Impedir que los usuarios falsifiquen una IP

3

Tengo un enrutador MikroTik (que tiene capacidades de cortafuegos y secuencias de comandos) que actúa como un servidor DHCP para la subred 192.168.1.0/24. ¿Hay alguna manera de evitar que pase el tráfico de un usuario que se ha asignado una dirección dentro de ese rango? Si es así, ¿cómo se llama para que pueda Google cómo implementarlo? ¿Tengo que crear un script que modifique dinámicamente las reglas del firewall para que coincidan con los contratos DHCP?

Mi objetivo final se muestra como ejemplo en caso de que mi pregunta no sea lo suficientemente clara: Un usuario se da la dirección de 192.168.1.2. Mi enrutador ve que esto no está en su tabla de arrendamiento DHCP. Elimina todo el tráfico de 192.168.1.2.

    
pregunta Seanny123 22.08.2012 - 01:21
fuente

5 respuestas

2

No, lo que estás preguntando es fundamentalmente imposible. La función principal de la subcapa de dirección MAC permite la comunicación de numerosos dispositivos (nivel 2 de OSI) a través de un dispositivo físico. medio (capa 1 de OSI). Nada impide que un atacante asigne a su NIC un valor de dirección MAC arbitrario . Un efecto secundario es que su servidor DHCP emitirá la misma dirección IP al mismo MAC para cada solicitud, incluso si la solicitud se origina en la máquina de un atacante. Esto no debe confundirse con la falsificación ARP, que es útil para los ataques MITM, y se puede prevenir .

Realmente lo que estás buscando es una VPN. Esto se puede usar para permitir que solo hosts de confianza se comuniquen.

    
respondido por el rook 22.08.2012 - 06:52
fuente
2

Lo que estás describiendo se llama DHCP Snooping y IP Source Guard y se implementa en la mayoría de los Switches de Capa 2 mejor administrados.

Funciona así:

  • Cuando el conmutador ve una dirección MAC, no sabe que solo permitirá que pasen las solicitudes DHCP de esa dirección. El resto del tráfico se eliminará.
  • Si el servidor DHCP responde con una dirección IP, el conmutador creará una entrada de enlace para IP + MAC
  • Ahora se permitirá el tráfico con esa combinación de IP + MAC

RouterOS no admite esa función, pero hay dos formas de simularla:

  1. En la configuración de la interfaz, configure ARP en "solo respuesta": esto evitará que el enrutador aprenda nuevas combinaciones de IP + MAC. Luego, en la configuración del servidor DHCP, habilite "Agregar ARP para arrendamientos". Esto agregará el enlace MAC-IP cuando el DHCP asigne una IP.
  2. Al usar los filtros Bridge, puede definir combinaciones válidas de IP + MAC y eliminar todo el resto del tráfico.

Si desea limitar un determinado MAC para que solo aparezca en un puerto determinado, consulte DHCP Option 82 (también parte de la inspección DHCP) o 802.1x , que También puede comunicar el puerto al que está conectado un cliente ( NAS-Port-Id ), ambos son compatibles con muchos switches de Capa 2.

Sin embargo, esta técnica solo puede evitar la inundación de MAC, la falsificación de ARP, la falsificación de IP y los conflictos de IP. No garantiza que la persona al final de la dirección MAC sea realmente quien crees que debería ser.

    
respondido por el dog 20.10.2013 - 02:22
fuente
1

Parece que quiere asegurarse de que no se permite la entrada a la red a clientes no autorizados. Si este es el caso, consulte la sección Seguridad de la red a continuación. Si principalmente busca evitar conflictos y obligar a los usuarios a usar el servidor DHCP, lea la sección Disponibilidad de red a continuación.

Disponibilidad de red

  • Como señala la respuesta anterior por Rook , lo que eres Solicitar específicamente puede ser subvertido de muchas maneras. Si usted es solo preocupado por los usuarios que configuran su propia dirección IP y crean La red entra en conflicto con su dirección asignada de DHCP, el MicroTik DHCP el servidor ya verifica para ver si la dirección está disponible o no antes de asignar un contrato de arrendamiento. Esto puede requerir alguna configuración adicional y su millaje puede variar.

Seguridad de la red

  • Una solución que controla el acceso a la red y permite el acceso a la red a solo aquellos que están autorizados en la red serían Control de acceso a la red . El protocolo para esto es 802.1x . Cisco tiene un producto llamado Clean Access Agent que funciona alrededor de la capacidad de un enrutador para realizar la autenticación 802.1x directamente.
respondido por el ZnArK 22.08.2012 - 15:41
fuente
0

Probablemente podría hacer el control de acceso en un nivel superior o implementar un concepto similar a NAC de algo como 802.1x. Si está en una red con conmutación pura, puede desactivar el puerto hasta que se autentiquen. También puede forzar todo el tráfico en una VPN como se indicó anteriormente o puede forzar el tráfico a través de un proxy con TLS / SSL / etc con autenticación para mantener al pícaro fuera de la red.

  1. enlace
  2. enlace
  3. enlace

La pregunta raíz aquí es ¿por qué alguien puede conectarse físicamente a su red si no está autorizado?

    
respondido por el Eric G 22.08.2012 - 15:37
fuente
0

Gracias a todos por las respuestas reflexivas. Ahora veo que no hay una solución universal para lo que estaba buscando (ya que 802.1X no es práctico para mi red, ya que soy un ISP) y para obtener una respuesta más completa, tendría que proporcionar más detalles sobre mi red.

Afortunadamente, encontré la respuesta que buscaba accidentalmente mientras exploraba las opciones del servidor DHCP de MikroTik. Puedo evitar que alguien falsifique su dirección IP y acceda a la puerta de enlace utilizando la opción "Agregar ARP" como se explica en esta publicación en el foro. Esto garantizaría que un usuario tendría que comunicarse con mi puerta de enlace.

¿Pero qué pasa con la falsificación de direcciones MAC? En mi red (ciertamente, poco ortodoxa), tenemos autenticación de dirección MAC para DHCP, pero las ACL garantizan que los usuarios están aislados y solo pueden hablar con la puerta de enlace y las direcciones MAC de los usuarios están asociadas a un determinado puerto. En otras palabras, si se detecta a un usuario en un puerto nuevo distinto del puerto con el que están asociados originalmente (lo cual es muy poco probable que sea legítimo), no se autentican.

Todavía no he aceptado esto como mi respuesta final, porque quiero saber si me he perdido algo o si esta respuesta requiere una aclaración.

    
respondido por el Seanny123 22.08.2012 - 22:08
fuente

Lea otras preguntas en las etiquetas