WIFI és LAN együttes működésének meggátolása

 ( Frencsajz | 2014. május 13., kedd - 10:58 )

Üdv!

A következő problémára várok ötleteket:
Adott több vezetékes alhálózat és egy WIFI. Azt szeretném elérni, hogy ha egy kliens fent van a WIFI-n és közben csatlakozik a LAN-ra is, akkor ne működjön egyik sem, persze ugyan ez fordítva is.

Hol lehetne megfogni?
A gépekhez fizikailag nincs hozzáférésem.

Routing? DNS? DHCP?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Hogyan tudod eldönteni, hogy a két csatlakozás ugyanahhoz a klienshez tartozik?
Többnyire semmi olyan infód nincs, ami segítene a biztonságos felismerésben.

Csak azért írtam le, mert kíváncsi vagyok, hogy tévedek-e. :)

Pont ez a baj! :)
Kell valami, amitől összeakadnak.

Ha a kliensre nem telepíthetsz semmit, akkor ismereteim szerint max. az authentikációval lehetne megfogni, de azzal csak annyit érsz el, hogy a második logint nem tudja végrehajtani.
Egyébként sem tartom jó ötletnek, hogy bizonyos feltételek teljesülése esetén hálózati hibát okozz a klienseknek, mert később te fohgsz szopni miatta. ;)

Nálam annó az XP magától összeborult 2 aktív LAN kapcsolatnál, természetesen a routing szabályok beolvasása előtt. Végülis ez egy megfelelő védelem a fenti problémához ;)

HZ: Nevezzük inkább korlátozásnak hiba helyett! :)

Egy managelt hálózatban illik tudni a munkaállomások MAC címeit...

--
zrubi.hu

LAN MAC címek meg is vannak.

Mondjuk a kérdésből én valami "szabad" felhasználású hálózatra tippeltem (pl. iskola, ahol a diákok és tanárok a saját laptopjukat használják)
De authentikációs rendszer nélkül csak valami hekkelős (saját program készítése) megoldást tudok elképzelni.

update: elnézve a kérdező későbbi hozzászólásait, úgy tűnik, jó volt az elképzelésem.

felső oskola... :)
Lehetne auth LAN-on is, de pl Windows XP nem tudja és abból még van 500db jelenleg. :(

Megyek lottózni ;)

Valamilyen NAC (Network Access Control) megoldás? 802.1x, 802.3 ...

Feltételezem, hogy Te vagy az AP/router/tűzfal/dhcp szerver.

Ezesetben össze kell párosítanod a munkaállomások LAN/WIFI MAC címét.
Ha ez megvan, akkor kreálhatsz dhcp/routing/tűzfal szabályokat, amikkel korlátozhatod bármelyiket.

Persze ez csak az 1.0 userek ellen véd. A következő szint, Ha csak annak adsz IP-t akinek tudod a MAC címét... (egymásét még ettől kereszbe kicserélgethetik maguk között)

Teljes port security bevezetése ad csak biztos védelmet, ami meg költséges/macerás.

--
zrubi.hu

Nem is kap bárki kap bárki IP címet, sőt PortSecurity is van a madzagos portokon.
Viszont azt nem tudom megoldani, hogy amikor LAN-on connected állapotban van, akkor WIFI-n ne lehessen.

Ha a Wifi AP is a Te 'kezedben van', akkor miért nem?

Persze lehet nicns rá gyári megoldás, de írhatsz rá scriptet, hogy pl. csak az első connection-t engedje, a másikat olyankor 'kikapcsolja'...

Ez persze csak a saját wifi AP-k esetén működhet, ha egyéb random WiFi elérések is vannak, az már egy másik probléma...

--
zrubi.hu

Ez jól hangzik csak...a vezetékes hálózatban gép van, WIFI-n pedig user.
Attól, hogy ő kapott IP címet a vezetékes gépéről, attól még kaphat IP-t a user-e is, mert lehet az a telefonja vagy bármije, ami WIFI képest.
Nekem csak az kellene, hogy azzal a géppel ne tudjon forgalmazni másik hálózatban, ha már bele lóg egybe.

