Περι DHCP και στατικων IP

[MiDi_MiLiZ]

Καλησπερα.

Σκεπτομενος διαφορα θεωρητικα σεναρια δικτυων και προβληματων τους, ουτως ωστε να βρισκω και τροπο αντιμετωπισης τους, εχω μεινει σε ενα στο οποιο δεν μπορω-δεν γνωριζω τροπο αντιμετωπισης.

 

Σεναριο: Τυπικο LAN 192.168.1.0-255 με router IP την συνηθισμενη 192.168.1.254 και ας πουμε 4-5 wifi access points με static IP's 192.168.1.253/252/251/250.

 

Eστω οτι το router κανει  50 IP's DHCP πχ απο 192.168.1.100 εως 192.168.1.150. Φυσικα με στατικες IP μπορουμε να επιλεξουμε οποια θελουμε, οπως πχ αυτες των AP που ειναι εκτος dhcp range στο παραδειγμα μας.

 

Και ερχομαι στο μειζον θεμα. Αν μπει στο δικτυο ενας κακοβουλος χρηστης, και βαλει στατικη IP αυτη του ρουτερ ή οποιαδηποτε αλλη (πχ καποια απο αυτες των AP, ή καποια απο εναν τυπικο client) προφανως θα αρχισει να μαμαει το δικτυο μου στα conflicts και να δημιουργει προβληματα κατα βουληση.

Πως μπορω να προλαμβανω τετοιες καταστασεις λοιπον?

 

Σκεφτηκα την περιπτωση του mac filtering αλλα περα απο το οτι δεν ειναι ασφαλες, δεν ειναι και βολικο στην περιπτωση ενος ευρυτερου LAN (πχ μαγαζι με κλειδωμενο wifi για τους πελατες, στους οποιους διδεται ο κωδικος). Αλλες προτασεις?

[lexmark]

Speed reading, αλλά από ότι έπιασα, δεν μπορείς να το κάνεις. Για τέτοιες περιπτώσεις είναι που χρειάζεται ένας ΑΑΑ server. Αν όχι triple A τουλάχιστον double Α   (autherization, authentication). 

[platongr]

Αν το δίκτυο σου είναι τέτοιου μεγέθους που περιγράφεις τότε σίγουρα θα έχεις και κάποιον domain controller.

 

Τους εσωτερικούς σου χρήστες πολύ απλά τους περιορίζεις ώστε να μην έχουν δικαίωμα να αλλάξουν ip.

 

Τους εξωτερικούς-επισκέπτες μπορείς να τους χωρίσεις σε 2 κατηγορίες

α. αυτούς που έρχονται μια φορά στο τόσο και το μόνο που θέλουν είναι να πάρουν internet άντε και κανά printer, οπότε τους βάζεις σε ένα vlan ανεξάρτητο από το υπόλοιπο δίκτυο με το χέρι, χωρίς dhcp.

 

β. τους εξωτερικούς που έρχονται συχνά στην εταιρεία, τους βάζεις στο domain σου με συγκεκριμένα policies.

 

Πάντα βέβαια θα υπάρχει το ενδεχόμενο να έρθει laptop μέσα που να ήταν αλλού με static ip, οπότε για να αποφύγεις conflicts, δούλεψε πάνω σε ένα subnet που δεν είναι τόσο κοινό, π.χ. 10.10.55.0

 

Εννοείται πως ο εξωτερικός που θα πάρει ip από αυτό το subnet θα μάθει που δουλεύεις. Αν τον πιάσεις ότι δημιουργεί πρόβλημα επίτηδες, κόψτου μία και καλή το δίκτυο να ησυχάσετε και οι δύο.

[MiDi_MiLiZ]

Ευχαριστω για τις απαντησεις ηταν πολυ κατατοπιστικες και οι δυο. Η λυση με το Vlan ειναι αυτη που μου φαινεται αρκετα καλη και σχετικα ανεξοδη περιπτωση!

