений: 85

ДОбрый день

Используем DES-3526

ЧТо бы убрать ненужные клиенткие dhcp-раздачи используем ставший уже стандартным вариант

Код:

create access_profile ip udp src_port_mask 0xFFFF profile_id 5
config access_profile profile_id 5 add access_id 1 ip udp src_port 67 port 25 permit
config access_profile profile_id 5 add access_id 2 ip udp src_port 67 port 26 permit
config access_profile profile_id 5 add access_id 3 ip udp src_port 67 port 1 deny
config access_profile profile_id 5 add access_id 4 ip udp src_port 67 port 2 deny
config access_profile profile_id 5 add access_id 5 ip udp src_port 67 port 3 deny
config access_profile profile_id 5 add access_id 6 ip udp src_port 67 port 4 deny
config access_profile profile_id 5 add access_id 7 ip udp src_port 67 port 5 deny
config access_profile profile_id 5 add access_id 8 ip udp src_port 67 port 6 deny
config access_profile profile_id 5 add access_id 9 ip udp src_port 67 port 7 deny
config access_profile profile_id 5 add access_id 10 ip udp src_port 67 port 8 deny
config access_profile profile_id 5 add access_id 11 ip udp src_port 67 port 9 deny
config access_profile profile_id 5 add access_id 12 ip udp src_port 67 port 10 deny
config access_profile profile_id 5 add access_id 13 ip udp src_port 67 port 11 deny
config access_profile profile_id 5 add access_id 14 ip udp src_port 67 port 12 deny
config access_profile profile_id 5 add access_id 15 ip udp src_port 67 port 13 deny
config access_profile profile_id 5 add access_id 16 ip udp src_port 67 port 14 deny
config access_profile profile_id 5 add access_id 17 ip udp src_port 67 port 15 deny
config access_profile profile_id 5 add access_id 18 ip udp src_port 67 port 16 deny
config access_profile profile_id 5 add access_id 19 ip udp src_port 67 port 17 deny
config access_profile profile_id 5 add access_id 20 ip udp src_port 67 port 18 deny
config access_profile profile_id 5 add access_id 21 ip udp src_port 67 port 19 deny
config access_profile profile_id 5 add access_id 22 ip udp src_port 67 port 20 deny
config access_profile profile_id 5 add access_id 23 ip udp src_port 67 port 21 deny
config access_profile profile_id 5 add access_id 24 ip udp src_port 67 port 22 deny
config access_profile profile_id 5 add access_id 25 ip udp src_port 67 port 23 deny
config access_profile profile_id 5 add access_id 26 ip udp src_port 67 port 24 deny

НО сегодня каким-то образом какой-то человек производил раздачу с клиентского порта. Т.о. я пришел к выводу что стандартная защита не совсем адекватна(хотя проработала и за год не было не единого прецедента) т.к. скорее всего dhcp ответы абонента шли не с 67 порта.
Поэтому я хочу ввести дополнительную ступень защиты те блочить dhcp ответы на 68 порт (порт dhcp клиента)
те вот так

Код:

