none
Rogue DHCP RRS feed

  • Domanda

  • Ciao a tutti,

    dopo aver cercato un po in giro per il forum senza grandi soddisfazioni rieccomi a Voi.

    Su una rete AD ho un server DHCP che rilascia indirizzi, tutti con reservation, a 4 subnets.

    Pochi giorni fa un utente dotato di notebook aziendale (e purtroppo utenza amministrativa locale) ha configurato a casa ICS (Condivisione Internet).

    Tornato in azienda il suo pc ha iniziato a distribuire indirizzi di classe 192.168.137.0/24 (il default di ICS) con tutti i problemi derivanti.

    Il server DHCP interno è ovviamente autorizzato ma come è possibile che un client mal configurato rilasci indirizzi su tutto il dominio bypassando il server autorizzato?

    Il DHCP lavora in broadcast ovviamente ma un server autorizzato dovrebbe avere la precedenza su un qualsiasi rogue DHCP installato su un client o no?

    Per aggirare il problema posso agire sugli switches ma volevo sapere se c'è un metodo di configurazione consigliato per "costringere" il dominio ad utilizzare solamente il server DHCP autorizzato.

    Grazie a tutti

    mercoledì 4 maggio 2011 09:04

Risposte

  • Purtroppo non esiste altro metodo che 802.1X (da integrare eventualmente con certificati macchina e Radius di dominio).

    DHCP, visto il layer di riferimento, non si può limitare con operazioni "applicative".

    Semplicemente il client accetta un IP dal primo DHCP disponibile nella sua rete.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    mercoledì 4 maggio 2011 09:18

Tutte le risposte

  • Purtroppo non esiste altro metodo che 802.1X (da integrare eventualmente con certificati macchina e Radius di dominio).

    DHCP, visto il layer di riferimento, non si può limitare con operazioni "applicative".

    Semplicemente il client accetta un IP dal primo DHCP disponibile nella sua rete.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    mercoledì 4 maggio 2011 09:18
  • Come immaginavo Fabrizio.

    Ora stiamo provando il metodo di DHCP Spoofing sugli switches (su tutte le VLAN).

    Se passa il test potrei postare la procedura, magari a qualcuno farà comodo.

    Grazie ancora!

    mercoledì 4 maggio 2011 09:28
  • Ora stiamo provando il metodo di DHCP Spoofing sugli
    switches (su tutte le VLAN).

    Credo tu ti stia riferendo al "DHCP snooping" :) ad ogni modo
    stavo per suggerire la stessa cosa; avendo degli switches
    managed e con caratteristiche decenti, non dovrebbe essere
    difficile filtrare traffico da "rogue DHCP" permettendo solo ai
    DHCP autorizzati di offrire indirizzi; oltre a questo, chredo che
    potreste anche valutare l'adozione di un meccanismo di NAP
    (network access protection) onde isolare dalla rete i sistemi
    sino a che questi non vengano autorizzati; in tal modo sarete
    in grado di evitare che chiunque possa connettere un computer
    alla rete aziendale e... combinare disastri di vario genere; per
    ulteriori informazioni ti rimando alla lettura di questi documenti

    http://technet.microsoft.com/en-us/network/bb545879

    mercoledì 4 maggio 2011 09:59
  • alla rete aziendale e... combinare disastri di vario genere; per
    ulteriori informazioni ti rimando alla lettura di questi documenti

    http://technet.microsoft.com/en-us/network/bb545879

    Già che ci siamo, un'altra idea potrebbe essere quella esposta
    qui

    http://www.techrepublic.com/article/use-dhcp-class-to-deny-internet-access-to-unauthorized-machines/5498436

    in due parole si tratta di creare un DHCP scope ID configurando
    poi i clients "legittimi" in modo da richiedere un indirizzo che abbia
    QUELLO scope-id (rifiutando gli altri) in tal modo un eventuale
    rogue DHCP che venga avviato sulla rete verrà ignorato dai
    clients normali; da notare che l'uso delle varie tecniche (switch
    filtering, NAP, scope-id) può essere combinato :)