[SpirosLouis]

Όταν λες να βάλει στατική IP από το pc του; Ή έχει μπει μέσα στο router;

 

Αν υπάρξει αυτός ο κακόβουλος χρήστης μπορεί να κάνει πολλά περισσότερα από απλά να αρχίσει να ρίχνει χρήστες δικτύου.

 

Π.χ. μπορεί να προσπαθήσει MITM επιθέσεις, σίγουρα θα αλλάζει mac διευθύνσεις και δεν θα έχει τη εργοστασιακή..μετά έρχεται το metasploit κτλ κτλ κακά παιχνίδια.

[MiDi_MiLiZ]

Εννοω την περιπτωση να βαλει στατικη IP απτο pc του. Βλεπει πχ οτι το dhcp του δινει 192.168.1.100, τραβαει ενα netscan σε ολο το ip range 192.168.1.1-255 βρισκει τι συσκευες ειναι connected και αρχιζει να βαζει στατικες IP στο/στα pc του κανοντας μου conflict σε οτι συσκευη γουσταρει (πχ ενα wifi AP με 10 pc ενωμενα πανω του).

 

So, η λυση του VLAN με isolation μεταξυ των VLANs μου φαινεται καλη, διοτι καταρχην δεν μπορει να βρει το ip range του critical VLAN μου (δηλαδη αυτου που εχει τα AP κλπ) και δευτερον και να το βρει, δεν μπορει να βρει τις IP της καθε συσκευης καθοτι θα βρισκεται σε αλλο subnet με isolation αρα η περιπτωση να κανει netscan και να παρει results ενεργων IP απο το αλλο VLAN ειναι καπως δυσκολη. Ποσο δε μαλλον να βαλει στατικη IP εκτος range του δικου του vlan η οποια να καταχωρηθει και να γινει ενεργη δημιουργωντας conflict στο αλλο vlan.

 

Τα σκεφτομαι σωστα?

[lexmark]

Το σκέφτεσαι όλο λάθος. Για να προστατευτείς από arp spoofing και παρόμοιες καταστάσεις, που ανέφερε και ο Spiros παραπάνω, βασικά παίζεις είτε με firewall rules είτε με layer 2 isolation και ACLs. 

 

Επίσης καλό θα είναι να δεις και για static/dynamic ARP tables. 

 

Όσον αφορά τους «μόνιμους» και την προστασία τους από τους «επισκέπτες» είναι σχετικά απλό. Βάζεις ένα router μεταξύ του AP σου και του υπόλοιπου δικτύου και εκεί πλέον παίζεις με VLAN. 

[MiDi_MiLiZ]

Ξεπερνουν τις γνωσεις μου μερικα απο τα τελευταια, αλλα μου δινεις τροφη για διαβασμα και πειραματισμο κι αυτο ειναι αρκετο για να σε ευχαριστησω

[lexmark]

Well, μέχρι να μας πεις ένα πραγματικό σενάριο με το υπάρχων στήσιμο και το τι θέλεις να κάνεις.... σου λέμε τι θα μπορούσες να κάνεις

[MiDi_MiLiZ]

Λοιπον το πραγματικο σεναριο εχει ως εξης:

Router 192.168.1.1 του ISP φερνει 12ρα γραμμη η οποια παει σε WAN δικου μου router Cisco wrvs4400n (192.168.2.1). Το router αυτο εχει built-in υποστηριξη Vlan/arp tables κλπ. Κανει dhcp απο 192.168.2.30 εως 192.168.2.240. Οι IP's απο το 192.168.2.2 εως το 2.29 ειναι για δικη μου χρηση/μηχανηματα/reserved. To ιδιο και οι τελευταιες 15 του range.

 

Πανω στο cisco εχω ενωμενα 3 wifi AP να στελνουν wifi σε εναν μεγαλο ανοιχτο χωρο. WPA κωδικο δινω εγω σε οσους επιθυμω εφοσον μου ζητησουν (192.168.2.253/192.168.2.252/192.168.2.251). Θελω να εχουν προσβαση στο ιντερνετ και μονον. Ει δυνατον να τους κοψω torrents/streaming και αλλου ειδους υπηρεσιες, αλλα παλι δεν εχω καταληξει με ποιον τροπο να το κανω.