A WIFI-n is lehet (esetedben kell) MAC szűrést alkalmazni. és akkor már az AP-hez sem tud csatlakozni, de a telefonjával ettől még nyugodtan használhatja.

--
zrubi.hu

Alapból nem fog küldeni semmit a WiFi-n mivel más a metrikája (nagyobb) mint a kábelesnek.

Ám ez csak a kliensen múlik... amire ha nincs ráhatásod, akkor erre építeni sem lehet.
Főleg, hogy pl virtuális gépek használata esetén nem is feltétlenül ugyan az az OS kezeli a linkeket.

--
zrubi.hu

Persze, de alapból kiindulhatunk abból, hogy a csatlakozó cuccok 90%-a standard Windows-os kliens lesz. Ebből kiindulva szerintem tárgytalan a feladat.

Közben látom a kérés az, hogy "ne működjön egyik sem".
Ehez szerintem fogja az arpwatch kódját és megírja magának az IDS-t. Kész megoldást kétlem hogy használ erre valaki.

802.1x felhasználó+jelszó auth-al és session limit 1-en. Nilván tárgytalan mivel a kliensen nem akarsz módosítani.

Szép dolog ez a MAC cím és auth összedrótozása, de mi van ha a delikvens vesz magának egy USB WIFI stick-et. Annak soha nem fogom megtudni a MAC címét, viszont mennie kell, mert nem tudhatom, hogy az most egy USB-s cucc, mert lehet akár a telefonja is.

99%-ban Windows-os kliensek vannak, amihez ilyen szinten nem értek, de szerintem minimális keresés után megoldható, hogy több átjárót is használhasson. Szóval világos, hogy a LAN-nak más a metrikája, de egy kis guglival ezt is kiküszöbölheti a véglény.

És ez téged miért zavar?

Tipp: el van szeparálva egymástól a vezetékes és a wifi hálózat és szeretné megakadályozni, hogy valaki összeroute-olja őket.

A LAN nyilvánvaló okokból sokkal szigorúbb szabályozású, a WIFI pedig szabadabb.
Van ami egyikben megy és a másikban nem, de ezzel a WIFI-s trükkel meg egy kis ésszel simán átugorható.

Az ugye megvan, hogy ha a telefonján is hagyod, meg a laptopján is, akkor kis guglizással simán összeköti a két hálózatot ha akarja...

Há' ezaz!

Kicsit Off, és várhatóan lehangoló is, de:

Ha a gépeket beengeded egy biztonságos(abb)nak nevezett hálózatba (LAN), és egy kevésbé biztonságosba (WiFi) is, onnantól biztonsági szempontból egyanrangú hálózatokká válnak.

Mert ahhoz hogy kompromitáld a LAN-t, NEM kell egyszerre kapcsolódni a wifi-n és a lan on. Elég ha a wifi-n behozza a nem kívánt dolgokat, majd később LAN-ra kapcsolódva pedig bekerül oda is a gonosz...

Tehát ilyen esetben hiba feltételezni, hogy egyik hálózat 'biztonságosabb' a másiknál.

--
zrubi.hu

Alap esetben PC-kről beszélünk, de egyre több a laptop, mint munkaállomás.
1-3 olyan esetről tudok, amikor az "összeroute-olás" szándékos volt, de ha tényleg lakik valami/valaki a gépén, ami/aki csak arra vár, hogy értékes adatokhoz férjen hozzá, akkor a gengszter WIFI-re csatlakozva hozzáfér az áldozata gépéhez mindenféle remote cuccokkal, de LAN-on soha a büdös életbe nem fog kitalálni. Viszont, ha egyszerre van mind a kettőn és ne adj isten kényelmi okoból megoldja, hogy két átjárólval is tudjon dolgoni, akkor innentől szabad a pálya "mindenkinek" kintről is.

