OT: záhadne chovani nekterych zarizeni v siti
Zbyněk Burget
zburget at burgnet.cz
Wed Jan 30 15:19:20 CET 2013
Zdravím vespolek,
omlouvam se za prokazatelne OT, ale vim, ze tady najdu asi nejvic
odborniku a tudiz nejvetsi sanci na odpoved.
Uz jsem to pred nedavnem zesil soukromne s Danem a po vymene jednoho
podezreleho strojku jsem si myslel, ze mam po problemech. Bohuzel jsem
se pletl. V poslednich dnech se mi na siti objevily hned dalsi dve
zarizeni, ktere se chovaji uplne stejne.
Popisu situaci problem, jak se mi ho podarilo analyzovat. Jedna se o
prevazne bezdratovou sit, kde je z historickych duvodu nekolik subnetu
na jednom fyzickem sitovem prostoru.
Zacne to tak, ze nekdo doma vypne PC vcetne bezdratoveho zarizeni. Dana
IP, vcetne MAC adresy tedy zmizi ze site. Po nejakem case vyexpiruje
prislusny zaznam v MAC tabulce na centralnim switchi (Cisco), ale v arp
tabulce routeru zaznam prozatim jeste je. Ted se stane to, ze nejaky
libovolny klient (ktery ale je v jinem subnetu) posle packet tomu
vypnutemu klientovi. Ten dojde na router, ktery zjisti, ze v arp tabulce
ma prislusny zaznam a packet odesle. Switch ale uz bohuzel nevi, do
ktere vetve site ho ma odeslat a tak ho posle na vsechny strany.
A tady prichazi kamen urazu. Misto toho, aby se packet v tichosti
ztratil, protoze na siti uz neni prijemce, ozve se domaci routrik uplne
jineho zakaznika, ktery vyhodnoti, ze ten packet k nemu proste prisel
spatne a je potreba to napravit. A proto ho odesle zpet routeru (s
originalni zdrojovou i cilovou IP adresou). No a router se packet opet
snazi dorucit... Co mam povidat, sit to zaplavi tak, ze je nepouzitelna.
Do doby, nez vyexpiruje (nebo je smazan) arp zaznam v routeru one
puvodne vypnute stanice.
Veskere IP i MAC adresy jsou v poradku, takze nejaky utok typu MITM bych
vyloucil. Pri prvotnim vyskytu problemu jsme i se zakaznikem, kteremu se
takto jeho domaci routrik choval vyhodnotili, ze je ten routrik vadny.
Byl vymenen a problem zmizel.
Ted se mi na siti zjevily dalsi dva domaci routery, ktere se chovaji
uplne stejne. Ve vsech trech pripadech se jedna o jineho vyrobce
routeru, jedna se o zakazniky na jinych fyzickych vetvich site i jinych
subnetech. Coz ve mne nahlodalo myslenku, ze se mozna nejedna o vadu
zarizeni, ale ze se z nejakeho mnou zatim nepochopeneho duvodu ty
zarizeni chovaji spravne a ja hledam pricinu v jine kupce sena.
Resenim bude fyzicke oddeleni a odroutovani jednotlivych subnetu, na
cemz se pracuje, ale predstavuje to rozsahlejsi rekonfiguraci site
(vcetne zmen ve fyzicke topologii) a neni to otazkou nekolika dni.
Workarround by byl zkratit dobu platnosti zaznamu v arp tabulce (nevim,
jak dalece je to rozumne - a taky jsem zatim napatral po tom, jako toho
na FBSD dosahnout).
No a samozrejme nejlepsi resenei je pochopit proc se to deje a tem
zarizenim vysvetlit, ze se tak nemaji chovat.
Kdyby mel nekdo podobnou zkusenost pripadne nekoho napada, co s deje,
pisnete mi, prosim.
--
Zbyněk Burget
Mlýnská 397
798 26 Nezamyslice
tel: 588 580 000, 739 930 931
http://www.burgnet.cz
IČ: 606 88 220; DIČ: CZ7210184674
More information about the Users-l
mailing list