 

Eπισης ISP router και cisco ειναι σε μεγαλη αποσταση μεταξυ τους και ειναι ενωμενα με ασυρματο link 5ghz, συνεπως δεν μπορω να εκμεταλλευτω σε τιποτα το ISP router (πχ ethernet θυρες-διαφορετικο subnet για αλλη χρηση κλπ).

 

Σχετικα απλο δικτυο στο σχεδιασμο του λοιπον. Αν λοιπον δωσω τον κωδικο σε εναν τυπο και ενωθει στο 192.168.2.* και βαλει στατικη IP στα wifi settings του, πχ την 192.168.2.253 αυτοματως ειμαι με ενα access point μειον για οσο αυτος θα κανει τον χαβαλε του. Αν εχει 2ο pc/κινητο μπορει να μου βγαλει με τον ιδιο τροπο και 2ο/3ο AP εκτος λειτουργιας με IP Conflict και στο τελος να αχρηστεψει το δικτυο μου. Ψαχνω λοιπον τον τροπο με τον οποιο δεν θα μπορει να κανει κατι τετοιο.

 

Επισης, παροτι εχω κλειδωμενα τα interface των συσκευων με κωδικους, ψαχνω τροπο ωστε χτυπωντας ενας ασχετος την IP τους ειτε σε telnet, ειτε σε http, να μην εμφανιζεται καν το interface που ζηταει login κωδικο. Ουτε του ISP router, ουτε του Cisco, ουτε των AP. Το σεναριο αυτο ως τωρα το εχω πετυχει εν μερει με τη δυνατοτητα που μου δινουν τα AP και ο router να αλλαξω τα ports στα οποια θα δινουν web/telnet interface. Ετσι εβαλα ακυρα ports που μονο εγω τα ξερω. Αν ομως ειχα αλλο εξοπλισμο που δεν μου εδινε τετοιο option, πως θα μπορουσα να το πετυχω? Με firewall rules στο cisco να υποθεσω?

 

Aυτα ειναι τα 2 σεναρια στα οποια ψαχνομαι.

[biоmecanоid]

Aπό ότι κατάλαβα διαβάζοντας τα posts γρήγορα υπάρχουν διαφορα προβλήματα που πρέπει να αντιμετωπιστούν.

 

1. Mετατρέποντας το 192.168.1.1 σε 192.168.2.1 έχεις double nat που σχεδόν πάντα δημιουργεί προβλήματα.

 

2. Με το να αλλάζεις τα ports του συσκευών σου δεν καταφέρνεις τίποτα γιατί με ένα nmap  βρίσκεις αμέσως τα ports και τα service που τρέχουν.

 

3. παρόλο που είπατε διαφορες λύσης μέχρι τώρα δεν έχει ειπωθεί η λύση του hotspot. Ένα hotspot κάνει authenticate τους client με βάση ένα username password και το username password είναι μοναδικό για μια mac και το hotspot μπορεί να βρίσκετε σε ένα subnet του κυριου δικτύου 

 

4. Στο hotspot δεν χρειάζεται να είναι κλειδωμένο το wifi διότι το authentication γίνετε αλλου. Αλλα άμα είσαι λίγο περίεργος με το security το κλειδώνεις και αυτό αλλα συνήθως κανεις δεν το κλειδώνει

 

 

Tο cisco που είναι στο κέντρο του δικτύου δεν νομίζω να μπορεί να κάνει Hotspot γιαυτο πρέπει να αλλαχτεί σε κάτι άλλο όπως Mikrotik η Openwrt

 

 

Kάνω attach και ένα screenshot από δικό μου hotspot για να δείτε πως θα είναι περίπου 

 

[lexmark]

 

 

 

Aπό ότι κατάλαβα διαβάζοντας τα posts γρήγορα υπάρχουν διαφορα προβλήματα που πρέπει να αντιμετωπιστούν.