    [edit]

    dimenticavo; per quanto riguarda l'impostazione del DHCP scope-id, per risparmiare tempo e lavoro, potresti utilizzare un logon script che controlli se lo scope-id sia stato impostato o meno e che lo imposti se necessario sui vari clients di dominio... attivando ovviamente anche una GPO che preveda la disattivazione di ICS per i sistemi a dominio :)

     


    mercoledì 4 maggio 2011 10:07
  • Si perdona l'errore, si tratta di DHCP snooping, come giustamente hai fatto notare. (fino a poco prima qua parlavamo di ARP Spoofing ed ho mescolato le cose). 

    Il problema comunque non lo risolveremmo neanche con policy di accesso restrittive in quanto il client che ha causato il danno è uno dei clients autorizzati quindi avrebbe comunque passato il controllo Radius ed una volta aperta la connessione alla LAN avrebbe iniziato a sparare indirizzi a destra e a manca. :)

    Ora mi leggo la documentazione che hai mandato e vedo se trovo qualche spunto.

    Grazie ancora per i preziosi consigli

     

    mercoledì 4 maggio 2011 10:15
  • Si perdona l'errore, si tratta di DHCP snooping, come giustamente hai
    fatto notare. (fino a poco prima qua parlavamo di ARP Spoofing ed ho
    mescolato le cose).

    No problem ... lo so, a volte sono troppo pignolo :D

    Il problema comunque non lo risolveremmo neanche con policy di
    accesso restrittive in quanto il client che ha causato il danno è uno
    dei clients autorizzati

    Ah... quindi esegue accesso al dominio ? Se è questo il caso, inizia
    implementando una GPO di questo tipo

    http://technet.microsoft.com/en-us/library/cc770930%28WS.10%29.aspx

    in modo da PROIBIRE l'uso di ICS sulla rete aziendale; quindi procedi
    con il resto; considera mi sembra strano che l'uso di DHCP snooping
    non ti permetta di bloccare tale traffico, alla fine della fiera
    impostando
    in modo corretto lo snooping, gli switches bloccheranno tutto il
    traffico
    DHCP "server" proveniente da hosts non esplicitamente autorizzati
    quindi in pratica un qualsiasi DHCP attivo sulla rete potrà anche
    ricevere le richieste DHCP da parte dei clients ma non sarà in grado
    di rispondere alle stesse (dato che lo switch bloccherà tale traffico)
    e quindi verrà di fatto reso "innocuo" - a quel punto potrai valutare
    l'implementazione delle altre idee, ossia NAP e DHCP scope-id

    mercoledì 4 maggio 2011 10:49
  • Per concludere direi che:

    Per evitare problemi di questo tipo la prima soluzione, avendo a disposizione switches managed, è il DHCP snooping, in alternativa l'utilizzo di uno scope-id da assegnare alle schede di rete dei clients (su dominio anche con uno script di logon per il controllo/implementazione) e server DHCP configurato di conseguenza.

    Infine, come raccomandazione, quella di disabilitare da policy la possibilità di attivare ICS sui clients portatili.

    Credo sia tutto

    Grazie ancora, non si finisce mai di imparare....

    ps: comunque ho risolto con il DHCP snooping e probabilmente disabiliterò ICS sui clients

    mercoledì 4 maggio 2011 10:57
  • > Per concludere direi che:

    [...]

