detkce MAC adres všech připojených zařízení k MK

[papadopulos]

Zdravím, lze nějak udělat, aby MK na jednom svém fyzickém portu zjišťoval přítomnost dalších zařízení ? Nejde mi jen o nějaké konkrétní IP adresy, ale o vše. Tedy i třeba o to, kdy se do sítě připojí např. notebook s "nesmyslnou" IP adresou mimo platný rozsah a pokusí se o nějaké libovolné spojení. Jestli si to dobře vysvětluji, tak protože je celá síť fyzicky spojená, tak všechna zařízení (tedy i MK) "slyší" všechny pakety na síti.
Příklad:
V síti je jeden MK, dále dva "autorizované" počítače A a B, které spolu jak je třeba komunikují. MK by byl v roli jen "odposlouchávače". Celkem tedy tři různám zařízení, tři IP (a tedy i MAC) adresy. Fyzicky není možné zajistit, aby nepřišel "sabotér" a nepřipojil se kabelem do HUBu té samé sítě a nezkoušel "si hrát".
Domnívám se, že by neměl být problém pomocí MK a jeho firewallových pravidel například sledovat pokus o spojení mezi zařízením "sabotéra" a čímkoli dalším v té samé síti. Pokud by MK zjistil nový packet, ověřil by, jestli se MAC adresa jeho zdroje nenachází ve whitelistu a pokud ne, zaloguje tuto událost "IN_SABOTER" do syslogu. Zároveň by si uložil MAC adresu zdroje toho packetu do nějakého blacklistu. Skriptem by se pak periodicky (třeba 1x za minutu) zkoušelo, zda jsou MAC adresy v blacklistu stále dostupné (asi pingem) a pokud ne, vymazaly by se z blacklistu a zalogovalo do syslogu "OUT_SABOTER".

[Dalibor Toman]

nejakou detekci muzes delat jen kdyz se k tobe nejaky packet dostane (ulozit MAC, pripadne i IP). Takze tim sledovacim MT ta komunikace musi prochazet. No a pak muzes napr:

- detekovat zmeny v bridge host tabulce (pokud dany MT jede jako bridge)
- detekovat zmeny v ARP (pokud dany MT Je pro utocnika def gateway apod)
- ukladat (logovat) nejake info z ip firewallu. IPcka by slo minitorovat proti Address Listu, nove MACky asi tezko (adres list na MACky pokud vim neexistuje)

pokud tim MT komunikace neprochazi ak mas smulu. Mohl by videt maximalne nejake broadcasty/multicasty. Pokud jsou vsichni pripojeni pres nejaky managepvatelny switch, pak mozna nastavit SPAN - ale pak bys musel na MT pustit sniffer a jeho vystup na MT uz IMHO nezpracujes.

[Selič]

IP/ARP - pokud přijde broadcast ze sítě při připojení zařízení, tak se přidá do tabulky. Pokud prochází komunikace přes mikrotik, tak tam bude záznam s MAC vždy.
U interfacu si můžeš nastavit pro ARP, že bude komunikovat jenom s adresami, co má v seznamu.

[papadopulos]

Dík za rychlé reakce. Takže to asi nebude tak jednoduché, jak jsem si představoval. Domníval jsem se, že jde pomocí MK zjistit, že se "PC sabotéra" bude snažit komunikovat například do internetu, nebo to je vlastně jedno kam, v podstatě kamkoli, jen ne ne "skrz" port toho MK. Nebo se ještě jinak vyjádřím. Že MK umí poznat že se na jeho portu objevil paket, který někam směřuje. A je jedno jestli do počítače B , nebo do počítače A, nebo do MK, nebo do adresy h__p://bla.bla.bla.com ... Že to prostě ten MK "uslyší", protože je zapojen fyzicky ve stejné síti a zareaguje na to ...

