Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Il firewall non blocca il dhcp?

 
Nuovo argomento   Rispondi    Indice del forum -> Firewall. traffic shaping e net balancer
Precedente :: Successivo  
Autore Messaggio
xz4xbj



Registrato: 11/01/11 10:51
Messaggi: 54

MessaggioInviato: Sab Mar 05, 2016 10:33 am    Oggetto: Il firewall non blocca il dhcp? Rispondi citando

Ciao a tutti.
Ho un problema con il firewall di zeroshell.

Ho una delle vlan che arrivano a zeroshell, la vlan 20, dove c'è un access point in configurazione radius.
Questo access point è un enterprise della HP e ha la possibilità di far transitare il traffico di autenticazione e management su un'altra vlan e l'ho configurato in questo modo.
Su questa vlan20 arrivano i dispositivi mobili e guest, quindi va blindata per bene.

Ho imposto una serie di regole tra le varie vlan, se serve le posto, ma il problema è un'altro.
Praticamente i client prendono sempre un indirizzo dhcp.
Alchè ho provato a mettere solo queste tre regole per bloccare tutto su quella vlan:

chain output
1 * ETH00.20 DROP all opt -- in * out ETH00.20 0.0.0.0/0 -> 0.0.0.0/0

chain input
1 ETH00.20 * DROP all opt -- in ETH00.20 out * 0.0.0.0/0 -> 0.0.0.0/0

chain forward
1 ETH00.20 * DROP all opt -- in ETH00.20 out * 0.0.0.0/0 -> 0.0.0.0/0

Correggetemi se sbaglio , ma in questo modo chiunque si trovi in quella vlan non dovrebbe ricevere ne poter trasmettere qualsivoglia pacchetto verso il router, neanche forwardarlo.
Invece il pc, i telefoni, il tablet prendono l'indirizzo ip come se nulla fosse.
Di per se non è un problema, ma perchè succede questo? La mia paura è ovviamente che sia un baco.

Grazie.
Top
Profilo Invia messaggio privato
xz4xbj



Registrato: 11/01/11 10:51
Messaggi: 54

MessaggioInviato: Sab Mar 05, 2016 6:37 pm    Oggetto: Rispondi citando

Io ricordo che per funzionare il DHCP vuole le UDP 67 e 68 aperte.
Mi sono andato a rileggere le specifiche del protocollo qualora mi fossi scordato qualcosa, è come ricordavo:

Codice:
RFC 2131          Dynamic Host Configuration Protocol         March 1997


   be the 'end' option.

   DHCP uses UDP as its transport protocol.  DHCP messages from a client
   to a server are sent to the 'DHCP server' port (67), and DHCP
   messages from a server to a client are sent to the 'DHCP client' port
   (68).



Mi è venuto il dubbio per un momento che fosse l'access point il problema.
Ho messo nella VLAN un altro access point in modalita wpa Personal, i client continuano a prendere l'ip nonostante le regole sopra citate che bloccano tutto, pure il traffico UDP
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 777

MessaggioInviato: Dom Mar 06, 2016 7:17 pm    Oggetto: Rispondi citando

Ciao, il problema è che i pacchetti dhcp non 'passano'per il kernel, qui è spiegato brevemente ....
Usi WPA Enterpise o Personal ? Nel primo caso, i clients non ottengono l'ip finchè non sono autenticati dal radius, nel secondo ... lo prendono se hanno la PSK...
Ma non ho ben capito quale è il problema dei client che, una volta autenticati, (entrprise o personal) ricevono l'ip address .....
ciao
Top
Profilo Invia messaggio privato
xz4xbj



Registrato: 11/01/11 10:51
Messaggi: 54

MessaggioInviato: Dom Mar 06, 2016 10:19 pm    Oggetto: Rispondi citando

Ciao e grazie. Ovviamente WPA Enterprise, pensavo di essere stato chiaro:
Codice:
vlan 20, dove c'è un access point in configurazione radius

Prendo atto, solo che non ho mai sentito di modalità RAW Sockets in DHCP. Sicuramente è un problema di ignoranza mia.

Il problema è che secondo il protocollo DHCP lo scambio dati avviene in broadcast e sulle port UDP 67/68.
Se chiudo tutto non dovrebbe esserci scambio dati e quindi nessun ip assegnato.
Se c'è assegnazione, un dialogo sulle porte UDP avviene, sebbene abbia detto al router di tirare al gatto tramite firewall tutti i pacchetti entranti, uscenti e di forward di quella VLAN.
Infatti, a parte l'ottenimento dell'IP, con le regole sopra citate non passa nulla, confermato da scanning tramite NMAP.

Di nuovo, grazie mille.



---
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 777

MessaggioInviato: Dom Mar 06, 2016 10:36 pm    Oggetto: Rispondi citando

Si, sorry ... ma se usi WPA enterprise, prima dell'assegnazione dell'ip, c'e il processo di autenticazione supplicant/authenticator/authentication server, con frames eapol e radius (ed infatti, con ZS, gli utenti possono essere assegnati a vlan diverse) se l'utente esiste e si autentica correttamente sul radius, poi gli viene assegnato l'ip address ..... se non esiste, non dovrebbe nemmeno associarsi in L2 all'AP....
Non ho ben capito però quale è il problema (perdonami, sono un pò... duro Laughing )
ciao
Top
Profilo Invia messaggio privato
xz4xbj



Registrato: 11/01/11 10:51
Messaggi: 54

MessaggioInviato: Lun Mar 07, 2016 9:04 am    Oggetto: Rispondi citando

Hai ragione, ma se la cosa è by design, cioè è cosi e basta, allora va bene, ma se è una vulnerabilità , non va bene.
Non è bello sapere che un firewall non filtra tutto, quando glielo chiedi.




--
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Firewall. traffic shaping e net balancer Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it