    Hai dimenticato l'opzione "NAP" - avendo un'infrastuttura dotata
    di "Network Access Protection" si eviterebbero questi e molti
    altri problemi, ovvio che tutto dipende dalle condizioni e da una
    serie di fattori ma sinceramente credo valga la pena valutare
    l'adozione di "NAP" all'interno di una rete aziendale dato che
    porta parecchi benefici in termini di gestione e sicurezza

    mercoledì 4 maggio 2011 11:04
  • Noi la adottiamo l'opzione NAP-NPS ma ho configurato un server NPS in coppia con uno IAS secondario e due radius però la protezione è limitata a:

    identificazione del client tra quelli ammessi al dominio;

    monitoraggio tipologia di antivirus;

    controllo aggiornamenti SO AV ed applicativi;

    identificazione delle zone di autorizzazione;

    ma una volta che il client passa questi controlli il lato lan viene aperto e se ICS è attivo spara :)

     

    Dovrei vedere come implementare anche un controllo sul DHCP da utilizzare però ammetterai che con DHCP snooping mi evito parecchio lavoro ed a livello di sicurezza è comunque perfetto

    :)

     

     

    mercoledì 4 maggio 2011 11:17
  • Dovrei vedere come implementare anche un controllo sul DHCP da
    utilizzare però ammetterai che con DHCP snooping mi evito parecchio
    lavoro ed a livello di sicurezza è comunque perfetto

    :)

    Di sicuro lo snooping non guasta :) c'è però da dire che risolve solo
    UN problema, mentre l'implementazione di NAP, assieme ad una GPO
    "ammodino" e ad altre cose (vedasi ad esempio WSUS e e WDS)
    permette di risolverne diversi, quantomeno in ambiente windows
    (che è quello del quale stiamo parlando); la regola di base è sempre
    e comunque la stessa, avere delle policies chiare e dettagliate,
    conoscere a fondo i limiti ed i rischi di tale policies, sapere bene
    ed esattamente dove è il "perimetro" della rete "affidabile", non
    considerare mai la sicurezza come uno "status" ma bensì come
    un "processo in divenire", mettere in piedi degli strumenti che
    permettano il monitoraggio (e l'alerting) delle condizioni relative
    alla propria infrastuttura, non sottovalutare MAI un "alert" per quanto
    banale questo possa sembrare... ok... mi fermo dato che altrimenti
    potrei proseguire per un bel pezzo :) ah no, una sola cosa prima di
    chiudere; se avete una parte di rete "wireless" valutate per bene
    l'idea di usare l'approccio che da tempo è la norma per il DoD
    (Department of Defense USA) ossia, l'uso di IPSec su wireless;
    nel caso l'idea è quella di implementare uno o più gateways
    tra gli AP e la rete, gw che richiederanno una connessione IPsec
    per permettere la connessione.... e, ti posso dire per esperienza
    diretta che una cosa del genere ... aiuta parecchio ;-)

    mercoledì 4 maggio 2011 13:05
  • WSUS è già implementato da parecchio mentre per WDS stiamo pian piano provvedendo a sostituire i vecchi apparati con altri compatibili tra loro altrimenti il WDS non va (Se per WDS intendi Wireless Distribution System)

    Per gli accessi invece utilizzo NPS-IAS> Radius su AD

    Invece l'Ipsec tra AP>GW e rete mi interessa....hai doc che potrei leggere per farmi un'idea sull'infrastruttura?

    Mi dispiace continuare la discussione qua che siamo OT ormai ma mi hai incuriosito :)

    mercoledì 4 maggio 2011 13:48
  • loro altrimenti il WDS non va (Se per WDS intendi Wireless
    Distribution System)

    No, mi riferivo a "windows deployment services" ossia quello
    che, tempo fa veniva chiamato "RIS" (remote installation
    services) e che permette di generare delle "immagini" pre
    configurate dei vari sistemi e di effettuare un'installazione o
    un ripristino in modo rapido e senza dover "metter mano"
    al sistema da (re)installare

    Invece l'Ipsec tra AP>GW e rete mi interessa....hai doc che potrei
    leggere per farmi un'idea sull'infrastruttura?