[Dalibor Toman]

Dík za rychlé reakce. Takže to asi nebude tak jednoduché, jak jsem si představoval. Domníval jsem se, že jde pomocí MK zjistit, že se "PC sabotéra" bude snažit komunikovat například do internetu, nebo to je vlastně jedno kam, v podstatě kamkoli, jen ne ne "skrz" port toho MK. Nebo se ještě jinak vyjádřím. Že MK umí poznat že se na jeho portu objevil paket, který někam směřuje. A je jedno jestli do počítače B , nebo do počítače A, nebo do MK, nebo do adresy h__p://bla.bla.bla.com ... Že to prostě ten MK "uslyší", protože je zapojen fyzicky ve stejné síti a zareaguje na to ...

na kroucene dvoulince se k propojeni vice zarizeni na jednom segmentu site pouziva dnes vyhradne switch (pouziva se vice jmen - napr bridge). SWitch funguje tak, ze se postupne nauci, za kterymi porty jsou jaka zarizeni (MACky) a pak packety pro prislusnou MAC adresu posila jen jednim konkretnim portem. Takze sledovaci MT pripojeny k portu X nedostane zadny packet urceny pro zarizeni za portem Y.
V drevnich dobach se pouzivaly HUBy, ktere posilaly packety na vsechny porty (krome toho kterym packet prisel). Switch na rozdil od HUBu zvlada rozdilne linkove parametry (rychlost, duplex) na jednotlivych portech protoze packet umi prijmout ulozit a pak poslat dal.

[papadopulos]

Dík za vysvětlení. Ještě se ale stejně zeptám. Nedá se tedy předpokládat, že když bude notebook "sabotéra" (ať už je jeho ETH připojení nastaveno jakkoli) do sítě vysílat pakety, že by se tyto stejně dostaly až na sledovací MK pokud jsou od sebe oddělení switchem ? Jinak řečeno, chápu dobře, že switch, který přijme paket od "sabotéra" (např. na svém portu X) nepropustí tento paket na svůj port Y, protože na portu Y nezná žádné zařízení s požadovanou adresou ? Shrnuto, protože je sledovací MK a PC sabotéra oddělen switchem, MK nenajde sabotéra nikdy.

[Rasken]

A co takhle dat si dat misto switche primo MK ?

[Dalibor Toman]

Dík za vysvětlení. Ještě se ale stejně zeptám. Nedá se tedy předpokládat, že když bude notebook "sabotéra" (ať už je jeho ETH připojení nastaveno jakkoli) do sítě vysílat pakety, že by se tyto stejně dostaly až na sledovací MK pokud jsou od sebe oddělení switchem ? Jinak řečeno, chápu dobře, že switch, který přijme paket od "sabotéra" (např. na svém portu X) nepropustí tento paket na svůj port Y, protože na portu Y nezná žádné zařízení s požadovanou adresou ? Shrnuto, protože je sledovací MK a PC sabotéra oddělen switchem, MK nenajde sabotéra nikdy.

mikrotik za switchem 'uslysi' jen broadcasty a multicasty. Uslysi tedy vsechny ARP dotazy (kdyz se kodokoliv pta, zda v subnete exituje zarizeni s nejakou IP adresou). Tyto dotazy obvykle jako hint obsahuji informace o odesilateli (jeho IP a MACku). Takze teoreticky je takhle pasivnim priposlechem mozne zjistit seznam aktivnich IPcek na segmentu. Ale zpracovavat tohle automatizovane na MT bude bud zbytecne komplikovane nebo nemozne. Dovedu si predstavit, ze se detekovane ARP packety zaloguji poomoci pravidel IP Firewallu. Pak by mozna mohl nejaky skript parsovat periodicky radky v logu a delat si z nich nejaky seznam. Zalezi na tom co by to nakonec melo vlastne vsechno hlidat

[papadopulos]

Dobrý den, podařilo se mi nastavit pravidlo do firewallu tak, aby se při zjištění UDP input paketu na příslušném bridge přidávaly jejich source IP do "NEW_IP_UDP" addres listu. Dále uvažuji, že bych nastavil do pravidla ještě nějaký timeout pro přiřazování zjištěných IP, třeba 60 sec. V task manageru by měl být ve finále script, který periodicky, třeba každých 30 sec projde všechny záznamy v generovaném address listu a zkusí vyčíst MAC adresu té každé konktrétní IP. Zjištěnou MAC adresu by poté zkusil najít v address listu "VIP_UDP" a pokud by se v něm detekovaná MAC adresa nenacházela, zalogoval by událost do logu.
Dokáže mě někdo navést, jak by měl script vypadat ? Případně, je tento scénář vůbec realizovatelný ?