OT: záhadne chovani nekterych zarizeni v siti

[Zbyněk Burget]

Zdravím vespolek,

omlouvam se za prokazatelne OT, ale vim, ze tady najdu asi nejvic 
odborniku a tudiz nejvetsi sanci na odpoved.

Uz jsem to pred nedavnem zesil soukromne s Danem a po vymene jednoho 
podezreleho strojku jsem si myslel, ze mam po problemech. Bohuzel jsem 
se pletl. V poslednich dnech se mi na siti objevily hned dalsi dve 
zarizeni, ktere se chovaji uplne stejne.

Popisu situaci problem, jak se mi ho podarilo analyzovat. Jedna se o 
prevazne bezdratovou sit, kde je z historickych duvodu nekolik subnetu 
na jednom fyzickem sitovem prostoru.
Zacne to tak, ze nekdo doma vypne PC vcetne bezdratoveho zarizeni. Dana 
IP, vcetne MAC adresy tedy zmizi ze site. Po nejakem case vyexpiruje 
prislusny zaznam v MAC tabulce na centralnim switchi (Cisco), ale v arp 
tabulce routeru zaznam prozatim jeste je. Ted se stane to, ze nejaky 
libovolny klient (ktery ale je v jinem subnetu) posle packet tomu 
vypnutemu klientovi. Ten dojde na router, ktery zjisti, ze v arp tabulce 
ma prislusny zaznam a packet odesle. Switch ale uz bohuzel nevi, do 
ktere vetve site ho ma odeslat a tak ho posle na vsechny strany.
A tady prichazi kamen urazu. Misto toho, aby se packet v tichosti 
ztratil, protoze na siti uz neni prijemce, ozve se domaci routrik uplne 
jineho zakaznika, ktery vyhodnoti, ze ten packet k nemu proste prisel 
spatne a je potreba to napravit. A proto ho odesle zpet routeru (s 
originalni zdrojovou i cilovou IP adresou). No a router se packet opet 
snazi dorucit... Co mam povidat, sit to zaplavi tak, ze je nepouzitelna. 
Do doby, nez vyexpiruje (nebo je smazan) arp zaznam v routeru one 
puvodne vypnute stanice.
Veskere IP i MAC adresy jsou v poradku, takze nejaky utok typu MITM bych 
vyloucil. Pri prvotnim vyskytu problemu jsme i se zakaznikem, kteremu se 
takto jeho domaci routrik choval vyhodnotili, ze je ten routrik vadny. 
Byl vymenen a problem zmizel.
Ted se mi na siti zjevily dalsi dva domaci routery, ktere se chovaji 
uplne stejne. Ve vsech trech pripadech se jedna o jineho vyrobce 
routeru, jedna se o zakazniky na jinych fyzickych vetvich site i jinych 
subnetech. Coz ve mne nahlodalo myslenku, ze se mozna nejedna o vadu 
zarizeni, ale ze se z nejakeho mnou zatim nepochopeneho duvodu ty 
zarizeni chovaji spravne a ja hledam pricinu v jine kupce sena.
Resenim bude fyzicke oddeleni a odroutovani jednotlivych subnetu, na 
cemz se pracuje, ale predstavuje to rozsahlejsi rekonfiguraci site 
(vcetne zmen ve fyzicke topologii) a neni to otazkou nekolika dni.
Workarround by byl zkratit dobu platnosti zaznamu v arp tabulce (nevim, 
jak dalece je to rozumne - a taky jsem zatim napatral po tom, jako toho 
na FBSD dosahnout).
No a samozrejme nejlepsi resenei je pochopit proc se to deje a tem 
zarizenim vysvetlit, ze se tak nemaji chovat.

Kdyby mel nekdo podobnou zkusenost pripadne nekoho napada, co s deje, 
pisnete mi, prosim.


-- 
Zbyněk Burget
Mlýnská 397
798 26 Nezamyslice

tel: 588 580 000, 739 930 931
http://www.burgnet.cz
IČ:  606 88 220; DIČ: CZ7210184674