- Mint már elmítették, randa dolgokat nem muszáj épp akkor csinálni. Tipikus virnyákos viselkedés, hogy scannel össze vissza meg fertőz, ott ahol éppen van. Aztán majd ha tudja, elküldi, ha épp lopkovic.
- A mindenfélre randaságok nagy része valamiféle visszacsatlakozós cucc (irc channel, meg a franc se tudja épp mi a menő mostanában), ha a LANon kilát, akkor nem vagy előrébb igazából azzal, hogy a wifin megy ki, vagy a lanon.

Arra akartam rámutatni, hogy a gépen belüli felvetésed nem elégséges, mindegy, hogy ugyanaz a gép van egyszerre a LANon, és a WANon, vagy a user keze ügyében levő laptop és a telefon.

Jó lenne tudni, mi a valódi cél :)

Ha mindeddig nem lettem volna világos, akkor a LAN védelme a cél.

Az nem világos, hogy pontosan mitől is szeretnéd védeni a lant.

Elsősorban a külső hozzáféréstől.
Különbség LAN és WIFI szabályai között:
LAN - Minden tiltva és ami a munkához kell csak az engedélyezve, kijárat csak a 80, 443 és 21.
WIFI - Minden mehet normális kereteken belül, de LAN felé nincs átjárás.

Meg is értem, hogy a usereknek ez így macerás :( Magyarul, ha dolgozni akar és felcsatlakozik a LAN-ra, akkor közben korlátozott a netezése, ami esetleg a munkához is kellene.
Hogy a WiFi-n csak netezni lehet "ész nélkül" de a belső hálózati adatokhoz hozzáférni nem, az addig OK.
De, ha valakinek joga van csatlakozni a LAN-hoz, hogy azon dolgozzon, akkor szerintem onnan is biztosítani kellene neki a normális kilátást a netre, hogy ne is legyen szüksége a WiFi-re - persze komoly, erős tűzfallal védve (akár logolva) a LAN és a net közti kommunikációt.

Azt gondolom, hogy ilyen környezetben a tudatos támadás ellen sok mindent nem lehet tenni. Meg pusztán MAC alapon egyébként is nehéz ügy securityt csinálni, még ha meg is szerzed az összes LAN - WIFI mac párost, neadj isten szűrsz is rájuk... Ez csak viszonylag komoly, usernek rendkívül kényelmetlen adminisztrációval fog menni, elég kérdéses gainért. Ha nincs kontrollod az eszközök felett, és van egy nagyjából nyílt wifi, akkor aki akar, fog építeni magának valami hacket, ha más nem az androidos telefonja segítségével, majd socksozik, vagy ilyesmi.

A véletlen routeolgatásokat viszont azért lehetne szűrni. Olyan packeteket, amik a LAN tartományából jönnek, de a wifi felől, azokat lehet eldobálni, ez a direkt routeolós izéknek betesz (bár nem tudatosan ilyesmiből külső hozzáférés elég nehezen lehet szerintem).

Amit még lehet, hogy a: nézelődsz a security suitok környékén, hogy ki tud valami ilyesmit (nálunk a céges symantec csinál valami location profileokat, talán lehet kezdeni vele valami. Mondjuk egyébként egy határrakás szar, illetve gondolom pénz se lenne rá). b: esetleg valami VPNnel véded a tényleg fontos dolgokat, aztán ott majd a kliens jól kikényszeríti, hogy ne pofázzon másfele.

Egy wifin keresztül megtört/kompromittált gép, becsatlakoztatva a LAN-ba:

a kifelé 80, 443, 21 portok segítségével nyugodtan lehet akár bármelyik botnet tagja is, hozhat be magának további kódokat, küldhet kifelé bármilyen adatot, átjuthat bármelyik másik LAN-on lévő gépre.

--
zrubi.hu

+1, ezért nem látom én sem értelmét a vergődésnek.

Felénk aztán überparanoidok a cég hálózatos szabályai, de a fenti leosztásnak annyira nincs értelme (csak overheadje), hogy ilyesmi még itt sincs.

Egyszer egy Microsoft-os szakmuki azt mondta, hogy itt nem egyszerűen tűzfal van, hanem két tűzfal és közötte egy vizes árok tele mindenféle harapós vízi állattal.

