Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Proxy ARP attivo di default?

 
Nuovo argomento   Rispondi    Indice del forum -> Segnalazione BUG
Precedente :: Successivo  
Autore Messaggio
pronto.bontempi



Registrato: 02/05/07 22:32
Messaggi: 8

MessaggioInviato: Sab Ott 25, 2008 10:24 am    Oggetto: Proxy ARP attivo di default? Rispondi citando

Salve Fulvio,
ho descritto il problema in questo post.
Ho fatto degli ulteriori tests, vorrei sottoporli alla tua attenzione.



Riassumo qui la configurazione di esempio (ho un box Zeroshell e un client):

Zeroshell
ETH00 (interfaccia interna, configurata ma scollegata dalla rete) : 192.168.0.1 / 24
ETH01 (quella esterna, connessa allo switch SW0) : 10.0.0.10 / 24
default gw : 10.0.0.1
NAT abilitato su ETH01

CLIENT (WINXP)
NIC (connessa allo switch SW0) : 10.0.0.20 / 24
default gw : 192.168.0.1



Ho letto questo post e ho verificato che di default in "/proc/sys/net/ipv4/conf/ETH0X/proxy_arp" c'è uno 0 (zero) e questo comportamento anomalo (forse bug) è molto strano, perché invece il proxy arp sembra attivo.
Fino a quando non ho ripetuto l'esperimento su macchina virtuale, non avevo escluso un problema hardware.
Ho fatto un test con Wireshark e ti confermo che il risultato che ottengo è che non appena il client tenta di instaurare una comunicazione verso un IP di una sottorete diversa dalla propria, lancia una ARP request per l'IP 192.168.0.1, un attimo dopo arriva la risposta "192.168.0.1 appartiene al MAC address 00-11-22-33-44-55", che è proprio il MAC di ETH01 di Zeroshell.
Infatti nella tabella ARP del CLIENT trovo l'IP 10.0.0.10 (ETH01 di Zeroshell) e 192.168.0.1 (ETH00 di Zeroshell) associati allo stesso MAC address.

Sono d'accordo con te che sarebbe opportuno impostare su DROP la policy di default della chain di forward, tuttavia suggerisco di disattivare di default il proxy arp, se possibile, in quanto penso che sia utile solo per pochi utenti.

Riflettendo sulla "pericolosità" del proxy arp, immagino che un attaccante possa utilizzare uno Zeroshell configurato in questo modo se:
1) si trova sullo stesso dominio di broadcast dell'interfaccia esterna di Zeroshell;
2) ha un IP che appartiene alla stessa sottorete di uno degli IP che Zeroshell possiede sull'interfaccia esterna (potrebbe scoprirlo con uno scanner);
3) conosce uno degli IP assegnati all'interfaccia interna di Zeroshell (per tentativi...);
Se ci sono VPN nattate, l'attaccante può scoprirle con uno scanner e può accedervi.

Grazie per l'attenzione, complimenti per l'ottimo lavoro e se c'è bisogno di fare ulteriori tests su questo argomento fammi sapere.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1559

MessaggioInviato: Sab Ott 25, 2008 11:53 am    Oggetto: Rispondi citando

Non credo sia un problema di proxy arp visto che questo è disabilitato su Zeroshell. Tieni con che quando un router si accorge che un client invoca una route sbagliata manda un messaggio di ICMP Redirect informandolo che lui è in grado di svolgere il routing richiesto. Zeroshell per default manda i messaggi di ICMP Redirect e pertanto potrebbe essere questo il problema.

Lo puoi disabilitare con:
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
echo 0 > /proc/sys/net/ipv4/conf/ETH01/send_redirects

Ciao
Fulvio
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Segnalazione BUG Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it