OT: záhadne chovani nekterych zarizeni v siti
Mila Sos
milasos at email.cz
Wed Jan 30 15:51:05 CET 2013
Zdar
Omezení ARP zivota: sysctl net.link.ether.inet.max_age
já v domácí síti používám 60s místo defaultních (tuším) 2700, nemyslím
si že by to mělo přinést nějakou komplikaci
To že se jedná o různé výrobce neznamená že nemají shodný firmware.
obávám se že ze síťového pohledu je rozjíždění více subnetů v rámci
jedné VLAN čuňárna
Pokud disponujete switchem CISCO, pak předpokládám že by klienty stačilo
oddělit konfiguračně na tomto switchi pomocí VLAN do skupin (na základě
adres subnetů) a pak spoj na router řešit jako TRUNKový spoj všech VLAN
To nic nemění na tom že routříky by ten provoz měly zahodit, maximálně
dát ICMP redirect a ne poslat packet zpět.
S pozdravem Mila
On 2013/01/30 15:19, Zbyněk Burget wrote:
> Zdravím vespolek,
>
> omlouvam se za prokazatelne OT, ale vim, ze tady najdu asi nejvic
> odborniku a tudiz nejvetsi sanci na odpoved.
>
> Uz jsem to pred nedavnem zesil soukromne s Danem a po vymene jednoho
> podezreleho strojku jsem si myslel, ze mam po problemech. Bohuzel jsem
> se pletl. V poslednich dnech se mi na siti objevily hned dalsi dve
> zarizeni, ktere se chovaji uplne stejne.
>
> Popisu situaci problem, jak se mi ho podarilo analyzovat. Jedna se o
> prevazne bezdratovou sit, kde je z historickych duvodu nekolik subnetu
> na jednom fyzickem sitovem prostoru.
> Zacne to tak, ze nekdo doma vypne PC vcetne bezdratoveho zarizeni.
> Dana IP, vcetne MAC adresy tedy zmizi ze site. Po nejakem case
> vyexpiruje prislusny zaznam v MAC tabulce na centralnim switchi
> (Cisco), ale v arp tabulce routeru zaznam prozatim jeste je. Ted se
> stane to, ze nejaky libovolny klient (ktery ale je v jinem subnetu)
> posle packet tomu vypnutemu klientovi. Ten dojde na router, ktery
> zjisti, ze v arp tabulce ma prislusny zaznam a packet odesle. Switch
> ale uz bohuzel nevi, do ktere vetve site ho ma odeslat a tak ho posle
> na vsechny strany.
> A tady prichazi kamen urazu. Misto toho, aby se packet v tichosti
> ztratil, protoze na siti uz neni prijemce, ozve se domaci routrik
> uplne jineho zakaznika, ktery vyhodnoti, ze ten packet k nemu proste
> prisel spatne a je potreba to napravit. A proto ho odesle zpet routeru
> (s originalni zdrojovou i cilovou IP adresou). No a router se packet
> opet snazi dorucit... Co mam povidat, sit to zaplavi tak, ze je
> nepouzitelna. Do doby, nez vyexpiruje (nebo je smazan) arp zaznam v
> routeru one puvodne vypnute stanice.
> Veskere IP i MAC adresy jsou v poradku, takze nejaky utok typu MITM
> bych vyloucil. Pri prvotnim vyskytu problemu jsme i se zakaznikem,
> kteremu se takto jeho domaci routrik choval vyhodnotili, ze je ten
> routrik vadny. Byl vymenen a problem zmizel.
> Ted se mi na siti zjevily dalsi dva domaci routery, ktere se chovaji
> uplne stejne. Ve vsech trech pripadech se jedna o jineho vyrobce
> routeru, jedna se o zakazniky na jinych fyzickych vetvich site i
> jinych subnetech. Coz ve mne nahlodalo myslenku, ze se mozna nejedna o
> vadu zarizeni, ale ze se z nejakeho mnou zatim nepochopeneho duvodu ty
> zarizeni chovaji spravne a ja hledam pricinu v jine kupce sena.
> Resenim bude fyzicke oddeleni a odroutovani jednotlivych subnetu, na
> cemz se pracuje, ale predstavuje to rozsahlejsi rekonfiguraci site
> (vcetne zmen ve fyzicke topologii) a neni to otazkou nekolika dni.
> Workarround by byl zkratit dobu platnosti zaznamu v arp tabulce
> (nevim, jak dalece je to rozumne - a taky jsem zatim napatral po tom,
> jako toho na FBSD dosahnout).
> No a samozrejme nejlepsi resenei je pochopit proc se to deje a tem
> zarizenim vysvetlit, ze se tak nemaji chovat.
>
> Kdyby mel nekdo podobnou zkusenost pripadne nekoho napada, co s deje,
> pisnete mi, prosim.
>
>
More information about the Users-l
mailing list