 

1. Mετατρέποντας το 192.168.1.1 σε 192.168.2.1 έχεις double nat που σχεδόν πάντα δημιουργεί προβλήματα.

 

2. Με το να αλλάζεις τα ports του συσκευών σου δεν καταφέρνεις τίποτα γιατί με ένα nmap  βρίσκεις αμέσως τα ports και τα service που τρέχουν.

 

3. παρόλο που είπατε διαφορες λύσης μέχρι τώρα δεν έχει ειπωθεί η λύση του hotspot. Ένα hotspot κάνει authenticate τους client με βάση ένα username password και το username password είναι μοναδικό για μια mac και το hotspot μπορεί να βρίσκετε σε ένα subnet του κυριου δικτύου 

 

4. Στο hotspot δεν χρειάζεται να είναι κλειδωμένο το wifi διότι το authentication γίνετε αλλου. Αλλα άμα είσαι λίγο περίεργος με το security το κλειδώνεις και αυτό αλλα συνήθως κανεις δεν το κλειδώνει

 

 

Tο cisco που είναι στο κέντρο του δικτύου δεν νομίζω να μπορεί να κάνει Hotspot γιαυτο πρέπει να αλλαχτεί σε κάτι άλλο όπως Mikrotik η Openwrt

 

 

Kάνω attach και ένα screenshot από δικό μου hotspot για να δείτε πως θα είναι περίπου 

 

 

 

 

Δες post #2 (autherization, authentication)   

 

 

 

Μα πες μου κάτι. Έχω ξαναδεί κι άλλα post σου. Πως στο καλό σε βγάζει νιούφρη και να εμφανίζει ότι έχεις δύο μηνύματα; 

 

 

 

 

 

 

Λοιπον το πραγματικο σεναριο εχει ως εξης:

Router 192.168.1.1 του ISP φερνει 12ρα γραμμη η οποια παει σε WAN δικου μου router Cisco wrvs4400n (192.168.2.1). Το router αυτο εχει built-in υποστηριξη Vlan/arp tables κλπ. Κανει dhcp απο 192.168.2.30 εως 192.168.2.240. Οι IP's απο το 192.168.2.2 εως το 2.29 ειναι για δικη μου χρηση/μηχανηματα/reserved. To ιδιο και οι τελευταιες 15 του range.

 

Πανω στο cisco εχω ενωμενα 3 wifi AP να στελνουν wifi σε εναν μεγαλο ανοιχτο χωρο. WPA κωδικο δινω εγω σε οσους επιθυμω εφοσον μου ζητησουν (192.168.2.253/192.168.2.252/192.168.2.251). Θελω να εχουν προσβαση στο ιντερνετ και μονον. Ει δυνατον να τους κοψω torrents/streaming και αλλου ειδους υπηρεσιες, αλλα παλι δεν εχω καταληξει με ποιον τροπο να το κανω.

 

Eπισης ISP router και cisco ειναι σε μεγαλη αποσταση μεταξυ τους και ειναι ενωμενα με ασυρματο link 5ghz, συνεπως δεν μπορω να εκμεταλλευτω σε τιποτα το ISP router (πχ ethernet θυρες-διαφορετικο subnet για αλλη χρηση κλπ).

 

Σχετικα απλο δικτυο στο σχεδιασμο του λοιπον. Αν λοιπον δωσω τον κωδικο σε εναν τυπο και ενωθει στο 192.168.2.* και βαλει στατικη IP στα wifi settings του, πχ την 192.168.2.253 αυτοματως ειμαι με ενα access point μειον για οσο αυτος θα κανει τον χαβαλε του. Αν εχει 2ο pc/κινητο μπορει να μου βγαλει με τον ιδιο τροπο και 2ο/3ο AP εκτος λειτουργιας με IP Conflict και στο τελος να αχρηστεψει το δικτυο μου. Ψαχνω λοιπον τον τροπο με τον οποιο δεν θα μπορει να κανει κατι τετοιο.