A Microsoftnak érdekes a hozzáállása a tűzfalakhoz :D

Lehet egyszer megkeresem azt a hivatalos szakvéleményt amiben nagyjából az állt, hogy:
AD-s környezetben a tűzfalak csak akadályozzák és lassítják a forgalmat, és ezért ők ilyen felállást nem támodatnak.

Mondták ezt egy országszerte 30-40 végponttal, (telephelyenként külön AD) és egy központi telephellyel rendelkező állami szervezet hálózatára...

--
zrubi.hu

Egyáltalán, már a biztonság c. fogalom értelmezése is elég sajátságos náluk... :D

Ha a klienseket nem tudod vagy nem akarod 100%-ban felügyelni (azaz ne legyen admin joguk a gépükön a júzereknek), akkor lehet megoldás valamilyen proprietary VPN szoftver használatának erőltetése, ahol majd a VPN szoftver "megoldja" a dolgot.
Azaz mindkét hálózatban csak a netre lát ki a delikvens, és a "belső" hálózatot csak VPN-en keresztül érheti el. Megfelelően köcsög VPN szoftver választásával rá tudod erőszakolni a kliensre pl. azt, hogy aktív VPN mellett nem láthat semmit a VPN-en kívüli világból.
Ez persze erősen korlátozni fogja, hogy milyen készülékkel lát be a "belső" hálózatba - erre megoldás lehet, hogy azokat a szolgáltatásokat, amiket nem PC-ről el kéne érni (mondjuk web + levelezés) az Internetről (tehát VPN nélkül) is elérhetővé teszed.

Nagy cégek ezt úgy oldják meg, h. telepítenek vmi 3rd party hulladékot (gugli biztos fog dobni pár találatot mindenféle sarlatán szoftver-borzalmakra amik mind ezt a feladatot akarják elvégezni, több-kevesebb sikerrel) a windows kliens gépekre, ami tesz róla hogy ne mehessen egy időben a wired és a wireless LAN. A MS OS-jei alapesetben (még) nem tudnak ilyen fícsört (windows 8-ig bezárólag) a legjobb tudomásom szerint. Nálunk a céges gépeken egy saját (cégcsoporton belüli) fejlesztésű szoftvercsomag gondoskodik a felhasználók ilyetén való sz*patásáról.

Alapból minden céges laptop így működik szerintem, nem kell ehez külön szoftver (azaz tiszta gyárival is pont ezt teszi). BIOS-ban van ilyen opció.

Továbbra sem látom hogy milyen elképzelt biztonságot hozna az eredetileg felvetett probléma megoldása, szerintem teljesen feleslegesen pörgünk rajta. VPN-t már említette valaki, na az a végső szopatása a felhasználónak.

Arra azért ötleteket várnék hogy mit tehet ha mind a két hálózatra szimultán csatlakozik. Igen véges a képzelőerőm jelenleg...

Eddig ahány céges/saját laptopom volt, egyik sem tudott ilyen fícsört, szóval nem tudom milyen kategóriájú gépeknél van ilyen. Nem fizikailag tiltja le az interfészt, mert látszik h. van link rajta, hanem az OS-ben nem engedi használni pl. a wifi-t, nem képes asszociálni az SSID-hez.

Céges=businness kategória.
Thinkpadre nem emlékszem, dell latitude BIOS-ból tud ilyet.

nekem a dell N5010 ek egy része tudja másik része nem attól függően hogy milyen alkatrészt sikerült a panelra forrasztani. A wifi driverében van opció hogy ha bedugom a drótot akkor a wifit kikapcsolja. de szerintem ez energia optimalizálás miatt került inkább bele nem biztonsági szempontból.

Az n az nem business. Egyébként nem hinném, hogy biztonsági feature. Inkább energia szerintem is.

És nem mellesleg ezt elég badarság lenne BIOS szinten korlátozni.

Én pl virtuális gépeket futtatok, van amelyik a wifin, van amelyik a LAN-ra kapcsolódik.
Időben ugyan egyszerre, ám OS szinten közük nincs egymáshoz...

