Início / user-1016784

CookieAndPizza's questions

Martin Hope
CookieAndPizza
Asked: 2019-05-14 02:51:28 +0800 CST
  • 5

Eu queria saber se é possível evitar técnicas de falsificação de MAC / desvio de 802.1X conforme descrito aqui: https://www.defcon.org/images/defcon-19/dc-19-presentations/Duckwall/DEFCON-19-Duckwall-Bridge -Too-Far.pdf

Eu procurei por um tempo agora, e a única coisa que consigo encontrar é o MACSec. O problema com outros métodos de prevenção é que eles geralmente dependem da associação do endereço MAC do usuário ao seu endereço IP. Isso não pode ser feito porque o ataque descrito no artigo falsifica os endereços IP e MAC. MACSec é uma técnica mais recente não suportada por muitos fornecedores.

Outros pensamentos:

  • IPSec ou VPN ajudariam contra isso?
  • Os usuários precisam de acesso físico à rede para que o ataque funcione
  • Talvez alguma impressão digital do dispositivo funcione para evitar isso

Qualquer sugestão é bem vinda, obrigado!

networking vpn
Martin Hope
CookieAndPizza
Asked: 2019-04-20 01:49:35 +0800 CST
  • 5

Estou usando uma configuração um tanto estranha que (eu acho) permite que eu me conecte à sub-rede enquanto falsifica meu IP e MAC (em ambiente de teste, fazendo faculdade de segurança cibernética ^^). No entanto, o roteador parece não encaminhar nenhuma das minhas solicitações e não entendo o porquê.

Estou usando isso como um guia: https://www.defcon.org/images/defcon-19/dc-19-presentations/Duckwall/DEFCON-19-Duckwall-Bridge-Too-Far.pdf

Minha configuração é a seguinte:

Ip: 169.254.66.66

route options:
Destination    Gateway        Genmask      Flags 
0.0.0.0        169.254.66.1   0.0.0.0      UG
169.254.0.0    0.0.0.0        255.255.0.0  U

Arp options:
Address        HWType    HWAddress            Flags
169.254.66.1   ether     xx:xx:xx:xx:xx:xx    CM

E então existem algumas regras de iptables e ebtables para reescrever para IP e MAC de solicitações de saída (esses não podem ser o problema, suponho, eles funcionaram por semanas agora) Mas eles se parecem com isto:

target   prot    source           destination    
SNAT     icmp    169.254.66.66    anywhere       to:some_legit_ip_from_subnet

Com essa configuração, consigo fazer ping no gateway padrão (ou qualquer endereço de hardware na tabela arp), mas o gateway não encaminha minhas solicitações mais adiante na sub-rede. Para tornar as coisas mais estranhas, ele encaminha minhas solicitações para a Internet. Portanto, posso fazer ping 8.8.8.8, por exemplo, muito bem, mas sem ips da sub-rede.

Não sei se isso está claro. Por favor, pergunte se não é.

Obrigado pelo seu tempo!

networking router