    Nulla che possa distribuire, mi dispiace, anche se guardando
    il sito Microsoft troverai diversa documentazione (ed esempi)
    giusto come riferimento

    http://technet.microsoft.com/en-us/network/bb531150

    http://www.microsoft.com/downloads/en/details.aspx?familyid=a774012a-ac25-4a1d-8851-b7a09e3f1dc9&displaylang=en

    http://technet.microsoft.com/en-us/library/bb457019.aspx

    ed inoltre, visto che ho citato il DoD e considerando che non posso
    fornirti un link diretto ai documenti, quanto sotto potrà darti un'idea
    di ciò di cui sto parlando in merito alla messa in sicurezza del WiFi

    http://citeseerx.ist.psu.edu/viewdoc/download;jsessionid=D0FF6B7146C2750CE305589889151D68?doi=10.1.1.15.2463&rep=rep1&type=pdf

    Mi dispiace continuare la discussione qua che siamo OT ormai ma mi hai
    incuriosito :)

    Non credo sia un problema; si sta comunque parlando di infrastutture
    di rete e sicurezza in ambiente windows "enterprise" il che coinvolge
    windows server ed in mancanza di un gruppo dedicato, credo che
    questo possa fare al nostro caso

    ciao

    mercoledì 4 maggio 2011 14:23
  • Allora i test della Policy e del DHCP Snooping sono andati a buon fine salvo verifiche ulteriori.

    La documentazione che hai mandato è ottima per farmi una idea anche perchè stranamente combacia con l'esigenza del cliente di implementare 20-30 AP distribuiti su tutta italia che passeranno per i due firewalls principali e dunque ogni consiglio lato sicurezza è ben accetto.

    Spero solo che, come purtroppo spesso succede, la mia necessità di implementare non si scontri con il budget del cliente, soprattutto quando si parla di sicurezza su WiFi.

    Stasera mi metto di buzzo buono e do una bella lettura ai docs.

    Ciao a te ed ancora grazie!

    mercoledì 4 maggio 2011 14:39
  • Allora i test della Policy e del DHCP Snooping sono andati
    a buon fine salvo verifiche ulteriori.

    ottimo :) !

    La documentazione che hai mandato è ottima per farmi una idea
    anche perchè stranamente combacia con l'esigenza del cliente di
    implementare 20-30 AP distribuiti su tutta italia che passeranno per
    i due firewalls principali e dunque ogni consiglio lato sicurezza è
    ben accetto.

    Beh... credo che i links che ti ho passato potrebbero essere un buon
    punto di partenza per implementare una soluzione per il tuo cliente :)

    Spero solo che, come purtroppo spesso succede, la mia necessità
    di implementare non si scontri con il budget del cliente, soprattutto
    quando si parla di sicurezza su WiFi.

    Considera che parecchie cose vengono a "costo zero"; certo, ci sono
    i costi di consulenza ed implementazione ma molto del sw necessario
    è gratuito o già incluso nel sistema operativo (es. IPSec)

    Stasera mi metto di buzzo buono e do una bella lettura ai docs.

    Beh... buona lettura e... se servisse, sai dove sono (siamo, visto che
    non sono l'unico a frequentare questi lidi :D)

    Ciao a te ed ancora grazie!

    Aspeeettta... prima devi inviarmi una email, ti risponderò fornendoti
    le mie coordinate bancarie ed inviandoti la nota spese (faccio a forfait
    per questa volta) che, se non sbaglio dovrebbe ammontare ad una
    birra e quattro chiacchiere se e quando capiterà di incontrarsi :D

    mercoledì 4 maggio 2011 15:05
  • Rieccomi,

    scusate l'assenza ma tra scioperi e manifestazioni qui a roma ogni giorno c'è qualcosa.

    Ho letto la documentazione...quasi tutta per lo meno.

    Per ora tralasciamo i protocolli di tunnelling e crittografia, vorrei concentrarmi sull'infrastruttura dove ho ancora alcuni dubbi.

    La domanda è:

    sono i clients che devono comunicare con gli AP su tunnel IPsec?

    Grazie!

    ps: se sei vicino roma altro che birra...abito su una collina con 2600 mq di prato, barbecue amaca e tutto il resto...vedi tu ;)
    lunedì 9 maggio 2011 13:11