Andrea Beggi

This revolution is for display purpopes only.

DHCP Snooping? Certo, prima o poi lo attiverò.

A T T E N Z I O N E ! Questo post ha piu' di sei mesi. Le informazioni contenute potrebbero non essere aggiornate.

Oggi arrivo dal cliente, e trovo un muletto in appoggio a una videoconferenza che ha problemi a collegarsi alla rete. Un’occhiata distratta: il cavo è collegato e sull’interfaccia c’è traffico, ma il notebook non “vede” nulla e non accede a nessuna risorsa.

Controllo l’indirizzo, e in effetti è una roba tipo 192.168.100.blabla. Ecco il problema: la rete aziendale è 10.yadda.yadda.bla e il solito Kevin Mitnick mancato deve aver toccato la configurazione, mi dico, ma in realtà c’è di meglio. La macchina è a posto, solo che sulla rete c’è collegato qualcosa che fa da DHCP server e ruba il lavoro agli onesti server che tirano la carretta tutti i giorni. E ciò è male: se gli si lascia fare così, nel giro di poche ore potrebbe scatenarsi una grave rottura di scatole.

Sul notebook offeso lancio un prompt dei comandi e trovo l’IP dell’usurpatore: 162.168.100.245. Tanto per non sapere né leggere né scrivere(*), ci punto un browser e viene fuori l’interfaccia troglodita di un access point portatile Digicom. (Io ho una gioiosa antipatia per la roba Digicom, credo ricambiata). Ammetto che il mio primo istinto BOFH sarebbe stato di cambiare la password, ma per fortuna non era il default e non avevo tempo di cercare eventuali vulnerabilità.

Trovare un aggeggio del genere non è semplice su una rete con centinaia di punti rete, sparsa su diversi piani e con diverse decine di utenti, ma la pigrizia è amica del sagace sistemista che non vuole scarpinare. Un’occhiata alla cache ARP del portatile mi rivela il MAC address del piccolo rompiballe e una conferma del fatto che è un apparato Digicom la trovo sul solito sito apposito.

La rete dispone di ottimi switch layer 3 indegnamente mal configurati da me, mi collego in sequenza a tutti gli chassis di piano finché, tramite il comando show mac-address, non trovo la porta a cui è collegato il piccolo invasore. A questo punto una visita in sala switch per individuare il punto rete incriminato e staccare brutalmente il cavo. Avrei potuto limitarmi a disattivare la porta, ma c’è più soddisfazione a sradicare il cavo.

Ulteriori indagini sveleranno poi il colpevole sotto forma di un buontempone, fornitore del cliente, che per una consulenza di progetto si è installato in una saletta e ha pensato bene di fornire accesso di rete ai suoi colleghi.

Non sono esente da colpe: avrei dovuto attivare il DHCP snooping sugli switch, ma questa cosa non è mai successa in anni, ed è una di quelle cose di cui si dice sempre: “Appena ho un momento lo faccio.” D’altra parte esiste una esplicita e rigida normativa a proposito del collegamento alla rete aziendale, talvolta disattesa.

(Il NAC? Sì, è in cantiere.)

(*)genovesismo

Tags: , , , ,

11 Commenti

Salacabula | #

Trovare un aggeggio del genere su una rete enorme è uno scherzo, posto che sia stata progettata con un minimo di criterio, ma non mi aspetto di trovare dei 5400 in cascata visto che il più piccolo tiene fino a 140 e passa porte in rame; sarebbe bastato partire dal centro stella e vedere da quale porta arrivava il MAC address, invece di passarseli tutti.
Prima di trastullarmi con l’802.1X comincerei con la port security, non costa nulla.
PS: quali funzionalità L3 usi negli switch di accesso?

Omar | #

Post molto interessante, non mi occupo di infrastrutture così grandi ma ho appreso più da questi post che al corso di reti.
Me lo snocciolerò per bene…
Poi il tutto è alleggerito da chicche come “E ciò è male” :D

davide | #

Concordo, port-security sulle porte di accesso è la soluzione più veloce ed adatta, oltre che molto più economica in attesa del NAC…a proposito, mi interesserebbero i tuoi commenti sul NAC una volta implementato, sopratutto gli impatti sui processi.

Matteo | #

I racconti di “vita vissuta” nerd sono i migliori :D Bel post Andrea.

Andrea | #

Confermo, è una bella sensazione sradicare un cavo di rete; ma ti consiglio di scoprire cosa si prova a staccare quasi a caso una spina della corrente da una ciabatta di un rack urlando: “Cosa si spegnerà?????”.
Fammi sapere.

il frnz | #

devo dire che il commento lo metto gia’ così senza aver letto tutto il tuo post. Arrivo qui, da twitter e mi accorgo che tra le tante cose non sono il solo a non sopportare il materiale Digicom. Mi sembra sempre che prendano gli scarti della produzione cinese e provino a farne del bisiniss. Quante volte ho trovato degli errata corrige ai manuali aggiunti dopo nella scatola fatti con delle fotocopie anche senza toner

Andrea G | #

Bel post anche perché mi ricorda anche troppo da vicino le mie tristi giornate :P

Sì, anche qui il NAC è “in cantiere” (sob)

ondiz | #

Ciao, giusto curiosità dove lavori? (se puoi dirlo…)

Andrea | #

No, è una rete di un cliente.

Stefano Canepa | #

Da pigro avrei chiuso la porta e da smemorato me la sarei anche dimentica chiusa per sempre.
Però avrei anche preso a pesci in faccia l’installatore dell’oggetto terribile e mal progettato. Ma per quale diavolo di motivo un aggeggio che fa da AP deve fare da DHCP server sulla rete wired? Si si lo so sono tutti progettatti così.

AndreaD | #

:-) anche a me è capitato qualche rogue access point…
Concordo con il DHCP snooping: per questo problema funziona bene.
Ah poi, io i Digicom li odio!

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>