Beba*na ha a bios ebbe bele akarna szólni!

--
zrubi.hu

Ezt beszéld meg a dell mérnökeivel is! :)
A latitude bios-ból tudja szabályozni, hogy ha bedugom az Ethernet kábelt, akkor mi legyen a wifi-vel.

HP Probook is, de emlékeim szerint a Lenovo Edge-ek is ugyanezt művelték.

Mármint ha kapcsolható, akkor miért zavar téged?

Csilió évvel ezelőtt volt vmi. IBM Txx nótosom, ott az IBM-es sw-csomagban volt egy network manager alkalmazás, ami pont ezt csinálta: ha az eth0-on nem volt link, akkor megpróbált wifi-n felcsattanni a céges hálózatra, és amikor visszajött a drótos net, akkor dobta a wifi-t.

Ha nincs hozzáférésed a gépekhez, akkor gyakorlatilag sehogy. Ugyanis a hálózat felől gépenként max. két MAC látsizk, amikről nem tudod megmondani, hogy egy géphez tartoznak.
A biztonságos megoldás az, hogy a LAN-ra felengedett gépeken kell egy alkalmazásnak futnia, ami a vezetékes hálózati interfészt figyeli, hogy van-e link, és ha van, akkor lecsapja a wifi-t.

Ahogy valaki itt felvetette: normális környezetben lehetne nyilvántartása a gépekről és az összetartozó MAC address-ekről, de...
Gyakorlatilag abba a hitbe ringatná magát, hogy biztonságos a hálózata, közben épp oly sérülékeny marad, mint volt, mert legjobb esetben is csak annyit ér el, hogy két lépésben tudnak hozni/vinni adatokat a két háló között a userek.

Mint kiderült, itt egy felsőoktatási intézményről van szó, ahol pl. a diák beül egy laptoppal, ráakaszkodik a wifi-re, később meg valamelyik (ha jól értem, számára külön kijelölt) LAN portra... És akkor az még szóba sem került, hogy mi van, ha valakinél mobilnet és LAN él párhuzamosan. :)
A mobilnetre végképp semmi ráhatása, nem is fog tudni róla és simán összeroute-olható a LAN kapcsolattal.

+1

Le kell szokni arról hogy mindent kontrollálunk és tudni kell mi a teendő ha beüt a krach.

Lehet seggvédő papírokat és szabályzatokat gyártani, amit mindenkivel aláíratunk, de ez csak tüneti kezelés. Attól a probléma megmarad, csak becsukjuk a szemünket, mert a mi hátsónk egy darab lappal be van védve. Az adatvagyon gazdálkodásért és védelemért igen is feleljen az IT!

Akkor tiltsd le a wifit untrusted deviceok esetén :)

Esetleg dobasd ki az XPket pl, meg ilyesmi...

Ha olyan szintű biztonságot akarsz, mint egy bankban, akkor ne engedj ellenőrizetlen eszközt a hálózatra.
Amit te akarsz, az valahol ott kezdődik, hogy notebookot nem engedünk a LAN-ra, a desktop gépek összes, külső kommunikációra alkalmas portja, eszköze (USB, soros, parallel portok, optikai meghajtók stb.) letiltva, a LAN csatlakozásokon figyelni, hogy ne tudják kicserélni a gépet (ha jól emlékszem, ezt megcsináltátok), a felhasználóktól védett BIOS, op.rendszerhez csak annyi hozzáférés, amennyire feltétlenül szükségük van.
Ha ezeken túl vagy, akkor talán érdemes egyéb dolgokkal is foglalkozni, de addig...
Tiszta szélmalomharc az egész.

Nem kérem, ez nem az IT szerepe.

Technikailag el lehet menni egy bizonyos pontig, de kell még ehez motozás, aná*izálás, agymosás, kamerázás, sok sok papír, egy csomó ügyvéd és bürokrata. Mi köze ezeknek az oktatáshoz?!

És ha már oktatási intézményről beszélünk akkor milyen adatot is akarsz te megvédeni? A PII-on kívül mondjuk.