 

Επισης, παροτι εχω κλειδωμενα τα interface των συσκευων με κωδικους, ψαχνω τροπο ωστε χτυπωντας ενας ασχετος την IP τους ειτε σε telnet, ειτε σε http, να μην εμφανιζεται καν το interface που ζηταει login κωδικο. Ουτε του ISP router, ουτε του Cisco, ουτε των AP. Το σεναριο αυτο ως τωρα το εχω πετυχει εν μερει με τη δυνατοτητα που μου δινουν τα AP και ο router να αλλαξω τα ports στα οποια θα δινουν web/telnet interface. Ετσι εβαλα ακυρα ports που μονο εγω τα ξερω. Αν ομως ειχα αλλο εξοπλισμο που δεν μου εδινε τετοιο option, πως θα μπορουσα να το πετυχω? Με firewall rules στο cisco να υποθεσω?

 

Aυτα ειναι τα 2 σεναρια στα οποια ψαχνομαι.

 

 

 

Δεν έχω ασχοληθεί με cisco και δεν μπορώ να σε βοηθήσω σε αυτό. Να ήταν κάνα mikrotik δεν θα είχα πρόβλημα.  

 

Πάντως αυτά που θες τα κάνεις σίγουρα με το cisco (νομίζω ) με firewall και ACLs.

[Chrisxxx]

 Δεν ξέρω από Wireless αλλά σε ενα switch θα έβαζες DHCP Snooping, από ότι βλέπω υπάρχει και για wireless, αν το υποστηριζει η συσκευη σου έχει καλως. http://www.cisco.com/en/US/docs/solutions/Enterprise/Mobility/emob41dg/ch4_Secu.html#wp1019428

[MiDi_MiLiZ]

Επανερχομαι.

Λοιπον το αγαπητο Cisco wrvs4400n ως προς το IP based ACL ΔΕΝ περιλαμβανει rules για traffic εντος του LAN, αλλα μονο για WAN-->LAN και τουμπαλιν. Το LAN<-->LAN ειναι κλειδωμενο ως επιλογη και στο φορουμ της cisco λενε οτι επειδη ειναι "small business series" το router δεν υποστηριζει τη λειτουργια αυτη. Ευγε cisco!

 

Δευτερον, ως προς τα VLAN, ναι μεν στηνονται μια χαρα, αλλα μετα χανω το port forwarding που εχω σεταρει για να κανω απομακρυσμενο ελεγχο στις συσκευες του default VLAN. Κι αυτο οπως διαβασα οφειλεται στο γεγονος οτι προκειται περι small business series router. Δεν υποστηριζεται port fortwarding μεταξυ των VLAN ακομα και με enabled το inter-VLAN communication.

 

Και τριτον, η μεγαλυτερη εκ των εκπληξεων μου -επαθα πλακα για την ακριβεια- ειναι οτι δεν με αφηνει να φτιαξω subnet, με subnet mask κατι μικροτερο του 255.255.255.0 ητοι καθε lan/vlan υποστηριζει το ΠΟΛΥ εως 254 clients. Ακομα κι αν ορισω ως subnet range κατι σε 10.χ.χ.χ η καλυτερη δυνατη επιλογη subnet mask ειναι /24 δηλαδη 255.255.255.0. Οι αλλες δεν διδονται ως επιλογη, επειδη ειναι "small business series".

 

Και μιλαμε για router των 280 ευρω, απο το οποιο περιμενα να κανει παπαδες. Cisco σε χαιρετω, εχει κι αλλου πορτοκαλιες. Οταν αναλαβω project των 30.000 ευρω μπορει να την ξανασκεφτω για κανα switch ισως Προς το παρον ομως, νομιζω οτι ηρθε η ωρα να παρω στα σοβαρα την mikrotik, ειμαι σχεδον βεβαιος οτι ενα Mikrotik των 50 ευρω θα κανει ολες τις δουλειες που θελω, καλυτερα.

[lexmark]

lol

 

seriously? 

 

Δεν το γνώριζα αυτό! 

 

Για περίμενε μήπως σου πει κανείς γνώστης κάποια πουστιά αν υπάρχει.