create access_profile ip udp dst_port_mask 0xFFFF profile_id 7
config access_profile profile_id 7 add access_id 53 ip udp dst_port 68 port 1 deny
config access_profile profile_id 7 add access_id 54 ip udp dst_port 68 port 2 deny
config access_profile profile_id 7 add access_id 55 ip udp dst_port 68 port 3 deny
config access_profile profile_id 7 add access_id 56 ip udp dst_port 68 port 4 deny
config access_profile profile_id 7 add access_id 57 ip udp dst_port 68 port 5 deny
config access_profile profile_id 7 add access_id 58 ip udp dst_port 68 port 6 deny
config access_profile profile_id 7 add access_id 59 ip udp dst_port 68 port 7 deny
config access_profile profile_id 7 add access_id 60 ip udp dst_port 68 port 8 deny
config access_profile profile_id 7 add access_id 61 ip udp dst_port 68 port 9 deny
config access_profile profile_id 7 add access_id 62 ip udp dst_port 68 port 10 deny
config access_profile profile_id 7 add access_id 63 ip udp dst_port 68 port 11 deny
config access_profile profile_id 7 add access_id 64 ip udp dst_port 68 port 12 deny
config access_profile profile_id 7 add access_id 65 ip udp dst_port 68 port 13 deny
config access_profile profile_id 7 add access_id 66 ip udp dst_port 68 port 14 deny
config access_profile profile_id 7 add access_id 67 ip udp dst_port 68 port 15 deny
config access_profile profile_id 7 add access_id 68 ip udp dst_port 68 port 16 deny
config access_profile profile_id 7 add access_id 69 ip udp dst_port 68 port 17 deny
config access_profile profile_id 7 add access_id 70 ip udp dst_port 68 port 18 deny
config access_profile profile_id 7 add access_id 71 ip udp dst_port 68 port 19 deny
config access_profile profile_id 7 add access_id 72 ip udp dst_port 68 port 20 deny
config access_profile profile_id 7 add access_id 73 ip udp dst_port 68 port 21 deny
config access_profile profile_id 7 add access_id 74 ip udp dst_port 68 port 22 deny
config access_profile profile_id 7 add access_id 75 ip udp dst_port 68 port 23 deny
config access_profile profile_id 7 add access_id 76 ip udp dst_port 68 port 24 deny

Что думаете? Есть ли какие-нибудь подводные камни?
Перед запуском хотелось бы спросить мнение экспертов.

Вернуться наверх

Chupaka

Заголовок сообщения:

Добавлено: Пн июл 13, 2009 11:56

Зарегистрирован: Вт июн 17, 2008 18:59
Сообщений: 1203
Откуда: Минск, Беларусь

DHCP Relay?

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Вернуться наверх

xcme

Заголовок сообщения: Re: Злодеи обходят antiDHCP. Что думаете насчет новго против

Добавлено: Пн июл 13, 2009 15:01

Зарегистрирован: Вс дек 21, 2008 18:53
Сообщений: 1308

dlinktester писал(а):

Почему бы вместо всей этой кучи правил не писать просто:
config access_profile profile_id 5 add access_id 1 ip udp dst_port 68 port 1-24 deny

_________________
D-Link Switches: Tips & Tricks

Вернуться наверх

duckhawk

Заголовок сообщения: Re: Злодеи обходят antiDHCP. Что думаете насчет новго против

Добавлено: Пн июл 13, 2009 15:13

Зарегистрирован: Вт ноя 27, 2007 12:52
Сообщений: 200

xcme писал(а):

dlinktester писал(а):

Почему бы вместо всей этой кучи правил не писать просто:
config access_profile profile_id 5 add access_id 1 ip udp dst_port 68 port 1-24 deny

а разницы? это же 35 серия, она все равно правил наплодит по числу портов.

топикстартер, а у вас разрешающих правил до 5 профиля никаких нет? сколько пользуем 3526, ни разу не замечал чтобы у него acl некорректно отрабатывали

Вернуться наверх

dlinktester

Заголовок сообщения: Re: Злодеи обходят antiDHCP. Что думаете насчет новго против

Добавлено: Пн июл 13, 2009 15:54

Зарегистрирован: Ср июл 02, 2008 16:49
Сообщений: 85

Цитата:

топикстартер, а у вас разрешающих правил до 5 профиля никаких нет? сколько пользуем 3526, ни разу не замечал чтобы у него acl некорректно отрабатывали

Я тоже не замечал что бы правила некорректно отрабатывали НО
1. сегодня это было впервые и единственно за год
2. я протестил этот конфиг еще раз в лабораторных условиях - все ок
3. разрешающие правила есть но они совершенно не касаются дхцп

п.с. похоже имеем дело с каким-то нестандартным дхцп но чтобы проснифать трафик и узнать почему он не попадает в ацл нужно тащиться с ноутом на другой конец города и лезть на крышу, а админ как известно существо ленивое.

поэтому и пришло в голову испробовать этот способ с дест-порт=68

Вопрос остается в силе - будет ли работать новый способ?

Вернуться наверх

terrible

Заголовок сообщения:

Добавлено: Пн июл 13, 2009 16:18

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

я если просто разрещить запрос с 68 порта, а абсолютно всё остальное UDP убить? (ну кроме нужных, типа 53 или ещё каких?)

