Andrea Beggi

To a man with a hammer, everything looks like a nail.

DHCP Snooping? Certo, prima o poi lo attiverò.

A T T E N Z I O N E ! Questo post ha piu' di sei mesi. Le informazioni contenute potrebbero non essere aggiornate.

Oggi arrivo dal cliente, e trovo un muletto in appoggio a una videoconferenza che ha problemi a collegarsi alla rete. Un’occhiata distratta: il cavo è collegato e sull’interfaccia c’è traffico, ma il notebook non “vede” nulla e non accede a nessuna risorsa.

Controllo l’indirizzo, e in effetti è una roba tipo 192.168.100.blabla. Ecco il problema: la rete aziendale è 10.yadda.yadda.bla e il solito Kevin Mitnick mancato deve aver toccato la configurazione, mi dico, ma in realtà c’è di meglio. La macchina è a posto, solo che sulla rete c’è collegato qualcosa che fa da DHCP server e ruba il lavoro agli onesti server che tirano la carretta tutti i giorni. E ciò è male: se gli si lascia fare così, nel giro di poche ore potrebbe scatenarsi una grave rottura di scatole.

Sul notebook offeso lancio un prompt dei comandi e trovo l’IP dell’usurpatore: 162.168.100.245. Tanto per non sapere né leggere né scrivere(*), ci punto un browser e viene fuori l’interfaccia troglodita di un access point portatile Digicom. (Io ho una gioiosa antipatia per la roba Digicom, credo ricambiata). Ammetto che il mio primo istinto BOFH sarebbe stato di cambiare la password, ma per fortuna non era il default e non avevo tempo di cercare eventuali vulnerabilità.

Trovare un aggeggio del genere non è semplice su una rete con centinaia di punti rete, sparsa su diversi piani e con diverse decine di utenti, ma la pigrizia è amica del sagace sistemista che non vuole scarpinare. Un’occhiata alla cache ARP del portatile mi rivela il MAC address del piccolo rompiballe e una conferma del fatto che è un apparato Digicom la trovo sul solito sito apposito.

La rete dispone di ottimi switch layer 3 indegnamente mal configurati da me, mi collego in sequenza a tutti gli chassis di piano finché, tramite il comando show mac-address, non trovo la porta a cui è collegato il piccolo invasore. A questo punto una visita in sala switch per individuare il punto rete incriminato e staccare brutalmente il cavo. Avrei potuto limitarmi a disattivare la porta, ma c’è più soddisfazione a sradicare il cavo.

Ulteriori indagini sveleranno poi il colpevole sotto forma di un buontempone, fornitore del cliente, che per una consulenza di progetto si è installato in una saletta e ha pensato bene di fornire accesso di rete ai suoi colleghi.

Non sono esente da colpe: avrei dovuto attivare il DHCP snooping sugli switch, ma questa cosa non è mai successa in anni, ed è una di quelle cose di cui si dice sempre: “Appena ho un momento lo faccio.” D’altra parte esiste una esplicita e rigida normativa a proposito del collegamento alla rete aziendale, talvolta disattesa.

(Il NAC? Sì, è in cantiere.)

(*)genovesismo

14 Commenti

Salacabula | #

Trovare un aggeggio del genere su una rete enorme è uno scherzo, posto che sia stata progettata con un minimo di criterio, ma non mi aspetto di trovare dei 5400 in cascata visto che il più piccolo tiene fino a 140 e passa porte in rame; sarebbe bastato partire dal centro stella e vedere da quale porta arrivava il MAC address, invece di passarseli tutti.
Prima di trastullarmi con l’802.1X comincerei con la port security, non costa nulla.
PS: quali funzionalità L3 usi negli switch di accesso?

Omar | #

Post molto interessante, non mi occupo di infrastrutture così grandi ma ho appreso più da questi post che al corso di reti.
Me lo snocciolerò per bene…
Poi il tutto è alleggerito da chicche come “E ciò è male” 😀

davide | #

Concordo, port-security sulle porte di accesso è la soluzione più veloce ed adatta, oltre che molto più economica in attesa del NAC…a proposito, mi interesserebbero i tuoi commenti sul NAC una volta implementato, sopratutto gli impatti sui processi.

Matteo | #

I racconti di “vita vissuta” nerd sono i migliori 😀 Bel post Andrea.

Andrea | #

Confermo, è una bella sensazione sradicare un cavo di rete; ma ti consiglio di scoprire cosa si prova a staccare quasi a caso una spina della corrente da una ciabatta di un rack urlando: “Cosa si spegnerà?????”.
Fammi sapere.

il frnz | #

devo dire che il commento lo metto gia’ così senza aver letto tutto il tuo post. Arrivo qui, da twitter e mi accorgo che tra le tante cose non sono il solo a non sopportare il materiale Digicom. Mi sembra sempre che prendano gli scarti della produzione cinese e provino a farne del bisiniss. Quante volte ho trovato degli errata corrige ai manuali aggiunti dopo nella scatola fatti con delle fotocopie anche senza toner

Andrea G | #

Bel post anche perché mi ricorda anche troppo da vicino le mie tristi giornate 😛

Sì, anche qui il NAC è “in cantiere” (sob)

ondiz | #

Ciao, giusto curiosità dove lavori? (se puoi dirlo…)

Andrea | #

No, è una rete di un cliente.

Stefano Canepa | #

Da pigro avrei chiuso la porta e da smemorato me la sarei anche dimentica chiusa per sempre.
Però avrei anche preso a pesci in faccia l’installatore dell’oggetto terribile e mal progettato. Ma per quale diavolo di motivo un aggeggio che fa da AP deve fare da DHCP server sulla rete wired? Si si lo so sono tutti progettatti così.

AndreaD | #

🙂 anche a me è capitato qualche rogue access point…
Concordo con il DHCP snooping: per questo problema funziona bene.
Ah poi, io i Digicom li odio!

KingMalza | #

…ti è andata bene che il dispositivo collegato fosse stato piazzato li da un burlone incompetente solo al fine di fornire accesso ai colleghi; fosse stato minimamente configurato con l’intento di fare dhcp spoofing probabilmente non vi sareste accorti di nulla per moolto e moolto tempo (è il brutto di questo tipo di attacco), con il risultato che qualcuno si sarebbe potuto fare una bella scorpacciata di informazioni utili.
La prima impostazione che va assolutamente messa in pratica sugli access switch, oltre a modificare la vlan nativa è quella di:

a.Disattivare tutte le porte non utilizzate
b.Attivare il port-security su tutte le porte meglio se in modalità sticky (ovviamente la porta va attivata quando si collega il device trust)
c.attivare il bpdu guard sulle porte access
d.sulle porte trunk utilizzare il “nonegotiate” (evitiamo anche lo switch spoofing che è meglio)

Queste a mio avviso, seguite da molte altre config sono quelle base quando si implementa un qualunque tipo di rete, poi se utilizziamo lo stack bisogna aggiungere un altro paio di accorgimenti (ma è un’altra storia)

Andrea | #

Luca, hai ragione. Ma in molti casi si scende a compromessi in favore della rapidità di gestione: se mi chiedono di abilitare una porta non posso metterci mezza giornata. (Il cliente sa ed è d’accordo.)

KingMalza | #

…questi a mio avviso sono compromessi molto pericolosi per la sicurezza, io personalmente ho tra i vari clienti un portafoglio switch di circa 4800 apparati e tutti hanno le porte, come sopra, disattivate ecc ecc. Quando mi chiamano per attivare una porta, per esempio, in qualunque posto, a qualunque ora l’intervento richiede max 2 min (basta un qualunque iphone, connessione vpn col cliente e un qualunque terminale ssh).
Io personalmente preferisco un approcio che massimizzi sempre la sicurezza, magari è meno comodo, ma sicuramente ti evita molti potenziali problemi enormi…e i clienti approvano 🙂