Вернуться наверх

ArDamant

Заголовок сообщения:

Добавлено: Пн июл 13, 2009 17:53

Зарегистрирован: Вт дек 26, 2006 11:39
Сообщений: 88
Откуда: Красноярск

dlinktester

имхо вы отловили, точнее только увидели результат действия какого либо вируса или просто подвисшего или перегревшегося коммутатора.

могу сказать что за 2,5 года использования данного правила косяков в его работе не было обнаружено...

пока лог пакета tcpdump'ом не получите смысла паниковать и бить тревогу нет ...

Вернуться наверх

Ivantey

Заголовок сообщения:

Добавлено: Пн июл 13, 2009 23:24

Зарегистрирован: Пт окт 24, 2003 00:47
Сообщений: 508
Откуда: Moscow

Наблюдал это и не один раз.
А все начилось с включения на коммутаторах DHCP snooping

_________________
D-Link User: DGS-3120-24, DGS-3324SR, DGS-3627G, DGS-3612G, DGS-3312SR, DGS-3100-24TG, DGS-3200-10, DES-3200-26, DES-3200-28, DES-3200-18, DES-3528, DES-3526, DES-3028, DES-1228, DES-2108, DES-2110, DES-3326SR, DMC-920, DMC-810.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пн июл 13, 2009 23:26

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Версия прошивки?

Вернуться наверх

dlinktester

Заголовок сообщения:

Добавлено: Вт июл 14, 2009 09:09

Зарегистрирован: Ср июл 02, 2008 16:49
Сообщений: 85

версия прошивки 5.01.B52

Вернуться наверх

dlinktester

Заголовок сообщения:

Добавлено: Вт июл 14, 2009 10:52

Зарегистрирован: Ср июл 02, 2008 16:49
Сообщений: 85

ArDamant писал(а):

Перезагрузка свитча не помогла. Замену попробуем. Тогда и поснифаю траффик.

Тему можно считать закрытой

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вт июл 14, 2009 22:13

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Попробуйте пожалуйста прошивку которую я Вам выслал.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вт июл 14, 2009 22:26

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Вам почему-то почта не доходит.

Вернуться наверх

Akor

Заголовок сообщения:

Добавлено: Ср июл 15, 2009 03:28

Зарегистрирован: Вс окт 21, 2007 22:09
Сообщений: 74
Откуда: Владимир

У меня вообще не хочет фильтровать DHCP запросы-ответы
Нужно чтоб на порт 12 не шел DHCP.
Вот код

Код:

create access_profile ip udp src_port_mask 0xFFFF profile_id 5 
config access_profile profile_id 5 add access_id 12 ip udp src_port 67 port 12 deny

create access_profile ip udp dst_port_mask 0xFFFF profile_id 6 
config access_profile profile_id 6 add access_id 12 ip udp dst_port 68 port 12 deny

.

___________________________________________________________
Еще мучаюсь с чатами типа VypressChat. Работает по широковещалке UDP. Можно зарезать текущий порт UDP чата, но народ просечет и сменит просто в настройках чата порт. Как тут быть?

Пробовал запретить весь бродкаст на порту, перед этим разрешив DHCP.

Код:

 
create access_profile ip udp dst_port_mask 0xFFFF profile_id 1
config access_profile profile_id 1 add access_id 1 ip udp dst_port 67 port 1-24 permit
create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 3
config access_profile profile_id 3 add access_id 8 ethernet destination_mac ff-ff-ff-ff-ff-ff port 8 deny

Работает. Но стоит только порт отключить (выкличился комп, перезагрузился) при новом подключении клиента свитч очень долго думает прежде чем начнет пропускать трафик на разрешеные хосты.

Firmware Version 5.01.B52

Вернуться наверх

dlinktester

Заголовок сообщения:

Добавлено: Ср июл 15, 2009 13:54

Зарегистрирован: Ср июл 02, 2008 16:49
Сообщений: 85

Demin Ivan писал(а):

Вам почему-то почта не доходит.

лучше присылайте на ivan(собака)bks-tv.ru

Вернуться наверх

Страница 1 из 2

[ Сообщений: 22 ]

На страницу 1, 2 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 127

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения